A aproximação com os altos escalões corporativos é um tema recorrente para os líderes de Cibersegurança, ao ponto que muitos deles pleiteiam a necessidade de a Segurança Cibernética ocupar uma cadeira cativa no conselho diretor. Entretanto, segundo relatou o Instituto Diligent, tal medida é insuficiente para responder a todas as demandas corporativas, sendo necessário buscar uma abordagem diferente para a consolidação dos CISOs na gestão.
De acordo com o estudo “Cybersecurity, audit, and the board Report”, produzido em parceria com a Bitsight, apenas possuir um especialista em Segurança da Informação, isto é, alguém que ocupe ou já tenha ocupado o cargo de CISO, fez as empresas entrevistadas atingirem uma pontuação média de 580, de um total de 900. As classificações da Bitsight são criadas com base em medições externamente observáveis da postura de Segurança das organizações.
Em concordância com a descoberta da Diligent, o CISO Global da Natura & co., Ticiano Benetti, um engano comum do setor de Cibersegurança é calcular que o apoio direto do board permitirá tomar decisões mais concretas sobre SI. Todavia, os executivos que tomam as decisões operacionais do negócio possuem maior influência sobre as dinâmicas corporativas, de sorte que contar com o apoio desses C-Levels tende a ser mais vantajoso.
“Isso é uma questão da própria estrutura das empresas, pois o board é frequentemente composto por líderes ‘não executivos’, que não tomam as decisões operacionais. Já os CISOs estão na cadeia de quem opera a organização. Portanto, tentar buscar um apoio dos não executivos para impor decisões da Segurança não gera os efeitos esperados”, explicou o executivo, em entrevista para a Security Report.
Nesse sentido, a Diligent orienta que as gestões corporativas deem um passo adiante à presença do CISO no board, investindo na formação de comitês especializados em Segurança e risco, envolvendo lideranças de outros departamentos para dialogarem em favor de jornadas mais assertivas na proteção dos meios digitais. A pesquisa aponta que a média de classificação das empresas com comitês de Cyber no board saltam para 710 pontos. Mas considerando a amostragem de empresas entrevistadas, apenas 5% delas estão nessa categoria.
Essa estratégia, segundo o instituto, pode ser uma resposta importante tanto para os CISOs quanto para os boards, representantes dos investidores no negócio e que não possuem conhecimentos aprofundados nos meandros da Cibersegurança. As descobertas apontam que a manutenção de comitês especializados evoluiria o nível de maturidade em Cibersegurança a patamares mais avançados, elevando as possibilidades de receitas em até quatro vezes.
“Por ser o indivíduo que representa a linha de investimento naquela companhia, cabe ao membro do board entender de Segurança o suficiente para assimilar o impacto desse tema nas questões de negócio. E uma das formas de proteger o dinheiro dos investidores, mantendo um crescimento adequado, é garantir que a operação não será paralisada por um ciberataque. Conforme eles compreendem essa relação, o tema passa a ser valorizado”, diz Benetti.
O CISO Global ainda comenta ser essencial que os times de Segurança construam pontes sólidas de confiança com o board, baseadas na comunicação constante e transparente entre as partes, para justificar o contato direto, via Comitê especializado. Na visão dele, esse contato é necessário para se criar o espaço e a interlocução adequada mesmo com os menos versados no tema de Cyber.
“Para poder prestar essas contas com o negócio, é essencial saber se comunicar, e não apenas falar de bits e bytes, como é comum os profissionais do setor fazerem. Deve-se colocar as coisas que estão bem ou não, sendo direto e claro nas afirmações, para gerar credibilidade e consistência ao que é dito. A partir disso, a relação com os líderes, executivos ou não, vai se formando”, encerra Benetti.
