Por Glauco Sampaio*
Ao longo de minha carreira em empresas altamente reguladas e com governança corporativa robusta, o tema da segurança sempre esteve presente nas pautas de comitês executivos e conselhos. No início, admito, essas discussões eram esporádicas e superficiais. Essa exposição precoce ao cenário executivo, quando minha habilidade de comunicação ainda estava em desenvolvimento, resultou em experiências que, olhando para trás, poderiam ter sido muito mais produtivas.
Hoje, gostaria de compartilhar um pouco dessa jornada e contar com insights do nosso primeiro convidado, Fernando Madureira. Assim como eu, Madureira é um veterano na área de segurança, com vasta experiência, inclusive internacional, que exploraremos mais adiante.
Aprendendo a Linguagem do Conselho
Minhas primeiras interações com o alto escalão frequentemente me deixavam frustrado. Não por não conseguir recursos para investir em segurança, mas pela sensação de que meus interlocutores não compreendiam plenamente o que eu estava comunicando.
Um ponto de virada ocorreu durante um evento da ISF (Information Security Forum) na Dinamarca. Lá, assisti a uma palestra sobre a relação entre segurança e o conselho administrativo que mudou minha perspectiva.
O cara teve uma ótima sacada: ele começou a apresentação com um slide que só tinha uma imagem semelhante a essa abaixo, que mostra um sequênciamento de DNA com seus diversos termos técnicos e informações que somente especialistas conseguência entender. E ele “explicou” isso por uns 2 minutos.
Até que ele parou e disse: “vocês precisavam ter a visão que eu tenho daqui olhando para a cara de ‘ponto de interrogação’ de todos, pois é exatamente isso que todos fazemos quando conversamos com os executivos e o board das empresas onde atuamos”.
Esse exemplo foi um verdadeiro tapa de realidade. Percebi que precisava aprender a discutir temas complexos com pessoas sem conhecimento técnico específico, evitando termos como IPS, Firewall, WAF – algo que, até então, eu fazia inconscientemente.
A Perspectiva do Outro Lado da Mesa
Hoje, como conselheiro, me vejo frequentemente na posição daquela “plateia com cara de interrogação” quando temas desconhecidos são discutidos em profundidade, cheios de jargões específicos. Essa experiência reforçou a importância de uma comunicação clara e acessível.
Tive a sorte de contar com colegas e superiores que me orientaram nessa jornada, muitas vezes me corrigindo após apresentações que eu acreditava terem sido livres de termos técnicos. Levou anos até eu me sentir confiante em minha capacidade de comunicação sem jargões ou acrônimos nesses cenários. Mesmo assim, quando eles escapam, aprendi a “traduzi-los” imediatamente para garantir o entendimento de todos.
Conectando Segurança e Risco
Um aprendizado crucial foi a importância de conectar temas de segurança à linguagem de risco familiar aos executivos. A maioria deles compreende riscos, e quando conseguimos fazer essa conexão, a conversa flui muito melhor. Isso não significa que sempre obteremos exatamente o que acreditamos ser melhor para a segurança, mas garante que as decisões sejam tomadas com um entendimento mais completo da situação.
O Papel do Profissional de Segurança na Tomada de Decisão
Outro ponto fundamental que aprendi é que a decisão final não cabe a nós, profissionais de segurança. Nosso papel é ser facilitadores e apoiadores, fornecendo informações para que os executivos tomem decisões informadas sobre os temas de segurança que impactam seus negócios. Isso é parte essencial da gestão estruturada de riscos.
Reconheço que muitas empresas ainda não atingiram esse nível de maturidade em seus modelos de gestão de riscos. No entanto, vejo nisso uma oportunidade para nós, profissionais de segurança, contribuirmos na implementação e solidificação de modelos que suportem nossos processos e necessidades.
Esta jornada de aprendizado contínuo ilustra a evolução necessária para profissionais de segurança que desejam impactar estrategicamente suas organizações. À medida que avançamos, a habilidade de traduzir complexidades técnicas em insights acionáveis para a liderança se torna cada vez mais crucial.
