A má notícia? Há uma desconexão entre negócios e segurança cibernética. A boa notícia? Alinhá-los pode fazer toda a diferença.
Se você atua como CISO, CSO ou outro tipo de líder de segurança cibernética há algum tempo, é provável que um CEO, membro do conselho ou outro executivo sênior pergunte "Qual é nosso nível de segurança?" com bastante frequência, e você sabe que responder a essa pergunta não é tão fácil quanto parece.
No momento em que os riscos corporativos estão em constante mudança, como pandemias, desacelerações econômicas e trabalho remoto, as ameaças e os ataques cibernéticos que prosperam em todo o mundo não apenas amplificam cada risco, mas também colocam a segurança cibernética na pauta de discussão da diretoria. No entanto, aqueles que estão na linha de frente enfrentam uma série de desafios, tornando difícil apresentar aos líderes de negócios uma imagem clara da postura de segurança cibernética da organização.
Com o objetivo de abordar alguns desses principais desafios e ajudar os líderes de segurança a iniciar um diálogo significativo com seus colegas de negócios, a Tenable contratou a Forrester Consulting para realizar uma pesquisa on-line com 416 executivos de segurança e 425 executivos de negócios e um estudo baseado nas conclusões para examinar estratégias e práticas de segurança cibernética em empresas de médio e grande porte. O resultado do estudo, A Ascensão do Executivo de Segurança Alinhado ao Negócio, revelou uma desconexão entre as expectativas dos negócios e as realidades que os líderes de segurança enfrentam. Porém, ele também revelou a grande oportunidade única que as empresas digitais provavelmente enfrentam hoje: elevar o papel do CISO ao mesmo patamar de outras funções executivas.
O futuro pertence ao líder de segurança cibernética alinhado ao negócio
O estudo revela quatro pontos principais:
- As ameaças à segurança cibernética prosperam em meio a um clima de incerteza, tornando-se um tópico digno de visibilidade para a diretoria. A grande maioria das organizações (94%) já sofreu um ataque cibernético ou comprometimento que afetou o negócio* nos últimos 12 meses. Cerca de dois terços (65%) afirmaram que o ataque envolveu ativos de tecnologia operacional (OT).
- Os líderes de negócios querem uma imagem clara da postura de segurança cibernética de suas organizações, mas seus colegas de segurança têm dificuldades para apresentar uma. Apenas quatro a cada dez líderes de segurança afirmam poder responder à pergunta "Qual é nosso nível de segurança?" com um alto nível de confiança. A falta de dados consolidados e de um contexto de negócio associado aumentam os desafios enfrentados pelos tomadores de decisão de segurança cibernética.
- A forma como as empresas entendem os riscos cibernéticos é diferente da forma como os gerenciam. Menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco de negócio específico. Apenas metade dos líderes de segurança (51%) afirma que sua organização de segurança trabalha com as partes interessadas da empresa para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades da empresa. Apenas quatro em cada dez líderes de segurança (43%) relatam que revisam regularmente as métricas de desempenho da organização de segurança com as partes interessadas do negócio.
- A segurança cibernética precisa ser consolidada como uma estratégia de risco de negócio. Isso não pode acontecer até que os líderes de segurança tenham melhor visibilidade de sua superfície de ataque. Pouco mais da metade dos líderes de segurança relatam que sua organização de segurança tem uma compreensão e avaliação holísticas de toda a superfície de ataque da organização, e menos de 50% das organizações de segurança estão usando métricas contextuais de ameaças para calcular o risco cibernético de suas organizações. Isso significa que a capacidade de analisar riscos cibernéticos e priorizar e executar a correção com base na criticidade dos negócios e no contexto de ameaças é limitada.
O estudo mostra que, quando os líderes de segurança e de negócio estão alinhados com os dados de risco de negócios acordados, os resultados apresentados são significativos e evidentes. O líder de segurança alinhado ao negócio tem oito vezes mais chances do que seus pares mais isolados de estar confiante em sua capacidade de relatar o nível de segurança ou risco de suas organizações. Ainda mais notável no clima econômico de hoje, com uma crise econômica global, levando as organizações a reavaliar seus gastos:85% dos líderes de segurança alinhados ao negócio têm métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios em comparação com apenas 25% de seus pares mais isolados e reativos de outras áreas.
