Como a segurança evolui de uma despesa, para algo conectado na cultura da empresa? Como a segurança evolui de uma despesa, para algo conectado na cultura da empresa?

Os CISOs (do inglês Chief information security officer) que procuram e conduzem uma cultura de Security by Design podem desempenhar um papel crucial como facilitadores da transformação.

Diante das crescentes ameaças cibernéticas, muitas organizações ficam na defensiva – e perdem uma oportunidade valiosa para ganhar vantagem competitiva ao colocar a segurança cibernética e privacidade no centro de sua estratégia.

Para fazer a mudança para uma cultura de Security by Design, os CISOs devem abraçar as realidades comerciais enfrentadas por suas organizações em um mercado disruptivo. E o resto do negócio, desde os níveis mais altos, deve garantir que a cibersegurança tenha um lugar nos conselhos de liderança.

A mudança é uma responsabilidade compartilhada: Os CISOs podem – e devem – se envolver de forma mais colaborativa com o resto da empresa, enquanto os conselhos de administração, os C-level entres outros cargos dentro das organizações, devem buscar uma relação de trabalho mais estreita com os seus colegas de segurança cibernética. Só assim as equipes de cibersegurança podem desempenhar um papel crucial como facilitadores da transformação no negócio.

Na edição deste ano do EY Global Information Security Survey (pdf), analisamos como o papel do especialista em cibersegurança está evoluindo, a partir de três perspectivas:

1. Uma falha sistemática na comunicação

De acordo com o relatório, os ataques vindos de ativistas foram a segunda fonte mais comum de material ou de violações significativas. O aumento dos ataques de ativistas mostra como o especialista de cibersegurança precisa de um entendimento muito mais profundo do ambiente de negócios de sua organização. Os CISOs que não trabalham alinhados com colegas de toda a empresa serão inevitavelmente postos de lado por outros líderes e linhas de negócios que poderiam, por exemplo, lançar novos produtos ou serviços que exponham a organização a novas ameaças.

Os primeiros resultados do próximo EY Global Board Risk Survey identificaram a "Disrupção tecnológica" como a maior oportunidade estratégica para as organizações. O fato de muitas organizações estarem aproveitando esta oportunidade, passando por transformações tecnológicas, também exige que os CISOs, os conselhos de administração, e os C-level trabalhem juntos e fiquem ainda mais alinhados. Isto para que eles possam incorporar soluções de cibersegurança em um estágio inicial de novas iniciativas de negócios – uma cultura de Security by Design.

Falta de Security by Design.

36%

das empresas dizem que a a cibersegurança está envolvida desde a fase de planejamento de uma nova iniciativa de negócios.

  • A ameaça cibernética e à privacidade está aumentando e se expandindo. Cerca de 6 em cada 10 organizações (59%) enfrentaram um incidente material ou um incidente significativo nos últimos 12 meses e, como revela a EY Global Board Risk Survey, 48% dos conselhos acreditam que ataques cibernéticos e violações de dados terão um impacto mais do que moderado nos seus negócios nos próximos 12 meses. Cerca de um quinto desses ataques (21%) veio de "hackers ativistas" (ou seja, ativistas técnicos, políticos e sociais) – atrás apenas dos grupos do crime organizado (23%).
  • Apenas 36% das organizações dizem que a cibersegurança está envolvida desde a fase de planejamento de uma nova iniciativa de negócios.
  • Os gastos com cibersegurança são impulsionados pelas prioridades defensivas e não pela inovação e transformação: 77% dos gastos com novas iniciativas se concentraram mais no risco ou na conformidade do que na oportunidade.
  • Um em cada cinco respondentes gasta 5% ou menos do seu orçamento de cibersegurança no apoio a novas iniciativas.

2. Aumentar a confiança com um reboot nas relações

Assim, tendo o Security by Design como objetivo, os CISOs e seus colegas em toda a organização – incluindo cargos como marketing, P&D e vendas – precisam construir relacionamentos muito mais estreitos a fim de melhorar o entendimento geral do negócio de segurança cibernética e atender à ideia do Security by Design.  

Aumentar a colaboração com outras áreas deve ser uma prioridade, mas a cibersegurança também precisa formar relações muito mais produtivas com a diretoria, a suíte C e os líderes seniores.

O momento para um reboot nas relações

64%

das empresas dizem que a relação entre a cibersegurança e a equipe de P&D é, na melhor das hipóteses, neutra, desconfiada ou inexistente.

