Por Jim Wetekamp, Diretor Executivo da Riskonnect

Os dias em que os diretores de segurança da informação trabalhavam na retaguarda acabaram. Os CISOs de hoje são considerados parceiros estratégicos de negócios. De facto, a investigação da Deloitte demonstra um aumento significativo no envolvimento dos CISOs em conversações estratégicas e que mais CISOs agora reportam diretamente ao Diretor Executivo.

As organizações dependem da tecnologia para a estratégia, crescimento e receita. A disponibilidade e o tempo de atividade do sistema são inegociáveis, no entanto, o aumento das ameaças digitais coloca as empresas em constante risco de perturbação. As administrações estão a exigir que os CISOs e os líderes tecnológicos antecipem e giram proativamente esta crescente variedade de riscos para proteger a tecnologia crítica da organização. O papel do CISO e a forma como estes líderes abordam as ameaças estão a mudar fundamentalmente como resultado.

Nova geração de riscos digitais

Os CISOs enfrentam uma vasta gama de riscos digitais em evolução que tornam mais desafiante do que nunca manter a organização e a sua tecnologia seguras e a funcionar sem problemas.

Adoção de tecnologia

Oitenta por cento dos executivos seniores pretendem aumentar os gastos em novas tecnologias este ano. As empresas estão a adotar estrategicamente ferramentas de IA, automação, tecnologia em nuvem e outras tecnologias avançadas e emergentes para aumentar a produtividade, simplificar as operações, melhorar a tomada de decisões, melhorar as experiências dos clientes e, em última análise, manter uma vantagem competitiva.

No entanto, cada nova peça de tecnologia que a organização adota expõe o negócio ao risco. Embora estas novas ferramentas ofereçam muitos benefícios, também expandem a superfície de ataque e criam vulnerabilidades. As novas ferramentas também podem reduzir o desempenho geral do sistema e levar a potenciais tempos de inatividade durante a implementação se não forem perfeitamente integradas com os sistemas existentes.

Ameaças avançadas de cibersegurança

O risco cibernético agora ultrapassa os riscos económicos e de talento como a principal preocupação para as organizações. De acordo com o Relatório da Nova Geração de Riscos da Riskonnect, 72% dos executivos afirmam que as ameaças cibernéticas afetam significativamente a sua organização. Vinte e quatro por cento dos executivos citam especificamente os ataques potenciados por IA – como ransomware, phishing e deepfakes – como o seu principal risco de negócio para os próximos 12 meses. Apesar desta ameaça crescente, 80% das organizações carecem de uma estratégia dedicada para abordar os ataques de fraude impulsionados por IA e outros riscos de IA generativa, o que deixa as organizações expostas.

O cibercrime custa às empresas aproximadamente 10,5 biliões de dólares anualmente. O custo médio global de uma violação de dados é atualmente estimado em 4,45 milhões de dólares. As exigências de ransomware têm uma média de 2 milhões de dólares, mais 2,75 milhões de dólares em custos de limpeza. As consequências do cibercrime vão além das perdas financeiras. Uma única violação ou ataque pode levar a danos reputacionais, escrutínio regulatório e perturbações operacionais que têm efeitos duradouros. Dado o impacto comercial destes riscos, é compreensível por que razão a influência dos CISOs está a crescer, e estes líderes tecnológicos são cada vez mais vistos como parceiros estratégicos de negócios.

Falta de governança de IA

A rápida integração da IA nas operações comerciais cria grandes desafios na governança e supervisão. Apenas 8% das organizações sentem-se preparadas para os riscos de IA e de governança de IA. Apenas 19% das organizações formaram ou informaram formalmente toda a sua organização sobre os riscos de IA generativa.

As ameaças internas são tão sérias quanto as que vêm de fora das quatro paredes de uma organização. Funcionários, parceiros, contratados e fornecedores com acesso ao sistema podem comprometer a segurança, maliciosa ou involuntariamente, desde a exposição acidental de dados devido a manuseio inadequado até ao roubo deliberado de dados e extorsão. Existe também o risco de falhas do sistema devido a funcionários que utilizam ferramentas de IA incorretamente ou ao modelo de IA tomar decisões ou alterações não autorizadas. A pressão para gerar valor rápido da IA também poderia levar as equipas a negligenciar a governança de segurança ou a contornar completamente a função de TI.

Riscos de terceiros

À medida que mais fornecedores adotam ferramentas de IA, o risco de terceiros cresce exponencialmente. Pelo menos 15% das violações de dados envolvem um terceiro ou fornecedor, com algumas estimativas mais próximas de um terço ou mais, e a IA amplifica ainda mais este risco. Sessenta e cinco por cento das organizações carecem de políticas que regulem o uso de IA entre fornecedores, o que cria lacunas críticas de segurança. Mas a IA não é o único fator. Uma atualização de software defeituosa, como no caso do notório incidente da CrowdStrike, ou outro evento num parceiro fornecedor poderia encerrar as suas operações críticas se não tiver uma abordagem abrangente implementada para a gestão de risco digital.

Como o papel do CISO está a evoluir

Os CISOs costumavam estar focados na proteção das informações da empresa. O foco estava na implementação de medidas de segurança como firewalls, sistemas de deteção de intrusões e encriptação de dados para afastar potenciais ameaças. Mas dada a crescente dependência da disponibilidade do sistema e a variedade e gravidade das ameaças digitais aos sistemas das organizações, o risco de TI é agora um risco central para o negócio – e as expectativas do papel do CISO são muito maiores.

