A construção de um mundo digital mais seguro exige ações em várias frentes. Iniciativas como o Mês de Conscientização sobre Segurança Cibernética (CSAM) são ótimas oportunidades para lembrar o público em geral das práticas recomendadas importantes para gerenciamento de senhas, correção de vulnerabilidades e muito mais. Mas, embora isso possa ajudar a tornar a vida mais difícil para os cibercriminosos que visam os consumidores, ainda é uma oportunidade para chamar a atenção dos líderes empresariais para os riscos cibernéticos.

Nos EUA, houve um aumento trimestral de 114% nos vazamentos de dados reportados publicamente no segundo trimestre de 2023, colocando o ano no caminho certo para outro recorde. Na Europa, a ENISA, agência de segurança da UE, alertou em 2022 sobre um aumento nas explorações de vulnerabilidades zero-day, ransomware como serviço, ataques a cadeia de suprimentos e engenharia social. Em última análise, lidar com isso é tarefa do CISO. Mas para que essa função seja eficaz, ela precisa do apoio correto da diretoria. É por isso que é tão importante obter o envolvimento e a adesão aos projetos.

Rumo ao alinhamento entre TI e diretoria

Muitas vezes, há uma certa desconexão entre a liderança empresarial e os responsáveis pela TI e pela estratégia cibernética. Em termos gerais, a percepção da segurança é que ela é necessária para manter as ameaças cibernéticas afastadas, mas não muito mais do que isso. Ou seja, muitas diretorias ainda podem ver a TI e a cibersegurança como um custo necessário, mas não como um contribuinte para a receita - e certamente não como um facilitador de negócios.

O resultado final é que, embora o Gartner preveja que os gastos globais com segurança e gerenciamento de riscos cresçam mais de 11% em 2023, chegando a US$ 188 bilhões, eles podem não ser necessariamente gastos com sabedoria. As diretorias não engajadas tendem a liberar o orçamento de forma fragmentada e reativa, como, por exemplo, após um vazamento. Isso pode levar a resultados ruins e a um acúmulo de soluções pontuais que, no final das contas, demonstram uma má relação custo-benefício.

De fato, de acordo com um estudo, apenas dois quintos (39%) dos tomadores de decisões de segurança acreditam que a liderança de sua empresa realmente entende o papel que a cibersegurança desempenha no sucesso dos negócios. Uma parcela semelhante (36%) afirma que a segurança é vista apenas pelas lentes dos requisitos de conformidade. Então, como os CISOs e seus colegas podem se envolver melhor com as diretorias para obter a adesão de longo prazo às iniciativas estratégicas?

Aqui estão seis sugestões:

1. Fale a linguagem certa

O primeiro passo para um melhor alinhamento cibersegurança corporativa é ser compreendido. Isso significa falar uma linguagem não de bits e bytes e detalhes tecnológicos complexos, mas de risco comercial. Isso facilitará o envolvimento dos líderes da diretoria e a obtenção de adesão a uma iniciativa estratégica específica. Diga a eles que um ataque de ransomware pode deixar 200 servidores off-line e eles podem pensar "e daí?". Mas explique que isso pode causar uma semana de inatividade a um custo de US$ 400 mil por hora e a reação será muito diferente.

2. Meça o risco e torne-o relevante

Parte da conversa em uma linguagem que ambos os lados entendem se resume ao compartilhamento de dados com base em métricas que traduzem as informações de cibersegurança em medidas que interessam à diretoria e à empresa. As áreas a serem consideradas são as métricas que mostram o desempenho e a eficácia dos controles de segurança existentes - para ilustrar onde as coisas estão funcionando bem e as áreas que precisam ser melhoradas. Acompanhar essas métricas ao longo do tempo aumentará o impacto, assim como as comparações com os benchmarks do setor.

Ao apresentá-los à diretoria, mantenha as coisas simples e de alto nível. Mas não tenha receio de usar histórias anedóticas da empresa para enfatizar um ponto.

3. Promova a security by design e padrão

De acordo com o World Economic Forum (WEF), 43% dos líderes empresariais acreditam que é provável que um ataque cibernético "afete materialmente" sua organização nos próximos dois anos. Embora seja positivo que eles reconheçam a gravidade do risco cibernético, isso também reflete uma mentalidade de diretoria cada vez mais focada em canalizar recursos para o dia a dia em vez de investimentos estratégicos.

O CISO precisa persuadir seus pares na alta administração a olhar para a cibersegurança de forma mais estratégica e que, ao fazer isso, obterá melhores resultados. A security by design e padrão é a melhor prática promovida pelos reguladores do GDPR e outros. Isso significa que as considerações de segurança devem ser incorporadas a novas iniciativas ou produtos de negócios desde o início, em vez de serem acrescentadas no final ou, pior ainda, após um incidente.

4. Agende reuniões com mais frequência

Mais da metade (56%) dos CISOs agora se reúne mensalmente ou com mais frequência com sua diretoria, de acordo com o WEF. Esse é um grande passo para obter a adesão da diretoria à segurança, especialmente devido à velocidade com que o cenário de ameaças evolui. No entanto, é preciso fazer mais para promover o entendimento mútuo. Uma maneira é garantir que o CISO se reporte diretamente ao CEO, garantindo assim que este último tenha mais exposição à cibersegurança e que a liderança em segurança receba um feedback mais direto da empresa.

5. Formalize os programas de cibersegurança

Os programas de cibersegurança devem ser devidamente documentados, medidos em relação a KPIs e métricas relevantes e formalizados em uma estrutura de cima para baixo. Isso ajudará a consolidar a função da cibersegurança na empresa.

6. Contrate alguns BISOs

O BISO (Business Information Security Officer) é uma função específica do departamento ou da unidade de negócios responsável por fazer a ligação entre a empresa e a equipe de segurança. Ao fazer isso, ele ajuda a transformar a estratégia de alto nível em etapas operacionais práticas. Assim, eles podem criar a cultura de segurança desde a concepção que toda organização deve almejar e, ao fazê-lo, provar aos conselhos céticos que a segurança deve ser incorporada em todas as partes do negócio.

Conclusão

De acordo com o WEF, a recente instabilidade geopolítica ajudou a aproximar os pontos de vista do CISO e da diretoria sobre a importância do gerenciamento de riscos cibernéticos. Atualmente, 91% dessa comunidade combinada acredita que um evento cibernético catastrófico e de longo alcance é algo provável nos próximos dois anos. Mas ainda há um longo caminho a percorrer. Para muitas organizações, conseguir o tão importante engajamento e adesão da diretoria será um trabalho de meses ou até anos. E o mais importante é que isso pode exigir uma mudança de mentalidade não apenas dos líderes de negócios, mas também dos CISOs.