O novo T.I.: três segredos que todo gestor deveria saber sobre cibersegurança.

O mundo da cibersegurança está mudando, mas provavelmente não da forma que se esperava. Será que os gestores sabem os principais desafios de seus chefes de segurança?

O mundo da cibersegurança está mudando, mas provavelmente não da forma que se esperava. Será que os gestores sabem os principais desafios de seus chefes de segurança?

Desde a TV on-demand até o prato que chega à sua mesa via delivery: hoje é possível conseguir quase tudo, em qualquer horário, com apenas alguns toques numa tela. Empresas fazem recomendações personalizadas a cada dia e já antecipam o que vamos querer no dia de amanhã.

Pode ser difícil atingir as expectativas cada vez maiores dos consumidores, mas a tecnologia está do lado dos negócios. Podemos ser mais eficientes na hora de atingir o público-alvo, usar dados para tomar melhores decisões e entregar produtos a um custo muito baixo graças aos canais digitais. O crescente número de janelas abertas pela tecnologia no mundo todo significa que os gestores de negócios têm que estar atentos à segurança de dados como nunca antes.

Com tudo isso, como os negócios podem assegurar que sua operação de cibersegurança está a salvo no presente e preparada para o futuro?

Perguntamos para mais de 300 chefes de cibersegurança do mundo todo quais são os novos desafios que eles têm enfrentado e como isso afeta o seu trabalho, e separamos aqui as três conclusões principais:

(Para mais detalhes, veja o relatório completo da pesquisa.)

1. As novas estruturas organizacionais mostram a real importância da cibersegurança:

Um bom exemplo do aumento exponencial da importância da cibersegurança está nas estruturas organizacionais das empresas, T.I. e Segurança de T.I. têm se tornado departamentos independentes em várias delas. Quase um terço (29%) dos responsáveis por cibersegurança afirmam que a principal mudança no seu trabalho nos últimos anos foi o fato de não ter que se reportar mais para o chefe de T.I.

A maioria dos entrevistados acredita que essa seja uma mudança para melhor. Essa separação dá aos especialistas em cibersegurança mais independência e cria uma distância que favorece a imparcialidade. Ainda assim, esses dois departamentos não podem ser 100% independentes. Alguns elementos essenciais de segurança devem seguir sob responsabilidade do departamento de T.I., como ocontrole de acesso, o patching e a construção de uma infraestrutura segura. Da mesma forma, o departamento de cibersegurança também precisa estar informado sobre os novos projetos de T.I. para controlar a segurança dessas iniciativas antes mesmo de que entrem em vigor.

A maioria dos gestores de cibersegurança afirma ter uma boa relação com o T.I. Quando há conflito, a tendência é que seja sobre quem tem a palavra final em assuntos como a agenda de atualização de softwares, mudanças no nível de flexibilidade dos processos de segurança e acesso para trabalhadores remotos e a prática de desligar as máquinas e servidores durante vazamentos e invasões. Muitas vezes, o T.I. vê a equipe de segurança como um funil nos processos da empresa, já que os requisitos de segurança costumam tornar novos projetos mais difíceis de implementar e de funcionar. Como afirmou um dos chefes de segurança entrevistados: “geralmente, a tensão está entre fazer as coisas de uma forma segura ou simplesmente fazer a máquina rodar”.

O que podemos aprender sobre estrutura organizacional?

Para ter um ambiente de trabalho positivo, escolha a estrutura que mais se encaixe com o seu negócio. Considere o nível de experiência, o orçamento para T.I. e cibersegurança e o tamanho da equipe disponível para cada setor. Não acelere a criação de um departamento independente de segurança caso ainda não saiba com o que pode contar.

Algo que ajuda nessa divisão é ter algum líder em comum para o qual ambos os gestores reportem. Pode ser o CEO ou o gerente de riscos, o importante é que essa pessoa tenha a capacidade de administrar os recursos entre os dois departamentos.

