Executivos de segurança digital podem maximizar a eficácia da segurança de suas empresas
Quatro mitos estão ofuscando o valor total da segurança cibernética para a empresa e inibindo a eficácia de programas de segurança digital, de acordo com o Gartner. Os executivos que cuidam da segurança digital, conhecidos como CISOs (Chief Information Security Officers, em inglês) devem adotar uma mentalidade de ‘eficácia mínima’ para maximizar o impacto da segurança cibernética nos negócios.
“Muitos CISOs estão esgotados e sentem que têm pouco controle sobre seus estressores ou sobre o equilíbrio entre vida pessoal e profissional”, afirma Henrique Teixeira, Analista e Diretor Sênior do Gartner. “Os líderes de segurança cibernética e suas equipes estão se esforçando ao máximo, mas não estão tendo o melhor impacto.”
“Uma mentalidade mínima efetiva (Minimum Effective Mindset) é uma abordagem deliberada e voltada ao Retorno sobre os Investimentos (ROI) para liderar a segurança cibernética no futuro”, afirma Leigh McMullen, Vice-presidente e Analista do Gartner. “Embora a ideia de mínimo possa parecer desconfortável, ela se refere a insumos, não aos resultados. Essa abordagem permitirá que as funções de segurança cibernética consigam ir além de apenas ‘defender o forte’ para liberar seu verdadeiro potencial para criar um valor tangível para as suas organizações”.
Segundo o Gartner, os quatro mitos que estão ofuscando o valor total da segurança cibernética para a empresa e inibindo a eficácia de programas de segurança digital são:
Mito #1: Mais dados significam melhor proteção – Acredita-se que a melhor maneira de conduzir a ação dos tomadores de decisão executivos em iniciativas de segurança é por meio de Data Analysis sofisticada para calcular a probabilidade de ocorrência de um evento cibernético. No entanto, não é prático quantificar o risco dessa maneira. Além disso, essa abordagem não oferece responsabilidade compartilhada entre a segurança cibernética e os tomadores de decisão da empresa para reduzir significativamente o risco comercial. A pesquisa do Gartner descobriu que apenas um terço dos CISOs relata ações de sucesso por meio da quantificação de riscos cibernéticos.
“Em vez de continuar buscando mais dados e mais análises, os CISOs experientes se envolvem em uma abordagem efetiva de insights mínima (Minimum Effective Insight approach)”, diz Teixeira. “O Gartner recomenda que se determine a menor quantidade de informação necessária para traçar uma linha reta entre o financiamento de segurança cibernética da empresa e a quantidade de vulnerabilidade que o financiamento aborda.”
O analista alerta que os CISOs devem usar uma abordagem de métricas orientadas a resultados (ODM, outcome-driven metrics, em inglês) para colocar em ação a obtenção de insights mínimos que sejam eficazes. As ODMs vinculam as métricas operacionais de segurança e riscos aos resultados de negócios que suportam, explicando os níveis de proteção atualmente em vigor e a proteção adicional que se pode obter com base em novos gastos.
Mito #2: Mais tecnologia é igual a melhor proteção – Os gastos mundiais com produtos e serviços de segurança da informação e gerenciamento de riscos devem crescer 12,7%, atingindo US$ 189,8 bilhões em 2023. No entanto, mesmo nas organizações que gastam mais em ferramentas e tecnologias de segurança cibernética, os líderes de segurança ainda sentem que não estão devidamente protegidos.
“A segurança cibernética geralmente fica presa em uma mentalidade de aquisição de equipamentos, acreditando que, ao virar da esquina, deve haver algo melhor”, diz McMullen. “Em vez disso, os CISOs deveriam adotar um conjunto mínimo de ferramentas eficazes (Minimum Effective Toolset) – o menor número de tecnologias necessárias para observar, defender e responder às exposições. Isso permitirá a segurança cibernética ser dona de sua arquitetura, reduzindo a complexidade e a falta de interoperabilidade que tanto dificulta a geração de valor a partir dos investimentos em tecnologia.”
As organizações podem começar a jornada para um conjunto de ferramentas mínimo que seja eficaz adotando uma visão de custo humano, mantendo os profissionais cibernéticos que gerenciam ferramentas de segurança cibernética, menor do que o benefício da ferramenta na mitigação de riscos. Em paralelo, podem adotar uma visão arquitetônica para medir se uma determinada ferramenta é aditiva ou subtrativa na capacidade de proteger a empresa. Os princípios da arquitetura de malha de segurança cibernética (CSMA) também podem oferecer suporte à segurança no design para simplicidade, capacidade de composição e interoperabilidade.
Mito #3: Mais profissionais de cibersegurança significam melhor proteção – “A demanda por talentos em segurança cibernética superou a oferta a ponto de os CISOs não conseguirem alcançá-la”, afirma McMullen. “A segurança é um enorme gargalo para a transformação digital, e muito disso se deve ao mito de que apenas os profissionais de segurança cibernética podem fazer um trabalho de proteção de uma maneira séria. Democratizar a experiência em segurança cibernética, em vez de tentar contratar talentos, é a solução”, diz.
O Gartner prevê que até 2027, 75% dos funcionários irão adquirir, modificar ou criar tecnologia fora da visibilidade da TI, cifra bem acima dos 41% que foram registrados em 2022. Os CISOs podem reduzir a carga de suas equipes, ajudando esses tecnólogos de negócios a desenvolverem experiências efetiva e julgamento cibernético. Uma pesquisa recente do Gartner descobriu que os tecnólogos de negócios, com alto julgamento cibernético, são 2,5 vezes mais propensos a considerar os riscos de segurança cibernética ao desenvolver análises ou recursos tecnológicos.
Mito #4: Mais controles significam melhor proteção – Uma pesquisa recente do Gartner descobriu que 69% dos funcionários ignoraram a orientação de segurança cibernética de sua organização nos últimos 12 meses e 74% dos funcionários estariam dispostos a ignorar a orientação de segurança cibernética, se isso os ajudasse ou se apoiasse suas equipes a atingirem um objetivo de negócio. “As organizações de segurança cibernética estão bem cientes do comportamento não seguro generalizado da força de trabalho, mas a resposta típica de adicionar mais controles é um tiro pela culatra”, acrescenta Teixeira. “Os funcionários relatam uma enorme quantidade de atrito envolvido com o comportamento seguro, que leva às práticas arriscadas. Controles contornados são piores do que nenhum controle.”
A fricção efetiva mínima reequilibra a avaliação da segurança cibernética do desempenho dos controles de segurança para priorizar a experiência do usuário, em vez da funcionalidade técnica sozinha. O Gartner prevê que, até 2027, 50% dos CISOs de grandes empresas terão adotado práticas de design de segurança centradas no ser humano (Minimum Effective Expertise), para minimizar o atrito induzido pela segurança cibernética e maximizar a adoção do controle.
O Gartner for Cybersecurity Leaders equipa os líderes de segurança com as ferramentas para ajudar a reformular funções, alinhar a estratégia de segurança aos objetivos de negócios e criar programas para equilibrar a proteção com as necessidades da organização. Mais informações estão disponíveis no e-book gratuito do Gartner: Four Facets of Effective CISO Leadership.