Por que alinhar seu SOC e a alta administração em relação à segurança cibernética é fundamental.

Adotar as soluções de segurança da informação adequadas e contar com uma equipe de TI que saiba utilizá-las com eficácia é fundamental para proteger sua organização contra hackers maliciosos e ataques cibernéticos. No entanto, um conjunto avançado de ferramentas por si só não é suficiente, pois a falta de comunicação entre o seu SOC (Centro de Operações de Segurança) e a alta administração pode prejudicar seriamente os esforços de segurança cibernética.

Por exemplo, a educação do usuário final é uma parte importante de qualquer plano abrangente de segurança da informação; os funcionários devem ser informados sobre tópicos como a proteção de informações confidenciais da empresa em um ambiente BYOD ou como identificar um ataque de spear phishing em um e-mail. Os profissionais de segurança da informação precisam do apoio total da organização para que os esforços educacionais sejam bem-sucedidos, e tudo começa com o apoio coletivo da alta administração para que a crença e o engajamento se disseminem por todos os níveis. Afinal, se o COO e o CEO, por exemplo, não priorizarem a segurança cibernética, é provável que a maioria dos funcionários também não o faça.

Infelizmente para CIOs, CISOs e outros funcionários de segurança de alto escalão, existe uma diferença cultural entre uma SOC E a falta de transparência da alta administração é um problema muito comum. Por exemplo, em uma pesquisa recente encomendada pela Raytheon, empresa do setor de defesa, com 1.006 CIOs, CISOs e outros executivos de tecnologia, 78% afirmaram que seus conselhos administrativos não haviam sido informados sequer uma vez sobre a estratégia de segurança cibernética de suas organizações nos últimos 12 meses. Além disso, apenas 42% dos entrevistados em uma pesquisa da PwC disseram que seus conselhos participam ativamente da estratégia geral de segurança e somente 25% afirmaram que seus conselhos se envolvem na análise dos riscos à privacidade de suas organizações.

Se você está tendo dificuldades para convencer os principais executivos da sua empresa a darem à segurança cibernética a atenção que ela merece, talvez seja hora de adotar uma abordagem mais agressiva, utilizando táticas como:

• Apresentando dados financeiros concretosNada chama mais a atenção dos executivos do que informações financeiras convincentes. Portanto, na próxima oportunidade, compartilhe informações relevantes, como o fato de que o custo médio de uma violação de segurança para uma empresa é de US$ 1.041,6 milhões, segundo Brian Krzanich, CEO da Intel. Números impressionantes como esses deixam claro que todos na alta administração têm interesse em criar uma estratégia robusta de segurança da informação.

• Receber os briefings mensais no calendário.Insista em uma reunião mensal com os executivos da sua empresa, na qual você poderá apresentar uma visão geral da política da empresa e abordar pontos relevantes. métricas de segurança e sugerir possíveis ajustes estratégicos. Você pode até usar parte desse tempo para discutir notícias do setor como forma de gerar interesse. Fornecer relatórios de progresso ajuda a manter os executivos engajados no processo de segurança da informação, e esse engajamento se estenderá para o restante da empresa.

• Fornecendo atualizações sobre as últimas tendências e soluções de segurança.Se você conseguir agendar as reuniões mencionadas, considere dedicar algum tempo para detalhar algumas das táticas mais recentes que os cibercriminosos estão usando e as medidas de segurança cibernética disponíveis — como resposta automatizada a incidentes ou segurança definida por software — que podem ajudar a combatê-las. Manter a alta administração informada sobre os últimos desenvolvimentos em segurança da informação permite que os executivos contribuam de forma mais significativa para as discussões sobre políticas e compras, o que facilita o trabalho de um CISO ou CIO.

Como qualquer projeto importante, obter o apoio da alta administração em cibersegurança exige um investimento inicial significativo de tempo. Mas, assim como acontece com qualquer investimento que valha a pena, o resultado final compensa amplamente o esforço.