As avaliações de desempenho dos executivos estarão cada vez mais vinculadas à capacidade de gerenciar riscos cibernéticos, prevê o Gartner, Inc., líder mundial em pesquisa e aconselhamento para empresas. De acordo com pesquisa do Gartner, quase um terço dos países irá regular possíveis respostas a ataques de ransomware nos próximos três anos, e a consolidação das plataformas de segurança digital será vital para ajudar as organizações a desenvolver suas iniciativas de negócios, mesmo em ambientes cada vez mais hostis.
“Não podemos cair em velhos hábitos e tentar tratar tudo da mesma forma que fazíamos no passado”, diz Richard Addiscott, Analista Sênior do Gartner. “A maioria dos líderes de segurança e gerenciamento de risco agora reconhece que uma grande disrupção está a apenas uma crise de distância. Não podemos controlá-las, mas podemos evoluir nosso pensamento, nossa filosofia, nosso programa de proteção e nossa arquitetura de segurança para mitigar as ameaças.” Neste cenário, o Gartner recomenda que os líderes de segurança cibernética incluam as seguintes premissas de planejamento estratégico de suas estratégias de segurança para os próximos dois anos:
Até 2023, as regulamentações governamentais que exigem que as organizações forneçam direitos de privacidade aos consumidores abrangerão 5 bilhões de pessoas e mais de 70% do PIB mundial – Em 2021, quase 3 bilhões de indivíduos tiveram acesso aos direitos de privacidade para o consumidor em 50 países, e a regulamentação de privacidade continua a se expandir. O Gartner recomenda que as organizações rastreiem as métricas de solicitação de direitos de assunto, incluindo custo por solicitação e tempo para atender, inclusive para identificar ineficiências e justificar a automação acelerada.
Até 2025, 80% das empresas adotarão uma estratégia para unificar a web, serviços em Nuvem e acesso a aplicações privadas a partir da plataforma SSE de um único fornecedor – Com uma força de trabalho híbrida e dados acessíveis em todos os lugares, os fornecedores estão trabalhando para oferecer soluções integradas de segurança de borda (SSE – de Security Service Edge, em inglês) para fornecer segurança efetiva para aplicações de software como serviço (SaaS – de Software as a Service, em inglês), sistemas web, recursos de acesso privado e outras plataformas adicionais. As soluções de um único fornecedor oferecem significativas melhoras na eficiência operacional e na eficácia de segurança, incluindo integração mais estreita, menos interfaces de uso e menos locais onde os dados precisam ser descriptografados, inspecionados e criptografados novamente.
60% das organizações adotarão o Zero Trust como ponto de partida para a segurança até 2025. Mais da metade não perceberá os benefícios – O termo ‘zero trust’ agora é predominante entre os fornecedores de segurança e nas orientações de segurança dos governos. Surge como uma mentalidade extremamente poderosa e que vem, aos poucos, substituindo a confiança implícita pela confiança apropriada aos riscos baseados em identidade e contexto. No entanto, é importante ponderar que o ‘zero trust’ é um princípio de segurança e uma visão organizacional que exige uma mudança cultural e uma comunicação clara que a vincule aos resultados de negócios para alcançar os benefícios esperados
Até 2025, 60% das organizações usarão o risco de segurança cibernética como um determinante primário na realização de transações e compromissos comerciais – Os ataques cibernéticos relacionados a terceiros estão aumentando. No entanto, pesquisas do Gartner indicam que apenas 23% dos líderes de segurança e risco monitoram atividades de terceiros em tempo real quanto à exposição à segurança cibernética. Como resultado das preocupações dos consumidores e do interesse dos reguladores, os analistas do Gartner esperam que as organizações comecem a exigir que o risco de segurança cibernética seja cada vez mais um determinante significativo para a realização de negócios com terceiros, desde o simples monitoramento de um fornecedor de tecnologia crítica até a complexa diligência de causa para fusões e aquisições.
Até 2025, 30% das nações aprovarão legislações que regulam pagamentos, multas e negociações de ransomware (contra menos de 1% em 2021) – Cada vez mais gangues modernas especializadas na disseminação de ransomware estão atuando no roubo e criptografia de dados. A decisão de pagar o resgate ou não dessas informações, porém, é uma decisão de nível de negócios, e não de segurança. O Gartner recomenda contratar uma equipe profissional de resposta a incidentes, bem como autoridades policiais e qualquer órgão regulador antes de negociar.
Até 2025, os agentes de ameaças terão ambientes de tecnologia operacional armados com sucesso para causar baixas humanas – Ataques a estruturas de tecnologia operacional (OT), incluindo hardware e software que monitoram ou controlam equipamentos, ativos e processos, irão se tornar mais comuns e mais disruptivos. Em ambientes operacionais, os líderes de segurança e gerenciamento de riscos devem estar mais preocupados com os perigos do mundo real para os seres humanos e o meio ambiente, em vez do roubo de informações, de acordo com o Gartner.
Até 2025, 70% dos CEOs exigirão uma cultura de resiliência organizacional para sobreviver a ameaças coincidentes de crimes cibernéticos, eventos climáticos severos, distúrbios civis e instabilidades políticas – A pandemia da COVID-19 expôs a incapacidade do planejamento tradicional de gerenciamento de continuidade de negócios de apoiar a resposta da organização a uma interrupção em grande escala. Com a possibilidade de interrupção contínua, o Gartner recomenda que os líderes de risco reconheçam a resiliência organizacional como um imperativo estratégico e construam uma estratégia de resiliência em toda a organização que também envolva funcionários, partes interessadas, clientes e fornecedores.
Até 2026, 50% dos executivos de nível C terão requisitos de desempenho relacionados ao risco incorporados em seus contratos de trabalho – A maioria dos Conselhos de Administração considera a segurança cibernética como um risco comercial, e não apenas um problema técnico de TI, de acordo com uma pesquisa recente do Gartner. Como resultado, o Gartner espera ver uma mudança na responsabilidade formal pelo tratamento de riscos cibernéticos do líder de segurança para os líderes de negócios seniores.