O papel do Chief Information Security Officer (CISO) nas empresas tem ganhado cada vez mais importância na discussão estratégica dos negócios. Com a transformação digital acelerada pela pandemia da Covid-19, o risco cibernético aumentou consideravelmente, ampliando o debate nos conselhos das companhias sobre suas consequências e as medidas necessárias para a mitigação desses riscos.
Porém, não é de hoje que os líderes de segurança se queixam de que os investimentos em cibersegurança são insuficientes e de que não possuem voz ativa dentro das empresas. Contudo, esse cenário está mudando. Com a escalada crescente de ataques cibernéticos em diversos setores, principalmente por meio de ransomwares, o tema de segurança continua em pauta nos conselhos administrativos.
Os ataques não poupam nenhum segmento, afetando desde pequenos negócios até grandes empresas, big techs, hospitais, entre outros. Isso tem tirado o sono de executivos, abrindo espaço para que o tema de segurança cibernética chegue ao mais alto nível estratégico, resultando em mais investimentos. Entretanto, aqui fica uma pergunta para os líderes de segurança: estamos preparados para falar a linguagem do negócio e expor os riscos de maneira clara, propondo as ações de mitigação necessárias?
Provavelmente, a resposta ainda é não. Muitos líderes de segurança ainda têm dificuldade em tangibilizar claramente os riscos cibernéticos para suas organizações, usando uma linguagem compreensível para que todas as partes possam tomar decisões informadas. Como resultado, alcançar um consenso sobre a melhor forma de mitigar esses riscos continua sendo um desafio. Contudo, há avanços.
Uma comunicação mais frequente com o conselho da empresa é um canal importante para informar e priorizar as decisões necessárias que impactam a segurança do negócio. Na maioria dos casos, o líder de segurança responde ao diretor de tecnologia (CIO), o que pode, em alguns casos, gerar conflitos de interesse, uma vez que as prioridades de segurança podem entrar em conflito com prazos curtos de entrega, orçamentos restritos, maior demanda por funcionalidades, disponibilidade do ambiente, entre outras pressões, todos esses fatores podendo relegar a segurança a um segundo plano. Empresas que sofreram ataques cibernéticos vêm reavaliando essas estruturas, priorizando a segurança nas discussões com os executivos e conselhos.
Por isso, algumas companhias americanas têm adotado o modelo “Security First” em contraponto ao modelo tradicional, no qual cibersegurança e áreas de tecnologia trabalham lado a lado, gerando conflitos de interesse. No modelo Security First, o CISO reporta diretamente ao CEO ou ao conselho, atuando no mesmo nível hierárquico dos CIOs ou até acima, evitando assim maiores conflitos e focando mais na gestão de riscos cibernéticos.
Para melhorar essa comunicação entre as partes, é necessário compreender como o negócio é sustentado e qual o impacto financeiro, operacional ou econômico que um incidente de segurança pode causar. Também é preciso alinhar os riscos de segurança, mostrando como evitá-los pode apoiar os objetivos da empresa.
No entanto, essa não é uma responsabilidade apenas dos líderes de segurança. Esse processo é uma via de mão dupla: os líderes de negócios também precisam incorporar o conhecimento de segurança no processo decisório e incentivar a resiliência cibernética em suas operações.
A comunicação efetiva entre os líderes de segurança e de negócios é fundamental para a criação de um programa de ciber-resiliência robusto. Os líderes de segurança devem evitar jargões técnicos ao falar com as áreas de negócios, enquanto os líderes de negócios devem colaborar com os gestores de segurança na identificação dos ativos e processos-chave da companhia, para priorizar a proteção adequada. O conselho deve ser diligente no apoio às iniciativas de segurança, fornecendo os recursos necessários para a proteção do ambiente.
Mas será que os líderes de segurança estão prontos para falar a linguagem dos negócios e expor os riscos de forma clara, propondo as ações de mitigação adequadas? Para participar das decisões estratégicas da empresa, é necessário estar disposto a justificar as propostas de redução de riscos e melhorias no ambiente de segurança, mudando a mentalidade de uma área geradora de custos para uma que realmente contribui com os objetivos da companhia. Como qualquer mudança de mentalidade e cultura, não é um processo fácil e não acontece da noite para o dia, mas o primeiro passo precisa ser dado. A jornada já está mais clara e precisa ser iniciada.
