Recursos/White Papers

Opinião

Comunicação ainda afasta segurança da informação do C-Level

Sem as informações adequadas, tomadores de decisão não conseguem direcionar recursos ou priorizar ações de acordo com os níveis de criticidade das ameaças e a importância dos ativos corporativos ameaçados

Leonardo Cavallari Militelli *

Publicada em 09 de dezembro de 2016 às 07h10

A cibersegurança é uma preocupação cada vez maior nas empresas. Mais executivos estão cientes da gravidade que pode ter um ataque cibernético em seu ambiente e isso tem feito com que, mesmo durante a crise, as empresas buscassem serviços e soluções de segurança para melhorar sua estratégia de proteção. 

Os ataques de ransomware, por exemplo, uma das maiores pragas de 2016, já causaram prejuízos de mais de US$ 200 milhões apenas com o pagamento de resgates, segundo dados do FBI – que consideram apenas os incidentes reportados nos primeiros três meses do ano. 

Além do perigo de perder dados essenciais para o negócio ou de ver informações sensíveis violadas, existe também uma grande preocupação com o tempo fora do ar. Imagine, por exemplo, o impacto de um ataque DDoS que tira do ar um grande e-commerce por horas. Estima-se que um e-commerce de grande porte tenha perdas até US$ 5 milhões em vendas em cerca de 1 hora de downtime – quase US$ 83 mil por minuto. 

Números como esses são grandes motivadores para que os executivos passem a se envolver cada vez mais com a segurança da informação. Não é mais uma questão de estar ciente, mas uma questão de envolvimento. Essa urgência criou uma lacuna de comunicação entre as equipes de segurança da TI e os membros da diretoria, que não sabem como lidar com as ameaças. 

segurança

Executivos são mais responsabilizados pelos ataques
Na maioria das empresas, os esforços dos líderes de TI estão voltados para a conscientização dos executivos. No entanto, o que temos visto é que os executivos estão cada vez mais conscientes do papel da segurança da informação, o que falta a eles é um entendimento de como tomar decisões. Isso acontece, muitas vezes, porque a comunicação é técnica demais. 

Essa falta de entendimento pode ser extremamente perigosa para as empresas, podendo se converter em um sério risco para os negócios. Cada vez mais, os executivos são responsabilizados por suas ações (e também pela falta delas) dentro da empresa. Isso inclui os riscos que se aceita correr e a consequente incidência de ataques cibernéticos. Por isso, o envolvimento do C-Level com a segurança da informação só tende a crescer. 

Sem o conhecimento adequado de informações-chave de segurança da informação, os tomadores de decisão não conseguem direcionar recursos ou priorizar ações de acordo com os níveis de criticidade das ameaças e a importância dos ativos corporativos ameaçados. 

Comunicação é o maior desafio
Especialmente nas empresas que ainda contam com um nível de maturidade em segurança mais baixo e acabaram de começar a pensar nessa questão, a comunicação é um grande desafio. De nada adianta os líderes de negócio saberem que a cibersegurança deve ser levada a sério se não contam com as informações necessárias para tomar decisões de alto risco. 

As empresas terão de investir cada vez mais na criação de uma cultura de segurança da informação que alcance toda a empresa. Isso vai muito além do uso de termos familiares para os líderes de negócio em relatórios mensais. Os executivos precisam entender claramente os riscos e saber como mitigá-los. Para isso, os líderes de TI deverão oferecer respostas e soluções com clareza, mostrando como elas ressoam no negócio. 

Os treinamentos em segurança da informação voltados para diretores e executivos podem ajudar na criação dessa cultura, por meio do aprendizado de tópicos chave de segurança e de uma abordagem da segurança como um risco corporativo, um investimento, não apenas mais um gasto.

 

(*) Leonardo Cavallari Militelli é CEO da iBLISS



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui