Homem de negócios protegendo informações sobre dados pessoais em interface virtual

C-Suites precisam parar de correr riscos desnecessários

#KingstonCognate apresenta Bill Mew

Foto de Bill Mew

Bill Mew é um líder de opinião, ativista em ética digital e empresário. Como líder de opinião, Bill concentra-se em defender o equilíbrio certo entre ‘proteção significativa (onde foi considerado como o principal influenciador global de privacidade de dados) e ‘a maximização do valor econômico e social (onde ele também é um dos principais influenciadores para tudo, desde segurança cibernética e transformação digital até 'govtech' e cidades inteligentes). Ele também está presente semanalmente na TV/Rádio (BBC, RT etc) como especialista nesses assuntos- mais tempo no ar do que qualquer outro tecnólogo no Reino Unido.

Como empresário, Bill é o fundador e CEO da CrisisTeam.co.uk, onde trabalha com uma equipe de especialistas de elite em resposta a incidentes, leis cibernéticas, gestão de reputação e influência social para ajudar os clientes a minimizar os impactos de ataques cibernéticos.

A cultura corporativa de assumir riscos pode levar a problemas no mundo real

Gerentes corporativos trabalhando em um grande tablet

Alguns tipos de riscos são bobagens. Grande parte dos empréstimos bancários de risco que levaram à crise de crédito e posteriormente à crise financeira global eram de pessoas que obviamente nunca poderiam arcar com os empréstimos. E ainda assim, quase todos os bancos estavam fazendo isso.

Embora mais recentemente, ninguém previsse o confinamento, lockdown, e o fato de que atos simples como ir à escola, ao trabalho, encontrar amigos ou ir à praia pudesse ser uma ameaça à sua vida e a daqueles à sua volta. Mas agora que entendemos o contexto; é óbvio.

Tanto a crise financeira global em 2008 quanto a pandemia atual foram eventos extremamente perturbadores, cujas consequências poderiam ter sido evitadas, ou ao menos minimizadas se tivesse havido uma maior avaliação do risco ou tivéssemos ouvido os gestores de risco de crédito e os especialistas em saúde mais cedo.

Os jovens em negócios confiam nas palavras:  Gerenciamento de risco

Falta avaliação de risco à Cultura Corporativa?

O modo como percebemos o risco frequentemente também é ilógico e imprevisível. Assistimos a uma mudança maciça para o trabalho em casa, o que abriu um novo vetor de ataque para criminosos cibernéticos oportunistas. Você esperaria que as organizações estivessem se concentrando na segurança de seus aplicativos na nuvem, mas quase sempre supõe-se que o provedor de nuvem trata da segurança, quando na realidade casos de má configuração da nuvem são as fontes mais comuns de violação de dados.

Embora você nunca deixe sua nuvem ou seu laptop sem alguma senha ou qualquer proteção, as organizações frequentemente delegam a aquisição de dispositivos IoT e itens simples como pendrives ao seu departamento de aquisição. Inevitavelmente eles adquirem os dispositivos mais baratos disponíveis, ao invés de pagar um pouco mais por extras como criptografia. Pergunte a si mesmo, o último pendrive que você usou era criptografado e protegido por senha? Se a resposta for ‘não’, então você precisa realizar urgentemente uma auditoria de risco cibernético.

A falta de percepção do risco não é apenas cultural – desde o tirador de selfies ao gerente de aquisição, não é sempre que avaliamos o risco - mas também é o resultado do modo como as organizações operam.

Quem é responsável pelo Risco Cibernético?

Proteção de dados e Segurança Cibernética em interface virtual

Os banqueiros falharam ao avaliar o risco de crédito porque o modo como seu desempenho era medido era somente em termos de receita e lucro. Todos os departamentos em quase todas as organizações têm na receita e no lucro a medida de desempenho pelo qual são avaliados e recompensados. Essas são medidas de retorno de investimento (ROI). Enquanto essa for a maneira pela qual os indivíduos são incentivados e as organizações são administradas, haverá pouca ou nenhuma avaliação efetiva de risco.

