19 Minutos de leitura 22 jul 2021
Reformule sua futura tempestade

Cybersecurity: Como você se eleva acima das ondas de uma tempestade perfeita?

Por Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Guru da segurança cibernética. Casada, mãe de quatro filhos. Gosta de mergulho, caminhadas e retoque de móveis. Vive em McLean, VA.

19 Minutos de leitura 22 jul 2021

O EY Global Information Security Survey 2021 mostra CISOs e líderes de segurança lutando contra uma nova onda de ameaças desencadeada pela COVID-19.

Em resumo
  • Cybersecurity está sob pressão: 81% dos executivos dizem que a COVID-19 forçou as organizações a contornar os processos de cybersecurity.
  • Três desafios se destacam: orçamentos insuficientes, complexidade da regulamentação e relações tensas com a empresa.
  • Se os CISOs puderem resolver as deficiências com uma abordagem de segurança por design, eles se tornarão facilitadores do crescimento na era da recuperação.

OEY Global Information Security Survey 2021 (GISS) ilustra o impacto devastador e desproporcional que a crise da COVID-19 teve em uma função que está se esforçando para se posicionar como um facilitador do crescimento e um parceiro estratégico para o negócio.

Por meio de uma pesquisa global com mais de 1.000 líderes seniores de cybersecurity, encontramos CISOs e líderes de segurança lutando com orçamentos inadequados, lutando com a fragmentação regulatória e não conseguindo encontrar um terreno comum com as funções que mais precisam deles.

De fato, a agitação da pandemia global criou uma tempestade perfeita de condições nas quais os agentes de ameaças podem agir. Desde o relatório GISS de 2020, houve um aumento significativo no número de ataques disruptivos e sofisticados, muitos dos quais poderiam ter sido evitados se as empresas tivessem incorporado a segurança por design em toda a empresa.

O relacionamento do CISO com a empresa também está sob mais estresse do que antes, e as consequências são uma maior exposição ao risco cibernético. Além disso, as restrições orçamentárias significam que os CISOs estão lutando para preencher a lacuna entre necessidade e financiamento.

É provável que a situação piore antes de melhorar. As organizações querem investir em tecnologia e inovação para a era pós-COVID-19 e precisam garantir resiliência para a próxima grande disrupção, mas muitas ainda precisam lidar com os riscos adiados e vulnerabilidades potenciais que foram introduzidas durante seus esforços de transformação no auge da pandemia.

Os CISOs estão em uma encruzilhada. Para lidar com os problemas complexos e desgastantes que enfrentam, eles devem agir rápido. Os capítulos abaixo descrevem o que os líderes de cybersecurity precisam saber agora sobre seu ambiente operacional atual e o que precisam fazer para transformá-lo.

Sobre a pesquisa

.

Homem pegando uma onda na prancha de surf
(Chapter breaker)
1

Capítulo 1

Os CISOs estão em uma encruzilhada.

Um momento de estresse, mudança e oportunidade.

Ao longo do último ano, todas as empresas tiveram que se adaptar à disrupção de uma forma ou de outra. Dentro de prazos que seriam considerados impossíveis há pouco tempo, organizações progressistas lançaram novas tecnologias voltadas para o cliente e ferramentas baseadas em nuvem que apoiavam o trabalho remoto e mantinham o canal aberto para o mercado.

Mas a velocidade da mudança veio com um preço alto. Muitas empresas não envolveram cybersecurity no processo decisório, seja por meio de supervisão ou urgência para se movimentar o mais rápido possível. Como resultado, novas vulnerabilidades entraram em um ambiente já em rápida evolução e continuam a ameaçar os negócios hoje.

A rápida transformação traz novos riscos

No período da elaboração deste artigo, os CISOs e suas equipes podem ainda não ter uma avaliação completa do impacto a longo prazo que a nova tecnologia de sua empresa terá em suas defesas. Mas, enquanto isso, é provável que seus colegas continuem usando a tecnologia de qualquer maneira.

“A urgência da crise significou que a segurança foi negligenciada, mesmo quando as organizações estavam abrindo sistemas que nunca haviam sido abertos antes”, reflete Richard Watson, Líder de Consultoria de Cybersecurity Risk da EY na Ásia-Pacífico. “Nem todas as organizações reconhecem que agora precisam voltar e resolver esses problemas.”

