{"id":14474,"date":"2020-03-04T15:17:42","date_gmt":"2020-03-04T18:17:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=14474"},"modified":"2020-05-20T17:21:58","modified_gmt":"2020-05-20T20:21:58","slug":"ciso-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ciso-2019\/14474\/","title":{"rendered":"Gerenciamento de risco como habilidade essencial para um CISO"},"content":{"rendered":"

Ano passado, ao revisar os feedbacks dos meus colegas<\/a> sobre os objetivos e os problemas do nosso setor, tive sentimentos ambivalentes. Um ano depois, os resultados da nossa nova pesquisa (dispon\u00edvel abaixo) tornaram-se ainda mais interessantes.<\/p>\n

A primeira impress\u00e3o que voc\u00ea tem ao olhar os resultados desses dois estudos \u00e9 a seguinte: seguran\u00e7a da informa\u00e7\u00e3o em geral e o papel do CISO (diretor(a) de Seguran\u00e7a da Informa\u00e7\u00e3o) em particular, est\u00e1 se tornando cada vez mais importante para os neg\u00f3cios \u2013 pelo menos, de acordo com cerca de 300 colegas que atuam na \u00e1rea de seguran\u00e7a da informa\u00e7\u00e3o. Definitivamente, \u00e9 um bom sinal. E \u00e9 cada vez maior o n\u00famero de entrevistados que listaram \u201cgerenciamento de risco\u201d e outras habilidades empresariais entre as essenciais para o desempenho de suas fun\u00e7\u00f5es.<\/p>\n

Entretanto, existe um ponto que eu n\u00e3o posso concordar com v\u00e1rios dos meus colegas. Alguns ainda dizem que compet\u00eancias t\u00e9cnicas e conhecimento profundo dos sistemas de TI da empresa s\u00e3o as habilidades-chaves tanto para realizar seus trabalhos e seguir se aperfei\u00e7oando. Do meu ponto de vista, parece que mesmo que o conhecimento t\u00e9cnico seja um requisito b\u00e1sico para um CISO \u2013 e mesmo os CISOs precisam estar familiarizados com novas tecnologias \u2013 a ind\u00fastria deve perceber que sistemas de TI modernos s\u00e3o complexos demais para que eles, mesmo potencialmente, tenham uma vis\u00e3o completa, tecnicamente falando.<\/p>\n

Al\u00e9m disso, sistemas de informa\u00e7\u00e3o est\u00e3o se tornando cada vez mais sofisticados (o que a maioria dos entrevistados disseram ser esperado). Portanto, as compet\u00eancias t\u00e9cnicas de um CISO, apesar de importantes, s\u00e3o secund\u00e1rias para o desenvolvimento de habilidades como a gest\u00e3o de risco, o gerenciamento eficaz de equipe e comunica\u00e7\u00e3o empresarial. Hoje, equipe \u00e9 o que importa.<\/p>\n\n

Entenda as pessoas, n\u00e3o os sistemas<\/h2>\n

De fato, tanto os sistemas de IT quanto as tecnologias de seguran\u00e7a s\u00e3o agora sofisticados o suficiente para liberar profissionais altamente especializados a tomar decis\u00f5es empresariais cr\u00edticas. Claro, essa mudan\u00e7a faz com que a confian\u00e7a na equipe seja mais importante do que nunca. Por outro lado, o diretor do departamento de seguran\u00e7a da informa\u00e7\u00e3o deve ser capaz em confiar em sua equipe de especialistas. E eles, por sua vez, devem confiar nas decis\u00f5es e julgamentos do CISO \u2013 n\u00e3o cegamente ou sem a possibilidade de expressar suas opini\u00f5es, mas com uma causa comum e m\u00fatuo respeito profissional.<\/p>\n

De acordo com os entrevistados, conseguir maiores or\u00e7amentos para aquisi\u00e7\u00e3o de sistemas \u00e9 mais f\u00e1cil do que contratar mais profissionais de seguran\u00e7a da informa\u00e7\u00e3o. Comprar quantos novos sistemas forem poss\u00edveis parece muito bom, mas \u00e9 mais importante identificar as habilidades-chaves e compet\u00eancias indispens\u00e1veis para os especialistas da casa e aqueles que podem ser terceirizados. De fato, dada a escassez de especialistas no mercado, acho uma boa ideia considerar a terceiriza\u00e7\u00e3o como uma oportunidade para expandir as capacidades do departamento e responder \u00e0s necessidades dos neg\u00f3cios mais rapidamente.<\/p>\n

Da resposta a incidentes ao gerenciamento de risco<\/h2>\n

Embora o papel do CISO tenha ganhado import\u00e2ncia para os principais stakeholders<\/em> \u2013 como conselho de administra\u00e7\u00e3o ou o CEO, por exemplo \u2013 uma coisa n\u00e3o mudou: na maioria das vezes eles pedem ajuda depois que algo j\u00e1 aconteceu (felizmente, isso parece ocorrer principalmente para concorrentes ou colegas do setor). No entanto, demonstra que muitas empresas n\u00e3o consideram a seguran\u00e7a da informa\u00e7\u00e3o como ferramenta de gerenciamento de riscos de neg\u00f3cios. E, quando questionados sobre como a gest\u00e3o mede o desempenho de seguran\u00e7a da informa\u00e7\u00e3o, muitos CISOs afirmam que o n\u00famero de incidentes ou o tempo de resposta a incidentes s\u00e3o os indicadores-chave.<\/p>\n

Esses s\u00e3o certamente fatores importantes, mas no conceito moderno de ciberimunidade adotado na Kaspersky, uma empresa bem protegida n\u00e3o \u00e9 aquela que apenas minimiza o n\u00famero de ataques com danos ou investiga incidentes rapidamente, mas aquela que pode se desenvolver com efici\u00eancia apesar de tais incidentes.<\/p>\n

No fim das contas, riscos toler\u00e1veis e perdas em potencial aceit\u00e1veis durante incidentes s\u00e3o diferentes para as diversas companhias. \u00c0s vezes, pode valer o risco afrouxar o controle das medidas de prote\u00e7\u00e3o para impulsionar o crescimento dos neg\u00f3cios. Em outros casos, isso n\u00e3o \u00e9 op\u00e7\u00e3o. O n\u00famero de incidentes n\u00e3o pode servir como indicador absoluto de performance em seguran\u00e7a da informa\u00e7\u00e3o. Tamb\u00e9m \u00e9 importante como as medidas de seguran\u00e7a da informa\u00e7\u00e3o afetam a velocidade e o custo das tarefas da empresa. Portanto, em minha opini\u00e3o, CISOs devem, acima de tudo, estarem aptos a avaliar adequadamente os riscos e construir sistemas de seguran\u00e7a da informa\u00e7\u00e3o perfeitamente adapt\u00e1veis \u00e0s empresas e rotinas de processos, em vez de focar na prote\u00e7\u00e3o de incidentes.<\/p>\n