Os executivos podem relutar em liberar orçamento para financiar a segurança cibernética. Veja como convencê-los de que gastar dinheiro para proteger o negócio que é a coisa certa a se fazer.

O Chief Information Security Officer (CISO) está na posição nada invejável de manter os dados, ativos e pessoal de toda a organização protegidos em um momento em que ameaças de segurança cibernética espreitam em cada esquina.

Ataques de phishing podem fornecer aos hackers mal-intencionados um meio relativamente simples de roubar nomes de usuário e senhas, vulnerabilidades de software não verificadas podem fornecer backdoors em toda a rede, enquanto o espectro de ataques de ransomware devastadores , que podem custar milhões de dólares, se agiganta.

Além de tudo isso, as empresas - e suas equipes de segurança da informação - tiveram que se adaptar ao aumento do trabalho remoto , que oferece continuidade de negócios para organizações e funcionários, mas também fornece aos criminosos cibernéticos oportunidades adicionais de comprometimento da rede .

Não é à toa que a maioria dos CISOs acredita que há o risco de sua organização enfrentar um ataque cibernético prejudicial nos próximos 12 meses , especialmente quando incidentes de alto perfil como o ataque Colonial Pipeline e o ataque de ransomware contra o serviço de saúde irlandês demonstraram o quão perturbador um um ataque cibernético pode ser.

Adicione a necessidade de conformidade regulamentar com as leis de proteção de dados e há muito o que os CISOs devem considerar - e tudo isso requer orçamento e recursos. Em um mundo ideal, os CISOs teriam acesso irrestrito aos recursos e pessoal necessários para manter a segurança dos negócios. Mas as diretorias não estão preenchendo cheques em branco para orçamentos de segurança cibernética.

Então, como os CISOs podem manter os negócios seguros se as diretorias relutam em atribuir orçamentos a algo que eles não veem valor - especialmente se voltam e pedem mais?

Afinal, se uma empresa não foi atingida por um grande incidente cibernético (que saiba), o conselho pode ver poucos motivos para investir em segurança cibernética: eles acham que tudo está funcionando perfeitamente, mesmo que isso possa estar longe de ser o caso .

"Os conselhos de administração estão ficando um pouco fartos de o CISO vir para as conversas de orçamento anual dizendo que precisam do que receberam no ano passado, mais x por cento a mais, o que normalmente tem dois dígitos", disse Paul McKay, analista principal da Forrester.

“Eu acho que há um pouco de fadiga dentro do conselho de administração - que pensa 'nós continuamos lhe dando mais dinheiro para segurança, mas você continua voltando no ano seguinte e nos dizendo que precisa de mais e mais'”, acrescenta McKay.

Mas garantir que haja orçamento suficiente disponível para proteger a rede e fornecer aos funcionários as ferramentas e habilidades necessárias para se manterem seguros é vital.

Procurando atenção

Pode ser difícil conseguir a atenção total do conselho, especialmente se a segurança cibernética for vista puramente como uma saída, com poucos benefícios para os resultados financeiros. A melhor maneira de resolver isso é explicar, em linguagem simples, as ameaças potenciais que existem. Pode até ser uma boa ideia para um CISO realizar um exercício para demonstrar o impacto potencial de um incidente cibernético.

Isso não deve ser exagerado, mas apresentar ao conselho um exercício baseado em um incidente de ransomware da vida real , por exemplo, e explicar como um ataque semelhante pode afetar a empresa pode abrir alguns olhos, mostrando quais medidas precisam ser tomadas ocupado. Isso poderia resultar na liberação de um orçamento extra.

"Uma das melhores maneiras de chamar a atenção deles é conduzir um exercício de ransomware muito cuidadoso. Escolha algo muito realista e permita que sua equipe executiva acompanhe o processo de tomada de decisão", disse Theresa Payton, CEO da Fortalice Solutions e ex-chefe de informação oficial (CIO) da Casa Branca.

Em teoria, o exercício de ransomware levará executivos a fazer perguntas sobre segurança de rede, ferramentas de segurança cibernética e planos de contingência. Isso pode abrir caminho para ensinar o conselho sobre essas questões e defender as finanças necessárias para garantir a segurança da rede.

"Isso lhe dará a oportunidade de mostrar a seus executivos informações de uma forma real que eles possam digerir e tomar decisões. E você pode mostrar a eles 'aqui é onde temos maturidade, aqui é onde estamos faltando e vamos precisar orçamentos para que possamos reforçar nossas defesas ', diz Payton.

Essas conversas também são importantes porque podem fornecer um caminho para ajudar as salas de diretoria a entender as questões em torno da segurança cibernética.

Às vezes, os profissionais de segurança cibernética consideram certas atitudes óbvias porque vivem e respiram o assunto. Mas os não especialistas podem não considerar as ferramentas e habilidades necessárias para ajudar a manter a segurança de uma empresa, o que é importante lembrar ao falar sobre segurança cibernética em salas de reuniões.

"Acho que o membro médio do conselho está completamente sobrecarregado pela quantidade de jargão e terminologia que torna incrivelmente difícil para alguém que está desconectado desses tópicos tomar decisões", disse Betsy Cooper, diretora do Aspen Tech Policy Hub, que trabalha para educar executivos e tomadores de decisão sobre segurança cibernética.

Os chefes podem não ver o problema de usar uma senha fraca ou de não ter autenticação multifator porque, aos olhos deles, senhas complexas ou um alerta para verificar se realmente são eles que estão se conectando são uma barreira para a produtividade. Entender por que os executivos podem se sentir assim é a chave para transmitir a mensagem.

"Uma das coisas principais que tentamos enfatizar é que você não apenas deve usar uma linguagem simplificada, mas evitar o jargão, mas também deve começar explicando por que isso é importante", diz Cooper.

Gaste com responsabilidade

Uma vez que os CISOs tenham a atenção do conselho, eles devem apoiá-la com um plano. Eles precisam de uma estratégia para o orçamento de segurança e uma ideia clara das ferramentas, do pessoal e do treinamento que irão adquirir.

Não adianta solicitar um orçamento do que apenas improvisá-lo: o conselho tem maior probabilidade de emitir o financiamento necessário se houver um plano definido, uma estratégia que eles possam ver e apoiar.

Alguns conselhos podem até ficar impressionados se o CISO estiver trabalhando dentro do orçamento que eles estabeleceram - algo que pode levar a um aumento da confiança se as solicitações de orçamento adicional precisarem ser feitas mais adiante.

"Bons CISOs reconhecem que, para manter sua credibilidade com seu conselho, eles precisam ser vistos como gastando dinheiro de maneira responsável. Já vi exemplos deles devolvendo dinheiro que não têm um bom uso para gastar, e dizendo 'dê isso a outra pessoa para investir em outro lugar no negócio' ", diz McKay. “Esse tipo de gestão responsável é realmente muito importante”.

Em última análise, as empresas querem ganhar dinheiro e uma boa segurança cibernética pode ajudá-las a atingir esse objetivo. A reputação de uma empresa - e os resultados financeiros - podem cair se for atingida por uma grande violação de dados, ataque de ransomware ou qualquer outra forma de incidente de segurança cibernética.

Pode ser difícil persuadir as diretorias a liberar orçamento para a segurança cibernética, mas os CISOs precisam ser capazes de mostrar por que o investimento é necessário - e que, ao fornecer esse investimento, agrega valor ao negócio. Nenhum CISO deseja que sua empresa se torne a próxima vítima de um grande ataque cibernético, por isso é vital se envolver com o conselho para fazer isso acontecer e garantir o orçamento necessário.

Fonte: ZDNet