Com a adoção das novas tecnologias como cloud computing e mobilidade, o risco de vazamento de dados aumenta, juntamente com as novas ameaças e ataques cada vez mais sofisticados. Assim, o papel do CISO está se tornando mais estratégico dentro das organizações. O profissional de hoje precisa ser um tecnólogo e líder de negócios com a capacidade de responder às preocupações da diretoria, bem como gerenciar tecnologias complexas, revela a mais recente edição do estudo IBM Chief Information Security Officer Assessment.

DE acordo com o estudo, três áreas impactam o trabalho dos CISOs: a visão de negócios, a maturidade da tecnologia e a capacidades de medição de resultados. Uma análise em profundidade das três áreas aponta um novo caminho para os CISOs: atuar como um guia para novos e experientes líderes de segurança.

Quando foram questionados sobre qual conselhos dariam a um novo CISO, a maioria dos 2.012 executivos entrevistados compartilhou um conselhos semelhantes: ênfase em visão, estratégia e políticas, gestão de risco global e relações de negócios eficazes.

IBMCISO1

Os conselhos de Shamla Naidoo, Vice-presidente, Risco e segurança de informação da Starwood Hotels & Resorts Worldwide, resumem bem os resultados do estudo:
1. Desenvolver uma estratégia de segurança e obter adesão executiva para metas e planos.
2. Treinar ou contratar experiência prática; você não poderá proteger, se não souber como.
3. Manter-se informado sobre a constante mudança de riscos de segurança e considerar as questões legais na tomada de decisões de segurança.
4. Entender como seu negócio gera receitas e encontrar formas produtivas para suportar e gerenciar de forma agressiva os riscos que podem afetar o crescimento e a inovação da empresa.
5. Comunicar-se com as partes interessadas da empresa para informar e educá-las sobre os riscos e as possíveis soluções, ajudando-as a tornar-se parte de sua organização de segurança.

Na opinião da maioria dos executivos ouvidos no estudo, a comunicação transparente e frequente é a melhor forma de conquistar credibilidade e construir relações de confiança.

Desafio das práticas de negócios: Gerenciar diversas preocupações de negócios
Muitos líderes de segurança sabem quais são as preocupações de seus executivos seniores. Isso é bom, segundo os organizadores do estudo, porque mostra que eles estão envolvidos e se comunicam com toda a organização. Os líderes mais maduros tendem a se reunir regularmente com seu Comitêe executivos seniores, melhorando assim o relacionamento.

De acordo com os CISOs entrevistados, cada executivo sênior tem uma preocupação principal de segurança diferente. Os CEOs são mais sensíveis em relação ao impacto negativo na reputação da marca ou confiança do cliente. Os CFOs preocupam-se com perdas financeiras devido a uma violação ou incidente. Os COOs perdem o sono com o tempo de inatividade operacional. Finalmente, os CIOs têm um amplo conjunto de preocupações, incluindo violações, perda de dados e execução de investimentos em tecnologia (ver imagem abaixo).

 IBMCSO2

Quando se reúnem com os executivos C-level, os principais tópicos que discutem incluem identificação e avaliação de riscos (59%), resolução de questões de orçamento e solicitações (49%) e implementação de novas tecnologias (44%).

Desafio de tecnologia: Avançar sobre todos os aspectos da segurança móvel
Enquanto a nuvem e os dispositivos móveis continuam a receber grande atenção dentro de muitas organizações, outras tecnologias que os CISOs estão se concentrando são gerenciamento de identidade e acesso (51%), prevenção de intrusão de rede e análise de vulnerabilidade (39%) e segurança de banco de dados (32%).

A segurança móvel aparece como a principal preocupação tecnológica, com mais da metade dos líderes de segurança classificando-a como um grande desafio de tecnologia nos próximos dois anos. As práticas mais frequentemente implantadas é equipar os dispositivos com uma função de gerenciamento (78%) e promover o inventário de dispositivos que usam a rede corporativa (76%) – primeiros passos típicos ao estabelecer com segurança a mobilidade dentro de uma empresa.

Segundo Roberto Engler, gerente de sistemas de segurança da IBM Brasil, o desafio primário para os líderes de segurança hoje é avançar além desses primeiros passos, pensando menos em tecnologia e mais sobre a política e estratégia dentro das companhias. Menos de 40% das organizações têm implementado políticas específicas para dispositivos de propriedade pessoal ou uma estratégia Bring Your Own Device (BYOD). Esse será um dos principais itens de desenvolvimento no próximo ano. Os líderes de segurança estão reconhecendo e abordando esta lacuna. Estabelecer uma estratégia corporativa para BYOD (39%) e uma política de resposta a incidentes para dispositivos de propriedade pessoal (27%) são as duas principais áreas planejadas de desenvolvimento para os próximos 12 meses.

Desafio de medição: Traduzir as métricas de segurança para a linguagem da empresa
Os líderes de segurança mais maduros medem mais coisas, com maior frequência. Mas o que deve ser feito com as métricas, como as informações que geram devem se comunicadas para a empresa e para estimular a ação?

De acordo com o estudo da IBM, quase dois terços dos líderes de segurança não traduzem métricas em resultados financeiros. Eles carecem de recursos ou requisitos de negócio para fazê-lo, ou esse cálculo é muito complexo. Além disso, mais da metade não integra plenamente métricas de segurança com medidas de risco de negócio (gráfico abaixo). Essa incapacidade de combinar medidas relacionadas de sucesso pode restringir a capacidade dos líderes de segurança para se comunicar com outros líderes empresariais – o que torna mais difícil para eles representarem de forma eficaz e precisa a condição da organização internamente.

IBMCISO3

O que esses insights e desafios podem nos dizer sobre o foco e a abordagem de líderes de segurança da informação? Eles podem nos ajudar a construir um modelo para medir o progresso? Ou encontrar um caminho para seguir?

Os autores do estudo da IBM recomendam que, para começar, os líderes de segurança combinem uma estratégia de segurança forte com gerenciamento de risco holístico que considere o impacto econômico da segurança de TI, desenvolvendo relações de negócio eficazes e gerando confiança com líderes seniores. “Eles têm que manter as tecnologias de segurança fundamentais, mas não à custa da implementação de recursos mais avançados e estratégicos”, diz o relatório.

Além disso, CISOs e CIOs precisam abordar a segurança móvel de forma mais abrangente – enfatizando a política e permitindo o uso de dispositivos de propriedade pessoal. Devem também criar ciclos corretos de feedbacks. Tanto a tecnologia de segurança quanto as métricas de negócios devem ser incorporadas no processo de gerenciamento de risco, não apenas como itens de linha, mas por meio de uma integração profunda. Essas métricas devem ser traduzidas na linguagem da organização. Sem isso, na opinião da IBM, a segurança não pode permitir as iniciativas de negócios, e torna-se mais difícil de racionalizar a necessidade de gastos com projetos de segurança em toda a organização.

Fonte:  COMPUTERWORLD