Guerra digital em 2023: A vitória virá para quem contar com o CISO em seu Board

Homem de camisa listrada Descrição gerada automaticamenteEm 2023, os ataques cibernéticos continuarão a assolar as organizações brasileiras. No segmento de varejo, por exemplo, as perdas foram expressivas. Estudo da consultoria internacional BIP realizado em outubro de 2022 em 13 países, incluindo o Brasil, revelou que, para 55% dos 80 dos maiores varejistas do país, o principal problema que afetou seus negócios foram os ciberataques. Em diversas ocasiões, um dos resultados desse quadro foi a demissão de CISOs. Trata-se de uma visão em processo de transformação. A economia digital precisa ser segura para os negócios avançarem e o CISO tem um papel crítico na sustentação de processos e na geração de riqueza.

Foi-se o tempo, porém, em que um líder e um time poderiam garantir a vitória contra as gangues digitais. Em 2023, o sucesso virá para a organização usuária que apoia seu CISO e trabalha com uma visão de longo prazo de proteção de seu ambiente de negócios.

Para que o CISO e o time de Cyber Security sejam ouvidos por toda a organização, algumas mudanças importantes têm de seguir acontecendo. Ainda há muitas empresas que não inserem o CISO em seus Boards. Essa configuração gerencial amplia o abismo entre o CISO e os gestores de negócios, dificultando que líderes sem expertise técnica consigam compreender a magnitude das ameaças digitais. Outro resultado desse contexto é o atraso na disseminação das melhores práticas de segurança em todas as áreas da empresa.

A integração entre o CISO e o Board é necessária porque, hoje, um ataque digital afeta a empresa como um todo. As perdas financeiras causadas por uma indisponibilidade do portal Web da organização, por exemplo, têm de ser equacionadas pelo CFO. O prejuízo causado à marca pela perda de credibilidade causada por um ataque, por outro lado, exige a intervenção do CMO para ser superado. Uma falha na conformidade da empresa à LGPD demandará que o Diretor Jurídico atue com presteza.

A velocidade e eficácia da resposta da organização como um todo às ameaças e aos ataques dependem dessa nova configuração do Board.

Esta realidade é tão premente que, nos EUA, a SEC (Securities and Exchange Commission, a versão norte-americana da brasileira CVM), propôs, em abril de 2022, que a lei Sarbanex-Oxley (SOX) passe a exigir que os líderes de cyber security tornem-se membros dos Boards empresariais. Segundo estudo da gestora de investimentos global Moody´s publicado no WSJ, em um universo de 1300 organizações norte-americanas, 56% das empresas do setor de finanças já contam com CISOs em seus Boards. Entre órgãos governamentais, no entanto, somente 37% das organizações já atuam nesse modelo.

Ainda não há estatísticas como estas em relação ao Brasil, mas é seguro afirmar que, em 2023, a segurança dos negócios digitais ganhará maturidade com a maior proximidade entre os CISOs e os outros membros dos Boards.

Comitês: espaço onde CISOs e outros stakeholders trocam experiências e recomendações

Outra frente de apoio aos CISOs são os Comitês Multidisciplinares de Segurança. Em muitas organizações, os primeiros Comitês Gestores de Privacidade e Proteção de Dados foram criados com foco na conformidade à LGPD. Como a busca da conformidade à lei é um ciclo contínuo, esses comitês seguem em ação. Em muitas empresas, porém, está acontecendo a ampliação desse modelo, com a organização de Comitês de Segurança que reunem stakesholders de todas as áreas de negócios.

Esse fórum escuta as recomendações do CISO e de seu time e também faz recomendações aos experts em cyber security, compartilhando lógicas de negócios e de processos essenciais para o sucesso de uma política de segurança digital.

Conformidade à LGPD será uma meta para empresas médias e pequenas

Em 2023 veremos, também, um número maior de empresas de portes variados buscando a conformidade à LGPD. A maior conscientização de consumidores e usuários sobre a proteção de seus dados pessoais está definindo escolhas de compra. Estudo realizado em dezembro de 2022 pelo Grupo Daryus a partir de entrevistas com 200 profissionais de ICT Security de empresas de todas as verticais e de todos os estados brasileiros indicam que, deste universo, somente 20% já estavam em conformidade com a lei. 80% ainda estão no processo de buscar essa transformação – 24% desse total disseram estar no inicio dos trabalhos.

Como a jornada em direção à LGPD envolve processos e tecnologia, é comum ser necessário contratar uma consultoria para suportar essa transformação. As grandes consultorias de negócios cobram caro por sua homem/hora e acabam sendo a escolha das maiores empresas brasileiras.

Em 2023, esse contexto criará oportunidades de negócios para Integradores de Soluções de segurança e MSSPs que conheçam as disciplinas de desenho de processos e possam atuar de forma consultiva junto a seus clientes. Em alguns casos, a estratégia adotada é uma fusão ou aquisição entre essas empresas e uma consultoria jurídica ou de processos com expertise em LGPD. Essa oferta inclui a possibilidade de profissionais dessas empresas atuarem como os DPOs das organizações usuárias de pequeno e médio porte.

Crise econômica reduzirá os budgets de ICT Security

Em todo Brasil, os CISOs revelam que os budgets para 2023 ou não foram ampliados o suficiente ou foram reduzidos. As dificuldades de comunicação entre as áreas técnicas e de negócios tornam esse quadro ainda mais crítico.

Uma estratégia para lidar com esse desafio é construir casos de uso que projetem um ROI bem definido, com informações que façam sentido para os líderes de negócios. Na vertical saúde, por exemplo, o caso de uso que medir o impacto de ataques digitais na reputação da empresa e de seus médicos é algo tangível. Em tempos de crise, o orçamento é disputado por várias áreas.

Pode acontecer, por exemplo, de que uma verba crítica para a proteção dos dados dos pacientes seja utilizada na compra de uma máquina de ressonância magnética. Nesse contexto, o principal desafio do CISO é sensibilizar seus interlocutores sobre o impacto que um ataque pode causar à empresa como um todo. Uma forma de construir esses casos de uso é utilizar ataques acontecidos em outros países ou empresas da mesma vertical e, a partir daí, montar um estudo indicando quantas horas ou dias a empresa ficou fora do ar, o quanto deixou de ser faturado, quantos clientes abandonaram a marca, etc.

A vitória na guerra digital de 2023 virá para quem ouvir o CISO, e passar a tratar a segurança digital como uma missão de longo prazo que pertence a todos os colaboradores da organização.

*André Gurgel é Country Manager da Hillstone Networks Brasil.

Sobre a Hillstone Networks

Fundada por veteranos da indústria, a Hillstone oferece, ano após ano, inovadoras soluções de segurança de rede implementadas em mais de 23 mil clientes em todo o mundo. Nossas soluções entregam às empresas e aos provedores de serviços a capacidade de ver de maneira integral o que se passa, compreender o que acontece com esses processos, e atuar rapidamente contra ameaças cibernéticas de múltiplas camadas e múltiplas etapas. Qualificada de forma favorável por analistas líderes e reconhecida como confiável por companhias globais, a Hillstone protege desde o perímetro até a nuvem com um TCO otimizado.