Habilidades essenciais do CISO na transformação digital

Abian Laginestra, especialista em Segurança da Informação, destaca: o CISO deve estar alinhado à missão da organização e seguir alguns passos para assegurar uma boa gestão.

Por: Abian Laginestra, ⌚ 13/11/2019 às 18h18 - Atualizado em 14/11/2019 às 17h01

É de fundamental importância que o CISO esteja totalmente integrado à missão da organização em suas diferentes esferas, quer seja para consumidores, governo, sociedade civil, parceiros e colaboradores. Reduzir a organização à macro missão de um balancete positivo pode criar brechas na estratégia de segurança da informação.

 

Qual a missão da minha organização?

A área de Segurança da informação e nós profissionais, infelizmente, ajudamos a construir a imagem que somos os líderes do NÃO. Cabe a nós mudarmos essa imagem para o “sim” com segurança. Se engajar com os líderes da organização, garantindo que os novos projetos da empresa nasçam com a visão de risco e de segurança, oferece valor à missão que, em última análise, contribuirá para melhorar a resiliência e a produtividade organizacional, uma vez que esse relacionamento tenha sido estabelecido e comunicado sem viés à organização. Ao fazer isso, os projetos de segurança tornam-se uma atividade de missão e não de segurança em que a liderança sênior da organização apoia novas e importantes mudanças de segurança que sustentarão o sucesso contínuo da organização.

 

Planejamento e Gestão Estratégica

O engajamento com o planejamento estratégico deve vir do CISO. Ele deve funcionar como um agente de provocação e não de negação, trabalhando com a equipe de liderança executiva da organização. Nesse aspecto há um tônus mental de ser aguerrido, pois muitas portas estarão fechadas. O CISO deverá dispor de um projeto de comunicação clara e empática a fim de garantir que as atividades de planejamento de segurança da informação apoiem ​​o plano estratégico da organização e a postura de risco desejada. Envolver-se em  todos os projetos de tecnologia em andamento e futuros é fundamental.

 

Finalizando, o líder de Segurança precisa planejar mudanças na tecnologia e ajustar o programa de segurança da informação de acordo com a inovação do setor.

 

Ser político e empático

Pode parecer lema de livro de autoajuda, mas não é. Ao CISO imerso em um ambiente de transformação digital é necessário a capacidade de interagir efetivamente dentro da organização com empatia e compreensão das crenças limitantes de cada área.

O CISO deve entender e acolher as necessidades e preocupações da equipe executiva no que se refere à missão da organização e, em seguida, apresentar o programa de segurança da informação como uma resposta às demandas.O CISO deve, sempre, comunicar efetivamente, de forma natural e fluida, como as mudanças na segurança da informação são projetadas para proteger a organização.

 

Avaliação e Gerenciamento de Riscos

A avaliação e o gerenciamento de riscos estabelecem processos-chave usados ​​para a comunicação entre a liderança da organização e o CISO. Lançar mão da ISO 31000 e ISO 27005 pode ajudar no desenvolvimento de um glossário normalizado entre a alta administração e a equipe de segurança. A propriedade do risco é sempre uma questão do nível C-level. Portanto, o estabelecimento de uma linha de comunicação entre liderança executiva sob o aspecto do negócio e o programa de segurança da informação é vital para o estabelecimento de um programa de gerenciamento de riscos (conforme preconizado na ISO 31000). O programa de gerenciamento de riscos e seus resultados devem sempre estar alinhados com os negócios.

 

Gerenciamento de Incidentes

Devemos ter em mente que sofremos ataque o tempo todo. Detectar as intrusões na rede e trabalhar imediatamente para limpar e recuperar essas ameaças é um dos pilares que justifica o cargo no organograma das organizações.

