0
0
90% dos tomadores de decisão de TI afirmam que seus negócios estariam dispostos a comprometer a segurança cibernética em favor da transformação digital, produtividade ou outros objetivos. Além disso, 82% se sentiram pressionados a minimizar a gravidade dos riscos cibernéticos para seu conselho, revela um relatório Sapio Reserach.
“Os líderes de TI estão se autocensurando na frente de seus conselhos por medo de parecer repetitivos ou muito negativos, com quase um terço alegando que esta é uma pressão constante. Mas isso só perpetuará um ciclo vicioso em que o C-suite permanece ignorante de sua verdadeira exposição ao risco”, disse Bharat Mistry, diretor técnico da Tende Micro do Reino Unido.
“Precisamos falar sobre risco de uma maneira que enquadre a segurança cibernética como um impulsionador fundamental do crescimento dos negócios – ajudando a reunir líderes de TI e negócios que, na realidade, estão lutando pela mesma causa.”
“Os tomadores de decisão de TI nunca devem ter que minimizar a gravidade dos riscos cibernéticos para o Conselho. Mas eles podem precisar modificar sua linguagem para que ambos os lados se entendam”, disse Phil Gough, Chefe de Segurança e Garantia da Informação da Nuffield Health.
“Esse é o primeiro passo para alinhar a estratégia de cibersegurança de negócios, e é crucial. Articular riscos cibernéticos em termos de negócios lhes dará a atenção que merecem e ajudará o C-suite a reconhecer a segurança como um facilitador de crescimento, não um bloqueio na inovação.”
A atitude da C-suite em relação ao risco cibernético é inconsistente
A pesquisa revela que apenas 50% dos líderes de TI e 38% dos tomadores de decisão de negócios acreditam que o C-suite entende completamente os riscos cibernéticos. Embora alguns pensem que isso ocorre porque o tópico é complexo e está em constante mudança, muitos acreditam que o C-suite não se esforça o suficiente (26%) ou não quer (20%) entender.
Há também desacordo entre os líderes de TI e de negócios sobre quem é o principal responsável por gerenciar e mitigar o risco. Os líderes de TI têm quase o dobro da probabilidade que os líderes de negócios a apontar para as equipes de TI e o CISO. 49% dos entrevistados afirmam que os riscos cibernéticos ainda estão sendo tratados como um problema de TI e não como um risco comercial.
Esse atrito está causando problemas potencialmente sérios: 52% dos entrevistados concordam que a atitude de sua organização em relação ao risco cibernético é inconsistente e varia de mês para mês.
No entanto, 31% dos entrevistados acreditam que a segurança cibernética é o maior risco comercial atualmente, e 66% afirmam que tem o maior impacto de custo de qualquer risco comercial – uma opinião aparentemente conflituosa, dada a vontade geral de comprometer a segurança.
Como fazer o C-suite tomar conhecimento?
Há três maneiras principais pelas quais os entrevistados acreditam que o C-suite se sentará e tomará conhecimento do risco cibernético:
- 62% acham que seria preciso uma violação de sua organização
- 62% ajudaria se eles pudessem relatar melhor e explicar mais facilmente o risco comercial de ameaças cibernéticas
- 61% dizem que causaria impacto se os clientes começassem a exigir credenciais de segurança mais sofisticadas
“Para tornar a segurança cibernética um problema no nível do conselho, o C-suite deve vê-la como um verdadeiro facilitador de negócios”, disse Marc Walsh, Arquiteto de Segurança Empresarial da Coillte. “Isso levará os líderes de TI e segurança a articular seus desafios ao conselho na linguagem de risco comercial. E exigirá investimentos priorizados e proativos da sala de reuniões – não apenas soluções de band-aid após uma violação.”
FONTE: HELPNET SECURITY