O paradoxo do risco cibernético

A maioria dos membros de conselhos administrativos sente que suas empresas investem em segurança, mas permanecem despreparadas para ataques cibernéticos

Foto: Rogério Morais, VP da América Latina e Caribe da Proofpoint

Os conselhos de administração em todo o mundo têm agora um interesse em segurança digital. O tema é finalmente um tópico consistente de conversa e não é mais visto como só mais um problema do CISO ou do CIO.

Esta mudança de mentalidade global dos conselhos de administração das empresas é ótima. No entanto, apesar deste progresso – e apesar dos investimentos – os conselhos ainda sentem que não conseguem preparar as suas organizações para ataques, de acordo com novas pesquisas. 

O novo estudo da Proofpoint, Cybersecurity: The Board Perspective 2023, descobriu que o assunto aparece cada vez mais nas agendas do conselho. Entre os 659 membros de conselhos administrativos entrevistados em todo o mundo, 73% concordam que a segurança cibernética é uma prioridade máxima e 70% pensam que fizeram investimentos adequados em proteção digital. No Brasil, 81% enxergam a segurança digital como prioridade e 83% acreditam que fizeram investimentos de forma adequada. 

Mas estes investimentos de tempo e recursos não estão mudando a postura em relação à segurança. Um número significativo de diretores (73%) sente que as suas companhias correm o risco de sofrer um grande ataque nos próximos 12 meses, número acima dos 65% do ano anterior. Além disso, 53% acreditam que não estão preparados para lidar com um ataque direcionado, em comparação com 47% no ano passado. 

A desconexão entre investimento e preparo significa que os conselhos administrativos não estão alocando os recursos de forma apropriada ou que os riscos não são grandes o suficiente para não haver sucesso. Os conselhos e os CISOs estão tendo as conversas certas para garantir que os seus investimentos em cibersegurança são estratégicos? Considerando que 84% dos diretores relatam que é provável que o seu orçamento para a demanda aumente nos próximos 12 meses, as organizações simplesmente não podem continuar a desperdiçar tempo e dinheiro em defesas que têm pouco ou nenhum impacto. 

O cenário volátil de ameaças também pode estar contribuindo para o gap entre o investimento e a preparação. Os ataques que tiveram destaque no ano passado – incluindo ataques disruptivos ao supply chain, aumento de ransomware e violações de dados de alto nível – não são novos. Mas as ameaças emergentes, como a inteligência artificial (IA) generativa, aumentam a preocupação – quase 60% dos membros do conselho de administração inquiridos consideram esta tecnologia como um risco para a sua organização. No momento, os maiores perigos de ferramentas como o ChatGPT são, provavelmente, o compartilhamento de dados confidenciais pelos funcionários e o aumento das tentativas direcionadas de fraude por e-mail em mais idiomas. Mas as aflições maiores estão em vista à medida que os agentes de ameaças começam a usar IA generativa de código aberto para alimentar o crime cibernético. 

O risco do usuário requer a atenção dos conselhos

Um aspecto crítico no qual os membros do conselho devem continuar focando é o risco humano. Na maior parte, os diretores e CISOs estão alinhados: 63% dos membros dos conselhos administrativos acreditam que o erro humano é o seu maior risco e, com base num estudo aos CISOs, realizado pela Proofpoint, 60% dos líderes de segurança sentem o mesmo. Mas estes números diminuíram levemente em relação ao ano passado, embora pesquisas recentes mostrem que o elemento humano está envolvido em quase três quartos de todas as violações. 

A maioria dos ataques foca no usuário, tática mais fácil que tentar contornar controles técnicos. Os cibercriminosos dependem muito das pessoas para fazerem o trabalho por eles. Clicar em um link, executar um arquivo, ignorar a autenticação multifator, alterar os detalhes de pagamento de uma fatura e assim por diante. O fortalecimento do conhecimento do usuário em relação à como se prevenir de ataques é essencial para aumentar o preparo das empresas, especialmente no novo trabalho híbrido. Os executivos devem continuar focando nesta área, especialmente à medida em que trabalham para garantir que os seus dados estão bem protegidos em meio à rotatividade de funcionários, à expansão da nuvem e ao aumento da complexidade dos supply chains da organização e de software.
 

O alinhamento entre diretoria e CISO avança, mas as lacunas permanecem

A falta de comunicação e a relação complicada entre diretores e CISOs são comuns há anos. No entanto, a pesquisa mostra que o gap está diminuindo: 53% dos membros de conselhos de administração entrevistados relatam ter conversas regulares com líderes de segurança, um aumento em relação aos 47% do ano passado. Os dois lados também concordam mais sobre como se sentem um em relação ao outro – 65% dos diretores concordam com seus CISOs e 62% dos CISOs expressam o mesmo. 

Embora as interações entre eles estejam melhorando aos poucos, ainda existe uma lacuna, considerando que quase metade dos núcleos administrativos ainda não têm relações fortes entre o conselho e o CISO. A falta de alianças estratégicas entre as duas partes dificulta os esforços das equipes de liderança para melhorar a sua postura de segurança digital e a compreensão do risco. 

Parcerias estratégicas são fundamentais para aumentar a resiliência

Os conselhos têm o dever de garantir que as empresas a operem de forma segura acrescentando requisitos mais específicos de risco cibernético. Muitos conselhos de administração não tinham uma compreensão suficientemente profunda dos riscos de segurança cibernética. Apesar da pesquisa da Proofpoint mostrar que 72% dos executivos acreditam que o seu conselho entende claramente os riscos que as suas empresas enfrentam, a falta de preparação indica que eles estão muito otimistas em relação ao seu nível de conhecimento. 

Dada a complexidade do risco, o relacionamento entre o CISO e o conselho é fundamental para proteger pessoas e dados. Embora seja reconfortante que os diretores estejam conquistando progressos em obter uma comunicação mais eficaz e de esforços colaborativos, é claro que têm um caminho a percorrer para tornar produtiva a sua parceria CISO.

Agora, relações mais fortes entre os dois podem servir como catalisadores para a implementação de uma agenda significativa de cibersegurança. Os diretores devem continuar a priorizar conversas regulares com os CISOs, assim como pressionar por uma avaliação honesta das capacidades de segurança. Ao entrarem em conversas mais profundas e abertas, os conselhos fortalecem a resiliência das suas empresas e promovem uma redução significativa dos riscos.