Os riscos de seguir em frente sem abordar os problemas são, no entanto, muito reais e cada vez mais urgentes. Mais de três em cada quatro (77%) entrevistados ao GISS deste ano alertam que viram um aumento no número de ataques disruptivos, como ransomware, nos últimos 12 meses. Em contraste, apenas 59% viram um aumento nos 12 meses anteriores.

No entanto, os CISOs estão lutando para se fazer ouvir. A maioria dos entrevistados (56%) admite que as equipes de cybersecurity não são consultadas, ou são consultadas tarde demais, quando a liderança toma decisões estratégicas urgentes. Enquanto alguns sustentam que isso acontece “não com muita frequência”, só precisa acontecer uma vez para que uma falha nas defesas seja explorada pelos hackers.

Figura 2 do GISS

O resultado é a ansiedade sobre o que o futuro reserva. “Nós nos esforçamos para garantir a segurança como um facilitador”, diz Richard Watson. “Mas ainda existem organizações que lançam projetos para a segurança pouco antes de serem lançados.”

Na pior das hipóteses, os CISOs acham que seus avisos são ignorados. No GISS deste ano, 43% dizem que nunca estiveram tão preocupados quanto agora com sua capacidade de gerenciar a ameaça cibernética. Mas não precisa ser assim.

TikTok — Segurança por design, em velocidade

Roland Cloutier, Diretor Global de Segurança (CSO) da plataforma de entretenimento e vídeo de formato curto TikTok, está profundamente envolvido na tomada de decisões estratégicas de forma iterativa, semana a semana. "Pode variar de uma estratégia para o crescimento do usuário a um novo tipo de monetização ou produto musical", diz ele. “Tudo envolve a construção e distribuição de novas tecnologias. Eu me concentro em entender as implicações de ameaças existentes e desconhecidas e, em seguida, adiciono velocidade, segurança e privacidade por design ao produto à medida que ele é construído. Em seguida, preparo a organização para as novas informações que chegam. Como fazemos isso tanto na velocidade da internet quanto na velocidade da cultura? É isso que torna esse trabalho tão divertido.”

Os hackers atingiram um novo nível de maturidade

No último ano, os agentes de ameaças adotaram cada vez mais novas estratégias, seja visando empresas com campanhas de phishing contendo software malicioso que é encaminhado por funcionários, ou incorporando código backdoor que lhes permite explorar software comercial depois que ele foi adquirido pelos clientes.

A realidade é que há mais ameaças se manifestando hoje do que já vimos. Ele foi alimentado pelo modelo de negócios de ransomware, que está provando ser muito eficaz.

As apostas não puderam ser maiores. Os hackers que fecharam o US Colonial Pipeline em maio de 2021 usaram ransomware-as-a-service que outros podem obter por meio da dark web, representando um grande risco para organizações em toda a economia e a sociedade em geral. Ao mesmo tempo, os indivíduos que se infiltraram na SolarWinds durante vários meses em 2020 o fizeram por meio de um ataque sofisticado à cadeia de suprimentos que não era familiar para as equipes de segurança.

Os hackers estão mirando em uma área crescente e suas táticas são cada vez mais imprevisíveis. Apenas um em cada três entrevistados tem confiança na capacidade de tornar a cadeia de suprimentos mais robusta ou reta, destacando a importância de trabalhar em estreita colaboração com colegas de compras e operações. Menos da metade (47%) afirma entender e que pode antecipar as estratégias que os invasores usam, um problema que foi ilustrado por incidentes nos quais os agentes de ameaças se infiltram em software que mais tarde é vendido aos clientes.  

Não é como se a necessidade de transformação rápida tivesse passado. No momento em que este artigo foi escrito, foram feitos progressos significativos na resposta à COVID-19, mas a crise passará por vários estágios antes que as empresas voltem ao “normal” – seja lá o que for.

Os empregadores estão procurando apoiar modelos de trabalho híbridos enquanto desbloqueiam o crescimento em uma economia em recuperação. Um estudo recente da EY, Work Reimagined 2021, descobriu que 54% dos entrevistados considerariam a demissão se seus empregadores recusassem a flexibilidade que procuravam. Os CISOs também devem estar cientes de que metade dos funcionários (48%) deseja investir em novas tecnologias de home office, o que abre a possibilidade de ainda mais exposição se as empresas não puderem lidar com a segurança por design.

