Executivos revelam dificuldades em falar sobre soluções de cibersegurança
Um estudo da Kaspersky revela que um em cada três executivos de nível C (34%) luta para falar da adoção das novas soluções de segurança com os seus colegas de TI ou departamentos de TI. Estes últimos, no entanto, consideram que o aumento do orçamento para a segurança informática é o tópico mais difícil de discutir com a gestão não TI.
De acordo com a sondagem, a maioria dos trabalhadores das TI diz que a principal razão pela qual o seu orçamento para a segurança cibernética foi reduzido foi que a gestão de topo não vê razões para investir muito nesta esfera. Kaspersky realizou um inquérito especial para explorar se esta situação poderia ser o resultado de uma comunicação pouco clara entre o pessoal de segurança TI e os executivos, e descobrir se existe uma falta de compreensão mútua entre estas duas divisões.
O estudo revela que, enquanto perto de metade dos gestores de topo (43%) pensam que os colaboradores de TI deveriam comunicar melhor os riscos informáticos às empresas, apenas 7% dos colaboradores de TI admitem ter algumas dificuldades em explicar qualquer aspeto do seu trabalho a colegas e executores não informáticos.
Os trabalhadores informáticos e não informáticos também diferem quanto aos temas mais complicados a debater. Os três temas mais difíceis de abordar com as pessoas das TI são: adoção de novas soluções de segurança (34%), alterações à política de cibersegurança (29%) e avaliação do desempenho da equipa de segurança de TI (29%).
Para os colaboradores de TI, os três temas mais difíceis de discutir com os executivos não informáticos são a necessidade de aumentar o orçamento de cibersegurança (51%), a sensibilização dos colaboradores para a cibersegurança (43%) e a expansão da equipa de cibersegurança (43%).
Sobre a questão de encontrar uma base comum, a maioria dos inquiridos concorda que as formas mais eficientes de facilitar as discussões sobre questões de segurança informática são escolher exemplos da vida real e utilizar relatórios e números. Para além destes tópicos, os executivos de nível C afirmaram também que citar referências a opiniões autorizadas (35%) lhes permitiria compreender melhor o seu pessoal de segurança informática. As equipas de TI, por outro lado, acreditam que as histórias de ameaças (50%) irão ajudá-los a comunicar melhor com os executivos.
"Pode assumir-se que os executivos não informáticos lutam para discutir a adopção de novas soluções de cibersegurança devido à abundância de termos e conceitos técnicos complexos frequentemente utilizados pelo pessoal de segurança informática. Estes últimos, contudo, não gostam de falar sobre o aumento dos orçamentos, uma vez que os executivos de nível C esperam que utilizem métricas empresariais para justificar as suas necessidades" - afirma Ivan Vassunov, VP, Corporate Products, Kaspersky. "Atualmente, num ambiente económico difícil e num panorama complicado de ameaças, a compreensão mútua entre as empresas e as pessoas da segurança informática é mais importante do que nunca para a continuidade das empresas. Para evitar riscos adicionais de cibersegurança é crucial que ambas as equipas saibam falar uma linguagem comum baseada em números, referências fiáveis e argumentos compreensíveis".
Para tornar a comunicação entre a segurança informática e as funções empresariais dentro da empresa mais transparente, a Kaspersky recomenda o seguinte:
- Alocar os investimentos de cibersegurança em ferramentas com eficácia comprovada e apresentar novos conceitos de segurança (incluindo SASE, XDR e Zero Trust) à direção como projetos de investimento ou até mesmo como caso comercial com ROI calculado. Por exemplo, nos casos de implementação XDR (Extended Detection and response) e SASE (Secure Access Service Edge), é importante comunicar que estas tecnologias permitem reduzir a carga da equipa de segurança informática, melhorando simultaneamente a postura de cibersegurança da empresa devido à centralização e automatização dos processos.
- Utilize recursos, tais como a IT Security Calculator e relatórios baseados em observações de peritos contendo informações estruturadas sobre as ameaças e medidas de segurança mais relevantes para a sua indústria específica e dimensão da empresa para verificar a probabilidade de riscos e as medidas de proteção necessárias.
- Adquirir conhecimentos adicionais para melhor compreender profissionais de outras esferas. Embora os conhecimentos básicos de negócios possam ser adquiridos a partir de cursos de formação, os executivos não informáticos têm a oportunidade de caminhar no lugar de uma CISO para obter conhecimentos sobre os desafios de segurança informática mais relevantes.
O relatório completo e mais informações sobre questões de comunicação entre os gestores de segurança de nível C e de TI estão disponíveis através da hiperligação.
Post A Comment:
0 comments: