<img height="1" width="1" src="https://www.facebook.com/tr?id=1902477713099717&amp;ev=PageView &amp;noscript=1">
Tempo de leitura 2min
NEC
30 jun 2016

A distância entre a alta direção e os desafios da segurança

Informar e contextualizar a alta direção da empresa acerca dos desafios da Segurança da Informação e da importância do investimento nesta área é uma das missões mais espinhosas dos CIOs.

Se no passado havia uma compreensão muito pequena, no nível executivo das empresas, sobre os riscos apresentados por vazamentos de informação e ciberataques, hoje existe uma preocupação muito maior sobre os danos potenciais à reputação das empresas, as possíveis ações legais e os prejuízos financeiros, o que leva os executivos a prestarem mais atenção às práticas de segurança de suas organizações.

O estudo “The Importance of Senior Executive Involvement in Breach Response”, produzido pelo Ponemon Institute, confirma que a alta direção das empresas gostaria de ser mais envolvida nas ações de segurança para ajudar a reduzir o impacto financeiro de potenciais incidentes e para proteger a marca e a reputação da empresa. Segundo o levantamento, que entrevistou quase 500 executivos nos Estados Unidos e Reino Unido para entender a importância do envolvimento do C-level das empresas no desenvolvimento de um processo eficiente de respostas a incidentes, oito aspectos foram destacados:

Comunicação e supervisão: 70% dos entrevistados disseram que problemas de comunicação são uma barreira a respostas eficientes a incidentes e 68% disseram acreditar que as organizações não possuem líderes que saibam lidar com vazamentos de dados.

Envolvimento da alta liderança: quase 80% dos entrevistados disseram que o envolvimento do C-level das empresas é necessário para que haja uma resposta eficiente a brechas de segurança e 70% concordam que a supervisão do board corporativo é um aspecto crítico. Entretanto, apenas 45% dos Conselhos de Administração são informados sobre as ações de segurança e 45% têm responsabilidade sobre os processos de resposta a incidentes.

Mais proatividade: menos da metade dos entrevistados consideram seus processos de respostas a incidentes como “maduros”. Um passo importante para tornar esses planos mais eficientes seria levar em conta o valor e a importância dos dados para a operação das empresas.

Supervisão do C-level para reduzir prejuízos: os executivos das empresas estão mais focados nas consequências de longo prazo das brechas de segurança e na estabilidade financeira da organização quando informações confidenciais ou estratégicas são roubadas. O foco da alta direção da empresa está em minimizar as perdas financeiras e evitar danos à reputação corporativa.

Colocar o tema na agenda dos executivos: 77% dos entrevistados acreditam que o Conselho de Administração da empresa deveria ser envolvido na avaliação dos riscos e 69% que o board deveria aprovar o plano de respostas a incidentes. Receber atualizações regulatórias e de governança e aprovar a cobertura de seguros contra danos são outras áreas em que o Conselho deveria ser envolvido, segundo o estudo.

O que faz com que uma brecha de segurança seja importante? Para 57% dos entrevistados, uma perda de mais de 10 mil registros de dados confidenciais ou sensíveis já configura uma brecha importante de segurança. Em termos de custos, prejuízos acima de US$ 2 milhões são considerados importantes e demandam cuidados adicionais.

Ameaças internas são mais graves: do ponto de vista dos executivos seniores das empresas, as ameaças internas, como ações de funcionários, são mais graves que riscos externos, como cibercriminosos e hacktivistas. Segundo o estudo, 42% dos entrevistados têm os riscos internos provocados por negligência como a principal preocupação, enquanto 25% citam ações de ma fé de funcionários como o maior problema.

É preciso focar as causas dos problemas: investigações forenses são essenciais para determinar a causa dos problemas de segurança para 86% dos entrevistados. Treinamento e conscientização (81%) foi outro tema muito citado pelos executivos em função, principalmente, de ações negligentes de colaboradores. O envio de relatórios ao CEO e ao board também é considerado importante como forma de mantê-los atentos a essas questões.

Aproximar a alta direção corporativa das questões relacionadas à segurança da informação faz com que o tema ganhe relevância nas decisões estratégicas e reduz a possibilidade de perdas significativas de dados que poderiam levar a prejuízos financeiros e danos à reputação da companhia.

 

NEC Zero Trust

Inscreva-se e receba mais conteúdos como este!