Todos os olhos estão voltados para o CISO

Os CISOs enfrentam um momento crítico. Se eles puderem apoiar a transformação digital desde o estágio de planejamento - em um momento em que 68% dos CEOs estão planejando um grande investimento em dados e tecnologia nos próximos 12 meses, de acordo com o EY CEO Imperative Study 2021 – eles realmente se tornarão um facilitador estratégico do crescimento. Se eles não puderem desempenhar um papel mais ativo na transformação, as ameaças à segurança se acelerarão e sua posição na diretoria diminuirá.  

A equipe de liderança sênior já está preocupada com a capacidade da função de segurança de proteger a organização. Mais da metade (55%) dos entrevistados dizem que cybersecurity está sendo alvo de mais análise hoje do que em qualquer outro momento de suas carreiras. Quatro em cada 10 (39%) organizações colocam cybersecurity nas agendas de seus conselhos trimestralmente, ante 29% em 2020.

E, no entanto, no EY Global Board Risk Study 2021, apenas 9% dos conselhos declararam-se extremamente confiantes de que os riscos de cybersecurity e as medidas de mitigação apresentadas a eles podem proteger a organização de grandes ataques cibernéticos - abaixo dos 20% no ano passado.

Figura 5 do GISS

Uma oportunidade em crise

Os CISOs que podem mitigar riscos e, ao mesmo tempo, viabilizar o crescimento e as ambições tecnológicas de seus negócios, têm um futuro brilhante. A maioria reconhece isso: 57% acreditam que a crise oferece uma oportunidade para cybersecurity aumentar seu perfil.

Dave Burg pede aos CISOs que aproveitem sua maior visibilidade. "Conheço muitos executivos de segurança que foram vistos como superestrelas e queremos que esses superestrelas sejam trazidos para a frente da inovação", diz ele.

Então, os CISOs estão prontos para aproveitar a oportunidade de uma nova função de viabilizar o crescimento? Eles podem incorporar resiliência antes da próxima grande interrupção dos negócios? A resposta deve ser sim - mas somente se eles puderem primeiro abordar três desafios críticos e inter-relacionados que estão em seu caminho:

  1. A organização de cybersecurity está gravemente subfinanciada – em um momento em que precisa de financiamento e suporte flexível mais do que nunca.
  2. A fragmentação regulatória é uma dor de cabeça crescente, criando trabalho adicional e novos problemas de recursos.
  3. Os relacionamentos da equipe cybersecurity com outras funções estão se deteriorando — exatamente quando conexões mais fortes são mais necessárias.
Mulheres surfistas caminhando em direção ao mar com vista lateral de prancha de surf
(Chapter breaker)
2

Capítulo 2

Três desafios que impedem o CISO

A tempestade perfeita para cybersecurity.

1. A organização de cybersecurity de hoje é severamente subfinanciada

Apesar da crescente ameaça de ataques cibernéticos, o orçamento de cybersecurity é baixo em relação aos gastos gerais de TI. Os dados da pesquisa também sugerem que os processos de alocação de orçamento são amplamente inflexíveis, apesar da necessidade de agilidade em resposta à volatilidade da era da pandemia e da perspectiva de interrupção futura.

Kris Lovejoy

Os modelos atuais de financiamento são simplesmente inadequados para o que é, de fato, um risco existencial. Também é sintomático da falta de compreensão que muitas empresas têm de problemas cibernéticos e sua falha em implementar uma cultura de segurança por design.

Os orçamentos estão fora de sincronia com a necessidade

Na criação deste relatório, a EY realizou entrevistas qualitativas com líderes de cybersecurity e entrevistou separadamente 1.010 profissionais seniores de cybersecurity. Os entrevistados, em média, tiveram receitas de aproximadamente $11 bilhões no ano passado, enquanto gastaram uma média de apenas $5,28 milhões, ou 0,05% do total, em cybersecurity por ano.

A imagem varia de um setor para outro. Em um extremo, nos setores altamente regulamentados de serviços financeiros e tecnologia, mídia e entretenimento e telecomunicações (TMT), a média dos respondentes do GISS gastou $9,43 milhões e $9,62 milhões, respectivamente, em cybersecurity no ano passado. No outro lado do espectro, as empresas de energia gastaram, em média, apenas US$ 2,17 milhões. Também vemos diferenças por tamanho da empresa, com as menores empresas gastando uma proporção maior.

