*Por Marco Túlio Moraes
Lembro da época em que nós, profissionais de segurança cibernética, procurávamos os casos de vazamento de dados como loucos. Parecia sangue nos olhos do vampiro. Sempre que surgia algo era uma imensa oportunidade de conscientizar as empresas sobre um grande risco pelo qual as organizações ainda desconheciam.
Agora a situação meio que se inverteu. As notícias sobre incidentes e a necessidade das empresas observarem os aspectos da segurança cibernética estão há algum tempinho em todos os lugares, incluindo as grandes mídias.
Infográficos, como o publicado na Visual Capitalist, os 50 maiores vazamentos de dados ocorridos entre 2014 e 2021, e os mantidos pela IBRASPD (2021, 2022), são ferramentas interessantes para gerarmos mais conscientização sobre o tema.
No entanto, estar ciente de algo é bem diferente de estar educado e isso pode explicar algumas coisas. O Fórum Econômico Mundial perguntou aos executivos de negócios e Segurança Cibernética se Cyber é uma prioridade estabelecida nas empresas:
– Sim, respondem 43% dos executivos de negócio.
– Sim, concordam APENAS 13% dos executivos de Cyber Segurança, que por sinal, precisam urgentemente compartilhar a receita com os colegas.
Há um hiato interessante nessa conversa
Suponha que eu seja um executivo de negócios e tenha apenas uma visão de 1/5 do problema. Nesse caso, tudo que eu fizer para lidar com o risco será limitado apenas à parte do risco que estou vendo. Com a minha falsa sensação de segurança, posso dizer com convicção: O assunto é prioridade. Será?
Por outro lado, o CISO, como especialista e com uma visão ampliada do desafio, sabe que o exposto está bem abaixo do que é necessário ser feito. Definir o que é cibersegurança e o que é prioridade para o seu negócio não é uma jornada fácil. E, se um não entende a língua do outro, o que fazer?
A educação talvez seja um caminho
É fundamental conscientizar a empresa sobre um tema que vai além da preocupação com a tecnologia. Os riscos cibernéticos e as soluções para mitigá-los estão presentes em produtos, operações, serviços, inovações, na cadeia de suprimentos e no comportamento humano.
Além disso, o valor da Segurança da Informação não está, apenas, em minimizar o risco da sua organização ser o próximo alvo, mas também em viabilizar os negócios, habilitar a transformação digital, gerar confiança junto aos clientes, estar em conformidade com regulamentações, e, sobretudo, permitir com que os stakeholders, ou seus dados, estejam protegidos.
É hora de nos educarmos mais sobre tudo isso. A ignorância cibernética não é uma benção
Insights e provocações:
1) Qual é a prioridade do seu negócio? Pegue a mesma régua e compare com o que está sendo feito em cybersecurity em sua empresa. É suficiente?
2) Devolva o resultado para sua equipe Cyber. Entenda por que não é suficiente. Não sou eu que estou dizendo que não é suficiente. É o Fórum Econômico Mundial.
*Marco Túlio Moraes é Chief Information Security Officer da Oiti. Executivo com mais de 20 anos de experiência em tecnologia, riscos e segurança da informação. Reconhecido em 2020 como um dos top 50 global CSOs. Palestrante, mentor de carreira e colunista da Security Report
Referências, fontes, e mais informações:
Segurança digital deve estar presente em todos os setores de uma empresa (Folha)
Cibersegurança, Conselho Administrativo e Estratégia: Indo além de proteger o negócio (Security Report)
Incidentes Relevantes (IBRASPD)
Cybersecurity And Data Privacy: 7 Challenges For CFOs To Address (Forbes)
How confident are CISOs about their security posture? (HelpNetSecurity)