Cinco etapas para se tornar um líder de segurança cibernética alinhado ao negócio

Um estudo independente de risco de negócios mostra que, quando a segurança e o negócio estão alinhados com os dados contextuais acordados, os resultados apresentados podem ser comprovados. Veja como chegar lá.

Amigos, a segurança cibernética está em pedaços. Os líderes de segurança estão se afundando em dados. Nós podemos dizer quantas vulnerabilidades existem. Podemos dizer quantos patches foram implementados. Podemos recitar as ameaças mais recentes em verso e prosa. Mesmo com todas essas informações à disposição, a maioria de nós ainda tem dificuldades para responder à pergunta "Qual é o nosso nível de segurança?" com um alto grau de confiança.

Por quê? Porque está faltando uma informação importante: o contexto de negócios.

A equação típica que usamos para calcular o nível de segurança ou risco de uma organização é uma função de ativos, controles de segurança, ameaças e vulnerabilidades. Sem o contexto de negócios — a compreensão dos ativos mais críticos para a proposta de valor fundamental do negócio e os controles de segurança estabelecidos para cada um desses ativos — o resultado de qualquer cálculo de risco de segurança ficará incompleto, na melhor das hipóteses.

Porém, os líderes de segurança não conseguirão compreender o contexto de negócios se trabalharem isolados. Isso exige um nível de alinhamento estratégico entre os líderes de negócio e de segurança cibernética que não existe na maioria das organizações. De fato, um estudo encomendado e realizado pela Forrester Consulting em nome da Tenable mostra uma desconexão significativa entre o negócio e a segurança. De acordo com o estudo, que é baseado em uma pesquisa com 416 executivos de segurança e 425 executivos de negócios, apenas 54% dos líderes de segurança e 42% dos executivos de negócios pesquisados afirmam que suas estratégias de segurança cibernética estão completas ou intimamente alinhadas às metas de negócio. Menos da metade dos líderes de segurança pesquisados consulta líderes de negócios com muita frequência ao desenvolver sua estratégia de segurança cibernética. Ainda pior, quatro em cada dez executivos de negócio raramente ou quase nunca consultam os líderes de segurança ao desenvolver as estratégias de negócio de suas organizações.

"O maior desafio pode ser fazer com que os proprietários de negócios se interessem e entendam que eles devem ser os responsáveis pelos riscos de segurança cibernética", diz José Maria Labernia Salvador, chefe de segurança de TI e controle interno da LafargeHolcim IT EMEA de Madri, em entrevista para a Tenable. "A segurança cibernética é um tópico relacionado ao negócio com um forte componente de TI. A TI pode apoiar e orientar, mas as partes interessadas de negócios e a alta gestão são um componente central da equação."

O estudo da Forrester mostra que, quando o negócio e a segurança estão alinhados, entregam resultados notáveis. Por exemplo, os líderes de segurança alinhados ao negócio estão:

• Preparados para relatar os riscos e a segurança. O líder de segurança alinhado ao negócio tem oito vezes mais chances do que seus pares mais isolados de estarem confiantes em sua capacidade de relatar o nível de segurança ou risco de suas organizações.
• Prontos para mostrar o ROI de suas iniciativas de segurança. A grande maioria dos líderes de segurança alinhados ao negócio (85%) tem métricas para rastrear o ROI de segurança cibernética e o impacto no desempenho dos negócios em comparação com apenas 25% de seus pares mais isolados e reativos de outras áreas.
• Equipados com um processo definido de análise comparativa. Cerca de nove em cada dez líderes de segurança alinhados ao negócio (86%) têm um processo que articula claramente as expectativas e demonstra melhoria contínua do processo em relação a empresas semelhantes e/ou grupos internos. Apenas 32% dos colegas não alinhados podem dizer o mesmo.

Isso não quer dizer que a responsabilidade pela obtenção do alinhamento recaia diretamente sobre os ombros do líder de segurança. Culturalmente, algumas organizações têm a tendência de criar silos. Independentemente do esforço empregado, se você trabalhar em uma dessas organizações, sempre terá dificuldade para se alinhar com os colegas de negócios.

