Três perguntas de segurança que os executivos deviam fazer

Todos sabem que uma violação de dados custa caro. Mas quanto? Segundo o último relatório do Instituto Ponemon, o custo médio de uma violação de dados agora é de cerca de US$ 4 milhões. Ainda assim, nem todos os membros do C-level e outros executivos estão agindo adequadamente para proteger seus interesses financeiros.

Obviamente, todos deviam fazer algo para proteger seus ativos. Afinal, existem apenas dois tipos de empresa: as que já sofreram uma violação e as que ainda não sabem que sofreram.

Existe uma boa teoria para explicar esse problema. Em um artigo recente da Harvard Business Review (HBR), os autores disseram que “mesmo as violações mais significativas tiveram pouco impacto nos valores das ações das empresas”. Talvez por isso, os executivos estejam dando pouca atenção às notícias de violações de dados.

Os autores do texto, no entanto, suspeitam que o problema real é que os efeitos a longo prazo da perda e do roubo de informações sensíveis e de propriedade intelectual são difíceis de medir e quantificar precisamente. Como resultado, os membros do C-level só reagem às violações quando estas impactam diretamente o negócio e sua rentabilidade.

Felizmente, existe uma maneira de mudar essa mentalidade. Como os executivos agem em benefício de seus acionistas, podem começar a perguntar as perguntas “certas” e se manter informados constantemente sobre a evolução desse cenário. Veja algumas perguntas de segurança que seu time de executivos devia fazer:

1. Se sofrermos uma violação, onde e quando isso vai impactar o balanço da empresa?

Mesmo que o preço das ações seja afetado minimamente imediatamente após uma violação, pode haver consequências a longo prazo, como multas regulatórias, upgrades de segurança custosos e perda de oportunidades devido aos danos à reputação.

No caso da Target, que sofreu uma grande violação de dados em 2013, suas ações acabaram crescendo depois desse período, porém, a empresa teve de gastar mais de US$ 100 milhões para melhorar sua estratégia de segurança de dados. Estima-se que a empresa tenha perdido cerca de US$ 236 milhões com custos relacionados à violação de dados.

2. Onde estão nossos dados mais importantes e como protegê-los?

Algumas empresas focam demais na segurança do perímetro, algo que está longe de ser 100% efetivo. As empresas precisam de soluções de segurança capazes de detectar e parar cibercriminosos que já estão na rede, algo conhecido como User Behavioral Analytics (UBA).

O UBA é uma defesa secundária que estabelece uma base do que são atividades de um usuário normal em um ambiente e monitora continuamente os sistemas em busca de anormalidades. Quando algo fora do comum aparece, a solução dispara um alerta para que a TI possa responder ao incidente.

3. Quem é o líder de segurança? Ele tem os recursos necessários para lidar com o cenário de ameaças?

Para muitas empresas, os dados sensíveis são muito mais valiosos que o custo para protegê-los. É essencial fornecer ao departamento de segurança os recursos necessários para melhorar o budget de segurança.

No último estudo de segurança Deloitte-National Association of State Chief Information Officers (NASCIO), 80% dos entrevistados disseram que recursos inadequados são um dos principais obstáculos a uma estratégia de segurança efetiva contra as ameaças.

Os executivos da sua empresa estão fazendo essas perguntas de segurança ou estão apenas esperando serem as próximas vítimas de uma violação?