Função do CISO “alterou-se drasticamente”

À medida que se inicia 2023, é possível perceber que a função do Chief Information Security Officer (CISO) está a mudar mais do que nunca. Uma vez que a cibersegurança continua a ser uma discussão da responsabilidade da direção, e os riscos de cibersegurança continuam a aumentar, os CISO têm acesso substancial dentro de uma organização, mas também enfrentam uma pressão significativa; quem o diz é Daniel Kwong e Alain Sanchez, Field CISO da Fortinet.

Nos últimos anos, a função do CISO alterou-se drasticamente. Com o aumento dos ciberataques, espera-se agora que os CISO não só protejam os dados, mas também sejam proativos na identificação e prevenção de potenciais ameaças. Além disso, os CISO são, atualmente, e frequentemente, encarregados de desenvolver e implementar estratégias de segurança para toda a organização, e não apenas para o departamento de TI. Algo que, há uma década, era impensável, na medida em que os CISO não eram considerados tão importantes como são hoje.

O recém considerado CISO conta, agora, com um orçamento, uma equipa e o direito de recrutar diretamente. Por vezes, a voz do CISO prevalece sobre a de outros profissionais com mais anos de empresa e mesmo estabelecidos a um nível superior. De facto, ao longo dos últimos anos, a política de teletrabalho, a base de dados colaborativa, os relatórios legais, e mesmo os itinerários de desenvolvimento de aplicações core inovadoras têm sido colocados sob a sua liderança direta.

Kwong e Sanchez defendem, também, que a função mudou de um foco operacional para um foco estratégico. Isto deve-se ao aumento das exigências colocadas aos CISO para proteger as organizações contra as ciberameaças. Para ter sucesso, os CISO devem agora ter uma compreensão complexa do negócio, dos seus riscos e dos seus objetivos, bem como serem capazes de construir e manter relações com as principais partes interessadas.

Um exemplo desta mudança é que, agora, a direção quer mais do que apenas um acordo a nível de serviço sobre a resposta a incidentes de segurança. Em vez disso, procuram um acordo a nível de proteção para assegurar que os bens digitais sejam continuamente corrigidos e protegidos para reagir proactivamente a ciberataques que possam impactar os negócios.

Os executivos da Fortinet referem, também, que os CISO devem ter sempre em mente a importância da estratégia ao demonstrarem o valor do negócio. Isto significa considerar tanto os efeitos a curto, como a longo prazo, das decisões, fazendo escolhas que beneficiarão a empresa como um todo. A curto prazo, pode ser tentador cortar cantos ou escolher atalhos, mas fazê-lo pode colocar em risco a segurança da empresa a longo prazo. É crucial lembrar que o objetivo é proteger os dados e bens da organização, não apenas para poupar dinheiro. Desta forma, uma das estratégias mais eficazes de demonstrar o valor do negócio passa por compreender a sua “kill chain”. A maioria dos CISO estão muito familiarizados com o conceito técnico “kill chain” em cibersegurança, mas é importante compreender também o impacto que um ciberataque pode ter em operações críticas e respetiva perda de receitas ou reputação que dele pode resultar. Os CISO devem, não só priorizar e salvaguardar os bens e dados, de acordo com a “kill chain” de valor de negócio, como adotar uma abordagem holística, considerando os benefícios das soluções.

Ao discutir o acesso seguro, por exemplo, a implementação de tecnologias de autenticação poderia parecer uma mudança de comportamento aos olhos dos utilizadores que só são expostos à VPN uma vez por dia. Contudo, o benefício global de toda uma infraestrutura dinamicamente protegida por uma estratégia ZTNA holística é muito superior à segurança da sessão, da aplicação ou do segmento. O CISO deve ser fluente na articulação destes benefícios e na sua expressão em termos de riscos, para que as partes interessadas compreendam que os prós compensam os contras.

Por fim, Daniel Kwong e Alain Sanchez, da Fortinet, referem que a função do CISO evoluiu e expandiu-se para satisfazer as necessidades em constante mudança das organizações. Atualmente, espera-se que os CISO não sejam apenas tecnicamente conhecedores, mas também pensadores estratégicos que possam ajudar as organizações a explorar o complexo panorama da cibersegurança. Para além das responsabilidades tradicionais, tais como o desenvolvimento e implementação de políticas e procedimentos de segurança, espera-se que tenha, também, uma compreensão profunda das operações e objetivos empresariais, alinhando as suas estratégias de segurança com os objetivos da organização.

Com a evolução da cibersegurança, também a função do CISO terá de evoluir, juntamente com a mentalidade de todas as organizações. A dimensão do papel humano é um fator-chave de sucesso quando se considera que 60% dos projetos de transformação continuam a falhar por terem subestimado o aspeto da adoção pelo utilizador. As políticas que mudam a forma como os colaboradores trabalham, tais como o teletrabalho, ZTNA, ou DevOps, precisam de ser explicadas antes de serem aplicadas. Explicar que o “porquê” da cibersegurança é tão importante como implementar o “como”.