Mito 1: Mais dados equivalem a melhor proteção
Acredita-se que a melhor maneira de conduzir a ação dos tomadores de decisão executivos em iniciativas de segurança cibernética é por meio de análise de dados sofisticada, como calcular a probabilidade de ocorrência de um evento cibernético. No entanto, não é prático quantificar o risco dessa maneira. Além disso, essa abordagem não oferece responsabilidade compartilhada entre a segurança cibernética e os tomadores de decisão da empresa necessários para reduzir significativamente o risco comercial. A pesquisa do Gartner descobriu que apenas um terço dos Chief Information Security Officers (CISOs) relata ações de sucesso por meio da quantificação do risco cibernético.
Os CISOs devem usar uma abordagem de métricas orientadas a resultados. Para vincular as métricas operacionais de segurança e risco aos resultados de negócios que suportam, explicando os níveis de proteção atualmente em vigor e os níveis de proteção alternativos disponíveis com base nos gastos.
Mito 2: Mais tecnologia é igual a melhor proteção
Os gastos mundiais com produtos e serviços de segurança da informação e gerenciamento de riscos devem crescer 12,7%, atingindo US$ 189,8 bilhões em 2023. No entanto, mesmo com as organizações gastando mais em ferramentas e tecnologias de segurança cibernética, os líderes de segurança ainda sentem que não estão devidamente protegidos.
A segurança cibernética geralmente fica presa em uma mentalidade de aquisição de equipamentos, acreditando que ao virar da esquina deve haver algo melhor. Em vez disso, os CISOs devem adotar um conjunto mínimo de ferramentas eficazes – o menor número de tecnologias necessárias para observar, defender e responder às exposições. Isso permitirá que a segurança cibernética seja dona de sua arquitetura, reduzindo a complexidade e a falta de interoperabilidade que dificultam a geração de valor a partir de investimentos em tecnologia.
As organizações podem começar a jornada para um Conjunto de Ferramentas Mínimo Eficaz adotando uma visão de custo humano, mantendo a sobrecarga dos profissionais cibernéticos que gerenciam ferramentas de segurança cibernética menor do que o benefício da ferramenta na mitigação de riscos. Em paralelo, deve adotar uma visão arquitetônica para medir se uma determinada ferramenta é aditiva ou subtrativa da capacidade de proteger a empresa. Os princípios da arquitetura de malha de segurança cibernética (CSMA) também podem oferecer suporte à segurança no design para simplicidade, capacidade de composição e interoperabilidade.
Mito 3: Mais profissionais de cibersegurança significam melhor proteção
A demanda por talentos em segurança cibernética superou a oferta, a ponto de os CISOs não conseguirem alcançá-la. A segurança é um enorme gargalo para a transformação digital, e muito disso se deve ao mito de que apenas os profissionais de segurança cibernética podem fazer um trabalho cibernético sério. Democratizar a experiência em segurança cibernética, em vez de tentar contratar talentos, é a solução.
Mito 4: Mais controlos significam melhor proteção
Uma pesquisa recente do Gartner descobriu que 69% dos funcionários ignoraram as orientações de segurança cibernética da sua organização nos últimos 12 meses e 74% dos funcionários estariam dispostos a ignorar as orientações de segurança cibernética se isso os ajudasse a si ou à sua equipa, a atingir um objetivo de negócios.
As organizações de segurança cibernética estão bem cientes do comportamento não seguro generalizado da força de trabalho, mas a resposta típica de adicionar mais controles é um tiro pela culatra. Os funcionários relatam uma enorme quantidade de atrito envolvido com o comportamento seguro, que está a levar ao comportamento inseguro. Controles contornados são piores do que nenhum controle.
O atrito efetivo mínimo reequilibra a avaliação da segurança cibernética do desempenho dos controles de segurança para priorizar a experiência do usuário em vez da funcionalidade técnica sozinha. O Gartner prevê que, até 2027, 50% dos CISOs de grandes empresas terão adotado práticas de design de segurança centradas no ser humano para minimizar o atrito induzido pela segurança cibernética e maximizar a adoção de controle.