Uma análise sobre a participação dos CISOs em conselhos e reuniões de diretoria
Publicado em: 28/06/21 às 15h
CISO é a sigla para Chief Information Security Officer. Assim como o CEO (Chief Executive Officer), o CFO (Chief Financial Officer), o CMO (Chief Marketing Officer), o CRO (Chief Risk Officer), o CLO (Chief Legal Officer), o CCO (Chief Compliance Officer), o CTO (Chief Technology Officer), o CPO (Chief Product Officer), entre outros, o CISO é uma função executiva responsável por uma área essencial da empresa: a segurança da informação.
Nem todas essas posições são necessárias em todas as organizações. A presença delas varia de acordo com o setor de atuação e a estrutura de governança de cada empresa. À medida que as organizações crescem e se tornam mais relevantes em seus mercados, essas funções se tornam mais claras e importantes.
Esses cargos executivos têm um papel central na tomada de decisões estratégicas, e em muitos casos, possuem assentos nos conselhos executivos e administrativos. No entanto, o CISO é frequentemente excluído dessas reuniões de alto nível.
Publicidade
Lorem ipsum dolor sit amet, consectetur psum.
há 12h
Lorem ipsum dolor sit amet, consectetur psum.
há 12h
Lorem ipsum dolor sit amet, consectetur psum.
há 12h
De acordo com as diretrizes globais de governança corporativa, esses cargos executivos são, em sua maioria, estatutários. Isso significa que seus ocupantes têm seus nomes registrados no contrato social da empresa e são legalmente responsáveis por suas ações, tanto administrativamente quanto juridicamente.
No Brasil, o Instituto Brasileiro de Governança Corporativa (IBGC) define e regula essas funções. As consultorias, por sua vez, popularizaram o uso do título “CISO” para designar consultores altamente qualificados e experientes na gestão estratégica da segurança da informação. Embora muitos CISOs tenham um conhecimento profundo sobre tecnologia, seu papel estratégico vai além disso.
No entanto, a função de CISO muitas vezes oscila entre os níveis estratégico e tático. Estima-se que 70% do trabalho de um CISO se concentre em questões estratégicas, enquanto 30% envolve atividades táticas (ou ao menos deveria ser mais ou menos assim). Portanto, quando uma consultoria oferece um vCISO (CISO virtual ou CISO como serviço), o que está sendo ofertado é um profissional com esse equilíbrio de habilidades, quer seja para dar continuidade aos planos em execução, quer seja ajudar a guiar a organização ao próximo salto de maturidade em segurança da informação.
Apesar de, na teoria, o CISO ser uma função estratégica, na prática, muitos ainda enfrentam dificuldades em se estabelecer no nível executivo. Isso ocorre, em grande parte, porque a comunicação entre CISOs e outros executivos nem sempre é eficaz. Muitos CISOs vêm de uma formação técnica e, frequentemente, falham em traduzir suas preocupações e propostas em uma linguagem de negócios.
No ambiente do C-level, onde as decisões estratégicas são tomadas, discussões técnicas são vistas como secundárias e operacionais. Executivos estão acostumados a lidar com problemas complexos 24 horas por dia, 7 dias por semana, e já assumem responsabilidades pessoais e financeiras pelos desafios da empresa. Não é necessário terem que lidar com mais um interlocutor que fale uma linguagem técnica incompreensível e que, frequentemente, use o medo como argumento.
Uma reclamação comum entre CISOs é a falta de orçamento. Isso ocorre porque muitos deles se concentram na aquisição de novas tecnologias e soluções de ponta, que, inevitavelmente, são caras. No entanto, ao apresentarem suas necessidades com um discurso técnico e ameaçador, acabam afastando a atenção dos executivos. Isso reforça um sentimento de “quem chamou esse sujeito?”, e, assim, a percepção de que a presença de um CISO no conselho é desnecessária acaba por ganhar foco.
Além disso, muitos CISOs sofrem da “síndrome do silício”. Por terem uma origem predominantemente técnica, acreditam que a maioria das soluções tem que passar por um tema tecnológico. Isto os faz subestimar a importância de outros fatores, como vendas, controle de custos e planejamento de investimentos — elementos que impulsionam a empresa e são o foco das discussões executivas.
A principal falha dos CISOs está na forma como interpretam seu papel. A segurança da informação é essencial para mitigar ameaças e controlar riscos, mas jamais deve ser vista como um obstáculo aos negócios. Muitos CISOs, ao se depararem com uma situação de risco, assumem uma postura bloqueadora e afirmam que “não pode ser feito” porque é inseguro. O papel da segurança da informação é servir de facilitador de negócios através da busca pelo entendimento do porquê das intenções, que deve sempre priorizar uma análise situacional adequada. Algo como “dessa forma o risco é X, mas podemos mitigá-lo fazendo Y”.
