{"id":20727,"date":"2023-02-13T14:38:40","date_gmt":"2023-02-13T17:38:40","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20727"},"modified":"2023-02-13T14:38:40","modified_gmt":"2023-02-13T17:38:40","slug":"business-soc-communications","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/business-soc-communications\/20727\/","title":{"rendered":"Como melhorar a comunica\u00e7\u00e3o entre a equipe de seguran\u00e7a da informa\u00e7\u00e3o e os gestores"},"content":{"rendered":"<p>Nenhuma empresa pode operar com sucesso sem sinergia entre a administra\u00e7\u00e3o geral e os especialistas respons\u00e1veis \u200b\u200bpelas diferentes \u00e1reas do neg\u00f3cio. \u00c9 claro que essa coopera\u00e7\u00e3o requer comunica\u00e7\u00e3o, o que \u00e0s vezes pode ser dif\u00edcil, pois gestores e especialistas trabalham em diferentes bolhas de informa\u00e7\u00e3o e geralmente falam l\u00ednguas diferentes. A lideran\u00e7a pensa em lucro, custos e desenvolvimento; os especialistas \u2013 e o servi\u00e7o de seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o \u00e9 exce\u00e7\u00e3o \u2013 pensam em suas tarefas t\u00e9cnicas espec\u00edficas.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.com\/blog\/speak-fluent-infosec-2023\/\" target=\"_blank\" rel=\"noopener nofollow\">Um estudo recente<\/a> conduzido por nossos colegas descobriu que, embora o entendimento m\u00fatuo entre gerentes de neg\u00f3cios e especialistas em seguran\u00e7a da informa\u00e7\u00e3o esteja crescendo, problemas ainda existem. De fato, 98% dos representantes comerciais entrevistados disseram que j\u00e1 tiveram um mal-entendido com o servi\u00e7o de Infosec pelo menos uma vez. Quanto \u00e0s consequ\u00eancias diretas de tal ru\u00eddo, 62% disseram que ele gerou pelo menos um incidente de seguran\u00e7a, enquanto 61% relataram impactos negativos para o neg\u00f3cio \u2013 incluindo perdas, sa\u00edda de funcion\u00e1rios-chave ou piora na comunica\u00e7\u00e3o entre departamentos. Ao mesmo tempo, os pr\u00f3prios profissionais de seguran\u00e7a nem sempre est\u00e3o cientes de quaisquer problemas: 42% dos l\u00edderes empresariais gostariam que os especialistas em seguran\u00e7a se comunicassem com mais clareza \u2014 por\u00e9m 76% desses especialistas t\u00eam certeza de que todos os entendem perfeitamente!<\/p>\n<p>Muitas vezes h\u00e1 problemas com a linguagem utilizada: os l\u00edderes geralmente n\u00e3o entendem todos os termos t\u00e9cnicos que os especialistas usam. Mas a terminologia n\u00e3o \u00e9 o \u00fanico problema na comunica\u00e7\u00e3o entre os gestores e o time de seguran\u00e7a da informa\u00e7\u00e3o \u2014 ali\u00e1s, nem \u00e9 o principal problema. Vamos tentar entender as outras quest\u00f5es com a ajuda de Patrick Miller, s\u00f3cio-gerente da Archer International, e seu <a href=\"https:\/\/youtu.be\/d-Z6Ip1oyvc\" target=\"_blank\" rel=\"noopener nofollow\">discurso<\/a> na Kaspersky Industrial Cybersecurity Conference 2019.<\/p>\n<h2>Ideias diferentes sobre risco<\/h2>\n<p>A maioria dos especialistas em ciberseguran\u00e7a tem uma toler\u00e2ncia a riscos muito baixa. Mas nos neg\u00f3cios, o oposto \u00e9 verdadeiro: sem risco, n\u00e3o h\u00e1 lucro, ent\u00e3o os gestores geralmente est\u00e3o dispostos a correr riscos maiores. Para o chefe, o principal objetivo \u00e9 encontrar o equil\u00edbrio ideal entre lucros potenciais e potenciais perdas. A verdadeira miss\u00e3o do departamento de seguran\u00e7a, por mais estranho que pare\u00e7a, n\u00e3o \u00e9 eliminar todas as amea\u00e7as, mas ajudar o neg\u00f3cio a ganhar o m\u00e1ximo poss\u00edvel.