Seu CEO está recebendo as informações certas?

Por Colaborador externo | 05.08.2016 às 06:12
photo_camera Foto: Jirsak/Shutterstock

Por Cleber Marques*

Há anos especialistas em segurança da informação insistem que a área de cibersegurança nas empresas não pode ir para frente sem o apoio de executivos e diretores, ou seja, os profissionais responsáveis por tomar as decisões de negócio. Porém, será que esses profissionais-chave estão recebendo as informações necessárias para tomar as melhores decisões?

Para evitar perdas financeiras em decorrência de riscos cibernéticos, executivos e diretores precisam ter um conhecimento aprofundado de todos os perigos que a empresa encara. Para isso, precisam de líderes de segurança e profissionais capazes de explicar isso de maneira apropriada.

Em um ano de crise, a cibersegurança pode acabar sendo deixada de lado para que a empresa dê prioridade a outros gastos que, aparentemente, trazem um maior retorno de investimento. Ainda assim, líderes de negócio continuam sendo pressionados para evitar perdas relacionadas aos ativos corporativos.

Afinal, quando os ativos de uma empresa sofrem, seja por conta de roubos ou vazamentos, a empresa perde financeiramente, seja por causa dos danos à reputação, da perda de credibilidade com os parceiros ou do tempo de paralisação nos negócios.

É responsabilidade dos diretores e executivos garantir que a empresa tenha as habilidades, a experiência e as competências necessárias para tomar decisões em relação à cibersegurança e criar uma cultura em que todos os funcionários se sintam responsáveis pela proteção dos dados corporativos, porém, esses profissionais precisam receber as informações certas para tomar decisões pela empresa.

O que os líderes de negócio devem saber?

O líder de segurança da informação e sua equipe precisam fazer um mapeamento do negócio e levantar as informações necessárias para guiar executivos e diretores nas tomadas de decisão em relação aos riscos cibernéticos. Isso não se resume ao conhecido relatório cru cheio de indicadores técnicos sobre firewalls, malwares e vetores de ataque, é preciso ir além.

Os profissionais de segurança da informação precisam traduzir esses indicadores em termos de negócio para dar aos líderes as informações necessárias para tomar decisões de alto risco. Não basta que as informações estejam completas e detalhadas, é preciso que tenham qualidade para os profissionais que vão usá-las, ou seja, devem ser relacionadas às áreas do negócio para dar a eles confiança.

Uma abordagem quantitativa pode ajudar nesse processo. Com base em dados de riscos de segurança classificados em termos financeiros, por exemplo, executivos e diretores podem garantir que estão tomando decisões de bom custo benefício.

Além de quantificar os riscos, os profissionais de segurança devem ajudar os líderes de negócio a focar nas áreas com riscos mais elevados e oferecer o apoio necessário para trabalhar nas áreas em que os riscos podem ser reduzidos rapidamente.

A equipe de segurança da TI também deve prestar o suporte necessário na visualização do impacto das iniciativas de cibersegurança, mostrando, por exemplo, as mudanças na superfície de ataque e os riscos reduzidos.

Assim, diretores e executivos terão as informações necessárias para tomar decisões de alto risco para manter a competitividade do negócio e assegurar a proteção de seus ativos com ações altamente personalizadas de acordo com o negócio e alto custo-benefício.

*Cleber Marques é diretor da KSecurity.