0
0
As iniciativas de big data e a crescente adoção de IA generativa e outros projetos baseados em dados estão acelerando a necessidade de os líderes de segurança e os diretores de dados (CDOs) trabalharem de forma mais colaborativa entre si.
Em alto nível, ambas as funções envolvem a supervisão de como uma organização gera, armazena, usa, compartilha e gerencia dados. Mas enquanto o objetivo do CISO normalmente é protegê-lo contra comprometimentos e violações, o CDO é permitir o acesso a ele para uma variedade – e crescente – de casos de uso. Os diferentes objectivos estão a gerar uma tensão crescente entre os dois papéis.
Ponto de ajuste de contas próximo
“O ponto de ajuste de contas chegará nos próximos anos”, diz Mike Scott, CISO da empresa de segurança de dados Immuta, cuja carreira inclui uma passagem como CISO da cadeia de fast-food Wendy’s. Os problemas que tanto o CISO como o CDO enfrentam centram-se na governação e gestão de dados. O ponto onde eles divergem são os resultados desejados, diz Scott.
“Enquanto os CISOs estão preocupados em controlar o acesso”, diz Scott, “os CDOs estão preocupados em permitir o acesso para criar fluxos de receita para a empresa”.
É um ponto de divergência que se manifesta na forma como o CISO/CSO e o CDO evoluíram ao longo dos anos nas organizações. Apesar de toda a conversa sobre a necessidade de alinhar a segurança mais próximo das necessidades do negócio, o papel do CISO ainda permanece predominantemente focado na tecnologia. Na verdade, parece ter se tornado ainda mais grave nos últimos anos.
Uma pesquisa de 2023 com CISOs globais realizada pela empresa de busca de liderança Heidrick & Struggles mostrou que apenas 5% dos CISOs nos EUA se reportam atualmente ao CEO – abaixo dos 8% em 2022 e 11% em 2021. Isso é menor do que em outras regiões do mundo, como como a Europa e a Austrália, mas não muito.
A pesquisa também constatou uma ligeira diminuição na percentagem de CISOs que reportam ao CIO – de 38% em 2022 para 36% em 2023. Em vez disso, mais agora reportam ao CTO, ou a um executivo sénior de engenharia e ao diretor de operações. Os dados são “indicativos da mudança para a esquerda da função, da conformidade para a tecnologia”, concluiu a Heidrick & Struggles no seu relatório.
Ao mesmo tempo, uma pesquisa realizada pela NewVantage Partners com CDOs em 116 empresas da Fortune 100 mostrou que exatamente a tendência oposta ocorreu com seu status dentro da empresa.
Apesar de alguma ambiguidade contínua sobre a sua função exacta, 43,3% dos CDOs e Chief Data Analytics Officers (CDAOs) reportam agora ao CEO, presidente ou COO das suas organizações, e cerca de 56% reportam a um líder empresarial em vez de a uma função tecnológica. Apenas 27% ainda se reportam à função de CIO.
“Isso reflete uma mudança significativa na forma como a função é percebida e um compromisso em garantir a entrega de valor comercial da função de CDO/CDAO”, afirmou o relatório da pesquisa.
A crescente importância dos dados
Muito disso tem a ver com a forma como os dados se tornaram fundamentais para o sucesso dos negócios”, diz Scott. Há um enorme incentivo para investir em dados e isso deu à função de CDO uma linha direta com a alta administração, diz ele. , as mensagens dos CDOs tendem a receber muito mais atenção do que as mensagens dos CISO ou dos CSOs. Para que isso mude, os CISOs terão que estar mais envolvidos no que o CDO está fazendo, especialmente devido ao crescente interesse em torno de big data e iniciativas generativas de IA. .
Adrian Estala, CDO de campo da empresa de análise de dados Starburst e ex-CDO da Shell compartilha os mesmos sentimentos. Tanto o CDO quanto o CSO precisam entender onde estão todos os seus ativos de dados. Ambos precisam de uma visão completa da arquitetura. “Como CISO, estou analisando a arquitetura do ponto de vista do risco”, diz ele. Isso significa identificar todos os pontos de risco, saber onde estão as joias da coroa da organização e implementar controles para protegê-las. “Para onde os dados fluem, de onde vêm, quem os utiliza – todas essas são exatamente as mesmas preocupações dos CDOs”, diz ele.
A diferença é que enquanto o executivo de segurança tende a se concentrar mais no risco, o CDO se concentra apenas em tentar levar os dados aos clientes o mais rápido possível. “Muitas vezes, a última pergunta que você faz é se essa é a maneira mais segura de fazer isso”, diz Estala . Embora os executivos de negócios tendam a perceber que estão ombro a ombro com os ISOs, eles são mais os policiais que chegam quando acontecem acidentes. “Se você está em excesso de velocidade, o CISO é o policial que lhe dá a multa e o CDO é o paramédico que está tentando ajudar.”
Parceria para o sucesso
Existem formas de ambos os lados se ajudarem mutuamente a cumprir as suas missões, diz Estala . Os CDOs, por exemplo, podem facilitar muito a função dos CISOs, sendo mais conscientes sobre a movimentação de dados. “Se estou copiando e movendo dados por toda a organização para o negócio, estou criando trabalho adicional para a equipe de segurança da informação”, diz ele. “Eles precisam criar e recriar o controle para todos os lugares onde os dados estão armazenados. Isso pode se tornar um pesadelo para um CISO.”
Uma maneira de resolver isso seria o CDO tentar descobrir maneiras de trabalhar com os dados na fonte, para que seja mais fácil para a equipe de segurança aplicar controles apropriados a esse uso.
Da mesma forma, os CISOs e outros líderes de segurança podem ajudar compreendendo melhor a missão do CDO e implementando diretrizes e controles que os ajudem a usar os dados com segurança, sem restringir a inovação. Esses controles e diretrizes podem incluir controle de acesso e opções de autoatendimento que tornam mais fácil para as equipes de dados habilitar, controlar e revogar o acesso aos dados, diz ele.
A tensão natural que existe entre os dois grupos é boa, diz Estala . “O CISO precisa absolutamente fornecer um obstáculo no caminho”, diz ele. “Se não houver um solavanco, o CDO irá correr tão rápido quanto quiser e isso também não é bom.”
Adam Strange, analista principal da Omdia, diz que o papel dos CDOs ainda é relativamente novo. A maioria das organizações que possuem um CDO só os nomeou nos últimos cinco anos, observa ele. “A função ainda está evoluindo e, como tal, pode competir com funções como CISO e CIO”, observa Strange.
Com os dados se tornando fundamentais para o sucesso de qualquer organização atualmente, a definição de funções é fundamental, diz ele. “Os dados são ou estão a emergir como uma área relativamente nova que requer novos níveis de pensamento e ações subsequentes em termos de proteção”, afirma. “O CISO, o CDO e, na verdade, o CIO/CTO e os líderes empresariais precisam descobrir quem é responsável por qual camada da ‘cebola’ da segurança cibernética. Há uma tarefa grande o suficiente para que todas as funções trabalhem em harmonia colaborativa.”
FONTE: DARKREADING