Apenas 5% das empresas possuem um especialista em segurança cibernética com assento no conselho de administração, apesar de inúmeros estudos comprovarem existir uma forte correlação entre uma robusta proteção dos sistema e um desempenho financeiro significativamente superior, segundo um novo relatório da Diligent e Bitsight.
De acordo com o relatório deste ano, houve uma variação significativa entre os países no que diz respeito à proporção de organizações com um especialista em segurança cibernética com assento no conselho, variando de 10% em França a apenas 1% no Canadá.
O estudo observou uma melhoria significativa no desempenho da segurança cibernética quando esses especialistas são integrados em comitês especializados de risco. As empresas com um profissional especializado em um comitê de auditoria ou de risco obtiveram pontuação média de desempenho de segurança de 700 em uma escala que vai até 900, na comparação com uma pontuação de 580 de empresas que não têm um especialista em cibersegurança nesses comitês.
A classificação média de segurança para empresas com comitês especializados foi de 730 e para aquelas apenas com comitês de auditoria, 720. Isso na comparação com uma classificação de 660 para empresas sem ambos os tipos de comitês.
Os países onde as empresas tinham maior probabilidade de ter comitês de risco especializados foram a Austrália (90%), Reino Unido (48%), Canadá (45%) e França (38%). Isso tem forte correlação com a classificação média geral de segurança por país, com o Canadá, EUA, Austrália, Reino Unido e França constituindo os cinco primeiros entre os sete países analisados.
O estudo verificou uma melhoria significativa no desempenho da segurança cibernética quando especialistas são integrados aos comitês especializados de risco.
As empresas com especialistas cibernéticos num comité de auditoria ou de risco especializado obtiveram uma pontuação média de desempenho de segurança de 700 num máximo de 900, em comparação com uma pontuação de 580 para as empresas que não têm um especialista cibernético nesses comités.
A classificação média de segurança para empresas com comités especializados foi de 730 e para aquelas com apenas comités de auditoria, 720. Isto em comparação com uma classificação de 660 para empresas sem ambos os tipos de comités.
Os países onde as empresas tinham maior probabilidade de ter comités de risco especializados eram Austrália (90%), Reino Unido (48%), Canadá (45%) e França (38%). Isto está fortemente correlacionado com a classificação média geral de segurança por país, com o Canadá, EUA, Austrália, Reino Unido e a França constituindo os cinco primeiros entre os sete países analisados.
As pontuações das classificações de segurança são baseadas em medições da Bitsight relacionadas à capacidade das organizações de prevenir incidentes de segurança cibernética ao longo do tempo, que variam de 250 a 900. Os dados são coletados em 23 vetores de risco, incluindo infecções por botnets, cadência de patches, segurança de aplicativos móveis e portas abertas. As empresas com classificações como “avançadas” (pontuação de 740 a 900) tiveram desempenho financeiro muito mais forte do que as empresas com classificações tidas como “básicas” (pontuação de 250 a 630).
Durante um período de três anos, o retorno total médio para os acionistas (TSR) de empresas com classificações avançadas de desempenho foi de 67%, na comparação com 14% para empresas com classificações básicas — mais de quatro vezes mais. Além disso, ao longo de cinco anos, as empresas da faixa de desempenho avançado tiveram um TSR médio de 71%, enquanto as da faixa de desempenho básico tiveram um TSR médio de 37%.
O relatório apresentou vários fatores potenciais que poderiam explicar esta correlação, incluindo:
• Algumas das empresas com altas pontuações de segurança cibernética estão em setores de alto crescimento, como tecnologia;
• As empresas no segmento de desempenho de segurança avançado também possuem fundamentos de governança robustos;
Veja isso
CISO: como provar o valor da cibersegurança para o board
PwC: maioria dos conselhos ainda vê segurança como custo
Keith Fenner, vice-presidente sênior e gerente geral da região EMEA (Europa, Oriente Médio e África) da Diligent, disse que as descobertas ressaltam a necessidade de os conselhos de administração e líderes empresariais desenvolverem competência em torno do risco cibernético, já que a área agora é um indicador-chave do desempenho financeiro.
“Essas descobertas mostram que a segurança cibernética não é apenas um problema de TI — é um risco empresarial que tem impacto material no desempenho de curto prazo e na saúde de longo prazo de uma empresa, e que a administração e o conselho precisam estar atualizados”, acrescentou.
O relatório concluiu que as indústrias altamente regulamentadas tendem a superar outros setores nas medidas de desempenho de segurança cibernética. A área de saúde, por exemplo, teve a pontuação média mais alta em segurança, seguida por energia, serviços públicos e finanças. O setor financeiro teve a maior proporção de organizações na faixa de desempenho de segurança avançada, com 33%. Seguiram-se os setores de cuidados de saúde (18%), a indústria (10%), a tecnologia da informação (9%) e o de consumo (9%).
Para acessar o relatório completo da Diligent (em inglês) clique aqui.