A recente condenação de Joe Sullivan, diretor de segurança da informação (CISO) da Uber, por não relatar a violação de dados da empresa em 2016, foi uma surpresa indesejável para alguns e uma consequência justificada das ações de Sullivan para outros.
Como colega CISO e líder de segurança da informação por mais de 30 anos, respeito a distinta carreira de Sullivan e, ao mesmo tempo, apoio totalmente o veredicto. Sullivan se viu em um dilema ético no qual a maioria dos CISOs se encontra mais cedo ou mais tarde. A maneira como um CISO decide lidar com esse dilema pode impulsionar ou destruir sua carreira.
Quais são as responsabilidades de um CISO?
O papel e as responsabilidades do CISO estão em constante evolução e são examinados ainda mais, graças à crescente publicidade em torno de grandes violações, como a observada no Uber.
Para CISOs considerando o que esses eventos recentes significam para eles, é um momento adequado para fazer três perguntas importantes.
1) Como CISO, qual é a minha responsabilidade quando há uma violação de dados?
Embora o julgamento do Uber possa ter colocado o papel do CISO em um foco mais nítido, não acho que isso mude a responsabilidade ou responsabilidade associada ao papel. Quando ocorre uma violação, a responsabilidade do CISO é clara: ser transparente e fornecer todas as divulgações necessárias. Às vezes, essas divulgações são exigidas por órgãos reguladores e, às vezes, são consideradas apenas uma divulgação responsável pela empresa para seus constituintes.
Não sei se a primeira reação de Sullivan foi tomar as medidas corretas e denunciar a violação conforme exigido por lei. Considerando sua longa carreira, certamente espero que tenha sido esse o caso. Dito isso, dependendo da estrutura de relatórios dentro da empresa, muitos CISOs podem não ter a palavra final sobre se a empresa divulgará a violação. Como costuma acontecer, o CISO pode ser anulado e pressionado a encontrar uma maneira de reformular a violação como algo diferente de uma violação. Essa reformulação pode ajudar a empresa a evitar possíveis consequências negativas, incluindo multas regulatórias, custos de remediação (por exemplo, prestação de serviços de monitoramento de crédito a clientes afetados) e impacto na confiança do cliente e na reputação da empresa.
Uma violação é, corretamente, vista como uma falha da empresa em proteger os dados que foram violados. Em última análise, também pode ser visto como uma falha do CISO. Isso levanta as velhas questões: onde termina a responsabilidade? E quem assume a responsabilidade final pela violação? Independentemente disso, não é algo simples para uma empresa admitir ou divulgar.
O dilema ético do CISO é: mantenho a integridade de minha função e sigo minha responsabilidade? Ou tento reformular o incidente para que minha empresa não arque com as consequências?
Eu gostaria de pensar que, se eu estivesse no lugar de Sullivan, estaria disposto a renunciar ao meu cargo em vez de trair a integridade do meu papel e, francamente, a confiança dos meus eleitores. Parafraseando o presidente dos EUA, Harry S. Truman, “a responsabilidade pela segurança cibernética termina com o CISO”.
2) Qual é o plano da minha empresa para quando (não se) formos violados?
Como CISO de um fornecedor de segurança, conheço muito bem a motivação e a determinação de agentes mal-intencionados e estados-nação. Eu também entendo as chances que as organizações enfrentam ao serem vítimas de um ataque — as organizações devem assumir que serão violadas. O que você fará quando isso acontecer?
Abordar os piores cenários e ter um plano de contingência em vigor antes que você seja violado pode minimizar as consequências financeiras e operacionais quando isso acontecer. Qual é o custo do tempo de inatividade se um invasor desativar o suporte ao cliente ou a operação da cadeia de suprimentos? Onde seus sistemas são mais vulneráveis? Como você contém o dano e com que rapidez você pode se recuperar? Como você comunica o que aconteceu a seus funcionários, clientes e ao conselho?
O CEO e outros executivos da empresa devem trabalhar proativamente com o CISO para abordar essas questões e desenvolver um plano abrangente que esteja pronto quando ocorrer uma violação. Ação imediata - e honestidade - contam acima de tudo. Mas tal plano só terá sucesso se tiver sido criado, examinado e ensaiado com bastante antecedência.
3) Qual é o meu papel junto ao conselho de administração?
A maioria empresas resilientes se comprometem com a segurança no topo e conduzi-lo por todos os níveis da organização. Isso significa estabelecer uma forte cultura de segurança cibernética com o conselho, bem como com os funcionários. Muitos CISOs podem ter que lidar com os preconceitos dos conselhos que dizem: “isso nunca vai acontecer conosco” ou “vai acontecer de qualquer maneira, então por que investir em segurança cibernética”.
Gerencie o relacionamento CISO como um relacionamento comercial
Uma maneira de os CISOs aprimorarem seu relacionamento com o conselho é servir como ponte entre a tecnologia e os negócios. Precisamos mostrar ao conselho que gerenciamos a segurança cibernética como um risco de negócios e nos alinhamos com o desempenho, crescimento e outras metas de negócios da organização. Certifique-se de usar termos e resultados de negócios, não apenas siglas e conceitos técnicos. Ajude a responder à pergunta “Por que devo me importar com isso?” E se você conseguir obter recursos do conselho, é importante fazer o acompanhamento com um relatório que conecte os recursos solicitados aos resultados de negócios e resultados que se seguiram.
Em minha própria experiência, para ser mais eficaz, é importante que o CISO cultive um relacionamento com os membros do conselho fora das reuniões agendadas regularmente. Isso nos dá a oportunidade de entender melhor o que nossos membros do conselho esperam do CISO e, da mesma forma, começar a educar o conselho. No final das contas, a prática da cibersegurança é sobre o gerenciamento de riscos, mas a verdade é que nunca podemos eliminar o risco completamente. As manchetes diárias sobre violações colocaram todos os CISOs na berlinda. O CISO tem uma tarefa assustadora: ele deve gerenciar a defesa diária de sua organização e, ao mesmo tempo, criar um plano de ação para aquele inevitável ataque futuro. É preciso integridade e honestidade para um CISO liderar com sucesso e prosperar hoje nesta função desafiadora e crítica.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
