Quais as vantagens de uma Cibersegurança fora da hierarquia da TI?

Atualmente, a maioria dos times de Segurança ainda responde aos líderes de Tecnologia e Inovação das empresas, apesar da complexidade do cenário de ciberataques. Na visão de CISO, muitas companhias têm traçado a possibilidade de converter a SI para uma área de Riscos, com vistas a uma autonomia cada vez maior

Compartilhar:

A demanda por mais independência operacional da Segurança Cibernética já é antiga entre os CISOs, visto que a configuração mais vista usualmente – desse setor respondendo frequentemente aos líderes de TI – comprovadamente gera atritos desnecessários entre ambas, com um ou outro setor perdendo importância a depender das circunstâncias que a companhia esteja enfrentando no momento.

 

Mesmo assim, a absoluta maioria dos Líderes de Segurança segue como parte da hierarquia ligada à Tecnologia e inovação de uma empresa. Em uma enquete organizada em maio entre os CISOs do Security Leaders, por exemplo, exatamente 72,5% dos respondentes (58 respostas das 80 contabilizadas) dizem ainda responder aos CIOs da companhia em que atuam.

 

Essa é uma vantagem visível para a segunda colocação, em que há um empate entre os que respondem para o Chief Risk Officer (CRO) ou para o próprio CEO da organização, contando 10% em ambos os casos. Finalmente, 7,5% dos entrevistados (6 respostas) indicaram responder ao CFO. Os ramos em que os profissionais atuam variaram entre Indústria, finanças, serviços, educação, governo, tecnologia e varejo.

 

Na visão do CISO no Banco Yamaha, Alexandre Pesani, essa tendência se deve à ligação visível entre as disciplinas de TI e SI no mercado de trabalho. Todavia, isso não significa que a relação entre as duas passe a ser naturalmente harmônica por isso. Para Pesani, há chances de haver conflitos de interesse entre as áreas por ambas estarem ligadas à mesma estrutura hierárquica e urgência do negócio muitas não olhando para o risco cibernético envolvido.

 

“Talvez até por comodidade e evitar discordâncias entre as partes, as direções executivas prefiram manter a SI e a TI sob o mesmo guarda-chuva. Ocorre que esses conflitos são, na verdade, essenciais para a evolução do meio digital corporativo, pois são a partir deles que se geram discussões sobre melhores práticas de Segurança e Inovação essenciais para a continuidade do negócio”, explica o executivo, que também foi o autor da enquete entre os CISOs do SL.

 

Atualmente, o setor de Cibersegurança que Pesani comanda é um dos que responde ao setor de risco da companhia. De acordo com o CRO do Banco Yamaha, Marco Rivieri, essa mudança foi movida pela aceleração das novas tecnologias e demandas vindas do business. Estando ainda a comando da TI, a Cyber Security poderia ter suas próprias exigências diminuídas, mesmo com o crescimento do nível de risco da corporação.

 

A partir dessa mudança, ambas as gestões se beneficiaram: a TI pôde focar nos desenvolvimentos necessários para continuidade de negócios e entregas cada vez mais personalizadas. Já a SI Segurança ganhou corpo para acelerar nas implementações necessárias que também garantisse a proteção necessária para o business evoluir perante as concorrentes.

 

“A priorização e solução das vulnerabilidades também ganham força quando o CISO não reporta diretamente para TI. Já a atuação conjunta com os demais gestores de riscos garante a independência e transparência dos demonstrativos e reportes apresentados ao corpo diretivo. Nosso papel não é emperrar a empresa, enchendo a de controles, mas sim entender as demandas de negócio e viabilizá-las com a adequada gestão de riscos”, afirma Rivieri.

 

Autonomia para o CISO

Apesar das vantagens visíveis para a operação de ambos os departamentos, ainda se questiona como mobilizar a companhia para esse movimento. Alexandre Pesani pondera ser complexo imaginar uma mudança drástica nos próximos anos, a menos que a Cibersegurança apartada da TI se torne uma exigência de canais reguladores institucionais, tal qual é o Banco Central para as organizações financeiras.

 

“A questão é que, independentemente da gestão a qual a Segurança esteja sujeita, o que é essencial é preservar a autonomia na tomada de decisões que garantam maturidade e amadurecimento da disciplina de SI. Na Yamaha, ganhamos autonomia através da área de Risco, mas é possível ter essa autonomia respondendo ao próprio CEO”, disse o CISO.

 

Mesmo assim, Marco Rivieri considera que a Segurança da Informação se tornou um ativo estratégico das instituições, sendo inclusive um fator a mais na competitividade. Devido a isso, ele vê uma tendência positiva para a manutenção dos investimentos para apoiar o planejamento estratégico da empresa, mantendo a atenção sobre inovações e tecnologia.

 

“Evidentemente, cada instituição deve avaliar seu negócio e suas estratégias, e nesse sentido, o posicionamento do CISO pode flutuar de acordo com a realidade e decisões estratégicas de cada empresa. Dentro do Banco Yamaha, atualmente acreditamos que esta é a melhor configuração para proteger a companhia e garantir a continuidade das inovações, sem que um se torne um empecilho para o outro”, conclui o Diretor de Riscos.

 

Conteúdos Relacionados

Security Report | Destaques

APIs e Aplicações: o calcanhar de Aquiles da segurança digital?

Durante Painel de Debates Online Organizado pela TVSecurity, executivos da Brookfield, Grupo Moura, Imperva, e Nec Brasil abordaram os desafios...
Security Report | Destaques

Para combater os desafios da IA, só com uso correto da própria IA

Durante painel de debates transmitido pela TVSecurity, Líderes do Tribunal de Justiça da Bahia, Embratur, Nec Brasil e Skyhigh Security...
Security Report | Destaques

Gartner afirma que IA deverá reduzir gap de talentos em Cyber até 2028

A consultoria apresentou hoje sua lista de previsões para a Segurança da Informação nos próximos anos, e segundo ela, a...
Security Report | Destaques

Black Friday 2024: Governo e sociedade civil se mobilizam para proteger usuário de fraudes

Estudos recentes indicam que a data de promoções deste ano deverá atingir um novo recorde de transações, o que pode...