Os primeiros 90 dias de um CISO: por onde começar

Por Carlos Rodrigues, Vice-Presidente da Varonis para América Latina

Salvador, 03/12/2023 – Com a falta crítica de profissionais, cada vez mais os CISOs são mais jovens. Uma pesquisa realizada pela Boyden no Brasil, há pouco mais de um ano, apontou que 93% dos diretores de Segurança da Informação brasileiros têm entre 30 e 49 anos. E esses profissionais iniciam sua carreira executiva precisando fazer uma combinação entre proficiência técnica e habilidades de liderança para comandar uma área de Segurança da Informação.

Embora esta não seja mais uma função puramente técnica, os CISOs precisam ser capazes de se comunicar de forma eficaz com seus times, compreender a evolução dos riscos de segurança e da tecnologia de proteção de dados, e articular questões e soluções de segurança complexas para executivos, que geralmente não têm o mesmo nível de conhecimento técnico.

Para CISOs que estão começando em uma nova organização que possui sistemas de governança e segurança de dados desconhecidos, os primeiros 90 dias podem ser desafiadores, para dizer o mínimo. Esse profissional terá como responsabilidade, neste período, garantir uma base de segurança sólida o mais rápido possível. Mas por onde começar? Reuni algumas considerações que podem ser importantes.

Garantir a segurança é essencial

A primeira delas, e mais importante, é começar entendendo quais são as vulnerabilidades de segurança que essa organização tem. Mesmo que a empresa já conte com uma série de sistemas e aplicações para garantir a segurança da informação, uma infraestrutura de TI desconhecida, aliada a milhares de funcionários e diversas aplicações em nuvem, representam um conjunto desconhecido de riscos que um CISO precisa avaliar antes de poder abordá-los e priorizá-los. Cada segundo que existe uma lacuna de segurança representa uma ameaça para toda a organização.

O segundo ponto é construir uma base de comunicação e coordenação transparente com a equipe, pares e o nível executivo. Por isso, é preciso manter um canal aberto com todos os stakeholders envolvidos – alinhando demandas técnicas aos objetivos do negócio e apresentando soluções para pessoas não técnicas.

O terceiro ponto é a obtenção da adesão dos stakeholders para as inciativas de segurança. Conseguir o buy-in e o orçamento para fazer as mudanças necessárias pode ser difícil. Isso vai exigir que o CISO defenda de maneira firme a importância da segurança – o que, diga-se de passagem, não é muito simples. No Brasil a segurança muitas vezes ainda é vista como um gasto desnecessário, visto que o país está sempre no topo dos mais atacados no mundo.

O quarto e o último ponto é a capacidade de lidar com momentos de redução de custos. Este ano, por exemplo, o mercado sentiu a restrição de orçamento após o primeiro trimestre. Isso exige do novo CISO a visão estratégica e operacional para consolidar soluções, melhorar fluxos de trabalho e negociar com fornecedores – garantindo que as medidas necessárias de segurança sejam tomadas, apesar do orçamento menor.

Plano de ação para os primeiros 90 dias

Ter um plano de ação em vigor para os primeiros dias pode ajudar os CISOs a priorizar as ações que precisam tomar, com base no que aprenderam sobre os sistemas e dados existentes na empresa. Isso significa reduzir a sensação de sobrecarga e trabalhar estrategicamente em direção aos objetivos de negócios.

Nesse caso, o primeiro passo é realizar uma avaliação de riscos de dados que permite ao CISO identificar vulnerabilidades e riscos no perímetro e nos endpoints, encontrar pontos em que é possível simplificar a conformidade, e priorizar riscos, de acordo com as necessidades do negócio.

O segundo passo é contar com uma solução que possa detectar e responder prontamente quaisquer violações potenciais. Neste ponto, as soluções DSPM [Data Security Posture Management, na sigla em inglês] possibilitam o monitoramento proativo de alertas e investigação de ameaças, o desenvolvimento de um modelo de ameaça personalizado, com respostas automatizadas e atualizações regulares para revisar as descobertas de segurança.

O terceiro passo é entender a estrutura de nuvem da empresa. Na medida em que aumenta a adoção de serviços em nuvem, os CISOs precisam saber onde estão os riscos em cada ponto de contato para que possam priorizar cada risco e implementar a segurança necessária. Isso inclui fatores como monitoramento de identidade na nuvem, capacidade de detecção de alterações no ambiente e desvios de conformidade.

O terceiro passo desse plano de ação é a criação de relatórios e dashboards que ajudem o CISO a monitorar o ambiente, bem como entender se os dados confidenciais e mais importantes da organização estão seguros. Para isso, é preciso compreender com exatidão a localização desses dados, bem como monitorar acessos e atividades não autorizadas. Esse passo, em especial, é bem relevante: dados vazados podem gerar infrações na LGPD (Lei Geral de Proteção de Dados), e onerar a empresa com multas – além do custo reputacional de um vazamento.

Para resumir, enfrentar o desafio do cargo de diretor de Segurança da Informação não é fácil. Além dos aspectos gerenciais, as vezes é preciso fazer uma alteração estratégica na tecnologia para garantir a segurança necessária. Certamente, uma alteração de rota não é algo muito simples, mas as dores de uma mudança repentina certamente serão bem menores do que enfrentar as consequências de um cibercrime.

Últimas notícias

Educação
Abertas as inscrições para o Edital Ciência na Mesa 3

Formulário online está disponível no portal da Fapesb e prazo para submissão de propostas vai até 07 de junho de 2024 Salvador, 26/04/2024 – Pesquisadores ou pesquisadoras, com titulação de doutor ou mestre, interessados em submeter projetos de pesquisas inovadores para aplicação de novas tecnologias sociais de acesso à água ou de tecnologias já existentes, […]
Gov e Org
Instituições de fomento anunciam investimentos bilionários em inovação tecnológica

Salvador, 25/04/2024 – O ano de 2024 começou com promessas para empresas e instituições interessadas em impulsionar a inovação tecnológica. Governos federais e estaduais, juntamente com estatais, anunciaram investimentos bilionários em editais de subvenção econômica, com o objetivo de fomentar projetos inovadores. Neste cenário, o Instituto Nacional de Telecomunicações (Inatel), centro referência em ensino, pesquisa […]
Negócios
Ferrari e HP anunciam parceria de Naming Rights

Salvador, 25/04/2024 – A Ferrari e a HP anunciaram hoje uma parceria de naming rights histórica e plurianual. A colaboração representa o compromisso compartilhado de promover a inovação sustentável e acelerar tecnologias com propósito no time Scuderia Ferrari Formula 1, no time Scuderia Ferrari Esports e na Scuderia Ferrari Driver Academy. O logo HP vai […]
Negócios
Simpress fatura R$1.5 bilhão e se consolida como principal player de outsourcing de TI

Empresa tem o maior parque de dispositivos instalados em todo o país, com 600 mil equipamentos Salvador, 25/04/2024 – O faturamento da Simpress, empresa especializada em outsourcing de equipamentos de TI, registrou no ano passado um crescimento de 23% em relação a 2022, com R$1.550 bilhão. As áreas que mais se destacaram foram as de […]
Artigos
O que as empresas podem fazer para proteger os dados de seus clientes?

Prof. Dr. Marcelo Teixeira de Azevedo, docente e pesquisador na área de Redes e Segurança para os cursos de Ciência da Computação e Sistemas de Informação da Universidade Presbiteriana Mackenzie (Campus Alphaville) Salvador, 25/04/2024 – Ultimamente, tem sido cada vez mais comum o vazamento de dados, existindo diversos eventos do tipo no Brasil e no […]

Menu