Segundo pesquisa global encomendada pela Kaspersky, mais da metade (53%) dos gestores admitem que falhas de comunicação com o departamento ou a equipe de segurança de TI resultaram em pelo menos um incidente de cibersegurança em suas organizações.
A maioria dos executivos de outras áreas mencionou que sente uma baixa cooperação entre equipes diferentes (34%) e disse que a situação faz com que questionem as habilidades de seus colegas nas ocasiões em que a comunicação com o pessoal de segurança de TI não é clara (23%).
Ainda de acordo com recente pesquisa, as empresas gastam em média 37 dias e US$ 2,4 milhões para detectar e se recuperar de uma violação de cibersegurança. Com o perigo em colocar uma companhia em risco por falhas internas, o levantamento da Kaspersky explora a comunicação entre equipes de segurança de TI e executivos não técnicos, com o objetivo de entender como eles enfrentam problemas para entender uns aos outros e obter insights sobre como a comunicação pode ser melhorada.
Segundo o estudo, 98% dos participantes brasileiros fora da área de tecnologia da informação presenciaram falhas de comunicação na segurança de TI. Em relação às consequências, na maioria das vezes, um ruído na comunicação gera atrasos importantes nos projetos e isso já ocorre em 64% das empresas do país.
Outros efeitos negativos registrados na pesquisa foram o desperdício de orçamento (62%), a perda de funcionários valiosos (60%) e a deterioração das relações entre as equipes (61%), fatores que demandam atenção não apenas em momentos de desafios, mas no cotidiano do trabalho.
Além de piorar os indicadores de negócios, a comunicação pouco clara entre os funcionários de segurança de TI também afeta o estado emocional da equipe e faz com que os executivos questionem as competências e habilidades desses funcionários de segurança, afetando o desempenho no trabalho.
“A comunicação clara entre as áreas de negócios e de segurança ou TI é pré-requisito para uma boa proteção corporativa”, afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
“O desafio é se colocar na posição das outras pessoas para prevenir mal-entendidos com graves consequências. Isso quer dizer que, por um lado, o Chief Information Security Officer (CISO) deve conhecer bem a linguagem de negócios básica para explicar melhor os riscos existentes e a necessidade de medidas de segurança.
Por outro lado, as empresas também devem entender que a segurança de informações no século XXI é parte integral dos negócios e que o orçamento para ela é um investimento para que a operação não sofra quebras ou se interrompida.”
Para dar mais transparência à comunicação entre as funções de negócios e de segurança de TI dentro da empresa, a Kaspersky recomenda:
• A compreensão de profissionais de outra esfera requer empatia e conhecimentos adicionais. Enquanto os profissionais de segurança de TI podem obter mais informações sobre termos e conceitos básicos de negócios em diversos cursos de treinamento, executivos de outras áreas têm a oportunidade de colocar-se na situação de um CISO em simulações para entender os desafios de segurança mais relevantes.
• Os gerentes da área de TI e de outras áreas não podem e não devem se trancar em “bolhas de informações” profissionais. Estar ciente das pautas no mundo dos negócios e da cibersegurança é outro segredo para a comunicação bem-sucedida e a compreensão entre eles.
• Especialistas em cibersegurança devem usar argumentos confiáveis e compreensíveis ao informar suas necessidades para a diretoria e justificar seu orçamento de cibersegurança.
Use informações sobre as ameaças e medidas de segurança mais relevantes para seu setor e tamanho de empresa específico para comprovar a probabilidade de riscos e as medidas de proteção necessárias. Recursos como a Calculadora de segurança de TI e os relatórios baseados em observações de especialistas podem facilitar significativamente essa tarefa.
• Hoje, quando as ciberameaças estão se tornando cada vez mais relevantes e as empresas são forçadas a aumentar seus orçamentos de segurança de informações, é extremamente importante alocar os investimentos de cibersegurança em ferramentas com eficácia e retorno do investimento comprovado.
Ou seja, ferramentas que reduzem o nível de falsos positivos e o tempo de detecção dos ataques. O tempo investido em cada caso e outras métricas são importantes para qualquer equipe de segurança de TI.
O relatório completo e mais insights sobre problemas de comunicação entre a diretoria e os gerentes de segurança de TI está disponível em: (https://www.kaspersky.com.br).