<\/p>\n<p>Do ponto de vista empresarial, os riscos podem ser aceitos, evitados, reduzidos ou transferidos (por exemplo, para seguradoras). Os gerentes tentar\u00e3o correr o m\u00e1ximo de riscos poss\u00edvel para aumentar os lucros. A seguran\u00e7a da informa\u00e7\u00e3o \u00e9 apenas uma pequena parte do cen\u00e1rio: eles provavelmente nem querem pensar nisso.<\/p>\n<p>Com isso, os especialistas em seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o devem pensar em como fechar todas as lacunas, mas sim em identificar e neutralizar aquelas amea\u00e7as que realmente podem causar s\u00e9rios danos ao neg\u00f3cio. E, em contrapartida, tamb\u00e9m devem pensar em como explicar aos gestores sobre o investimento para mitigar tempestivamente alguma quest\u00e3o.<\/p>\n<h2>Persuas\u00e3o que n\u00e3o funciona<\/h2>\n<p>Tentar persuadir os gerentes usando t\u00e1ticas de medo, incerteza e d\u00favida (FUD, na sigla em ingl\u00eas) n\u00e3o vai funcionar porque ficar com receio e incerteza deslegitima o valor agregado pago pelo servi\u00e7o de seguran\u00e7a da informa\u00e7\u00e3o. Os especialistas est\u00e3o l\u00e1 para resolver problemas \u2013 e se poss\u00edvel \u2013 para que ningu\u00e9m perceba que existam.<\/p>\n<p>Outro problema com o uso do FUD \u00e9 que os gerentes j\u00e1 est\u00e3o bastante estressados, simplesmente porque qualquer erro que cometem pode ser o \u00faltimo. Tem muita gente por a\u00ed disposta a ocupar o lugar deles, eles n\u00e3o confiam muito em qualquer um, e por a\u00ed vai. Eles simplesmente n\u00e3o precisam de nenhum fator adicional de medo.<\/p>\n<p>E por fim, nenhum chefe gosta de mostrar que n\u00e3o sabe de alguma coisa. Portanto, qualquer tentativa de bombardear a lideran\u00e7a com termos inteligentes est\u00e1 obviamente fadada ao fracasso.<\/p>\n<h2>Pense no neg\u00f3cio como um todo<\/h2>\n<p>O principal objetivo de qualquer neg\u00f3cio comercial \u00e9 ganhar dinheiro. Todos os gerentes olham para tudo sob esse ponto de vista. Isso \u00e9 o que eles sabem fazer. Portanto, se um especialista em seguran\u00e7a da informa\u00e7\u00e3o chegar at\u00e9 eles e disser: \u201capareceu uma amea\u00e7a e precisamos investir um valor X para neutraliz\u00e1-la\u201d, o que o gestor ouve \u00e9 \u201cse arriscarmos e n\u00e3o fizermos nada, economize uma quantia X de recursos.\u201d Parece loucura, mas \u00e9 exatamente assim que a l\u00f3gica do custo-benef\u00edcio opera.<\/p>\n<p>Para o gestor, \u00e9 fundamental que qualquer uma de suas a\u00e7\u00f5es (ou omiss\u00f5es) resulte em n\u00fameros financeiros positivos \u2014 mesmo que esse n\u00famero positivo seja a diferen\u00e7a entre dois negativos. Assim, a situa\u00e7\u00e3o deve ser apresentada \u00e0 ger\u00eancia de forma que ela entenda: \u201cExiste uma amea\u00e7a com Z% de probabilidade de causar Y preju\u00edzos ao neg\u00f3cio. Precisamos gastar X para neutraliz\u00e1-lo.\u201d Essa \u00e9 uma equa\u00e7\u00e3o que faz sentido para a mentalidade empresarial.<\/p>\n<p>Claro, nem sempre \u00e9 poss\u00edvel prever de forma realista o custo de danos potenciais, ent\u00e3o voc\u00ea pode usar valores conhecidos como tempo de inatividade (durante o qual as consequ\u00eancias do incidente seriam eliminadas), a quantidade e o tipo de dados que podem ser perdidos ou comprometidos, perdas de reputa\u00e7\u00e3o e assim por diante. A empresa pode ent\u00e3o converter essas informa\u00e7\u00f5es em n\u00fameros compreens\u00edveis \u2014 com a ajuda de especialistas relevantes. Mas \u00e9 melhor que a pr\u00f3pria equipe de seguran\u00e7a da informa\u00e7\u00e3o possa fazer isso, pois otimiza muito tempo.