Durante muito tempo, o Chief Information Security Officer, Diretor de Segurança da Informação ou simplesmente CISO foi uma função bastante técnica, exigindo dos aspirantes ao cargo, basicamente, conhecimentos nas melhores ferramentas para prevenção de riscos, na sua integração e implementação. Mas essa não é mais a realidade e eu explico os motivos.
Hoje, as empresas estão em busca de transformação ágil, possuem estruturas mais rápidas, contam com áreas cada vez mais independentes e operam muito orientadas a produtos. Nessa dinâmica, é comum que, dentro da organização, crie-se células de produtos com alto poder de decisão visando agilizar processos e manter ou elevar a competitividade do negócio.
Na antiga posição técnica, o CISO ficaria muito à parte de todos esses processos. Por essa razão, hoje, é muito mais estratégico que esse executivo procure estreitar e fortalecer os laços com as áreas de negócios, entrando no ciclo de desenvolvimento dos produtos da empresa. Fará isso com mais facilidade se possuir habilidades similares às de um product owner, na qual as soft skills são muito necessárias, permitindo um bom entendimento do ecossistema da empresa, um bom relacionamento com os pares e, principalmente, conseguir conciliar a segurança com a aparência, as funcionalidades e o user experience, para cumprir as metas da organização de criar soluções mais inovadoras, user friendly e buscando incluir o security by design durante todas as etapas de criação do produto.
Esse novo posicionamento é necessário porque hoje, principalmente diante da chegada da Lei Geral de Proteção de Dados – LGPD, a segurança da informação precisa entrar no ciclo de desenvolvimento dos produtos das empresas, começando pelo fundamental conceito de security by design, ou seja, a iniciativa de pensar na segurança desde o esboço do escopo de uma nova solução de tecnologia para mitigar as vulnerabilidades.
O que temos visto com frequência é que, na ânsia de serem inovadoras e "vencerem" a concorrência, muitas organizações lançam soluções de tecnologia sem considerar o item segurança na esteira de desenvolvimento, o que se caracteriza em uma falha na arquitetura do produto – não necessariamente no aplicativo. Mas, de qualquer forma, como resultado dessa precocidade, eleva-se de maneira significativa as taxas de determinados crimes cibernéticos.
Essa tendência de transformação do cargo do CISO fica ainda mais clara quando observamos o orçamento de TI. De acordo com previsões do Gartner, 40% do budget que seria de tecnologia da informação tem sido direcionado para as áreas de negócios para que seus líderes financiem os projetos de TI que sejam do interesse de seus departamentos.
Esse novo fluxo dos recursos financeiros da companhia demanda que os CISOs se mantenham a par das iniciativas da companhia, entendendo quais produtos serão criados e lançados. Assim, ficará mais fácil incluir na esteira de desenvolvimento e construção do item a segurança como um elemento fundamental e necessário, mantendo a empresa em compliance com as normas vigentes.
Para se destacar, contudo, o CISO deve pensar além das normas. É fundamental que ele abrace a transformação digital para garantir a continuidade e competitividade do negócio, porém entendendo da segurança da informação como o DNA do negócio, com um respeito genuíno por todas as pessoas que decidem manter contato com a marca, enquanto influencia todos os membros da organização a direcionarem o olhar, as ações e as intenções para esse mesmo objetivo.
Rafael Sampaio, country manager da NovaRed Brasil.