Os CISOs necessitam de uma compreensão profunda da exposição e resiliência da organização para toda a gama de riscos digitais – não apenas violações de dados e questões de segurança da informação. Espera-se que eles:

  • Salvaguardem a tecnologia crítica e as aspirações futuras da organização contra ameaças cibernéticas.
  • Desenvolvam e implementem uma estratégia abrangente para abordar a cibersegurança, o risco de TI, a resiliência, a continuidade do negócio, a conformidade, a IA, o risco de terceiros e muito mais.
  • Impulsionem a resiliência digital e ajudem o negócio a recuperar rapidamente de eventos que ocorram.
  • Forneçam insights ao conselho sobre a eficácia dos processos e controlos.
  • Identifiquem as mudanças necessárias nas práticas de TI, cibernética e IA para proteger o negócio.
  • Transmitam informações técnicas de uma forma que outros líderes e utilizadores da linha da frente em toda a organização compreendam.

O papel do CISO está a transformar-se. E também a forma como estes líderes tecnológicos abordam a gestão dos riscos digitais que poderiam derrubar a empresa instantaneamente.

Três formas de maximizar o impacto do CISO

Existem três passos que os CISOs devem considerar à medida que se elevam para atender às suas crescentes expectativas e assumir a responsabilidade pelas suas responsabilidades em expansão na proteção da tecnologia privilegiada e das aspirações e viabilidade futuras da organização.

1. Mudar a sua mentalidade para além da “deteção.”

Os sistemas de deteção de intrusões, sistemas de gestão de informações e eventos de segurança, scanners de vulnerabilidades e outras ferramentas certamente ainda têm o seu lugar. Mas não são o alfa e o ómega. Mesmo as medidas de cibersegurança mais avançadas não podem eliminar o seu risco. À medida que as expectativas sobre os CISOs crescem e evoluem, as abordagens de gestão de risco precisam de se transformar em paralelo.

Os riscos digitais de hoje estendem-se muito além de malware e violações, incluindo desafios regulatórios, vulnerabilidades de terceiros e interrupções operacionais. Os CISOs necessitam de uma abordagem proativa e holística para prevenir, gerir e recuperar de todo o espectro de riscos digitais. Um foco exclusivo na deteção de vulnerabilidades, ataques e contratempos negligencia fontes críticas de risco e deixa as organizações expostas.

2. Concentrar-se numa estratégia unificada de gestão de risco tecnológico.

Já passaram os dias de inventariar o risco, identificar anomalias e corrigir vulnerabilidades componente por componente. A superfície de ataque e o espectro de risco atuais são simplesmente demasiado grandes. Existem demasiados ativos, sistemas, serviços de negócio, utilizadores, equipas, controlos, servidores, dispositivos e regulamentos para gerir. Os riscos também estão interligados e podem abranger toda a empresa. A única forma de se manter em cima de tudo isto é com uma abordagem proativa, abrangente e estruturada que coordene vários stakeholders e departamentos.

Os CISOs líderes reconhecem a pura escala dos riscos digitais que poderiam prejudicar o negócio. Gerir riscos tecnológicos significa não apenas obter insights sobre riscos e controlos de TI, mas também sobre riscos de terceiros, conformidade, continuidade de negócio, resiliência, privacidade de dados e muito mais.

O foco mudou agora da gestão de risco de TI para a gestão de risco tecnológico. A gestão de risco tecnológico identifica, antecipa e aborda os riscos mais amplos de falha tecnológica para assegurar operações suaves e ininterruptas. Reúne vários domínios de risco e as estratégias, processos, sistemas, finanças e pessoas para gerir riscos em toda a organização, incluindo ciberataques, exigências de ransomware, violações de dados, interrupções de serviço, avarias de equipamento, erro humano e muito mais.

Uma estratégia unificada requer igualmente uma estreita colaboração com a liderança executiva, as equipas de TI, as unidades de negócio e os parceiros externos para fomentar uma cultura de resiliência e responsabilidade partilhada.

3. Obtenha uma visão holística dos riscos digitais.

Os CISOs necessitam de saber onde residem os riscos digitais da organização, o que significam, como se relacionam com a estratégia empresarial e que medidas tomar. Comece por identificar os ativos tecnológicos e os parceiros da organização. Faça um inventário de todas as redes, dispositivos, infraestruturas, software, dados, processos e pessoas. Isto inclui programadores, utilizadores, pessoal técnico e outros que operam a tecnologia.

Em seguida, avalie os riscos. Examine a infraestrutura digital, os sistemas, os processos, as vulnerabilidades e os controlos existentes da organização. Determine a probabilidade e o potencial impacto destes riscos, tanto de fontes internas como externas.

Alguns riscos são importantes de evitar completamente porque não justificam o potencial dano. Outros poderão valer a pena aceitar, como os riscos associados a novas tecnologias. Poderão ainda existir riscos cuja responsabilidade é preferível transferir para outra parte, geralmente através de seguros ou outsourcing. Reavalie regularmente estes riscos e planos de resposta, e ajuste os planos conforme necessário. Mantenha-se à frente destes e de outros riscos emergentes, monitorizando continuamente o panorama de ameaças digitais e planeando diversos cenários.

Um enfoque nos CISOs

É uma época empolgante para os CISOs. A transformação digital está a acelerar em todos os setores, e o seu papel está a expandir-se rapidamente para enfrentar os crescentes desafios de gerir um negócio na era digital. Os CISOs detêm as chaves para garantir que a empresa pode adotar com confiança novas tecnologias sem comprometer a segurança ou a estabilidade.

Sobre o Autor

Jim Wetekamp é o Diretor Executivo da Riskonnect, uma empresa líder em software de gestão integrada de riscos. É um especialista reconhecido em risco segurável, risco empresarial e resiliência.