O papel do CISO está se modificando a uma velocidade que desafia as práticas mais tradicionais de gerir a segurança de suas instituições. Naturalmente, com a evolução das organizações, as necessidades de segurança evoluíram na mesma medida, desafiando o CISO com um problema de recursos finitos que ainda não há solução.
Após tudo o que vivemos durante a pandemia do Covid-19, eu acreditava que já não fazia mais sentido o termo "transformação digital'', e que deveríamos chamar apenas de digital. No entanto, eu estava errado com este raciocínio A transformação digital é contínua e se adapta às novas tecnologias que demandam adaptações na prática de segurança da informação. Portanto, CISOs encontram-se navegando em uma lista cada vez maior de projetos de segurança, desde a implementação de controles até a prestação de contas aos líderes de negócios. Logo, persistir com o processo de priorização baseado excessivamente no risco cibernético pode levar a uma série de desafios:
- Desalinhamento com métricas de negócios: quando a priorização não está alinhada às principais necessidades da organização, os esforços de segurança podem não sustentar os objetivos estratégicos da instituição.
- Aumento de custos e redução de valor de negócio: A falta de priorização sistemática dos investimentos pode resultar em custos elevados e redução do valor geral de negócios.
- Atritos com Stakeholders: A falta de transparência pode gerar atritos com parceiros de negócios, levando a percepções de desalinhamento e redução de apoio executivo.
Para enfrentar esses problemas, os CISOs devem adotar uma abordagem transparente, rigorosa e centrada nos negócios, estruturando e avaliando as decisões de investimento e priorizando os recursos finitos para obter o maior impacto positivo possível:
Em primeiro lugar, defina os objetivos do portfólio de segurança em alinhamento com as metas estratégicas da organização. Por exemplo, tente entender os objetivos da liderança para a empresa (ex. Relatório aos investidores, plano estratégico, anúncios dos líderes ao mercado etc.). Um portfólio bem definido deve contemplar a proteção de áreas críticas que possam impactar diretamente as operações e crescimento no mercado em que atua.
Após definir os objetivos, crie um modelo de classificação dos projetos existentes e planejados. Cada projeto deve ser avaliado quanto ao seu impacto potencial nas metas estratégicas da organização e sua urgência em termos de risco. Utilize uma matriz de priorização que permita visualizar quais projetos devem receber maior atenção, e, eventualmente, quais devem ser postergados.
Uma vez priorizados, é essencial a garantia de implementação dos projetos estabelecendo indicadores-chaves de desempenho (KPIs) e métricas para monitorar o seu progresso, permitindo assim ajustes rápidos conforme necessário. A revisão contínua dos projetos e adaptação às mudanças no ambiente de negócios são base na manutenção da relevância e eficácia do portfólio de segurança.
Por último, não existe receita perfeita. Logo, é essencial realizar revisões periódicas do portfólio e ajustar a estratégia conforme necessário levando em consideração a transformação digital e as novas ameaças, garantindo assim que os investimentos em segurança permaneçam alinhados às metas de negócios e amplifiquem a relevância dos projetos para a organização.
Ao alinhar os objetivos de segurança com as metas estratégicas, envolvendo stakeholders e monitorando continuamente o progresso, os CISOs podem obter melhores resultados em seus esforços para cumprir a missão de manter suas organizações resilientes.
Cláudio Neiva, CTO de segurança para a América Latina
