20 Minutos de leitura 1 out 2023

O seu maior risco é a complexidade da sua estratégia cibernética?

Por Richard Watson

EY Asia-Pacific Cybersecurity Risk Advisory Leader

Cybersecurity leader in the EY Asia-Pacific region. Public speaker. Trusted advisor on cyber risk and digital trust. Golfer, traveler and dad.

Contato local

Cybersecurity Consulting Leader, EY Latin America

Engenheiro e mestre em engenharia de sistemas, Demetrio tem grande experiência em meio aos ambientes virtuais – e sua paixão, como executivo, é poder aproximar estes mundos dos negócios.

20 Minutos de leitura 1 out 2023
Related topics Cybersecurity Consultoria

O estudo EY Global Cybersecurity Leadership Insights 2023 mostra como os líderes estão reforçando as defesas enquanto criam valor. 

Em resumo
  • As organizações aumentaram o investimento em segurança cibernética, mas as ameaças se intensificaram à medida que os adversários aproveitam a tecnologia avançada e as superfícies de ataque se expandem.
  • Os CISOs mais eficazes simplificam o seu panorama tecnológico, enfatizam a automação e comunicam de forma eficaz entre os níveis organizacionais.
  • A segurança cibernética aprimorada não apenas reduz a vulnerabilidade; cria valor otimizando os gastos com tecnologia, estimulando a colaboração e construindo confiança.

Apesar da ameaça crescente de ataques cibernéticos e dos investimentos cada vez maiores em segurança cibernética, apenas um em cada cinco Diretores de Segurança da Informação (CISOs) e líderes de alto escalão consideram a sua abordagem eficaz para os desafios de hoje e de amanhã.

Os entrevistados do estudo EY Global Cybersecurity Leadership Insights 2023 também observaram que havia motivos de preocupação. As organizações enfrentam uma média de 44 incidentes cibernéticos significativos por ano, e os tempos de detecção e resposta são lentos, com três quartos das organizações demorando em média seis meses ou mais para detectar e responder a um incidente. Entretanto, o número conhecido de ataques cibernéticos aumentou aproximadamente 75% nos últimos cinco anos1 e prevê-se que os custos do ransomware atinjam 265 bilhões de dólares até 2031, contra 20 bilhões de dólares em 2021.2 Adversários novos e sofisticados estão utilizando a tecnologia mais recente para aumentar a velocidade e a escala dos seus ataques.  Os impactos – financeiros, regulamentares e reputacionais – são crescentes.

  • Sobre a pesquisa

    Em Fevereiro e Março de 2023, a organização global EY conduziu uma investigação para compreender melhor como as empresas estão a abordar a segurança cibernética das suas organizações para se prepararem para as ameaças à segurança cibernética de hoje e de amanhã. Entrevistamos 500 líderes de C-level e de segurança cibernética em 19 setores diferentes e 25 países, abrangendo as Américas, Ásia-Pacífico (APAC) e Europa, Oriente Médio, Índia e África (EMEIA). Os entrevistados representavam organizações com mais de US$ 1 bilhão em receita anual.

Usando modelagem estatística, identificamos organizações líderes com a segurança cibernética mais eficaz – chamamos esse grupo de “Secure Creators”. Em comparação com suas contrapartes de baixo desempenho, “Prone Enterprises”, os Secure Creators têm menos incidentes cibernéticos e são mais rápidos na detecção e resposta a incidentes. Também são mais propensos a estarem satisfeitos com a sua abordagem de segurança cibernética hoje (51% vs. 36%) e mais propensos a se sentirem preparados para as ameaças de amanhã (53% vs. 41%). 

A abordagem da Secure Creators à segurança cibernética protege e cria valor para sua organização. É significativamente mais provável que elas vejam impactos positivos na sua capacidade de responder às oportunidades de mercado e no seu ritmo de transformação e inovação. O que diferencia os Secure Creators é como eles se comportam de maneira diferente em três áreas principais:

  • Eles adotam rapidamente tecnologias emergentes e utilizam a automação para orquestrar sua tecnologia de segurança cibernética e agilizar processos.
  • Eles têm estratégias específicas para gerenciar superfícies de ataque complexas na nuvem, no local e em terceiros.
  • Eles integraram a segurança cibernética em todos os três níveis da organização, desde o alto escalão até a força de trabalho em geral e a própria equipe de segurança cibernética.
  • Identificando Secure Creators

    Para nos ajudar a identificar empresas com melhores resultados de segurança cibernética, pedimos aos líderes que avaliassem suas organizações em relação a uma série de métricas objetivas e subjetivas de segurança cibernética: tempo médio de detecção (MTTD), tempo médio de resposta (MTTR), número de incidentes de segurança cibernética, integração de segurança cibernética dentro da organização e o impacto da segurança cibernética na inovação e na criação de valor.

