Por que gerenciar a segurança da informação como um risco empresarial é crucial, parte 1: Impacto financeiro

Parte I: Impacto Financeiro Direto

Um dos maiores desafios enfrentados pelos profissionais de TI atualmente é a persistente mentalidade de compartimentalização, que os mantém afastados de iniciativas críticas de negócios da organização, como a gestão de riscos. O problema da compartimentalização é particularmente prevalente no que diz respeito à segurança da informação; um estudo recente da Raytheon, empresa do setor de defesa, com 1.006 executivos de tecnologia, por exemplo, constatou que 66% Não acredito que os líderes seniores de suas organizações vejam a segurança de TI como uma prioridade estratégica.

Mas a questão tem dois lados. Em alguns casos, os profissionais de segurança da informação podem hesitar em compartilhar informações e colaborar com outros departamentos por diversos motivos, desde preocupações com restrições de tempo até receios de falta de adesão dos funcionários. Nesta série de três partes, examinaremos por que é tão crucial que os profissionais de segurança de TI e outras partes interessadas mudem sua mentalidade coletiva e comecem a pensar na gestão de operações de segurança como um risco crucial para os negócios, em vez de uma questão estritamente tecnológica.

Conseguir vários departamentos—e o Executivo de alto escalão Além disso, o trabalho em conjunto é crucial para a formulação de uma estratégia de segurança abrangente e eficaz. A colaboração e o compartilhamento de informações entre departamentos facilitam o treinamento do usuário final, e o diálogo contínuo entre o SOC e as principais partes interessadas aumenta a probabilidade de a organização investir recursos financeiros na adoção de medidas robustas de segurança. soluções de segurança automatizadas.

Mas a realidade para os CISOs e outros profissionais do SOC é que, quando ocorre uma violação de segurança, eles serão responsabilizados. Aliás, a pressão sobre os CISOs é tão grande que gerou uma tendência de contratação desses profissionais. deixando o mundo corporativo para o lado do fornecedor do negócio. E nada coloca um líder de segurança em apuros mais rápido do que um problema de segurança que custa dinheiro diretamente à empresa.

O exemplo mais claro de como um incidente de segurança da informação impacta financeiramente uma empresa é o roubo puro e simples. Até recentemente, acreditava-se que bancos e outras instituições financeiras eram as mais bem preparadas para se defenderem de invasões, mas essa ilusão foi desfeita. Algumas das notícias de grande repercussão recentemente focaram em cibercriminosos roubando informações confidenciais de clientes, mas alguns profissionais de segurança de TI podem não estar cientes de que hackers encontraram maneiras de... roubar diretamente milhões de bancos que utilizam software malicioso. Os ataques foram realizados contra mais de 100 bancos em 30 países e é praticamente certo que muitos CISOs e outros profissionais de segurança dessas instituições sofrerão, no mínimo, danos à reputação e, na pior das hipóteses, demissão.

O comércio eletrônico é outro exemplo. A essa altura, quase todos que conhecem segurança da informação ou comércio eletrônico entendem que uma intrusão que cause a indisponibilidade de um site impacta negativamente a receita. A surpresa, principalmente para grandes empresas, pode ser exatamente essa. quanto O dinheiro pode ser perdido em pouco tempo. Por exemplo, Mike Azevedo, CEO da Clustrix, fornecedora de soluções de banco de dados, afirmou que a indisponibilidade de um site pode custar às empresas de e-commerce uma quantia impressionante. $500.000 por hora. Nesse ritmo, mesmo uma única violação de dados poderia impactar os resultados trimestrais de uma empresa e colocar o emprego de um CISO em sério risco.

Infelizmente, o prejuízo financeiro direto não é a única forma pela qual as organizações e seus CISOs podem ser afetados por ataques cibernéticos. Volte na próxima semana para mais informações. Parte 2 Nesta série, analisamos como a reputação de empresas e profissionais de segurança de TI pode ser prejudicada quando ocorre uma violação de segurança.