É hora de os CEOs serem pessoalmente responsáveis por incidentes de segurança cibernética?

Em um recente comunicado de imprensa do Gartner escrito em um artigo de 1º de setembro, o Gartner prevê que 75% dos CEOs serão pessoalmente responsáveis por incidentes de segurança cibernética física até 2024. As famosas últimas palavras “Eu não estava ciente” ou ” Oh, esse é o nosso CISO, eles lidam com isso” não podem mais ser entregues ao passe. O que é aquele velho ditado sobre a ignorância da lei? Embora a ignorância seja uma benção, disse Cypher no filme Matrix, não podemos mais deixar a segurança nas mãos apenas daqueles que foram considerados para protegê-la. Ok? Mas nosso CEO não é técnico, como esperamos que nosso CEO entenda nossa complexa infraestrutura. Os CEOs não são mais feitos na década de 1950 eles entendem que há uma necessidade de segurança e eles certamente entendem o custo de não tê-lo. Tudo começa com uma simples conversa. Como um pequeno exemplo, quando todos entrarmos no Slack pela manhã e mal podemos esperar para ser a primeira pessoa a postar o último artigo de notícias sobre ameaça ou violação de dados em nosso chat de grupo, não se esqueça de incluir seu CEO. Quem sabe você pode obter uma resposta perguntando “estamos protegidos contra isso?” Claro que essa ação não é o fim da história, mas um começo de um diálogo muito atrasado.

Deixe o violador violar

A capacidade de mercado para seguros cibernéticos não é grande o suficiente para cobrir adequadamente toda a responsabilidade de risco em uma violação.

“É por isso que tenho seguro cibernético”, diz o CEO. Não tão rápido, a capacidade de mercado para seguros cibernéticos não é grande o suficiente para cobrir adequadamente toda a responsabilidade de risco em uma violação. Normalmente, os pagamentos de seguros são limitados entre US$ 500.000 e US$ 5 milhões por ocorrência. Se você se lembra da violação do Equifax em 2017, eles concordaram em pagar um mínimo de US$ 575 milhões aos afetados por essa violação. Só um gosto acima do limite de 5 milhões de dólares, eu diria. Em 2016, o CEO da Uber estava ciente de uma violação com dois meses de antecedência antes de vir à tona deixando 57 milhões de contas comprometidas e mais de 600.000 números de carteiras de motorista, juntamente com milhões de nomes e endereços residenciais expostos deixando motoristas e pilotos abertos a abutres da darkweb preparados para roubo de identidade. O resultado consistia em US$ 100.000 em Bitcoin pagos pelo CEO aos hackers habilmente disfarçados como uma recompensa por bugs e, por sua vez, o grupo assinou um acordo de não divulgação que falsamente declarou que não havia roubado nenhum dado do UBER. Eu te disse que os CEOs não são mais dos anos 50, certo?

Vai afundar com o navio

Vai afundar com o navio
A conscientização do CEO sobre a segurança é tão crítica quanto o naufrágio do Titanic?

O objetivo deste artigo não é colocar a culpa em um CEO ou lobby que eles certificam como um hacker ético, mas é hora de “responsabilidade igual”. Capitão Edward Smith uma vez disse: “Bem, rapazes, vocês cumpriram seu dever e o fizeram bem. Não peço mais nada de vocês. Eu os libero.” Ótimas palavras em uma época de caos. A conscientização do CEO sobre a segurança é tão crítica quanto o naufrágio do Titanic? Claro que não, mas olhamos para nossos líderes em uma época de crise ou caos como uma luz orientadora e confiamos que eles tomam a decisão certa e tenha o melhor interesse da empresa em mente. O CEO é, de certa forma, o capitão do navio e é responsável não apenas pela segurança física do funcionário, mas também pela segurança dos dados e como uma violação pode afetar a segurança do cliente. Um exemplo infeliz de proteção afetando vidas vem de um artigo escrito por nosso próprio Mike Talon intitulado “When Ransomware Kills”. Durante esses tempos difíceis, enquanto lidamos com esta pandemia, temos um ditado: “Estamos todos juntos nisso”. Para não traçar uma linha entre os dois, estamos nisso juntos e isso também deve nos ensinar que todos temos um papel a desempenhar, mesmo quando trabalhamos de casa naquela mesa da cozinha que chamamos de escrivaninha. Estamos procurando o CEO para afundar com o navio? Não, mas chega um momento em que a previsão de requisitos críticos de segurança corporativa tem um assento compartilhado na mesa principal do CEO, conhecida como “previsão dos números trimestrais”. Eu sei, é mais fácil falar do que fazer, mas quando a alternativa inclui a declaração típica “Vamos apenas tornar a segurança uma prioridade após a violação” empurra a empresa descendo a colina escorregadia para os braços do adversário que espera pacientemente por um pagamento rápido. Até mesmo o pagamento do resgate não garante a devolução segura dos registros roubados e, ao mesmo tempo, aumenta o dano à confiança do cliente e à privacidade dos dados. Precisamos esperar por leis, penalidades e regulamentações para salvar nossos clientes ou podemos capacitar aqueles que cederam o poder para entender que o caminho para o risco é uma parada de quatro vias. Olhe, ouça, planeje e execute.

