Discutir as estratégias de Cibersegurança é hoje um dos pontos mais importantes para o negócio. Essa percepção foi relatada em estudo da EY, segundo a qual 64% dos membros de conselho administrativo classificam a Segurança da Informação entre os 5 principais temas abordados por eles. Todavia, segundo relatam as lideranças do setor, os diretores da companhia ainda dependem de uma visão especializada de Cyber para tomarem as melhores decisões. Ocupar a posição de tradutor dos assuntos técnicos pode permitir ao CISO preencher essa lacuna.
Na visão de Eduardo Vasconcelos, Gerente Global de Segurança da Informação da NSG Pilkington, os conselhos administrativos no Brasil estão cada vez mais conscientes da importância da SI e privacidade de dados, reconhecendo a necessidade de adotar essas áreas como vantagens estratégicas e oportunidades que as tecnologias emergentes, como IA Generativa, podem oferecer.
Segundo Vasconcelos, isso ocorre devido à crescente visibilidade do tema em meios de comunicação, especialmente em se tratando dos impactos financeiros e operacionais. Tais complexidades podem alcançar tanto empresas grandes quanto pequenas, bastando que elas atuem no meio digital.
“Mas ainda existe muita incerteza sobre como abordar Cyber com os conselheiros, pois, em alguns casos, não se consegue relacionar diretamente o ambiente cibernético com a operação diária. Por isso, o setor onde a empresa opera determina o tamanho dessa separação: em mercados fortemente alinhados com tecnologia, o gap é mínimo e às vezes inexistentes”, explica em entrevista concedida à Security Report.
Paulo Baldin, CISO e DPO da Stark Bank, concorda com Vasconcelos e reconhece que o board vem se preocupando mais com a Segurança Cibernética. Para o executivo, ainda existe um gap importante de expertise nos boards, o que pode dificultar uma avaliação adequada das estratégias de mitigação de riscos e ações preventivas.
“No entanto, há um movimento crescente em direção à conscientização e à capacitação dos membros dos boards. Eles estão investindo cada vez mais em programas de treinamento e desenvolvimento para garantir que possuam o conhecimento necessário para tomar decisões em relação à Cibersegurança”, completa Baldin.
Papel do CISO junto ao Board
Muitos líderes de Segurança da Informação seguem em busca de uma cadeira no Conselho Administrativo com o intuito de levar tópicos considerados essenciais para a saúde da Cibersergurança da companhia. Entretanto, independentemente da posição que o executivo ocupe, é essencial exercer a função de ponte entre a linguagem técnica da Segurança com a visão de negócios da alta gestão.
“O papel do CISO nesse contexto é fundamental para garantir o alinhamento entre as estratégias de Cibersegurança e as metas organizacionais. O CISO deve atuar como um facilitador entre as equipes, traduzindo questões complexas em termos de risco de negócios e impacto financeiro”, pontua Baldin, acrescentando que esses profissionais devem estar cientes das prioridades e objetivos da empresa.
Diante desse cenário, ele completa, e desejável que o CISO assuma um papel mais destacado diante dos desafios de Cyber. Devido à crescente complexidade das ameaças cibernéticas e o aumento da regulamentação relacionada à proteção de dados, é essencial que os líderes de segurança tenham uma voz ativa nas discussões estratégicas do board, seja como advisor de Segurança ou com uma cadeira cativa entre os outros diretores.
Na avaliação de Eduardo Vasconcelos, o CISO deve entender o negócio, o mercado e a cultura interna para calcular as necessidades mais evidentes da empresa. Ele acredita que o ponto crucial para o CISO é o tamanho da presença dele nas decisões tomadas pelo corpo executivo.
“Em alguns casos, não ter uma cadeira cativa, mas sim o papel de um advisor, tendo uma rede de relacionamentos muito bem montada na empresa, viabiliza uma influência muito maior nas decisões do que um voto. Mas cabe salientar a questão cultural da empresa: em algumas corporações, status e cargo falam muito alto nas decisões”, finaliza o Gerente Global de SI.