0
0
À medida que a segurança cibernética se tornou uma consideração cada vez mais importante na tomada de decisões corporativas, houve um movimento correspondente para elevar o papel do diretor de segurança da informação (CISO) a um ponto mais alto na hierarquia executiva. O raciocínio parece ser: “Se o ciberespaço é importante, os CISOs devem ser importantes”. No entanto, elevar a função faz com que o CISO seja uma voz solitária no deserto clamando “segurança”, com pouca conexão com os tomadores de decisão do dia-a-dia em TI, engenharia ou produtos.
Isso levou a algumas consequências indesejáveis, como o executivo do Facebook que achou que as medidas de segurança da empresa causaram atrasos de horas na resposta à interrupção de 4 de outubro de 2021, ou o executivo do Uber que pagou hackers que violaram seu sistema, em vez de reconhecer a violação, ou os numerosos CISOs que investiram em “camadas adicionais de segurança” em vez de admitir que fizeram seleções ruins inicialmente. Em todos esses casos, o isolamento do CISO das unidades de negócios funcionais, sem dúvida, desempenhou um papel no pensamento túnel que essas decisões refletem.
Impacto organizacional
Talvez seja hora de reimaginar o papel do CISO. Talvez seja melhor ver a importância do CISO refletida no impacto organizacional do que no status organizacional. Talvez a incorporação de segurança em unidades funcionais resulte em melhor segurança.
Imagine o CISO como parte do ecossistema da organização de TI. Eles estariam envolvidos em todas as decisões sobre a infraestrutura, e as preocupações de segurança seriam parte integrante dessas decisões, em vez de serem aplicadas após o fato. Isso permitiria um conjunto de soluções de “segurança” baseadas em como a rede é estruturada e gerenciada, em vez de recursos de segurança especiais inseridos na infraestrutura por um grupo externo.
Imagine um especialista em segurança integrado à organização de desenvolvimento de software. Eles seriam capazes de refinar o processo de desenvolvimento para garantir que o código fosse escrito e testado com foco na segurança, sem sobrecarregar os desenvolvedores com processos estranhos a eles, reduzindo assim as vulnerabilidades no código da empresa. Imagine um especialista em segurança incorporado em linhas de produtos. Eles seriam capazes de garantir que a infraestrutura corporativa protegesse seu IP e que seu processo de desenvolvimento reduzisse as vulnerabilidades em seu produto.
Em todos esses casos, a segurança torna-se um fator nas decisões corporativas alicerçadas na realidade das operações corporativas. A experiência técnica do CISO torna-se parte integrante do trabalho diário, em vez de uma restrição imposta a ele. Da mesma forma, a segurança e a conformidade precisam funcionar perfeitamente para que os sistemas financeiros e as comunicações com parceiros e fornecedores permaneçam seguros. Isso se estende a sistemas de telecomunicações e outros hardwares.
O fator de risco
Essa parece ser uma maneira mais impactante de tornar a dimensão técnica da segurança uma voz poderosa na execução da empresa. No entanto, pode-se perguntar se isso diminuirá a dimensão política, balcanizando-a para atender aos interesses especiais de unidades funcionais individuais. Essa preocupação pode ser abordada expandindo o papel do diretor de risco para incluir as funções de política de segurança atualmente desempenhadas pelo CISO.
Isso tem a vantagem de manter a política de segurança no nível C, onde recebe a atenção necessária. Tem o benefício adicional de ter o risco de segurança cibernética considerado no contexto de outros riscos (risco de disponibilidade, risco de reputação, para abordar os casos acima). A segurança não seria mais um fim em si mesma, mas uma dimensão do fazer negócios. Isso não significa que a segurança precise lutar contra outras preocupações e fazer acomodações que comprometam a postura de segurança da organização. Em vez disso, configura um ambiente que troca a mentalidade de ou/ou por uma que busca satisfazer todos os requisitos.
Existem inúmeras tecnologias de controle de acesso que protegeriam o Facebook de forma eficaz sem bloquear seu próprio pessoal. Quando o risco de segurança é considerado junto com o risco de disponibilidade, essas soluções mais pragmáticas surgiriam.
FONTE: DARK READING