Apesar da crescente importância da segurança cibernética, uma pesquisa recente indica que uma parcela significativa de executivos e conselhos de administração ainda não compreende completamente seu papel como um habilitador de negócios. A pesquisa, realizada pela Delinea, uma provedora líder de soluções de gerenciamento de acesso privilegiado (PAM), foi baseada nas respostas de mais de 2 mil profissionais decisores em segurança de TI.
Apenas 39% dos entrevistados acreditam que seus conselhos de administração e C-Suites têm uma compreensão adequada do papel da segurança cibernética no contexto empresarial. Além disso, aproximadamente um terço (36%) percebe que a importância da segurança cibernética é reconhecida apenas em relação à conformidade e às demandas regulatórias.
Essa falta de sincronização entre os objetivos de negócios e os de segurança tem tido consequências negativas para 89% das organizações entrevistadas. Isso se reflete em um aumento no número de ataques cibernéticos bem-sucedidos relatados por 26% dos entrevistados, além de retardos nos investimentos (35%), atrasos na tomada de decisões estratégicas (34%) e elevação desnecessária dos gastos (27%).
Ricardo Esper, especialista em segurança da informação da NESS, ressalta que esse cenário precisa mudar. “A segurança cibernética não deve ser vista apenas como um requisito de conformidade ou proteção da empresa. Seus benefícios vão além disso, atuando como um facilitador estratégico nos negócios", afirma Esper.
Os entrevistados também relataram que a situação atual afetou adversamente as equipes de segurança, com 31% indicando um aumento nos níveis de estresse. A incerteza econômica global adicionou um desafio extra, com 48% dos entrevistados dizendo que alcançar o alinhamento entre a segurança cibernética e os objetivos de negócios está se tornando ainda mais difícil.
A pesquisa da Delinea também revelou que a maior parte das equipes de segurança (62%) se reúne regularmente com seus colegas de negócios em nível sênior e que 54% das empresas incorporaram membros da equipe de segurança em funções de negócios. No entanto, apenas 48% das organizações estão documentando políticas e procedimentos para facilitar o alinhamento e um terço (33%) dos entrevistados afirmou que o alinhamento é ad hoc e ocorre apenas "quando necessário".
Esper sublinha a importância da comunicação adequada para resolver essas questões. "Embora habilidades técnicas fortes ainda sejam essenciais, os líderes de segurança precisam ser capazes de comunicar, influenciar e demonstrar o valor que a segurança cibernética adiciona aos resultados de negócios", acrescenta.
Em relação às métricas utilizadas para avaliar e demonstrar o valor da segurança cibernética, a pesquisa mostrou que a maioria ainda está intimamente ligada a indicadores técnicos ou baseados em atividades. Por exemplo, o número de ataques cibernéticos evitados foi mencionado por 31% dos entrevistados como a métrica de sucesso mais importante, seguido pela conformidade com os objetivos regulatórios (29%) e a redução dos custos de incidentes de segurança (29%).
Esper argumenta que, embora essas métricas sejam importantes, é fundamental que as organizações também se concentrem em indicadores que demonstrem o impacto da segurança cibernética nos resultados dos negócios. "As métricas devem evoluir para refletir o valor estratégico da segurança cibernética, não apenas os aspectos técnicos", explica.
Mônica Yoshida, sócia da Trustness, ecoa a opinião de Esper. "A comunicação é crucial. Os líderes de segurança que são capazes de apresentar o valor que a segurança cibernética agrega aos resultados de negócios são uma força a ser reconhecida", afirma Carson.
No entanto, Yoshida acredita que ainda há trabalho a ser feito no nível do conselho para mudar mentalidades. "Os executivos precisam pensar na segurança cibernética não apenas em termos de conformidade ou proteção da empresa, mas também em termos do valor que ela pode oferecer em um nível mais estratégico", conclui.
Em resumo, apesar da crescente importância da segurança cibernética, ainda há um longo caminho a percorrer para garantir que os executivos e os conselhos de administração compreendam plenamente o seu papel estratégico. Uma abordagem mais integrada e uma compreensão mais profunda do valor que a segurança cibernética pode proporcionar aos negócios são necessárias para enfrentar os desafios do cenário de ameaças cibernéticas em constante evolução.