Oito passos para os CISOs se alinharem com seus pares de negócio para combater o risco cibernético
Arthur Capella*
À medida que as organizações mudam para o trabalho remoto e adotam novas tecnologias para impulsionar a transformação digital, a superfície de ataque continua a expandir-se, exigindo uma nova abordagem à segurança cibernética, no nível da liderança. Em 2021, o papel do CISO será redefinido para alinhar-se mais aos objetivos de negócio, de modo a fortalecer a postura de segurança em toda a organização. Um CISO alinhado ao negócio tem a capacidade de traduzir jargões de segurança complexos em termos de negócios. Esse líder é um impulsionador essencial para a inovação e o crescimento de sua organização.
Sob encomenda da Tenable, a Forrester Consulting realizou um estudo[1] que entrevistou mais de 800 executivos de segurança e de negócios de organizações do mundo todo, incluindo o Brasil. Ele mostra que a grande maioria (90%) dos líderes de segurança globais alinhados aos negócios têm muita ou total confiança em sua capacidade de demonstrar que seus investimentos em segurança cibernética estão impactando positivamente o desempenho dos negócios, em comparação com 55% de seus pares não alinhados. O mesmo estudo mostra que 85% dos líderes de segurança globais alinhados aos negócios possuem métricas para rastrear o ROI e o impacto da segurança cibernética sobre o desempenho dos negócios, versus apenas 25% de seus pares não alinhados. Embora haja desafios importantes ao atingimento do alinhamento entre a segurança cibernética e o negócio, o movimento em direção à destruição das barreiras em toda a organização pode aumentar muito a postura de segurança e reduzir o risco ao negócio.
As barreiras entre as lideranças de negócio e de segurança são um desafio comum a ser vencido, porque frequentemente os líderes de segurança se focam no significado técnico das métricas de risco, enquanto os líderes de negócios miram os impactos sobre os negócios. A despeito da desconexão, em muitas situações esses papéis se superpõem, como na eventualidade de um ataque cibernético paralisar as operações de negócios ou quando uma organização é auditada para assegurar a conformidade dos negócios às regulamentações locais.
A recente implementação da Lei Geral de Proteção de Dados (LGPD) tem atuado como um catalisador do alinhamento de todas as lideranças da organização para assegurar a conformidade. Em função disso, cargos como os de CEO e CFO estão sendo reinventados.
Isso é destacado em uma pesquisa publicada pela ISG Provider Lens™ em parceria com a empresa brasileira TGT Consult, que entrevistou 55 provedores de serviços e fabricantes brasileiros em cinco quadrantes: Gerenciamento de Identidade e Acesso, Vazamento de Dados / Prevenção de Perdas, Services Técnicos de Segurança, Serviços Estratégicos de Segurança, e Serviços de Segurança Gerenciados. A pesquisa descobriu que os maiores executivos corporativos do Brasil estão cada vez mais envolvidos em decisões de segurança cibernética em meio a crescentes preocupações acerca de vazamento de informações e outras vulnerabilidades.
À medida que as organizações se movem em direção a um maior alinhamento entre os executivos de negócios e os de segurança, os CISOs podem considerar oito passos críticos ao longo do caminho:
- Construir uma rede de consultores de negócios. Criar ligações com colegas que atuarão como interlocutores para ajudar o CISO a comunicar o risco cibernético como um risco ao negócio.
- Tornar-se membro de associações comerciais ou outras organizações profissionais do setor. Ler artigos da imprensa do setor, participar de webinars e outros eventos do setor. O objetivo disso é construir uma narrativa e uma referência para desafios de negócio enfrentados por CISOs de um setor semelhante.
- Ver as reuniões de revisão trimestral sobre o desempenho da empresa como uma oportunidade de compreender as prioridades estratégicas de negócios para o trimestre seguinte, os desafios enfrentados pelos pares de negócios e quão vulnerável a empresa é a fatores econômicos externos. Aproveitar a oportunidade para entender como cada executivo apresenta o ROI de sua área e fazer referência a ela ao construir métricas de ROI de segurança cibernética.
- Analisar o que os executivos da organização comunicam em documentos públicos, como demonstrações financeiras, press releases, artigos na mídia, redes sociais e fóruns do setor. O CISO que fizer isso reunirá informações objetivas e percepções da empresa aos olhos do público.
- Estabelecer relações com os profissionais de risco da organização. Um bom líder de segurança tem a obrigação de participar do desenvolvimento de estratégias de gerenciamento de riscos de negócio para priorizar a segurança cibernética.
- Obter visibilidade dos processos da organização que envolvem terceiros. Não se limitar às aplicações que suportam esses relacionamentos, como a folha de pagamento ou o provedor de ERP. Os CISOs devem estar cientes dos relacionamentos-chave entre a empresa e seus parceiros terceirizados, como processamento de folha de pagamento ou provedores de serviços de planejamento de recursos empresariais, bem como obter visibilidade das ferramentas e plataformas das quais estão tirando proveito para conduzir os negócios. Essa visibilidade é crítica para se manter uma compreensão da postura de segurança para mitigar o risco.
- Agendar conversas com membros do C-level. Usar essas reuniões para entender seus desafios e prioridades de negócio mais amplas, com o intuito de obter uma compreensão holística de como o risco cibernético pode afetar esses objetivos.
- Implementar reuniões regulares com a alta administração. Os melhores líderes de segurança entendem que uma de suas responsabilidades mais importantes é manter aberta a linha de comunicação entre a diretoria e a unidade de negócios de segurança. À medida que os diretores reconhecerem que a segurança é tão crítica quanto qualquer outra unidade estratégica de negócios, os CISOs precisarão continuar a refinar suas estratégias para comunicar com eficácia os riscos e responder às perguntas deles em termos de negócio.
O propósito desses oito passos é abrir portas e estabelecer conexões que permitam aos CISOs ser reconhecidos como um parceiro essencial na proteção da continuidade do negócio contra ameaças cibernéticas emergentes. Andando no mesmo passo, os líderes de negócios e de segurança ficam mais capacitados a assumir uma posição proativa no aprimoramento da postura de segurança em toda a organização.
*Arthur
Capella é Country Manager da Tenable no Brasil.
[1] The Rise Of The Business-Aligned Security Executive, estudo realizado pela Forrester Consulting sob encomenda da Tenable, julho de 2020