A demanda por mais independência operacional da Segurança Cibernética já é antiga entre os CISOs, visto que a configuração mais vista usualmente – desse setor respondendo frequentemente aos líderes de TI – comprovadamente gera atritos desnecessários entre ambas, com um ou outro setor perdendo importância a depender das circunstâncias que a companhia esteja enfrentando no momento.
Mesmo assim, a absoluta maioria dos Líderes de Segurança segue como parte da hierarquia ligada à Tecnologia e inovação de uma empresa. Em uma enquete organizada em maio entre os CISOs do Security Leaders, por exemplo, exatamente 72,5% dos respondentes (58 respostas das 80 contabilizadas) dizem ainda responder aos CIOs da companhia em que atuam.
Essa é uma vantagem visível para a segunda colocação, em que há um empate entre os que respondem para o Chief Risk Officer (CRO) ou para o próprio CEO da organização, contando 10% em ambos os casos. Finalmente, 7,5% dos entrevistados (6 respostas) indicaram responder ao CFO. Os ramos em que os profissionais atuam variaram entre Indústria, finanças, serviços, educação, governo, tecnologia e varejo.
Na visão do CISO no Banco Yamaha, Alexandre Pesani, essa tendência se deve à ligação visível entre as disciplinas de TI e SI no mercado de trabalho. Todavia, isso não significa que a relação entre as duas passe a ser naturalmente harmônica por isso. Para Pesani, há chances de haver conflitos de interesse entre as áreas por ambas estarem ligadas à mesma estrutura hierárquica e urgência do negócio muitas não olhando para o risco cibernético envolvido.
“Talvez até por comodidade e evitar discordâncias entre as partes, as direções executivas prefiram manter a SI e a TI sob o mesmo guarda-chuva. Ocorre que esses conflitos são, na verdade, essenciais para a evolução do meio digital corporativo, pois são a partir deles que se geram discussões sobre melhores práticas de Segurança e Inovação essenciais para a continuidade do negócio”, explica o executivo, que também foi o autor da enquete entre os CISOs do SL.
Atualmente, o setor de Cibersegurança que Pesani comanda é um dos que responde ao setor de risco da companhia. De acordo com o CRO do Banco Yamaha, Marco Rivieri, essa mudança foi movida pela aceleração das novas tecnologias e demandas vindas do business. Estando ainda a comando da TI, a Cyber Security poderia ter suas próprias exigências diminuídas, mesmo com o crescimento do nível de risco da corporação.
A partir dessa mudança, ambas as gestões se beneficiaram: a TI pôde focar nos desenvolvimentos necessários para continuidade de negócios e entregas cada vez mais personalizadas. Já a SI Segurança ganhou corpo para acelerar nas implementações necessárias que também garantisse a proteção necessária para o business evoluir perante as concorrentes.
“A priorização e solução das vulnerabilidades também ganham força quando o CISO não reporta diretamente para TI. Já a atuação conjunta com os demais gestores de riscos garante a independência e transparência dos demonstrativos e reportes apresentados ao corpo diretivo. Nosso papel não é emperrar a empresa, enchendo a de controles, mas sim entender as demandas de negócio e viabilizá-las com a adequada gestão de riscos”, afirma Rivieri.
Autonomia para o CISO
Apesar das vantagens visíveis para a operação de ambos os departamentos, ainda se questiona como mobilizar a companhia para esse movimento. Alexandre Pesani pondera ser complexo imaginar uma mudança drástica nos próximos anos, a menos que a Cibersegurança apartada da TI se torne uma exigência de canais reguladores institucionais, tal qual é o Banco Central para as organizações financeiras.
“A questão é que, independentemente da gestão a qual a Segurança esteja sujeita, o que é essencial é preservar a autonomia na tomada de decisões que garantam maturidade e amadurecimento da disciplina de SI. Na Yamaha, ganhamos autonomia através da área de Risco, mas é possível ter essa autonomia respondendo ao próprio CEO”, disse o CISO.
Mesmo assim, Marco Rivieri considera que a Segurança da Informação se tornou um ativo estratégico das instituições, sendo inclusive um fator a mais na competitividade. Devido a isso, ele vê uma tendência positiva para a manutenção dos investimentos para apoiar o planejamento estratégico da empresa, mantendo a atenção sobre inovações e tecnologia.
“Evidentemente, cada instituição deve avaliar seu negócio e suas estratégias, e nesse sentido, o posicionamento do CISO pode flutuar de acordo com a realidade e decisões estratégicas de cada empresa. Dentro do Banco Yamaha, atualmente acreditamos que esta é a melhor configuração para proteger a companhia e garantir a continuidade das inovações, sem que um se torne um empecilho para o outro”, conclui o Diretor de Riscos.