O futuro do CISO nas organizações

Desde a criação da posição de Chief Information Security Officer (CISO) dentro das organizações há mais de uma década que o cargo fica situado algures entre a equipa de IT e o board.

Com a crescente importância da cibersegurança, é normal que se discuta qual é a posição do CISO dentro da organização. As empresas são cada vez mais digitais, têm uma superfície de ataque cada vez maior e as ameaças são, também elas, cada vez maiores e mais impactantes para o negócio

Enquanto o papel do CISO pode não ter sofrido uma grande mudança nos últimos anos, a perceção da sua importância dentro das organizações e para o negócio mudou. Entre as grandes empresas, já são poucas as que não contam com alguém dedicado para a segurança da informação da organização.

As empresas têm vindo a digitalizar os seus ativos e, com essa digitalização, a importância de os proteger torna-se cada vez mais importante. Depois, as notícias de grandes empresas – algumas tecnológicas – que foram vítimas de ataques cibernéticos e que viram a sua informação exposta na web aumenta a necessidade interna de proteger os seus sistemas – até para que o nome da sua empresa não figure entre a lista de organizações que sofreu uma fuga de dados massiva.

Na luz da ribalta

O relatório “The Future Of The CISO” da Forrester Research indica que o cargo do CISO “evoluiu de um líder de equipa ignorado e subestimado e passou a tornar-se, em muitos casos, um membro vital e envolvido da equipa executiva”.

A atenção dada pelas organizações coloca o CISO cada vez mais no centro das atenções não só dos investidores, mas também dos clientes. Por outro lado, esta atenção repentina e a falta de entendimento do que é a segurança pode diminuir o papel do CISO, tornando o profissional “mais num artista do que num líder”, refere a Forrester Research.

Este tipo de CISO é um “executivo de segurança simbólico” que é chamado para “discutir segurança, ética e privacidade quando é conveniente”, mas internamente ainda “enfrenta obstáculos” e a “falta de adesão das partes interessadas”.

Quando assim é, o CISO “concentra-se na promoção da cibersegurança como um tópico moderno, interna e externamente”, mas “não lidera a transformação da segurança”, não protege a organização, nem defende a marca.

Bode expiatório

No entanto, ser a cara da segurança de uma organização nem sempre é positivo; em caso de uma fuga de informação ou de uma violação de segurança, também é automaticamente o culpado.

A cibersegurança a nível corporativo é uma iniciativa de várias partes interessadas, mas, ao tornar-se o rosto da cibersegurança para uma empresa, faz com que o CISO seja automaticamente o bode expiatório, danificando a reputação do profissional e do papel dos CISO como um todo.

Futuro do cargo

Para além destes dois tipos de CISO, a Forrester Research refere outros tipos de líderes de segurança dentro das organizações.

Um deles é o CISO que já não tem contacto diário com a sua equipa e que já não sabe exatamente o que é que as suas equipas precisam para atingir o sucesso e os objetivos propostos.

Um outro tipo de CISO é aquele que no papel é, de facto, o CISO, mas quem manda é outro líder mais poderoso dentro da organização. Por norma, esta situação acontece com executivos que adotam o papel pela primeira vez; que ganham o título, mas não a autoridade dentro da empresa.

Se os líderes de segurança permitirem que estas e outras situações aconteçam, ignorando o que efetivamente está em jogo ao mesmo tempo que fazem más escolhas ou falsas promessas que não correspondem à sua autoridade real dentro da organização, o CISO estará condenado ao fracasso.

Por outro lado, os líderes de segurança devem apostar naquilo para o qual foram contratados e defender a informação da sua empresa. Dentro das organizações, o CISO pode – e deve – informar quais as decisões para a organização em termos de segurança, em que atividades externas deve estar envolvido e qual a autoridade esperada e exigida internamente para fazer promessas externas.