Não há mudança em uma organização se não tiver uma reforma com uma visão holística na perspectiva de segurança da informação. Algumas empresas e líderes acham que ao contratar um CISO, ele sozinho irá resolver todo o problema da empresa, a menos que o CISO seja um profissional bem hands-on em uma pequena, organizada e estruturada companhia. Mas o papel do CISO não é tão simples assim como parece!
No meio desta pandemia e quarentena, a pergunta que devemos fazer é entender o que realmente precisamos proteger e qual a visão e objetivo esperados pela organização, mas infelizmente, muitos líderes ainda não usam e não aplicam as melhores práticas de segurança como deveria. A quantidade de frameworks, standards e instituições que criam modelos de segurança que podem resolver os problemas das empresas são inúmeros, mas a questão é que a quantidade de informação acaba confundindo o mindset destes profissionais que naturalmente agem de forma inoperante e improdutiva em suas metas.
Por exemplo, o Center for Internet Security Framework (CIS) oferece vários documentos interessantes para construir uma arquitetura de segurança robusta, também oferece checklists com comparativos com demais frameworks fundamentais e principais leis de privacidade que estão em vigor. A quantidade de informação, falta de recursos, budget e tempo tem dificultado a gestão eficaz desta matéria por parte dos gestores. Fato que frameworks como ISO 27001 para gestão de segurança da informação e NIST 800-30 para gestão de risco são fundamentais para uma empresa que precisa estar em compliance com PCI, HIPPA, FISMA, FedRAMP, SSAE 16, SOC2, GRPA, CCPA, etc.
Complemento também outros frameworks como OCTAVE, FAIR e NIST CSF para o programa de Cybersecurity e OWASP para secure development, Microsoft Secure Development Lifecycle (SDL), entre outros, além de governança de segurança como o COBIT e, mais recentemente, o infográfico “CISO Mind Map”, lançado pelo SANS que, aliás, está bem interessante e pode auxiliar nestas demandas.
Evidentemente que temos muitas opções e a dificuldade é como escolher e discernir o mais adequado para o nosso cenário. Como podemos aproveitar o melhor de cada framework em tempos de crise para um estado de produtividade?
Para perfumar um ambiente, necessitamos do suporte do C- level ou o CISO se tornará impotente. Para que isso não ocorra, é necessário uma postura ousada e articulada com o time que comanda a organização e define as prioridades para as necessidades de negócio.
O livro do sábio relata que a virtude, conhecimento e domínio e a perseverança sobre um determinado assunto nos torna mais eficazes e produtivos. Porque, se essas qualidades existirem e estiverem crescendo em nosso carácter profissional, elas impedirão que sejamos inoperantes e improdutivos. Todavia, se algum profissional não as possui, está cego com o governo que está exercendo, é como se não estivéssemos enxergando o conceito irregular que às vezes vemos em nós, pois só vê o que está perto.
Em outras palavras, toda a dificuldade existe para treinar o líder a governar sobre algo, logo o CISO ou IT Risk Management Leader tem o papel de gerir a matéria de segurança em meio ao caos, não com olhos negativo, mas olhando para a tempestade desta crise e encontrar oportunidades como um visionário.
Em suma, todo líder precisa:
– Entender a fundo o negócio da organização, como a empresa faz dinheiro (modus operandis);
– Entender a estrutura de governança, o “organizacional charts” para o programa e se há suporte da alta liderança.
– Ter certeza que o investimento em segurança e cibersegurança é o suficiente e apropriado para o programa ser executado, ferramentas como benchmarks auxilia a entender e comunicar as metas do programa para a alta direção que é fundamental;
– Pensar como um homem de negócios, a capacidade de entender as necessidades e endereçar de forma correta de acordo com as metas fará diferença no exercício da função do líder.
Contudo, neste tempo de crise, todo o líder e profissional de segurança da informação deve saber reformar a arquitetura com o framework que tem em mãos, no mínimo aplicar e aproveitar o melhor de cada standard. Literalmente a experiência, perseverança e conhecimento são qualidades fundamentais para chegar em um grau produtivo.
E o principal: precisamos ser fortes. Para alguns casos, começar do zero (0)!
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA; MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA e IT Security Consultant para uma empresa de tecnologia nos Estados Unidos.