É de fundamental importância que o CISO esteja totalmente integrado à missão da organização em suas diferentes esferas, quer seja para consumidores, governo, sociedade civil, parceiros e colaboradores. Reduzir a organização à macro missão de um balancete positivo pode criar brechas na estratégia de segurança da informação.
Qual a missão da minha organização?
A área de Segurança da informação e nós profissionais, infelizmente, ajudamos a construir a imagem que somos os líderes do NÃO. Cabe a nós mudarmos essa imagem para o “sim” com segurança. Se engajar com os líderes da organização, garantindo que os novos projetos da empresa nasçam com a visão de risco e de segurança, oferece valor à missão que, em última análise, contribuirá para melhorar a resiliência e a produtividade organizacional, uma vez que esse relacionamento tenha sido estabelecido e comunicado sem viés à organização. Ao fazer isso, os projetos de segurança tornam-se uma atividade de missão e não de segurança em que a liderança sênior da organização apoia novas e importantes mudanças de segurança que sustentarão o sucesso contínuo da organização.
Planejamento e Gestão Estratégica
O engajamento com o planejamento estratégico deve vir do CISO. Ele deve funcionar como um agente de provocação e não de negação, trabalhando com a equipe de liderança executiva da organização. Nesse aspecto há um tônus mental de ser aguerrido, pois muitas portas estarão fechadas. O CISO deverá dispor de um projeto de comunicação clara e empática a fim de garantir que as atividades de planejamento de segurança da informação apoiem o plano estratégico da organização e a postura de risco desejada. Envolver-se em todos os projetos de tecnologia em andamento e futuros é fundamental.
Finalizando, o líder de Segurança precisa planejar mudanças na tecnologia e ajustar o programa de segurança da informação de acordo com a inovação do setor.
Ser político e empático
Pode parecer lema de livro de autoajuda, mas não é. Ao CISO imerso em um ambiente de transformação digital é necessário a capacidade de interagir efetivamente dentro da organização com empatia e compreensão das crenças limitantes de cada área.
O CISO deve entender e acolher as necessidades e preocupações da equipe executiva no que se refere à missão da organização e, em seguida, apresentar o programa de segurança da informação como uma resposta às demandas.O CISO deve, sempre, comunicar efetivamente, de forma natural e fluida, como as mudanças na segurança da informação são projetadas para proteger a organização.
Avaliação e Gerenciamento de Riscos
A avaliação e o gerenciamento de riscos estabelecem processos-chave usados para a comunicação entre a liderança da organização e o CISO. Lançar mão da ISO 31000 e ISO 27005 pode ajudar no desenvolvimento de um glossário normalizado entre a alta administração e a equipe de segurança. A propriedade do risco é sempre uma questão do nível C-level. Portanto, o estabelecimento de uma linha de comunicação entre liderança executiva sob o aspecto do negócio e o programa de segurança da informação é vital para o estabelecimento de um programa de gerenciamento de riscos (conforme preconizado na ISO 31000). O programa de gerenciamento de riscos e seus resultados devem sempre estar alinhados com os negócios.
Gerenciamento de Incidentes
Devemos ter em mente que sofremos ataque o tempo todo. Detectar as intrusões na rede e trabalhar imediatamente para limpar e recuperar essas ameaças é um dos pilares que justifica o cargo no organograma das organizações.
Os estágios de um plano de gerenciamento de incidentes são:
- Preparação: Estabelecimento e execução de um programa de resposta a incidentes eficaz e bem planejado com os stakeholders.
- Identificação: A descoberta de intrusões e a sua devida notação. Em geral os eventos são subnotariados.
- Detecção: Detectando a presença de uma atividade maliciosa.
- Análise: validando a presença de uma atividade mal-intencionada.
- Remediação: Diz respeito a erradicação de intrusões.
- Contenção: Garantir que novos sistemas de informação e/ou produtos não possam ser infectados.
- Recuperação: erradicar a infecção/brecha de segurança do sistema.
- Mitigação: Garantir que o sistema de informações esteja configurado para que não possa mais ser explorado. Muitas falhas são decorrentes de problemas de configurações mal feitas.
- Sala Pós-incidente: lições aprendidas e ciclo PDCA.
Conhecimento de regulamentação e conformidade com normas
O CISO deve ser uma autoridade nos regulamentos, normas e requisitos de conformidade aplicáveis à organização. Isso não significa que ele será um agente polarizado com a área de Compliance ou Jurídico. Mas para que o CISO possa adaptar seus conhecimentos a fim de atender às necessidades específicas de sua organização e em especial de cada área do negócio, a exemplo da manutenção de sistemas computadorizados em empresas que estão submetidas a ANVISA, levando ao desenvolvimento de políticas, processos, procedimentos, padrões e diretrizes de segurança da informação em conformidade.
Desenvolvimento e Administração de Políticas
Desenvolva políticas de fácil aplicabilidade para as áreas e que não sejam apenas regras “no papel”. O CISO é responsável por garantir que as políticas:
- Atendam aos objetivos estratégicos e táticos da organização;.
- São divulgadas por toda a organização
- É compreendida e entendida por todos os colaboradores.
- Atende aos requisitos legais e regulamentares.
Habilidades de Comunicação e Apresentação
É de fundamental importância adequar a conversa nos termos em que o executivo se importa. Não podemos falar de CASB, EDR, UEBA, SOC e etc. Precisamos falar em “NEGOCIÊS”. Para essas situações enquadre os conceitos de segurança da informação em termos comerciais, para que eles tenham uma boa repercussão aos executivos.
Habilidades de colaboração e gerenciamento de conflitos
Agora, o CISO é chamado a colaborar com membros da equipe de missão da organização, tecnólogos e usuários finais. Atualmente, o CISO trabalha para resolver problemas que afetam o sucesso da operação da organização (lembre disso e divulgue). No entanto, ao trabalhar com tecnólogos e técnicos, o líder de segurança deve garantir que os requisitos inerentes à área de segurança da informação sejam bem explicados com orientações eficazes. Ao trabalhar com usuários finais, é importante desenvolver um treinamento que direcione a adoção de práticas de segurança da informação pela comunidade de usuários finais e mais uma vez com um glossário que normalize o entendimento. Envolver a área de comunicação e RH é sempre uma boa ideia.
Habilidades de supervisão
Sabemos da falta de profissionais! Entretanto, é fundamental dispor de uma equipe de profissionais muito diligentes e eficazes em segurança da informação para que quaisquer programas em SI sejam campeões. Não é apenas uma pessoa – o CISO -, mas um grupo ou equipe capaz de trabalhar bem em conjunto, um organismo vivo.
A tutoria e trabalhar com a equipe para desenvolver suas habilidades, leva a um time muito mais engajado.
Conclusão
Apesar da área de SI ser altamente técnica e permear campos da ciência da computação nos mais diversos níveis, de camadas de rede a Inteligência Artificial e Machine Learning, o desenvolvimento de habilidades humanísticas da alta e média administração em cibersegurança é de cada vez mais cobrado e necessário. O CISO deixou de ser apena o White Hacker, agora está na visão dos acionistas da organização e precisa fluir em diversos campos do conhecimento e a multiplicidade de pessoas e mercados a que estamos expostos em um cenário de transformação digital.
Por Abian Laginestra, especialista em segurança da informação, escalador e defensor da bandeira de uma sociedade digital mais segura.