A resiliência cibernética precisa de líderes que saibam gerir o risco – relatório e lista de verificação da CIO

O objetivo final de segurança para todas as organizações é a ciber-resiliência. Medidas eficazes de prevenção e deteção são, e continuarão a ser, uma pedra angular crítica das estratégias de segurança, mas as empresas não devem parar por aí. O que importa é como a organização se prepara, resiste, responde e recupera de um incidente. E isso depende tanto das pessoas e dos processos quanto da tecnologia.

Quando o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) atualizou a sua estrutura de referência Framework de Cibersegurança no início deste ano, adicionou a governança de segurança – como a segurança é implementada e gerida através de pessoas e processos – como uma prioridade estratégica. Como CIO, concordo completamente com isto.

A governação de segurança eficaz inclui elementos como políticas e programas de segurança consistentes, uma liderança empresarial que compreende o risco e como geri-lo, estratégias robustas de resposta a incidentes, investimento em competências e formação, entre outros. O nosso estudo internacional Cybernomics 101 revelou que muitas organizações estão a achar difícil alcançar estes objetivos.

Apenas 43% dos inquiridos acreditam que podem enfrentar eficazmente o risco cibernético. Este baixo nível de confiança na sua própria postura de segurança é preocupante. Decidimos investigar mais a fundo os dados para aprender sobre os principais desafios enfrentados pelas organizações na sua jornada através do risco em direção à ciber-resiliência e aproveitar a nossa experiência para desenvolver ferramentas práticas que possam ajudá-las.

O resultado é o nosso novo relatório CIO: Liderar o seu negócio através do risco cibernético, publicado hoje.

O relatório explora como os desafios relacionados com políticas de segurança, apoio da gestão, acesso de terceiros e cadeias de abastecimento podem comprometer a capacidade de uma empresa de resistir e responder a ciberataques.

Desafios comuns de governança

Entre outras coisas, as descobertas mostram que muitas organizações têm dificuldade em implementar políticas de segurança a nível empresarial, como medidas de autenticação e controlos de acesso. Metade (49%) das empresas pequenas a médias inquiridas listaram isto como um dos seus dois principais desafios de governança. Isto pode ser, em parte, uma questão cultural, como quando os funcionários resistem a restrições impostas. É uma área de risco onde os líderes empresariais têm um papel poderoso a desempenhar.

Um pouco mais de um terço (35%) das empresas mais pequenas preocupam-se que a gestão de topo não veja os ciberataques como um risco significativo, embora um quarto reconheça que os gestores de topo não são mantidos atualizados sobre as ameaças que enfrentam a organização. É difícil estar interessado ou preocupar-se com algo que não se compreende totalmente.

O apoio da gestão foi menos problemático entre as grandes empresas inquiridas. Era mais provável que enfrentassem dificuldades devido à falta de orçamento (38%) e de profissionais qualificados (35%).

Independentemente do tamanho, muitas organizações têm preocupações sobre a falta de segurança e controlo sobre a cadeia de abastecimento e a visibilidade em relação a terceiros com acesso a dados sensíveis ou confidenciais.

Cerca de uma em cada 10 das empresas inquiridas não possui um plano de resposta a incidentes para recorrer em caso de uma violação bem-sucedida. As maiores empresas inquiridas foram, com 23%, as menos propensas a ter testado o seu plano de resposta a incidentes. Isto pode dever-se, em parte, à complexidade e aos requisitos de recursos necessários para realizar um teste realista.

Um plano inexistente ou não comprovado pode causar mais danos do que benefícios se um ataque sério ocorrer e uma empresa não souber o que fazer a seguir ou quais são as suas obrigações.  

Felizmente, as organizações não têm de enfrentar isso sozinhas. O relatório do CIO sinaliza algumas fontes externas de ajuda e também oferece modelos práticos para ajudar as organizações a gerirem o risco cibernético e a mapear onde se encontram na sua jornada em direção à resiliência cibernética. Estes incluem um menu de gestão de risco e uma lista de verificação de resiliência cibernética.

A lista de verificação de ciber-resiliência baseia-se na última iteração do Cybersecurity Framework do U.S. National Institute of Standards and Technologies (NIST) e pode ser descarregada e impressa gratuitamente a partir do site da Barracuda.