Tem muita coisa mudando no cenário da segurança da informação, e isso inclui o tão aguardado momento no qual a alta diretoria das empresas começam a entender — a passos lentos, mas chegaremos lá — a criticidade dessa ciência para a resiliência de seus negócios. Foi necessário passarmos pela turbulência da transformação digital acelerada dos últimos anos para que a mentalidade de alguns boards fosse atualizada.
Mas não pense que essa mudança cultural aconteceu do dia para a noite e muito menos que ela está no nível de maturidade ideal que todos nós desejamos atingir. Ainda há muitos desafios e, se há uma régua que podemos usar para mensurar esse avanço de forma simples, basta nos apoiarmos em um rápido estudo feito pelo aclamado jornalista estadunidense Brian Krebs, referência na editoria de cibersegurança.
Recentemente, Krebs analisou os sites corporativos de todas as corporações que ostentam um lugar na Fortune 100 (lista da Forbes que prestigia a cem empresas mais lucrativas dos EUA) e descobriu uma triste estatística: de todas elas, apenas cinco listam um executivo de segurança (CSO ou CISO) na página de liderança corporativa, colocando-os no mesmo patamar de outros grandes diretores de cargos, digamos, mais “convencionais”.
E no Brasil?
Como bem pontuado pelo jornalista, uma das causas para tal fenômeno pode ser o fato de que, nos organogramas atuais, na maioria das vezes, o CISO ou CSO reporta diretamente para um líder técnico (geralmente o CTO), e não para a presidência geral. Porém, a falta dessa “cadeira” extra na mesma mesa dos outros diretores impede que as preocupações com riscos cibernéticos e esforços pela privacidade tenham uma importância igualitária no planejamento de expansão e continuidade dos negócios.
Vale lembrar que, embora o levantamento diga respeito à Fortune 100, que trata exclusivamente de empresas estadunidenses, o cenário não parece muito diferente aqui no Brasil. Em uma rápida checagem, a Eskive visitou o site de seus clientes — atuais e antigos —, e encontrou a imagem do diretor de segurança da informação na estrutura organizacional em apenas quatro delas. Claro que isso não é um panorama tão apurado, mas não deixa de ser um indício de que o cenário se reflete em nosso país.
Um problema sensível a ser resolvido com urgência
E por qual motivo isso acontece? Culpar a falta de preocupação da diretoria em relação a assuntos relacionados com segurança da informação é sinônimo de inocência. A verdade é que existem várias barreiras para elevar o cargo do CSO/CISO às reuniões do board, incluindo o “clash” de comunicação entre esses diferentes tipos de executivos. Comunicar adequadamente as necessidades e preocupações para a alta diretoria é um desafio constantemente citado pelos profissionais da área.
Também existe uma falta de integração entre os indicadores de segurança com os indicadores de crescimento dos negócios, uma falta de visão estratégia da função da cibersegurança e uma falsa crença de que o departamento, por si só, é o início, o meio e o fim, não necessitando de um apoio verticalizado da empresa. Como comentamos recentemente, isso vai de contramão com a criação de uma cultura de segurança human-centric, e não “top-to-down”.
É perigoso palpitar quando esse cenário finalmente vai se alterar; porém, ele precisa mudar, e rápido. Caso contrário, os esforços técnicos e humanos na proteção da informação jamais terão tanto impacto quanto poderiam ter. Trata-se de um trabalho em conjunto, minucioso, que exige tanto esforços dos CISOs/CSOs quanto de sensibilização de outros departamentos da empresa. Só assim chegaremos ao cenário ideal no qual não apenas os riscos internos, mas também os humanos, terão a devida atenção e sua mitigação estarão integradas com os planos de negócio.
Vamos conversar e entender como podemos, juntos, mudar esse panorama?