Por James Pearce (*)
Estamos em 2023 e a cibersegurança é apontada pela maioria das empresas como uma das três principais preocupações para o seu negócio. No entanto, muitas delas ainda não têm um CISO (Chief Information Security Officer) na sua Comissão Executiva (Exco) - Porquê? E como isso pode ser alterado?
Para qualquer outra função operacional central, existe representação na Exco - finanças, RH, vendas, marketing, risco, IT e operações. Estes são os domínios-chave que garantem que as prioridades estratégicas estão salvaguardadas e que o ADN cultural e operacional está incorporado no negócio.
Questão #1: Por que deve o CISO ter assento na Exco em vez de reportar ao CIO, COO ou CTO?
Em primeiro lugar, a ciber-resiliência é transversal à empresa – todos desempenham o seu papel na proteção do negócio. O IT implementa e gere um grande volume de sistemas que a segurança utiliza e controla e que o negócio depende. Para que a transformação digital seja bem-sucedida, é preciso ter plataformas e aplicações altamente disponíveis e seguras para maximizar o valor para o negócio.
Portanto, é tão válido ter o CISO com assento na Exco como qualquer outro líder estratégico que proteja, construa e faça crescer o negócio. Se a cibersegurança está no top 3 das preocupações e o Conselho de Administração é responsável pela gestão do risco corporativo, como podemos esperar que consiga ter uma visão equilibrada do risco cibernético e tome as decisões apropriadas se for apresentada através de outras lentes?
Além disso, como podemos impulsionar um ADN cibernético se a Exco, que implementa as diretrizes de topo, não tiver representação cibernética?
Em segundo lugar, a resiliência cibernética e o IT são domínios separados de especialização, mas devem trabalhar como parceiros iguais para que os sistemas sejam construídos, executados e geridos com segurança. Por isso, a cibersegurança não deve ser subordinada ao IT, mas sim ter o mesmo peso nas conversas de nível estratégico.
Finalmente, se recuarmos à história recente das empresas, o IT nem sempre teve assento à mesa da Exco. No entanto, num mundo cada vez mais digital, quem argumentaria que o CTO de um negócio centrado na cloud não precisaria de estar na Exco?
Chegou a hora do CISO ser sempre um cargo de nível Exco, especialmente em empresas de maior dimensão ou reguladas.
Isto leva à segunda questão.
Questão #2: Como é que o CISO mantém o envolvimento com a Exco?
Não faz sentido estar na Exco se o Conselho de Administração e o CEO não veem a relevância da resiliência cibernética. Isto é o que pode acontecer ao longo do tempo, já que nem todos são tão apaixonados e motivados pela cibersegurança e resiliência.
Por isso, é imperativo manter a relevância ao longo do tempo:
- O negócio em primeiro lugar, a cibersegurança em segundo – o CISO deve olhar todas as atividades de cibersegurança através das lentes de apoiar, proteger e facilitar os objetivos estratégicos da empresa.
- Ver as oportunidades, bem como as ameaças (e custos) – na área de cibersegurança, fala-se muito de cenários apocalíticos e de falhas. O negócio deve ver a cibersegurança como motor que simplifica a tecnologia, sustenta os objetivos de ESG e protege novas iniciativas de crescimento, como colocar os clientes no centro da transformação digital.
- Tentar dizer “não” o menos possível – a área de cibersegurança é frequentemente acusada de dizer “não” a projetos – é preciso mudar a narrativa. “Sim, contudo…” é uma resposta melhor.
- Apresentar a cibersegurança em termos quantificáveis – pode não ser fácil, no entanto, o resto da Exco fala em números – EBIT, CAC, margens, EPS, taxas de conversão, etc. Temos de expressar o risco cibernético em termos quantificáveis e entendíveis para o negócio – as ferramentas existem e é preciso utilizá-las.
- Cenários hipotéticos – as histórias são poderosas e é necessário utilizá-las para facilitar atividades cibernéticas positivas e articular o risco de não fazer nada ou o mínimo possível em comparação com o custo da cibersegurança.
Para concluir, como um colega meu diz, "a cibersegurança é o novo modelo de negócio" - é uma parte fundamental do ADN empresarial, tanto como os websites, vendas, faturação, logística, seguros e pagamentos. Portanto, a cibersegurança e sua personificação, o CISO, devem estar na Exco com a mesma importância do IT.
(*) Delivery Director na NCC Group
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários