Brasil,

TOKIO MARINE SEGURADORA

Oito passos para os CISOs se alinharem com seus pares de negócio para combater o risco cibernético

Arthur Capella*

À medida que as organizações mudam para o trabalho remoto e adotam novas tecnologias para impulsionar a transformação digital, a superfície de ataque continua a expandir-se, exigindo uma nova abordagem à segurança cibernética, no nível da liderança. Em 2021, o papel do CISO será redefinido para alinhar-se mais aos objetivos de negócio, de modo a fortalecer a postura de segurança em toda a organização. Um CISO alinhado ao negócio tem a capacidade de traduzir jargões de segurança complexos em termos de negócios. Esse líder é um impulsionador essencial para a inovação e o crescimento de sua organização.

Sob encomenda da Tenable, a Forrester Consulting realizou um estudo[1] que entrevistou mais de 800 executivos de segurança e de negócios de organizações do mundo todo, incluindo o Brasil. Ele mostra que a grande maioria (90%) dos líderes de segurança globais alinhados aos negócios têm muita ou total confiança em sua capacidade de demonstrar que seus investimentos em segurança cibernética estão impactando positivamente o desempenho dos negócios, em comparação com 55% de seus pares não alinhados. O mesmo estudo mostra que 85% dos líderes de segurança globais alinhados aos negócios possuem métricas para rastrear o ROI e o impacto da segurança cibernética sobre o desempenho dos negócios, versus apenas 25% de seus pares não alinhados. Embora haja desafios importantes ao atingimento do alinhamento entre a segurança cibernética e o negócio, o movimento em direção à destruição das barreiras em toda a organização pode aumentar muito a postura de segurança e reduzir o risco ao negócio.

As barreiras entre as lideranças de negócio e de segurança são um desafio comum a ser vencido, porque frequentemente os líderes de segurança se focam no significado técnico das métricas de risco, enquanto os líderes de negócios miram os impactos sobre os negócios. A despeito da desconexão, em muitas situações esses papéis se superpõem, como na eventualidade de um ataque cibernético paralisar as operações de negócios ou quando uma organização é auditada para assegurar a conformidade dos negócios às regulamentações locais.

A recente implementação da Lei Geral de Proteção de Dados (LGPD) tem atuado como um catalisador do alinhamento de todas as lideranças da organização para assegurar a conformidade. Em função disso, cargos como os de CEO e CFO estão sendo reinventados.

Isso é destacado em uma pesquisa publicada pela ISG Provider Lens™ em parceria com a empresa brasileira TGT Consult, que entrevistou 55 provedores de serviços e fabricantes brasileiros em cinco quadrantes: Gerenciamento de Identidade e Acesso, Vazamento de Dados / Prevenção de Perdas, Services Técnicos de Segurança, Serviços Estratégicos de Segurança, e Serviços de Segurança Gerenciados. A pesquisa descobriu que os maiores executivos corporativos do Brasil estão cada vez mais envolvidos em decisões de segurança cibernética em meio a crescentes preocupações acerca de vazamento de informações e outras vulnerabilidades.

À medida que as organizações se movem em direção a um maior alinhamento entre os executivos de negócios e os de segurança, os CISOs podem considerar oito passos críticos ao longo do caminho:

Construir uma rede de consultores de negócios. Criar ligações com colegas que atuarão como interlocutores para ajudar o CISO a comunicar o risco cibernético como um risco ao negócio.
Tornar-se membro de associações comerciais ou outras organizações profissionais do setor. Ler artigos da imprensa do setor, participar de webinars e outros eventos do setor. O objetivo disso é construir uma narrativa e uma referência para desafios de negócio enfrentados por CISOs de um setor semelhante.
Ver as reuniões de revisão trimestral sobre o desempenho da empresa como uma oportunidade de compreender as prioridades estratégicas de negócios para o trimestre seguinte, os desafios enfrentados pelos pares de negócios e quão vulnerável a empresa é a fatores econômicos externos. Aproveitar a oportunidade para entender como cada executivo apresenta o ROI de sua área e fazer referência a ela ao construir métricas de ROI de segurança cibernética.
Analisar o que os executivos da organização comunicam em documentos públicos, como demonstrações financeiras, press releases, artigos na mídia, redes sociais e fóruns do setor. O CISO que fizer isso reunirá informações objetivas e percepções da empresa aos olhos do público.
Estabelecer relações com os profissionais de risco da organização. Um bom líder de segurança tem a obrigação de participar do desenvolvimento de estratégias de gerenciamento de riscos de negócio para priorizar a segurança cibernética.
Obter visibilidade dos processos da organização que envolvem terceiros. Não se limitar às aplicações que suportam esses relacionamentos, como a folha de pagamento ou o provedor de ERP. Os CISOs devem estar cientes dos relacionamentos-chave entre a empresa e seus parceiros terceirizados, como processamento de folha de pagamento ou provedores de serviços de planejamento de recursos empresariais, bem como obter visibilidade das ferramentas e plataformas das quais estão tirando proveito para conduzir os negócios. Essa visibilidade é crítica para se manter uma compreensão da postura de segurança para mitigar o risco.
Agendar conversas com membros do C-level. Usar essas reuniões para entender seus desafios e prioridades de negócio mais amplas, com o intuito de obter uma compreensão holística de como o risco cibernético pode afetar esses objetivos.
Implementar reuniões regulares com a alta administração. Os melhores líderes de segurança entendem que uma de suas responsabilidades mais importantes é manter aberta a linha de comunicação entre a diretoria e a unidade de negócios de segurança. À medida que os diretores reconhecerem que a segurança é tão crítica quanto qualquer outra unidade estratégica de negócios, os CISOs precisarão continuar a refinar suas estratégias para comunicar com eficácia os riscos e responder às perguntas deles em termos de negócio.

O propósito desses oito passos é abrir portas e estabelecer conexões que permitam aos CISOs ser reconhecidos como um parceiro essencial na proteção da continuidade do negócio contra ameaças cibernéticas emergentes. Andando no mesmo passo, os líderes de negócios e de segurança ficam mais capacitados a assumir uma posição proativa no aprimoramento da postura de segurança em toda a organização.

*Arthur Capella é Country Manager da Tenable no Brasil.

[1] The Rise Of The Business-Aligned Security Executive, estudo realizado pela Forrester Consulting sob encomenda da Tenable, julho de 2020


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!


voltar ao topo