Accenture Digital Business: Como proteger o futuro

As empresas devem preparar-se para os riscos inerentes a novos modelos de negócios e tecnologias inteligentes, como a inteligência artificial e machine learning.

Máquinas estão a atacar outras máquinas. As empresas precisam de relacionar a cibersegurança com o seu negócio, utilizando as tecnologias para protecção que já estão identificadas como sendo utilizadas por piratas informáticos. Três quartos dos executivos inquiridos esperam que os riscos de segurança informática diminuam nos próximos anos, graças a novas tecnologias. Mas as novas tecnologias não são suficientes. As organizações precisam de incutir cibersegurança em tudo o que fazem. Devem infundir uma mentalidade em que a cibersegurança assume um lugar de destaque, é uma prioridade de todos e é extensível para além dos limites. As organizações devem começar por desenvolver uma estratégia informática e um plano de investimento coerentes que se concentrem nas questões de gestão e protecção de dados. Precisam de fazer alterações estruturais para disseminar competências e responsabilidades em toda a organização. Terão de formar a força de trabalho e os clientes, e trabalhar com parceiros.

LÍDERES DE NEGÓCIO À FRENTE DA RESILIÊNCIA

A segurança deve estar incutida na estratégia da organização, no design de produto, nos orçamentos e nas actividades diárias do negócio. Actualmente esta permanece fechada e separada do negócio e este ajuste irá exigir alterações organizacionais e investimentos da administração.

Incluir a cibersegurança na estratégia de negócio.

A estratégia de cibersegurança de uma empresa deve ficar clara aquando da definição da estratégia de negócios. Quando a cibersegurança não é vista como uma prioridade ou é um ad on posterior, o negócio nunca será resiliente. As possíveis consequências das quebras na segurança são semelhantes aos danos que enfrentam de outros riscos financeiros e empresariais.

Extender as responsabilidades de segurança à liderança da organização.

Na maioria das empresas, os especialistas em segurança não estão no terreno quando as unidades de negócio desenvolvem novos produtos, serviços e processos. 73% dos inquiridos concordam que as pessoas e as actividades ligadas à segurança informática precisam de estar dispersas pela organização, no entanto a segurança permanece centralizada em 74% das empresas. Além disso, 25% dos executivos não CISO afirmam que os líderes de unidades de negócio são responsáveis pela segurança informática e um número semelhante diz que os líderes de unidades de negócio devem ser responsáveis. É preciso autoridade para alargar a responsabilidade da segurança. A GE, por exemplo, criou cargos de CISO em várias unidades de negócio e geografias para dispersar as competências em segurança na organização.

Fazer apostas mais adequadas aos investimentos futuros.

Apenas 13% das empresas incluem avaliações às necessidades quando definem o orçamento para a segurança informática. Só em menos de um terço das empresas inquiridas é que o CISO e os líderes colaboram num plano e orçamento de a segurança. As empresas que olham para as necessidades futuras têm um diálogo mais fundamentado sobre a segurança. Os inquiridos afirmam que as empresas concebem orçamentos e estratégias para protegerem os seus bens mais valiosos, mas as suas prioridades tendem a dirigir-se para a protecção de sistemas de TI e bens críticos; os novos sistemas digitais, dados e ligações não recebem a mesma atenção.

O CISO COMO FACILITADOR

A nossa pesquisa mostra que os CISOs estão bem estabelecidos nas grandes empresas que inquirimos. Contudo, apenas alguns destes executivos têm a autoridade e a visibilidade de que necessitam para influenciarem as unidades de negócio e incutir resiliência informática na sua estratégia. Isto deve-se a muitos factores, incluindo falta de conhecimentos sobre riscos informáticos entre executivos de negócios e, por vezes, incapacidade de os CISOs tomarem a iniciativa de forma colaborativa: apenas 40% dos CISIOs afirmam que reúnem sempre com os líderes das unidades de negócio para compreenderem o negócio antes de proporem uma abordagem para a segurança. Para que os CISOs sejam vistos como parceiros de confiança precisam de trabalhar de perto com as unidades de negócio para darem vida às iniciativas de transformação e crescimento idealizadas pelos executivos de topo.

Reforçar competências de segurança para estar mais próximo das unidades de negócio.

Embora os CISOs e outros profissionais de segurança estejam a fazer um bom trabalho a defender as empresas contra ameaças já estabelecidas, são necessários novos cargos e competências para implementar uma resiliência informática generalizada. Uma abordagem que reflecte as vastas necessidades do negócio do futuro é a criação do “chief digital trust, security and resilience officer”, que pode supervisionar a segurança num contexto mais abrangente e servir de ponte entre a segurança e as unidades de negócio, e entre o CEO e a administração. Quase metade dos CISOs reconhecem que as suas responsabilidades para proteger a organização estão a crescer mais depressa do que a sua capacidade para abordar questões de segurança. As empresas podem também pensar em acrescentar talento especializado na área da segurança, como chefes de segurança para os dados dos consumidores e design de produto.

Assegurar que os CISOs têm inteligência empresarial.

Quatro em cada cinco dos inquiridos declararam que o cargo de CISO irá passar de um “executor autoritário” para “influenciador/coach” e outros c-levels. Para tal, o CISO precisa de comunicar com os líderes de negócios através da sua própria linguagem. Actualmente, porém, apenas 46% dos CISOs acreditam que compreendem a linguagem do negócio. Há um consenso crescente de que os CISOs devem tornar-se consultores de negócios competentes e isto reflecte-se na cobertura mediática das contratações e gestão de CISOs. A discussão sobre nomeações de CISOs dá ênfase ao seu papel como parceiros de negócios, usando termos como “consultor empresarial” e “parceiro” e menos termos que reflectem capacidades técnicas, como “arquitecto de soluções” e “segurança de TI”.

Fornecer directrizes claras em relação às prioridades informáticas.

Quando perguntámos o que precisam de saber dos executivos de topo e da administração para compreenderem como o negócio se liga às suas responsabilidades, os CISOs responderam que as suas principais prioridades eram identificar áreas de negócio onde os ataques pudessem causar mais perdas e quais os bens digitais mais valiosos.

Redefinir medidas de sucesso.

À medida que o CISO se torna um parceiro mais forte para os líderes de negócio, as métricas do sucesso da cibersegurança precisam de se expandir. As métricas convencionais para o CISO e para a equipa de segurança encorajam a detecção e a resposta a ameaças, mas elas precisam de evoluir e incluir critérios adicionais, como de que forma é que a função de segurança informática protege os riscos associados a futuras oportunidades.

COLABORADORES SÃO PARTE DA SOLUÇÃO

Intencionalmente ou propositadamente, os colaboradores tornam possíveis muitos ataques cibernéticos. A publicação acidental de informações confidenciais por parte dos colaboradores e os ataques internos foram grandes preocupações para os executivos inquiridos no inquérito Accenture 2018 State of Cyber Resilience e ficaram em segundo lugar, atrás apenas dos ataques externos, na lista de preocupações dos executivos. Contudo, pouco está a ser feito em termos de investimento na formação e reforço dos colaboradores.

Para reduzir as falhas e incorporar a segurança informática no tecido da organização, as empresas devem clarificar que os colaboradores são responsáveis pela segurança. Os especialistas em segurança têm não só de fornecer formação contínua e reforço de competências, como também têm de incentivar os colaboradores e garantir que eles têm todas as ferramentas para definir e avaliar riscos. O CEO deve convocar as equipas de Recursos Humanos, Learning & Development, Legal e IT para trabalhar de perto com o departamento de segurança e com as unidades de negócio.

Formar e reforçar os comportamentos de segurança.

Sem uma mentalidade que coloque a segurança em primeiro lugar, os colaboradores continuarão a ser o elo mais fraco. As novas formas de trabalho – com mais colaboradores externos e trabalho a distância – tornarão mais urgente a necessidade de formação. Contudo, formar colaboradores para agirem com a segurança em mente é a actividade mais subfinanciada nos orçamentos da área.

Criar embaixadores da segurança.

Com as abordagens certas, os colaboradores podem tornar-se embaixadores da segurança. A Gartner calcula que 35% das empresas irão implementar um programa de defesa da segurança até 2021, uma subida de 10% comparado com 2017. Os apoiantes da segurança podem agir como seus defensores e oferecer feedback à equipa central sobre a eficácia destes programas.

