Quando uma organização compra serviços ou assina um acordo de parceria, tradicionalmente realiza uma diligência prévia significativa na segurança financeira e conformidade com leis e normas do setor da empresa que pretende se associar. Atualmente, no nosso mundo em que a nuvem atua como infraestrutura principal, com dados e usuários transitando pelas redes, informações críticas e propriedade intelectual estão mais expostas do que nunca. No futuro, a due diligence vai se estender a quanta confiança uma organização pode atribuir à segurança de um parceiro.
Segundo o Relatório de Previsões de Cibersegurança da Forcepoint para 2019 serão criadas, já neste ano, “classificações de confiança em segurança” para todo o setor. Assim como há classificações e avaliações para a confiança de diversas instituições financeiras, opções de investimentos ou mesmo restaurantes, o futuro trará uma classificação de confiança em segurança similar para empresas que administram, armazenam ou interagem com dados. Essas classificações indicariam o quanto é seguro permitir que fornecedores manuseiem informações de identificação pessoal (Personally Identifiable Information – PII) ou outros dados críticos. Como é a higiene digital dos funcionários? O fornecedor tem um histórico ou apresenta risco de violações?
“As empresas que pensam no futuro devem se planejar, pois sua própria higiene em cibersegurança agora será visível com credenciamentos ou certificações do setor”, orienta Meerah Rajavel, CIO da Forcepoint. “O caminho para desenvolver uma avaliação de confiança aprimorada exige a mudança na cultura de cibersegurança, que não pode mais ser responsabilidade apenas das equipes de TI e das tecnologias implementadas: deve se tornar um valor cultural e empresarial, que seja reconhecido e recompensado. Para criar uma força de trabalho unida como uma defesa contra o cibercrime, as organizações devem integrar a segurança em sua cultura de cima para baixo”.
Para a CIO, a cultura abrange muito mais do que o ambiente de escritório ou os valores, as normas e as regras de uma organização. Também inclui a cadeia de comando, delegação de autoridade, responsabilidade por comportamentos e estratégias abrangentes de comunicação. Políticas mal definidas ou em conflito criam confusão e falhas de interpretação. E, qualquer confusão sobre normas, expectativas ou prestação de contas pode aumentar os riscos, incluindo o de violações de dados.
“As culturas corporativas atuais têm alcance mais amplo e se estendem por cadeias de suprimentos e outras parcerias por conta da conectividade e uso da nuvem. Conforme as grandes organizações revejam suas atitudes em relação à cibersegurança, isso vai se refletir em toda a sua cadeia de suprimentos”, diz Meerah.
A introdução de classificações de confiança de segurança recompensará as empresas que vão além de intervenções superficiais, como treinamentos “just-in-time”, que são ineficazes e podem resultar em incômodo, fadiga e apatia para os funcionários. A adaptação da cultura de segurança para ameaças sofisticadas é necessária. Contudo, as empresas que se planejanerem para esta adaptação precisam de consistência sistêmica em cibersegurança entre suas operações e usuários, incluindo seus parceiros da cadeia de suprimentos.
