Accenture Digital Business: As estratégias de segurança de hoje estão a ganhar – a última guerra
A luta das empresas contra o cibercrime.
Segundo o último relatório Accenture “2018 State of Cyber Resilience”, as organizações afirmam que apenas um em oito ataques direccionados tiveram sucesso em 2018, comparando com um em cada três que causaram disrupção considerável há apenas um ano. Por muito impressionante que este progresso pareça, a maior parte das vitórias está relacionada com ameaças já conhecidas nos sistemas já existentes. Entretanto, o futuro está a chegar antes de as organizações conseguirem adquirir um conhecimento abrangente envolvendo riscos informáticos, respostas e planos de mitigação exigidos no novo ambiente de negócios. Em suma, estamos a ganhar a guerra de ontem, mas não estamos a desenvolver uma protecção adequada contra os riscos criados por sistemas interligados, inteligentes e autónomos do futuro.
A estratégia para a segurança não será suficiente para ganhar as batalhas de amanhã. Para começar, na maior parte das empresas, a cibersegurança permanece um departamento independente – com o intuito de proteger os principais sistemas de TI e dados sensíveis. Adicionalmente, os planos habituais focaram-se na detecção de ameaças e na minimização de danos, em vez de tornar os produtos e processos digitais mais seguros. Os negócios interligados, inteligentes e autónomos precisam de cibersegurança generalizada – com métodos provados para impedir que os ataques informáticos prejudiquem o negócio e tendo a segurança como base de tudo. A experiência em cibersegurança deve ser colocada na linha da frente e deve estar presente não só nas TI, mas no design de produto, nos processos de negócio e também no trabalho diário dos colaboradores.
DIMINUIR A DIFERENÇA ENTRE RISCO E PROTECÇÃO
Existe uma diferença crescente entre os riscos que as empresas estão a assumir e a sua postura perante a cibersegurança. As empresas não estão a hesitar nos investimentos em novas formas tecnológicas de fazer negócio, frequentemente como resposta à concorrência e a “disruptors” nos seus mercados. Como notado, têm a noção de que os negócios do futuro têm riscos informáticos muito mais acentuados. Mas há uma disparidade entre o que os executivos de topo afirmam ser as áreas emergentes de preocupação e as estratégias de cibersegurança usadas para permitir a protecção. Por exemplo, embora as organizações afirmem que o volume crescente de dados trocados com terceiros constitui um risco, poucas tentam assegurar a integridade dos dados para além das suas próprias operações: 45% das empresas dependem dos protocolos de terceiros ou simplesmente confiam neles para que protejam as informações partilhadas.
Os dados do inquérito expõem um padrão consistente de lacunas entre a noção dos riscos crescentes e a protecção possibilitada pelas estratégias actuais de cibersegurança. Por exemplo, 74% dos inquiridos afirmaram que os serviços na cloud aumentarão os riscos cibernéticos, mas apenas 44% afirmam que a tecnologia cloud está protegida pela estratégia de cibersegurança – indicando uma enorme diferença de 30%, que é a diferença aproximada, em média, de todas as novas tecnologias e iniciativas empresariais inquiridas. As maiores diferenças estão nos produtos inteligentes, nas API abertas, na protecção dos dados de desempenho dos colaboradores e nos riscos associados aos locais de trabalho virtuais.
Para diminuir a diferença entre as capacidades actuais e as necessidades futuras da resiliência cibernética, as empresas devem actualizar a forma como planeiam e põem em prática a cibersegurança. As organizações estão a combater uma guerra com planos de batalha desactualizados. Por exemplo, mais de metade das empresas (52%) baseia os seus investimentos em cibersegurança apenas nos riscos e nas necessidades actuais, não tendo em conta as necessidades futuras do negócio no plano de investimento.
Em geral, as empresas não são geridas e organizadas para lidarem com os riscos generalizados dos negócios do futuro. A responsabilidade da segurança cai no CISO e na equipa de cibersegurança. Os líderes de departamentos raramente têm de incutir a segurança no design de produto ou noutras ofertas – ou são responsáveis pela cibersegurança; isso acontece em 22% das organizações inquiridas. Embora a maioria das empresas tenha contratado um CISO ou delegado a cibersegurança num dos executivos de topo, como o CIO, estes líderes têm frequentemente um impacto limitado para lá da segurança. Quase metade dos inquiridos afirmou que o CISO só é chamado a intervir depois de uma nova oportunidade de negócio ter sido acordada.
As empresas não estão a garantir que os colaboradores têm conhecimentos sobre cibersegurança e que haja uma cultura em que a organização é o centro e que apoie a resiliência informática generalizada. No inquérito, só metade dos inquiridos revelou que os colaboradores recebem formação em cibersegurança após entrarem na organização, recebendo posteriormente actualizações regulares. Apenas 40% dos CISO afirmaram que é prioridade estabelecer ou expandir um programa interno sobre ameaças.
EXPANDIR O NEGÓCIO DO FUTURO COM CONFIANÇA
As equipas de cibersegurança fizeram progressos na luta contra o crime informático. Mas ganhar a guerra exigirá novas estratégias e armas. A administração pode assegurar o sucesso de um negócio interligado, inteligente e autónomo ao certificar-se que a segurança é uma competência fundamental. Se o fizerem, as organizações manterão o inimigo ao longe e criarão ligações de confiança com clientes e parceiros, desenvolvendo processos reforçados que as tornarão concorrentes ainda mais fortes. Com uma cibersegurança difundida, as empresas do futuro podem crescer com confiança.
FONTE | Estudo Accenture “Build Pervasive Cyber Resilience Now”
Artigo publicado na Revista Executive Digest n.º 151 de Outubro de 2018.