Se você não sabe ao certo onde sua organização se encaixa no processo de alinhamento, existe uma forma rápida de saber: se houver na sua empresa um executivo com o cargo de Business Information Security Officer, sua organização estará na extremidade mais madura da escala de alinhamento. De acordo com o estudo da Forrester, a grande maioria das organizações alinhadas ao negócio (80%) conta com um BISO (Business Information Security Officer) ou cargo semelhante, em comparação com apenas 35% de seus concorrentes menos alinhados.

Como tornar-se um líder de segurança cibernética alinhado ao negócio

Se você tiver a sorte de trabalhar em uma organização em que o alinhamento cibernético-negócio já está relativamente maduro, seu caminho para se tornar um líder de segurança alinhado ao negócio será bastante claro, mesmo que a jornada ainda requeira um esforço considerável. Mas, se você trabalhar em uma organização localizada na extremidade inferior da escala de maturidade de alinhamento, sua jornada será bem mais desafiadora. Como não existe uma abordagem única para todos, adaptei as diretrizes a seguir em três opções baseadas no nível de maturidade do alinhamento, na esperança de que uma delas apresente um ponto de partida que funcione para você.

Cinco etapas para melhorar o alinhamento com as partes interessadas do negócio em cada nível de maturidade organizacional

Fonte: Tenable, setembro de 2020

Independentemente de onde sua organização se enquadre no processo de alinhamento-maturidade, seguir a recomendação de Kevin Kerr, CISO do Oak Ridge National Laboratory de Oak Ridge, TN é uma decisão sábia. Em uma entrevista para a Tenable, Kerr recomendou:  "O CISO precisa sair de trás de sua mesa, andar por aí e falar com as pessoas. Tomar conhecimento das preocupações e dos objetivos das pessoas em diferentes níveis — de baixo para cima — e entender o que está se passando. Não ouvir apenas à equipe de TI pois, do ponto de vista de TI, ela já está saturada. Ver o que está acontecendo da perspectiva do negócio e ouvir."Claro, na atual pandemia de COVID-19, você pode ter que percorrer essa empreitada virtualmente. Mas, seja pessoalmente ou via Zoom, o esforço beneficiará sua organização e sua carreira. "O seu nome começa a ser mencionado", diz Kerr. "Se as pessoas souberem que você está ali para ajudá-las a descobrir a melhor forma de fazer o que desejam e, ao mesmo tempo, proteger a organização, sua participação será bem-vinda. Eu nunca quis ser aquele que diz não à inovação."

Tornar-se um líder de segurança cibernética alinhado ao negócio é uma maratona, não uma corrida de velocidade. É preciso aprender a falar a linguagem de negócio e de tecnologia com a mesma fluência. Contudo, como o estudo da Forrester observou, "as ameaças de segurança modernas precisam de uma nova abordagem". O futuro pertence aos líderes de segurança que estão prontos para gerenciar a segurança cibernética como um risco ao negócio.

Leia a série do blog: Como tornar-se um líder de segurança cibernética alinhado ao negócio

As postagens anteriores desta série focavam nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm tanta dificuldade para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio, discutimos por que as métricas de segurança cibernética existentes são insuficientes para comunicar o risco cibernético e exploramos cinco etapas para chegar a um alinhamento com o negócio. e fornecemos uma visão sobre um dia na vida de um líder de segurança cibernética alinhado ao negócio.

Saiba mais:

• Veja destaques adicionais do estudo aqui.
• Faça o download do estudo completo A Ascensão do Executivo de Segurança Alinhado ao Negócio.
• Leia as postagens:
  • Alinhar a segurança cibernética e os negócios: ninguém disse que seria fácil.
  • Por que os líderes de segurança cibernética têm dificuldades para responder à pergunta "Qual é nosso nível de segurança?".
  • O que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre segurança cibernética e o negócio.
  • Como comunicar o risco ao negócio: por que as métricas de segurança cibernética existentes ficam aquém?.
• Faça o download da publicação técnica O que é necessário para ser um líder de segurança cibernética alinhado ao negócio.
• Leia o ebook: Como tornar-se um líder de segurança alinhado ao negócio.
• Ouça a série de podcasts sobre Cyber Exposure: Entrevista com o CSO da Tenable, Bob Huber.
• Veja o webinar A Ascensão do Executivo de Segurança Alinhado ao Negócio.