Figura 6 do GISS

Uma questão está relacionada a como o orçamento é planejado e alocado. Cerca de 6 em cada 10 (61%) entrevistados dizem que seu orçamento de segurança faz parte de uma despesa corporativa maior, como TI, com 19% relatando que isso é fixo e definido ciclicamente. Mais de um terço (37%) afirma que os custos de cybersecurity são compartilhados em toda a organização, mas apenas 15% o fazem dinamicamente, dependendo de como os recursos são usados.

Em outras palavras, poucas organizações definem seus orçamentos de segurança como um custo variável e contingente de fazer negócios. Na verdade, os CISOs podem lutar para ampliar os esforços de suas funções no contexto de iniciativas de negócios específicas e em rápida evolução.

O corte de custos cria novos pontos fracos

Os CISOs estão bem cientes das vulnerabilidades que suas organizações enfrentam devido a orçamentos inflexíveis e insuficientes.

O subfinanciamento corre o risco de violação

36%

dos entrevistados concordam que é apenas uma questão de tempo até sofrerem uma violação que poderia ter sido evitada por meio de investimento.

4 em cada 10 entrevistados (39%) sinalizam que as despesas de cybersecurity não são consideradas adequadamente no custo de investimentos estratégicos, como uma transformação da cadeia de suprimentos de TI. Mais de um terço (36%) afirma que é apenas uma questão de tempo até sofrerem uma grande violação que poderia ter sido evitada se houvesse um investimento mais apropriado em defesas de cybersecurity.

Dado como as organizações se apressaram em transformar suas operações em face da disrupção, podemos esperar que o problema se intensifique à medida que as empresas investem para apoiar o crescimento. 4 em cada 10 entrevistados (39%) alertam que o orçamento de sua organização está abaixo do necessário para gerenciar os novos desafios que surgiram nos últimos 12 meses.

Um resultado inevitável das restrições orçamentárias é que os CISOs tomam decisões difíceis e encerram algumas das atividades estratégicas que estavam em andamento antes do início da crise. Mais da metade (56%) das empresas com orçamentos insuficientes disseram que tiveram que realinhar seus requisitos de cybersecurity. E 44% dizem que foram forçados a cortar custos, concentrando-se em seu legado de arquitetura e sistemas.

Figura 8 do GISS

Uma minoria de organizações, no entanto, adota uma abordagem mais estratégica para o financiamento de cybersecurity. Na Assicurazioni Generali, uma das principais seguradoras do mundo, o diretor de segurança do grupo, Remo Marini, diz que a empresa adota uma abordagem baseada em risco para o financiamento de cybersecurity. “Construímos uma ligação direta entre investimentos em segurança, valor comercial e redução de riscos”, diz. “Nosso orçamento reflete uma atividade de planejamento sofisticada que começa com a definição de nossa estratégia, normalmente com um horizonte de três anos, e coleta informações de todas os stakeholders internas e externas relevantes.”

2. A fragmentação regulatória é uma dor de cabeça crescente para os CISOs

O ambiente de compliance global está se tornando mais complexo, com jurisdições operando em nível regional e nacional em todo o mundo. Organizações em certos setores – principalmente de serviços financeiros – também devem gerenciar a regulamentação específica do setor.

Mike Maddison, Líder de Consultoria de Cybersecurity da EY EMEIA, acredita que a regulamentação é uma preocupação crescente. “Se você é uma organização internacional, a maneira como você gerencia essas regulamentações sobrepostas – mas às vezes conflitantes – é desafiadora, especialmente quando as informações se tornam onipresentes e viajam internacionalmente.”

Um dreno de tempo e recursos preciosos

A regulamentação está reivindicando tempo que os CISOs não precisam dar. Um em cada dois (49%) alerta que garantir a conformidade pode ser a parte mais estressante de seu trabalho. 6 em cada 10 (57%) preveem que a regulação se tornará mais heterogênea, demorada e – alguns podem dizer – caótica nos próximos anos. À medida que os CISOs lutam para garantir os recursos de que precisam, um impacto em seus níveis de estresse é compreensível.

