Alinhar a segurança cibernética e os negócios: ninguém disse que seria fácil

A má notícia? Há uma desconexão entre negócios e segurança cibernética. A boa notícia? Alinhá-los pode fazer toda a diferença.

Se você atua como CISO, CSO ou outro tipo de líder em segurança cibernética há algum tempo, é provável que um CEO, membro do conselho ou outro executivo sênior pergunte "Até que ponto estamos seguros?" com bastante frequência, e você sabe que responder a essa pergunta não é tão fácil quanto parece.

No momento em que os riscos corporativos estão em constante mudança, como pandemias, desacelerações econômicas e trabalho remoto, as ameaças e os ataques cibernéticos que prosperam em todo o mundo não apenas amplificam cada risco, mas também colocam a segurança cibernética na pauta de discussão da diretoria. No entanto, aqueles que estão na linha de frente enfrentam uma série de desafios, tornando difícil apresentar aos líderes de negócios uma imagem clara da postura de segurança cibernética da organização.

Com o objetivo de abordar alguns desses principais desafios e ajudar os líderes de segurança a iniciar um diálogo significativo com seus colegas de negócios, a Tenable contratou a Forrester Consulting para realizar uma pesquisa on-line com 416 executivos de segurança e 425 executivos de negócios e um estudo baseado nas conclusões para examinar estratégias e práticas de segurança cibernética em empresas de médio e grande porte. O resultado do estudo, A Ascensão do Executivo de Segurança Alinhado ao Negócio, revelou uma desconexão entre as expectativas dos negócios e as realidades que os líderes de segurança enfrentam. Porém, ele também revelou a grande oportunidade única que as empresas digitais provavelmente enfrentam hoje: elevar o papel do CISO ao mesmo patamar de outras funções executivas.

O futuro pertence ao líder de segurança cibernética alinhado ao negócio

O estudo revela quatro pontos principais:

• As ameaças à segurança cibernética prosperam em meio a um clima de incerteza, tornando-se um tópico digno de visibilidade para a diretoria. A grande maioria das organizações (94%) já sofreu um ataque cibernético ou comprometimento que afetou o negócio¹ nos últimos 12 meses. Aproximadamente dois terços (65%) disseram que esses ataques envolviam ativos de tecnologia operacional (OT).

• Os líderes de negócio querem uma imagem clara da postura de segurança cibernética de suas organizações, mas seus colegas de segurança lutam para proporcioná-la. Apenas quatro em cada dez líderes de segurança afirmam que podem responder à pergunta: "Qual é nosso nível de segurança?" com um alto nível de confiança.

• A forma como as empresas entendem os riscos cibernéticos é diferente da forma como os gerenciam. Menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco de negócio específico. Apenas metade dos líderes de segurança (51%) afirmam que sua organização de segurança trabalha com as partes interessadas da empresa para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades da empresa. Apenas quatro em cada dez líderes de segurança (43%) relatam que revisam regularmente as métricas de desempenho da organização de segurança com as partes interessadas do negócio.

• A segurança cibernética precisa se consolidada como uma estratégia de risco de negócios. Isso não pode acontecer até que os líderes de segurança tenham melhor visibilidade de sua superfície de ataque. Pouco mais da metade dos líderes de segurança relatam que sua organização de segurança tem uma compreensão e avaliação holísticas de toda a superfície de ataque da organização, e menos de 50% das organizações de segurança estão usando métricas contextuais de ameaças para calcular o risco cibernético de suas organizações. Isso significa que a capacidade de analisar riscos cibernéticos e priorizar e executar a correção com base na criticidade dos negócios e no contexto de ameaças é limitada.

O estudo mostra que, quando os líderes de segurança e de negócio estão alinhados com relação aos dados de risco de negócio acordados, os resultados são expressivos e podem ser comprovados.O líder de segurança alinhado ao negócio tem oito vezes mais chances do que seus pares mais isolados de estarem confiantes em sua capacidade de relatar o nível de segurança ou risco de suas organizações. Ainda mais notável no clima econômico de hoje, com uma crise econômica global, levando as organizações a reavaliar seus gastos: 85% dos líderes de segurança alinhados ao negócio têm métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios em comparação com apenas 25% de seus pares mais isolados e reativos de outras áreas.

Como Dan Bowden, o CISO da Sentara Healthcare, observou em uma entrevista com a Tenable no ano passado: "No clima atual, a sociedade volta seu foco para empresas que gerenciam melhor os riscos. As equipes de liderança e os conselhos administrativos de todas as organizações querem fazer parte da história de correção do problema. Se você conseguir fornecer dados válidos sobre a exposição e sobre o que realmente precisamos fazer, eles compreenderão os dados e conseguirão identificar-se com eles. Eles querem fazer parte da história, para ajudar você a solucionar o problema e gerenciar melhor os riscos."

Para alcançar esse alinhamento, os CISOs e outros líderes de segurança e gerenciamento de riscos precisam da combinação certa de tecnologia, dados, processos e pessoas. Por exemplo, a grande maioria das organizações alinhadas ao negócio (80%) conta com um BISO (Diretor de segurança da informação empresarial) ou cargo semelhante, em comparação com apenas 35% de seus concorrentes menos alinhados. O estudo também revelou que os líderes de segurança alinhado aos negócio superam seus pares mais reativos e isolados na automação dos principais processos de avaliação de vulnerabilidades por margens de +49 a +66 pontos percentuais.

¹”Afetar os negócios” refere-se a um ataque cibernético ou comprometimento que resulta na perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual.

Leia a série do blog: Como tornar-se um líder de segurança cibernética alinhado ao negócio

As postagens anteriores desta série focavam nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm tanta dificuldade para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio, discutimos por que as métricas de segurança cibernética existentes são insuficientes para comunicar o risco cibernético e exploramos cinco etapas para chegar a um alinhamento com o negócio. e fornecemos uma visão sobre um dia na vida de um líder de segurança cibernética alinhado ao negócio.

Saiba mais

• Veja destaques adicionais do estudo aqui.
• Acesse nossa página da Web para obter mais informações aqui.
• Faça o download do estudo completo, A Ascensão do Executivo de Segurança Alinhado ao Negócio, aqui.
• Leia sobre os esforços da Sentara Healthcare para conduzir discussões mais significativas com a diretoria e o conselho aqui.