A distância entre a alta direção e os desafios da segurança
Informar e contextualizar a alta direção da empresa acerca dos desafios da Segurança da Informação e da importância do investimento nesta área é uma das missões mais espinhosas dos CIOs.
Se no passado havia uma compreensão muito pequena, no nível executivo das empresas, sobre os riscos apresentados por vazamentos de informação e ciberataques, hoje existe uma preocupação muito maior sobre os danos potenciais à reputação das empresas, as possíveis ações legais e os prejuízos financeiros, o que leva os executivos a prestarem mais atenção às práticas de segurança de suas organizações.
O estudo “The Importance of Senior Executive Involvement in Breach Response”, produzido pelo Ponemon Institute, confirma que a alta direção das empresas gostaria de ser mais envolvida nas ações de segurança para ajudar a reduzir o impacto financeiro de potenciais incidentes e para proteger a marca e a reputação da empresa. Segundo o levantamento, que entrevistou quase 500 executivos nos Estados Unidos e Reino Unido para entender a importância do envolvimento do C-level das empresas no desenvolvimento de um processo eficiente de respostas a incidentes, oito aspectos foram destacados:
Comunicação e supervisão: 70% dos entrevistados disseram que problemas de comunicação são uma barreira a respostas eficientes a incidentes e 68% disseram acreditar que as organizações não possuem líderes que saibam lidar com vazamentos de dados.
Envolvimento da alta liderança: quase 80% dos entrevistados disseram que o envolvimento do C-level das empresas é necessário para que haja uma resposta eficiente a brechas de segurança e 70% concordam que a supervisão do board corporativo é um aspecto crítico. Entretanto, apenas 45% dos Conselhos de Administração são informados sobre as ações de segurança e 45% têm responsabilidade sobre os processos de resposta a incidentes.
Mais proatividade: menos da metade dos entrevistados consideram seus processos de respostas a incidentes como “maduros”. Um passo importante para tornar esses planos mais eficientes seria levar em conta o valor e a importância dos dados para a operação das empresas.
Supervisão do C-level para reduzir prejuízos: os executivos das empresas estão mais focados nas consequências de longo prazo das brechas de segurança e na estabilidade financeira da organização quando informações confidenciais ou estratégicas são roubadas. O foco da alta direção da empresa está em minimizar as perdas financeiras e evitar danos à reputação corporativa.
Colocar o tema na agenda dos executivos: 77% dos entrevistados acreditam que o Conselho de Administração da empresa deveria ser envolvido na avaliação dos riscos e 69% que o board deveria aprovar o plano de respostas a incidentes. Receber atualizações regulatórias e de governança e aprovar a cobertura de seguros contra danos são outras áreas em que o Conselho deveria ser envolvido, segundo o estudo.
O que faz com que uma brecha de segurança seja importante? Para 57% dos entrevistados, uma perda de mais de 10 mil registros de dados confidenciais ou sensíveis já configura uma brecha importante de segurança. Em termos de custos, prejuízos acima de US$ 2 milhões são considerados importantes e demandam cuidados adicionais.
Ameaças internas são mais graves: do ponto de vista dos executivos seniores das empresas, as ameaças internas, como ações de funcionários, são mais graves que riscos externos, como cibercriminosos e hacktivistas. Segundo o estudo, 42% dos entrevistados têm os riscos internos provocados por negligência como a principal preocupação, enquanto 25% citam ações de ma fé de funcionários como o maior problema.
É preciso focar as causas dos problemas: investigações forenses são essenciais para determinar a causa dos problemas de segurança para 86% dos entrevistados. Treinamento e conscientização (81%) foi outro tema muito citado pelos executivos em função, principalmente, de ações negligentes de colaboradores. O envio de relatórios ao CEO e ao board também é considerado importante como forma de mantê-los atentos a essas questões.
Aproximar a alta direção corporativa das questões relacionadas à segurança da informação faz com que o tema ganhe relevância nas decisões estratégicas e reduz a possibilidade de perdas significativas de dados que poderiam levar a prejuízos financeiros e danos à reputação da companhia.