Estamos já no meio de 2024 e com todos os números de mercado mostrando que o Brasil é um campo fértil para cibercriminosos, muitas empresas – e não são apenas as pequenas e médias, caro leitor, não se engane – ainda não dão o devido valor à segurança da informação.
Nem preciso ir muito longe: o primeiro trimestre desse ano mostrou claramente que as organizações estão "puxando o freio" quando se trata de cibersegurança – vários projetos foram cancelados ou adiados por diminuição de verba na área. Claro que empresas precisam contingenciar seu caixa de maneira a garantir a saúde da operação, mas segurança não pode ser, todas as vezes, a área sacrificada.
Como, então, convencer o CFO – e o seu C-Level – a investir em segurança da informação? Para auxiliar nossos colegas nessa tarefa, preparei algumas sugestões práticas que podem ajudar CIOs e CISOs a demonstrar o valor da cibersegurança e obter o apoio necessário para implementar as melhores práticas e soluções.
Fale a linguagem do CFO
O CFO, como todos sabemos, está focado em números, e no retorno dos projetos para empresa, de uma forma clara e quantificável. Por isso, para convencê-lo a investir em segurança da informação, é preciso falar sua linguagem e mostrar como a cibersegurança pode contribuir para os objetivos financeiros da organização.
Uma forma de fazer isso é apresentar dados e indicadores que mostrem o impacto financeiro da segurança da informação, tais como: o custo médio de um incidente considerando os danos diretos (como perda de dados, recuperação de sistemas, pagamento de resgates, multas e indenizações) e indiretos (como perda de reputação, de clientes, de oportunidades de negócio e de vantagem competitiva); o ROI da solução a ser implementada, como redução de riscos, ou aumento de produtividade, entre outros aspectos.
Outro ponto é trazer o valor dos ativos de informação da empresa, considerando o potencial estratégico, competitivo e lucrativo dos dados que a organização possui, como informações sobre clientes, fornecedores, parceiros, produtos, serviços, processos, pesquisas e desenvolvimento.
Mostre os riscos e as oportunidades do cenário atual
O segundo passo a se considerar é levantar dados importantes que possam auxiliar na tomada de decisão. Para isso, é importante mostrar os riscos e as oportunidades do cenário atual, considerando as tendências, as ameaças e as exigências do mercado e da sociedade em relação à proteção dos dados.
Como parte do cenário, fazer uma comparação com outras empresas do mesmo setor ajuda a deixar mais clara a posição da companhia frente aos concorrentes no que se refere à cibersegurança. É uma forma de mensuração importante que traz também uma visão estratégico-analítica para a conversa.
Já em uma análise mais focada na organização, algumas questões que podem ser abordadas são: o volume de processos digitalizados dentro da empresa, o aumento da dependência desses processos e, por conseguinte, o risco da exposição de dados; a crescente complexidade e sofisticação dos ataques cibernéticos, como geram prejuízos financeiros, operacionais e reputacionais; e a evolução de regulamentações como a LGPD, bem como regulações específicas para mercados como o financeiro e de telecom.
Claro que esses são argumentos iniciais, que podem variar e que podem ser acrescidos de outros dados relevantes, dependendo do mercado de atuação da empresa.
Alinhe a segurança da informação com a estratégia da empresa
Também é preciso alinhar as demandas de cibersegurança com a estratégia da empresa, mostrando como isso pode apoiar e potencializar os objetivos, as metas e as iniciativas da organização.
Esta é uma ação para a qual é possível tentar o apoio de outras diretorias, realizando reuniões em grupo nas quais todos podem expor suas demandas, dúvidas e obstáculos a serem contornados. Isso ajuda a reforçar o entendimento da visão, missão, valores, prioridades e desafios da empresa e alinhá-los com a segurança da informação e como seu incremento contribui para cada um deles.
Por exemplo, se a empresa tem como visão ser líder no seu segmento de mercado, a cibersegurança pode ajudar a proteger e a valorizar os seus diferenciais competitivos, como a qualidade, a inovação e a satisfação dos clientes. Já se o objetivo do negócio está calcado sobre questões ESG, o tratamento das questões relativas à segurança da informação podem ajudar a demonstrar o compromisso da empresa com a ética, a transparência e a conformidade nas suas operações e relações com os seus stakeholders.
Por fim, duas coisas devem acompanhar todo esse trabalho: transparência e flexibilidade. No primeiro caso, é preciso ser honesto ao demonstrar as falhas da empresa, sem esconder erros do passado ou amenizar a realidade atual, deixando sempre claro que o objetivo é corrigir e melhorar a segurança. Já a flexibilidade é necessária para estar aberto a discutir diferentes opções e negociar formas e caminhos dentro da viabilidade financeira da companhia. Também é importante ter soluções e potenciais parceiros para apresentar entre as alternativas, definindo o que pode ser feito internamente e o que precisa de fornecedores especializados.
Convencer o CFO a investir em segurança da informação é um desafio que pode ser superado com as dicas que apresentamos neste artigo. Ao falar a linguagem do CFO, mostrar os riscos e as oportunidades do cenário atual, e fazer isso alinhado às estratégias da empresa, o CIO e o CISO podem demonstrar o valor da cibersegurança para a gestão financeira da organização e obter o apoio necessário para implementar as melhores práticas e soluções nessa área.
Audreyn Justus, Diretor de Marketing, Recursos Humanos e Compliance da Solo Network.
