Home > Gestão

Por que o board pode colocar em risco a transformação digital?

Apesar do aumento do crime cibernético, muitos CEOs operam no escuro. Cerca de 63% dos CISOs não se reporta regularmente ao conselho, diz pesquisa

Marc Wilczek, CIO (EUA)

08/11/2019 às 17h01

Foto: Shutterstock

Apesar do aumento do crime cibernético e da dependência das receitas digitais, muitos CEOs seguem operando no escuro. Um número impressionante de 63% dos CISOs não se reporta regularmente ao conselho, segundo pesquisa do Instituto Ponemon.

As brechas de segurança sempre parecem estar nas notícias, mas apenas algumas organizações estão se protegendo contra essas ameaças, reduzindo ativamente sua exposição a riscos cibernéticos. Uma pesquisa do Ponemon Institute revelou que 63% dos CISOs não se reportam regularmente ao conselho de administração da empresa e 40% não participam da sala de reuniões. A maioria das organizações ainda adota uma abordagem reativa à cibersegurança - ou seja, elas lidam com os incidentes apenas à medida que acontecem, em vez de trabalhar na prevenção - o que os torna muito mais vulneráveis ​​ao crime cibernético e coloca em risco sua estratégia de transformação digital.

Independentemente de ocorrerem por ransomware, roubo de dados ou ataques DDoS, os incidentes de segurança podem causar um mundo de problemas - caro, que destrói a reputação - de qualquer organização, seja grande ou pequena.

Falta de envolvimento e responsabilidade do conselho

Embora as empresas de hoje dependam cada vez mais de ter seus sistemas de TI sempre em funcionamento, os executivos e membros do conselho da C-Suite persistem em sua abordagem reativa à estratégia de risco cibernético. Com quatro em cada dez CISOs não se reportando ao conselho, os resultados da pesquisa sugerem uma escassez generalizada de prestação de contas. Embora o cibercrime aumente rapidamente e se torne mais caro para combater, 14% desse grupo só se reportam ao conselho após uma violação de segurança - normalmente quando já é tarde demais.

Mas mesmo quando os diretores corporativos são mantidos a par dos assuntos relacionados à segurança cibernética que suas empresas enfrentam, muitos tendem a não agir. Quase um terço dos CISOs da pesquisa da Ponemon disse que seu conselho de administração ou CEO determina ou aprova um nível aceitável de risco cibernético para a empresa, e apenas 21% disseram que seu conselho ou CEO solicita a devida diligência em segurança cibernética durante fusões e aquisições. É claro que, a cada novo acordo de fusões e aquisições, a empresa potencialmente se expõe a ainda mais responsabilidades cibernéticas que podem resultar em um monte de multas regulatórias e legais se surgir uma violação de segurança. Como exemplo, considere uma startup inovadora que é adquirida por uma empresa maior: o GDPR, por exemplo, baseia multas na receita total da empresa, que normalmente é significativamente maior que a da entidade recém-adquirida e integrada.

No geral, os resultados da pesquisa mostram que os executivos do C-Suite e os membros do conselho não estão assumindo responsabilidade suficiente pelos riscos cibernéticos dentro da empresa. Consequentemente, as ameaças estão sendo banalizadas e delegadas, com os executivos da empresa ignorando o que está acontecendo e a importância da proteção dos dados corporativos, infraestrutura e outros ativos digitais. A mensagem que essa atitude negligente envia ao público não é positiva.

Prevenção em vez de reação ao risco cibernético

Em vez de fazer monitoramento e análise regulares, a maioria das organizações espera o melhor e depois reage aos incidentes depois que eles ocorrem. Por exemplo, 63% dos CISOs afirmaram que poderiam usar melhores ferramentas de monitoramento. Em outras palavras, não é apenas o fato de as empresas estarem adotando uma abordagem negligente à segurança cibernética. Muitas delas também estão no escuro sobre as ameaças reais que enfrentam. Mais da metade dos participantes da pesquisa admitiu que suas soluções de segurança têm falhas na cobertura ou outras deficiências que os tornavam presas fáceis para cibercriminosos.

Além disso, 40% dos CISOs admitiram que não quantificam ou monitoram sua postura de risco cibernético, e apenas 39% levam suas descobertas aos conselhos de administração.

Dado o grande volume de dados e a demanda comercial de abertura de infraestruturas para permitir a interligação de cadeias de valor e cadeias de suprimentos, acompanhar as ameaças cibernéticas está ficando muito mais difícil. No entanto, quando se trata de ataques cibernéticos, a velocidade da mitigação é essencial para minimizar os danos. Juntamente com a enorme escassez de conhecimento cibernético, é uma ilusão acreditar que as pessoas são o suficiente para garantir a segurança corporativa. Na realidade, os erros humanos ainda são uma das principais razões pelas quais as cadeias de serviços de TI falham. Para garantir uma resposta instantânea a ameaças, as organizações devem contar com automação e aprendizado de máquina.

Nova mentalidade corporativa necessária

Muitas organizações atualizaram sua infraestrutura de TI e investiram em novas tecnologias, aplicativos e plataformas digitais. Ao mesmo tempo, modelos de negócios, processos e governança são arcaicos e não conseguem acompanhar o ritmo. Quase metade das empresas não mede ou monitora seus riscos cibernéticos e, dentre as que o fazem, poucas informam ao conselho de administração o que descobriram.

Embora essa abordagem possa ter funcionado no mundo analógico, na era digital a consequência é um aumento desnecessário de riscos. Inevitavelmente, os negócios digitais estão associados a novas ameaças, porque receita, lucro e reputação dependem cada vez mais de operações de TI. Consequentemente, a função do CISO merece mais tempo de atenção na sala de reuniões.

O que é necessário é uma mudança de paradigma - uma nova mentalidade corporativa que valorize, respeite e compreenda a integridade e a disponibilidade dos serviços e dados de TI como fatores diferenciadores na economia digital. Mas a única maneira de fazer isso funcionar é a partir da priorização do assunto por parte do conselho administrativo.

“A cultura corporativa é formada no topo. Se os líderes empresariais não estão ativamente envolvidos em garantir uma postura forte de cibersegurança, ele envia a mensagem de que a cibersegurança não é um problema importante”, observa Larry Ponemon, fundador e presidente do Ponemon Institute. “O conselho de administração e o C-suite geralmente são criticados quando sua organização sofre uma violação de dados ou outro incidente de segurança e, portanto, deve estar envolvido na imposição de uma abordagem proativa para identificar e corrigir falhas de segurança. Embora a maioria das empresas tenha um executivo encarregado de determinar com precisão a eficácia de sua estratégia de cibersegurança, eles precisam comunicar essas descobertas aos líderes seniores e ao conselho regularmente.”

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail