Os membros do conselho não estão levando a segurança cibernética tão a sério quanto deveriam

O estudo descobriu que apenas 23% das organizações priorizam o alinhamento da segurança com as principais iniciativas de negócios. Aqui estão três recomendações principais para remediar este desafio principal:

• Adicione um Business Information Security Officer (BISO) para melhorar o alinhamento da segurança do negócio.
• Crie um programa mensurável de cima para baixo para ajudar os CISOs a se comunicarem melhor com seus conselhos.
• Altere as estruturas de relatórios para que os CISOs se reportem diretamente ao CEO.

Segurança ainda vista principalmente como uma área de tecnologia

O estudo também descobriu que quando os membros do conselho são mais instruídos e engajados na função de segurança cibernética, eles fazem perguntas mais difíceis, se aprofundam nas questões e têm maior probabilidade de passar de questões técnicas para questões de negócios.

82% dos respondentes da pesquisa afirmaram que o risco cibernético aumentou nos últimos dois anos, principalmente graças ao aumento das ameaças, à expansão da superfície de ataque corporativo e ao fato de que os processos de negócios dependem mais do que nunca da tecnologia.

No entanto, apesar da rápida adoção de processos de transformação digital no ano passado, a segurança ainda é vista principalmente (41%) ou inteiramente (21%) como uma área de tecnologia.

Membros do conselho e priorização da cibersegurança

A falta de priorização da segurança cibernética é particularmente verdadeira na sala de reuniões. Embora 85% dos entrevistados afirmem que o conselho de administração está mais envolvido em decisões e estratégias de segurança do que há dois anos, muitas vezes esses executivos são atraídos passivamente por causa de uma violação importante, novos requisitos de conformidade ou a criação de um programa de segurança por um CISO .

Na verdade, 44% dos entrevistados indicaram que sua diretoria tem envolvimento limitado em muitas operações críticas de segurança cibernética. Essa falta de engajamento significa que muitos conselhos estão preparados apenas para financiar o mínimo necessário para atender aos requisitos de conformidade e proteção.

“Esforçar-se por uma segurança ‘boa o suficiente’ francamente não é bom o suficiente, dado o panorama atual de riscos cibernéticos. Este relatório reflete muitas de minhas conversas com CISOs, destacando que a falta de envolvimento da diretoria pode levar a uma higiene cibernética deficiente e à segurança que não está devidamente integrada aos processos de negócios ”, disse Ed Cabrera , diretor de segurança cibernética da Trend Micro .

“Só podemos criar uma cultura de cibersegurança se CEOs e diretores corporativos liderarem pelo exemplo. Cada funcionário deve acreditar que tem um papel na proteção da organização. ”

Fonte: https://www.helpnetsecurity.com/