Motivadores de resiliência organizacional para negócios digitais
Este gráfico foi publicado pela Gartner, Inc. como parte de um documento de pesquisa maior e deve ser avaliado no contexto de todo o documento.

Gastar dinheiro em segurança não vem com aspirina

O CEO normalmente está limitado a essas coisas ou simplesmente não está interessado.

Eu tenho uma empresa para dirigir, eu tenho acionistas confiando em mim para trazer lucros, crescimento e reconhecimento de nome a cada ano. Por que isso cai sobre meus ombros e não o CISO? Como as leis e as penalidades ainda não foram definidas ou delineadas em relação às violações de dados, isso não dá ao CEO a luz verde para encolher os ombros quando ocorre uma violação. O presidente é culpado? Não necessariamente, mas como dizem, o caminho para o inferno é pavimentado com boas intenções. A forma como os papéis corporativos são definidos hoje não tem havido uma maneira clara de envolver o CEO nas atividades diárias de segurança. O CEO normalmente está limitado a essas coisas ou simplesmente não está interessado. Estamos nas notícias? Não? Fora da vista, longe, você sabe o resto. Como envolvê-lo? Primeiro passo: encontrar um ponto em comum e propósito. Estabeleça um novo padrão corporativo e construa o que você já tem no lugar. Você está “phishing” seus usuários corporativos? Ótimo inclua seu CEO. Você não está procurando envergonhar seu CEO, mas você está tentando trazer consciência e trazê-los para a conversa. Afinal, o CEO está no comando de todas as coisas corporativas e a última parada. Segundo passo: Como CISO você está encarregado de manter todas as portas trancadas, mas isso significa que você não pode deixar uma porta aberta para o CEO. Inicie o diálogo, compartilhe um relatório de segurança de tempos em tempos que capacite o CEO com informações boas e ruins. Não se esqueça de envolvê-lo. Tenha um plano para envolver seu CEO. Que eles sejam os únicos que são capazes de responder à pergunta “estamos melhorando?”. Paralisia por análise ou retenção desse tipo de informação é o que coloca a empresa em apuros em primeiro lugar. Todos nós temos nosso treinamento de RH necessário para manter o emprego, mas geralmente tem limites no conteúdo do tipo de segurança. Os “sim e não” dos e-mail e utilização não autorizada de crachá etc.

O Método Cymulate

O Método Cymulate
Economizar dinheiro através da educação de segurança.

Acho que é hora de estender esse treinamento para cobrir a violação contraditória e atacar o conteúdo não só para os funcionários, mas mais importante para a equipe executiva. Todos ouvimos falar de violações nas notícias e esperamos que nunca seja sobre nós. Nem todo mundo entende ‘o quê?’, mas é hora de eles fazerem. Fale sobre economizar dinheiro através da educação de segurança. Pague um pouco agora ou pague muito mais depois. Se pudermos ligar as rodas de segurança girando na direção certa, seu CEO estará mais bem preparado. Quando você ouve seu CEO falando sobre fechar lacunas de segurança, juntamente com a promoção de testes e validação de seus controles de segurança corporativa, você conhece A.) inferno congelou mais e B.) mas, mais importante, quando o seu CEO dá esse discurso público sobre essa tentativa de violação, será como você foi preparado e devidamente defendido, e não o valor do dólar que você pagou em resgate ou a multa de 500 milhões de dólares e a perda de confiança do cliente que você agora tem que de alguma forma ganhar de volta. Invista nas pessoas certas. Invista na educação de conscientização sobre segurança. Invista nas plataformas de segurança certas da primeira vez. Invista em seus clientes. Invista em si mesmo. A plataforma CYMULATE ajuda muito nessa missão.

Por Jonathan Brothers

Teste a eficácia de seus controles de segurança contra possíveis ameaças cibernéticas com um teste de 14 dias da plataforma Cymulate.

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages