A segurança cibernética é o alicerce dos negócios digitais. As empresas que esperam desenvolver um conhecimento avançado do cliente, insights exclusivos e propriedade intelectual utilizando recursos digitais, necessitarão de uma estratégia robusta de segurança cibernética para sustentar suas atividades. As empresas precisam de uma estratégia que leve a uma verdadeira resiliência cibernética.

Para criar uma empresa resiliente, é necessário fazer mudanças em quatro áreas: liderança e governança, financiamento, cultura organizacional e medição e monitoramento de segurança.

Diretores e executivos devem se fazer as seguintes perguntas para garantir que estão no caminho certo:

1. Liderança e governança: realmente entendemos o que está em jogo para o negócio?

Os CEOs e os conselhos de administração, felizmente, estão aumentando seu engajamento e responsabilidade no que se refere à segurança cibernética. A maioria dos CEOs, no entanto, deve fazer ainda mais. O relacionamento do diretor executivo com seu diretor de segurança da informação (CISO) é fundamental para o tipo certo de engajamento e também é importante para a capacidade do conselho em apoiar uma governança sólida de risco cibernético.

Os CISOs devem supervisionar mais do que apenas o escritório corporativo, incluindo funções, subsidiárias, joint ventures e laboratórios. Eles devem estar envolvidos em discussões sobre quaisquer novas iniciativas ou tecnologias de negócios que aumentem o risco cibernético. CEOs e conselhos devem trazê-los para o círculo interno para ajudar a criar estratégias de gerenciamento de risco para apoiar as metas e objetivos de negócios. O resultado é que os CISOs devem se tornar consultores de negócios para a liderança e informantes de desafios e sucessos de negócios para os conselhos.

2. Cultura: Nós realmente colocamos a segurança em primeiro lugar?

Uma grande parte da priorização de uma cultura de segurança é ter a mentalidade certa. No nível de diretoria e conselho, a resiliência cibernética e o gerenciamento de desempenho operacional devem andar de mãos dadas. A segurança deve ser uma prioridade estratégica rastreada e entendida como parte do ritmo da gestão normal dos negócios, da mesma forma que é com a lucratividade das unidades de negócios. É uma competência nova que precisa ser construída, assim como a excelência na produção ou a personalização no marketing digital.

Essa mentalidade deve se espalhar por toda a organização e servir como um estímulo para ações adequadas. O gerenciamento de linha deve entender que têm um objetivo principal: proteger os dados dos clientes e os ativos e operações digitais da empresa. Falhar nisso, torna tudo o mais irrelevante. O mesmo se aplica para as linhas de frente.

A mudança cultural deve ser apoiada pela ação e pelo orçamento e o investimento só é possível com apoio do conselho. Certifique-se de que o seu conselho está perguntando se essa mudança cultural está acontecendo ou não em toda a organização.

3. Investimento: quanto é a quantia certa?

Responder a essa pergunta difícil exige dividi-la em duas partes:

• A empresa apresenta excelência no básico? Isso significa investir adequadamente para resolver desafios de qualquer magnitude, desde invasores que querem chegar a um determinado cliente, até atacantes atrás dos ativos mais importantes da empresa, sejam dados ou propriedade intelectual importante, que diferenciem a empresa no mercado.

• A empresa está inovando para melhorar sua segurança? A única maneira de reduzir o custo da segurança cibernética (ou pelo menos diminuir os custos) enquanto melhora a capacidade geral é inovar nas práticas atuais de segurança.

Fazer o básico de forma correta não é fácil. Requer compreensão e preparação para as muitas intenções potenciais dos criminosos cibernéticos. Isso também significa proteger mais os ativos de alto valor. As empresas devem dificultar o máximo possível os invasores e limitar os danos possíveis quando as defesas forem violadas.

Inovações transformadoras vêm de muitos cantos, incluindo parceiros de negócios, fornecedores e alianças em outros ecossistemas. Os CEOs e conselhos devem pensar na comunidade de startups como exemplo para o caminho de sua empresa na direção da inovação e da experimentação.

Uma vez que os parceiros demonstrarem como seus produtos se integrarão de maneira eficiente e gerarão valor na missão de desenvolver a segurança, os profissionais de segurança devem introduzir rapidamente as inovações em suas organizações. O CEO deve apoiar o grupo de segurança e o conselho deve questionar o CEO sobre os planos para fazê-lo.

4. Métricas e monitoramento: estamos medindo para alinhar com os objetivos corporativos?

As métricas usadas no passado para medir o sucesso dos negócios não ajudarão no futuro. Por exemplo, as pontuações de conformidade baixa, média e alta não alertam adequadamente sobre o risco do negócio. Em vez de informações sobre planos de projetos sobre criptografia, os CEOs e membros da diretoria devem receber métricas sobre a proteção de dados dos clientes. Em vez de métricas relacionadas à aplicação de patches (atualização do software com as versões mais recentes e mais seguras), eles devem ser informados sobre como a integridade dos ambientes de produção está sendo mantida. As empresas precisam de scorecards de segurança relevantes para os negócios.

Além de receber melhores informações sobre as métricas mais relevantes, os CEOs e os conselhos devem melhorar seu próprio monitoramento e compreensão das ameaças cibernéticas. Eles precisam participar de exercícios de crise e avaliação de cenários de ataque. Essa prática ajuda a rastrear melhorias e lições aprendidas e a preparar para responder imediatamente quando ocorrer uma ameaça.

O caminho para a resiliência cibernética

CEOs e conselhos de grandes organizações que obtiveram sucesso em demonstrar a resiliência cibernética são pioneiros importantes em novas estratégias de segurança. Embora a inovação seja essencial para a sobrevivência das empresas, ela traz riscos e aumenta as superfícies de ataque para ativos e operações digitais críticos. Os líderes de negócios devem se envolver mais diretamente para assumir esse desafio, porque no futuro, o único negócio resiliente será aquele que é resiliente cibernético.