Como as empresas têm se tornado cada vez mais dependentes da tecnologia, em todos os aspectos de suas operações, executivos com conhecimento técnico como CISOs e líderes de TI estão cada vez mais envolvidos e requisitados para as tomadas de decisão. Isto significa que, mais do que nunca, é necessário suprir a lacuna que existe entre a comunicação técnica e não técnica.
Os altos executivos, CEOs e outros C-leves, diretores, membros do conselho administrativo em geral não são fluentes em tecnologia ou nas melhores práticas de segurança, muito menos no jargão técnico. Ao mesmo tempo, os CISOs ou líderes de TI muitas vezes não têm experiência comercial para falar de uma maneira que os demais possam entender, não tendo assim espaço para discussões técnicas que a diretoria possa analisar.
Essa quebra na comunicação pode ter um efeito cascata. Os membros da diretoria podem não entender completamente os riscos de segurança de uma determinada iniciativa, ou, com o número crescente de violações de segurança complexas e custosas, eles podem enfatizar demais a cautela e a mitigação dos riscos às custas da implementação de importantes avanços técnicos. Por outro lado, a organização pode não ter um processo de segurança maduro e pode não ter um bom nível de segurança.
No fim, isso tudo atrapalha a estratégia da empresa, não apenas no que diz respeito à segurança digital. A conversa sobre segurança cibernética deve ser mantida com os altos executivos, e é preciso comunicar o que é útil para eles: desde as métricas certas para apresentar, processos importantes implicados até as necessidades urgentes.
Listamos alguns pontos estratégicos para que se tenha uma conversa eficaz a nível de diretoria sobre risco e segurança cibernética.
- Uma segurança cibernética robusta é mais do que apenas se defender.
Ao analisar suas práticas e defesas cibernéticas de segurança, é fundamental avaliar sua capacidade de proteger as “jóias da coroa” da empresa contra intrusos. Igualmente importante, entretanto, é proteger a continuidade do negócio que manterá parcerias estratégicas e relacionamentos com clientes, pesquisa e desenvolvimento de produtos e serviços digitais, e a capacidade de avançar, e ainda continuar a executar todos os aspectos de um negócio competitivo.
- É preciso gerenciar o fator medo.
Falar sobre casos de grandes violações, daqueles que repercutem em todas as manchetes, de fato capta a atenção e o interesse dos executivos, que não querem ser a próxima vítima. Mas nem todas as falhas são criadas de forma igual. Algumas brechas, como as que surgem a partir de serviços de nuvem mal configurados ou ataques ransomware, são extremamente comuns, mas existem milhares de outros tipos de falhas e entradas para ataques.
O gerenciamento do fator medo é o primeiro passo para o sucesso das interações com a diretoria. É importante saber conciliar as preocupações com os vetores de ataques incomuns e entender como enfrentá-los, com saber como manter a diretoria e as partes interessadas da empresa focadas nos maiores riscos e nos cenários de ataque mais prováveis. Isso ajuda a garantir que os recursos de segurança sejam direcionados para controlar o que, de fato, pode ser controlado. No mais, é sempre importante ressaltar que prevenir incidentes é melhor de que remediá-los.
Está cada vez mais evidente que a cibersegurança é uma questão de pessoas, processos e tecnologia. É preciso entender como estes três elementos trabalham juntos para reduzir o risco de uma forma que não atrapalhe as operações.
- Segurança faz parte da estratégia da empresa.
Os altos executivos precisam compreender os tipos de dados que a organização tem ou armazena (dados pessoais; propriedade intelectual; dados de parceiros comerciais), a lei que direciona como a empresa trata esses dados (LGPD), e quais penalidades podem recair sobre a empresa ou seus diretores se a empresa não levar a segurança digital a sério.
Uma maneira eficiente de se fazer isso é enquadrar a função de segurança como algo que significa ser um ativo estratégico para a organização
- Resiliência é a palavra-chave.
Falando em controle, dizer que a organização é 100% segura é preparar a equipe de segurança para falhar. Sendo assim, é preciso falar sobre resiliência, isto é, como a empresa se recupera em caso de violação, quais medidas estão no plano de contingência e como investigar e aplicar o conhecimento para avançar de forma mais segura e inteligente.
- Identificar a postura de segurança.
É necessário saber identificar a sua postura de segurança. Para isso, basear-se em frameworks de segurança pode ajudar bastante. Embora os altos executivos possam não compreender os detalhes técnicos de frameworks como Controles CIS, MITRE ATT&CK e NIST, essas estruturas fornecem uma forma lógica e padronizada de avaliar a completude de um programa de segurança em relação aos padrões de referência da indústria em questão.
Através dessas estruturas, é possível ter uma visão contextual das tecnologias que sua empresa utiliza, bem como das tecnologias que ainda têm de implementar para melhorar a segurança.
- Os riscos para o negócio e as recompensas
Um dos fatores de sucesso mais críticos em um ambiente de diretoria é o mapeamento das prioridades da equipe de segurança para os objetivos centrais do negócio. Como exemplo, a equipe de segurança pode dizer que ter zero certificados SSL expirados é uma grande vantagem, mas a diretoria provavelmente não sabe o que isso significa ou não entende as implicações comerciais deste esforço em termos de segurança. Embora a equipe de segurança possa considerar que ter zero certificados SSL expirados seja uma grande conquista, a diretoria provavelmente não tem nenhuma compreensão do que isso pode significar para o negócio. Apresentar esse tipo de informação no contexto dos objetivos comerciais pode fazer toda a diferença. No caso dos certificados SSL, isso significa falar sobre como repercute na confiança do consumidor, confiabilidade do serviço, no ranking de buscas, engajamento e nas conversões do website. Desta forma, manter os certificados SSL é um fator de resultados comerciais importantes.
Embora os certificados SSL sejam apenas um exemplo, se a conversa com a diretoria for através da lente dos principais objetivos da organização e como eles os estão apoiando, ela será muito mais produtiva.
- Segurança é investimento
Mesmo quando há bastante investimento em iniciativas de segurança, aos olhos da diretoria a segurança é muitas vezes vista como um mal necessário, e, às vezes, até como um empecilho às operações comerciais. Muitos já tiveram ocasiões em que alguns requisitos de segurança os impediram de usar uma tecnologia que os ajudaria a ter um melhor desempenho em seu trabalho. Assim se deu a origem de uma categoria conhecida como Shadow IT – que é uma grande preocupação de segurança em muitas empresas.
Para a diretoria, estas situações podem fazer parecer que a segurança é contrária à inovação. É por isso que é fundamental que a conversa seja objetiva e sintetizada, para que haja uma compreensão clara dos requisitos e objetivos comerciais, que esteja alinhada à segurança como forma de investimento para o negócio, e não como um gasto.
Se os CISOs, responsáveis técnicos ou líderes de segurança puderem demonstrar uma compreensão clara dos requisitos e objetivos comerciais e operacionais, e falar sobre quais medidas de segurança precisam estar em vigor para alcançá-los, a conversa com a diretoria será mais eficiente.
Ao contrário do que muitos acreditam, uma visão mais positiva da segurança cibernética, uma visão que vai além da imagem comum de um estado puramente de alerta e defensivo, melhora o desempenho da empresa. Hoje, a segurança digital é como um motor de crescimento, uma chave para a inovação e uma vantagem competitiva. Para que isso realmente aconteça, é preciso colocar todos os líderes à par do tema, comunicando e trabalhando, em conjunto com a área de TI.
