O seu maior risco é a complexidade da sua estratégia cibernética?

Os Secure Creators são mais propensos a dizer que a sua abordagem à segurança cibernética também está ligada a uma melhor adaptabilidade à medida que as ameaças mudam (45% relatam um impacto positivo). Por outro lado, apenas 34% das Prone Enterprises disseram o mesmo, enquanto 36% relatam que a sua abordagem tem um impacto negativo na sua adaptabilidade. Embora a mesma tecnologia emergente capacite as organizações, os líderes cibernéticos precisam de garantir que dispõem de uma estratégia tecnológica de cibersegurança que proporcione segurança através da simplificação. Os líderes cibernéticos devem:

• Simplificar e racionalizar as tecnologias de segurança cibernética existentes para reduzir o custo total de propriedade e estabelecer a plataforma para operações contínuas e rápidas.
• Revisar os sistemas legados que são duplicados ou mal integrados como parte da modernização tecnológica.
• Adotar processos de segurança cibernética simplificados e automatizados, em vez de múltiplas configurações independentes.
• Adotar recursos emergentes com mais rapidez, sem introduzir novos riscos ou complicar o ambiente tecnológico geral.
• Considerar abordagens baseadas na automação, incluindo DevSecOps e SOAR.
• Buscar o co-sourcing e uma abordagem de serviços gerenciados que simplifique a infraestrutura e aumente a visibilidade, ao mesmo tempo que gera eficiência de custos.

“Muitas superfícies de ataque” foi o desafio interno mais citado à abordagem de segurança cibernética das organizações. Dentro da organização, a transição para a computação em nuvem em escala e a Internet das Coisas (IoT) aumentaram as aberturas para violações cibernéticas. Além disso, hoje em dia, uma abordagem empresarial liderada pelo ecossistema, embora ajude a gerar valor, também apresenta um desafio significativo em matéria de cibersegurança. Ao todo, 53% dos líderes cibernéticos concordam que não existe perímetro seguro no ecossistema digital atual. As mais perigosas de todas são as cadeias de suprimentos, responsáveis por 62% dos incidentes de intrusão de sistemas em 2021.³

Reduzindo riscos para implementação em nuvem e IoT

Três em cada quatro entrevistados classificam a nuvem e a IoT como os maiores riscos tecnológicos nos próximos cinco anos. Através da adoção da nuvem, as superfícies de ataque aumentaram exponencialmente. O ritmo da mudança continua acelerando e as empresas estão tentando acompanhá-lo. Essas mudanças rápidas têm o potencial de expor as organizações à perda de dados, violações e interrupções quando as organizações integram a nuvem e a IoT sem design e planejamento suficientes em torno das interfaces e do ambiente da nuvem. Para superar esta complexidade, as organizações precisam aproveitar a automação. Por exemplo, metade dos CISOs de organizações Secure Creator relatam que sua organização usa atualmente ou está nos estágios finais de implementação de orquestração e automação em nuvem em sua abordagem à segurança cibernética.

Além disso, as empresas não podem presumir que todos os seus riscos cibernéticos estão sendo tratados pelo provedor de nuvem. “A segurança na nuvem é uma responsabilidade compartilhada, especialmente quando se trata de identidade e acesso”, afirma Carolyn Schreiber, sócia de consultoria em segurança cibernética da Ernst & Young LLP. “Muitas vezes vemos configurações incorretas e informamos que é necessária mais configuração do que apenas “levantar e mudar” para a nuvem. As principais áreas a serem consideradas incluem gerenciamento de acesso privilegiado para evitar escalonamento de privilégios, gerenciamento de segredos e prevenção de movimentos laterais. De nossos clientes, estamos vendo as organizações mais seguras lendo as letras miúdas do contrato e se apoiando, exigindo que seus provedores de serviços em nuvem (CSPs) ofereçam suporte aos mesmos padrões de segurança exigidos por suas organizações. Responsabilizar as equipes internas e os CSPs é uma maneira de fazer a transição sem aumentar os controles de segurança de risco em suas plataformas e contêineres de nuvem.”

A quantificação de riscos cibernéticos é uma área emergente onde a automação e a análise de dados podem agregar insights e ajudar na priorização de riscos. Os comités executivos e os conselhos de administração estão fazendo mais perguntas sobre o risco cibernético e digital. A liderança cibernética deve estimular um diálogo empresarial com os stakeholders e explicar o risco cibernético em termos de valor monetário é muito mais poderoso e permite uma melhor tomada de decisões do que as atualizações técnicas que os CISOs tradicionalmente fornecem.  

