Pesquisa divulgada pela Trend Micro mostra que 90% dos tomadores de decisão de TI acreditam que as empresas estão colocando em risco a segurança cibernética em favor da transformação digital, produtividade e outros objetivos. Além disso, 82% se sentem pressionados a minimizar a gravidade dos riscos cibernéticos para os membros da diretoria.
O levantamento, encomendado pela Trend Micro a Sapio Research, ouviu 5.321 tomadores de decisão de TI e negócios de empresas com mais de 250 funcionários em 26 países. As entrevistas revelaram que apenas 50% dos líderes de TI e 38% dos tomadores de decisão de negócios acreditam que os executivos de alto escalão (C-Level ou C-Suite) entendem completamente os riscos cibernéticos. Embora alguns pensem que isso ocorra porque o tema é complexo, e está em constante mudança, muitos acreditam que os membros do C-Level não se esforçam o suficiente (26%) ou não querem (20%) entender.
“Os líderes de TI estão se autocensurando na frente de seus Conselhos por medo de parecerem repetitivos ou muito negativos, com quase um terço afirmando que essa é uma pressão constante. Mas essa atitude só vai perpetuar um ciclo vicioso onde os C-Level continuarão ignorando os riscos”, destaca Bharat Mistry, diretor Técnico da Trend Micro para o Reino Unido. “Precisamos falar sobre as ameaças de uma forma que a segurança se torne a força motriz do crescimento das empresas, ajudando a reunir líderes de TI e de negócios, já que na realidade ambos estão do mesmo lado.”
Phil Gough, chefe de Segurança da informação da Nuffield Health, aconselha os tomadores de decisão de TI a não minimizarem a gravidade dos riscos cibernéticos para a diretoria, e sugere que eles mudem sua linguagem para facilitar a comunicação. “Esse é o primeiro passo para alinhar a estratégia de segurança cibernética aos negócios, e é crucial. Articular os riscos cibernéticos dentro da visão do negócio vai atrair a atenção que merecem e ajudar o alto escalão a reconhecer a segurança como um facilitador de crescimento, e não um entrave à inovação”, garante Phil.
A pesquisa mostra que os líderes de TI e de negócios discordam sobre de quem deve ser a responsabilidade pelo gerenciamento e redução dos riscos. Os líderes de TI são quase duas vezes mais propensos do que os líderes empresariais a apontar para as equipes de TI e para o CISO; e 49% dos entrevistados afirmam que as ameaças digitais ainda estão sendo tratadas como um problema de TI, em vez de um risco comercial.
Esse atrito está causando problemas sérios: 52% dos entrevistados concordam que a atitude de sua organização em relação ao risco cibernético é inconsistente e varia de mês para mês.
No entanto, 31% dos ouvidos acreditam que a segurança cibernética é o maior risco do negócio hoje, e 66% acreditam que ela tem o maior impacto de custo do que qualquer outro risco.
Os entrevistados acreditam que os executivos se conscientizariam sobre o risco cibernético se:
• a organização sofresse uma violação de dados (62%);
• eles pudessem explicar melhor e mais facilmente o risco dos ataques cibernéticos para o negócio (62%);
• os usuários começassem a exigir credenciais de segurança mais sofisticadas (61%).
“Para tornar a segurança cibernética uma questão de diretoria, o Level-C tem que passar a vê-la como um verdadeiro habilitador de negócios”, disse Marc Walsh, arquiteto de Segurança Corporativa da Coillte, empresa florestal irlandesa. “Isso fará com que os líderes de TI e segurança articulem seus desafios ao conselho usando a linguagem do risco empresarial. E vai demandar investimentos e proatividade da cúpula da empresa, e não apenas soluções paliativas após uma violação.”