O único diretor com foco não em ROI, mas em retorno sobre o risco (ROR), é o CISO*. Com base no apetite de risco e no orçamento da organização, o CISO faz tudo o que pode para minimizar os riscos cibernéticos e contra-ataques cibernéticos. Infelizmente tendo uma perspectiva diferente do resto da equipe de gerenciamento significa que frequentemente o CISO pode se encontrar não apenas isolado (o que eu chamo de CISOlation), mas também algumas vezes o bode expiatório, mesmo quando o uso indevido de dados ocorre como consequência de ações realizadas pelo CMO** ou quando uma violação de dados ocorre como consequência de ações realizadas pelo CIO*** ou quando seus avisos foram ignorados.

É como se os membros da alta administração estivessem todos assistindo a uma TV onde apenas duas das três cores estivessem funcionando (receita e lucro). Eles veem com dificuldade o que está acontecendo em toda a empresa, mas não têm o quadro completo. Quando aparecem riscos importantes, com frequência repentinamente, eles são visíveis para o CISO, mas não para os outros e se os avisos forem realmente ignorados, então isso pode levar a uma calamidade.

Os três pontos chave sempre devem ser considerados

Espera-se que os últimos tempos nos tornarão muito mais conscientes do risco. As C-Suites precisam mudar o meio que incentivam e administram suas equipes assegurando que sua perspectiva inclua todos os três pontos chave: receita, lucro E risco. Gerentes de aquisição precisam avaliar o risco e entender como as decisões de compra de dispositivos relativamente baratos (unidades criptografadas não custam muito mais) até sistemas grandes e complexos precisam ser tomadas tendo em mente a segurança cibernética.

Com uma cultura de conscientização de risco pagando um pequeno prêmio de risco cibernético por tudo desde unidades criptografadas e seguras até sistemas complexos multinuvem seria um investimento sensível e os CISOs saberiam que poderiam dar o alarme sem serem ignorados.

Colegas se encontrando para discutir seus planos financeiros

Necessidade de uma mudança cultural para fazer a diferença

Como uma sociedade nunca fomos tão interconectados ou tão confiantes na tecnologia como somos agora e portanto tão vulneráveis - especialmente com o quadro de ameaças evoluindo e crescendo continuamente.

É necessária uma liderança para mudar o modo como a equipe de gerência e todos aqueles abaixo deles se conduzem e este tipo de mudança cultural em direção à avaliação de risco precisa vir bem de cima. Uma cultura de ética digital (incluindo privacidade e segurança de dados) precisa estar presente em todos os níveis - de alto a baixo. As organizações que têm essa cultura de ética digital, e que são conscientes dos riscos, não têm apenas menor probabilidade de sofrer uma violação de dados, mas também estarão melhor preparadas para responder no caso de haver uma.

Incentivos para fazer o certo estão em todos os lugares

Close de uma lista de verificação toda marcada

Se as multas da GDPR, a sanção regulatória de perder o direito de processar dados, o processo e o dano à reputação por fazer a coisa errada não tiver sido suficiente, existe uma recompensa real por fazer o certo. Do mesmo modo que os consumidores e investidores estão abandonando as marcas manchadas por ataques cibernético e uso indevido da privacidade, eles também desejam pagar um prêmio para as marcas confiáveis associadas à ética digital.

Clientes de todos os setores, não apenas tecnologia, estão se tornando cada vez mais criteriosos e exigentes. Pesquisas sobre o que eles esperam das empresas, ao invés de governos, constataram que a segurança e privacidade de dados ultrapassaram até a diversidade e a sustentabilidade. Assim, a segurança e a privacidade são agora os itens principais que os consumidores esperam que as firmas defendam e não perdoarão aqueles que agirem de modo errado. Portanto, realmente compensa fazer a coisa certa!

#KingstonIsWithYou

Pergunte a um Especialista

A Kingston pode lhe oferecer uma opinião independente sobre se a configuração que você está usando atualmente, ou está planejando usar, é a adequada para sua organização.

SSD com autocriptografia

Oferecemos orientação sobre quais benefícios os SSDs trarão para seu ambiente de armazenamento específico e quais SSDs são os mais adequados para sua força de trabalho móvel para assegurar que você está trabalhando em movimento de modo seguro.

Pergunte a um especialista em SSD

Pendrives Criptografados

Oferecemos orientação sobre quais benefícios o uso de pendrives criptografados trará para sua organização e qual unidade é mais adequada às suas necessidades de negócios.

Pergunte a um Especialista em USB

Artigos relacionados