Profissionais da área precisam de habilidades comportamentais para sair da abordagem puramente técnica e inserir segurança em discussões estratégicas
Novas ameaças e ataques cibernéticos surgem aos montes todos os dias e não é exagero dizer que mais cedo ou mais tarde, inevitavelmente, sua empresa será atingida, como sugere o estudo “Allianz Risk Barometer 2022”. Diante do risco iminente, em um contexto de crimes digitais cada vez mais sofisticados, há uma questão que não vem sendo debatida com a importância que merece: qual o papel dos líderes de Segurança da Informação, o chamado CISO (Chief Information Security Officer), na gestão da organização?
Tradicionalmente, o CISO é visto dentro da corporação e pelas lideranças do board executivo como um profissional meramente técnico, afinal esse é um cargo que surgiu dentro da área de TI (Tecnologia da Informação). No entanto, se o ataque cibernético é algo inevitável, questão de “quando” e não de “se”, o principal desafio do CISO é sensibilizar os líderes corporativos de que há uma série de pontos que antecedem o ataque em si, e que é crucial desenvolver um plano de segurança digital que acelere o tempo de resposta quando o ataque acontecer. Se o CISO não for capaz de traduzir essa mensagem para o board executivo, adequando a linguagem técnica ao mundo dos negócios, a área de Segurança da Informação seguirá sem a devida importância na corporação, com clara vulnerabilidade digital e riscos à reputação da marca.
Habilidade de comunicação do CISO e visão estratégica passam a ser tão importantes quanto conhecimento técnico
De acordo com o estudo “Cybersecurity Workforce Study 2021”, publicado pela renomada entidade (ISC)2, uma forte habilidade de comunicação é uma das mais importantes competências para os profissionais, portanto desenvolver a habilidade de comunicação passa a ser fundamental para CISOs que desejem sair do lugar-comum e realmente inserir a segurança digital no cerne do negócio. A demanda por essa competência comportamental torna-se cada vez mais necessária para que o profissional de segurança da informação possa transmitir as mensagens corretas para as lideranças da empresa em vez de falar o “tecniquês” de bits and bytes, ransomware ou outros malwares.
Junto com a habilidade de engajar e se comunicar bem, vem a visão estratégica de negócios que o CISO precisa desenvolver. Ele realmente tem que se preparar para conhecer o negócio a fundo, alinhar-se ao negócio e à realidade da empresa, entender os processos e como eles são executados na prática. Esse ponto é especialmente válido quando se fala de fraudes digitais. A fraude, diferente do ataque cibernético, não tem a ver apenas com aspectos técnicos e computacionais relacionados a falhas de programação na aplicação, mas com falhas funcionais nas regras de negócios. Daí a importância fundamental de o CISO entender e ter muito bem mapeados os processos de negócios, a fim de traçar estratégias que minimizem as chances de criminosos encontrarem brechas.
Pode haver detratores do CISO dentro da própria empresa!
Mapeando processos e ameaças e apresentando ao board um plano a partir de uma perspectiva de negócios, certamente o CISO terá mais chances de ganhar a confiança das lideranças corporativas e conseguir o budget de que necessita. Não é uma jornada fácil, no entanto, e o CISO precisará de muita perseverança para pavimentar esse caminho. Terá que convencer líderes-chave, como o CIO e o CFO, por exemplo, criando alianças que o permitam ter voz ativa junto ao board executivo. O CISO também precisa estar ciente de que poderá haver detratores dentro da própria empresa, executivos que vão menosprezar a área de Segurança da Informação por desconhecimento, por não querer liberar budget ou até por receio de que as vulnerabilidades de sua área específica sejam descobertas e trazidas à tona. O CISO não pode recuar diante dessa resistência e, de forma diplomática, porém firme, tem que se posicionar junto ao board da empresa, munido de provas, estudos e planos.
Segurança da Informação precisa ganhar mesmo status da área de Experiência do Cliente
Os líderes que comandam a área de user experience atualmente contam com investimentos robustos em tecnologia, processos e pessoas, pois já é incorporado à mentalidade das empresas que oferecer uma boa experiência ao cliente é um diferencial competitivo para o negócio. A área de Segurança da Informação precisa alcançar esse mesmo status e é papel do CISO se encarregar de mostrar à liderança executiva da companhia que a segurança digital está intimamente ligada à experiência que será proporcionada ao cliente. Imagine, por exemplo, um cliente de uma empresa X ter seus dados fraudados. O tamanho do prejuízo relacionado à imagem da marca pode ser gigantesco!
Para colocar tudo isso em prática, é essencial que o CISO moderno saia da seara puramente técnica e aprenda cada vez mais a falar a língua dos negócios, desenvolvendo competências de comunicação, negociação, visão estratégica, perseverança e persuasão. Assim, quando o ataque cibernético acontecer, o tempo de resposta será mais rápido, o estrago será minimizado e o mercado terá a percepção de que aquela empresa cuidou de sua reputação com uma boa política de segurança. Não é simples, pois esse é um desafio que propõe uma mudança cultural na forma como a segurança digital é encarada, mas a hora de fazer acontecer é agora.
* Ilton Duccini é CEO da Leadcomm