Como Dan Bowden, o CISO da Sentara Healthcare, observou em uma entrevista com a Tenable no ano passado: "No clima atual, a sociedade volta seu foco para empresas que gerenciam melhor os riscos. As equipes de liderança e os conselhos administrativos de todas as organizações querem fazer parte da história de correção do problema. Se você conseguir fornecer dados válidos sobre a exposição e sobre o que realmente precisamos fazer, eles compreenderão os dados e conseguirão identificar-se com eles. Eles querem fazer parte da história, para ajudar você a solucionar o problema e gerenciar melhor os riscos."
"No clima atual, a sociedade volta seu foco para empresas que gerenciam melhor os riscos. As equipes de liderança e os conselhos administrativos de todas as organizações querem fazer parte da história de correção do problema." — Dan Bowden, CISO da Sentara Healthcare
Para alcançar esse alinhamento, os CISOs e outros líderes de segurança e gerenciamento de riscos precisam da combinação certa de tecnologia, dados, processos e pessoas. Por exemplo, a grande maioria das organizações alinhadas ao negócio (80%) conta com um BISO (Diretor de segurança da informação empresarial) ou cargo semelhante, em comparação com apenas 35% de seus concorrentes menos alinhados. O estudo também revelou que os líderes de segurança alinhado aos negócio superam seus pares mais reativos e isolados na automação dos principais processos de avaliação de vulnerabilidades por margens de +49 a +66 pontos percentuais.
Nos próximos capítulos, exploraremos essas e outras descobertas do estudo e explicaremos como a Tenable pode ajudar sua organização a enfrentar os desafios de tecnologia e dados que estão por trás dessa desconexão. No Capítulo 1, nos aprofundamos nos muitos desafios que os líderes de segurança enfrentam ao responder à pergunta "Qual é nosso nível de segurança?". O Capítulo 2 apresenta uma visão dos "resumos das manchetes" de como as organizações reagiram à COVID-19 para articular como a desconexão entre a área cibernética e o negócio se manifesta na vida real. No Capítulo 3, discutimos como as métricas de segurança cibernética existentes deixam de oferecer aos CISOs e outros líderes de segurança os dados necessários para abordar os riscos ao negócio. E o Capítulo 4 e o Capítulo 5 discutem o que é uma prática de segurança cibernética alinhada ao negócio e como você pode começar a estabelecer uma em sua organização, juntamente com dicas e recomendações para transformar sua própria função em um líder de segurança cibernética alinhado ao negócio.
—Robert Huber, Chief Security Officer da Tenable *Para a finalidade deste estudo, "afetar os negócios" refere-se a um ataque cibernético ou comprometimento que resulta em uma ou mais entre as seguintes opções: perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual.Como as organizações podem calcular objetivamente o risco cibernético
Ao adotar as práticas recomendadas de gerenciamento de Cyber Exposure , as organizações podem reduzir os silos funcionais de forma mais efetiva e introduzir uma linguagem comum para discutir o risco — linguagem essa que seja compreendida pelas equipes de negócios e de segurança. Com a Tenable, as organizações conseguem avaliar, gerenciar e, em última instância, reduzir o risco cibernético em toda a superfície de ataque moderna de forma holística. A Cyber Exposure oferece os meios para que as organizações calculem objetivamente o risco cibernético — internamente e em comparação com empresas semelhantes do setor — para ajudar a embasar a tomada de decisão estratégica e alinhar melhor as iniciativas de segurança com os objetivos do negócio. Assim como outras funções têm um sistema de registro, como gerenciamento de serviços de tecnologia da informação (ITSM) para TI e gerenciamento de relacionamento com o cliente (CRM) para venda, a Tenable pode atuar como um sistema de registro para gerenciar e calcular o risco cibernético como um risco do negócio de forma efetiva.