Por Carlos Gajardoni*
Muitas vezes, a comunicação entre diferentes setores de uma empresa pode ser cheia de ruídos, resultando em nenhum lado da conversa conseguindo compreender as demandas e necessidades do outro. Não importa qual seja a área, esse problema comunicacional sempre deve ser resolvido, para o benefício da corporação como um todo. Pense que é como nosso corpo: se uma das partes não funcionar corretamente, todo o nosso organismo falha.
Uma das falhas mais críticas que uma empresa pode ter entre setores, hoje em dia, é quando a área de Segurança da Informação não consegue se comunicar com os executivos das empresas e áreas de negócios, não conseguindo levar ao conhecimento dos stakeholders os riscos aos quais a empresa está exposta e o quanto isso pode impactar no negócio como um todo.
O trabalho dos profissionais de segurança é crucial para proteger os dados de qualquer companhia, por isso, quando os líderes dessas equipes são incapazes de expressarem corretamente aos executivos os problemas enfrentados e o que é necessário fazer, as consequências podem ser muito graves.
Em um cenário de brechas na segurança cibernética, as perdas podem potencialmente ser incalculáveis, não apenas no sentido financeiro, o que por si só já é péssimo, mas também na reputação de uma empresa, que tem como consequência imediata a perda de clientes.
Com tantos ataques acontecendo nos últimos tempos, uma perda dessa escala, fruto de má comunicação interna ou descaso com a segurança cibernética, é algo “difícil de engolir” para muitas pessoas.
Para evitar que isso aconteça, não é preciso encarar a questão como um “bicho de sete cabeças”. A primeira etapa é fazer o básico: Gere conversas recorrentes da equipe de SI com as áreas de negócios, faça check-ups.
O CISO deve participar das reuniões do board da empresa, mesmo que de forma esporádica, com espaço de fala (o ideal é que o CISO tenha uma cadeira cativa no board, mas infelizmente essa ainda não é uma realidade por aqui). Se você tiver pilares bem estruturados, isso já deve te poupar bastante dores de cabeça indesejáveis no futuro.
Além disso, aquela que provavelmente seja a maior questão de todas: a comunicação. Se você é CISO na sua empresa, instrua aos seus funcionários (e a si mesmo) a tentarem falar de uma maneira menos técnica quando estiverem lidando com pessoas de fora da sua área. Ambos têm que falar “a mesma língua” para que a comunicação funcione, portanto, tenha paciência e explique tudo da maneira mais sucinta possível, por mais óbvio que possa parecer para você.
Do lado dos líderes empresariais, no entanto, é necessário também uma mudança de comportamento. Se você é um executivo de uma companhia ou faz parte de um board, confie mais nos CISO’s e não se acanhe em perguntar sobre o que for.
Dê maior liberdade para que a equipe realize as mudanças necessárias para melhorar a cibersegurança do grupo, mas também busque entender minimamente o trabalho realizado. Busque conhecimento com esses profissionais de SI e esteja preparado para conversas mais técnicas, sempre que demostrado algum risco para a companhia.
Lembre-se que, seguindo estes passos, você reduz a chance de algo grave acontecer. Preparo nunca é pouco, por isso converse. Comunique-se com sua equipe e estenda a mão para os outros setores da sua empresa, vocês estão todos no mesmo time. Façam isso e mantenham essa constância, para que assim esse pavor de um ataque iminente diminua e se tornem cada vez mais raras.
*Carlos Gajardoni é CEO da NetSecurity