Distinguir comportamentos que colocam a segurança em primeiro lugar.

Reconhecer colaboradores que reportam actividades maliciosas ou actos ilícitos e oferecer incentivos a embaixadores da segurança são duas estratégias a seguir. Apenas 41% das empresas oferecem incentivos para os líderes empenhados na segurança informática.

Manter boas defesas.

A formação e o reforço podem reduzir o risco de os colaboradores ajudarem acidentalmente criminosos informáticos. Para apanhar os colaboradores que estão a cometer ou a incentivar o crime cibernético, as empresas podem monitorizar os colaboradores, além de usarem técnicas de protecção de dados, como a encriptação e a gestão de direitos.

DEFENDER A PROTECÇÃO DOS CLIENTES

As empresas afirmam que a gestão das exigências dos clientes é a segunda prioridade mais urgente nos seus investimentos em segurança informática, logo atrás da prevenção de incidentes de grande importância. As organizações terão de fazer um melhor trabalho nesta frente, e serão forçadas a fazê-lo por causa de novos regulamentos e para manter a confiança – algo essencial nos negócios. Acreditamos que as empresas podem ir para lá do que lhes é exigido e tornar-se embaixadores dos seus clientes no que respeita à protecção de dados. Precisam de:

Dar prioridade à segurança desde o design.

A confiança e a privacidade digital estão a tornar-se grandes factores para os consumidores na hora de comprar. As empresas devem dar prioridade à segurança nos processos de design e desenvolvimento de produtos e serviços interligados. Por exemplo, a Apple anunciou que irá tornar mais difícil retirar dados do iPhone sem autorização devida. Este método, chamado USB Restricted Mode, bloqueará o acesso a dados através da entrada Lightning do iPhone se o telefone não esteve desbloqueado na hora anterior.

Preparar para novos regulamentos.

Em resposta ao roubo e abuso dos dados dos clientes, as entidades estão a criar novas regras para proteger os consumidores. O Regulamento Geral de Protecção de Dados da União Europeia (RGPD), que entrou em vigor em Maio de 2018, cobre os dados dos cidadãos europeus onde quer que estejam. Entre outras coisas, o RGPD exige que as empresas encriptem os dados dos clientes e impeçam a perda de dados. As infracções podem levar a multas de até 20 milhões de euros.

Ajudar os clientes a protegerem-se a si próprios.

Não chega revelar como os dados podem ser usados num acordo de privacidade, o qual a maior parte dos clientes nunca lê. As empresas que ensinam aos clientes como se protegerem serão recompensadas com a sua confiança.

PENSAR PARA LÁ DA EMPRESA

A empresa do futuro pode realizar negócios electronicamente com centenas ou até mesmo com milhares de fornecedores e parceiros de todo o mundo, cada um dos quais capaz de expor a empresa a um ataque cibernético. Apenas 39% das empresas confirmam que os dados trocados com parceiros estão adequadamente protegidos pela sua estratégia de segurança informática. Para abordarem este risco, as empresas podem:

Gerir os riscos do ecossistema de forma sistemática.

As empresas podem estabelecer mecanismos formais e informais para desenvolver uma ligação segura com fornecedores, parceiros e terceiros.

Participar nos esforços de segurança do sector.

Nos próximos três anos, 82% dos inquiridos esperam que as suas organizações trabalhem com outras empresas para partilharem conhecimentos, serviços e produtos que melhorem a resiliência. O progresso na partilha de informações é também uma oportunidade de participar nas normas das organizações. 57% das empresas indicaram que estão a abordar estas normas nas suas colaborações.

Colaborar para além do sector.

80% dos inquiridos revelaram que esperam colaborar com empresas em diferentes sectores na segurança informática. Até as empresas que afirmam estar preparadas para ataques estão a colaborar para aumentar os seus conhecimentos sobre o contexto da segurança informática.

FONTE | Estudo Accenture “Build Pervasive Cyber Resilience Now”

Artigo publicado na Revista Executive Digest n.º 150 de Setembro de 2018.

Artigos relacionados
Comentários