Cadeias de suprimento: envolva-se antecipadamente e monitore continuamente

Todas as organizações estão agora inextricavelmente e digitalmente ligadas às empresas na sua cadeia de suprimentos. Na procura dos elos mais fracos, os ciberataques utilizam uma estratégia “um-para-muitos”, explorando milhares de organizações. “Vimos ameaças realmente visarem as cadeias de suprimentos nos últimos cinco anos. Se conseguirem comprometer um player da cadeia de suprimento de software, que é fundamental para 30.000 organizações, então estarão dentro dessas 30.000”, afirma Richard Bergman, Líder Global de Transformação de Cibersegurança da EY.

No entanto, apesar do perigo, as Prone Enterprises estão mais focadas no risco financeiro (52% vs. 41% dos Secure Creators), enquanto os Secure Creators têm quase duas vezes mais probabilidade de estarem altamente preocupados com os riscos que a cadeia de suprimentos representa (38% vs. 20%). ) e riscos relacionados, como a proteção da propriedade intelectual (38% vs. 24%). Embora a consciencialização seja o primeiro passo, os CISOs devem procurar simplificar as cadeias de suprimentos das suas organizações para ganhar visibilidade sobre a resiliência dos fornecedores numa base contínua, e não apenas como algo pontual. A parceria profunda com diretores de operações (COOs) e outros líderes de operações é fundamental para garantir a visibilidade em todas as superfícies de ataque na cadeia de abastecimento. Em organizações mais maduras, as funções de segurança estão envolvidas nas decisões de seleção de fornecedores e níveis mais elevados de garantia são implementados e gerenciados continuamente. Os COOs e CISOs podem se encontrar em conflito, com os COOs impedidos de oportunidades de crescimento devido a preocupações com a segurança cibernética, por exemplo, e os CISOs a sentirem-se subvalorizados como protetores da organização. Mas só trabalhando em conjunto é que a verdadeira resiliência pode ser alcançada.⁴

Secure Creators constroem pontes em toda a organização. Em três níveis distintos da organização – o alto escalão, a equipe de segurança cibernética e a força de trabalho em geral – eles se destacam na comunicação com os diferentes stakeholders e no reconhecimento explícito do “fator humano” na segurança cibernética.

Falando com o C-Level

Embora a função do CISO já tenha sido principalmente operacional e técnica, em organizações mais maduras a segurança cibernética funciona como um departamento e funciona por si só e tem um assento na mesa da gestão sênior. Nosso estudo conclui que, graças ao seu papel cada vez mais proeminente, os CISOs têm sido amplamente bem-sucedidos na proteção dos recursos necessários no atual ambiente de alto risco. O orçamento, que já foi um dos principais desafios internos, ficou apenas em sexto lugar entre oito numa lista de obstáculos na pesquisa deste ano. A segurança cibernética é cada vez mais reconhecida como uma questão fundamental de resiliência, reputação e conformidade dos negócios e está equipada com amplo suporte.

Embora os orçamentos sejam um componente crítico, a segurança cibernética precisa ser incorporada em toda a organização. Isto requer a adesão dos líderes seniores, colmatando lacunas de conhecimento e uma comunicação estreita entre os CISOs e o C-Level. Contudo, nosso estudo revela que esses grupos nem sempre estão na mesma página. Em comparação com o C-suite, os CISOs eram menos propensos a estar satisfeitos com a eficácia da abordagem global da sua organização ao ciberespaço (36% versus 48% do C-level) e com a sua capacidade de enfrentar as ameaças de amanhã (38% vs. .54% do C-level).

As lacunas de percepção entre o CISO e o C-level são muito menores para os Secure Creators, que estão mais satisfeitos com a integração da cibersegurança do C-level nas principais decisões de negócios, sugerindo que comunicações mais eficazes com os líderes seniores criam uma compreensão partilhada do risco e melhoram o desempenho da cibersegurança. Percepções alinhadas de desempenho são um marcador de empresas mais seguras. As organizações que têm operações de segurança cibernética integradas nas principais prioridades e estratégias de negócios têm maiores chances de sofrer menos incidentes. Os CISOs mais eficazes traduzem a narrativa num enredo que repercute em termos de redução de risco, impacto nos negócios e criação de valor.

