Uma pesquisa recente com mais de 2 mil tomadores de decisão de segurança de TI revela que apenas 39% acham que o conselho de administração e os C-Suites de suas organizações têm uma compreensão sólida sobre o papel da segurança cibernética como um facilitador de negócios.
Publicado pela Delinea, fornecedora de soluções de gerenciamento de acesso privilegiado (PAM), o relatório também sugere que cerca de um terço (36%) dos entrevistados acredita que a segurança cibernética é considerada importante apenas em termos de conformidade e demandas regulatórias.
A desconexão entre os objetivos de negócios e de segurança parece ter causado ao menos uma consequência negativa para 89% das organizações dos entrevistados, com mais de um quarto (26%) também relatando que resultou em um aumento no número de ataques cibernéticos bem-sucedidos às suas empresas. O impacto de metas desalinhadas na segurança cibernética foi amplo, pois contribuiu para atrasos nos investimentos (35%), atrasos na tomada de decisões estratégicas (34%) e aumentos desnecessários nos gastos (27%).
Também houve consequências para os próprios indivíduos, com 31% dos entrevistados relatando que isso afetou toda a equipe de segurança em termos de estresse. Além disso, a incerteza econômica global piorou a situação, com metade dos entrevistados (48%) afirmando que alinhar a segurança cibernética e os objetivos de negócios mais amplos está se tornando mais difícil alcançar o resultado esperado.
Os processos estruturais são essenciais para alinhar metas e, de forma encorajadora, a pesquisa mostra ainda que a maioria das equipes de segurança (62%) se reúne regularmente com seus colegas de negócios no mais alto nível. Além disso, 54% das empresas também incorporaram membros da equipe de segurança nas funções de negócios. No entanto, aponta que ainda há espaço para melhorias, já que menos da metade das organizações (48%) está documentando políticas e procedimentos para facilitar o alinhamento, e mais um terço de todos os entrevistados (33%) relatou que o alinhamento é ad hoc e apenas ‘acontece quando necessário.’
O relatório também trouxe à tona que as métricas usadas para medir e demonstrar o valor que a segurança cibernética oferece ainda estão estritamente ligadas a números técnicos ou baseados em atividades. Por exemplo, o número de ataques evitados (31%) foi citado como a medida de sucesso mais importante, seguido pelo cumprimento dos objetivos de conformidade (29%) e redução dos custos de incidentes de segurança (29%).
Veja isso
CISOs dizem não ter recursos suficientes para frear ameaças
CISOs dizem que estresse tem afetado a saúde física e mental
“O alinhamento entre segurança cibernética e objetivos de negócios é essencial para o sucesso”, disse Joseph Carson, cientista-chefe de segurança e CISO consultor da Delinea. “Garantir um acordo comum entre as funções de negócios é vital, e há um valor real nas métricas que não apenas medem a atividade de segurança, mas também demonstram o impacto nos resultados dos negócios.”
Para isso, Carson ressalta que a comunicação é fundamental e, embora fortes habilidades técnicas ainda sejam importantes, os líderes de segurança precisam da capacidade de se comunicar, influenciar e apresentar o valor que agregam aos resultados de negócios com mais frequência do que nunca. “Os líderes de segurança que demonstram essa mistura de habilidades e que têm o mesmo objetivo final em vista como o negócio, são uma força a ser reconhecida.”
De forma mais geral, no entanto, Carson acredita que, embora a segurança cibernética possa ser um grande facilitador de negócios, a pesquisa mostra que ainda há algum trabalho a ser feito no nível do conselho para mudar as mentalidades. “Os líderes executivos precisam pensar na segurança cibernética não apenas em termos de conformidade ou proteção da empresa, mas também em termos do valor que ela pode oferecer em um nível mais estratégico.”