  • A relação entre cibersegurança e marketing é, na melhor das hipóteses, neutra, sob desconfiança ou inexistente, de acordo com 74% das organizações; 64% dizem o mesmo da equipe de pesquisa e desenvolvimento; 59% para as linhas de negócios. As equipes de Cibersegurança tiveram um desempenho ruim mesmo no relacionamento com o time de finanças, de quem dependem para obter autorização orçamental, com 57% das empresas dizendo que a relação fica abaixo das expectativas.
  • Cerca de metade dos entrevistados (48%) dizem que a diretoria ainda não tem uma compreensão completa do risco de cibersegurança; 43%, entretanto, dizem que os conselhos de administração não compreendem totalmente o valor e as necessidades da equipe de cibersegurança.
  • A  EY Global Board Risk Survey  mostra que os conselhos de administração não têm confiança na segurança cibernética de sua organização, com 50% – na melhor das hipóteses – afirmando que eles estavam apenas um pouco confiantes.
  • Apenas 54% das empresas promovem regularmente a cibersegurança como um item na agenda dos conselhos de administração.
  • Seis em cada dez organizações dizem que não podem quantificar a eficácia de seus gastos com cibersegurança para seus conselhos de administração.

3. O CISO se transformando em um agente de transformação

Com relações mais fortes a nível empresarial e de administração, uma melhor compreensão dos imperativos comerciais da organização e a capacidade de antecipar a evolução de uma ameaça cibernética, as CISOs podem se tornar uma peça central para a transformação das suas organizações. 

Eles precisarão de uma nova mentalidade, assim como novas habilidades em áreas como comunicação, negociação e colaboração. Os CISOs que se tornarão poderosos agentes de mudança serão aqueles que, em vez de dizer "Não" a novas iniciativas, dirão "Sim, mas...".

  • Apenas 7% das organizações descreveriam a cibersegurança como uma facilitadora para a inovação; a maioria escolhe termos como "orientada pela conformidade" e "avessa ao risco".
  • Cerca de metade das organizações (48%) dizem que a principal diretriz para novos gastos é a redução de riscos, e 29% citam requisitos de conformidade. Apenas 9% apontam para a capacitação de novas iniciativas empresariais.
  • Seis em cada dez organizações não têm um chefe de cybersecurity que faça parte do conselho de administração ou no nível de gestão executiva.
  • Cerca de um terço das organizações (32%) dizem que os orçamentos de cibersegurança são derivados de mais de uma fonte.

Se a área de Cybersecurity se visse como um obstáculo à inovação

7%

das organizações, ela se descreveria como uma facilitadora para a inovação; A maior parte no entanto, escolhe termos como "orientado pela conformidade" e "avesso ao risco".

Resumo das recomendações da EY

Com base nos resultados do GISS deste ano, fica claro que existe agora uma oportunidade real de posicionar a cibersegurança no centro da transformação e inovação dos negócios. Isto vai exigir que os conselhos de administração, as equipes de gestão senior, os CISOs e os líderes de toda a empresa trabalhem em conjunto:

  1. Estabelecer a cibersegurança como um capacitador de valor chave na transformação digital – trazer a cibersegurança para a fase de planejamento em cada nova iniciativa. Tirar vantagem de uma abordagem de  Security by Design  para minimizar os riscos da transformação e no design do produto ou serviço no início (em vez de fazer isso em uma fase mais avançada do projeto).
  2. Construa relações de confiança com cada área da organização  – analise os principais processos de negócios com as equipes de cibersegurança, para entender como a empresa pode ser impactada por riscos cibernéticos e como a equipe de cibersegurança pode ajudar a melhorar a função comercial ao seu redor.
  3. Implementar estruturas de governança que sejam adequadas ao objetivo desenvolver um conjunto de indicadores-chave de desempenho e indicadores-chave de risco que possam ser usados para comunicar uma visão centrada no risco nos relatórios executivos e do conselho.
  4. Foco no envolvimento do conselho – comunicar em uma linguagem que a diretoria possa compreender; considerar um programa de quantificação de riscos para comunicar os riscos cibernéticos de forma mais efetiva.
  5. Avaliar a eficácia da de cibersegurança para preparar o CISO com novas competências – determinar os pontos fortes e fracos da área de cibersegurança para entender em que o CISO deve ser especializar e como.
  • O que é Security by Design?

    Security by Design é uma nova abordagem que constrói a cibersegurança em qualquer iniciativa desde o seu início, e não como uma medida posterior, permitindo a inovação com confiança. É uma abordagem estratégica e pragmática que funciona em todas as áreas da organização. Security by Design permanece no ciclo de vida da iniciativa para ajudar na gestão contínua e mitigação dos riscos de segurança.

Resumo

Nova pesquisa do EY sugere que fora da necessidade de conformidade, um abismo separa a segurança cibernética do negócio. Para acabar com essa diferença, os CISOs precisam mostrar seu valor, de forma que até mesmo os C-level possam entender; O negócio por sua vez, precisa abraçar a segurança cibernética em seus processos desde o início e manter durante todo o ciclo de vida de cada iniciativa.

Sobre este artigo