BRANDS' ECO A relevância dos CISOs nas organizações

Num contexto de preocupação crescente sobre o tema da cibersegurança, as organizações procuram garantir a proteção dos seus ativos de informação, minimizando riscos de um ciberataque. Perante este objetivo, resulta imperativo que as organizações nomeiem um elemento com o perfil certo para chefiar as suas operações de segurança, um Chief Information Security Officer (CISO), garantindo simultaneamente que a liderança tenha uma visão holística e atempada dos riscos de segurança a que estão expostos.

A emergência das ameaças de cibersegurança

O relatório Riscos e Conflitos 2021, produzido pelo Centro Nacional de Cibersegurança (CNCS) denota “um aumento significativo no volume de incidentes de cibersegurança e nos números dos indicadores de cibercrime em 2020”. Paralelamente, no contexto nacional, “existem menos empresas do que a média da UE com recomendações documentadas sobre medidas, práticas e procedimentos em segurança”, conforme descrito na síntese de comportamentos organizacionais em Portugal face à cibersegurança, do relatório Sociedade 2020 (CNCS).

"O CISO tem uma tarefa importante, que influencia quase todos os aspetos do sucesso da empresa. No entanto, o seu poder de atuação está amplamente condicionado pelas estruturas de reporte e colaboração com outras áreas da organização em que este se insere.”

A proeminência das ameaças e incidentes de segurança sugere que a liderança das organizações deve abordar esta questão como uma prioridade crítica, promovendo a segurança da informação como elemento fundamental para o sucesso do negócio, e envolvendo o CISO como elemento ativo no processo de tomada de decisão. Nas situações em que um CISO tem capacidade para reportar rapidamente os principais riscos, ameaças e incidentes à liderança, é promovida uma resposta mais ágil e com maior potencial de sucesso na sua mitigação.

A evolução do papel do CISO

Nos últimos anos, o papel do CISO tem sofrido alterações significativas, por via de tendências como a adoção em escala da computação em nuvem, que cria desafios adicionais de segurança. Assistimos ainda à criação de uma força de trabalho remota, potenciada pela pandemia de COVID-19, que contribuiu para o aumento da superfície de ataque, pela utilização acrescida de dispositivos de computação pessoal, que foram introduzidos na rede corporativa. Neste contexto, a posição do CISO tem vindo a assumir maior visibilidade e preponderância, e cabe aos líderes de hoje garantir que estes elementos têm o devido destaque na hierarquia corporativa. O CISO tem uma tarefa importante, que influencia quase todos os aspetos do sucesso da empresa. No entanto, o seu poder de atuação está amplamente condicionado pelas estruturas de reporte e colaboração com outras áreas da organização em que este se insere.

"Embora, tradicionalmente, as responsabilidades do CISO tenham incidido sobre a proteção dos ativos de informação, deteção de eventos e resposta a incidentes de segurança, recairá progressivamente sobre si a promoção da cibersegurança como elemento do planeamento estratégico.”

A cooperação entre as diversas áreas e direções empresariais é especialmente crítica para a cibersegurança. Para que esta seja vista como um enabler do negócio, e não um bloqueador, deve ser garantido o alinhamento entre o CISO, a gestão de topo e as unidades de negócio. Não obstante, de acordo com dados do Global Information Security Survey 2021 ¹, apenas 23% dos inquiridos descreve a função de cibersegurança como colaborativa e mais de metade (53%) acredita que os esforços de cibersegurança são motivados somente por necessidades de conformidade regulatória.

De facto, observa-se que as organizações que facultam ao seu CISO canais de comunicação, com acesso aos elementos da gestão de topo, estão mais próximas de garantir uma postura de segurança que se coadune com as exigências da era digital. Embora, tradicionalmente, as responsabilidades do CISO tenham incidido sobre a proteção dos ativos de informação, deteção de eventos e resposta a incidentes de segurança, recairá progressivamente sobre si a promoção da cibersegurança como elemento do planeamento estratégico.

¹Estudo publicado anualmente pela EY, que sondou este ano cerca de 1.450 líderes de cibersegurança de organizações de todo o mundo. Mais informação aqui.