Mais de 70% dos CISOs sentem que a importância da segurança da informação não é reconhecida pela liderança sênior, de acordo com a BSS.
Os CISOs afirmaram que as suas quatro maiores prioridades de investimento em 2023 são gestão da mudança (35%), resiliência da segurança da informação (34%), segurança de dados (32%) e garantia e testes de segurança da informação (32%). Estas descobertas sugerem uma certa maturidade em segurança da informação por parte de organizações de todas as dimensões, mas os princípios básicos nunca devem ser subestimados e vários desafios estão a impedir o progresso.
Má atitude em relação à segurança da informação
Dos 150 decisores de segurança da informação inquiridos, 28% dos CISOs concordaram que o valor do seu papel foi reconhecido pelo conselho de administração. 22% afirmaram que estão ativamente envolvidos na estratégia de negócios e na tomada de decisões mais amplas.
9% disseram que a segurança da informação está sempre entre as três principais prioridades da agenda das reuniões da diretoria, identificando uma preocupante falta de adesão à sua importância para operações comerciais fundamentais.
Além disso, 49% concordaram que há uma falta de adesão do nível C ao papel da segurança da informação, com 32% indo mais longe ao dizer que não há nenhuma adesão do nível C. Esta má atitude em relação à segurança da informação é destacada por notáveis 78% dos inquiridos que mencionam que incidentes de segurança de grande repercussão levaram a um aumento da dotação orçamental e do apoio – indicando investimento pelas razões erradas.
Apesar do aumento no orçamento relatado, 55% dos CISOs entrevistados dizem que se espera que gastem o seu orçamento no que está nas manchetes, e não onde é realmente necessário. Isto é problemático, dado que a prevenção, e não a reacção, é a chave para uma gestão eficaz da segurança da informação. O valor da contribuição dos CISOs sobre onde são gastos orçamentos maiores não está sendo reconhecido.
Os CISOs devem acompanhar a inovação
É fundamental que os CISOs acompanhem o grau de inovação tecnológica juntamente com o cenário de ameaças em evolução. Quando executado de forma eficaz, o gerenciamento de mudanças ajuda as organizações a planejar e desenvolver suas arquiteturas e processos de segurança, permitindo-lhes responder de forma eficaz às tentativas de ataque à segurança da informação.
Desde o projeto de transformação da nuvem até programas de mudança internacionais multipessoais na resiliência e recuperação da segurança da informação, é crucial um processo estruturado para avaliar uma proposta de mudança de sistema ou serviço.
Com projetos de mudança que exigem um nível tão elevado de organização, não é de admirar que 37% dos CISOs considerem um desafio gerir estes projetos. Esta dificuldade aumentou ainda mais para os CISOs de organizações com mais de 500 funcionários, com 51% relatando dificuldade em gerenciar projetos de mudança.
Mas, com as estruturas corretas implementadas, a armadilha de presumir que a equipe de segurança da informação simplesmente lidará com cada projeto de mudança pode ser evitada. Em suma, não se deve presumir que os recursos de segurança existentes possam consumir o esforço adicional necessário para apoiar todas as mudanças necessárias.
Falando sobre a nova pesquisa, o Diretor da BSS, Chris Wilkinson , disse: “Os CISOs precisam de um lugar à mesa. Um nível tão baixo de priorização para a segurança da informação é inaceitável num mundo de ameaças em evolução que podem resultar em penalidades financeiras e de reputação significativas.
“Os CISOs precisam ser enérgicos e usar o impacto nos negócios como munição para lhes dar vantagem na sala de reuniões para receber os recursos e investimentos de que necessitam. Já é hora de os CISOs serem reconhecidos como facilitadores vitais para as operações comerciais, com a segurança da informação como parte de todas as decisões de negócios.”
FONTE: HELP NET SECURITY