BRANDS' ECO Desafios financeiros dos CISOs

No relatório EY Global Information Security Survey 2021 (GISS), realizado a mais de mil executivos de cibersegurança, foi possível concluir que um dos principais desafios reportado pelos CISO’s (Chief Information Security Officers), encontra-se na dificuldade em obter os financiamentos necessários para alavancar as iniciativas de cibersegurança previstas e necessárias face ao crescimento exponencial dos riscos.

Atualmente a área da cibersegurança ainda é muito vista como um centro de custo, uma vez que não há retorno direto dos investimentos realizados. Nem sempre é fácil compreender a necessidade de investir em segurança, quando existem orçamentos limitados e iniciativas de negócio consideradas como prioritárias. Esta perspetiva é muito presente em organizações que não entendem na sua plenitude que a área de cibersegurança é essencialmente de cariz de gestão de risco, e não tecnológico.

Ao longo dos últimos anos, no relatório BCI Horizon Scan Report, o Business Continuity Institute tem apresentado os riscos de cibersegurança no topo dos riscos de continuidade de negócio. A mensagem é clara, um incidente de cibersegurança é considerado um dos principais riscos que pode pôr em causa a continuidade das organizações no caminho da sua missão.

"É essencial que os CISO’s sejam capazes de desenvolver uma gestão de risco efetiva, com uma análise custo-benefício objetiva e transmitir esta mensagem de forma clara e transparente, numa linguagem que a administração seja capaz de compreender.”

É então necessário as organizações entenderem que os impactos financeiros, operacionais, regulamentares e/ou reputacionais de um incidente poderão superar significativamente os investimentos necessários para mitigar ou atenuar estes impactos. Acima de tudo, é essencial que os CISO’s sejam capazes de desenvolver uma gestão de risco efetiva, com uma análise custo-benefício objetiva e transmitir esta mensagem de forma clara e transparente, numa linguagem que a administração seja capaz de compreender.

A gestão de topo das organizações rege-se pelos princípios de due care e due diligence, ou seja, a sua prioridade é que não sejam tomados comportamentos negligentes que possam pôr em causa a organização. É responsabilidade do CISO conseguir estabelecer e manter uma relação de confiança com a liderança das organizações, e conseguir transmitir como a cibersegurança vai de encontro com estes princípios.

"Um CISO que conheça bem o negócio, os seus riscos, e tenha uma forte relação com os diversos elementos da liderança, terá uma probabilidade de sucesso muito superior na obtenção de financiamentos (…)”

Adicionalmente, é também função do CISO estabelecer uma relação próxima com as diversas áreas da organização, de forma a compreender as suas necessidades, limitações e preocupações. Um CISO que conheça bem o negócio, os seus riscos, e tenha uma forte relação com os diversos elementos da liderança, terá uma probabilidade de sucesso muito superior na obtenção de financiamentos, caso consiga demonstrar claramente o balanço entre custo-benefício – neste caso, investimento vs. possíveis impactos – da implementação das iniciativas propostas.

Por forma a desenvolver estas relações, o CISO deverá considerar o estabelecimento de fóruns próprios, como comités de segurança da informação periódicos com elementos da administração e das diferentes estruturas da organização, onde serão avaliados business cases para suportar a aceitação de novos projetos, e a apresentação de indicadores periódicos para demonstrar como as iniciativas já implementadas têm reduzido os riscos e exposição da organização a ameaças.