Mindsets de segurança de dados: CEO vs CSO

Mindsets de segurança de dados: CEO vs CSO

Se quiser obter uma visão real da desconexão entre a área de TI e executivos C-level, analise o Relatório de Balanço Cibernético do Instituto Cyentia, de 2017. Com base no levantamento com mais de 80 integrantes de conselhos corporativos e executivos de TI, a Cyentia levantou diferentes pontos de vista em relação à segurança de dados entre CSOs e CEOs em seis áreas diferentes.

A principal conclusão é que não só a TI não fala a mesma língua que a área comercial, como os executivos de negócios e a TI enxergam valores e métricas básicas de segurança de maneira diferente.

O relatório e suas descobertas foram inspiração para preencher essa lacuna da comunicação e tentar colocar a todos na mesma página.

Quando os mundos colidem
A Cyentia pediu que CSOs e membros de conselho avaliassem o valor da segurança de dados em seus negócios em cinco categorias: orientação de segurança, capacitador de negócios, prevenção de perdas, proteção de dados e proteção de marca.

Sim, fiquei surpreso ao ver que a proteção de dados foi considerada valiosa por menos de 30% dos CSOs, mas por mais de 80% dos integrantes do conselho. Posso ser um idealista, mas acho que esse seria o trabalho número 1 dos CSOs.

A explicação da Cyentia é digna de nota: “Os CSOs sabem que a proteção de dados está em sua competência… e aprenderam a posiciona-la como um facilitador de negócios e não como um centro de custos”.

O que a Cyentia está querendo dizer é que os CSOs sentem que a proteção de dados traz um valor para os negócios. E isso concorda com o fato de que 40% dos CSOs afirmam que ela é uma facilitadora para os negócios. Embora essa crença não seja compartilhada igualmente pelo conselho – apenas 20% deles acreditam nisso.

A chave para isso é a diferença no desdobramento no valor de “proteção da marca”. Mais de 60% do conselho considera isso importante, enquanto entre os CSOs, menos de 20%.

Não me surpreende que os CSOs não vejam seu trabalho como sendo útil para a marca, não os culpo. É possível até escuta-los gritando: “Sou um profissional de TI, não um defensor da marca”.

Mas vamos olhar para o assunto sob uma perspectiva de risco, que é o ponto de vista de CEOs e conselhos. Como foi colocado por um dos entrevistados, sua maior preocupação é em relação as implicações legais e de negócios de uma violação de dados. Eles sabem que uma violação ou ataque interno pode causar sérios danos à reputação, diminuindo as vendas e levando a processos judiciais. Entende-se, assim, que o dano à marca é um problema da diretoria.

Obviamente há custos diretos e indiretos envolvidos em incidentes de violação de dados.

Vamos falar sobre risco
As métricas utilizadas no relatório também são reveladoras e detalham esse ponto de vista divergente. Naturalmente, os CSOs estão focados em várias métricas de TI, particularmente relacionadas a incidentes de segurança, respostas, governança, entre outras.

A Cyentia explica que há equilíbrio entre os dois lados em muitas métricas de TI. Entretanto, existe uma lacuna em relação a importância das métricas de “postura de risco”, citadas por 80% dos integrantes do conselho e por apenas 20% dos CSOs. Uma disparidade surpreendente.

O que fazer?
A TI adora métricas de segurança operacional: as mencionadas, juntamente com detalhes sobre o dia-a-dia das operações, envolvendo status de patch, estatísticas de malware, vírus, entre outras.

Mas não é isso que os integrantes do conselho, que podem não ser tão bem informados sobre a TI, acham que é importante para o seu trabalho.

Essas pessoas têm uma enorme experiência na execução de negócios reais. Precisam planejar com antecedência e esperam que haja incerteza em seus planos. O que querem da TI é uma quantificação de quão ruim uma violação, ataque interno ou um vazamento de dados pode custar, e qual a frequência ou probabilidade de que esses eventos possam ocorrer.

Para o futuro
Se quiser ficar à frente no jogo, dê uma olhada na apresentação que Evan Wheeler fez na conferência RSA deste ano. Seu ponto principal explica que os líderes das empresas estão interessados em eventos raros de cibersegurança, aqueles que causam enormes prejuízos, e em eventos mais prováveis, que normalmente causam prejuízos menores. Eles lidam com cada um desses eventos de maneira diferente.

Há outras estatísticas interessantes no relatório da Cyentia. Faça o download e passe um tempo pensando nos detalhes. Vale a pena o esforço.

Com o Varonis DatAdvantage você garante que o acesso aos dados será fornecido apenas para quem tem que ter esse acesso. Monitore o acesso e receba alertas quando há divergências no comportamento