Mais da metade dos executivos do alto escalão (62%) das empresas admite que falhas de comunicação entre o departamento de TI ou equipe de segurança de TI resultou em ao menos um incidente de segurança cibernética em suas organizações.
Em termos de atitudes pessoais, a maioria dos executivos que não são de TI citou uma diminuição do senso de cooperação entre equipes diferentes (34%) e disse que essa situação os faz questionar as habilidades e habilidades de seus colegas quando a comunicação com seus funcionários de segurança de TI não é clara ( 33%).
Pesquisa recente da Forrester diz que as empresas gastam em média 37 dias e US$ 2,4 milhões para detectar e se recuperar de uma violação de segurança cibernética. Para determinar o quanto o entendimento mútuo entre executivos e equipes de segurança da informação afeta a resiliência cibernética de uma empresa, a Kaspersky realizou uma pesquisa global com mais de 1.300 líderes empresariais.
De acordo com os resultados do estudo, 98% dos entrevistados que não são de TI tiveram falhas de comunicação em relação à segurança de TI. No que diz respeito às consequências, na maioria das vezes uma falha na comunicação leva a sérios atrasos nos projetos (67%) e incidentes de cibersegurança (62%). Quase um terço dos entrevistados (30% e 27%, respectivamente) disse que já havia se deparado com esses problemas mais de uma vez. Entre outros efeitos negativos estão o orçamento desperdiçado, a perda de um funcionário valioso e a deterioração do relacionamento entre as equipes — situações que ocorreram com 61% dos entrevistados.
Além de piorar os indicadores de negócios, a comunicação pouco clara com os funcionários de segurança de TI também afeta o estado emocional da equipe e faz com que os executivos questionem as competências e habilidades dos funcionários de segurança de TI. Além disso, 28% dos executivos admitem que os mal-entendidos os fazem perder a confiança na segurança do negócio e 26% deles acham que essa situação os deixa nervosos, o que afeta seu desempenho no trabalho.
“Uma comunicação clara entre os executivos de uma empresa e o gerenciamento de segurança de TI é um pré-requisito para a segurança dos negócios corporativos”, comenta Alexey Vovk, chefe de segurança da informação da Kaspersky.
“O desafio aqui é se colocar no lugar do outro, antecipar e prevenir desentendimentos graves. Isso significa que, por um lado, os CISOs devem conhecer a linguagem empresarial básica para melhor explicar os riscos existentes e a necessidade de medidas de segurança. Por outro lado, uma empresa também deve entender que a segurança da informação no século 21 é parte integrante dos negócios e o orçamento para isso é um investimento na proteção dos ativos da empresa”, acrescenta Vovk.
Veja isso
Complexidades da autenticação sobrecarregam as equipes
Como as equipes de cyber priorizam os riscos
Para tornar mais transparente a comunicação entre a segurança de TI e as funções de negócios dentro da empresa, a Kaspersky recomenda os seguintes passos:
• Compreender os profissionais de outra esfera requer não apenas empatia, mas também conhecimentos adicionais. Embora os profissionais de segurança de TI possam obter mais informações sobre termos e conceitos básicos de negócios em vários cursos de treinamento, os executivos que não são de TI têm a oportunidade de se colocar no lugar de um CISO para obter insights sobre os desafios de segurança de TI mais relevantes.
• Tanto os gerentes de TI quanto os que não são de TI não devem se fechar em uma “bolha de informações” profissional. Estar ciente da agenda nos mundos dos negócios e da segurança cibernética é outra chave para uma comunicação bem-sucedida e entendimento mútuo entre eles.
• Os especialistas em segurança cibernética devem usar argumentos confiáveis e compreensíveis ao comunicar suas necessidades ao conselho e justificar seu orçamento de segurança cibernética. Use informações sobre as ameaças e medidas de segurança mais relevantes para seu setor específico e tamanho da empresa para comprovar a probabilidade de riscos e as medidas de proteção necessárias. Recursos como a Calculadora de segurança de TI e relatórios baseados em observações de especialistas podem facilitar significativamente essa tarefa.
• Hoje, quando as ameaças cibernéticas estão se tornando cada vez mais relevantes e as empresas são obrigadas a aumentar seus orçamentos de segurança da informação, é extremamente importante alocar investimentos em segurança cibernética para ferramentas com eficácia e ROI comprovados. Isso significa que ferramentas que diminuem o nível de falsos positivos e reduzem o tempo de detecção de ataques, o tempo gasto por caso e outras métricas são importantes para qualquer equipe de segurança de TI.