Trazendo um pouco de experiência variada para nossa coluna
*Fernando Madureira é Corporate Global CISO na Credicorp
Agora vamos extrair um pouco do conhecimento do Fernando Madureira nessa sobre essas questões:
1. Madureira, com sua extensa experiência, nacional e internacional, em segurança da informação, como você percebe a evolução da comunicação entre profissionais de cybersecurity e os conselhos de administração ao longo dos anos? Poderia compartilhar um exemplo marcante dessa mudança na sua jornada?
Ao longo dos anos, a comunicação entre profissionais de cybersecurity e conselhos de administração evoluiu significativamente. Inicialmente, a interação era predominantemente técnica, o que muitas vezes resultava em uma desconexão com os membros do conselho. Com o tempo, percebi a importância de traduzir questões técnicas em impactos corporativos mais amplos. Um exemplo marcante disso foi durante uma investigação de fraude cibernética, onde o chefe de auditoria, que tinha mais experiência, me orientou na apresentação ao conselho. Ele me ensinou a traduzir a linguagem técnica em termos que os conselheiros pudessem entender, focando em impactos sistêmicos e interdependências entre áreas de negócio.
Essa experiência me fez perceber que, para ser eficaz, a comunicação com o conselho deve ir além dos detalhes técnicos. É crucial adotar uma visão mais ampla e estratégica, considerando como as questões de segurança afetam a organização como um todo. Isso inclui discutir a reputação e a conformidade da empresa, que são preocupações centrais para os conselheiros. É importante “dar alguns passos para trás e olhar aquilo a 10 mil metros de altura”, considerando o impacto no ecossistema inteiro da companhia, não apenas em áreas isoladas.
2. Sabemos que a linguagem técnica pode ser um obstáculo na comunicação com executivos. Quais estratégias você desenvolveu para traduzir conceitos complexos de segurança em termos que ressoem com líderes de negócios e membros do conselho?
Desenvolver estratégias para traduzir conceitos complexos de segurança é essencial para se comunicar eficazmente com líderes de negócios e membros do conselho. Uma abordagem que adoto é sempre fazer uma conexão entre cada ponto discutido e o que isso significa para o negócio. Por exemplo, ao conversar com líderes de vendas, explico como uma falha de segurança pode comprometer a disponibilidade de sistemas críticos, como tablets usados por vendedores, e o que isso significa em termos de perda de vendas e confiança do cliente.
Além disso, ao lidar com o conselho, foco em aspectos de imagem e reputação, enfatizando como questões de segurança podem afetar a percepção da empresa por parte de investidores e reguladores. Na prática, o conselho se preocupa muito com a imagem e reputação da companhia, o que reforça a necessidade de adaptar a comunicação à realidade de cada área. Utilizar exemplos práticos e associar temas de segurança com impactos diretos no negócio ajuda a tornar a mensagem mais clara e relevante para a audiência.
3. Em sua carreira, você certamente enfrentou situações onde precisou justificar investimentos em segurança para o conselho. Pode nos contar sobre um caso desafiador e como você abordou a situação para obter apoio?
Justificar investimentos em segurança para o conselho pode ser um desafio, especialmente quando é necessário demonstrar o valor desses investimentos além dos custos imediatos. Em uma situação particularmente desafiadora, precisei convencer o conselho da importância de um investimento significativo em infraestrutura de segurança para mitigar riscos cibernéticos emergentes. Para isso, utilizei exemplos concretos de incidentes passados, destacando como a falta de investimento poderia resultar em falhas de segurança com impactos diretos na operação, reputação e confiança dos clientes.
Um aspecto crucial dessa apresentação é a quantificação dos riscos cibernéticos, um tema que tem ganhado destaque nos últimos anos. O uso da metodologia FAIR (Factor Analysis of Information Risk) por exmplo, que tem sido cada vez mais adotada por profissionais de segurança para avaliar e comunicar riscos de forma mais estruturada e compreensível. Ao aplicar essa metodologia, consegui traduzir os riscos em termos financeiros, o que facilitou a compreensão dos conselheiros sobre a gravidade e o potencial impacto financeiro dos riscos cibernéticos.
Além disso, enfatizei a importância de conformidade com regulamentos, utilizando dados sobre multas enfrentadas por outras empresas do setor como argumento adicional. Como mencionado nos arquivos, “negócio ajuda, impacto e negócio ajuda”, mas o que realmente sensibiliza os conselheiros é uma visão corporativa mais ampla, que considera a reputação e a imagem da empresa no mercado. A combinação de exemplos concretos, quantificação de riscos e alinhamento estratégico foi fundamental para obter o apoio do conselho.