    Por meio de modelagem estatística, identificamos dois segmentos — Secure Creators (organizações de alto desempenho), que representaram 42% da amostra da pesquisa e Prone Enterprises (organizações de baixo desempenho), que representaram 58% da amostra da pesquisa. 

Luzes brilhantes iluminam a passarela de pedestres na rodovia à noite
(Chapter breaker)
1

Capítulo 1

Adotando tecnologia emergente: segurança através da simplificação

As organizações estão correndo para construir sua rede de tecnologia cibernética, aumentando a desordem; aproveitando a automação mais eficaz para reduzir a complexidade.

As ferramentas e aplicações de cibersegurança melhoraram nos últimos anos em termos de sofisticação, velocidade e eficácia. Isto é impulsionado em parte por investimentos significativos, com 1,3 bilhões de dólares investidos em segurança cibernética entre 2010 e 2022, crescendo a uma taxa anual composta de 16,6%, de acordo com o Pitchbook.

O estudo revela que uma onda de implementação de novas tecnologias está chegando, com 84% das organizações nas fases iniciais de adição de duas ou mais novas tecnologias ao seu conjunto existente de soluções de segurança cibernética. Mas, ironicamente, é a própria escala e complexidade das medidas de segurança que representam agora a maior ameaça à segurança cibernética eficiente, porque limita a visibilidade. “Quanto mais desordem você tiver em seu ambiente tecnológico, mais difícil será captar sinais e resolver os problemas rapidamente”, afirma Richard Watson, líder de consultoria em segurança cibernética da EY Global e EY Ásia-Pacífico.

Consolidar a tecnologia em uma única plataforma e reduzir o número de produtos do fornecedor facilita a integração, permite que a telemetria flutue para a superfície com mais facilidade e ajuda as equipes de segurança a detectar incidentes com mais eficiência.

Os CISOs precisam transformar a forma como a tecnologia de cibersegurança é introduzida em toda a empresa, desenvolvendo uma estratégia tecnológica holística que racionalize os sistemas existentes e aborde as necessidades de cibersegurança dos imperativos empresariais emergentes, como as parcerias na nuvem e no ecossistema, e que faça pleno uso da automação. Os Secure Creators seguem esta abordagem.

Embora 70% tenham se definido como pioneiros na adoção de tecnologias emergentes, eles estão focados em soluções avançadas para simplificar o seu ambiente, em particular através do aproveitamento da automação. Eles são mais propensos a usar ou estão nos estágios finais de adoção de inteligência artificial ou aprendizado de máquina (AI ou ML) (62% vs. 45%) e Segurança, Orquestração, Automação e Resposta (SOAR) (52% vs. 37% ). Isso lhes dá uma defesa contínua em toda a organização e uma linha de visão clara para incidentes de segurança cibernética.

Os Secure Creators são mais propensos a dizer que a sua abordagem à segurança cibernética também está ligada a uma melhor adaptabilidade à medida que as ameaças mudam (45% relatam um impacto positivo). Por outro lado, apenas 34% das Prone Enterprises disseram o mesmo, enquanto 36% relatam que a sua abordagem tem um impacto negativo na sua adaptabilidade. Embora a mesma tecnologia emergente capacite as organizações, os líderes cibernéticos precisam de garantir que dispõem de uma estratégia tecnológica de cibersegurança que proporcione segurança através da simplificação. Os líderes cibernéticos devem:

  • Simplificar e racionalizar as tecnologias de segurança cibernética existentes para reduzir o custo total de propriedade e estabelecer a plataforma para operações contínuas e rápidas.
  • Revisar os sistemas legados que são duplicados ou mal integrados como parte da modernização tecnológica.
  • Adotar processos de segurança cibernética simplificados e automatizados, em vez de múltiplas configurações independentes.
  • Adotar recursos emergentes com mais rapidez, sem introduzir novos riscos ou complicar o ambiente tecnológico geral.
  • Considerar abordagens baseadas na automação, incluindo DevSecOps e SOAR.
  • Buscar o co-sourcing e uma abordagem de serviços gerenciados que simplifique a infraestrutura e aumente a visibilidade, ao mesmo tempo que gera eficiência de custos.
  • Empresas de energia sobrecarregadas com um ambiente de TI fragmentado

