À medida que a segurança cibernética se tornou uma consideração cada vez mais importante na tomada de decisões corporativas, houve um movimento correspondente para elevar o papel do diretor de segurança da informação (CISO) a um ponto mais alto na hierarquia executiva. O raciocínio parece ser: “Se o ciberespaço é importante, os CISOs devem ser importantes”. No entanto, elevar a função faz com que o CISO seja uma voz solitária no deserto, clamando por “segurança”, com pouca conexão com os tomadores de decisão diários em TI, engenharia ou produtos.
Isso levou a algumas consequências indesejáveis, como o executivo do Facebook que achou que estava tudo bem que as medidas de segurança da empresa causou atrasos de horas em resposta à interrupção de 4 de outubro de 2021, ou o executivo do Uber que pagou hackers que violou o seu sistema, em vez de reconhecer a violação, ou os numerosos CISOs que investiram em “camadas adicionais de segurança” em vez de admitir que inicialmente fizeram escolhas erradas. Em todos estes casos, o isolamento do CISO das unidades de negócios funcionais desempenhou, sem dúvida, um papel no pensamento túnel que estas decisões refletem.
Impacto Organizacional
Talvez seja hora de reimaginar o papel do CISO. Talvez seja melhor ver a importância do CISO refletida no impacto organizacional do que no status organizacional. Talvez incorporar segurança em unidades funcionais resulte em melhor segurança.
Imagine o CISO como parte do ecossistema da organização de TI. Estariam envolvidos em todas as decisões sobre a infra-estrutura e as preocupações de segurança seriam parte integrante dessas decisões, em vez de serem abordadas posteriormente. Isto permitiria um conjunto de soluções de “segurança” baseadas na forma como a rede é estruturada e gerida, em vez de capacidades especiais de segurança inseridas na infra-estrutura por um grupo externo.
Imagine um especialista em segurança integrado na organização de desenvolvimento de software. Eles seriam capazes de refinar o processo de desenvolvimento para garantir que o código fosse escrito e testado tendo em vista a segurança, sem sobrecarregar os desenvolvedores com processos que lhes são estranhos, reduzindo assim as vulnerabilidades no código da empresa. Imagine um especialista em segurança integrado em linhas de produtos. Eles seriam capazes de garantir que a infraestrutura corporativa protegesse seu IP e que seu processo de desenvolvimento reduzisse as vulnerabilidades em seus produtos.
Em todos esses casos, a segurança torna-se um fator nas decisões corporativas baseadas na realidade das operações corporativas. A experiência técnica do CISO torna-se parte integrante do trabalho diário, em vez de uma restrição imposta a ele. Da mesma forma, a segurança e a conformidade precisam funcionar perfeitamente para que os sistemas financeiros e as comunicações com parceiros e fornecedores permaneçam seguros. Isso se estende a sistemas de telecomunicações e outros hardwares.
O fator de risco
Esta parece ser uma forma mais impactante de tornar a dimensão técnica da segurança uma voz poderosa na execução da empresa. Contudo, podemos perguntar-nos se isto diminuirá a dimensão política, balcanizando-a para responder aos interesses especiais de unidades funcionais individuais. Esta preocupação pode ser abordada através da expansão do papel do diretor de risco para incluir as funções de política de segurança atualmente desempenhadas pelo CISO.
Isto tem a vantagem de manter a política de segurança no nível C, onde recebe a atenção necessária. Tem ainda a vantagem de ter o risco de cibersegurança considerado no contexto de outros riscos (risco para a disponibilidade, risco para a reputação, para resolver os casos acima). A segurança não seria mais um fim em si mesma, mas uma dimensão dos negócios. Isso não significa que a segurança precise enfrentar outras preocupações e fazer acomodações que comprometam a postura de segurança da organização. Em vez disso, estabelece um ambiente que troca a mentalidade ou/ou por outra que procura satisfazer todos os requisitos.
Existem inúmeras tecnologias de controle de acesso que teriam protegido o Facebook de forma eficaz, sem bloquear o acesso de seu próprio pessoal. Quando o risco de segurança é considerado juntamente com o risco de disponibilidade, surgirão soluções mais pragmáticas.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