“A agenda regulatória está mais cheia a cada dia, à medida que os reguladores locais e internacionais intensificam seu foco”, confirma Marini, da Assicurazioni Generali. “Estamos vendo uma proliferação de regulamentações colocando dificuldades, particularmente para grupos internacionais. Uma estrutura padronizada e comum seria mais eficiente.”

Figura 9 do GISS

Uma preocupação adicional, pelo menos nos EUA, é que o Departamento de Justiça elevou os ataques de ransomware ao mesmo nível de prioridade do terrorismo e está coordenando as investigações por meio de uma força-tarefa em Washington. No momento da escrita, não era claro quais recursos seriam disponibilizados para organizações do setor privado que se tornariam vítimas de ataques.

A conformidade passa de amiga para inimiga do orçamento...

Houve uma mudança fundamental na forma como os CISOs consideram a conformidade, o que tem implicações preocupantes para seu relacionamento com o regulador. Na época do GISS do ano passado, os CISOs ainda estavam positivos sobre o papel da conformidade. Este ano, eles reconhecem que a conformidade mudou. Tornou-se tão fragmentada e complexa que agora é uma distração. A conformidade não é mais amiga do CISO, pois não justifica mais os orçamentos da maneira que o fez. A conformidade se tornou sua inimiga. 

Além disso, este ano os CISOs estão menos confiantes de que a regulamentação apoie os padrões aprimorados de cybersecurity nas organizações.

No GISS do ano passado, 46% dos entrevistados achavam que a conformidade gerava os comportamentos certos em seus negócios. Em 2021, esse número caiu para 35%. Ao mesmo tempo, menos de um em cada cinco (18%) entrevistados descrevem a regulamentação como uma maneira eficaz de defender seus conselhos de administração para orçamento adicional, abaixo dos 29% em 2020.

Embora os executivos seniores possam ter se tornado mais responsivos a casos de negócios que vinculam o aumento dos gastos com cybersecurity à transformação, eles parecem menos comovidos do que estavam com os avisos dos CISOs sobre a crescente carga de conformidade.

Nem todos os líderes de cybersecurity são pessimistas em relação à regulamentação. Roland Cloutier, do TikTok, diz que a regulamentação está consumindo “pelo menos 50 ou 60%” de seu tempo, mas ele continua positivo no geral. “Nossos programas estratégicos de segurança são baseados no requisito da próxima geração em torno de considerações regulatórias e proteção ao consumidor. Isso é uma coisa ótima. Estamos permitindo que nossos produtos estejam prontos para o futuro. Ele está nos ajudando a criar o conceito líder do setor de como operar como uma empresa dedicada a proteger a segurança e a privacidade de nossos usuários em todo o mundo.”

3. Os relacionamentos de Cybersecurity com outros líderes estão se deteriorando

Para gerenciar o risco cibernético associado à transformação estratégica, os CISOs precisam fornecer consultoria nos estágios iniciais da tomada de decisões de investimento. Mas as relações entre cybersecurity e outras funções do negócio, essenciais para que tais consultas ocorram, carecem de positividade e força.

Os líderes empresariais excluem o CISO

Relacionamentos fracos têm sido uma preocupação para os CISOs, mas o GISS deste ano sugere que o problema está se tornando mais comum. De acordo com a pesquisa, os líderes empresariais estão cortando a cybersecurity de conversas vitais. Cerca de seis em cada 10 (58%) dizem que sua organização às vezes implementa novas tecnologias com prazos que não permitem uma avaliação ou supervisão de cybersecurity adequada.

Dan Higgins, Líder de Tecnologia de Consultoria Global da EY, diz que os CISOs estão envolvidos no final do processo de implantação de novas tecnologias e soluções de dados. “É imperativo que os CISOs estabeleçam seu assento na mesa nas fases de arquitetura de estratégia e solução da transformação digital, quando esses riscos podem ser abordados e evitados de forma proativa”, diz ele.

É uma tendência que pode ser impulsionada do topo dos negócios. De acordo com o EY CEO Imperative Study 2021, os CEOs não descrevem mais cybersecurity como sua principal preocupação, como fizeram em 2020. Seu foco em 2021 se voltou para os desafios em torno da adoção de novas tecnologias.

A pandemia está piorando as coisas: 81% das organizações evitaram os processos cibernéticos e não consultaram as equipes de cybersecurity na fase de planejamento de novas iniciativas de negócios.

