Mais de 75% dos CIOs identificaram requerimentos de compliance como pontos determinantes para investimentos em segurança de TI, aponta levantamento realizado pela consultoria Bain & Co.
Para a empresa, compliance deveria definir o limite inferior de capacidades de segurança enquanto o limite máximo alinhado às prioridades estratégicas da organização, incluindo proteção de IP, operações contínuas e reputação da companhia, que podem ser resumidos em seis tópicos:
– Proteger dados, reputação e negócio;
– Entender os ativos-chave da organização e o apetite por risco;
– Identificar os riscos e gaps de segurança;
– Definir a estratégia de cybersegurança;
– Enfatizar gaps, prioridades e estratégias para o CEO e conselho; e
– Trabalhar com especialistas renomados em segurança.
A companhia ressalta ainda que a cibersegurança merece atenção no mundo corporativo. Primeiro, companhias têm mais ativos digitais do que tinham há dez anos, e estes ativos valem mais do que valiam antes. Eles incluem informações pessoais dos consumidores, financeiras e de transações; ativos dos proprietários, incluindo fontes de código de produtos; processos de negócios automatizados; comunicação sensível com fornecedores e parceiros; e outros dados.
A segurança em torno desses ativos varia dependendo do percebido (em oposição ao atual) valor estratégico e financeiro para o negócio, bem como a efetividade da segurança tecnológica e processos no local.
As consequências imediatas para uma companhia que lida com uma falha de dados de consumidores são severas e podem incluir repercussão negativa na imprensa, queda nas vendas e diminuição de preços (pelo menos imediatamente após a falha); ameaças de advogados de clientes e parceiros, além de investigações legais.
Quando o ataque gera acesso a fontes de códigos de softwares, os responsáveis podem encontrar e explorar novas vulnerabilidades que podem afetar sistemas corporativos e do consumidor, dados e serviços.
Para a Bain & Co., muitas organizações falham ao alinharem suas segurança de TI com objetivos maiores e apetite por risco. Isso acontece quando negócios e TI não discutem ameaças emergentes ou a importância relativa de diferentes classes de espaços digitais; desconexões entre os esforços de gerenciamento de risco das organizações e o desenvolvimento de capacidades necessárias de cybersegurança; abordagem inconsistente de planejamento de segurança, operações e financiamento. Estes erros podem criar gaps na estratégia e operação que deixam a organização vulnerável.