CFO devem abordar a cibersegurança como uma decisão empresarial

Cada vez mais executivos consideram que a segurança é um fator crucial para o crescimento das receitas das empresas, e, de acordo com a Gartner, os Chief Financial Officers (CFO) precisam de estar confortáveis ao abordar investimentos em cibersegurança que forneçam resultados e um desempenho justificável aos interesses da empresa.

Na Gartner CFO & Finance Executive Conference, Paul Proctor, Distinguished VP Analyst na Gartner, explicou como se pode desenvolver uma abordagem à cibersegurança que equilibra a proteção e a gestão de um negócio.

“Não existe algo parecido a uma proteção perfeita”, declara Proctor. “Não importa quanto é que uma empresa gasta, pode ser atacada no dia seguinte. Assim, a questão real é: podem os diretores financeiros defender as escolhas que fizeram sobre cibersegurança aos interessados?”.

Os líderes têm de desenvolver uma postura sobre cibersegurança que consigam defender ao falar com os stakeholders, reguladores, funcionários, clientes e parceiros na eventualidade de existir algum problema. Se assim o fizerem, os resultados em proteção cibernética serão mais eficientes. A melhor forma de conseguirem estes resultados é tratando a cibersegurança como investimento na sua organização.

Isto significa que os CFO necessitam de definir o valor empresarial da cibersegurança para o seu negócio através de parâmetros baseados em resultados e um valor comercial de referência. “O estabelecimento de métricas de referência para o nível de proteção é um requisito crítico para o desenvolvimento de um padrão de cibersegurança com o devido cuidado”, afirma Proctor.

Isto dá a possibilidade aos CFO de realizar investimentos fundamentados em cibersegurança que balançam a necessidade de proteger e dirigir o seu negócio ao mesmo tempo que conseguem gerir as necessidades de orçamento do Chief Information Security Officer (CISO).

“Ao tratar a cibersegurança como forma de conciliar os níveis de proteção com as necessidades do negócio, que são chamadas de decisões dos Protection-Level Agreement (PLA), cria-se uma possibilidade de defesa da sua implementação”, disse Proctor. “Este género de acordo permite que sejam tomadas melhores decisões sobre investimentos em cibersegurança, uma melhor execução e um mundo mais seguro em geral”.

Os executivos devem comunicar o número de dias em que conseguiram corrigir falhas críticas nos seus sistemas, ao contrário do que têm feito até então que é reportar o número de ataques que as suas empresas sofrem. Isto está diretamente associado com a definição do valor das correções, o que limita o número de dias em que uma vulnerabilidade está disponível para atacar empresas.

“Se o PLA de uma organização é de 30 dias para corrigir sistemas críticos, e esses sistemas forem atacados através de uma vulnerabilidade que não está corrigida no sistema depois de 35 dias, isso é classificado como uma falha de controlo: a segurança e o IT não conseguiram respeitar o acordo”, refere Proctor. “Contundo, se a mesma vulnerabilidade é atacada em 25 dias, aí isso já é um resultado como um risco associado às decisões de negócios: uma declaração concreta, quantificável e executável de vontade pelo risco”.

Existem duas medidas para definir o valor de cibersegurança: a primeira é o valor operacional entregue e a segunda é o nível de produção que se pretende. Ambas são cruciais para criar uma capacidade de defesa dos executivos.