No Brasil, ainda que a maioria das organizações coloque a segurança da informação nas mãos do departamento de TI, a presença de um líder ou gestor de segurança é cada vez mais comum. Por se tratar de um papel relativamente novo dentro das organizações, muitos CSOs, CISOs e gestores de segurança ainda têm dificuldades para comunicar-se claramente com executivos, técnicos e stakeholders.
Melhorar o relacionamento entre a área de segurança da informação e as diversas áreas da diretoria e a equipe técnica deve se tornar uma prioridade nos próximos anos, já que eventuais problemas nesse relacionamento podem ter consequências diretas na receita.
No caso, um dos principais obstáculos para um relacionamento mais próximo entre a segurança da informação e o C-Level é a gestão de vulnerabilidades e fornecedores feita de forma descentralizada, em que os executivos não contam com indicadores para aplicar às tomadas de decisão e contam com poucas informações concretas dos resultados de seu investimento em segurança.
Por isso, é importante que os líderes de segurança saibam falar a linguagem dos executivos e também dos analistas. Neste diálogo, os termos “riscos”, “relatórios” e “métricas” são os mais importantes, e tendem a ter significados bem diferentes.
Saiba como os líderes de segurança da informação devem abordar esses temas com cada uma das suas audiências.
Riscos estão sempre ligados a perdas financeiras
Para o C-Level, os riscos significam disrupções do negócio e perdas financeiras. Ou seja, para usar a linguagem certa com os executivos e mostrar a qualidade do trabalho, os gestores de segurança precisam mostrar seus esforços em termos de mitigação de riscos para o negócio.
No diálogo, pode ser comum a comparação direta entre o budget disponibilizado e a mitigação de riscos em termos monetários.
Os analistas de segurança, por outro lado, não estão familiarizados com a linguagem dos riscos de negócio. Para eles, os líderes de segurança precisam mapear objetivos operacionais e táticos com base nos riscos e guiá-los na conquista dos objetivos esperados pela diretoria.
O C-Level não liga para o número de alarmes que você silenciou
Para os executivos, o número de vulnerabilidades que a equipe solucionou em um trimestre e o número de alertas atendidos não têm nenhuma importância. Eles estão muito mais interessados em entender os resultados com base nos riscos para o negócio, ou seja, em quais perdas financeiras a equipe está mitigando.
Os profissionais de segurança obviamente querem entender qual é a melhor maneira de comunicar o valor do seu trabalho. Por isso, os líderes de segurança devem ajudá-los a traduzir seus esforços táticos e operacionais em termos de objetivos estratégicos.
Como a equipe está progredindo em seus objetivos?
A equipe de segurança quer entender como está agregando valor à organização para que esta atinja seus objetivos de negócio. Porém, os líderes precisam ajudá-los a enxergar como suas tarefas diárias se inserem em um cenário mais amplo.
É claro que é do interesse dos executivos entender como a equipe de segurança está progredindo nos objetivos corporativos. Porém, eles esperam, principalmente, entender se a equipe está mitigando os riscos de acordo com seu potencial de perda para o negócio.