Você está preparado para ser um CISO?

27 nov 2018

Como as pessoas que trabalham no cargo de Diretor(a) de Segurança da Informação (CISO – Chief Information Security Officer) ou equivalente enxergam a cibersegurança? Quais problemas encaram? Para descobrir as respostas para essas perguntas, a Kaspersky Lab entrevistou 250 profissionais em todo o mundo. Suas opiniões são muito interessantes, embora não possa dizer que concordo totalmente com todos os meus colegas.
Vamos analisar a questão sobre a mensuração dos indicadores-chave de desempenho (KPIs – key performance indicators). Não é nenhuma surpresa que a maioria dos entrevistados tenha dito que seu principal critério de trabalho seja a qualidade e a rapidez das respostas aos incidentes. Nas empresas de hoje, as pessoas tendem a não considerar os ciberincidentes como falhas de segurança. É bom ver que a maior parte dos especialistas está começando a compreender os incidentes como inevitáveis, até mesmo normais. Hoje em dia, a cibersegurança se trata basicamente da sobrevivência da empresa.

Sobreviver significa ter um nível de proteção que possa garantir que no caso de um ataque de ameaças persistentes avançadas, vazamento de dados, ou um imenso DDoS, uma empresa consiga se recuperar sem danos graves ou sem perder mais do que um mínimo predefinido. Em outras palavras, os CISOs de hoje em dia focam na reação aos incidentes.

Por um lado, isso é realmente ótimo. Há poucos anos, prevalecia uma visão de ciberproteção de “nenhum incidente”, e as empresas pensavam que os CISOs deveriam ser capazes de proteger a infraestrutura contra ameaças com uma garantia infalível. Por outro lado, ter como objetivo apenas em tecnologias reativas não é uma solução eficiente. Na minha opinião, os CISOs precisam estabelecer um equilíbrio. Todos os elementos de uma arquitetura de segurança adaptável são importantes: prevenção, detecção, resposta e previsão.

Sobre os riscos

A maioria dos CISOs concorda que o maior risco de uma organização depois de uma violação é a perda de reputação. Neste ponto, concordo totalmente. Responderia da mesma forma. Danos de reputação são a base de todas as outras consequências dos incidentes – quedas nas ações, nas vendas, diminuição da confiança dos clientes, e assim por diante.

A reputação é o verdadeiro motivo pelo qual não ouvimos qualquer coisa sobre grande parte dos incidentes de segurança. Se uma empresa pode esconder um ciberincidente, faz isso – embora em alguns países as leis exigem que as empresas divulguem qualquer informação sobre problemas de segurança para seus acionistas ou clientes.

Aparentemente, os CISOs enxergam diferenças nas motivações dos cibercriminosos e conseguem distinguir ataques patrocinados pelo Estado de crimes com objetivos financeiros. Quanto a mim, colocaria os ataques internos em primeiro lugar. Em termos de perda, são os mais perigosos – e a experiência já provou que um funcionário desonesto pode, potencialmente, causar prejuízos maiores do que malfeitores externos.

Influência nas decisões da empresa

Foi interessante observar como os diretores de segurança estão relacionados às tomadas de decisões da empresa. Fiquei surpreendido ao saber que nem todos se consideram adequadamente envolvidos. Mas o que consideram “adequado”?

Basicamente, há duas estratégias. O departamento de segurança pode controlar cada passo dado pela empresa, aprovando cada movimento. Alternativamente, a equipe pode servir de consultoria, para quem a empresa pede orientação para saber se o caminho está correto.

À primeira vista, controle total parece mais eficaz – e seria, se a cibersegurança fosse um objetivo em si. Na verdade, essa abordagem exige mais pessoas e atrasa o desenvolvimento do negócio. Isso pode ser particularmente desafiador para empresas inovadoras que utilizam processos de negócios que ainda não possuem melhores práticas relacionadas à proteção.

Como justificar o orçamento?

As respostas para a pergunta “Sem um ROI definido, como você justifica seu orçamento?” foram as que me aborreceram. Parece que as justificativas mais utilizadas são táticas de intimidação – relatórios de violações de cibersegurança e avaliações de danos causados à empresa em ataques anteriores. Sim, isso funciona – na primeira vez, e talvez na segunda. Mas quando chegar a terceira, a resposta será algo como “OK, isso foi assustador. Como os outros gerenciam as coisas?”

Para as empresas, é mais relevante aprender com as experiências de outras organizações. Infelizmente, a opção “Benchmarks da indústria e melhores práticas” ficou em sétimo lugar na lista de argumentos, ainda que essas informações possam ser facilmente encontradas. Por exemplo, nós temos uma ferramenta útil: nossa Calculadora de Segurança de TI.

Nesse estudo, há muito para refletir. Pode conferir o relatório completo aqui.