    Numa base industrial, nosso estudo revela que as empresas de energia, em particular, estão lutando com a cibersegurança, com apenas 35% afirmando que a sua organização está bem posicionada para enfrentar as ameaças de amanhã, em comparação com 48% de todas as outras indústrias. Além disso, são mais propensos do que outras indústrias a adotar uma abordagem de “esperar até que a tecnologia seja experimentada e testada” e apontam para não priorizar a integração de tecnologias emergentes como o maior desafio interno de segurança cibernética.

    Apenas 22% estão satisfeitos com a adoção das melhores práticas pela sua força de trabalho não relacionada com TI.

    “A indústria energética aumentou o investimento em segurança cibernética nos últimos anos. O seu estatuto de infraestrutura nacional crítica levou ao aumento das pressões regulamentares e de conformidade para garantir a resiliência contra ataques e falhas”, afirma Clinton Firth, Líder Global de Cibersegurança da EY em Energia. A pressão para a transição para as energias renováveis está forçando uma mudança da tecnologia operacional de legado, para redes mais distribuídas, nomeadamente através da Internet das Coisas (IoT). As ofertas de tecnologia de cibersegurança melhoraram significativamente, ajudando as empresas de energia a identificar vulnerabilidades de forma eficiente e a desenvolver controles importantes, como gestão de acesso privilegiado, detecção e resposta a ameaças.

    No entanto, a indústria enfrenta grandes desafios estruturais. As empresas de petróleo e gás são globais, mas os padrões e regulamentações de segurança cibernética são localizados. As funções de segurança cibernética muitas vezes lutam para colaborar de forma eficaz com os gerentes de fábrica que controlam os ativos operacionais, e os fabricantes de equipamentos originais e os ambientes de tecnologia operacional legados são obstáculos à mudança.

    “Nos últimos anos, várias empresas de energia têm investido montantes semelhantes em serviços cibernéticos e financeiros, mas têm ambientes de TI mais fragmentados”, afirma Alam Hussain, Líder de Cibersegurança da EY EMEIA. “As empresas de energia são como aranhas. É difícil implementar soluções que cubram todas as áreas de risco cibernético.”

Engenheiro em uma sala de controle moderna e limpa
(Chapter breaker)
2

Capítulo 2

Secure Creators ganham cobertura de toda a superfície de ataque

A “nuvem em escala” e cadeias de suprimentos mais profundas estão aumentando as superfícies de ataque.

“Muitas superfícies de ataque” foi o desafio interno mais citado à abordagem de segurança cibernética das organizações. Dentro da organização, a transição para a computação em nuvem em escala e a Internet das Coisas (IoT) aumentaram as aberturas para violações cibernéticas. Além disso, hoje em dia, uma abordagem empresarial liderada pelo ecossistema, embora ajude a gerar valor, também apresenta um desafio significativo em matéria de cibersegurança. Ao todo, 53% dos líderes cibernéticos concordam que não existe perímetro seguro no ecossistema digital atual. As mais perigosas de todas são as cadeias de suprimentos, responsáveis por 62% dos incidentes de intrusão de sistemas em 2021.3

Reduzindo riscos para implementação em nuvem e IoT

Três em cada quatro entrevistados classificam a nuvem e a IoT como os maiores riscos tecnológicos nos próximos cinco anos. Através da adoção da nuvem, as superfícies de ataque aumentaram exponencialmente. O ritmo da mudança continua acelerando e as empresas estão tentando acompanhá-lo. Essas mudanças rápidas têm o potencial de expor as organizações à perda de dados, violações e interrupções quando as organizações integram a nuvem e a IoT sem design e planejamento suficientes em torno das interfaces e do ambiente da nuvem. Para superar esta complexidade, as organizações precisam aproveitar a automação. Por exemplo, metade dos CISOs de organizações Secure Creator relatam que sua organização usa atualmente ou está nos estágios finais de implementação de orquestração e automação em nuvem em sua abordagem à segurança cibernética.

