No recente painel conduzido pela IT Security sobre o “Estado da Nação” da Cibersegurança, um dos pontos levantados e debatidos foi se a Cibersegurança é, hoje, um tema na mesa da administração e como tem estado a evoluir o envolvimento da administração na Cibersegurança
Os mais recentes ataques ocorridos em Portugal, para além do impacto que as empresas visadas e seus clientes tiveram nos serviços, trouxeram uma maior atenção e foco mediático à volta da Cibersegurança. Sem dúvida que muitas organizações, por mais preparadas que se encontrassem, acompanharam este incremento com a devida preocupação e aproveitaram para rever o estado de preparação dos diversos processos que compõe as linhas de defesa e resposta a incidentes. Muitos líderes e gestores ficaram mais alertas e começaram a ver a Cibersegurança como realmente um tema importante para as organizações. A questão que muitos profissionais levantam é se será suficiente e perdurará no tempo esta atenção e importância que a Cibersegurança está a ter devido a estes eventos. Por outras palavras, após o susto e impacto que muitas organizações tiveram, será que não veremos um regresso às velhas práticas de segurança, muito focadas na reação e onde muitos profissionais de segurança continuarão a queixar-se de falta de meios e falta de relevância organizacional? