Um dia na vida de um líder de segurança cibernética alinhado ao negócio

O futuro pertence aos líderes de segurança cibernética que conseguem alinhar seus objetivos com a compreensão dos riscos ao negócio. A seguir, veja oito ações diárias que você pode incorporar para chegar lá.

Eu trabalho com segurança cibernética há 20 anos. Trabalho na parte técnica, realizando testes de penetração e análise de malware. Executo programas de detecção de invasão e centros de operações de segurança e fui responsável pela política e conformidade de todos esses componentes. Na minha atual função na Tenable, administro o relacionamento com fornecedores de 40 ferramentas de segurança, e posso afirmar em um nível razoável de detalhamento o que cada uma dessas ferramentas faz diariamente e como está seu desempenho. Posso mencionar uma lista de todas as vulnerabilidades em que aplicamos patches (e em quais sistemas) nos últimos 30 dias. Mas, sempre que eu converso com os executivos de negócios da diretoria e do conselho, na minha função atual ou em organizações anteriores, nada disso importa.

No fim das contas, sempre me fazem uma simples pergunta: "Qual é nosso nível de segurança?". E, por 20 anos, chegar a uma resposta expressiva para essa pergunta continua sendo uma dificuldade. 

Neste ano, a Tenable contratou a Forrester Consulting para conduzir um estudo com mais de 800 líderes de negócio e de segurança cibernética em todo o mundo para descobrir o porquê. O resumo é o seguinte: existe uma desconexão crônica entre a segurança cibernética e os negócios, agravada por limitações em tecnologia, processos e dados disponíveis para os líderes de segurança.

Porém, estaríamos equivocados se deixássemos de considerar também os fatores humanos que estão no cerne da desconexão.

O negócio como um segundo idioma

CISOs e outros líderes de segurança cibernética são participantes exclusivos da diretoria executiva. Precisamos ser igualmente fluentes nas linguagens de tecnologia e de negócio. No entanto, diferentemente dos nossos colegas do financeiro ou de vendas, que podem ter um mestrado em administração ou outros títulos acadêmicos semelhantes, muitos líderes de segurança cibernética têm formação técnica, como ciência da computação. Normalmente, nós galgamos a hierarquia técnica da organização, o que nos coloca em desvantagem imediata quando finalmente chegamos a um cargo gerencial sênior ou de alta gestão. 

A tecnologia é a nossa primeira linguagem, a língua nativa. As ferramentas e os processos que nós usamos são todos baseados na linguagem da tecnologia, gerando resultados que podemos articular claramente na nossa língua nativa. A maioria de nós aprendeu a falar razoavelmente a linguagem de "negócios como segunda língua", mas uma desconexão permanece, em parte, porque as ferramentas e as estruturas de que precisamos para fazer o nosso trabalho não têm tradução fácil.

"É saber como traduzir várias coisas com que nos deparamos da perspectiva de segurança e torná-las compreensíveis para o negócio", afirmou Rick Vadgama, VP e CISO de uma plataforma global de viagens online, em uma entrevista para a Tenable. "Existem muito profissionais de InfoSec que certamente entendem quais são as vulnerabilidades ou as explorações, mas não sabem traduzi-las para que um empresário comum possa entender. Ou seja, não sabem como deixá-las compreensíveis."

Vadgama, que se formou em economia e contabilidade na faculdade e ocupou cargos administrativos no início de sua carreira (antes de perceber que não era sua vocação e mudar para TI), disse que sua formação diversificada o auxilia na função atual. "Eu entendo o aspecto do negócio. Eu entendo as finanças. Então, como galguei a hierarquia de TI e trabalhei em várias funções, como diretor de TI, administração de redes e gestão de grupos de desenvolvimento, também tenho contexto dessas funções. Então, quando passei para a segurança, já tinha esse contexto e esse conhecimento, eu sei como transpor o abismo entre a equipe técnica e os empresários."

Para os líderes de segurança cibernética que progrediram na hierarquia técnica, Vadgama tem o seguinte conselho: "Saia da área de segurança e vá trabalhar em algumas outras funções por um tempo para que você entenda como administrar um grupo ou negócio; depois, volte para a InfoSec."

Faz parte do trabalho

Um trabalho do SANS Institute de 2003 articulou os desafios, que permanecem atuais nos dias de hoje: "As responsabilidades [do CISO] são diferentes das atribuições de todos os demais diretores; nem os CIOs têm esse escopo".

O trabalho do SANS detalha algumas das responsabilidades mais importantes assumidas pela maioria dos CISOs: 

• Atua como representante da organização no que diz respeito a consultas de clientes, parceiros e do público em geral relacionadas à estratégia de segurança da organização.
• Atua como representante da organização ao lidar com órgãos policiais enquanto busca as fontes de ataques à rede e roubo de informações por funcionários.
• Equilibra as necessidades de segurança com o plano estratégico de negócios da organização, identifica os fatores de risco e define as soluções para ambos.
• Desenvolve políticas e procedimentos de segurança que forneçam proteção adequada às aplicações de negócios, sem interferir nos principais requisitos do negócio.
• Planeja e testa respostas a violações de segurança, incluindo a possibilidade de discutir a ocorrência com clientes, parceiros ou o público em geral.
• Supervisiona os testes de seleção, a implementação e a manutenção de produtos de hardware e software de segurança, bem como os acordos terceirizados.
• Supervisiona uma equipe de funcionários responsáveis pela segurança da organização, que vai de técnicos de rede que gerenciam dispositivos de firewall a guardas de segurança.

Dado o escopo complexo da função, pode ser difícil decidir onde priorizar seu tempo em um dia normal. A maioria de nós prefere viver na zona de conforto técnico representada acima pelos três últimos itens, passando o dia se planejando para incidentes e supervisionando operações projetadas para minimizar essa probabilidade. 

Contudo, ficar na nossa zona de conforto não deixará nenhum de nós mais seguro. De acordo com o estudo da Forrester "A Ascensão do Executivo de Segurança Alinhado ao Negócio", 94% das organizações sofreram um ataque cibernético que afetou o negócio nos últimos 12 meses, resultando em pelo menos uma das seguintes opções: perda de dados de clientes, de funcionários ou outros dados confidenciais; interrupção das operações diárias; pagamento de ransomware; perda ou roubo financeiro; e/ou roubo de propriedade intelectual. Além disso, a maioria dos participantes (77%) tem a expectativa de que os ataques cibernéticos aumentarão nos próximos dois anos.

O estudo também descobriu que 66% dos líderes de negócios têm, no máximo, apenas um pouco de confiança na capacidade da equipe de segurança de quantificar o nível de risco ou segurança da organização. 

Como tornar-se um líder de segurança alinhado ao negócio: oito etapas

Está claro que algo precisa mudar. No papel de líderes de segurança, precisamos encontrar formas de melhorar o alinhamento com o negócio, e isso requer esforços todos os dias. É preciso prestar atenção em como você prioriza seu tempo para garantir que as operações sejam estruturadas de forma a permitir tempo suficiente para focar no alinhamento do negócio.

"O aspecto mais importante para se tornar um líder de segurança cibernética alinhado ao negócio é agregar valor ao negócio e criar um ciclo de envolvimento de copropriedade", afirmou José Maria Labernia Salvador, chefe de segurança de TI e controle interno da LafargeHolcim IT EMEA em Madri, em uma entrevista para a Tenable. "Também é muito importante que a missão e a visão estejam de acordo com o negócio. É preciso estabelecer um relacionamento de confiança e parceria para garantir que um canal direto seja estabelecido."

De acordo com Vadgama, fazer um esforço para construir relacionamentos de confiança em toda a organização é fundamental. Na empresa atual, a chance de participar do comitê de privacidade da organização deu a ele a oportunidade de colaborar com líderes da equipe jurídica, de gerenciamento de produto e engenharia, entre outras. Mas, mesmo sem um comitê formal, é possível fazer contatos e conectar-se em toda a organização.

"Não é apenas se reunir com a equipe de TI", diz Vadgama. "É também se reunir com engenharia, marketing, vendas etc. e construir esses relacionamentos. Dessa forma, quando encontramos alguma coisa que dependam de ações dessas equipes, eu só preciso entrar em contato e a reação deles é positiva, e estão cientes de que precisam cuidar do problema."

Seguem oito práticas que você pode incorporar na sua rotina para iniciar o caminho certo para um futuro alinhado ao negócio:

1. Reserve um tempo todos os dias para analisar os documentos externos da sua empresa. Preste atenção ao que os executivos da organização estão comunicando em declarações financeiras, comunicados à imprensa, artigos de notícias, sites de redes sociais e fóruns do setor.
2. Agende um horário com os executivos da linha de negócios para entender seus desafios do dia a dia e estabelecer um relacionamento. Saiba como o desempenho deles é medido. Ajude-os a ver a segurança como uma facilitadora de suas necessidades de negócios, e não um impedimento. Dessa forma, é mais provável que você seja envolvido mais precocemente em seus planos estratégicos.
3. Cultive um conhecimento prático das prioridades e dos desafios enfrentados pelas organizações do seu setor. Participe de associações comerciais ou outras organizações profissionais, leia artigos business-to-business em jornais comerciais, participe de webinars e de outros eventos do setor. Ao fazer isso, você desenvolverá um vocabulário ativo e perspectivas importantes para ajudar a alinhar melhor suas iniciativas de segurança às necessidades de negócios exclusivas da organização.
4. Programe conversas regulares com os executivos da diretoria e use esse tempo para entender as maiores preocupações deles. Somente depois de entender os problemas mais amplos do negócio, você poderá começar a entender holisticamente o que realmente significa "risco" para a organização.
5. Use as análises trimestrais do negócio como uma grande oportunidade de aprendizado. Ouça atentamente as prioridades estratégicas e os problemas apresentados pelos colegas e considere os fatores externos que os influenciam. Preste atenção em como cada executivo demonstra o retorno sobre seus investimentos e encontre formas de adaptar suas próprias métricas de ROI de segurança de acordo.
6. Desenvolva uma rede de consultores de negócios de confiança. Envolva mentores de todo o espectro do negócio para oferecer orientações e ser um porto seguro para ajudar a refinar sua comunicação de modo que se torne mais adequada ao negócio.
7. Desenvolva um relacionamento com os profissionais de risco da organização. A segurança cibernética é um risco por si só e um fator em todas as outras conversas sobre riscos ao negócio. Descubra como você pode participar efetivamente no desenvolvimento de estratégias de gerenciamento de riscos corporativos que mantêm o mundo cibernético em proeminência.
8. Preste atenção nos relacionamentos com terceiros que ocorrem na organização. Você pode ter um conhecimento prático dos principais relacionamentos, como o processamento da folha de pagamento ou fornecedores de planejamento de recursos corporativos. Mas o quanto de visibilidade você tem das ferramentas e plataformas usadas pela sua equipe da Web ou dos prestadores de serviço e suporte que fazem manutenção e reparos da tecnologia operacional da organização?

Encontrar tempo para tudo o que foi dito acima, além de cumprir com eficácia todos os outros aspectos da sua função, pode parecer uma proposta assustadora. Você não conseguirá fazer tudo isso de uma vez. Escolha uma ou duas que mais interessem a você e comece por elas.

Uma abordagem, disse Labernia, é "começar de cima. Os líderes de negócios tendem a ser muito abertos à discussão depois que compreendem a complexidade e os riscos da atual situação de segurança cibernética. Em seguida, você pode ampliar progressivamente para outras áreas importantes da organização. Tente sair do 'não sei' para 'vou me informar'. Sempre é possível encontrar uma forma de administrar o negócio com segurança depois de entender os objetivos."

Ao fazer a escolha ativa de sair da sua zona de conforto de tecnologia e ficar mais alinhado com o negócio, você não apenas beneficiará a organização, como também aprimorará sua carreira, preparando-se para ocupar aquele almejado "assento cativo" para conduzir as estratégias de risco ao negócio.

Leia a série do blog: Como tornar-se um líder de segurança cibernética alinhado ao negócio

As postagens anteriores desta série focaram nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm dificuldades para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio, discutimos por que as métricas de segurança cibernética existentes são insuficientes para comunicar o risco cibernético, exploramos cinco etapas para alcançar o alinhamento ao negócio e fornecemos uma visão de um dia na vida de um líder de segurança cibernética alinhado ao negócio.

Saiba mais:

• Veja destaques adicionais do estudo aqui.
• Faça download do estudo completo A Ascensão do Executivo de Segurança Alinhado ao Negócio.
• Leia as postagens:
  • Alinhar a segurança cibernética e os negócios: ninguém disse que seria fácil
  • Por que os líderes de segurança cibernética têm dificuldades para responder à pergunta "Até que ponto estamos seguros?"
  • O que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre segurança cibernética e o negócio.
  • Comunicação do risco cibernético: por que as métricas de segurança cibernética existentes ficam aquém
  • Cinco etapas para se tornar um líder de segurança cibernética alinhado ao negócio
• Faça download da publicação técnica O que é necessário para ser um líder de segurança cibernética alinhado ao negócio.
• Leia o ebook Como tornar-se um líder de segurança alinhado ao negócio.
• Ouça a série de podcasts sobre Cyber Exposure: Entrevista com o CSO da Tenable, Bob Huber.
• Veja o webinar A Ascensão do Executivo de Segurança Alinhado ao Negócio.