Além disso, as empresas não podem presumir que todos os seus riscos cibernéticos estão sendo tratados pelo provedor de nuvem. “A segurança na nuvem é uma responsabilidade compartilhada, especialmente quando se trata de identidade e acesso”, afirma Carolyn Schreiber, sócia de consultoria em segurança cibernética da Ernst & Young LLP. “Muitas vezes vemos configurações incorretas e informamos que é necessária mais configuração do que apenas “levantar e mudar” para a nuvem. As principais áreas a serem consideradas incluem gerenciamento de acesso privilegiado para evitar escalonamento de privilégios, gerenciamento de segredos e prevenção de movimentos laterais. De nossos clientes, estamos vendo as organizações mais seguras lendo as letras miúdas do contrato e se apoiando, exigindo que seus provedores de serviços em nuvem (CSPs) ofereçam suporte aos mesmos padrões de segurança exigidos por suas organizações. Responsabilizar as equipes internas e os CSPs é uma maneira de fazer a transição sem aumentar os controles de segurança de risco em suas plataformas e contêineres de nuvem.”

A quantificação de riscos cibernéticos é uma área emergente onde a automação e a análise de dados podem agregar insights e ajudar na priorização de riscos. Os comités executivos e os conselhos de administração estão fazendo mais perguntas sobre o risco cibernético e digital. A liderança cibernética deve estimular um diálogo empresarial com os stakeholders e explicar o risco cibernético em termos de valor monetário é muito mais poderoso e permite uma melhor tomada de decisões do que as atualizações técnicas que os CISOs tradicionalmente fornecem.  

  • Nuvem em escala e risco cibernético na APAC, EMEIA e nas Américas

    Os entrevistados da pesquisa APAC são mais propensos a ver a nuvem em escala como uma das principais tecnologias facilitadoras de ameaças (81% contra 74% das Américas e 63% da EMEIA). Os reguladores têm sido mais lentos a permitir serviços em nuvem na APAC, o que pode ter causado um atraso na adoção ou colocado a região atrás da Europa e das Américas em termos de confiança na transição para a nuvem.

    Por outro lado, a EMEIA dá mais peso aos riscos representados pela AI/BC (49% vs. 38% das Américas e 34% da APAC). 

Cadeias de suprimento: envolva-se antecipadamente e monitore continuamente

Todas as organizações estão agora inextricavelmente e digitalmente ligadas às empresas na sua cadeia de suprimentos. Na procura dos elos mais fracos, os ciberataques utilizam uma estratégia “um-para-muitos”, explorando milhares de organizações. “Vimos ameaças realmente visarem as cadeias de suprimentos nos últimos cinco anos. Se conseguirem comprometer um player da cadeia de suprimento de software, que é fundamental para 30.000 organizações, então estarão dentro dessas 30.000”, afirma Richard Bergman, Líder Global de Transformação de Cibersegurança da EY.

No entanto, apesar do perigo, as Prone Enterprises estão mais focadas no risco financeiro (52% vs. 41% dos Secure Creators), enquanto os Secure Creators têm quase duas vezes mais probabilidade de estarem altamente preocupados com os riscos que a cadeia de suprimentos representa (38% vs. 20%). ) e riscos relacionados, como a proteção da propriedade intelectual (38% vs. 24%). Embora a consciencialização seja o primeiro passo, os CISOs devem procurar simplificar as cadeias de suprimentos das suas organizações para ganhar visibilidade sobre a resiliência dos fornecedores numa base contínua, e não apenas como algo pontual. A parceria profunda com diretores de operações (COOs) e outros líderes de operações é fundamental para garantir a visibilidade em todas as superfícies de ataque na cadeia de abastecimento. Em organizações mais maduras, as funções de segurança estão envolvidas nas decisões de seleção de fornecedores e níveis mais elevados de garantia são implementados e gerenciados continuamente. Os COOs e CISOs podem se encontrar em conflito, com os COOs impedidos de oportunidades de crescimento devido a preocupações com a segurança cibernética, por exemplo, e os CISOs a sentirem-se subvalorizados como protetores da organização. Mas só trabalhando em conjunto é que a verdadeira resiliência pode ser alcançada.4

Grupo de empresários em reunião em sua empresa
(Chapter breaker)
3

Capítulo 3

Falando a língua do negócio

Os CISOs mais eficazes comunicam-se de forma eficaz em toda a organização, falando a linguagem do C-level e da força de trabalho.