 

Os estágios de um plano de gerenciamento de incidentes são:

 

  • Preparação: Estabelecimento e execução de um programa de resposta a incidentes eficaz e bem planejado com os stakeholders.
  • Identificação: A descoberta de intrusões e a sua devida notação. Em geral os eventos são subnotariados.
  • Detecção: Detectando a presença de uma atividade maliciosa.
  • Análise: validando a presença de uma atividade mal-intencionada.
  • Remediação: Diz respeito a erradicação de intrusões.
  • Contenção: Garantir que novos sistemas de informação e/ou produtos não possam ser infectados.
  • Recuperação: erradicar a infecção/brecha de segurança do sistema.
  • Mitigação: Garantir que o sistema de informações esteja configurado para que não possa mais ser explorado. Muitas falhas são decorrentes de problemas de configurações mal feitas.
  • Sala Pós-incidente: lições aprendidas e ciclo PDCA.

 

Conhecimento de regulamentação e conformidade com normas

O CISO deve ser uma autoridade nos regulamentos, normas e requisitos de conformidade aplicáveis ​​à organização. Isso não significa que ele será um agente polarizado com a área de Compliance ou Jurídico. Mas para que o CISO possa adaptar seus conhecimentos a fim de atender às necessidades específicas de sua organização e em especial de cada área do negócio, a exemplo da manutenção de sistemas computadorizados em empresas que estão submetidas a ANVISA, levando ao desenvolvimento de políticas, processos, procedimentos, padrões e diretrizes de segurança da informação em conformidade.

 

Desenvolvimento e Administração de Políticas

Desenvolva políticas de fácil aplicabilidade para as áreas e que não sejam apenas regras “no papel”.  O CISO é responsável por garantir que as políticas:

 

  • Atendam aos objetivos estratégicos e táticos da organização;.
  • São divulgadas por toda a organização
  • É compreendida e entendida por todos os colaboradores.
  • Atende aos requisitos legais e regulamentares.

 

Habilidades de Comunicação e Apresentação

É de fundamental importância adequar a conversa nos termos em que o executivo se importa. Não podemos falar de CASB, EDR, UEBA, SOC e etc. Precisamos falar em “NEGOCIÊS”. Para essas situações enquadre os conceitos de segurança da informação em termos comerciais, para que eles tenham uma boa repercussão aos executivos.

 

Habilidades de colaboração e gerenciamento de conflitos

Agora, o CISO é chamado a colaborar com membros da equipe de missão da organização, tecnólogos e usuários finais. Atualmente, o CISO trabalha para resolver problemas que afetam o sucesso da operação da organização (lembre disso e divulgue). No entanto, ao trabalhar com tecnólogos e técnicos, o líder de segurança deve garantir que os requisitos inerentes à área de segurança da informação sejam bem explicados com orientações eficazes. Ao trabalhar com usuários finais, é importante desenvolver um treinamento que direcione a adoção de práticas de segurança da informação pela comunidade de usuários finais e mais uma vez com um glossário que normalize o entendimento. Envolver a área de comunicação e RH é sempre uma boa ideia.

 

Habilidades de supervisão

Sabemos da falta de profissionais! Entretanto, é fundamental dispor de uma equipe de profissionais muito diligentes e eficazes em segurança da informação para que quaisquer programas em SI sejam campeões. Não é apenas uma pessoa – o CISO -, mas um grupo ou equipe capaz de trabalhar bem em conjunto, um organismo vivo.

A tutoria e trabalhar com a equipe para desenvolver suas habilidades, leva a um time muito mais engajado.

 

Conclusão

 

Apesar da área de SI ser altamente técnica e permear campos da ciência da computação nos mais diversos níveis, de camadas de rede a Inteligência Artificial e Machine Learning, o desenvolvimento de habilidades humanísticas da alta e média administração em cibersegurança é de cada vez mais cobrado e necessário. O CISO deixou de ser apena o White Hacker, agora está na visão dos acionistas da organização e precisa fluir em diversos campos do conhecimento e a multiplicidade de pessoas e mercados a que estamos expostos em um cenário de transformação digital.

 

Por Abian Laginestra, especialista em segurança da informação, escalador e defensor da bandeira de uma sociedade digital mais segura.



Newsletter

Rangel Rodrigues
Rangel Rodrigues
Rangel Rodrigues

/ VEJA TAMBÉM



/ COMENTÁRIOS