CISO: de protetores da informação a gestores do risco

Ao longo dos tempos, proteger a infraestrutura, monitorizar as ameaças e garantir a integridade dos recursos foram sempre objetivos de segurança. No passado, era necessário que os responsáveis de segurança se preocupassem com a segurança física das fortalezas ou castelos; hoje, naturalmente, já não é assim.

Agora, os Chief Information Security Officers (CISO) desempenham um papel crucial na proteção dos ativos digitais de uma organização. Desenvolver uma estratégia de segurança, gerir os riscos, monitorizar e responder a incidentes, gerir as tecnologias de segurança e interagir com os stakeholders são apenas algumas das responsabilidades que o responsável de segurança moderno tem nas organizações modernas.

Desde 1995, quando Steve Katz – considerado como o primeiro CISO do mundo – foi contratado para a posição de CISO no Citicorp/Citigroup, o mundo mudou muito e a dependência de sistemas e infraestruturas de IT aumentou bastante; a Internet é comummente utilizada e, hoje, uma empresa que não esteja online é como se não existisse. Assim, a necessidade de ter alguém nas organizações que proteja a informação do negócio é cada vez mais importante.

Responsabilidades atuais

Em 2021, numa entrevista com a SecurityWeek, Steve Katz explicou que, quando assumiu o cargo de CISO em 1995, o cargo não era apenas uma posição de IT, mas sim servir o negócio a reduzir o risco.

Nos anos seguintes, e à medida que mais organizações adicionaram à sua estrutura, o CISO reportava ao CIO, ainda que a maioria dos Chief Information Security Officers reconhecesse que a verdadeira natureza do cargo e a perceção do resto da organização nem sempre estavam alinhadas.

Muitas organizações consideraram o CISO como estando no âmbito do IT, com a principal responsabilidade de manter o negócio fora dos jornais por causa de um ciberataque, o que levou a maioria dos CISO a focar-se na gestão de risco e compliance.

Nos últimos anos, e devido ao grande aumento de ciberataques e de riscos que podem interromper os negócios, muitos CISO afirmam que o trabalho que fazem hoje é bastante diferente do passado; o “The CISO Report”, da Splunk, revela que “86% dos CISO afirmam que o seu papel mudou tanto desde que começaram que quase que estão num trabalho diferente”. O mesmo relatório refere que os CISO têm “emergido como estrategistas e líderes de cibersegurança, participando no conselho de administração e aumentando a sua influência nos centros de poder corporativo”.

De acordo com a Splunk, o CISO é o responsável pela segurança geral dos sistemas de informação da organização e que inclui o desenvolvimento e implementação de políticas e procedimentos de segurança; a gestão da equipa de segurança; compreender a atividade da rede e preparar-se para potenciais ameaças; supervisionar a resposta a incidentes e o planeamento de recuperação de desastres; coordenar os esforços de resposta e recuperação quando ocorre uma violação de dados ou de segurança; e reportar à hierarquia designada, que pode ser o CIO, o CEO e até o conselho de administração.

O CISO tem de ser um enabler de negócio e não a pessoa que diz ‘não’. Inicialmente, o CISO focava-se nos controlos de segurança e na implementação desses mesmos controlos, sendo que agora se deve focar em permitir que o negócio avance e ajudar a organização a atingir os seus objetivos de negócio. Numa mesa-redonda em setembro de 2024 da HBS, Patrick Wright, Chief Information Security and Privacy Officer do Estado do Nebraska, defendeu que os CISO devem ser embebidos nos processos de negócio tão cedo quanto possível para que possam dizer “ajudem-nos a ajudar-vos”, uma vez que os CISO “podem permitir que a organização alcance o sucesso de uma maneira mais segura”, o que “beneficia a organização como um todo”.

Os desafios do cargo

Com o intensificar dos conflitos, a instabilidade económica e as novas regulações, os CISO têm cada vez mais pressão dentro das organizações. Hoje, os CISO têm de gerir vários temas diferentes, habitualmente com recursos limitados ao seu dispor.

Um dos desafios é um ambiente de ciberameaças sofisticado, que continua a evoluir tanto em sofisticação como em diversidade. Os ciberataques com recurso a inteligência artificial, exploração de zero- -days e ransomware obrigam a uma monitorização constante das ameaças e adaptação dos mecanismos de defesa.

