Cibersegurança é considerada à posteriori pelas empresas

Segurança

Apesar do crescimento generalizado de ciberataques, apenas um terço das organizações afirma que a função de Cibersegurança é envolvida nas fases de planeamento de uma nova iniciativa de negócio, de acordo com o estudo EY Global Information Security Survey (GISS).

O GISS deste ano, sondou 1.300 líderes de cibersegurança de organizações de todo o mundo, e revelou que quase 60% das organizações enfrentaram um número crescente de ataques disruptivos nos últimos 12 meses.

Além do mais, no decorrer do último ano, os ativistas foram responsáveis por 21% dos ataques de cibersegurança bem-sucedidos – perdendo apenas para os grupos de crime organizado (23%) – em comparação com o estudo do ano passado, em que apenas 12% dos entrevistados considerou os ativistas como sendo os causadores mais prováveis de um ataque.

“Acreditamos ainda que já nos próximos meses os grupos ativistas vão aumentar os ataques em função da reação das organizações à pandemia do COVID-19”, diz Sérgio Martins, Associate Partner da EY.

Apesar do risco acrescido, apenas 36% das iniciativas de negócio suportadas por tecnologias responderam incluir as equipas de segurança desde o início dos projetos.

“A cibersegurança, tradicionalmente, têm sido uma atividade dirigida à conformidade, executada recorrendo a abordagens de checklist, ao invés de ser incorporada de raiz nas iniciativas suportadas por tecnologias. Este não é um modelo sustentável. Se alguma vez esperamos antecipar-nos à ameaça, teremos de nos focar na criação de uma cultura de security by design. Isto apenas pode ser concretizado, se conseguirmos superar a divisão que existe entre as funções de cibersegurança e as funções de negócio e permitir que o Chief Information Security Officer (CISO) atue como consultor e facilitador em vez de ser um obstáculo estereotipado”, explica Sérgio Martins.

De acordo com este estudo, enquanto as equipas de cibersegurança geralmente mantêm boas relações com funções adjacentes, tais como IT, auditoria, risco e jurídica, existe uma desconexão latente com outras áreas de negócio.

Quase três quartos (74%) dizem que a relação entre a cibersegurança e o marketing é, no melhor dos casos, neutra, se não duvidosa ou inexistente, enquanto 64% dizem o mesmo das equipas de investigação e desenvolvimento e 59% das linhas de negócios. Mais de metade (57%) dizem que o seu relacionamento com departamento financeiro, do qual dependem para autorização de orçamento, também é tenso.

“À medida que as empresas passam por esta transformação, torna-se necessário construir relações de confiança transversalmente a todas as funções da organização, começando ao nível da gestão de topo para que a cibersegurança seja instituída como um ativador chave de valor acrescentado. A gestão de topo, as direções, os CISO e líderes da organização deverão colaborar para posicionar a cibersegurança no centro da transformação e inovação dos negócios. Esta colaboração é ainda mais crítica nos tempos de pandemia que vivemos onde estamos a observar uma grande aceleração da digitalização das organizações e a novos modos de trabalho, nomeadamente o trabalho remoto que trazem riscos acrescidos”, conclui Sérgio Martins.