Lacunas na comunicação interna impedem o desenvolvimento de uma “cultura de segurança” nas empresas.
Segurança digital é um fenômeno peculiar, pois apesar de cada vez mais ser tema de noticiários e já representar um aspecto importante na jornada de compra do consumidor, ainda não recebe a devida atenção por executivos C-level.
Visões equivocadas e lacunas de conhecimento aumentam a distância existente entre segurança e gestão. Para melhor entendimento, deve-se compreender como segurança digital impacta o negócio. Membros do conselho devem abordar segurança como um risco prioritário, mas também como oportunidade para a empresa.
Ao contrário do que se acredita, líderes de segurança não esperam que os executivos tomadores de decisão tenham conhecimento técnico abrangente para tomar decisões certeiras acerca de assuntos ligados à TI. Em vez de se concentrar em cada parte técnica e bit and byte, a conversa deve ser concentrada em entender os riscos para garantir que eles sejam mitigados.
Conceitos de segurança digital podem ser difíceis de entender mesmo em um nível macro, de modo que um treinamento ou conscientizaçãode segurança para o conselho pode ser extremamente benéfico. É importante promover um diálogo sinérgico, enquadrando riscos e mitigações em termos de negócios, que sobreponha as fraquezas do programa de segurança e os pontos fortes do conselho (governança e estratégia). De tal modo que o conselho interaja com a segurança digital como fazem com outros domínios, trazendo uma abordagem holística que deixe clara a situação presente e os melhores caminhos para o sucesso.
Segurança absoluta não existe, portanto é importante avaliar se recursos, pessoas e tempo estão direcionados para os problemas corretos. É preciso trazer uma visão estratégica para a segurança digital, saindo do reino da conformidade, e avaliar os potenciais riscos e seus danos para o negócio como um todo, empregando uma abordagem estruturada para sintetizar informações e chegar a uma conclusão certeira acerca do programa de segurança. Sem a utilização de métricas para medir o progresso e a maturidade de segurança, nenhuma avaliação pode ser completa.
Promover a colaboração entre o conselho e a área de TI beneficia a empresa como um todo. É preciso tratar risco digital como risco de negócios, delineando uma comunicação mais assertiva, para criar uma cultura de segurança na empresa.