<\/p>\n<p>Naturalmente, sempre existe a possibilidade de que a equa\u00e7\u00e3o n\u00e3o funcione a favor da ciberseguran\u00e7a. Isso nem sempre \u00e9 um problema de falta de comunica\u00e7\u00e3o \u2013 talvez os gerentes ou\u00e7am e entendam tudo perfeitamente, mas \u00e9 mais lucrativo correr o risco. Ou isso ou a seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o foi capaz de defender sua posi\u00e7\u00e3o de forma convincente porque n\u00e3o aprendeu a pensar como um neg\u00f3cio.<\/p>\n<p>A chave aqui \u00e9 ter uma boa compreens\u00e3o da posi\u00e7\u00e3o do servi\u00e7o de seguran\u00e7a da informa\u00e7\u00e3o dentro da empresa e do lucro que ele gera. Isso permitir\u00e1 avaliar e classificar melhor as poss\u00edveis amea\u00e7as, evitar o desperd\u00edcio de tempo e nervos pr\u00f3prios e de outras pessoas com iniciativas que claramente n\u00e3o levar\u00e3o a lugar nenhum e, em geral, trabalhar com mais efici\u00eancia.<\/p>\n<h2>O fator tempo e os prazos<\/h2>\n<p>Para a seguran\u00e7a, o fator tempo \u00e9 crucial: algumas amea\u00e7as devem ser barradas imediatamente. Mas o tempo tamb\u00e9m \u00e9 importante para os neg\u00f3cios, porque para eles \u00e9 aquela m\u00e1xima: tempo \u00e9 dinheiro. Voc\u00ea pode gastar a quantia X acima mencionada hoje, mas se fizer isso em um m\u00eas, em m\u00e3os habilidosas X se transformar\u00e1 em X*n e X*(n-1) permanecer\u00e1 no banco.<\/p>\n<p>Mesmo que os gerentes entendam bem o problema e saibam que ele deve ser resolvido, eles n\u00e3o se apressar\u00e3o em gastar dinheiro, a menos que tenham um prazo claro e bem argumentado. Eles tamb\u00e9m devem ser informados de que, uma vez vencido o prazo, eles assumem automaticamente a responsabilidade pelo risco especificado, pois a seguran\u00e7a da informa\u00e7\u00e3o pode apenas minimizar as consequ\u00eancias.<\/p>\n<p>Este prazo deve ser o mais realista poss\u00edvel. Se a seguran\u00e7a da informa\u00e7\u00e3o est\u00e1 sempre exigindo que uma decis\u00e3o seja tomada \u201contem\u201d, ent\u00e3o a administra\u00e7\u00e3o vai parar de ouvir e, em vez disso, desacreditar a \u00e1rea inteira. E se acontecer o oposto, na linha do argumento \u201cbem, voc\u00ea pode decidir dentro de um ano\u201d, eles simplesmente ser\u00e3o demitidos ap\u00f3s o pr\u00f3ximo incidente (ou simplesmente despedidos). \u00c9 importante poder avaliar e definir o prazo real e destacar os riscos potenciais.<\/p>\n<p>Vale a pena notar que pouqu\u00edssimas empresas simplesmente mant\u00eam o dinheiro de reserva em suas contas, esperando que o diretor de seguran\u00e7a da informa\u00e7\u00e3o chegue e diga onde gast\u00e1-lo o mais r\u00e1pido poss\u00edvel. Os fundos para resolver o problema ter\u00e3o que ser retirados ou emprestados de algum lugar, e isso pode levar tempo. E, ali\u00e1s, para entender o tempo que leva, tamb\u00e9m \u00e9 importante saber como o neg\u00f3cio funciona e gera lucro.<\/p>\n<h2>Seja um profissional de marketing<\/h2>\n<p>Para se comunicar de forma eficaz, os especialistas em seguran\u00e7a da informa\u00e7\u00e3o devem ter algumas habilidades de marketing; pois da\u00ed poder\u00e3o explicar e vender suas solu\u00e7\u00f5es aos chefes.<\/p>\n<ul>\n<li>Ofere\u00e7a a solu\u00e7\u00e3o, n\u00e3o o problema. Obviamente, voc\u00ea n\u00e3o pode vender um problema.<\/li>\n<li>Sempre que poss\u00edvel, baseie-se em precedentes reais e facilmente verific\u00e1veis. Os gerentes amam essa abordagem, pois reduz a incerteza.<\/li>\n<li>Em vez de termos t\u00e9cnicos, use linguagem de vendas atraente e slides com gr\u00e1ficos coloridos.<\/li>\n<li>Ofere\u00e7a algumas op\u00e7\u00f5es \u2013 at\u00e9 mesmo aquelas que s\u00e3o invi\u00e1veis<\/li>\n<li>Coloque toda a proposta em apenas uma p\u00e1gina \u2014 ningu\u00e9m vai ler mais do que isso.<\/li>\n<li>Utilize sin\u00f4nimos para a express\u00e3o \u201cseguran\u00e7a da informa\u00e7\u00e3o\u201d: redu\u00e7\u00e3o de riscos, garantia de resili\u00eancia\/continuidade dos processos de trabalho, manuten\u00e7\u00e3o da efici\u00eancia operacional, redu\u00e7\u00e3o de paradas, preven\u00e7\u00e3o de danos, etc.<\/li>\n<li>Reduza ao m\u00ednimo a linguagem emocional e mantenha um estilo de comunica\u00e7\u00e3o profissional e comercial.<\/li>\n<\/ul>\n<h2>O que fazer?<\/h2>\n<p>Soft skills s\u00e3o a chave para uma comunica\u00e7\u00e3o empresarial bem-sucedida. Voc\u00ea precisa ser capaz de sair de sua bolha especializada e aprender a falar com os gerentes usando a linguagem e os contextos de sua prefer\u00eancia. Embora possam querer, n\u00e3o podem se aprofundar em todos os detalhes t\u00e9cnicos de todos os departamentos da empresa. Para o servi\u00e7o de seguran\u00e7a da informa\u00e7\u00e3o, \u00e9 importante reconhecer que voc\u00ea \u00e9 apenas uma parte do neg\u00f3cio, saber como funciona e ajudar a obter o m\u00e1ximo de receita com o m\u00ednimo de custos.<\/p>\n<p>E tamb\u00e9m vale a pena conferir os resultados de nosso \u00faltimo estudo <a href=\"https:\/\/www.kaspersky.com\/blog\/speak-fluent-infosec-2023\/\" target=\"_blank\" rel=\"noopener nofollow\">sobre o alinhamento das altas diretorias com os gerentes de seguran\u00e7a da informa\u00e7\u00e3o<\/a> (dispon\u00edvel em ingl\u00eas).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A falta de comunica\u00e7\u00e3o entre uma empresa e seu servi\u00e7o de seguran\u00e7a da informa\u00e7\u00e3o pode levar a perdas desnecess\u00e1rias. Hoje tentamos descobrir como superar a barreira da comunica\u00e7\u00e3o.<\/p>\n","protected":false},"author":2725,"featured_media":20728,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,12,1655,1656],"tags":[770,1350,776,1840],"class_list":{"0":"post-20727","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-tips","9":"category-enterprise","10":"category-smb","11":"tag-comunicacao","12":"tag-orcamento","13":"tag-riscos","14":"tag-soc"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/business-soc-communications\/20727\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/business-soc-communications\/25066\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/business-soc-communications\/20558\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/business-soc-communications\/27649\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/business-soc-communications\/25388\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/business-soc-communications\/25857\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/business-soc-communications\/28370\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/business-soc-communications\/34570\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/business-soc-communications\/46753\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/business-soc-communications\/20095\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/business-soc-communications\/29750\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/business-soc-communications\/25795\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/soc\/","name":"SOC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20727","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2725"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20727"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20727\/revisions"}],"predecessor-version":[{"id":20730,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20727\/revisions\/20730"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20728"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20727"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20727"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20727"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}