Apoio eficaz à força de trabalho

A prioridade mais ampla de integração é a força de trabalho mais ampla. O erro humano continua a ser um importante facilitador de ataques cibernéticos, e a fraca conformidade com as melhores práticas fora do departamento de TI foi o terceiro maior desafio interno na nossa pesquisa.

Apenas metade dos líderes de segurança cibernética afirmam que a sua formação cibernética é eficaz e apenas 36% estão satisfeitos com a adoção de melhores práticas não relacionadas com TI, levantando questões sobre a verdadeira eficácia desta formação. No entanto, os Secure Creators estão mais satisfeitos com a adoção das melhores práticas de segurança cibernética do que as Prone Enterprises (47% vs. 27%). Ser brilhante no básico deve ser o foco. As organizações devem simplificar as melhores práticas exigidas à força de trabalho e criar barreiras nos seus processos para limitar os riscos, em vez de confiar na conformidade. Organizações mais maduras recebem treinamento regular incremental e aproveitam as mais recentes ferramentas preventivas e de automação. Tornar a segurança cibernética uma segunda natureza, incorporando-a na psique de cada pessoa na organização, ajudará a garantir uma formação e adesão mais eficazes.

Talento: pensar fora do organograma

Dentro da força de trabalho cibernética, o talento é um desafio recorrente, uma vez que a lacuna da força de trabalho em segurança cibernética cresceu duas vezes mais rápido que a força de trabalho cibernética mundial no ano passado.⁵ A segurança cibernética está presa a uma atualização de competências e a melhoria das competências é o foco principal da maioria das organizações do nosso estudo. Mas os Secure Creators estão abordando esse desafio de forma mais criativa. Por exemplo, eles têm duas vezes mais probabilidades de darem prioridade significativa ao recrutamento ou à requalificação de trabalhadores que não trabalham atualmente no domínio da segurança cibernética (28% vs. 14% das Prone Enterprises). As contratações não tradicionais podem surgir de diversas origens, inclusive provenientes de outras áreas funcionais onde a automação reduziu significativamente as cargas de trabalho, como finanças e TI em geral, e de origens não tradicionais, incluindo estágios de aprendizagem.

Os líderes pensam com mais flexibilidade sobre como moldar o modelo operacional de sua função de segurança cibernética, terceirizando mais operações de segurança (uma média de 25% versus 15%) e sendo mais propensos a terceirizar funções e capacidades adicionais para especialistas terceirizados do setor no futuro (46% vs. 31%). A terceirização pode simplificar as funções internas de segurança cibernética, permitindo que terceiros especializados se concentrem em funções específicas de segurança cibernética para as quais sua força de trabalho interna pode não estar preparada. Os Secure Creators também estão priorizando a padronização e a automatização dos processos de segurança para reduzir as necessidades de pessoal (35% vs. 26%), simplificando ainda mais sua estrutura organizacional.

Embora as empresas estejam cada vez mais inclinadas a terceirizar os aspectos de “pessoas e processos” do trabalho de segurança cibernética, elas são mais cautelosas em relação à tecnologia em si. Em vez de uma solução tecnológica multilocatária hospedada por um terceiro, as organizações geralmente desejam possuir a tecnologia em sua nuvem, configurada para suas necessidades específicas e apetite ao risco, enquanto se beneficiam da capacidade que a terceirização ou o co-sourcing fornecem em termos de habilidades e pessoas. Eles também podem se beneficiar do acesso à propriedade intelectual do terceirizado.

Outra estratégia de capacidade criativa é a formulação de funções individuais para coordenar equipes empresariais e cibernéticas. Uma capacidade de “consultoria” atua como um elo de ligação entre as equipes cibernéticas e o negócio em geral, compreendendo os requisitos e incorporando considerações cibernéticas no negócio. Algumas empresas estão experimentando uma abordagem “pod”, na qual uma equipe de consultores cibernéticos gerencia um processo de “lift and shift” na organização durante um período de seis ou nove meses, onde podem executar um ciclo de desenvolvimento seguro, treinando o pessoal relevante e então seguir em frente. Isso pode infundir novas habilidades e permitir que a equipe interna aprenda fazendo.

A segurança cibernética não envolve apenas proteção de ativos. Se for bem executada, também pode apoiar e acelerar a inovação e a criação de valor em toda a empresa. De nossos clientes, vimos que as melhores organizações incorporaram a tecnologia cibernética na estrutura da empresa. Tornar o ciberespaço parte integrante de todas as partes da organização e do modelo operacional transforma a função de um inibidor em um impulsionador de valor.

