Conscientização

7 maneiras de convencer a alta gestão sobre a importância da segurança da informação

A segurança da informação é um tema tratado em reuniões de sua empresa? Saiba trazer esse assunto como uma das pautas da alta gestão.

Priscila Meyer

Priscila Meyer

Priscila Meyer

Não é raro ouvir relatos de CSOs que estão preocupados com a conscientização da alta administração a respeito da segurança da informação, principalmente em relação às ameaças. Nos últimos anos, cresceu a frequência de ataques e se elevou tanto seu aprimoramento quanto a sofisticação das técnicas.

Segurança da informação

Em princípio, a tecnologia e a segurança da informação deixaram de ser assuntos unicamente técnicos, exclusivos à área de TI. Começando a englobar diversas áreas, operações, negociações e colaboradores, direta ou indiretamente.

Contudo, ao tornar a segurança da informação uma medida estratégica de negócio, executivos têm condições de universalizar e integrar os esforços, ao passo que mantêm frequente o monitoramento de processos e controles.

Assim sendo, havendo incidentes ou ataques, a alta gestão já tem a qualificação e a preparação para solicitar relatórios sobre a gravidade dos cenários. Além do mais, isso pode auxiliar na tomada de decisões mais adequadas.

No entanto, como promover a conscientização em segurança da informação de forma a fomentar a relevância do tema? Como tornar esse assunto, pauta na agenda dos conselhos de administração? 


 

Selecionamos alguns pontos que podem ajudar:

1. Falando sobre os riscos

Executivos lidam com a análise de riscos na maior parte do tempo, fazendo parte de suas atribuições. Sendo assim, trazendo ao seu entendimento a ameaça cibernética, deve-se traduzir os riscos e seus possíveis prejuízos financeiros e à reputação da organização.

O assunto da desmoralização, desconfiança, perda de valor de mercado e impactos a curto, médio e longo prazo, poderão reverberar mais forte no universo executivo, estabelecendo dessa forma, um canal de comunicação com a alta gestão, além de fazer a cibersegurança estar presente em toda a cadeia de processos e decisões.

2. Razões para investir

A adoção de práticas de governança para a segurança da informação pode elevar a imagem da organização e trazer credibilidade e reputação perante investidores, sócios e mercado em geral. Além da chance de valorização do seu papel na bolsa.

O relatório Cybersecurity Ratings and Stock Performance divulgado em 2020 pelo Journal of Cyber Policy, mostra a existência de uma conexão entre a postura de segurança cibernética de uma empresa e o desempenho de suas ações.

À medida que as ameaças cibernéticas se transformam e aumentam, o impacto de ataques cibernéticos e violações de dados evidencia à equipe executiva, a necessidade de haver maior equilíbrio entre os investimentos em segurança cibernética e os investimentos já direcionados às outras áreas do negócio.

3. Redução nos custos

O mapeamento de dados, a análise de riscos e a adequação jurídica necessária, tal qual definido pela legislação como a LGPD, pelos órgãos reguladores e auditorias, quando devidamente integrados aos procedimentos organizacionais, têm o potencial de reduzir a ocorrência de multas. Assegurando assim, a integridade da propriedade intelectual e diminuindo o valor de contratação de seguros.

Sabendo que ameaças, ataques e o impacto que representaria às organizações, às pessoas e até mesmo aos países, a implementação de medidas estratégicas que diminuam a probabilidade de sucesso são inevitáveis. É necessário parar de considerar apenas como um custo e passar a enxergar como investimento.

4. Posição privilegiada

Conhecer mais a fundo áreas e atividades sensíveis, compartilhar informações tanto interna como externamente, inclusive de forma estratégica com outras organizações. O que proporciona ao alto comando uma posição privilegiada.

Para isso, é necessário aos executivos contato multidisciplinar e constante, por meio da colaboração e monitoramento. Além disso, é importante envolver todas as áreas e gestões detentoras de informações altamente valiosas.

Não é sobre a alta gestão tornar-se especialista em segurança da informação, mas, usar sua posição para agir de forma responsiva e coordenada. Porém, sempre assegurando o alinhamento da organização e seus colaboradores.

5. Segurança e responsabilidade dos executivos

Uma pesquisa da Bitdefender "Hacked Off!" de 2019 envolvendo mais de 6.000 profissionais de segurança da informação em todo o mundo, trouxe um dado alarmante: 57% dos entrevistados disseram que os principais executivos possuem menor probabilidade de cumprir políticas de segurança da informação.

O efeito desses golpes sobre cargos executivos têm potencial destrutivo, seja para sua carreira ou para o destino da organização. Aliás, por possuir tantos interesses e responsabilidades em jogo, e ser decisivo agir ativamente, é crucial à alta gestão, estar capacitada a seguir medidas preventivas.

Além de estar inteirada sobre ameaças e seus métodos, sobre processos e seus riscos.

6. Tenha posicionamento de líder e não de técnico

Quando o assunto é a abordagem técnica, o setor de TI é o principal responsável. Aos gerentes cabe a “tradução” do que representa à organização investir no aprimoramento da segurança da informação e na conscientização do quadro executivo.

Combinando conhecimentos sobre tipos de ataques, as áreas e informações mais sensíveis, medidas e procedimentos a serem seguidos e reforçados, os gerentes devem ser capazes de explicar claramente questões complexas aos executivos. 

Assim mostrando, que perdas financeiras são apenas um dos prejuízos possíveis.

7. Adote programas de conscientização periódicos

O desenvolvimento, manutenção e constante atualização de uma cultura de boas práticas de segurança facilita a adesão dos colaboradores e lhes permite saber sobre práticas de segurança. 

Além disso, é interessante contratar um guia procedimental para que ele veicule no dia a dia, executando a conscientização e promovendo a educação sobre os riscos associados à segurança da informação. Dessa forma, o tema sempre permanece na pauta.

Além disso, o engajamento de executivos e colaboradores sobre cibersegurança faz com que organizações apresentem menor ocorrência de incidentes. Por outro lado, as que não fazem o devido investimento, sofrem prejuízos incalculáveis.

Enfim, nem sempre é a mais fácil das tarefas, levar ao conhecimento e apreço dos executivos esse tipo de assunto.

Trata-se de um esforço paciente que, envolvendo trabalhos de médio e longo prazo, exige o envolvimento dos setores executivos para a eficiência da gestão dos incidentes de violação na segurança.

Não se trata de tornar a alta gestão um perito no assunto, mas, hábil o suficiente para saber lidar de forma proativa, global e colaborativa, tanto na prevenção contra ameaças, como na ação rápida quando um incidente ocorrer.

Por fim, a relação entre a alta gestão e a segurança da informação não é apenas decisiva para o sucesso, mas fundamental às organizações que desejam, tanto adquirir maturidade perante os desafios atuais quanto corresponder às demandas de uma realidade cada vez mais interconectada.

Obrigada pela leitura!

Últimos artigos

Semana da Segurança da Informação Eskive

Semana da Segurança da Informação Eskive

A importância das ações de impacto para engajar e conscientizar os usuários.

Sobrevoo: conexões entre o Normativo SARB 025/2021 da Febraban e a LGPD.

Sobrevoo: conexões entre o Normativo SARB 025/2021 da Febraban e a LGPD.

Sobrevoo: conexões entre o Normativo SARB 025/2021 da Febraban e a LGPD.

Como os profissionais de cibersegurança lidam com a pressão cotidiana

Como os profissionais de cibersegurança lidam com a pressão cotidiana

O alto volume de alertas de ameaças afeta o desempenho e a saúde mental de equipes de segurança cibernética