Secure Creators constroem pontes em toda a organização. Em três níveis distintos da organização – o alto escalão, a equipe de segurança cibernética e a força de trabalho em geral – eles se destacam na comunicação com os diferentes stakeholders e no reconhecimento explícito do “fator humano” na segurança cibernética.

Falando com o C-Level

Embora a função do CISO já tenha sido principalmente operacional e técnica, em organizações mais maduras a segurança cibernética funciona como um departamento e funciona por si só e tem um assento na mesa da gestão sênior. Nosso estudo conclui que, graças ao seu papel cada vez mais proeminente, os CISOs têm sido amplamente bem-sucedidos na proteção dos recursos necessários no atual ambiente de alto risco. O orçamento, que já foi um dos principais desafios internos, ficou apenas em sexto lugar entre oito numa lista de obstáculos na pesquisa deste ano. A segurança cibernética é cada vez mais reconhecida como uma questão fundamental de resiliência, reputação e conformidade dos negócios e está equipada com amplo suporte.

Embora os orçamentos sejam um componente crítico, a segurança cibernética precisa ser incorporada em toda a organização. Isto requer a adesão dos líderes seniores, colmatando lacunas de conhecimento e uma comunicação estreita entre os CISOs e o C-Level. Contudo, nosso estudo revela que esses grupos nem sempre estão na mesma página. Em comparação com o C-suite, os CISOs eram menos propensos a estar satisfeitos com a eficácia da abordagem global da sua organização ao ciberespaço (36% versus 48% do C-level) e com a sua capacidade de enfrentar as ameaças de amanhã (38% vs. .54% do C-level).

As lacunas de percepção entre o CISO e o C-level são muito menores para os Secure Creators, que estão mais satisfeitos com a integração da cibersegurança do C-level nas principais decisões de negócios, sugerindo que comunicações mais eficazes com os líderes seniores criam uma compreensão partilhada do risco e melhoram o desempenho da cibersegurança. Percepções alinhadas de desempenho são um marcador de empresas mais seguras. As organizações que têm operações de segurança cibernética integradas nas principais prioridades e estratégias de negócios têm maiores chances de sofrer menos incidentes. Os CISOs mais eficazes traduzem a narrativa num enredo que repercute em termos de redução de risco, impacto nos negócios e criação de valor.

Apoio eficaz à força de trabalho

A prioridade mais ampla de integração é a força de trabalho mais ampla. O erro humano continua a ser um importante facilitador de ataques cibernéticos, e a fraca conformidade com as melhores práticas fora do departamento de TI foi o terceiro maior desafio interno na nossa pesquisa.

Apenas metade dos líderes de segurança cibernética afirmam que a sua formação cibernética é eficaz e apenas 36% estão satisfeitos com a adoção de melhores práticas não relacionadas com TI, levantando questões sobre a verdadeira eficácia desta formação. No entanto, os Secure Creators estão mais satisfeitos com a adoção das melhores práticas de segurança cibernética do que as Prone Enterprises (47% vs. 27%). Ser brilhante no básico deve ser o foco. As organizações devem simplificar as melhores práticas exigidas à força de trabalho e criar barreiras nos seus processos para limitar os riscos, em vez de confiar na conformidade. Organizações mais maduras recebem treinamento regular incremental e aproveitam as mais recentes ferramentas preventivas e de automação. Tornar a segurança cibernética uma segunda natureza, incorporando-a na psique de cada pessoa na organização, ajudará a garantir uma formação e adesão mais eficazes.

Talento: pensar fora do organograma

Dentro da força de trabalho cibernética, o talento é um desafio recorrente, uma vez que a lacuna da força de trabalho em segurança cibernética cresceu duas vezes mais rápido que a força de trabalho cibernética mundial no ano passado.A segurança cibernética está presa a uma atualização de competências e a melhoria das competências é o foco principal da maioria das organizações do nosso estudo. Mas os Secure Creators estão abordando esse desafio de forma mais criativa. Por exemplo, eles têm duas vezes mais probabilidades de darem prioridade significativa ao recrutamento ou à requalificação de trabalhadores que não trabalham atualmente no domínio da segurança cibernética (28% vs. 14% das Prone Enterprises). As contratações não tradicionais podem surgir de diversas origens, inclusive provenientes de outras áreas funcionais onde a automação reduziu significativamente as cargas de trabalho, como finanças e TI em geral, e de origens não tradicionais, incluindo estágios de aprendizagem.