Os Secure Creators são muito mais propensos a dizer que sua abordagem cibernética impacta positivamente o ritmo de transformação e inovação da organização (56% vs. 25% dos CISOs de Prone Enterprises), a capacidade de responder rapidamente às oportunidades de mercado (58% vs. 29%) e capacidade de se concentrar na criação de valor em vez de na proteção de valor (63% vs. 42%). A criação de valor pode assumir muitas formas. As organizações ciberseguras conquistam maior confiança de clientes e fornecedores, que terão mais confiança ao realizar transações com elas. O redesenho das arquiteturas tecnológicas pode melhorar a comunicação, a colaboração e a produtividade da força de trabalho e melhorar a eficiência dos gastos.

Por exemplo, o aumento dos riscos de segurança levou um gigante do varejo a buscar uma iniciativa de reforma cibernética que aumentou o valor para além da redução da vulnerabilidade, por mais importante que isso seja. Isto incluiu gastos com tecnologia mais eficientes, a remoção de ferramentas obsoletas e redundantes, mão de obra otimizada e funções e responsabilidades refinadas, colaboração mais eficiente e confiança reforçada na sua base de mais de um bilhão de clientes.  

Nosso estudo mostra que as Prone Enterprises têm maior probabilidade de lutar para equilibrar a segurança e a velocidade necessária para inovar (55% contra 42% dos Secure Creators), revelando mais um exemplo de como a eficácia cibernética é uma plataforma de valor e inovação e sua ausência, um obstáculo. Os ecossistemas tornaram-se uma estratégia empresarial fundamental para a criação de valor, seja através de múltiplas marcas, subsidiárias integrais ou maioritárias, parcerias ou joint ventures. Para aproveitar plenamente os benefícios dos ecossistemas, a cibersegurança precisa de ser incorporada desde o início. Os CISOs precisam garantir que os critérios de segurança cibernética sejam incluídos ao avaliar potenciais parceiros, padronizando protocolos de integração tecnológica. Também precisam de comunicar de forma eficaz com os tomadores de decisão empresariais para gerir adequadamente o risco que acompanha a expansão. Uma aquisição, por exemplo, pode trazer riscos cibernéticos, mas se os números forem ofuscados pela oportunidade, torna-se uma decisão de risco empresarial como qualquer outra e não significa necessariamente abandonar uma empresa. As empresas precisam conviver com um nível “razoável” de risco.

Ações para uma estratégia de cibersegurança mais eficaz e orientada para o valor

O Estudo EY Global Cybersecurity Leadership Insights Study 2023 apresentou resultados preocupantes, com os líderes de alto escalão enfrentando uma série de ameaças presentes e previstas. Mas também oferece a garantia de que as organizações experimentam resultados muito diferentes, em parte como resultado da sua estratégia de segurança cibernética. Ao aprender com os melhores, as empresas podem reforçar a sua segurança cibernética, enfatizando a simplicidade, o pensamento holístico e a integração de considerações de segurança cibernética em toda a organização. Nada disso está fora do alcance das Prone Enterprises. Os principais pontos de ação emergentes da pesquisa incluem:

1. Simplifique a quantidade de tecnologia cibernética para reduzir riscos e melhorar a visibilidade. A automação e a orquestração podem reduzir a confusão no ambiente tecnológico, permitindo detectar sinais com mais rapidez e responder com mais eficiência.
2. Utilize a padronização e a automação para reduzir os pontos de entrada de hackers na cadeia de suprimentos, melhorar a vigilância cibernética e monitorar continuamente o desempenho sem adicionar burocracia indevida. Isso também garante que as equipes de segurança estejam envolvidas desde o início na seleção do fornecedor.
3. Traduza sua narrativa em um enredo que ressoe com o negócio em termos de redução de risco, impacto nos negócios e criação de valor.
4. Combine treinamento incremental e bem projetado com ferramentas de automação e prevenção para tornar a força de trabalho cibersegura desde o projeto.
5. Integre a segurança cibernética na estrutura da sua organização, não a deixe ser vista como uma inibidora. Gera valor, inspira a confiança necessária para inovar e abre novas receitas e oportunidades de mercado. 

Com agradecimentos especiais a AnnMarie Pino, Mike Wheelock, Bhavnik Mittal – EY Research Institute; Aino Tan – Insights de negócios; e Vanessa Lobo – Global Technology Consulting, pelas contribuições neste artigo.