Quais as vantagens de uma Cibersegurança fora da hierarquia da TI?

Atualmente, a maioria dos times de Segurança ainda responde aos líderes de Tecnologia e Inovação das empresas, apesar da complexidade do cenário de ciberataques. Na visão de CISO, muitas companhias têm traçado a possibilidade de converter a SI para uma área de Riscos, com vistas a uma autonomia cada vez maior

Compartilhar:

A demanda por mais independência operacional da Segurança Cibernética já é antiga entre os CISOs, visto que a configuração mais vista usualmente – desse setor respondendo frequentemente aos líderes de TI – comprovadamente gera atritos desnecessários entre ambas, com um ou outro setor perdendo importância a depender das circunstâncias que a companhia esteja enfrentando no momento.

 

Mesmo assim, a absoluta maioria dos Líderes de Segurança segue como parte da hierarquia ligada à Tecnologia e inovação de uma empresa. Em uma enquete organizada em maio entre os CISOs do Security Leaders, por exemplo, exatamente 72,5% dos respondentes (58 respostas das 80 contabilizadas) dizem ainda responder aos CIOs da companhia em que atuam.

 

Essa é uma vantagem visível para a segunda colocação, em que há um empate entre os que respondem para o Chief Risk Officer (CRO) ou para o próprio CEO da organização, contando 10% em ambos os casos. Finalmente, 7,5% dos entrevistados (6 respostas) indicaram responder ao CFO. Os ramos em que os profissionais atuam variaram entre Indústria, finanças, serviços, educação, governo, tecnologia e varejo.

 

Na visão do CISO no Banco Yamaha, Alexandre Pesani, essa tendência se deve à ligação visível entre as disciplinas de TI e SI no mercado de trabalho. Todavia, isso não significa que a relação entre as duas passe a ser naturalmente harmônica por isso. Para Pesani, há chances de haver conflitos de interesse entre as áreas por ambas estarem ligadas à mesma estrutura hierárquica e urgência do negócio muitas não olhando para o risco cibernético envolvido.

 

“Talvez até por comodidade e evitar discordâncias entre as partes, as direções executivas prefiram manter a SI e a TI sob o mesmo guarda-chuva. Ocorre que esses conflitos são, na verdade, essenciais para a evolução do meio digital corporativo, pois são a partir deles que se geram discussões sobre melhores práticas de Segurança e Inovação essenciais para a continuidade do negócio”, explica o executivo, que também foi o autor da enquete entre os CISOs do SL.

 

Atualmente, o setor de Cibersegurança que Pesani comanda é um dos que responde ao setor de risco da companhia. De acordo com o CRO do Banco Yamaha, Marco Rivieri, essa mudança foi movida pela aceleração das novas tecnologias e demandas vindas do business. Estando ainda a comando da TI, a Cyber Security poderia ter suas próprias exigências diminuídas, mesmo com o crescimento do nível de risco da corporação.

 

A partir dessa mudança, ambas as gestões se beneficiaram: a TI pôde focar nos desenvolvimentos necessários para continuidade de negócios e entregas cada vez mais personalizadas. Já a SI Segurança ganhou corpo para acelerar nas implementações necessárias que também garantisse a proteção necessária para o business evoluir perante as concorrentes.

 

“A priorização e solução das vulnerabilidades também ganham força quando o CISO não reporta diretamente para TI. Já a atuação conjunta com os demais gestores de riscos garante a independência e transparência dos demonstrativos e reportes apresentados ao corpo diretivo. Nosso papel não é emperrar a empresa, enchendo a de controles, mas sim entender as demandas de negócio e viabilizá-las com a adequada gestão de riscos”, afirma Rivieri.

 

Autonomia para o CISO

Apesar das vantagens visíveis para a operação de ambos os departamentos, ainda se questiona como mobilizar a companhia para esse movimento. Alexandre Pesani pondera ser complexo imaginar uma mudança drástica nos próximos anos, a menos que a Cibersegurança apartada da TI se torne uma exigência de canais reguladores institucionais, tal qual é o Banco Central para as organizações financeiras.

 

“A questão é que, independentemente da gestão a qual a Segurança esteja sujeita, o que é essencial é preservar a autonomia na tomada de decisões que garantam maturidade e amadurecimento da disciplina de SI. Na Yamaha, ganhamos autonomia através da área de Risco, mas é possível ter essa autonomia respondendo ao próprio CEO”, disse o CISO.

 

Mesmo assim, Marco Rivieri considera que a Segurança da Informação se tornou um ativo estratégico das instituições, sendo inclusive um fator a mais na competitividade. Devido a isso, ele vê uma tendência positiva para a manutenção dos investimentos para apoiar o planejamento estratégico da empresa, mantendo a atenção sobre inovações e tecnologia.

 

“Evidentemente, cada instituição deve avaliar seu negócio e suas estratégias, e nesse sentido, o posicionamento do CISO pode flutuar de acordo com a realidade e decisões estratégicas de cada empresa. Dentro do Banco Yamaha, atualmente acreditamos que esta é a melhor configuração para proteger a companhia e garantir a continuidade das inovações, sem que um se torne um empecilho para o outro”, conclui o Diretor de Riscos.

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...