A guerra contra o crime digital é enfrentada diariamente. Todo dia há vitoriosos e derrotados. O CISO vitorioso é aquele que consegue enfrentar as ameaças do presente, antecipar e bloquear as ameaças do futuro e, em paralelo, comunicar para seu board – o C-Level – em linguagem de negócios o que fazer para sustentar os processos da empresa. Ou seja: a guerra do CISO é em parte contra atacantes externos, em parte contra a cultura interna da organização. Há times que não aceitam a verdade de que a segurança digital é uma missão para todos, não só para os profissionais de TI. O quadro fica mais complexo quando se analisa os valores financeiros envolvidos nesta guerra. Segundo o Gartner, a economia global investirá US$ 4,3 bilhões em cybersecurity em 2024. É uma cifra impactante, mas que não se aproxima do prejuízo causado pelos ataques digitais: US$ 9,5 trilhões em 2024, segundo estudo da Cybersecurity Ventures.
O abismo entre esses valores é reforçado pela dificuldade de se traduzir, para o Board, cybersecurity em conceitos de negócios. Um estudo com 2600 líderes de tecnologia divulgado em junho revela que 79% dos líderes de segurança sentem-se pressionados pelo C-Level a minimizar a gravidade dos riscos cibernéticos, uma realidade com impacto direto sobre o budget da área de TI e Segurança. Além de terem sua opinião desconsiderada, alguns CISOs reclamam de serem chamados de repetitivos ou irritantes. Por outro lado, quando contam com argumentos conectados à sustentação dos processos de negócios, 46% conseguem a aprovação para projetos inovadores que, além de elevar a postura de segurança da empresa como um todo, abrem caminho para disruptivos negócios digitais.
Foco na resiliência dos negócios
Esses profissionais se tornam CISOs vitoriosos de fato: além de consolidarem a cultura de segurança da empresa como um todo, percebem a valorização de seu papel na empresa (44%) e são promovidos (41%).
Um relatório baseado em entrevistas com 1031 CISOs de todo mundo vai além, e mostra quem o CISO quer ser em 2024 e no futuro. Dois terços dos CISOs (65%) afirmam que seu papel é melhorar a resiliência dos negócios, não apenas gerenciar o risco cibernético. Eles reforçaram que esse salto profissional só é possível quando têm acesso a dados e análises (76%) sobre toda a superfície de ataque da empresa. Trata-se de algo muito desafiador, já que a digitalização dos negócios segue em expansão constante.
Maturidade digital
Antes de defender um novo projeto, é recomendável que o CISO faça uma complexa lição de casa: mensurar a maturidade digital da empresa e, a partir daí, estimar em moeda corrente o prejuízo que a empresa sofreria em caso de um ataque. Trata-se de dar corpo a uma ameaça antes que ela aconteça, algumas vezes utilizando casos de outras empresas, até mesmo de outras verticais, para se chegar a um número que faça sentido. Num portal de e-commerce, por exemplo, é fundamental mensurar quantas vendas deixaram de ser feitas diante de um ataque, chegando ao detalhe de detalhe para, diante de questionamentos do Board, ter respostas prontas e alinhadas com o contexto.
Falar em linguagem de cybersecurity com os líderes de negócios não levará o CISO a lugar algum. Mas, para conseguir traduzir questões técnicas complexas – que envolvem vulnerabilidades em hardware, software e gestão de pessoas e processos –, um longo e detalhado percurso tem de ser realizado.
Segundo o World Economic Forum Global Cybersecurity Outlook 2024 – estudo realizado a partir de entrevistas com 199 líderes de TI e segurança de empresas globais –, o maior impedimento para o sucesso dos projetos de cybersecurity é a dificuldade em inseri-los na inovação dos negócios da organização usuária. Para evitar essa armadilha, é fundamental ter clareza sobre processos e o grau de maturidade digital. Cabe ao gestor de tecnologia conhecer em profundidade a cadeia de valor da empresa, quais são os processos críticos para o negócio e, a partir daí, construir um retrato que revele o quão digital é esse universo.
Por meio da contratação de uma consultoria ou utilizando seus recursos internos é possível, a partir de benchmarks de mercado como o NIST (National Institute of Standards and Technology), medir a maturidade digital da empresa. Enquanto a ISO 27001 tem 127 controles (pontos a serem checados), o NIST é organizado em 23 categorias e 108 subcategorias.
Dados tratados e classificados
Um dos critérios mais críticos diz respeito aos dados sensíveis da organização. Estamos vendo a Inteligência Artificial entrar com força nas empresas sem, no entanto, que os dados tenham sido tratados e classificados previamente. Estudo da F5 realizado a partir de entrevistas com 700 líderes de tecnologia, 25 do Brasil, revela que 72% dos gestores enfrentam problemas com a qualidade dos dados. Uma das maiores dores é a ausência de fonte única de verdade para seus dados.
Realizar assessments prévios nessas áreas colabora para que o CISO enxergue com clareza o grau de maturidade digital da empresa e, a partir daí, desenhe um roadmap de novas aquisições em cybersecurity de acordo com as necessidades de crescimento da organização. Sem ter cumprido essa etapa, o CISO pode acabar não conquistando o apoio do C-Level para a inovação em escala da segurança. Derrotas para criminosos digitais serão o resultado deste quadro.
Hilmar Becker, Diretor Regional da F5 Brasil.
