Por que gerenciar a segurança da informação como um risco empresarial é crucial, parte 2: Danos à reputação

Parte 2: Danos à reputação

Em Parte I Nesta série, abordamos o impacto financeiro direto — como roubo de dados e custos elevados de inatividade de sites de e-commerce — que uma crise de segurança cibernética pode ter sobre uma empresa. Embora a perda imediata de receita seja a consequência mais óbvia para uma organização que sofre um ataque, não é a única repercussão. Uma violação de segurança pode prejudicar seriamente a reputação de uma organização perante o público e também afetar negativamente a posição de um CISO ou CIO dentro da própria empresa.

Vamos primeiro examinar como um incidente de segurança da informação pode corroer a confiança dos consumidores em uma marca. Por exemplo, a violação de dados da Target, descoberta durante a temporada de festas de 2013, expôs as informações pessoais de 110 milhões de clientes e, nas semanas seguintes à divulgação da notícia, a gigante do varejo experimentou uma queda nas vendas. No início de 2014, quando a Target divulgou seu relatório de resultados do quarto trimestre de 2013, o efeito da violação ficou evidente: os lucros da organização caíram. 46% ano após ano. Alguns meses depois, o CEO da empresa renunciou. A Target não está sozinha em sua luta para recuperar a confiança após uma violação de segurança; 36% De acordo com uma pesquisa recente, 80% dos clientes afirmam que frequentarão um estabelecimento comercial com menos frequência após uma violação de segurança.

Infelizmente para os CIOs e CISOs, quando surge um problema de segurança da informação, eles acabam levando a maior parte da culpa — seja isso justo ou não. Provavelmente, esse é um dos motivos, mais da metade Dos CIOs, 80% citam as ameaças à segurança como sua principal preocupação atualmente. Além disso, esses líderes de TI não são paranoicos; um relatório técnico recente Um estudo do Silverton Consulting Group identificou as violações de segurança como o principal motivo pelo qual os CIOs perdem seus empregos.

Mesmo quando os CISOs ou CIOs não são demitidos após uma violação de segurança, provavelmente terão dificuldades para reconquistar a confiança que seus pares depositavam neles anteriormente. Por sua vez, isso pode dificultar o trabalho dos profissionais de segurança de TI:

• Mantenha diálogos significativos e produtivos com outros membros da alta administração sobre segurança cibernética.
• Ter influência nas decisões orçamentárias e de contratação.
• Prevenir ataques futuros

Uma das chaves para evitar danos à reputação de um profissional ou empresa de segurança é que os CIOs e CISOs iniciar conversas sobre como mitigar o risco antes Ocorre uma violação significativa. Da mesma forma que as partes interessadas elaboram estratégias antes de tomar decisões importantes de contratação ou alocar recursos significativos a um projeto, os profissionais de gerenciamento de operações de segurança e outros líderes empresariais fora da área de TI devem realizar avaliações de risco relacionadas à segurança da informação. Essas conversas levarão as empresas a identificar as informações e funcionalidades mais críticas para elas e a criar um plano multicamadas — incluindo soluções de segurança avançadas, Educação do usuário final e protocolos de resposta a incidentes — para proteger esses ativos.

A verdade é que os executivos de alto escalão geralmente são extremamente ocupados, então cabe ao CIO ou CISO adotar uma abordagem proativa para enfatizar a segurança da informação na organização. Essa tática pode ser contagiosa, incentivando outras partes interessadas da empresa a também se concentrarem mais na segurança e criando uma atmosfera onde ela é priorizada e os profissionais de segurança de TI são vistos como líderes dentro da empresa. Quando isso acontece, fica muito mais fácil garantir o engajamento de toda a organização. Na realidade, uma abordagem proativa para a segurança da informação é crucial porque a velocidade e a complexidade dos ataques atuais significam que sua empresa estará em desvantagem se não implementar ferramentas ou protocolos de segurança atualizados antes que uma violação ocorra.

Volte em breve para a terceira e última parte desta série, na qual abordaremos como tratar a segurança da informação como um risco empresarial ajuda a proteger contra a perda de propriedade intelectual.