“No ambiente dinâmico que vimos durante a COVID, havia uma grande necessidade de velocidade e as organizações questionaram se as equipes de cybersecurity tinham as habilidades certas”, diz Mike Maddison. “A cultura estava certa: eles eram vistos como bloqueadores ou como as pessoas que ofereciam soluções eficazes? Enquanto haviam dúvidas sobre as respostas a essas perguntas, outras partes da organização seguiram sozinhas sem a equipe cibernética.”

Os relacionamentos são mais fracos onde precisam ser fortes

O problema é mais agudo entre as funções que serão implementadas e escalonando novas tecnologias baseadas em nuvem nos próximos meses e que, portanto, correm um forte risco de serem comprometidas por hackers que implantam ransomware.

No estudo deste ano, 41% dos entrevistados descrevem sua relação com a função de marketing como negativa, diante 36% que disseram o mesmo há um ano. Ao mesmo tempo, 28% dizem que seu relacionamento com os empresários é ruim, em comparação com 23% há um ano.

O resultado é que, enquanto mais de um terço dos entrevistados em 2020 (36%) estavam confiantes de que as equipes de cybersecurity estavam sendo consultadas na fase de planejamento de novas iniciativas de negócios, esse número caiu para 19% em 2021.

Figura 11 do GISS

O relacionamento de cybersecurity com as linhas de negócios, o desenvolvimento de produtos e o marketing são negativos, enquanto suas interações com risco, jurídico e TI são positivas. Essencialmente, os relacionamentos se tornam mais positivos para o CISO quanto mais longe do ciclo de planejamento eles ficam, o que é um problema. O cyber não está sendo envolvido onde ele mais precisaria estar para apoiar o crescimento.

Falha de comunicação

A má comunicação entre as equipes é uma barreira para o progresso. Os CISOs nos dizem que lutam para fazer com que seu pessoal articule a necessidade de consulta cibernética em termos comerciais. Além disso, a empresa pode reconhecer os pontos fortes tradicionais de cybersecurity, como o controle de riscos, mas nem sempre percebe cybersecurity como um parceiro estratégico.

“Em toda a indústria, vi uma mudança de mentalidade positiva com os conselhos reconhecendo que cybersecurity é um risco”, diz Darren Kane, diretor de segurança da NBN Co na Austrália, que participou de uma entrevista qualitativa para este relatório, mas não na pesquisa. “Mas os CISOs ainda têm mais trabalho a fazer para quebrar as barreiras de comunicação, falando em linguagem menos técnica para que os conselhos entendam melhor os riscos potenciais dos negócios.”

Menos da metade dos entrevistados (44%) está confiante na capacidade de sua equipe de falar a mesma língua que os colegas, e apenas 26% acreditam que os líderes seniores usariam esses termos para descrever a função. Apenas um em cada quatro (25%) acredita que os líderes empresariais seniores descreveriam cybersecurity como comercialmente voltada para o mercado.

Os entrevistados admitem que o resto da organização tem muito mais probabilidade de descrever a área de cybersecurity como proteção dos negócios e responder rapidamente a crises. Embora essas sejam qualidades admiráveis em si mesmas, elas precisam ser equilibradas com a capacidade de se comunicar, persuadir e construir confiança.

Nuvens dramáticas, tempestades e raios crepusculares nas grandes planícies
(Chapter breaker)
3

Capítulo 3

Próximos passos para o CISO

O CISO como facilitador de valor.

Como os CISOs devem responder aos principais desafios descritos no GISS deste ano? Que eles devem desempenhar um papel mais estratégico e comercial em suas organizações – reinventando suas equipes como facilitadores da transformação – não está em dúvida.

“Os CISOs são fundamentais para os esforços de uma organização para transformar e entregar valor a longo prazo”, diz Errol Gardner, vice-presidente global de consultoria da EY. Discutindo como os CISOs devem se posicionar como facilitadores da transformação, Gardner acrescenta: “Enquanto os CEOs estão em um caminho para realizar sua visão e transformar com sucesso seus negócios por meio da tecnologia, eles não podem se dar ao luxo de fechar os olhos para os riscos cibernéticos que isso representa”.