As alterações regulatórias, especialmente na União Europeia – com a entrada em vigor da NIS2 e a introdução do Cyber Resilience Act, entre outras –, faz com que os CISO tenham de navegar frameworks legais complexas e garantir que as organizações respeitam essas mesmas regulações, sob pena de repercussões legais e, habitualmente, coimas pesadas para o negócio.

Apesar da importância crítica para o negócio, não é habitual a organização disponibilizar o orçamento necessário para a cibersegurança. Assim, os CISO têm de alocar recursos com eficiência, ao mesmo tempo que justificam os investimentos em cibersegurança num ambiente de prioridades organizacionais competitivos.

As tecnologias emergentes – nomeadamente inteligência artificial, computação quântica e 5G – introduzem não só oportunidades, mas, principalmente, vulnerabilidades. Os CISO têm de abraçar os avanços tecnológicos para perceber as suas implicações de segurança e, proativamente, implementar medidas para mitigar os riscos associados.

Potencialmente, um dos principais desafios que os CISO têm de lidar é a escassez de recursos humanos em cibersegurança. Com uma falta de recursos no IT de uma forma geral e em cibersegurança, em particular, os CISO têm dificuldades em recrutar e reter o melhor talento capaz de combater as ciberameaças sofisticadas. A raridade destes recursos humanos impede que a organização consiga construir equipas de segurança robustas.

Influência na organização

Nos últimos anos, o CISO evoluiu “de um líder de equipa ignorado” e tornou-se “um membro vital e envolvido da equipa executiva”, diz a Forrester Research no relatório “The Future of the CISO”.

A atenção dada pelas organizações coloca o CISO cada vez mais no centro das atenções. No entanto, explica a Forrester Research, esta atenção repentina e a falta de entendimento do que é a segurança pode diminuir o papel do CISO, tornando o profissional “mais num artista do que num líder”.

O inquérito “Future of Cyber” da Deloitte Global aponta que 20% das organizações já têm o seu CISO a reportar diretamente ao CEO e não ao CIO, o que indica a expansão da influência do cargo dentro das organizações. Diz o relatório que, “à medida que as ameaças se tornam mais sofisticados e impacta o core business, os CISO têm de adotar um papel mais estratégico”.

O mesmo estudo aponta que a relação entre os CISO e os CEO mostra o papel que a segurança desempenha no sucesso a longo prazo de uma empresa. Escreve a Deloitte Global que, “hoje, os CISO não são apenas protetores contra ameaças externas, mas também intervenientes-chave que ajudam a sua organização a obter sucesso, integrando considerações cibernéticas no processo de tomada de decisão estratégica”.

Futuro do CISO

Durante a IT Security Conference 2024, José Alegria referiu que um bom CISO é “alguém que governa uma doutrina de segurança numa organização”, que implica uma interação constante com os stakeholders, e onde um dos maiores desafios é garantir que o CISO tem visibilidade e suporte adequados dentro da estrutura organizacional. “Se for apenas um chefe de departamento debaixo da estrutura da IT, não tem visibilidade”, afirmou.

Para a SecurityIntelligence, o CISO tem de ter fortes conhecimentos, tanto do lado técnico, como do lado do negócio, e defende que, em vez de ajudar a organização a falar uma “língua comum” em termos de cibersegurança e risco, o CISO vai ter um papel de liderança, assumindo “um papel de liderança mais amplo, controlando a estratégia de cibersegurança para toda a organização.

Com o aumento das ciberameaças e a complexidade dos ciberataques, a Deloitte Global defende que os CISO estão a tornar-se mais influentes junto dos conselhos de administração e de quem decide, efetivamente, no rumo da organização. As empresas reconhecem a cibersegurança como essenciais para a infraestrutura tecnológica, planeamento estratégico e objetivos de crescimento.

Na entrevista que deu à SecurityWeek em 2021, Steve Katz explicou que, “se tivesse conseguido, o título moderno seria Chief Information Risk Officer, em vez de Chief Information Security Officer”, uma vez que “a cibersegurança é uma ferramenta para gerir riscos empresariais. Não é um fim em si mesma”.