O abismo existente entre as áreas de tecnologia e negócios ainda persiste, apesar de há muito tempo o mercado reconhecer que o profissional ideal é aquele que sabe conciliar os dois mundos para que a empresa tenha sucesso no enorme potencial que existe quando elas caminham juntas. E quando o assunto junta segurança de informação, o distanciamento é ainda maior.
Hoje, com a acelerada digitalização da economia e o crescimento avassalador das ameaças, o grande desafio é construir pontes entre a área de segurança digital e o C-Level, os gestores de negócios, diz Arthur Capella, country manager da Tenable Brasil..
Para explorar esse contexto, a Tenable contratou a Forrester para realizar o estudo "The Rise of the Business-Aligned Security Executive", levantamento feito com mais de 800 executivos de negócios e de segurança de todo o mundo, 59 brasileiros. O que aparece sobre o Brasil nesse estudo é bastante semelhante às descobertas referentes a outros países (Alemanha, Arábia Saudita, Austrália, EUA, França, Índia, Japão, México, Reino Unido).
"O estudo deixa claro que noventa e seis por cento das empresas brasileiras foram atacadas nos últimos 12 meses e que esses ataques estão afetando os negócios. Oitenta e três por cento dos entrevistados acreditam que o número de ataques com poder de prejudicar os negócios irá aumentar nos próximos 24 meses. A pesquisa aponta, ainda, que a comunicação entre os profissionais de segurança e os diversos gestores de negócios é difícil e precisa ser melhorada", explica o executivo, acrescentando que, "quando, por exemplo, um líder do C-Level pergunta ao seu gestor de segurança "Qual o nosso nível de segurança", somente 4 em cada 10 líderes de segurança conseguem responder a essa questão com um alto nível de confiança".
Segundo Capella, essa resposta mostra a desconexão entre as áreas de segurança e de negócios. Ele ressalta outros resultados do estudo da Forrester que evidenciam essa realidade: "Quando perguntados sobre o efeito que ataques digitais causam à empresa, somente doze por cento dos executivos de negócios e de segurança brasileiros entrevistados mostraram compreender que a vulnerabilidade da empresa à ataques afeta a reputação e o valor da marca. O mesmo índice – doze por cento – representa os poucos líderes brasileiros que compreendem que sofrer ataques os impede de cumprir metas de vendas".
O estudo indica que uma saída para essa situação é o avanço de um novo tipo de gestor de segurança, o líder de segurança alinhado a negócios. Para a Forrester, esse tipo de profissional pode, em alguns casos, ser identificado por uma sigla, BISO (Business Information Security Officer).
"Esse perfil de profissional deixou para trás o tempo do gestor focado somente em seu setor, e ganhou habilidades, inclusive de comunicação, que o tornam muito respeitado pelo C-Level, um verdadeiro interlocutor em tudo o que diz respeito aos negócios digitais e à inovação dos processos da empresa", ressalta.
Diferenciais
A pesquisa alinha alguns dos diferenciais do líder de segurança alinhado aos negócios:
* Têm oito vezes mais chances de estarem altamente confiantes em sua capacidade de relatar o nível de segurança ou risco de suas organizações;
*Estão muito ou completamente confiantes (90%) em sua capacidade de demonstrar que os investimentos em segurança cibernética estão afetando positivamente o desempenho dos negócios, em comparação com 55% de seus parceiros isolados;
*Em sua maioria (85%), têm métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios, ao contrário de apenas 25% de seus pares isolados;
As organizações com líderes de segurança cibernética alinhados ao negócio também:
*Têm três vezes mais chances de garantir que os objetivos de segurança cibernética estejam em sintonia com as prioridades dos negócios;
*Têm três vezes mais chances de ter um entendimento holístico de toda a superfície de ataque de sua organização;
*Têm três vezes mais chances de usar uma combinação de dados de criticidade de ativos e de vulnerabilidade ao priorizar os esforços de remediação.
Capella enfatiza que parte do sucesso do líder de segurança alinhado aos negócios vem do uso de soluções de segurança que forneçam informações sobre as vulnerabilidades do ambiente em um novo formato. "Cada grande empresa conta com milhares de vulnerabilidades. Para melhor se comunicar com o C-Level, é essencial traduzir essas vulnerabilidades em riscos para o negócio. Essa é a linguagem que os membros do C-Level entendem. Qualquer sabe reconhecer quando existe uma questão de risco, até mesmo nas suas atividades pessoais".
Esse é core das soluções da Tenable ressalta o executivo "Suas soluções inserem as informações sobre vulnerabilidades num contexto de negócios. Para isso, utilizam benchmarks de cada vertical e benchmarks da própria empresa para traduzir essa realidade em dados que fazem sentido para o negócio, não somente para a área de ICT Security".