Estudo revela que o alto escalão das empresas tem dificuldade em compreender termos de cibersegurança

01/03/2023 mindsecblog Artigos, Notícias 3

Alto escalão das empresas tem dificuldade em compreender termos de cibersegurança. Estudo revela que os CISOs devem focar em soluções em vez de problemas.

Para melhorar a comunicação entre C-levels e a equipe de segurança, a Kaspersky recomenda que os CISOs foquem em uma abordagem de comunicação que destaque a soluções que estão sendo implementadas ou que serão executadas, em vez de detalhar o problema

A Kaspersky conduziu um estudo para entender melhor a comunicação entre os altos executivos (c-level) e a liderança de TI das organizações. A empresa descobriu que um em cada dez altos executivos (c-level) no Brasil nunca ouviu falar de ransomware, enquanto outros 18% já ouviu os termos phishing, malware e trojan, mas não sabem explicá-los. Os resultados do levantamento também mostram que a liderança, por vezes, tem dificuldade para enteder o que os funcionários de cibersegurança dizem, seja por falta de conhecimento ou vergonha em demonstrar dúvidas.

No cenário levantado pela Kaspersky, 21% dos executivos não relacionados com TI no Brasil dizem que não se sentiriam à vontade para sinalizar que não entenderam algo durante uma reunião com a área de segurança. Embora a maioria deles esconda a sua confusão (porque preferem esclarecer tudo após a reunião ou optam por resolver sozinhos), 38% não fazem perguntas adicionais porque não acreditam que o time de TI seja capaz de explicar de uma forma clara.

Além disso, embora todos os cargos de liderança questionados discutam regularmente questões relacionadas à segurança com gestores de TI, pelo menos um em cada dez gestores nunca ouviram falar de ameaças como ransomware (12%). Por outro lado, engenharia social (3%), malware (3%) e spyware (4%) são termos mais familiares para os executivos.

“Os executivos que não estão diretamente ligados à área de TI não têm de ser peritos em terminologia e conceitos complexos de cibersegurança — ao mesmo tempo, os chefes de cibersegurança devem ter esse cenário em mente quando comunicam com a direção da empresa”, comenta Roberto Rebouças, gerente-executivo da Kaspersky no Brasil. “Para que um CISO consiga manter a atenção dos C-levels, ele precisa mudar sua abordagem de comunicação, focando mais nas soluções que estão sendo implementadas ou que serão executadas. Detalhes técnicos devem ser evitados e reportados apenas para justificar as razoes para decidir sobre uma ação em vez da outra. Mesmo assim, todo o “tecniquês” precisa ser simplificado para focar a mensagem que se quer passar.”

Para facilitar a comunicação entre a cibersegurança e as funções empresariais dentro da empresa, a Kaspersky recomenda o seguinte:

A segurança de TI deve ser posicionada como um área-chave para garantir a continuidade do negócio. Para isso, a equipe deve evitar descrever suas funções táticas e explicar como o trabalho diário ajuda a organização a alcançar seus objetivos ao mitigar riscos e bloquear incidentes de cibersegurança que afetarão a performance dos profissionais e da empresa.
O CISO deve se envolver ativamente nas atividades operacionais e construir relações com a liderança. Atualmente, menos de 20% dos CISOs contam com um relacionamento com os executivos de vendas, finanças e marketing — oq ue dificulta entender quais as necessidades de negócios dessas áreas.
Para melhorar a comunicação com a liderança, se coloque na posição deles e tente dar explicações com palavras/situações rotineiras que ilustram o que você quer dizer. A Kaspersky tem alguns exemplos que explicam a diferença entre tecnologias de proteção usando o filme 11 homens e 1 segredo ou os benefícios de uma estratégia de segurança proativa fazendo um paralelo com estratégias de futebol. Outra opção interessante é dar a oportunidade para os C-level de estar no lugar de um CISO por um dia para que eles possam ampliar seus conhecimentos sobre esses desafios de cibersegurnaça mais relevantes.
Atribua investimentos de cibersegurança em ferramentas com eficácia comprovada e ROI. São ferramentas que baixam o nível de falsos positivos e reduzem os tempos de deteção de ataques, o tempo gasto por caso e outras métricas são importantes apenas para as equipes de segurança.

O relatório completo e mais informações sobre questões de comunicação entre os gestores de segurança C-level e de TI estão disponíveis através do link.

Veja também: