O papel do CISO na atualidade

Um fato recente que demonstra a mudança exigida do papel do líder de Segurança foi a condenação do CISO de uma grande empresa por conta da tentativa de encobrir um incidente em que foram roubados dados pessoais de milhares de clientes. Ao observar o ocorrido, fica clara a necessidade de transparência e de uma reflexão do papel e responsabilidades desse profissional

Compartilhar:

Por Dilson Mesquita e Felipe Prado

 

Temos presenciado alguns fatos no cenário de Segurança da Informação que nos levam a pensar no papel do CISO (Chief Information Security Officer, sigla em inglês) – Chefe de Segurança e na mudança exigida em seu comportamento. Esse tema abre portas para várias discussões sobre a sua atuação, como a necessidade de demonstrar mais conhecimento técnico, de ter um entendimento amplo da sua indústria de atuação e, até mesmo, de mudar sua postura e a forma de se comunicar.

 

Um fato recente que demonstra a mudança exigida do papel do líder de Segurança foi a condenação do CISO de uma grande empresa por conta de sua tentativa de encobrir um incidente em que foram roubados dados pessoais de milhares de clientes.

 

Ao observar o ocorrido, fica clara a necessidade de transparência e de uma reflexão do papel e responsabilidades do CISO. Ele vive sob pressão do C-Level ou do board executivo para reduzir seus investimentos e orçamentos, resolver os problemas que encontram e, no melhor dos casos, não ter incidente algum para relatar.

 

Não é correto culpar o CISO por todas as brechas de Segurança, mas uma mudança de postura é necessária, diante do aumento de responsabilidade para este líder. Aqui, coloco um pouco do que venho acompanhando e quatro pontos que enxergo como mais evidentes.

 

Conhecimento do mercado: O CISO precisa entender sua indústria de atuação, saber quais grupos estão direcionando seus ataques a ela, assim como os tipos de ameaças e vulnerabilidades que estão expostos. Este é o primeiro grande desafio do CISO neste novo mundo.

 

Conhecimento técnico: Vale mostrar o porquê de o CISO estar ali e quanto conhecimento adquiriu até chegar naquela posição. É preciso entender a arquitetura do ambiente, saber colocar-se quando fala de perímetros e novas tendências. Em linhas gerais, hoje está se exigindo que o CISO saiba falar tecnicamente assim como saber levar a mensagem para o Board Executivo de forma concisa e objetiva.

 

Comunicação clara: Diante de um possível vazamento de dados ou incidente de segurança, o CISO precisa saber o que fazer e como se comunicar interna e externamente. Porque durante um incidente, dependendo de sua gravidade, o CISO deve comunicar a alta administração, assim como o C-Level, o board executivo e, até mesmo, os investidores. Não existe vingador solitário fora das telas de cinema. Manter uma comunicação clara e direta com todos pode causar uma redução significativa de dores de cabeças, que basicamente são diárias.

 

Relacionamento com toda a empresa: O “novo” CISO não deve se relacionar só com a diretoria ou o board executivo. Muitas vezes, em uma reunião com o fornecedor, uma colocação do CISO pode mudar por completo um projeto ou até mesmo o investimento. E, internamente, relacionar-se com outras áreas é muito importante para mostrar a mentalidade do “Security by Design” para todos e, assim, seguir na tarefa diária de evangelização da Segurança da Informação para toda a organização.

 

Como estamos acompanhando em diversos casos, esta mudança de comportamento não é algo para amanhã, mas sim para agora!

 

*Dilson Mesquita – Líder de Consultoria em Segurança e Ciber-resiliência da Kyndryl Brasil
& Felipe Prado – Consultor Master em Segurança da Informação e Ciber-resiliência  da Kyndryl Brasil

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta vazamento de dados de 250 mil brasileiros no setor bancário

ZenoX detectou vazamento de dados na dark web e especialistas destacam medidas práticas de como evitar danos e proteger informações...
Security Report | Overview

Consumo no fim de ano aumenta urgência por Cibersegurança uniformizada, diz pesquisa

Com a chegada de uma das datas mais movimentadas do comércio, especialista alerta para os riscos de ataque e mostra...
Security Report | Overview

Como os riscos de Cyber podem ameaçar finanças e reputação na Black Friday?

A ameaça de danos financeiros e reputacionais torna a segurança cibernética robusta não apenas uma necessidade técnica, mas um imperativo...
Security Report | Overview

Estudo detecta crescimento de 95% dos ciberataques no Brasil

Relatório da Check Point Research registrou cerca de 2766 ataques digitais semanalmente no Brasil