Como tornar a cibersegurança prioridade máxima para diretores e CFOs
Author:
Por Mark Hughes, DXC Technology
Como executivo responsável por entregar soluções de segurança aos nossos clientes globais, vejo a cibersegurança ganhando cada vez mais importância nas agendas das diretorias. Em um momento em que os orçamentos estão encolhendo, espera-se que os gastos mundiais com segurança cresçam 8,1% anualmente e atinjam US$ 174,7 bilhões em 2024, de acordo com o IDC.
Há um bom motivo para isso. Grandes violações de dados e ataques assustadores de ransomware podem se elevar ao nível de desastres naturais, geralmente paralisando os negócios e prejudicando a marca, a fidelidade do cliente, os relacionamentos de parceria etc. Isso me surpreende, mas o custo projetado do cibercrime (estimado em US$ 6 trilhões em 2021) representa "a maior transferência de riqueza econômica na história", de acordo com a Cybersecurity Ventures.
Se diretorias e CFOs aprenderam algo em 2020 foi esperar o inesperado. Mas, para serem realmente eficazes, eles precisam entender completamente os riscos e ver a cibersegurança como fundamental para quase tudo que uma organização faz, começando pelo topo.
Não é apenas um problema
É importante observar que segurança não significa mais apenas aplicar patches e proteger os sistemas. Sabemos que ela está bem mais integrada ao cenário operacional.
Para serem realmente eficazes, as diretorias e os CFOs precisam entender completamente os riscos e ver a cibersegurança como fundamental para quase tudo que uma organização faz, começando pelo topo.
Em junho, quando o ransomware travou as redes internas de um fabricante global, a empresa foi forçada temporariamente a desativar as instalações de produção, o atendimento ao cliente e as operações de serviços financeiros.
A outra tendência que vejo é uma variedade crescente de riscos para as grandes empresas. Vários fatores sociotécnicos, como ambientes regulamentares, mudanças sociais e políticas e cultura, afetam o cenário de ameaças.
As políticas comunicadas de modo insuficiente pela gerência podem causar ameaças internas e a liberação de dados confidenciais. A introdução de uma nova política de diretoria, atividade de M&A ou associação com um fornecedor pode levar um grupo de hacktivistas a alterar um site corporativo, sequestrar contas de redes sociais ou desativar serviços por meio de um ataque de negação de serviço distribuído. Programas negligentes de privacidade dos dados podem resultar em enormes penalidades em algumas regiões, mas apenas uma repreensão em outras.
Embora a maioria das diretorias entenda o impacto da segurança na marca e na confiança do cliente (e todos os CFOs tenham se familiarizado demais com os custos), os diretores de segurança da informação (CISOs) ainda enfrentam a tarefa desafiante de comunicar o cenário de riscos em constante mudança.
Elevação da segurança na agenda
Nossa equipe se concentra em ajudar esses líderes a entender os riscos dentro das suas condições. Diversas práticas recomendadas podem ajudar sua organização a tornar prioridade máxima a segurança.
Fale sobre risco e ROI, não ameaças e vulnerabilidades. A inteligência contra ameaças e as ferramentas de monitoramento da segurança retratam um bom cenário do aumento dos ciberataques, mas elas não conseguem responder à pergunta básica "O quão seguros estamos?"
A diretoria precisa de dados para entender custo, confiabilidade e risco, mas os CISOs também precisam dar uma visão holística da exposição a riscos.
Uma cultura voltada para o cibernético começa vindo de cima. Com o aumento do número de ataques de spearphishing mais sofisticados, a equipe de liderança está mais vulnerável do que nunca. Os CFOs pensam em termos de ponderação dos custos de mitigação de riscos com exposição potencial, portanto, os CISOs precisam comunicar claramente o ROI: qual é o impacto potencial no preço das ações e no valor para o acionista? Qual é o custo potencial de uma vulnerabilidade em relação ao custo para corrigi-la?
Tentar proteger-se contra todas as ameaças possíveis poderá ter custo proibitivo e até mesmo prejudicar a inovação e o crescimento dos negócios. As decisões precisam ser feitas de modo colaborativo, alcançando o equilíbrio certo entre as prioridades de risco e os controles de segurança eficazes.
Encontre um defensor da segurança. Em anos recentes, os líderes seniores se concentraram em formas de diversificar suas diretorias. Além de uma gama de históricos e perspectivas, as diretorias podem também se beneficiar de habilidades relevantes, como gerenciamento de investimentos, tecnologia da informação, recursos humanos e gerenciamento de riscos.
Gerenciar os programas de segurança e combater os invasores será sempre uma compensação entre custo e risco. Mas com tanta coisa em jogo, as decisões de segurança precisam ser tomadas de modo informado, estratégico e colaborativo.
É possível também criar um caso para colocar um defensor do ciber-risco na diretoria, particularmente em setores altamente direcionados, como bancos, varejo, saúde e serviços públicos. Ter um defensor da segurança na diretoria ajudará a manter a segurança em primeiro plano. Um membro da diretoria com histórico em segurança ou experiência anterior em lidar com grandes violações pode ajudar os membros menos experientes em tecnologia a tomar conhecimento dos riscos em rápida mudança.
Não dependa apenas do seguro cibernético. O seguro cibernético é uma ferramenta relativamente nova para atenuar o risco que geralmente cobre as responsabilidades relacionadas às violações de dados, incluindo danos, custos jurídicos, notificações aos clientes, recuperação de dados e reparo de sistemas de computadores. Contudo, essas políticas podem não cobrir a perda de valor devido ao roubo de propriedade intelectual do custo de atualização de softwares e equipamentos para impedir ataques.
CFOs e diretores de risco devem avaliar cuidadosamente os benefícios do seguro cibernético em relação às opções de seguro próprio. Em 2018, a cidade de Atlanta gastou US$ 2,7 milhões para se recuperar de um ciberataque em vez de pagar US$ 50.000 de pedido de resgate. A maior parte do dinheiro foi para a atualização de sistemas desatualizados. O seguro cibernético facilita a decisão do CFO de não pagar o resgate, mas ele não pode mitigar o dano à reputação. Prevenção, resposta rápida e resiliência operacional ainda são as melhores defesas.
Coloque em prática os processos de gerenciamento ágeis. Novas vulnerabilidades surgem constantemente, e os invasores mudam continuamente as táticas, portanto, os programas de segurança precisam de processos de gerenciamento ágeis para dar uma resposta.
As organizações precisam gerenciar a segurança de acordo com as práticas recomendadas e com planos de resiliência em vigor, da mesma forma que os sistemas principais precisam de backups e planos de recuperação de desastres. Assim como as empresas visam à melhoria contínua nas operações, no atendimento ao cliente e em outros temas importantes, a diretoria e o CFO devem esperar o mesmo para a segurança.
Gerenciar os programas de segurança e combater os invasores será sempre uma compensação entre custo e risco. Mas com tanta coisa em jogo, as decisões de segurança precisam ser tomadas de modo informado, estratégico e colaborativo. Diretorias e CFOs fazem parte dessa conversa.
Fique por dentro dos riscos empresariais mais recentes. Assine o Relatório de Inteligência de Ameaças à Segurança da DXC.
Sobre o autor
Mark Hughes é vice-presidente sênior de ofertas e parcerias estratégicas da DXC Technology, sendo responsável pela organização e ofertas de segurança globais da DXC, incluindo ciberdefesa, infraestrutura protegida, identidade digital e proteção de dados. Antes disso, ele trabalhou como diretor da BT Security.