Gerenciamento de risco como habilidade essencial para um CISO

Ano passado, ao revisar os feedbacks dos meus colegas sobre os objetivos e os problemas do nosso setor, tive sentimentos ambivalentes. Um ano depois, os resultados da nossa nova pesquisa (disponível abaixo) tornaram-se ainda mais interessantes.

A primeira impressão que você tem ao olhar os resultados desses dois estudos é a seguinte: segurança da informação em geral e o papel do CISO (diretor(a) de Segurança da Informação) em particular, está se tornando cada vez mais importante para os negócios – pelo menos, de acordo com cerca de 300 colegas que atuam na área de segurança da informação. Definitivamente, é um bom sinal. E é cada vez maior o número de entrevistados que listaram “gerenciamento de risco” e outras habilidades empresariais entre as essenciais para o desempenho de suas funções.

Entretanto, existe um ponto que eu não posso concordar com vários dos meus colegas. Alguns ainda dizem que competências técnicas e conhecimento profundo dos sistemas de TI da empresa são as habilidades-chaves tanto para realizar seus trabalhos e seguir se aperfeiçoando. Do meu ponto de vista, parece que mesmo que o conhecimento técnico seja um requisito básico para um CISO – e mesmo os CISOs precisam estar familiarizados com novas tecnologias – a indústria deve perceber que sistemas de TI modernos são complexos demais para que eles, mesmo potencialmente, tenham uma visão completa, tecnicamente falando.

Além disso, sistemas de informação estão se tornando cada vez mais sofisticados (o que a maioria dos entrevistados disseram ser esperado). Portanto, as competências técnicas de um CISO, apesar de importantes, são secundárias para o desenvolvimento de habilidades como a gestão de risco, o gerenciamento eficaz de equipe e comunicação empresarial. Hoje, equipe é o que importa.

Entenda as pessoas, não os sistemas

De fato, tanto os sistemas de IT quanto as tecnologias de segurança são agora sofisticados o suficiente para liberar profissionais altamente especializados a tomar decisões empresariais críticas. Claro, essa mudança faz com que a confiança na equipe seja mais importante do que nunca. Por outro lado, o diretor do departamento de segurança da informação deve ser capaz em confiar em sua equipe de especialistas. E eles, por sua vez, devem confiar nas decisões e julgamentos do CISO – não cegamente ou sem a possibilidade de expressar suas opiniões, mas com uma causa comum e mútuo respeito profissional.

De acordo com os entrevistados, conseguir maiores orçamentos para aquisição de sistemas é mais fácil do que contratar mais profissionais de segurança da informação. Comprar quantos novos sistemas forem possíveis parece muito bom, mas é mais importante identificar as habilidades-chaves e competências indispensáveis para os especialistas da casa e aqueles que podem ser terceirizados. De fato, dada a escassez de especialistas no mercado, acho uma boa ideia considerar a terceirização como uma oportunidade para expandir as capacidades do departamento e responder às necessidades dos negócios mais rapidamente.

Da resposta a incidentes ao gerenciamento de risco

Embora o papel do CISO tenha ganhado importância para os principais stakeholders – como conselho de administração ou o CEO, por exemplo – uma coisa não mudou: na maioria das vezes eles pedem ajuda depois que algo já aconteceu (felizmente, isso parece ocorrer principalmente para concorrentes ou colegas do setor). No entanto, demonstra que muitas empresas não consideram a segurança da informação como ferramenta de gerenciamento de riscos de negócios. E, quando questionados sobre como a gestão mede o desempenho de segurança da informação, muitos CISOs afirmam que o número de incidentes ou o tempo de resposta a incidentes são os indicadores-chave.

Esses são certamente fatores importantes, mas no conceito moderno de ciberimunidade adotado na Kaspersky, uma empresa bem protegida não é aquela que apenas minimiza o número de ataques com danos ou investiga incidentes rapidamente, mas aquela que pode se desenvolver com eficiência apesar de tais incidentes.

No fim das contas, riscos toleráveis e perdas em potencial aceitáveis durante incidentes são diferentes para as diversas companhias. Às vezes, pode valer o risco afrouxar o controle das medidas de proteção para impulsionar o crescimento dos negócios. Em outros casos, isso não é opção. O número de incidentes não pode servir como indicador absoluto de performance em segurança da informação. Também é importante como as medidas de segurança da informação afetam a velocidade e o custo das tarefas da empresa. Portanto, em minha opinião, CISOs devem, acima de tudo, estarem aptos a avaliar adequadamente os riscos e construir sistemas de segurança da informação perfeitamente adaptáveis às empresas e rotinas de processos, em vez de focar na proteção de incidentes.

Gaste mais tempo com advogados

Mais uma coisa que me chamou a atenção foram as respostas acerca da importância de se comunicar com outros departamentos dentro da empresa. Advogados deveriam ter maior prioridade do que têm. Hoje, a crescente complexidade de sistemas de TI e suas inter-relações com serviços externos, por um lado, e as leis internacionais, por outro, significam que não é possível ignorar as possíveis consequências legais das decisões dos profissionais de segurança da informação.

Os entrevistados elencaram o contato com os advogados na quarta posição – atrás de gerenciamento de finanças, diretores e os colegas do departamento de TI. Acredito que o contato com os profissionais do setor legal deveria, ao menos, ser uma prioridade maior que o contato com os gerentes financeiros. Se você vir a segurança da informação como ferramenta de gerenciamento de risco, essa perspectiva é lógica.

A pesquisa oferece muito mais dados interessantes, então recomendo a leitura na íntegra. Para baixar o relatório, basta preencher o formulário abaixo.