Muitos ataques recentes de alto padrão ilustram o nível de vulnerabilidade das organizações à intensidade e a sofisticação crescentes das ameaças. Os conselhos diretores estão percebendo isso. Há não muito tempo, os membros dos conselhos diretores consideravam a segurança como um problema do CISO ou do CIO, mas finalmente essa conversa está acontecendo em nível de diretoria.
Um novo relatório, Cibersegurança: a perspectiva do conselho em 2022, da Proofpoint e da Cybersecurity at MIT Sloan (CAMS), revela que a segurança está em alta nas agendas dos conselhos diretores. Nós entrevistamos 600 membros de conselhos diretores do mundo todo e descobrimos que 77% concordam que a segurança é uma prioridade para o conselho e que 76% discutem esse assunto pelo menos uma vez por mês. Esse interesse maior aumentou a confiança dos conselhos no sucesso de seu trabalho — três quartos deles acreditam que suas diretorias compreendem claramente o risco sistêmico e 76% acham que fizeram investimentos adequados em segurança.
Porém, diante do número rapidamente crescente de violações de dados e de segurança — e com base em outros dados de nosso relatório — essas conversas não estão orientando as melhores ações no sentido de incrementar a preparação e a resiliência. Soubemos que quase dois terços dos membros dos conselhos diretores entrevistados creem que suas organizações estão sob risco de um ataque concreto nos próximos 12 meses e quase metade considera que suas organizações estão despreparadas para lidar com um ataque direcionado.
Quando comparamos as impressões dos membros dos conselhos com os insights de nosso recente relatório Voice of the CISO de 2022, compreendemos algumas razões pelas quais a conscientização não se traduz em ação. Há uma desconexão entre os dois lados — não só em questões envolvendo riscos e ameaças, mas também seu relacionamento.
Por exemplo, embora 65% dos membros dos conselhos acreditam que suas organizações estão sob risco de um ataque concreto, somente 48% dos CISOs pensam o mesmo. O que os CISOs sabem que os membros dos conselhos desconhecem? Os CISOs estão tão absortos no jargão técnico que suas narrativas não repercutem junto aos conselhos diretores?
Ou essa desconexão decorre de um relacionamento desgastado? Nosso relatório descobriu que 69% dos membros dos conselhos afirmam não estar de acordo com os CISOs, mas que somente 51% dos CISOs compartilham dessa opinião. Se eles não concordam nem no que pensam uns dos outros, como podem estar de acordo em questões críticas de segurança? É difícil conseguir que a diretoria apoie uma estratégia defensiva quando as prioridades não são as mesmas.
Quando perpetradores se aproveitam de nossa dependência cada vez maior da economia digital, é mais importante que nunca que conselhos diretores e CISOs estejam em sintonia. Sem relacionamentos sólidos entre diretoria e CISO, a proteção das pessoas e a defesa dos dados será uma luta cada vez maior porque o sucesso da organização requer que ambos os lados trabalhem harmonicamente.
Considerando a divergência que descobrimos, não surpreende que apenas dois terços dos membros dos conselhos diretores considerem o erro humano como sua maior vulnerabilidade cibernética, ainda que o Fórum Econômico Mundial tenha descoberto que esse risco está por trás de 95% de todos os incidentes cibernéticos. Há pessoas nas linhas de frente de nossas defesas, o que deixa nossas organizações vulneráveis a ameaças tanto internas quanto externas, a menos que esses indivíduos compreendam essas vulnerabilidades e saibam como mitigar seus riscos. Isso significa que todos dentro da organização — inclusive os membros do conselho diretor — precisam compreender as ameaças potenciais e onde é necessário estar alerta contra elas.
Os membros dos conselhos são particularmente importantes na promoção da cultura de segurança e da resiliência organizacional porque atuam como modelos a seguir — não só por aderir a comportamentos que minimizam riscos, mas também por definir as prioridades em todos os níveis da organização. É animador constatar que eles finalmente estão levando a sério o seu papel na segurança. Porém, para garantir que seu entusiasmo se traduza em ação, eles precisam ter a seu lado os CISOs como parceiros estratégicos.
Visite https://www.proofpoint.com/br/resources/white-papers/board-perspective-report para ler sobre todas as descobertas do relatório Cibersegurança: a perspectiva do conselho em 2022.