Por Dilson Mesquita e Felipe Prado
Temos presenciado alguns fatos no cenário de Segurança da Informação que nos levam a pensar no papel do CISO (Chief Information Security Officer, sigla em inglês) – Chefe de Segurança e na mudança exigida em seu comportamento. Esse tema abre portas para várias discussões sobre a sua atuação, como a necessidade de demonstrar mais conhecimento técnico, de ter um entendimento amplo da sua indústria de atuação e, até mesmo, de mudar sua postura e a forma de se comunicar.
Um fato recente que demonstra a mudança exigida do papel do líder de Segurança foi a condenação do CISO de uma grande empresa por conta de sua tentativa de encobrir um incidente em que foram roubados dados pessoais de milhares de clientes.
Ao observar o ocorrido, fica clara a necessidade de transparência e de uma reflexão do papel e responsabilidades do CISO. Ele vive sob pressão do C-Level ou do board executivo para reduzir seus investimentos e orçamentos, resolver os problemas que encontram e, no melhor dos casos, não ter incidente algum para relatar.
Não é correto culpar o CISO por todas as brechas de Segurança, mas uma mudança de postura é necessária, diante do aumento de responsabilidade para este líder. Aqui, coloco um pouco do que venho acompanhando e quatro pontos que enxergo como mais evidentes.
Conhecimento do mercado: O CISO precisa entender sua indústria de atuação, saber quais grupos estão direcionando seus ataques a ela, assim como os tipos de ameaças e vulnerabilidades que estão expostos. Este é o primeiro grande desafio do CISO neste novo mundo.
Conhecimento técnico: Vale mostrar o porquê de o CISO estar ali e quanto conhecimento adquiriu até chegar naquela posição. É preciso entender a arquitetura do ambiente, saber colocar-se quando fala de perímetros e novas tendências. Em linhas gerais, hoje está se exigindo que o CISO saiba falar tecnicamente assim como saber levar a mensagem para o Board Executivo de forma concisa e objetiva.
Comunicação clara: Diante de um possível vazamento de dados ou incidente de segurança, o CISO precisa saber o que fazer e como se comunicar interna e externamente. Porque durante um incidente, dependendo de sua gravidade, o CISO deve comunicar a alta administração, assim como o C-Level, o board executivo e, até mesmo, os investidores. Não existe vingador solitário fora das telas de cinema. Manter uma comunicação clara e direta com todos pode causar uma redução significativa de dores de cabeças, que basicamente são diárias.
Relacionamento com toda a empresa: O “novo” CISO não deve se relacionar só com a diretoria ou o board executivo. Muitas vezes, em uma reunião com o fornecedor, uma colocação do CISO pode mudar por completo um projeto ou até mesmo o investimento. E, internamente, relacionar-se com outras áreas é muito importante para mostrar a mentalidade do “Security by Design” para todos e, assim, seguir na tarefa diária de evangelização da Segurança da Informação para toda a organização.
Como estamos acompanhando em diversos casos, esta mudança de comportamento não é algo para amanhã, mas sim para agora!
*Dilson Mesquita – Líder de Consultoria em Segurança e Ciber-resiliência da Kyndryl Brasil
& Felipe Prado – Consultor Master em Segurança da Informação e Ciber-resiliência da Kyndryl Brasil