Os líderes pensam com mais flexibilidade sobre como moldar o modelo operacional de sua função de segurança cibernética, terceirizando mais operações de segurança (uma média de 25% versus 15%) e sendo mais propensos a terceirizar funções e capacidades adicionais para especialistas terceirizados do setor no futuro (46% vs. 31%). A terceirização pode simplificar as funções internas de segurança cibernética, permitindo que terceiros especializados se concentrem em funções específicas de segurança cibernética para as quais sua força de trabalho interna pode não estar preparada. Os Secure Creators também estão priorizando a padronização e a automatização dos processos de segurança para reduzir as necessidades de pessoal (35% vs. 26%), simplificando ainda mais sua estrutura organizacional.

Embora as empresas estejam cada vez mais inclinadas a terceirizar os aspectos de “pessoas e processos” do trabalho de segurança cibernética, elas são mais cautelosas em relação à tecnologia em si. Em vez de uma solução tecnológica multilocatária hospedada por um terceiro, as organizações geralmente desejam possuir a tecnologia em sua nuvem, configurada para suas necessidades específicas e apetite ao risco, enquanto se beneficiam da capacidade que a terceirização ou o co-sourcing fornecem em termos de habilidades e pessoas. Eles também podem se beneficiar do acesso à propriedade intelectual do terceirizado.

Outra estratégia de capacidade criativa é a formulação de funções individuais para coordenar equipes empresariais e cibernéticas. Uma capacidade de “consultoria” atua como um elo de ligação entre as equipes cibernéticas e o negócio em geral, compreendendo os requisitos e incorporando considerações cibernéticas no negócio. Algumas empresas estão experimentando uma abordagem “pod”, na qual uma equipe de consultores cibernéticos gerencia um processo de “lift and shift” na organização durante um período de seis ou nove meses, onde podem executar um ciclo de desenvolvimento seguro, treinando o pessoal relevante e então seguir em frente. Isso pode infundir novas habilidades e permitir que a equipe interna aprenda fazendo.

Vista aérea do carro entrando no túnel rodoviário
(Chapter breaker)
4

Capítulo 4

Cinco maneiras pelas quais os Secure Creators aceleram o valor

Os líderes aproveitam a automação e a orquestração para simplificar o ambiente tecnológico e comunicar de forma eficaz em toda a organização.

A segurança cibernética não envolve apenas proteção de ativos. Se for bem executada, também pode apoiar e acelerar a inovação e a criação de valor em toda a empresa. De nossos clientes, vimos que as melhores organizações incorporaram a tecnologia cibernética na estrutura da empresa. Tornar o ciberespaço parte integrante de todas as partes da organização e do modelo operacional transforma a função de um inibidor em um impulsionador de valor.

Os Secure Creators são muito mais propensos a dizer que sua abordagem cibernética impacta positivamente o ritmo de transformação e inovação da organização (56% vs. 25% dos CISOs de Prone Enterprises), a capacidade de responder rapidamente às oportunidades de mercado (58% vs. 29%) e capacidade de se concentrar na criação de valor em vez de na proteção de valor (63% vs. 42%). A criação de valor pode assumir muitas formas. As organizações ciberseguras conquistam maior confiança de clientes e fornecedores, que terão mais confiança ao realizar transações com elas. O redesenho das arquiteturas tecnológicas pode melhorar a comunicação, a colaboração e a produtividade da força de trabalho e melhorar a eficiência dos gastos.

Por exemplo, o aumento dos riscos de segurança levou um gigante do varejo a buscar uma iniciativa de reforma cibernética que aumentou o valor para além da redução da vulnerabilidade, por mais importante que isso seja. Isto incluiu gastos com tecnologia mais eficientes, a remoção de ferramentas obsoletas e redundantes, mão de obra otimizada e funções e responsabilidades refinadas, colaboração mais eficiente e confiança reforçada na sua base de mais de um bilhão de clientes.  

  • Abrir descrição da imagem#Fechar descrição da imagem

    Gráfico de barras de visualização de dados que mostra o impacto que a segurança cibernética tem na criação de valor, na resposta às oportunidades de mercado e no ritmo de transformação e inovação para Secure Creators e Prone Enterprises.