2. Você precisa de insights para avaliar riscos, não só de números:

Os negócios hoje em dia têm que balancear o ato de explorar novas oportunidades de mercado e gerenciar riscos, incluindo os relacionados à cibersegurança.

Ao longo de suas carreiras, os responsáveis pela cibersegurança se deparam com diferentes medidas para conter riscos, como bloqueios a ameaças e revisão de softwares. O mercado costuma exigir que esses profissionais usem números e não

“jargões de T.I.” para reportar essa medidas a outros departamentos e líderes, mas dados e gráficos sem contexto não dizem tudo que você precisa saber sobre esse tipo de problema.

O que podemos aprender sobre gerenciamento de riscos?

Para saber quais problemas relacionados à cibersegurança podem afetar uma empresa e o quão prováveis e recorrentes são esses riscos, enriqueça o valor dos números com análises qualitativas.

Envolva os stakeholders, como líderes das áreas financeira, comercial e de marketing para avaliar como ameaças identificadas por sua equipe de segurança de T.I. podem afetar a empresa. O entendimento sobre os objetivos principais da empresa, como aumentar as vendas digitais ou começar a coletar mais dados sobre os consumidores vão ajudar a definir as prioridades de segurança. Por isso, líderes de empresas não devem pedir para seus chefes de cibersegurança calcularem somente os riscos, mas sim para que compartilhem seus insights mais aprofundados sobre o tema.

3. Seja realista na hora de contratar:

Cerca de 70% dos líderes de cibersegurança entrevistados nesta pesquisa afirmam que pouca mão-de-obra é um dos principais problemas da área. Mas alguns desses gestores pensam que o problema não está na escassez de profissionais qualificados e sim nas expectativas irreais que o mercado tem para os novos contratados.

Quando um novo funcionário tem a expectativa de agregar valor de maneira imediata à sua equipe, os chefes de segurança ficam com a árdua missão de encontrar um “unicórnio”: alguém com uma série de habilidades fora de série. Isso ao invés de tentar desenvolver o talento internamente com todas as diferentes tecnologias e soluções disponíveis hoje, poucas pessoas têm toda essa habilidade e experiência. E até mesmo especialistas com mais experiência precisam de dois ou três meses para aprender as políticas da empresa, seus processos e nuances.

Muitas companhias relutam em treinar pessoas com menos experiência por medo de que depois elas deixem a empresa em troca de um salário melhor. Mas não existe garantia contra qualquer outro funcionário que receba uma proposta de outra companhia oferecendo mais dinheiro ou uma vaga mais interessante, seja esse colaborador alguém que você treinou internamente ou não.

O que podemos aprender e usar na hora de contratar?

Abra vagas extra no departamento de segurança de T.I. para cuidar de casos não-relacionados a projetos urgentes. Dessa forma, você poderá assegurar que os novatos sejam corretamente treinados em funções de rotina como a revisão de logs. Dê a eles a chance de aprender coisas novas aos poucos e assim crescer profissionalmente.

Esses e os outros pontos citados acima são conclusões retiradas da sabedoria e experiência de mais de 300 líderes e especialistas em cibersegurança do mundo todo. Nosso objetivo é mostrar como o cenário está mudando, mas em muitas formas como devemos sempre prestar atenção no básico também. A segurança de um negócio não depende somente das soluções implementadas, mas sim de processos internos bem alinhados e o sucesso nesse caso não tem uma só receita. A comunicação entre departamentos continua sendo essencial e a sabedoria está em ver além dos números, contratar com cuidado e de maneira realista e investir e confiar nas pessoas que já trabalham com você.

Veja uma pesquisa com grandes líderes em cibersegurança

CISO 2019: entrevistamos mais de 300 especialistas em cibersegurança do mundo todo e preparamos um estudo com as principais tendências e previsões para o futuro do setor.

Baixe o estudo completo

Informação do autor

Quer saber mais?

Descubra as novidades sobre tecnologia, liderança e cibersegurança.