Duas prioridades para o CISO

Por Tom Goodwin

Mais da metade das pessoas acredita que seus negócios podem ser alvo de um ataque cibernético no próximo ano. Metade também acha que, se fossem atacadas, não teriam a capacidade de se recuperar.¹ Junte outros fatores do cenário de crescentes ameaças e você começa a se perguntar como os CISOs do mundo podem ter uma noite de sono tranquila.

• Geopolítica: a incerteza de eventos geopolíticos é quando o cibercrime prospera. Caso em questão: disparou 600% no início da pandemia de COVID.²
• Apostas crescentes: o custo médio de uma violação de dados é de US$ 4,35 milhões3 e os pagamentos de ransomware custam em média US$ 570 mil.⁴
• Vulnerabilidades da cadeia de suprimentos: 19% dos ataques agora são causados por um fornecedor sendo atacado e causando o ataque em outras organizações.³
• Planejamento inadequado: as primeiras horas de um incidente são cruciais, mas 56% das organizações carecem de um plano de resposta a incidentes.⁵
• Aumento dos prêmios de seguro: os prêmios de seguro cibernético aumentaram 92% apenas no último trimestre de 2021.⁶

Dada a situação, aconselho os CISOs com quem trabalho a priorizar duas ações.

1. Planejar-se para o pior; esperamos que a regulamentação continue atrasada e que as apólices de seguro aumentem.
2. Insistir na responsabilidade proativa pela resiliência operacional em toda a sua organização.

Regulamentação e seguro

Dependendo do setor em que você atua, a regulamentação será diferente. Mas um fato permanece consistente: a regulamentação está muito atrasada em relação ao que precisamos para mitigar os riscos.

O principal problema com a regulamentação é que novas medidas surgem somente depois de um evento de impacto mundial que exige providências. Antes dos eventos devastadores de 11 de setembro de 2001, por exemplo, algumas empresas tinham um data center na torre norte do World Trade Center e outro na torre sul. As regulamentações agora determinam a proximidade de dados entre dois locais para que eles não sejam expostos aos mesmos riscos regionais.

Sim: a regulamentação fica atrás dos padrões lógicos para mitigar ameaças, e devemos educar os negócios em geral para defender ações que vão além de atender ao mínimo necessário.

As seguradoras já tomaram conhecimento. Daí o aumento de 92% nos prêmios cibernéticos apenas no quarto trimestre de 2021.⁶ As seguradoras do Lloyds of London anunciaram aos seus segurados que, a partir do final de março de 2023, os ataques patrocinados pelo estado não serão mais cobertos pelas apólices de seguro cibernético.⁷

Algumas empresas, como empresas de serviços públicos de água e fabricantes de chips, encontram-se cada vez mais inseguras devido aos atrasos de regulamentação e às demandas cada vez mais altas dos provedores de seguros sobre os padrões que precisam atender.

Muitas empresas dependem completamente de suas apólices de seguro para cobrir os custos de recuperação de um incidente cibernético. Se você é um CISO, nunca foi tão essencial começar a pensar em quão confiante você está em sua capacidade de recuperação e nas implicações financeiras que enfrentaria com o tempo de inatividade prolongado, que agora enfrenta a ameaça muito real de não ser coberto pelo seguro. 

Resiliência operacional

Seja a ameaça geopolítica, cibernética ou ambiental, os líderes de negócios precisam perceber que a responsabilidade pelo risco concentrado e pela resiliência operacional cabe a nós como CISOs, diretores de TI e gestores de risco. (Não aos legisladores ou seguradoras.

O Gartner prevê que, até 2025, 70% dos CEOs exigirão uma cultura de resiliência organizacional para sobreviver a ameaças coincidentes de crimes cibernéticos, eventos de condições climáticas adversas, agitação civil e instabilidades políticas.⁸

Eu digo que isso cria uma enorme oportunidade de impulsionar o progresso incremental, fazendo um balanço de onde você está hoje e trabalhando para a estabilidade organizacional e do setor. Estabelecer um perímetro de segurança é fundamental. A maioria das empresas também precisa:

• Investir na automação e na orquestração dos processos de recuperação, aprimorando o tempo de recuperação e os objetivos do ponto de recuperação.
•  Avaliar e estabelecer a melhor forma de atenuar o erro humano na restauração de backups.
• Adotar a prática de testar continuamente esses planos de resposta a incidentes, executando exercícios de simulação cibernética para garantir que você tenha confiança em sua capacidade de agir e se recuperar rapidamente quando o pior acontecer. 

Impactos de transbordamento

O Gartner também sugere que, até 2025, 60% das organizações usarão o risco de segurança cibernética como principal determinante na condução de transações de terceiros e compromissos comerciais. Lembre-se: 19% dos ataques hoje são causados por um fornecedor que foi atacado.3 Isso significa que qualquer empresa com a qual você opera é um risco em potencial para sua própria exposição e vice-versa.

Resumindo

O cenário de ameaças continua a se expandir, com um volume crescente de ataques que estão aumentando em sofisticação, levando a um tempo de inatividade mais longo e custos de recuperação crescentes.

1. É preciso perceber que a regulamentação está atrasada em relação ao que você precisa para mitigar os riscos e que as apólices de seguro estão transferindo esse risco e responsabilidade de volta para você.
2. Independentemente de ser um ataque cibernético, uma incerteza geopolítica ou um evento climático extremo, sua organização precisa adotar uma cultura de se tornar operacionalmente resiliente para sobreviver ao cenário de ameaças em evolução.
   
   

Tom Goodwin é Especialista em Continuidade de Negócios na Kyndryl.

¹ Half of global CISOs feel their organization is unprepared to deal with cyberattacks. Stone, B., TechRepublic, May 17, 2022
² 2022 Must-Know Cyber Attack Statistics and Trends. Embroker. August 2022
³ How much does a data breach cost in 2022? IBM. 2022
⁴ Extortion Payments Hit New Records as Ransomware Crisis Intensifies. Palo Alto Networks. August 2021
⁵ Cyberattacks are inevitable. Is your company prepared? Harvard Business Review. March 2021
⁶ Cyber Insurers Raise Rates Amid a Surge in Costly Hacks. Wall Street Journal. 2022
⁷ Lloyd’s to end insurance coverage for state cyber attacks. Computer Weekly. August 2022
⁸ Gartner Press Release, “Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23,” June 21, 2022
⁹ Gartner, “4 Third-Party Risk Principles That CISOs Must Adopt,” Luke Ellery, Sam Olyaei, 11 April 2022. GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved