C-Suites precisam parar de correr riscos desnecessários

A cultura corporativa de assumir riscos pode levar a problemas no mundo real

Alguns tipos de riscos são bobagens. Grande parte dos empréstimos bancários de risco que levaram à crise de crédito e posteriormente à crise financeira global eram de pessoas que obviamente nunca poderiam arcar com os empréstimos. E ainda assim, quase todos os bancos estavam fazendo isso.

Embora mais recentemente, ninguém previsse o confinamento, lockdown, e o fato de que atos simples como ir à escola, ao trabalho, encontrar amigos ou ir à praia pudesse ser uma ameaça à sua vida e a daqueles à sua volta. Mas agora que entendemos o contexto; é óbvio.

Tanto a crise financeira global em 2008 quanto a pandemia atual foram eventos extremamente perturbadores, cujas consequências poderiam ter sido evitadas, ou ao menos minimizadas se tivesse havido uma maior avaliação do risco ou tivéssemos ouvido os gestores de risco de crédito e os especialistas em saúde mais cedo.

Falta avaliação de risco à Cultura Corporativa?

O modo como percebemos o risco frequentemente também é ilógico e imprevisível. Assistimos a uma mudança maciça para o trabalho em casa, o que abriu um novo vetor de ataque para criminosos cibernéticos oportunistas. Você esperaria que as organizações estivessem se concentrando na segurança de seus aplicativos na nuvem, mas quase sempre supõe-se que o provedor de nuvem trata da segurança, quando na realidade casos de má configuração da nuvem são as fontes mais comuns de violação de dados.

Embora você nunca deixe sua nuvem ou seu laptop sem alguma senha ou qualquer proteção, as organizações frequentemente delegam a aquisição de dispositivos IoT e itens simples como pendrives ao seu departamento de aquisição. Inevitavelmente eles adquirem os dispositivos mais baratos disponíveis, ao invés de pagar um pouco mais por extras como criptografia. Pergunte a si mesmo, o último pendrive que você usou era criptografado e protegido por senha? Se a resposta for ‘não’, então você precisa realizar urgentemente uma auditoria de risco cibernético.

A falta de percepção do risco não é apenas cultural – desde o tirador de selfies ao gerente de aquisição, não é sempre que avaliamos o risco - mas também é o resultado do modo como as organizações operam.

Os três pontos chave sempre devem ser considerados

Espera-se que os últimos tempos nos tornarão muito mais conscientes do risco. As C-Suites precisam mudar o meio que incentivam e administram suas equipes assegurando que sua perspectiva inclua todos os três pontos chave: receita, lucro E risco. Gerentes de aquisição precisam avaliar o risco e entender como as decisões de compra de dispositivos relativamente baratos (unidades criptografadas não custam muito mais) até sistemas grandes e complexos precisam ser tomadas tendo em mente a segurança cibernética.

Com uma cultura de conscientização de risco pagando um pequeno prêmio de risco cibernético por tudo desde unidades criptografadas e seguras até sistemas complexos multinuvem seria um investimento sensível e os CISOs saberiam que poderiam dar o alarme sem serem ignorados.

Necessidade de uma mudança cultural para fazer a diferença

Como uma sociedade nunca fomos tão interconectados ou tão confiantes na tecnologia como somos agora e portanto tão vulneráveis - especialmente com o quadro de ameaças evoluindo e crescendo continuamente.

É necessária uma liderança para mudar o modo como a equipe de gerência e todos aqueles abaixo deles se conduzem e este tipo de mudança cultural em direção à avaliação de risco precisa vir bem de cima. Uma cultura de ética digital (incluindo privacidade e segurança de dados) precisa estar presente em todos os níveis - de alto a baixo. As organizações que têm essa cultura de ética digital, e que são conscientes dos riscos, não têm apenas menor probabilidade de sofrer uma violação de dados, mas também estarão melhor preparadas para responder no caso de haver uma.