Uma pesquisa com 645 conselhos de administração realizada pela PwC descobriu que quase metade (49%) ainda vê a segurança cibernética como um desafio. O levantamento revela, no entanto, que quase três quartos (64%) dos membros de conselhos aumentaram a quantidade de tempo dedicado à segurança cibernética, com 46% relatando que gastaram horas estudando questões de segurança cibernética. Mais de um terço (38%) disse ter consultado especialistas terceirizados. Pouco mais de um terço (35%) também aumentou o número de reuniões com CISOs.
Matt Gorham, líder do Cyber & Privacy Innovation Institute da PwC, disse que a pesquisa, publicada na semana passada, mostra que está havendo progresso em termos de conscientização entre os membros de conselhos sobre os problemas de segurança cibernética que as organizações enfrentam, mas ainda há muito trabalho a ser feito.
Um total de 87% disse que os materiais pré-lidos e apresentações sobre segurança cibernética fornecidos pelas equipes de gestão foram eficazes. No entanto, apenas cerca de metade examinou resultados de testes de planos de prevenção a incidentes (56%), avaliações de maturidade de programas de segurança cibernética (53%) ou avaliações de risco de terceiros (50%).
“Com a Comissão de Valores Mobiliários (SEC) dos EUA propondo mudanças fundamentais no nível de responsabilidade de segurança cibernética das empresas públicas, é evidente que ainda há trabalho a ser feito em termos do nível de experiência em segurança cibernética trazido para o nível do conselho”, observou Gorham.
Os membros de conselhos devem pedir às organizações que simplifiquem seus ambientes de TI o máximo possível para torná-los mais fáceis de proteger, acrescentou ele. Além disso, as estratégias de computação em nuvem devem ser avaliadas para garantir que as melhores práticas de segurança cibernética estejam sendo seguidas, observou o consultor.
Por fim, os conselhos devem revisar as ferramentas usadas para garantir que as táticas e técnicas mais recentes adotadas pelos cibercriminosos possam ser frustradas, disse ele. Isso é especialmente crítico à medida que os avanços em inteligência artificial (IA) são rapidamente feitos que, em diferentes graus, beneficiam tanto atacantes quanto defensores, acrescentou Gorham. Na verdade, as organizações estão agora em uma corrida armamentista de segurança cibernética.
Veja isso
Alinhamento entre conselhos e CISOs cresce, mas com entraves
Conselhos do Brasil têm forte confiança nos CISOs
A SEC não chegou a tornar os diretores pessoalmente responsáveis pela segurança cibernética, mas está claro que o governo Biden está comprometido em tornar as regulamentações relativas à segurança cibernética mais rigorosas. Como tal, os conselhos de administração serão obrigados a avaliar o impacto que esses regulamentos terão nos interesses dos acionistas.
É claro que não é provável que todos os membros de um conselho sejam especialistas em segurança cibernética, mas deve haver ao menos um membro capaz de fazer uma avaliação perspicaz das práticas de segurança de uma organização. A segurança cibernética ainda é frequentemente vista como um custo a ser limitado, em vez de um facilitador de negócios. Há também uma tendência natural dos membros de conselhos de superestimar uma potencial nova oportunidade de negócios e, ao mesmo tempo, subestimar os potenciais riscos de segurança cibernética.
Não está claro quanto impacto um conselho mais experiente em segurança cibernética pode ter no dia a dia dos profissionais de segurança cibernética, mas deveria, no mínimo, haver uma avaliação honesta dos recursos disponíveis. “Todo profissional de cibersegurança já sabe que as chances estão empilhadas contra eles. Eles desejam que todos os outros apreciem esse simples fato na próxima vez que uma grande violação ocorrer”, finaliza Gorham.
Para ter acesso ao relatório na íntegra, em inglês, clique aqui.
