Para proteger ativos digitais e informações sensíveis, as organizações enfrentam diversos desafios internos, incluindo a complexidade dos ambientes tecnológicos, ampliação da superfície de ataques, riscos na cadeia de suprimentos, fatores humanos, adoção de boas práticas, escassez de profissionais em cibersegurança, integração da segurança nas decisões de negócios, uso de novas tecnologias e IA, além do gerenciamento de riscos de terceiros. Este artigo aborda os três últimos desafios dessa lista e propõe soluções práticas.
Integração da cibersegurança nas decisões de negócios
Integrar a cibersegurança às decisões estratégicas da empresa é um dos maiores desafios atuais. Muitas vezes, existe uma desconexão de percepção entre CISOs e diretores ou conselhos com relação à eficácia das medidas de segurança, algo frequentemente originado por experiências passadas. É fundamental superar esse histórico e promover uma cooperação mais alinhada.
Como avançar: comunicação eficaz e alinhamento estratégico
Para resolver este impasse, a organização deve:
- Garantir que os CISOs participem das decisões junto à alta liderança.
- Comunicar os tópicos de cibersegurança em termos de redução de riscos, impacto nos negócios e geração de valor.
- Alinhar as expectativas de desempenho entre o CISO e os executivos, prática comum entre empresas mais resilientes.
- Integrar os processos de segurança cibernética com as principais estratégias e prioridades do negócio, diminuindo a ocorrência de incidentes.
Adoção de novas tecnologias e Inteligência Artificial
A rápida implementação de tecnologias emergentes, especialmente IA e IA generativa, traz novos desafios de segurança digital. A utilização crescente dessas ferramentas em todas as áreas do negócio expõe as organizações a vulnerabilidades inéditas.
Como avançar: adotar ativamente IA na segurança
Para enfrentar esses desafios, recomenda-se:
- Incorporar rapidamente soluções emergentes de defesa cibernética, abrangendo IA e automação.
- Utilizar IA nos processos de detecção, resposta e recuperação, aproveitando avanços em aprendizado profundo para análise em tempo real de grandes volumes de dados.
- Automatizar etapas da caça a ameaças por meio de IA, melhorando a identificação de atividades maliciosas e agilizando a resposta.
- Desenvolver profissionais para atuarem como operadores de IA, e não apenas especialistas técnicos.
Gerenciamento de riscos de terceiros
Com o aumento da dependência de fornecedores e parceiros externos, o gerenciamento de riscos de terceiros tornou-se uma prioridade para garantir a segurança dos ambientes de TI.
Como avançar: avaliação e monitoramento contínuos
As organizações devem:
- Estabelecer um programa robusto de gestão de riscos de terceiros, com avaliações iniciais rigorosas de fornecedores, controles periódicos e monitoramento constante da postura de segurança desses parceiros.
- Utilizar tecnologia e automação para aumentar a eficiência e a eficácia das iniciativas de gestão de riscos externos.
- Adotar modelos centralizados de gestão, que permitem maior controle e agilidade na administração dos parceiros terceirizados.
- Criar planos de contingência e estratégias de saída para fornecedores considerados críticos ou de alto risco.
- Integrar aspectos ESG (ambientais, sociais e de governança) na avaliação de riscos de terceiros, refletindo a importância crescente desses critérios.
- Estruturar uma governança clara sobre a gestão de riscos de terceiros, assegurando responsabilidade e supervisão em toda a organização.
- Investir em treinamentos para garantir que todos os colaboradores envolvidos nesse processo compreendam os riscos e saibam aplicar as melhores práticas de mitigação.
- Aplicar análise avançada de dados para identificar padrões e tendências em riscos de terceiros, permitindo uma abordagem mais proativa.
Adotando essas estratégias, as organizações estarão melhor preparadas para enfrentar os desafios complexos do cenário de cibersegurança atual, protegendo seus ativos e assegurando a continuidade dos negócios.