Nosso estudo mostra que as Prone Enterprises têm maior probabilidade de lutar para equilibrar a segurança e a velocidade necessária para inovar (55% contra 42% dos Secure Creators), revelando mais um exemplo de como a eficácia cibernética é uma plataforma de valor e inovação e sua ausência, um obstáculo. Os ecossistemas tornaram-se uma estratégia empresarial fundamental para a criação de valor, seja através de múltiplas marcas, subsidiárias integrais ou maioritárias, parcerias ou joint ventures. Para aproveitar plenamente os benefícios dos ecossistemas, a cibersegurança precisa de ser incorporada desde o início. Os CISOs precisam garantir que os critérios de segurança cibernética sejam incluídos ao avaliar potenciais parceiros, padronizando protocolos de integração tecnológica. Também precisam de comunicar de forma eficaz com os tomadores de decisão empresariais para gerir adequadamente o risco que acompanha a expansão. Uma aquisição, por exemplo, pode trazer riscos cibernéticos, mas se os números forem ofuscados pela oportunidade, torna-se uma decisão de risco empresarial como qualquer outra e não significa necessariamente abandonar uma empresa. As empresas precisam conviver com um nível “razoável” de risco.

Ações para uma estratégia de cibersegurança mais eficaz e orientada para o valor

O Estudo EY Global Cybersecurity Leadership Insights Study 2023 apresentou resultados preocupantes, com os líderes de alto escalão enfrentando uma série de ameaças presentes e previstas. Mas também oferece a garantia de que as organizações experimentam resultados muito diferentes, em parte como resultado da sua estratégia de segurança cibernética. Ao aprender com os melhores, as empresas podem reforçar a sua segurança cibernética, enfatizando a simplicidade, o pensamento holístico e a integração de considerações de segurança cibernética em toda a organização. Nada disso está fora do alcance das Prone Enterprises. Os principais pontos de ação emergentes da pesquisa incluem:

  1. Simplifique a quantidade de tecnologia cibernética para reduzir riscos e melhorar a visibilidade. A automação e a orquestração podem reduzir a confusão no ambiente tecnológico, permitindo detectar sinais com mais rapidez e responder com mais eficiência.
  2. Utilize a padronização e a automação para reduzir os pontos de entrada de hackers na cadeia de suprimentos, melhorar a vigilância cibernética e monitorar continuamente o desempenho sem adicionar burocracia indevida. Isso também garante que as equipes de segurança estejam envolvidas desde o início na seleção do fornecedor.
  3. Traduza sua narrativa em um enredo que ressoe com o negócio em termos de redução de risco, impacto nos negócios e criação de valor.
  4. Combine treinamento incremental e bem projetado com ferramentas de automação e prevenção para tornar a força de trabalho cibersegura desde o projeto.
  5. Integre a segurança cibernética na estrutura da sua organização, não a deixe ser vista como uma inibidora. Gera valor, inspira a confiança necessária para inovar e abre novas receitas e oportunidades de mercado. 

Com agradecimentos especiais a AnnMarie Pino, Mike Wheelock, Bhavnik Mittal – EY Research Institute; Aino Tan – Insights de negócios; e Vanessa Lobo – Global Technology Consulting, pelas contribuições neste artigo.

Resumo

As organizações enfrentam uma onda preocupante de ameaças cibernéticas. Embora a segurança tenha se tornado uma prioridade dos executivos, apoiada por um apoio financeiro crescente, os riscos estão se intensificando. As superfícies de ataque continuam a se expandir através das cadeias de suprimento e da computação em nuvem em grande escala, e os adversários estão aproveitando capacidades como a AI para montar ataques mais eficazes.

O estudo EY Global Cybersecurity Leadership Insights 2023 explora como as organizações estão respondendo aos desafios atuais. Através da análise de segmentação, identificamos as características e comportamentos comuns que definem os mais bem-sucedidos, desde a forma como simplificam a sua arquitetura tecnológica até à sua capacidade de comunicação em toda a organização. 

Sobre este artigo

Por Richard Watson

EY Asia-Pacific Cybersecurity Risk Advisory Leader

Cybersecurity leader in the EY Asia-Pacific region. Public speaker. Trusted advisor on cyber risk and digital trust. Golfer, traveler and dad.

Contato local

Cybersecurity Consulting Leader, EY Latin America

Engenheiro e mestre em engenharia de sistemas, Demetrio tem grande experiência em meio aos ambientes virtuais – e sua paixão, como executivo, é poder aproximar estes mundos dos negócios.

Related topics Cybersecurity Consultoria