“Ao mesmo tempo, cabe aos CISOs garantir que os CEOs tenham a compreensão correta do valor que o investimento em cybersecurity traz e que eles reconheçam isso como parte integrante da jornada de transformação. Investir na construção de um relacionamento estratégico entre CISOs, CEOs e o restante da diretoria ajudará a garantir que os programas de transformação não sejam apenas bem-sucedidos, mas também implementados com segurança cibernética para a organização e seu pessoal”.

Mas a capacidade dos executivos de cybersecurity de exercer influência e garantir que a empresa em geral apoie seu papel crescente está longe de ser certa. Oito em cada dez conselhos acreditam que uma melhor gestão de riscos será fundamental para proteger e criar valor, de acordo com o EY Global Board Risk Study 2021, mas esperamos que a contribuição do CISO seja menos amplamente reconhecida no momento.

Nossas descobertas sugerem que os CISOs devem considerar três ações principais para fortalecer sua posição dentro da empresa: reavaliar seu alinhamento com o negócio; revisar o perfil de talentos; e focar em quatro grupos principais de partes interessadas.

É importante notar que essas ações são consistentes com a orientação que demos em nosso relatório de 2020, embora com alguma evolução no processo de pensamento subjacente. Os eventos da era da crise apenas enfatizaram sua urgência e destacaram a importância de acertá-los.

1. Chegue à “verdade fundamental” – reavalie seu alinhamento com os negócios

As equipes de cybersecurity têm sido tradicionalmente mais fortes quando se trata de avaliar suas capacidades, identificar riscos e criar roteiros para o futuro.

Os CISOs devem focar a atenção nos elementos de cybersecurity, onde muitos foram mais fracos no passado. Especificamente, eles devem procurar fortalecer seu envolvimento com os stakeholders, garantir seu alinhamento com as principais metas e objetivos de negócios e avaliar a satisfação de seus parceiros de negócios com o desempenho e a prestação de serviços de segurança.

Como seus relacionamentos com parceiros de negócios se deterioraram nos últimos anos, os CISOs podem agora não ter a visibilidade necessária para operar em sincronia com outras funções e buscar uma estratégia que se alinhe com os negócios.

Integração de negócios cibernéticos

2. Revise seu perfil de talento – mas não espere o impossível

Para responder aos desafios organizacionais destacados pela pesquisa, bem como à natureza sofisticada dos recentes ataques de alto nível, os CISOs precisam do apoio de profissionais versáteis e multiqualificados.

Um desafio é que a amplitude de habilidades necessárias na função atual está se expandindo em várias direções ao mesmo tempo. Não existe um perfil “padrão” de cybersecurity. Os CISOs precisam de indivíduos com habilidades técnicas avançadas, bem como a capacidade de construir relacionamentos entre as demais áreas das organizações. Eles precisam de pessoas apaixonadas por inovação e crescimento — que também possam detectar ameaças emergentes e encontrar falhas nas defesas.

Descrevemos abaixo alguns dos muitos perfis de executivos de cybersecurity que surgiram nos últimos anos, apesar da relativa novidade da profissão. Cada perfil tem sua própria área de foco, depende de sua própria gama de habilidades sociais e qualificações profissionais e desempenha um papel importante no atendimento às necessidades em constante mudança do negócio.

Tentar encontrar um indivíduo que possua todos esses talentos é, no entanto, como tentar recrutar um unicórnio. Uma abordagem melhor é construir uma equipe que equilibre uma combinação de disciplinas amplas, com o entendimento de que cada uma tem seus próprios pontos fortes e fracos.

Vários perfis na função atual de cybersecurity
Perfil executivo de cybersecurity Área de foco Pontos fortes Fraquezas
Especialista em segurança Tudo sobre segurança Profunda experiência no assunto Falta de perspicácia nos negócios
Defensor da tecnologia Ferramentas e soluções de tecnologia Orientado para tecnologia Pensamento isolado
Profissionais regulatórios e de risco Risco, controles e conformidade Bom para setores altamente regulamentados Falta de perspicácia tecnológica
Negócios com impacto Integração de negócios Conectividade comercial Falta de tecnologia e perspicácia de segurança
Temporizadores e divisores de trabalho Dividido entre cybersecurity e outras funções principais Economia de custos “Faz de tudo um pouco, mas nada direito”

 

Com relação à construção de relacionamentos, os CISOs precisam garantir que seus funcionários tenham maior exposição a funções como marketing, inovação e outras unidades de negócios relevantes. “O pessoal cibernético tem a reputação de ocupar os níveis do porão de um prédio de escritórios”, diz Darren Kane. “Mas como o risco cibernético agora é um dos principais riscos operacionais de qualquer empresa, as equipes cibernéticas devem sair mais e obter maior exposição a outras partes do negócio”.

