A Kaspersky conduziu um estudo para entender melhor a comunicação entre os altos executivos (c-level) e a liderança de TI das organizações. A empresa descobriu que um em cada dez altos executivos (c-level) no Brasil nunca ouviu falar de ransomware, enquanto outros 18% já ouviu os termos phishing, malware e trojan, mas não sabem explicá-los. Os resultados do levantamento também mostram que a liderança, por vezes, tem dificuldade para enteder o que os funcionários de cibersegurança dizem, seja por falta de conhecimento ou vergonha em demonstrar dúvidas.
No cenário levantado pela Kaspersky, 21% dos executivos não relacionados com TI no Brasil dizem que não se sentiriam à vontade para sinalizar que não entenderam algo durante uma reunião com a área de segurança. Embora a maioria deles esconda a sua confusão (porque preferem esclarecer tudo após a reunião ou optam por resolver sozinhos), 38% não fazem perguntas adicionais porque não acreditam que o time de TI seja capaz de explicar de uma forma clara.
Além disso, embora todos os cargos de liderança questionados discutam regularmente questões relacionadas à segurança com gestores de TI, pelo menos um em cada dez gestores nunca ouviram falar de ameaças como ransomware (12%). Por outro lado, engenharia social (3%), malware (3%) e spyware (4%) são termos mais familiares para os executivos.
“Os executivos que não estão diretamente ligados à área de TI não têm de ser peritos em terminologia e conceitos complexos de cibersegurança — ao mesmo tempo, os chefes de cibersegurança devem ter esse cenário em mente quando comunicam com a direção da empresa”, comenta Roberto Rebouças, gerente-executivo da Kaspersky no Brasil. “Para que um CISO consiga manter a atenção dos C-levels, ele precisa mudar sua abordagem de comunicação, focando mais nas soluções que estão sendo implementadas ou que serão executadas. Detalhes técnicos devem ser evitados e reportados apenas para justificar as razoes para decidir sobre uma ação em vez da outra. Mesmo assim, todo o “tecniquês” precisa ser simplificado para focar a mensagem que se quer passar.”
Para facilitar a comunicação entre a cibersegurança e as funções empresariais dentro da empresa, a Kaspersky recomenda o seguinte:
- A segurança de TI deve ser posicionada como um área-chave para garantir a continuidade do negócio. Para isso, a equipe deve evitar descrever suas funções táticas e explicar como o trabalho diário ajuda a organização a alcançar seus objetivos ao mitigar riscos e bloquear incidentes de cibersegurança que afetarão a performance dos profissionais e da empresa.
- O CISO deve se envolver ativamente nas atividades operacionais e construir relações com a liderança. Atualmente, menos de 20% dos CISOs contam com um relacionamento com os executivos de vendas, finanças e marketing — o que dificulta entender quais as necessidades de negócios dessas áreas.
- Para melhorar a comunicação com a liderança, se coloque na posição deles e tente dar explicações com palavras/situações rotineiras que ilustram o que você quer dizer. A Kaspersky tem alguns exemplos que explicam a diferença entre tecnologias de proteção usando o filme 11 homens e 1 segredo ou os benefícios de uma estratégia de segurança proativa fazendo um paralelo com estratégias de futebol. Outra opção interessante é dar a oportunidade para os C-level de estar no lugar de um CISO por um dia para que eles possam ampliar seus conhecimentos sobre esses desafios de cibersegurança mais relevantes.
- Atribua investimentos de cibersegurança em ferramentas com eficácia comprovada e ROI. São ferramentas que baixam o nível de falsos positivos e reduzem os tempos de detecção de ataques, o tempo gasto por caso e outras métricas são importantes apenas para as equipes de segurança.
O relatório completo e mais informações sobre questões de comunicação entre os gestores de segurança C-level e de TI estão disponíveis através do link.
