Três práticas para colocar a Cibersegurança como um tema do negócio

Três práticas para colocar a Cibersegurança como um tema do negócio

No recente painel conduzido pela IT Security sobre o “Estado da Nação” da Cibersegurança, um dos pontos levantados e debatidos foi se a Cibersegurança é, hoje, um tema na mesa da administração e como tem estado a evoluir o envolvimento da administração na Cibersegurança

Os mais recentes ataques ocorridos em Portugal, para além do impacto que as empresas visadas e seus clientes tiveram nos serviços, trouxeram uma maior atenção e foco mediático à volta da Cibersegurança. Sem dúvida que muitas organizações, por mais preparadas que se encontrassem, acompanharam este incremento com a devida preocupação e aproveitaram para rever o estado de preparação dos diversos processos que compõe as linhas de defesa e resposta a incidentes.

Muitos líderes e gestores ficaram mais alertas e começaram a ver a Cibersegurança como realmente um tema importante para as organizações.

A questão que muitos profissionais levantam é se será suficiente e perdurará no tempo esta atenção e importância que a Cibersegurança está a ter devido a estes eventos. Por outras palavras, após o susto e impacto que muitas organizações tiveram, será que não veremos um regresso às velhas práticas de segurança, muito focadas na reação e onde muitos profissionais de segurança continuarão a queixar-se de falta de meios e falta de relevância organizacional?

Há muitas formas de abordarmos a relevância e o papel da Cibersegurança nas organizações. Sabendo que nenhuma organização está imune a ser atacada, as mais bem preparadas serão aquelas que, percebendo que a Cibersegurança é um tema de negócio, irão normalizá-la, incluir o risco cibernético na gestão de risco corporativo e “distribuir” a responsabilidade a todos os níveis, desde a liderança aos colaboradores.

A nossa contribuição, profissionais e líderes de segurança, é garantir esta normalização, a mudança de mentalidade e colocar o foco na organização e no cumprimento da sua missão. Para tal, o nosso conhecimento organizacional é importante e a comunicação é crucial para podermos provocar no dia-a-dia a mudança de paradigma, levando com que a Cibersegurança seja vista como “Business Enabler”.

Assim sendo, partilho três tópicos/práticas onde nós, os líderes e profissionais de segurança, deveremos investir mais tempo e atenção para assim estarmos preparados para, cada vez mais, colocarmos a Cibersegurança como um tema do negócio e contribuirmos para a melhoria das organizações e, consequentemente, do estado da nação:

1. Literacia financeira e conhecimento do negócio

Para que a Cibersegurança seja realmente uma função de negócio, é importante percebermos que o nosso papel é sermos “tradutores” de uma linguagem muito técnica para uma linguagem de negócio que seja percetível pelos executivos, resistindo assim a termos um discurso demasiadamente técnico, onde nos sentimos mais à vontade mas que poderá não ter a receção esperada.

É igualmente importante investir no conhecimento do negócio e terminologia financeira. Isso não quer dizer que devemos ser os “experts” em gestão, contudo devemos estar familiarizados com termos como EBITDA, P&L, Capex, Opex, entre outros. Igualmente devemos conhecer como a organização é gerida, ciclos de orçamento, modelos de financiamento e negócio. Para sermos capazes de colocar a Cibersegurança como função de negócio, temos de conhecer bem a organização.

2. Estratégia e planeamento

Existe literatura diversa sobre estratégia, diferença entre estratégia e planeamento, geração de valor e objetivos de negócio. Muita dessa literatura é lida, estudada e colocada em prática no dia-a-dia pelos líderes nas organizações. A “geração de valor” (para o cliente, acionistas, colaboradores) está sempre presente quando ouvimos falar de estratégia.

Como podemos associar a Cibersegurança à geração de valor? Por outras palavras, como conseguiremos estar no centro da estratégia organizacional e contribuir para criação de valor? Por exemplo, se a organização tiver como valor fundamental a inovação, como é que a Cibersegurança poderá contribuir para, sem proibir, potenciar a geração de valor?

Perceber de estratégia e criação de valor na organização irá contribuir para que tenhamos mais armas para colocar a Cibersegurança como “Business Enabler”. Também perceber de estratégia permitir-nos-á desenhar programas de Cibersegurança alinhados com os objetivos organizacionais, trazendo valor acrescido.

3. Liderança e comunicação

A nossa capacidade de liderar e influenciar é, em grande medida, um dos pontos cruciais para o sucesso da Cibersegurança. Como somos vistos na organização? Um líder que está ao serviço da organização ou um “justiceiro” para os prevaricadores das políticas de Cibersegurança? E para as nossas equipas? O que conhecemos hoje como “Servant Leadership” pode ajudar a encontrar caminho para ajudar a equipa, valorizando e enquadrando no propósito de servir os valores e objetivos organizacionais, principalmente numa altura de escassez de recursos especializados.

A comunicação é uma importante ferramenta de um bom líder. Pessoalmente, não é algo natural e por isso tracei há algum tempo uma jornada para melhorar a forma de comunicação, simplificar o discurso, adicionar elementos tais como “storytelling” para rapidamente alcançar a audiência. Tudo isto com o propósito de ir de encontro ao destinatário da mensagem.

Assim, com todo este conhecimento organizacional, financeiro e de como alinhar a estratégia de segurança com a do negócio, se não houver capacidade de comunicar efetivamente, não seremos capazes de influenciar a organização e promover a Cibersegurança a um tema de negócio.

Para que a Cibersegurança seja cada vez mais um tema do negócio, temos que fazer a nossa parte de perceber o negócio, falar a mesma linguagem que os executivos, ter clareza na comunicação para cada audiência e principalmente, ter a estratégia de Cibersegurança completamente alinhada com a estratégia de negócio, objetivos e valores organizacionais.

Josué Delgado

Josué Delgado

Chief Information Security Officer
Grupo Lusíadas Saúde

Josué Delgado é Chief Information Security Officer no Grupo Lusíadas Saúde. Trabalha há mais de 15 anos em Segurança de Informação, Ciber-resiliência & Transformação e entrega de programas de segurança

Outros artigos deste autor


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº7 Agosto 2022

IT SECURITY Nº7 Agosto 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.