Executivos vs. profissionais de segurança: uma questão de convergência de perspetivas
Vivemos um período atribulado, motivado pela pandemia, em que as organizações foram levadas a usar a tecnologia como recurso de contingência. Perante este contexto, é fundamental percebermos que há um desafio que permanece por resolver nas organizações e que ganha uma prioridade diferenciada: a convergência de perspetivas entre quadros executivos e profissionais de segurança da informação.
O relatório global de riscos do World Economic Forum de 2019, destaca os riscos ciber imediatamente a seguir aos riscos relacionados com desastres naturais, tanto em frequência como em impacto.
As organizações estão cientes destes riscos e entendem a sua importância. Prova disso é o investimento realizado nos últimos anos nesta área. Contudo, estamos a chegar a um período em que a taxa de crescimento e investimento em cibersegurança tende a estabilizar ou até mesmo a diminuir. Esta estabilização dá-se porque há uma falta de entendimento do benefício que o investimento tem tido para a organização.
A mensagem que não está a ser passada é que a gestão da segurança da informação e dos riscos é fundamental para a sobrevivência dos negócios no seu contexto da transformação digital e que o investimento nesta variável do negócio deve ser visto como um seguro: compramos e adquirimos um seguro para nos protegermos no caso de sermos atacados ou de incorrermos em algum risco.
O investimento na área da segurança da informação é aquele seguro que não queremos ativar, mas que tem que existir.
Importa perceber as motivações e preocupações de cada um dos stakeholders numa organização. Enquanto uns preocupam-se, são desafiados e são responsabilizados pelo desempenho do negócio (i.e., receita, custos, reputação da marca), outros são responsabilizados por atividades de suporte à resiliência, estabilidade e conformidade do negócio (i.e., riscos, contabilidade, conformidade, tecnologia, entre outras).
Os profissionais de segurança fazem parte do segundo grupo e têm como missão proteger a organização contra potenciais compromissos da informação critica para o negócio. Todas as preocupações são válidas no ecossistema organizacional, mas é fulcral que nestas conste, como parte integrante, a segurança. Começar este processo de convergência com:
- A clareza de que a segurança da informação não é um problema técnico, mas sim um problema do negócio e primário.
- O desenvolvimento duma taxonomia comum é crucial para um melhor entendimento entre as partes, perceção única da estratégia do negócio, requisitos de segurança e consequentes ativos de segurança a salvaguardar.
- A definição dum plano de ação que estabeleça o equilíbrio necessário entre o investimento, os controlos de segurança, capacidade de resposta e alteração de comportamento.
Assim, é possível definir quatro passos fundamentais para alcançar táticas de convergência. Primeiramente, é necessário que todos entendamos da mesma forma o contexto da organização: deve ter-se a mesma noção do que é a estratégia do negócio, para onde a organização pretende caminhar no presente e no futuro, conhecer os stakeholders da organização, saber quais são os objetivos financeiros e quais os produtos que queremos ver no mercado.
De seguida, importa avaliar os riscos quantitativamente para nos proporcionar métricas mais precisas, que nos permitem priorizar os riscos e controlos a implementar e facilita numa compreensão idêntica do que são os riscos para o negócio. Também é importante medir estes controlos e riscos, mais que não seja porque é necessário demonstrar a evolução dos controlos que foram implementados. Há que pensar quais os indicadores que podem demonstrar e refletir as preocupações da organização em termos de segurança, os controlos implementados e o progresso e desempenho desses controlos. Podem ser definidos ao nível estratégico, tático e operacional.
Por fim, há que comunicar decisões de negócio. A informação tem de falar para o negócio. Devemos usar as palavras risco e eficiência, deve ser mencionado o valor estratégico dos controlos e medidas a implementar, satisfação do cliente com estes controlos, e qual a receita e o custo que advém (ou não) da sua implementação. É fundamental comunicar ao negócio informação estruturada, clara e consistente em tempo real.
A convergência de perspetivas resume-se então à implementação de dois aspetos: terminologia e entendimento do que é crítico para o negócio.
São eles a compreensão comum da gestão do risco e a atenção às exigências do negócio. Os controlos de segurança implementados não devem ser desenvolvidos apenas para criar resiliência ao risco de segurança, mas sim para atender às exigências do negócio.
Uma abordagem ideal seria o equilíbrio entre custo, segurança e capacidade de resposta ao risco por parte das organizações.
Carla Zibreira, Head of Consulting na S21Sec Portugal
Sobre a S21Sec
A S21Sec é um dos principais players europeus de cibersegurança, com mais de 500 especialistas e 10 escritórios e um MultiSOC global distribuído em 4 locais físicos. Fundada em 1988, a S21Sec trabalha com os seus clientes globalmente para permitir a transformação dos seus negócios, gerindo os seus ciber riscos e protegendo as pessoas e os ativos dos seus clientes. A S21sec cobre as necessidades das organizações em toda a framework do NIST, desde a definição da sua estratégia de cibersegurança até à resposta aos incidentes mais complexos de cibersegurança.
Este conteúdo patrocinado foi produzido em colaboração com a S21Sec Portugal.
