De contador de histórias a embaixador de uma nova cultura: os novos papéis do CISO
Hilmar Becker*
Os CIOs e CISOs brasileiros sabem que, entre as frentes de batalha que enfrentam, uma é crítica para a vitória contra os criminosos cibernéticos: transformar-se em storytellers (contadores de histórias) capazes de cativar o C-Level de suas organizações. Esse fato é destacado pela edição 2023 do estudo de cybersecurity do World Economic Forum: 30% dos 150 líderes técnicos das maiores organizações globais dizem que este é seu maior desafio em gestão da resiliência cibernética. A boa notícia é que, segundo o estudo realizado em 2022 pela PwC – tendo como base entrevistas com 3.522 líderes empresariais e de tecnologia –, 46% dos CEOs querem dar ao CISO mais autoridade para impulsionar a colaboração em segurança. Alguns CEOs já sabem que a segurança cibernética é um fator chave para a realização de negócios. Interações estruturadas entre o CISO e as áreas de negócios estão se tornando mais frequentes: 56% dos líderes de segurança se encontram uma ou mais vezes por mês com o Board.
Essa evolução é parcialmente impulsionada por ataques de alto nível contra todos os setores e geografias. Os conselhos de administração estão também sendo atraídos à disciplina de cybersecurity por um crescente corpo de regulações e compliances que, se não forem seguidos, podem causar vários tipos de prejuízo à organização.
Ainda assim, segue sendo desafiadora a comunicação entre as áreas de tecnologias e o Board. Há um abismo entre a entrega da mensagem sobre segurança digital e sua compreensão por líderes de outras áreas. É nesse contexto que entram em cena as habilidades de “contador de histórias” do CISO.
O processo de storytelling inicia-se com a escuta ao outro
Para ser bem-sucedida, a estratégia de storytelling do CISO em relação ao Board tem de começar com a escuta. Reuniões do CISO com o CMO, por exemplo, devem ser cuidadosamente planejadas, de forma a despertar a atenção do líder do marketing para a questão da segurança digital.
Nesta ocasião, o CISO fará ao CMO perguntas sobre o provisionamento que sua área fez para, no caso de a empresa sofrer um ataque de ransomware, pagar o resgate de acesso a canais como web pages institucionais e Mobile Apps. Outro ponto a explorar é indagar sobre o prejuízo causado, por exemplo, pela queda no valor da marca causada pela disseminação de notícias sobre o ataque sofrido.
A construção do storytelling é um processo de sensibilização de stake holders críticos para o negócio a respeito do papel desses líderes na construção de uma organização unida contra ataques e vazamentos de dados.
Um espelho colocado diante do Board
Os dados levantados com os membros do C-Level serão, posteriormente, analisados pelo CISO e seu time, de forma a construir uma narrativa sob medida para a organização em questão. A meta é inserir os processos e as vulnerabilidades da empresa num quadro de ataques globais. Isso é feito de forma didática e atraente. Se o foco for só no que acontece fora da empresa, a atenção do outro se perde. É necessário aliar a realidade da empresa a histórias de ataques sofridos por empresas da mesma vertical ou da mesma região. Neste caso, a história externa será usada como um espelho a ser colocado diante do Board.
O próximo passo na construção do storytelling é simular ataques e estimar, em especial, as perdas em todos os níveis causadas pela vulnerabilidade da empresa a esse tipo de crime. Essa narrativa deve chegar ao detalhe, incluindo simulações de monetização dos prejuízos sofridos pelo CEO, CMO, CFO, a área jurídica etc.
Ganhará os ouvidos do C-Level o CIO ou CISO que articular uma história alinhada a prioridades corporativas e de negócios. A regra é apresentar ao Board histórias com impacto quase emocional, totalmente focadas no atingimento das mais altas expectativas dos clientes, parceiros, colaboradores e autoridades reguladoras. A narrativa do CISO tem de construir pontes entre os desafios específicos da empresa e as melhores práticas estabelecidas pelo ecossistema setorial desta organização.
O que não fazer
Há, porém, casos em que a mensagem dos especialistas em segurança cibernética ainda é demasiadamente técnica e os dados por eles fornecidos são demasiadamente ‘dispersos’. É um problema quando a narrativa inclui grandes quantidades de dados ‘soltos’. O storytelling contribui para simplificar esse contexto, só mencionando os dados com valor para os negócios, para as pessoas. É recomendável, ainda, que os líderes de segurança cibernética substituam jargões técnicos por exemplos, casos de uso e, em alguns casos, metáforas.
Organizar uma cultura focada em segurança depende de a TI e o negócio passarem a falar uma nova língua. A base deste idioma são métricas que traduzem riscos de cybersecurity em dados como perdas financeiras, operacionais ou valor da marcar (reputação). Para serem melhor compreendidas, essas métricas têm de estar inseridas em histórias – verdadeiras parábolas – com impacto imediato sobre os membros do Board.
A mudança cultural começa no C-Level
Quando as áreas de negócios não compreendem ou não escutam os times de cybersecurity, as perdas são palpáveis. Um estudo do Gartner realizado em maio e junho de 2022 com 1.310 colaboradores de empresas norte-americanas revelou que 69% dos entrevistados costumam ignorar as orientações de segurança cibernética de sua organização. 74% disseram, ainda, que estariam dispostos a deixar de lado as orientações de segurança cibernética se isso os ajudasse a atingir um objetivo de negócio.
Entre os líderes de negócios entrevistados, 90% disseram que suas empresas estariam dispostas a fazer concessões à segurança digital em benefício de metas como o aumento da produtividade. Se o C-Level adota uma postura como esta, é impossível esperar que os colaboradores hajam de forma diferente.
Fraternidade de CISOs
O abismo de entendimento entre as áreas de negócios e de tecnologia é uma porta aberta ao inimigo. Embora toda comunicação seja de mão dupla, cabe aos CISOs fazer a sua parte. Isso está acontecendo aqui e agora.
CISOs do nosso país estão se reunindo para trocar experiências e estratégias, formando uma fraternidade dedicada à defesa de suas organizações e da economia digital do Brasil. Parte da luta é interna: é essencial conquistar os corações de líderes das áreas de negócios. Usando estratégias de storytelling, os gestores de segurança digital buscam sensibilizar o Board em relação aos riscos cibernéticos. Nessa jornada, o CISO transforma-se em embaixador da cultura de cybersecurity em toda a organização.
*Hilmar Becker é Country Manager da F5 Brasil.