Estudo da Accenture mostra que maioria dos CEOs não acha cibersegurança estratégica

De acordo com uma nova pesquisa da Accenture, três quartos (74%) dos CEOs estão preocupados com a capacidade de suas organizações de evitar ou minimizar os danos causados ​​aos negócios por um ataque cibernético – apesar do fato de 96% dos CEOs terem dito que a segurança cibernética é crítica para o crescimento organizacional e estabilidade.

O relatório, intitulado “ OCEO ciber-resiliente”, é baseado em uma pesquisa com 1 mil CEOs de grandes organizações em todo o mundo. A investigação da Accenture aponta para a forma reativa como os CEOs tratam a cibersegurança, o que resulta num maior risco de ataques e custos mais elevados para responder e remediar os mesmos. O estudo mostra que 60% dos CEOs afirmaram que as suas organizações não incorporam a cibersegurança nas estratégias de negócios, serviços ou produtos desde o início, e mais de quatro em cada 10 (44%) CEOs acreditam que a cibersegurança requer intervenção episódica em vez de atenção contínua.

A somar a esta postura reativa está a suposição incorreta, por parte de mais de metade (54%) dos CEO, de que o custo de implementação da segurança cibernética é superior ao custo de sofrer um ataque cibernético, apesar da história mostrar o contrário. Por exemplo, o relatório observa que uma violação global de uma empresa de transporte e logística resultou numa queda de 20% no volume de negócios, com perdas que atingiram US$ 300 milhões.

Além disso, apesar de 90% dos CEO afirmarem que consideram a cibersegurança um fator diferenciador dos seus produtos ou serviços para os ajudar a construir a confiança entre os clientes, apenas 15% têm reuniões de conselho dedicadas à discussão de questões de cibersegurança. Esta desconexão pode ser explicada pelo fato de a grande maioria (91%) dos CEOs afirmar que a segurança cibernética é uma função técnica, que é da responsabilidade do CIO ou do diretor de segurança da informação.

O relatório também sugere que a IA generativa tem potencial para introduzir um maior nível de ameaças avançadas à segurança, introduzindo novos desafios que mesmo as melhores práticas de defesa cibernética podem não resolver totalmente. Quase dois terços (64%) dos CEOs entrevistados disseram que os cibercriminosos poderiam usar IA generativa para criar ataques cibernéticos sofisticados e difíceis de detectar, como golpes de phishing, ataques de engenharia social e hacks automatizados.

“A aceleração da IA ​​generativa torna ainda mais essencial que as organizações tomem medidas para garantir a segurança dos seus dados e ativos digitais”, disse Paolo Dal Cin, líder global da Accenture Security. “Infelizmente, muitas vezes só depois de vivenciarem um incidente cibernético material é que eles elevam a segurança cibernética a uma prioridade de nível de conselho e de diretoria e expandem as expectativas além das funções tecnológicas para proteger melhor suas organizações. Integrar o risco de segurança cibernética em uma estrutura de gerenciamento de risco empresarial é a chave para garantir melhor segurança, conformidade regulatória, proteção comercial e confiança do cliente”, observou.

A pesquisa identifica um pequeno grupo de CEOs que se destacam na resiliência cibernética. Este grupo – que a Accenture chama de “CEOs ciber-resilientes” e representa 5% dos entrevistados – utiliza uma lente mais ampla para avaliar a segurança cibernética em todos os aspectos das suas organizações. As empresas destes líderes detectam, contêm e remediam ameaças cibernéticas mais rapidamente do que outras organizações. Como resultado, os seus custos de violação são consideravelmente mais baixos e o desempenho financeiro significativamente melhor do que o resto, alcançando um crescimento incremental de receitas 16% superior, 21% mais melhorias de redução de custos e melhorias de balanço patrimoniais 19% mais saudáveis, em média.

Por outro lado, estão os “retardatários cibernéticos” – que representam quase metade (46%) dos CEO – que não tomam de forma consistente ou rigorosa nenhuma das ações que os CEO resilientes cibernéticos tomam e ficam normalmente presos num modo reacionário.

Cinco ações que os CEOs ciber-resilientes têm muito mais probabilidade de tomar proativamente do que os ciber-retardatários são:

Incorporar a resiliência cibernética na estratégia empresarial desde o início: os CEOs ciber-resilientes têm quase duas vezes mais probabilidade de gerir o desempenho cibernético da mesma forma que gerem o desempenho financeiro (60% vs. 33%).

Estabelecer responsabilidade compartilhada de segurança cibernética em toda a organização: é muito mais provável que os CEOs ciber-resilientes adotem a responsabilidade partilhada entre os C-suite, inspirando os executivos a defender a segurança cibernética como um diferencial competitivo que acelera a inovação com segurança (68% vs. 37%) e a trabalhar em estreita colaboração com os seus CISOs para avaliar e gerir os riscos. de IA generativa, garantindo que a tecnologia seja usada de forma segura e eficaz (54% vs. 33%).

Proteger o núcleo digital no coração da organização: os CEOs ciber-resilientes têm duas vezes mais probabilidades de afirmar que planejam aumentar o seu orçamento de cibersegurança à medida que a adoção e implementação de tecnologias digitais e emergentes se intensificam (76% vs. 35%).

Estender a resiliência cibernética além das fronteiras e silos organizacionais: os CEOs ciber-resilientes têm 40% mais probabilidade de implementar políticas e controles específicos para terceiros e ainda mais probabilidade de promover uma abordagem de avaliação de risco em toda a empresa que abranja unidades e funções de negócios (64% vs. 41%).

Adotar a resiliência cibernética contínua para se manter à frente da curva: é muito mais provável que os CEOs ciber-resilientes se comprometam a estabelecer continuamente medidas de segurança cibernética líderes do setor, que tenham em conta o cenário de risco em mudança e se alinhem com as prioridades da diretoria, a fim de proteger o negócio e detectar e responder eficazmente aos ataques cibernéticos (60% vs. .34%).

“O cenário de ameaças em constante evolução e sem fim está criando uma grande lacuna entre a crescente consciência dos CEOs sobre o impacto dos ataques cibernéticos nos negócios e a sua falta de confiança para mitigá-los”, afirma Valerie Abend, líder global de Estratégia de Cibersegurança da Accenture Security. “Este deveria ser um alerta para todos os executivos. Para colmatar a lacuna de resiliência cibernética, a segurança cibernética deve ser vista como uma prioridade para toda a organização – com os processos adequados de comunicação; o envolvimento dos colaboradores em todos os níveis; e maior comprometimento e responsabilidade por parte do C-suite e do conselho”, finalizou.

Serviço
www.accenture.com