Os membros do conselho não estão levando a segurança cibernética tão a sério quanto deveriam
A Trend Micro compartilhou os resultados de um estudo que revela desafios sistêmicos com a integração da segurança nos processos de negócios. O relatório inclui as principais formas de gerar engajamento e acordo em torno das estratégias de segurança cibernética em uma organização.
O estudo descobriu que apenas 23% das organizações priorizam o alinhamento da segurança com as principais iniciativas de negócios. Aqui estão três recomendações principais para remediar este desafio principal:
- Adicione um Business Information Security Officer (BISO) para melhorar o alinhamento da segurança do negócio.
- Crie um programa mensurável de cima para baixo para ajudar os CISOs a se comunicarem melhor com seus conselhos.
- Altere as estruturas de relatórios para que os CISOs se reportem diretamente ao CEO.
Segurança ainda vista principalmente como uma área de tecnologia
O estudo também descobriu que quando os membros do conselho são mais instruídos e engajados na função de segurança cibernética, eles fazem perguntas mais difíceis, se aprofundam nas questões e têm maior probabilidade de passar de questões técnicas para questões de negócios.
82% dos respondentes da pesquisa afirmaram que o risco cibernético aumentou nos últimos dois anos, principalmente graças ao aumento das ameaças, à expansão da superfície de ataque corporativo e ao fato de que os processos de negócios dependem mais do que nunca da tecnologia.
No entanto, apesar da rápida adoção de processos de transformação digital no ano passado, a segurança ainda é vista principalmente (41%) ou inteiramente (21%) como uma área de tecnologia.
Membros do conselho e priorização da cibersegurança
A falta de priorização da segurança cibernética é particularmente verdadeira na sala de reuniões. Embora 85% dos entrevistados afirmem que o conselho de administração está mais envolvido em decisões e estratégias de segurança do que há dois anos, muitas vezes esses executivos são atraídos passivamente por causa de uma violação importante, novos requisitos de conformidade ou a criação de um programa de segurança por um CISO .
Na verdade, 44% dos entrevistados indicaram que sua diretoria tem envolvimento limitado em muitas operações críticas de segurança cibernética. Essa falta de engajamento significa que muitos conselhos estão preparados apenas para financiar o mínimo necessário para atender aos requisitos de conformidade e proteção.
“Esforçar-se por uma segurança ‘boa o suficiente’ francamente não é bom o suficiente, dado o panorama atual de riscos cibernéticos. Este relatório reflete muitas de minhas conversas com CISOs, destacando que a falta de envolvimento da diretoria pode levar a uma higiene cibernética deficiente e à segurança que não está devidamente integrada aos processos de negócios ”, disse Ed Cabrera , diretor de segurança cibernética da Trend Micro .
“Só podemos criar uma cultura de cibersegurança se CEOs e diretores corporativos liderarem pelo exemplo. Cada funcionário deve acreditar que tem um papel na proteção da organização. ”
