Pesquisa de segurança cibernética e insights para o negócio digital

Segundo o glossário do Gartner, segurança cibernética é a combinação de pessoas, políticas, processos e tecnologias empregados por uma empresa para proteger seus ativos cibernéticos. A segurança cibernética é otimizada em níveis definidos pelos líderes de negócios, equilibrando os recursos necessários com usabilidade/gerenciamento e o grau de risco a ser compensado. Os subconjuntos de segurança cibernética incluem segurança de TI, segurança da Internet das Coisas, segurança da informação e segurança de TO.

O ano de 2020 trouxe muitos desafios para a continuidade das operações, mas também levou as organizações a explorarem uma forma de negócio mais resiliente e adaptável, que garantiria os resultados desejados em tempos de calmaria e em tempos de agitação.

De acordo com a pesquisa de segurança cibernética do Gartner, em 2020, 44% dos líderes de equipes de entrega digital estavam localizados fora da TI.  No entanto, a necessidade de segurança está crescendo fora dos canais de segurança tradicionais. Isso significa que líderes de gestão de riscos e segurança reduziram a visibilidade da qualidade dos processos de segurança e risco porque a segurança está se expandindo fora dos canais tradicionais.

Com a mudança acelerada nos negócios e nas operações, os profissionais de segurança cibernética precisam adaptar suas estratégias para ajudar os líderes de negócios a entenderem o valor dos seus investimentos digitais. Isso se faz por meio de programas baseados em risco que garantem resiliência e confiança combinável em organizações com tomada de decisões de risco descentralizada.

Elaborar um programa de trabalho remoto de escala empresarial durável pode exigir mudanças mais profundas. Como já se passaram alguns meses desde o pico de trabalho remoto inicial, é hora de avaliar as necessidades e analisar o que mudou para determinar se os níveis de acesso estão corretos e se as medidas de segurança estão realmente obstruindo o trabalho.

Com muito mais pessoas trabalhando em casa em consequência da pandemia, muitas organizações tiveram que mudar seus paradigmas de segurança de rede. Líderes de segurança e gestão de risco precisam desenvolver controles coerentes com os novos riscos.

Em geral, o trabalho remoto segue um padrão comum e, do ponto de vista do planejamento, significa concentrar-se em áreas específicas:

• O acesso remoto, incluindo VPN, e especialmente o design zero trust de acesso à rede (ZTNA).
  
• A segurança aprimorada de endpoint para endpoints gerenciados e, se aplicável, dispositivos de propriedade individual.
• A arquitetura de gateway seguro da Web (SWG) e os agentes de segurança de acesso à nuvem (CASBs), especialmente para dar conta da escala e de locais remotos.
• A segurança das plataformas de colaboração e das soluções de teleconferência, especialmente se forem recém-implementadas. As recomendações sobre segurança da rede residencial para funcionários, que não está sob o controle da organização, mas desempenha uma função na postura da segurança geral.

Com as organizações esperando que mais funcionários trabalhem em casa no futuro, e um ritmo acelerado de mudança nas operações e adoção de modelos de negócios inovadores, os riscos de digitalização continuarão a evoluir e as ameaças de segurança cibernética continuarão a crescer. Está claro que as organizações precisam concluir um exercício de diligência devida para garantir que as estretégias para proteger a organização estão de acordo com os objetivos definidos para impedir qualquer violação da segurança cibernética.

O fato de que as organizações justificam o custo com a segurança, concentrando-se em como ela evita riscos ao invés de resultados de negócios, cria essa percepção.

Para mudar essa percepção referente aos programas de segurança da informação, obter apoio dos funcionários e da diretoria e garantir financiamento para os seus planos, é fundamental articular o valor da sua função nos termos do negócio.

Os líderes executivos responsáveis pela segurança da informação precisam:

1. Vincular investimentos em segurança ao aumento da receita ou economia de custos.
2. Garantir que a estratégia de segurança da informação seja vinculada à estratégia de negócios.
3. Comunicar valor aos colegas e à diretoria para obter suporte na estratégia.

É difícil quantificar de forma proativa o retorno financeiro do investimento resultante da maioria das despesas com segurança da informação. No entanto, recomendamos usar um modelo de valor comercial que possa facilitar a transcrição de benefícios estratégicos da segurança da informação em valor comercial. Para conferir abordagens mais detalhadas em relação à quantificação de benefícios em termos financeiros e uma introdução ao modelo 4l do Gartner, leia esta pesquisa complementar do Gartner “ Como comunicar o valor da segurança da informação em termos comerciais.”