Em 2025, 40% dos conselhos de administração terão um comitê dedicado de segurança cibernética supervisionado por um membro qualificado do conselho, contra menos de 10% hoje, de acordo com o Gartner. Esta é uma das várias mudanças organizacionais que a empresa de consultoria espera ver no nível do conselho, da administração e da equipe de segurança, em resposta ao maior risco criado pela expansão da pegada digital das organizações durante a pandemia.
O risco relacionado à segurança cibernética é classificado como a segunda maior fonte de risco para a empresa, atrás do risco de conformidade regulatória. No entanto, relativamente poucos diretores se sentem confiantes de que sua empresa está devidamente protegida contra um ciberataque.
“Para garantir que o risco cibernético receba a atenção que merece, muitos conselhos de administração estão formando comitês dedicados que permitem a discussão de questões de segurança cibernética em um ambiente confidencial, liderado por alguém considerado devidamente qualificado”, disse Sam Olyaei, diretor de Pesquisa do Gartner. “Essa mudança na governança e supervisão provavelmente impactará o relacionamento entre o conselho e o diretor de Segurança da Informação (CISO)”, afirmou.
Embora os CISOs devam passar por mais escrutínio como resultado, eles também devem receber mais suporte e recursos, de acordo com o Gartner. Os CISOs devem esperar que as conversas executivas mudem de discussões sobre desempenho e saúde para exercícios orientados a riscos e valores.
O Gartner também prevê que até 2024, 60% dos CISOs estabelecerão parcerias críticas com os principais executivos de vendas, finanças e marketing, ante menos de 20% hoje. “Os CISOs eficazes percebem que os chefes de vendas, marketing e líderes da unidade de negócios são agora parceiros-chave, pois o uso da tecnologia e, subsequentemente, a ocorrência de riscos acontece fora da TI”, disse Olyaei.
De acordo com o Índice de Eficácia CISO do Gartner, executivos de segurança de alto desempenho se reúnem regularmente com três vezes mais partes interessadas que não são de TI do que partes interessadas de TI; e eles se encontram com eles com mais frequência do que os de pior desempenho.
Para empresas com uso intensivo de ativos, como concessionárias de serviços públicos, fabricantes e redes de transporte, as ameaças à segurança que visam os sistemas ciberfísicos representam um risco crescente para a organização.
Os malfeitores visam cada vez mais as fraquezas onde quer que estejam, conforme demonstrado pelo aumento do ransomware que afeta os sistemas operacionais das organizações e recentes ataques à cadeia de suprimentos.
A natureza isolada das disciplinas de segurança de hoje torna-se um risco próprio e uma responsabilidade para a organização, e o foco centrado em TI da maioria das equipes de segurança precisa se expandir para incluir ameaças no mundo físico.
O Gartner prevê que até 2025, 50% das organizações com muitos ativos convergirão suas equipes de segurança cibernética, física e da cadeia de suprimentos sob uma função de diretor de segurança que se reporta diretamente ao CEO.
Fonte: Inforchannel