4. Como você vê o papel do profissional de segurança na gestão de riscos corporativos? Que conselhos você daria para CISOs que desejam se posicionar como parceiros estratégicos na tomada de decisões de negócios?
O papel do profissional de segurança na gestão de riscos corporativos é fundamental. Para os CISOs que desejam se posicionar como parceiros estratégicos, é crucial desenvolver uma compreensão profunda do negócio e se alinhar com outras áreas corporativas, como auditoria, controles internos e gestão de riscos. Essas áreas já possuem um histórico de comunicação efetiva com conselhos e podem ensinar muito sobre como traduzir linguagem técnica para uma audiência executiva.
O CISO precisa ser muito parceiro, muito sócio do CRO e desse time de risco, reforçando a importância de uma abordagem integrada. Recomendo que os CISOs participem de treinamentos em gestão de risco e desenvolvam habilidades de comunicação executiva, para que possam apresentar informações de forma clara e pragmática, focando nos impactos corporativos mais amplos e alinhando a segurança com os objetivos estratégicos da organização.
5. Considerando sua perspectiva única como veterano da área, quais habilidades você acredita serem essenciais para os profissionais de cybersecurity que aspiram a posições de liderança ou até mesmo a se tornarem membros de conselhos no futuro?
Para os profissionais de cybersecurity que aspiram a posições de liderança ou mesmo a se tornarem membros de conselhos, algumas habilidades são essenciais. Além de uma sólida formação técnica, é crucial desenvolver soft skills, como habilidades de comunicação executiva e a capacidade de traduzir conceitos técnicos em termos que ressoem com uma audiência não técnica. Participar de cursos de conselheiros pode ajudar a adquirir uma visão mais ampla dos problemas e impactos corporativos.
Também é importante desenvolver uma compreensão profunda do segmento de negócio em que se atua, para poder falar a língua dos executivos e se posicionar como parceiros estratégicos. Temos que mudar,, os profissionais de segurança precisam realmente começar a trabalhar os tais soft skill, saindo da zona de conforto técnica e se desafiando em reuniões mais executivas. Isso prepara os profissionais para se comunicarem de forma eficaz em ambientes executivos e conselhos.
Conclusão
A jornada do profissional de cybersecurity, do técnico ao estratégico, é marcada por desafios e aprendizados constantes. Como Fernando Madureira sabiamente observou, é crucial “dar alguns passos para trás e olhar aquilo a 10 mil metros de altura”, considerando o impacto no ecossistema inteiro da companhia. Esta perspectiva mais ampla permite que os profissionais de segurança se tornem verdadeiros parceiros estratégicos, capazes de comunicar efetivamente os riscos e oportunidades aos conselhos e executivos.
A evolução dessa jornada exige não apenas expertise técnica, mas também o desenvolvimento de habilidades de comunicação, visão estratégica e compreensão profunda do negócio. Como foi destacado, “os profissionais de segurança precisam realmente começar a trabalhar os tais soft skills, saindo da zona de conforto técnica e se desafiando em reuniões mais executivas”. Este é o caminho para se tornarem líderes eficazes e, potencialmente, membros valiosos de conselhos corporativos.
Não perca os próximos artigos desta coluna, onde continuaremos a explorar as nuances da interseção entre cybersecurity e liderança estratégica. Compartilharemos mais insights, experiências práticas e conselhos de profissionais experientes para ajudar você a navegar neste cenário em constante evolução!
*Glauco Sampaio é profissional da área de SI há mais de 25 anos, sendo CISO por mais de 14 anos, atuando em grandes empresas como Cielo, Banco Original, Banco Votorantim, Editora Abril e Banco Santander. Hoje, atua como conselheiro consultivo com foco em segurança, prevenção a fraudes, privacidade, tecnologia e inovação em empresas de diversos segmentos. Cofundador e CEO da Beephish, além de professor na FIA e no curso de cybersecurity para conselheiros do IBGC. É host do Podcast Conselho & Conselheiros, e palestrante nos principais eventos do Brasil e exterior (RSA Conference).
