Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Alinhar a segurança cibernética e os negócios: ninguém disse que seria fácil

A má notícia? Há uma desconexão entre negócios e segurança cibernética. A boa notícia? Alinhá-los pode fazer toda a diferença.

Se você atua como CISO, CSO ou outro tipo de líder em segurança cibernética há algum tempo, é provável que um CEO, membro do conselho ou outro executivo sênior pergunte "Até que ponto estamos seguros?" com bastante frequência, e você sabe que responder a essa pergunta não é tão fácil quanto parece.

No momento em que os riscos corporativos estão em constante mudança, como pandemias, desacelerações econômicas e trabalho remoto, as ameaças e os ataques cibernéticos que prosperam em todo o mundo não apenas amplificam cada risco, mas também colocam a segurança cibernética na pauta de discussão da diretoria. No entanto, aqueles que estão na linha de frente enfrentam uma série de desafios, tornando difícil apresentar aos líderes de negócios uma imagem clara da postura de segurança cibernética da organização.

Com o objetivo de abordar alguns desses principais desafios e ajudar os líderes de segurança a iniciar um diálogo significativo com seus colegas de negócios, a Tenable contratou a Forrester Consulting para realizar uma pesquisa on-line com 416 executivos de segurança e 425 executivos de negócios e um estudo baseado nas conclusões para examinar estratégias e práticas de segurança cibernética em empresas de médio e grande porte. O resultado do estudo, A Ascensão do Executivo de Segurança Alinhado ao Negócio, revelou uma desconexão entre as expectativas dos negócios e as realidades que os líderes de segurança enfrentam. Porém, ele também revelou a grande oportunidade única que as empresas digitais provavelmente enfrentam hoje: elevar o papel do CISO ao mesmo patamar de outras funções executivas.

O futuro pertence ao líder de segurança cibernética alinhado ao negócio

O estudo revela quatro pontos principais:

  • As ameaças à segurança cibernética prosperam em meio a um clima de incerteza, tornando-se um tópico digno de visibilidade para a diretoria. A grande maioria das organizações (94%) já sofreu um ataque cibernético ou comprometimento que afetou o negócio1 nos últimos 12 meses. Aproximadamente dois terços (65%) disseram que esses ataques envolviam ativos de tecnologia operacional (OT).

  • Os líderes de negócio querem uma imagem clara da postura de segurança cibernética de suas organizações, mas seus colegas de segurança lutam para proporcioná-la. Apenas quatro em cada dez líderes de segurança afirmam que podem responder à pergunta: "Qual é nosso nível de segurança?" com um alto nível de confiança.

  • A forma como as empresas entendem os riscos cibernéticos é diferente da forma como os gerenciam. Menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco de negócio específico. Apenas metade dos líderes de segurança (51%) afirmam que sua organização de segurança trabalha com as partes interessadas da empresa para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades da empresa. Apenas quatro em cada dez líderes de segurança (43%) relatam que revisam regularmente as métricas de desempenho da organização de segurança com as partes interessadas do negócio.

  • A segurança cibernética precisa se consolidada como uma estratégia de risco de negócios. Isso não pode acontecer até que os líderes de segurança tenham melhor visibilidade de sua superfície de ataque. Pouco mais da metade dos líderes de segurança relatam que sua organização de segurança tem uma compreensão e avaliação holísticas de toda a superfície de ataque da organização, e menos de 50% das organizações de segurança estão usando métricas contextuais de ameaças para calcular o risco cibernético de suas organizações. Isso significa que a capacidade de analisar riscos cibernéticos e priorizar e executar a correção com base na criticidade dos negócios e no contexto de ameaças é limitada.

O estudo mostra que, quando os líderes de segurança e de negócio estão alinhados com relação aos dados de risco de negócio acordados, os resultados são expressivos e podem ser comprovados.O líder de segurança alinhado ao negócio tem oito vezes mais chances do que seus pares mais isolados de estarem confiantes em sua capacidade de relatar o nível de segurança ou risco de suas organizações. Ainda mais notável no clima econômico de hoje, com uma crise econômica global, levando as organizações a reavaliar seus gastos: 85% dos líderes de segurança alinhados ao negócio têm métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios em comparação com apenas 25% de seus pares mais isolados e reativos de outras áreas.

Como Dan Bowden, o CISO da Sentara Healthcare, observou em uma entrevista com a Tenable no ano passado: "No clima atual, a sociedade volta seu foco para empresas que gerenciam melhor os riscos. As equipes de liderança e os conselhos administrativos de todas as organizações querem fazer parte da história de correção do problema. Se você conseguir fornecer dados válidos sobre a exposição e sobre o que realmente precisamos fazer, eles compreenderão os dados e conseguirão identificar-se com eles. Eles querem fazer parte da história, para ajudar você a solucionar o problema e gerenciar melhor os riscos."

Para alcançar esse alinhamento, os CISOs e outros líderes de segurança e gerenciamento de riscos precisam da combinação certa de tecnologia, dados, processos e pessoas. Por exemplo, a grande maioria das organizações alinhadas ao negócio (80%) conta com um BISO (Diretor de segurança da informação empresarial) ou cargo semelhante, em comparação com apenas 35% de seus concorrentes menos alinhados. O estudo também revelou que os líderes de segurança alinhado aos negócio superam seus pares mais reativos e isolados na automação dos principais processos de avaliação de vulnerabilidades por margens de +49 a +66 pontos percentuais.

As postagens adicionais desta série focavam nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm tanta dificuldade para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio e consideramos por que as métricas de segurança cibernética existentes são insuficientes quando os CISOs precisam se comunicar com os executivos e o conselho. Nas próximas postagens, discutiremos o que é uma prática de segurança cibernética alinhada ao negócio, e como você pode começar a estabelecer uma em sua organização. Também apresentaremos nossas dicas e recomendações para transformar sua própria função em um líder em segurança cibernética alinhado ao negócio.

1”Afetar os negócios” refere-se a um ataque cibernético ou comprometimento que resulta na perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual.

Saiba mais

  • Veja destaques adicionais do estudo aqui.
  • Acesse nossa página da Web para obter mais informações aqui.
  • Faça o download do estudo completo, A Ascensão do Executivo de Segurança Alinhado ao Negócio, aqui.
  • Leia sobre os esforços da Sentara Healthcare para conduzir discussões mais significativas com a diretoria e o conselho aqui.

Publicações relacionadas

Inscreva-se no blog da Tenable

Inscrever-se
Teste gratuito Comprar agora

Teste o Tenable.io

GRÁTIS POR 30 DIAS

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Inscreva-se agora mesmo.

Comprar o Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já
Teste gratuito Comprar agora

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano. Detalhes completos aqui.

Teste gratuito Comprar agora

Teste o Tenable.io Web Application Scanning

GRÁTIS POR 30 DIAS

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste gratuito Entre em contato com o setor de vendas

Teste o Tenable.io Container Security

GRÁTIS POR 30 DIAS

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Receba uma demonstração do Tenable.sc

Insira suas informações no formulário abaixo e um representante de vendas entrará em contato assim que possível para agendar uma demonstração. Você também pode inserir um comentário breve (limite de 255 caracteres). Os campos marcados com asterisco (*) são obrigatórios.

Teste gratuito Entre em contato com o setor de vendas

Avalie o Tenable Lumin

GRÁTIS POR 30 DIAS

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Solicite uma demonstração do Tenable.ot

Obtenha a segurança de que precisa para suas tecnologias operacionais
e reduza o risco.