Em 2025, uma das missões mais estratégicas dos CIOs e CISOs brasileiros será comunicar-se com o C-Level de suas organizações. Há empresas que estão mais avançadas neste quesito. Um estudo baseado em entrevistas com 3.522 líderes empresariais e de tecnologia revela que 46% dos CEOs querem dar ao CISO mais autoridade para fortalecer a segurança com o apoio de todos os stakeholders da empresa. Interações estruturadas entre o CISO e as áreas de negócios estão se tornando mais frequentes: 56% dos líderes de segurança se encontram uma ou mais vezes por mês com o Board. Um dos fatores que está levando o conselho de administração a se abrir para o CISO é crescente corpo de regulações e compliances que, se não forem seguidos, podem causar vários tipos de prejuízo à organização.
Ainda assim, segue sendo desafiadora a comunicação entre as áreas de tecnologias e o Board. Há um abismo entre a entrega da mensagem sobre segurança digital e sua compreensão por líderes de outras áreas. É nesse contexto que entram em cena novas habilidades do CISO.
O CISO que sabe escutar o outro
Para ser bem-sucedida, a comunicação do CISO com os membros do Board tem de começar com a escuta. Reuniões do CISO com o CMO, por exemplo, devem ser cuidadosamente planejadas, de forma a despertar a atenção do líder do marketing para a questão da segurança digital.
Nesta ocasião, o CISO fará ao CMO perguntas sobre o provisionamento que sua área fez para, no caso de a empresa sofrer um ataque de ransomware, pagar o resgate de acesso a canais como web pages institucionais e Mobile Apps. Outro ponto a explorar é indagar sobre o prejuízo causado, por exemplo, pela queda no valor da marca causada pela disseminação de notícias sobre o ataque sofrido.
Esse é um exemplo de um processo de sensibilização de líderes de áreas de negócios a respeito de seus papeis na construção de uma organização mais resiliente.
Mensurando as possíveis perdas do CMO, CFO etc
Os dados levantados com os membros do C-Level serão, posteriormente, analisados pelo CISO e seu time, de forma a construir uma narrativa sob medida para a organização em questão. A meta é inserir os processos e as vulnerabilidades da empresa num quadro de ataques globais. Isso é feito de forma didática e atraente. Se o foco for só no que acontece fora da empresa, a atenção do outro se perde. É necessário aliar a realidade da empresa a histórias de ataques sofridos por empresas da mesma vertical ou da mesma região.
O próximo passo na construção dessa jornada de aprendizagem em cybersecurity para o C-Level é simular ataques e estimar, em especial, as perdas em todos os níveis causadas pela vulnerabilidade da empresa a esse tipo de crime. Essa narrativa deve chegar ao detalhe, incluindo simulações de monetização dos prejuízos sofridos pelo CEO, CMO, CFO, a área jurídica etc.
Ganhará os ouvidos do C-Level o CIO ou CISO que articular uma narrativa alinhada às prioridades corporativas e de negócios. A regra é apresentar ao Board histórias com impacto quase emocional, totalmente focadas no atingimento das mais altas expectativas dos clientes, parceiros, colaboradores e autoridades reguladoras. A narrativa do CISO tem de construir pontes entre os desafios específicos da empresa e as melhores práticas estabelecidas pelo ecossistema setorial desta organização.
Aprendendo a falar uma nova língua
Há, porém, casos em que a mensagem dos especialistas em segurança cibernética ainda é demasiadamente técnica e os dados por eles fornecidos são demasiadamente 'dispersos'. Vale a pena substituir jargões técnicos por exemplos, casos de uso e, em alguns casos, metáforas.
Organizar uma cultura focada em segurança depende de a TI e o negócio passarem a falar uma nova língua. A base deste idioma são métricas que traduzem riscos de cybersecurity em dados como perdas financeiras, operacionais ou valor da marca (reputação). Para serem mais bem compreendidas, essas métricas têm de estar inseridas em narrativas com impacto imediato sobre os membros do Board. O CISO que construir esses caminhos de integração será reconhecido como um "team member" que conquista, para o "team", até mesmo quem pouco sabe sobre cybersecurity.
Hilmar Becker, Diretor Regional da F5 Brasil.
