0
0
Questões culturais e sistêmicas podem estar deixando sua organização vulnerável.
Muitos líderes empresariais ainda acreditam que a segurança cibernética é um problema que pode ser resolvido se investirem dinheiro suficiente e contratarem as pessoas certas com o conhecimento técnico certo que os manterão fora das manchetes.
Na verdade, muitas vezes são questões sistêmicas e culturais entre executivos de TI e não-TI, não competência técnica ou financiamento, que deixam as organizações expostas a ataques de cibersegurança.
“Essas questões apresentam oportunidades para que CIOs e CISOs repensem como eles envolvem executivos seniores não-TI para priorizar a segurança”, diz Paul Proctor, analista de VP distinto da Gartner.
Você pode reduzir o risco de ataques cibernéticos abordando essas principais causas de falha dentro de sua organização.
1. Risco sistêmico invisível
As empresas tomam decisões todos os dias que afetam negativamente sua prontidão de segurança: por exemplo, recusando-se a desligar um servidor para corrigir adequadamente ou optando por continuar trabalhando em hardware e software antigos para economizar orçamento. Essas decisões não relatadas levam a uma falsa sensação de segurança e aumentam a probabilidade e a gravidade de um incidente.
Ação: Reconhecer, relatar e discutir o risco sistêmico como parte da governança de segurança normal.
2. Desconexão cultural
Os executivos não-DES ainda vêem a segurança como algo que está “apenas lá”, como ar ou água. Isso significa que não é considerado parte das decisões de negócios. Por exemplo, é improvável que um líder de negócios que solicite um novo aplicativo inclua “prontidão de segurança” como requisito.
Ação: Coloque a segurança cibernética em um contexto de negócios para que os executivos possam ver o impacto de suas decisões.
3. Jogando dinheiro no problema
Você não pode comprar sua saída – não importa o que você gaste, você não estará perfeitamente protegido contra ataques cibernéticos. Ao tentar parar todas as atividades de risco, você provavelmente prejudicará a capacidade de funcionamento da sua organização.
Ação: Evite o excesso de investimento em segurança que aumente os custos operacionais, mas danifique a capacidade da organização de alcançar resultados de negócios.
4. Segurança como “defensor”
Se os agentes de segurança são tratados como (e agem como) defensores da organização, isso cria uma cultura de não. Por exemplo, eles podem bloquear a liberação de um aplicativo crítico devido a preocupações de segurança sem considerar os resultados dos negócios que o aplicativo suporta.
Ação: Posicione a segurança como a função que equilibra a necessidade de proteger com a necessidade de executar o negócio.
5. Prestação de contas quebrada
A responsabilização deve significar que a decisão de aceitar o risco é defensável para as partes interessadas-chave. Se a responsabilidade significa que alguém será demitido se algo der errado, ninguém se envolverá.
Ação: Recompense aqueles que tomam decisões que melhor equilibrem a necessidade de proteger com a necessidade de executar o negócio.
6. Declarações de apetite ao risco mal formadas
As organizações criam declarações genéricas de alto nível sobre seu apetite de risco que não suportam uma boa tomada de decisão. Evite prometer apenas se envolver em atividades de baixo risco, pois isso pode criar risco sistêmico invisível.
Ação: Criar mecanismos que permitam a aceitação de riscos dentro de parâmetros definidos.
7. Expectativas sociais irreais
Quando um incidente de segurança que atrai manchetes acontece, a sociedade só quer cabeças para rolar. Embora isso não seja justo, é o resultado de décadas tratando a segurança como uma caixa preta. Ninguém entende como realmente funciona e, como resultado, quando um incidente ocorre, a suposição é que alguém deve ter cometido um erro.
No entanto, a sociedade não vai mudar até que organizações e departamentos de TI comecem a tratar e falar sobre segurança de forma diferente.
Ação: Seja vocal sobre equilibrar a necessidade de proteger com a necessidade de executar o negócio em vez de bode expiatório.
8. Falta de transparência
Alguns conselhos e executivos seniores simplesmente não querem ouvir ou reconhecer que a segurança não é perfeita. As apresentações do conselho estão repletas de boas notícias sobre o progresso que tem sido feito na segurança, com pouca ou nenhuma discussão sobre lacunas e oportunidades de melhoria. Sabemos de uma empresa que até decidiu transferir a segurança sob assessoria jurídica para que as discussões sejam privilegiadas.
Ação: Para enfrentar os desafios, os executivos de TI e não-TI devem estar dispostos a entender e falar sobre as realidades e limitações de como a segurança funciona.
FONTE: GARTNER