Os indicadores e informações que o CISO traz ao conselho devem ser claros, objetivos e voltados para a tomada de decisões de negócios. O foco deve estar em ajudar os executivos a entenderem os riscos aos quais o negócio está exposto, e não apenas em discutir a tecnologia envolvida.
Ao não envolver o CISO nas decisões estratégicas, os riscos à informação muitas vezes passam despercebidos. Considerando que muitas empresas estão na n-ésima rodada de transformação digital, com infraestruturas cada vez mais distribuídas, dependência crescente de terceiros e fornecedores, a ausência de uma avaliação clara dos riscos pode resultar em sérios problemas.
Embora a cultura do “feito é melhor que perfeito” traga grandes avanços para o desenvolvimento dos negócios, ela também amplia a exposição ao desconhecido. O Chief Risk Officer (CRO) normalmente gerencia esses riscos, mas quando eles estão relacionados à tecnologias, o CISO deveria ter um papel de destaque — o que muitas vezes não acontece, pelos motivos já mencionados.
Ao não envolver o CISO nas decisões estratégicas, os riscos à informação muitas vezes passam despercebidos. Considerando que muitas empresas estão na n-ésima rodada de transformação digital, com infraestruturas cada vez mais distribuídas, dependência crescente de terceiros e fornecedores, a ausência de uma avaliação clara dos riscos pode resultar em sérios problemas.
Embora a cultura do “feito é melhor que perfeito” traga grandes avanços para o desenvolvimento dos negócios, ela também amplia a exposição ao desconhecido. O Chief Risk Officer (CRO) normalmente gerencia esses riscos, mas quando eles estão relacionados à tecnologias, o CISO deveria ter um papel de destaque — o que muitas vezes não acontece, pelos motivos já mencionados.
A resposta para “onde estão errando?” é multifacetada. Se por um lado os CISOs precisam desenvolver melhor suas competências (dentre elas algumas soft-skills fundamentais), por outro lado as organizações deveriam proporcionar ambientes de construção do perfil daqueles que tomarão as decisões mais críticas.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. dolor sit ame consectetur adipiscing ipsum dolor sit amet, consectetur
Onde encontrar o produto ou serviço?
Muitos CISOs vêm de uma formação técnica, e falham em se comunicar efetivamente com os tomadores de decisão. De acordo com uma pesquisa realizada pelo Gartner, apenas 12% dos CISOs são considerados altamente eficazes, revelando que muitos ainda não conseguem alinhar segurança da informação com a estratégia de negócios. Esses CISOs tendem a focar excessivamente em detalhes técnicos, o que, para os executivos, pode parecer irrelevante ou desnecessário.
Suas apresentações tendem a abusar de acrônimos e abreviações familiares àqueles profissionais que circulam pelas áreas mais técnicas, os indicadores e métricas seguem ainda com um apelo igualmente técnico que não resulta em reter a atenção de pessoas que não tenham exata percepção sobre a diferença entre uma solução de DLP (Data Loss Prevention) e um XDR (eXtended Detection and Response platform).
Conforme divulgado no site CIO Insight, estudos mostram que os CISOs mais eficazes são aqueles que dedicam tempo para entender os objetivos de negócios e manter um diálogo contínuo com os principais líderes da empresa. Eles se destacam ao comunicar riscos de maneira proativa e ao colaborar com outros líderes para alinhar a segurança aos objetivos organizacionais .
Muitas empresas ainda veem a segurança cibernética como uma função puramente operacional. Um estudo da FutureCIO revela que muitas organizações deixam de incluir os CISOs em decisões estratégicas e de fornecer o treinamento necessário para que eles atuem de forma mais executiva . Isso cria uma lacuna na gestão de riscos, especialmente em tempos de transformação digital acelerada, onde a segurança da informação é crucial para o sucesso de novos produtos e inovações tecnológicas.
Ainda segundo o artigo publicado pelo Gartner, empresas precisam mudar a percepção de que o papel do CISO é “apenas evitar falhas de segurança”. Ao contrário, o CISO deve ser visto como um facilitador da gestão de riscos, capaz de ajudar a empresa a navegar com segurança nas incertezas .
Para que os CISOs possam ter um lugar “à mesa dos adultos”, ambos os lados precisam realizar mudanças significativas.
Os CISOs precisam desenvolver habilidades de liderança e comunicação, saindo da mentalidade puramente técnica e adotando uma visão estratégica e de negócios. Isso pode ser alcançado por meio de programas de treinamento e envolvimento direto em decisões não relacionadas à tecnologia .
As organizações precisam envolver os CISOs em discussões estratégicas desde o início e integrar a segurança como parte dos principais objetivos comerciais. Ao fazer isso, não só protegem a empresa contra riscos cibernéticos, mas também alavancam a segurança como um diferencial competitivo.