3. Mude para todos os lugares – uma nova bússola de stakeholders

Os CISOs estão familiarizados com o princípio de “mudar para a esquerda”, esforçando-se para envolver a equipe de cybersecurity mais cedo no ciclo de vida de transformação e desenvolvimento de produtos.

Os desafios da COVID-19 indicam, no entanto, que mudar para a esquerda não é mais necessário. Nossa sugestão aos CISOs é que eles mudem para norte, leste, sul e oeste. Na prática, isso significa navegar pelos quatro principais grupos de stakeholders.

Abordar as preocupações da administração, no “norte”, significa focar nos relatórios e na prestação de contas, bem como no orçamento e na alocação de recursos. Mudar o foco “leste” para os reguladores é um caso de priorização de certificações e atestados, juntamente com o mapeamento regulatório. Mudar para o sul é melhorar os padrões e testes. E mudar para o oeste envolve focar na segurança e na privacidade por design, juntamente com certificações e testes contínuos.

Se os CISOs puderem se posicionar no centro desses quatro stakeholders vitais, eles estarão no lugar certo para levar sua atuação ao próximo nível de influência estratégica.

Bússola dos stakeholders

Além da tempestade

A crise da COVID-19 tem sido um alerta para os CISOs. A empresa procurou a equipe de cybersecurity para protegê-la de uma ameaça cibernética em evolução, ao mesmo tempo em que permite uma transformação urgente da tecnologia e um novo crescimento.  

Não há dúvida de que muitos CISOs aceitaram o desafio e hoje podem demonstrar a crescente importância estratégica de seu papel. Mas também seria justo sinalizar que a crise destacou as fraquezas na cybersecurity e nas áreas em que a melhoria é necessária. Especificamente, os CISOs precisam acelerar seus esforços para lidar com a segurança por design, ao mesmo tempo em que criam relacionamentos mais fortes e baseados em confiança com seus colegas de alto escalão.

Não é uma iniciativa simples ou uma ambição que pode ser alcançada dentro de um ano, mas a empresa está observando. Os CISOs precisam estar envolvidos quando os investimentos estratégicos estão sendo planejados. Cabe a eles garantir aquele assento na mesa.  

  • Mais detalhes sobre a pesquisa

    Os dados do relatório GISS deste ano são baseados em uma pesquisa com CISOs e outros líderes seniores em 1.010 organizações, realizada entre março e maio de 2021. CISOs e outros profissionais de alto escalão representavam 50% dos entrevistados; os outros eram profissionais de cybersecurity C-1. As pesquisas foram conduzidas principalmente por telefone, com uma minoria concluída online.

    Esta foi uma pesquisa global com a Europa, Oriente Médio, Índia e África (EMEIA) representando 43% dos entrevistados, as Américas 36% e a região Ásia-Pacífico 20%. Os entrevistados incluíram CISOs ou seus equivalentes dos setores de serviços financeiros, produtos de consumo e varejo, life sciences, energia, governo e tecnologia, mídia e entretenimento e telecomunicações. Cada empresa incluída nos dados deste relatório teve receitas anuais superiores a $1b.

    As comparações com 2020 representam um retrato no tempo durante 2020 e 2021, com base em perfis de amostra semelhantes ano a ano. Empresas com receitas anuais abaixo de $1b foram incluídas em 2020, mas não em 2021.

    Além da pesquisa quantitativa, a EY realizou uma série de discussões aprofundadas com líderes que são referência em cybersecurity entre abril e junho de 2021.

Resumo

A função de cybersecurity pode se tornar um facilitador vital do crescimento. Primeiro, ela precisa lidar com as deficiências orçamentárias, superar a complexidade regulatória e melhorar o relacionamento com a empresa.

Sobre este artigo

Por Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Guru da segurança cibernética. Casada, mãe de quatro filhos. Gosta de mergulho, caminhadas e retoque de móveis. Vive em McLean, VA.