Líderes passam a maior parte do tempo conduzindo análises de risco praticamente para cada decisão que tomam. A cibersegurança é hoje, mais do que nunca, uma área crítica onde o risco deve ser constantemente avaliado.
O risco de interrupções de serviço não previstas – fora os muitos custos diretos e indiretos decorrentes da perda e/ou vazamento de dados – é substancial. Praticamente tudo o que uma organização faz hoje é digitalizado. Somado a isso, a complexidade dos ambientes e do ecossistema digital de maneira geral torna as organizações vulneráveis a ataques cibernéticos.
Embora o impacto desses riscos de cibersegurança seja inegável, muitas organizações ainda falham em construir suas estratégias e táticas de segurança cibernética em torno do conceito e da realidade do risco. Mas por que?
Nos últimos anos, a rápida expansão do cumprimento regulatório para tudo e todos os setores, desde proteção de identidade até governança de dados, tem desafiado muitas organizações. À medida que mais regulamentações de conformidade – e penalidades mais severas para violações – surgem, líderes têm priorizado compreensivelmente um clamor simples de cibersegurança: seguir as regras e cumprir requisitos. E isso é necessário, é claro. Afinal, o espectro de não conformidade certamente representa um risco que nenhum líder quer assumir.
Embora as regulamentações visem abordar amplamente o risco cibernético, elas geralmente não são eficazes o suficiente para proteger as empresas contra as ameaças atuais. Criminosos monitoram ativamente os requisitos regulatórios e ajustam suas táticas em tempo real. Líderes que dependem de altas pontuações de conformidade para gerenciar seu risco podem estar inconscientemente ignorando lacunas importantes que são específicas de seu ambiente operacional.
Definir o risco de cibersegurança e implementar os recursos, estratégias e proteções corretas requerem uma perspectiva mais ampla e uma visão do negócio em si, do que simplesmente seguir os protocolos de conformidade. Em muitas organizações, especialmente grandes empresas que lidam com uma pegada de conformidade mais significativa, a função de auditoria muitas vezes direciona as decisões sobre como, quando e onde investir em cibersegurança.
Para uma abordagem mais adequada para um panorama digital cada vez mais complexo, é preciso ter em mente os seguintes pontos:
- Focar nas áreas em que um incidente de segurança pode causar o maior dano à sua organização
- Definir as áreas de maior risco
- Tomar decisões fundamentadas e baseadas em fatos sobre onde alocar seus recursos
- Determinar e mensurar o risco organizacional
Existe uma razão importante pela qual muitas organizações não usam consistentemente uma abordagem baseada em riscos para sua estratégia de cibersegurança: frequentemente falta uma definição comum de risco e uma “linguagem” para ajudar a todos na organização a tomar decisões certeiras.
A maioria dos líderes está familiarizada com a definição clássica de risco: qual é a probabilidade de algo acontecer e qual seria o impacto se acontecesse? É uma definição que tem funcionado para quase todos os outros cenários de negócios. Mas para lidar efetivamente com o risco digital, é preciso entender como a probabilidade e o impacto devem ser medidos e, em seguida, concordar com a aceitação de risco da organização, de modo que processos, políticas e tecnologias possam ser aplicadas para manter uma postura que mantenha o risco sempre abaixo do limite e em redução constante.
