Com o crescimento do mundo digital, acompanhamos também um enorme crescimento das ameaças cibernéticas. Estas variam de pequenas ações irritantes até desastres catastróficos. E à medida que essas ameaças evoluem, também vemos a evolução de um personagem anteriormente ignorado: o Diretor de Segurança da Informação, ou CISO (Chief Information Security Officer).
Não só o papel do CISO está mudando, mas também o relacionamento dele com a organização em que trabalha. Antes eles reportavam ao CIO, agora reportam diretamente ao CEO ou ao Conselho Administrativo. Em seu novo papel, o CISO também precisa de diversas novas habilidades.
O cargo foi introduzido pela primeira vez na organização comercial moderna para monitorar e analisar possíveis riscos de segurança para a empresa. Tradicionalmente, esses profissionais vieram do lado mais técnico e talvez não precisassem entender todo o negócio. Liderança, comunicação e background de negócios podem não ter sido requisitos para o trabalho até então. Mas isso está mudando.
Com ameaças cada vez mais avançadas, é justo dizer que as diretorias corporativas estão enxergando a importância da segurança cibernética. O desafio para o CISO moderno é discutir os problemas do negócio que causam os desafios de segurança (versus a tecnologia apenas). Quando os CISOs trazem ideias para a mesa executiva que são colocadas em termos de escolhas e integração de negócios, é mais provável que as questões sejam abordadas e corrigidas.
Os papéis do CIO e do CISO são diferentes. Ambos estão envolvidos com Tecnologia da Informação, mas de diferentes ângulos. O papel do CIO é assegurar a disponibilidade da informações para administrar o negócio; o do CISO é garantir segurança sem afetar a disponibilidade dos serviços empresariais. Este poderia ser um relacionamento adversário, mas abordado adequadamente – de um ponto de vista holístico – pode funcionar bem.
Toda organização gerencia a segurança de forma diferente, com base nas suas necessidades e estrutura interna. O CIO tradicionalmente trabalha ao lado da gestão de uma empresa e é focado na operação interna. O CISO, por sua vez, é direcionado para fora. Além disso, como o CISO frequentemente reportava ao CIO, nem sempre eram vistos como pares. Uma percepção é que os CIOs são veteranos e líderes experientes, e os CISOs são mais jovens e mais especializados.
O papel do CISO tornou-se mais elevado devido à importância do gerenciamento de dados na era digital. Sem a segurança cibernética uma empresa pode ser seriamente comprometida, tanto monetariamente como em reputação. Para muitas empresas, informações e segurança não fazem parte do negócio; elas são o negócio.
O CISO também se tornou o responsável por trabalhar com os fornecedores de segurança cibernética. Como existem mais de mil empresas de segurança cibernética de diferentes tamanhos e escopos, sua função inclui fazer com que os diferentes tipos de software funcionem juntos. Uma vez que isso seja realizado, ele também precisa comunicar como as ferramentas estão atuando com a classificação e arquivamento.
Atualmente os CISOs devem olhar para o negócio como um todo e não se concentrarem na tecnologia. Se focar apenas nas escolhas técnicas, pode-se considerar a segurança cibernética como um custo. É preciso uma abordagem certa para se concentrar no negócio e gerenciar o meio ambiente, além de comunicar como a segurança é importante para o sucesso da empresa.
Em resumo, o CISO de hoje tem um papel importante e expandido na gestão da segurança da empresa. Eles devem ter um relacionamento com o CEO e com o Conselho, para que as organizações possam avaliar com precisão suas vulnerabilidades. Um bom CISO também é um bom líder e comunicador, alguém que pode influenciar a organização para garantir a segurança e disponibilidade de sistemas. Ou seja, o papel evoluiu da função específica para uma parte vital da gestão de uma empresa.
Grant Bourzikas, vice-presidente e diretor de segurança da informação da McAfee.
