Para proteger os ativos digitais e informações sensíveis, as organizações enfrentam desafios que começam “dentro de casa”, como complexidade do ambiente tecnológico; expansão da superfície de ataque; riscos da cadeia de suprimentos; fator humano e adoção de melhores práticas; escassez de talentos em cibersegurança; integração da cibersegurança nas decisões de negócios; adoção de novas tecnologias e IA; e gerenciamento de riscos de terceiros. Neste artigo, que complementa os anteriores, mostraremos os três últimos desafios citados dessa lista.
Integração da cibersegurança nas decisões de negócios
Garantir que a cibersegurança esteja integrada nas decisões de negócios em todos os níveis da organização está entre os desafios internos de todas as organizações. Existe uma lacuna de percepção entre os CISOs e a diretoria e board sobre a eficácia da abordagem de cibersegurança da organização, muitas vezes sedimentada em conflitos do passado. Hora de virar a chave.
Solução: Comunicação eficaz e alinhamento estratégico
Para superar esse desafio, as organizações devem:
- Garantir que os CISOs tenham um assento na mesa de gerenciamento sênior.
- Traduzir a narrativa de cibersegurança em uma história que ressoe em termos de redução de riscos, impacto nos negócios e criação de valor.
- Alinhar as percepções de desempenho entre o CISO e a alta administração, o que é uma marca de empresas mais seguras.
- Integrar as operações de cibersegurança com as prioridades e estratégias de negócios principais, o que está associado a menores chances de experimentar incidentes.
Adoção de novas tecnologias e IA
A rápida adoção de novas tecnologias, especialmente de IA e IA generativa, apresenta novos desafios de segurança cibernética. O uso crescente de IA generativa em todas as funções de negócios está trazendo novas vulnerabilidades.
Solução: Abraçar proativamente a IA na função cibernética
Para enfrentar esse desafio, as organizações devem:
- Adotar rapidamente tecnologias emergentes na defesa cibernética, incluindo o uso de IA e automação.
- Integrar IA nos processos de detecção, resposta e recuperação. Avanços em aprendizado profundo e redes neurais permitem que conjuntos de dados maiores e mais heterogêneos sejam analisados em tempo real.
- Usar IA para automatizar partes significativas do processo de caça a ameaças, ajudando a identificar atividades maliciosas e responder mais rapidamente.
- Focar em mudar de profissionais cibernéticos técnicos para operadores de IA.
Gerenciamento de riscos de terceiros
Com a crescente dependência das organizações de empresas terceiras para preencher as lacunas em ambientes operacionais de TI, a gestão de riscos de terceiros tornou-se um desafio crítico de cibersegurança.
Solução: Avaliação e monitoramento contínuos de riscos de terceiros
Para abordar esse desafio, as organizações devem:
- Implementar um programa abrangente de gerenciamento de riscos de terceiros que inclua avaliação inicial rigorosa de todos os novos fornecedores e parceiros, monitoramento contínuo da postura de segurança dos terceiros e revisões periódicas dos controles de segurança dos fornecedores.
- Utilizar tecnologia e automação para melhorar a eficiência e eficácia do programa de gerenciamento de riscos de terceiros.
- Adotar uma abordagem centralizada para o gerenciamento de riscos de terceiros. Organizações com modelos centralizados podem gerenciar quase o dobro de terceiros em comparação com estruturas híbridas.
- Desenvolver planos de contingência e estratégias de saída para fornecedores de alto risco.
- Integrar considerações de ESG nas avaliações de risco de terceiros, refletindo a crescente importância desses fatores.
- Implementar uma estrutura de governança clara para o gerenciamento de riscos de terceiros, garantindo que haja responsabilidade e supervisão adequadas em toda a organização.
- Investir em treinamento e conscientização para garantir que todos os funcionários envolvidos na gestão de relacionamentos com terceiros compreendam os riscos e as melhores práticas de mitigação.
- Utilizar análise de dados avançada para identificar padrões e tendências nos riscos de terceiros, permitindo uma abordagem mais proativa para o gerenciamento de riscos.
