Analysis

Security

O futuro do CISO nas organizações

Nem todas as organizações têm o cargo de CISO, mas a aposta na cibersegurança é necessária. A segurança da informação não deve ficar a cargo exclusivamente do CIO ou do IT manager

Por Rui Damião . 18/03/2020

O futuro do CISO nas organizações

Desde a criação da posição de Chief Information Security Officer (CISO) dentro das organizações há mais de uma década que o cargo fica situado algures entre a equipa de IT e o board.

Com a crescente importância da cibersegurança, é normal que se discuta qual é a posição do CISO dentro da organização. As empresas são cada vez mais digitais, têm uma superfície de ataque cada vez maior e as ameaças são, também elas, cada vez maiores e mais impactantes para o negócio

Enquanto o papel do CISO pode não ter sofrido uma grande mudança nos últimos anos, a perceção da sua importância dentro das organizações e para o negócio mudou. Entre as grandes empresas, já são poucas as que não contam com alguém dedicado para a segurança da informação da organização.

As empresas têm vindo a digitalizar os seus ativos e, com essa digitalização, a importância de os proteger torna-se cada vez mais importante. Depois, as notícias de grandes empresas – algumas tecnológicas – que foram vítimas de ataques cibernéticos e que viram a sua informação exposta na web aumenta a necessidade interna de proteger os seus sistemas – até para que o nome da sua empresa não figure entre a lista de organizações que sofreu uma fuga de dados massiva.

Na luz da ribalta

O relatório “The Future Of The CISO” da Forrester Research indica que o cargo do CISO “evoluiu de um líder de equipa ignorado e subestimado e passou a tornar-se, em muitos casos, um membro vital e envolvido da equipa executiva”.

A atenção dada pelas organizações coloca o CISO cada vez mais no centro das atenções não só dos investidores, mas também dos clientes. Por outro lado, esta atenção repentina e a falta de entendimento do que é a segurança pode diminuir o papel do CISO, tornando o profissional “mais num artista do que num líder”, refere a Forrester Research.

Este tipo de CISO é um “executivo de segurança simbólico” que é chamado para “discutir segurança, ética e privacidade quando é conveniente”, mas internamente ainda “enfrenta obstáculos” e a “falta de adesão das partes interessadas”.

Quando assim é, o CISO “concentra-se na promoção da cibersegurança como um tópico moderno, interna e externamente”, mas “não lidera a transformação da segurança”, não protege a organização, nem defende a marca.

Bode expiatório

No entanto, ser a cara da segurança de uma organização nem sempre é positivo; em caso de uma fuga de informação ou de uma violação de segurança, também é automaticamente o culpado.

A cibersegurança a nível corporativo é uma iniciativa de várias partes interessadas, mas, ao tornar-se o rosto da cibersegurança para uma empresa, faz com que o CISO seja automaticamente o bode expiatório, danificando a reputação do profissional e do papel dos CISO como um todo.

Futuro do cargo

Para além destes dois tipos de CISO, a Forrester Research refere outros tipos de líderes de segurança dentro das organizações.

Um deles é o CISO que já não tem contacto diário com a sua equipa e que já não sabe exatamente o que é que as suas equipas precisam para atingir o sucesso e os objetivos propostos.

Um outro tipo de CISO é aquele que no papel é, de facto, o CISO, mas quem manda é outro líder mais poderoso dentro da organização. Por norma, esta situação acontece com executivos que adotam o papel pela primeira vez; que ganham o título, mas não a autoridade dentro da empresa.

Se os líderes de segurança permitirem que estas e outras situações aconteçam, ignorando o que efetivamente está em jogo ao mesmo tempo que fazem más escolhas ou falsas promessas que não correspondem à sua autoridade real dentro da organização, o CISO estará condenado ao fracasso.

Por outro lado, os líderes de segurança devem apostar naquilo para o qual foram contratados e defender a informação da sua empresa. Dentro das organizações, o CISO pode – e deve – informar quais as decisões para a organização em termos de segurança, em que atividades externas deve estar envolvido e qual a autoridade esperada e exigida internamente para fazer promessas externas. 


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.