Quatro mitos de segurança que devem ser derrubados nas empresas

Quatro mitos comuns estão obscurecendo o valor total da segurança cibernética para a empresa e inibindo a eficácia do programa de segurança, de acordo com o Gartner. Os CISOs devem adotar uma mentalidade de “eficácia mínima” para maximizar o impacto da segurança cibernética para os negócios. “Muitos CISOs estão esgotados e sentem que têm pouco controle sobre seus estressores ou sobre o equilíbrio entre vida pessoal e profissional”, disse Henrique Teixeira, analista diretor sênior do Gartner. “Os líderes de segurança cibernética e suas equipes estão se esforçando ao máximo, mas não estão tendo o máximo impacto”, completou.

“Uma mentalidade mínima efetiva é uma abordagem deliberada e voltada para o ROI para liderar a segurança cibernética no futuro”, acrescentou Leigh McMullen, VP analista ilustre do Gartner. “Embora a ideia de ‘mínimo’ possa parecer desconfortável, ela se refere aos insumos, não aos resultados. Essa abordagem permitirá que as funções de segurança cibernética vão além de apenas ‘defender o forte’ para liberar seu verdadeiro potencial para criar valor tangível”, observou.

Durante a palestra de abertura do Gartner Security & Risk Management Summit, que acontece até esta quarta-feira (7/6), Teixeira e McMullen desmentiram quatro mitos de segurança comuns e explicaram como os líderes de segurança podem criar um novo valor por meio do engajamento de negócios, tecnologia e talento.

Mito nº 1: mais dados equivalem a melhor proteção

Acredita-se que a melhor maneira de conduzir a ação dos tomadores de decisão executivos em iniciativas de segurança cibernética é por meio de análise de dados sofisticada, como o cálculo da probabilidade de ocorrência de um evento cibernético. No entanto, não é prático quantificar o risco dessa maneira. Além disso, essa abordagem não oferece responsabilidade compartilhada entre a segurança cibernética e os tomadores de decisão da empresa necessários para reduzir significativamente o risco comercial. A pesquisa do Gartner descobriu que apenas um terço dos CISOs relata ações de sucesso por meio da quantificação do risco cibernético.

“Em vez de continuar buscando mais dados e mais análises, os CISOs experientes se envolvem em uma abordagem de Insight Eficaz Mínimo ”, disse Teixeira. “Determine a menor quantidade de informações necessárias para traçar uma linha reta entre o financiamento de segurança cibernética da empresa e a quantidade de vulnerabilidade que o financiamento aborda”, completou.

Os CISOs devem usar uma abordagem de métricas orientadas a resultados (ODM) para ação Insight eficaz mínimo. Os ODMs vinculam as métricas operacionais de segurança e risco aos resultados de negócios que suportam, explicando os níveis de proteção atualmente em vigor e os níveis de proteção alternativos disponíveis com base nos gastos.

Mito nº 2: mais tecnologia é igual a melhor proteção

Os gastos mundiais com produtos e serviços de segurança da informação e gerenciamento de riscos devem crescer 12,7%, atingindo US$ 189,8 bilhões em 2023. No entanto, mesmo com as organizações gastando mais em ferramentas e tecnologias de segurança cibernética, os líderes de segurança ainda sentem que não estão devidamente protegidos.

“A segurança cibernética geralmente fica presa em uma mentalidade de aquisição de equipamentos, acreditando que ao virar da esquina deve haver algo melhor”, disse McMullen. “Em vez disso, os CISOs devem adotar um conjunto mínimo de ferramentas eficazes – o menor número de tecnologias necessárias para observar, defender e responder às exposições. Isso permitirá que a segurança cibernética seja dona de sua arquitetura, reduzindo a complexidade e a falta de interoperabilidade que dificultam a geração de valor a partir de investimentos em tecnologia”, alertou.

As organizações podem começar a jornada para um Conjunto de Ferramentas Mínimo Eficaz adotando uma visão de custo humano, mantendo a sobrecarga dos profissionais cibernéticos que gerenciam ferramentas de segurança cibernética menor do que o benefício da ferramenta na mitigação de riscos. Em paralelo, adote uma visão arquitetônica para medir se uma determinada ferramenta é aditiva ou subtrativa da capacidade de proteger a empresa. Os princípios da arquitetura de malha de segurança cibernética (CSMA) também podem oferecer suporte à segurança no design para simplicidade, capacidade de composição e interoperabilidade.

Mito nº 3: mais profissionais de cibersegurança significam melhor proteção

“A demanda por talentos em segurança cibernética superou a oferta a ponto de os CISOs não conseguirem alcançá-la”, disse McMullen. “A segurança é um enorme gargalo para a transformação digital, e muito disso se deve ao mito de que apenas os profissionais de segurança cibernética podem fazer um trabalho cibernético sério. Democratizar a experiência em segurança cibernética, em vez de tentar contratar talentos, é a solução”, afirmou.

O Gartner prevê que até 2027, 75% dos funcionários adquirirão, modificarão ou criarão tecnologia fora da visibilidade da TI, acima dos 41% em 2022. Os CISOs podem reduzir a carga de suas equipes ajudando esses tecnólogos de negócios a desenvolver Expertise Eficaz Mínima ou julgamento cibernético. Uma pesquisa recente do Gartner descobriu que os tecnólogos de negócios com alto julgamento cibernético são 2,5 vezes mais propensos a considerar os riscos de segurança cibernética ao desenvolver análises ou recursos tecnológicos.

Mito nº 4: mais controles significam melhor proteção

Uma pesquisa recente do Gartner descobriu que 69% dos funcionários ignoraram a orientação de segurança cibernética de sua organização nos últimos 12 meses e 74% dos funcionários estariam dispostos a ignorar a orientação de segurança cibernética se isso os ajudasse ou sua equipe a atingir um objetivo de negócios.

“As organizações de segurança cibernética estão bem cientes do comportamento não seguro generalizado da força de trabalho, mas a resposta típica de adicionar mais controles é um tiro pela culatra”, disse Teixeira. “Os funcionários relatam uma enorme quantidade de atrito envolvido com o comportamento seguro, que está levando ao comportamento inseguro. Controles contornados são piores do que nenhum controle”, enfatizou.

A fricção efetiva mínima reequilibra a avaliação da segurança cibernética do desempenho dos controles de segurança para priorizar a experiência do usuário em vez da funcionalidade técnica sozinha. O Gartner prevê que, até 2027, 50% dos CISOs de grandes empresas terão adotado práticas de design de segurança centradas no ser humano para minimizar o atrito induzido pela segurança cibernética e maximizar a adoção de controle.

Serviço
www.gartner.com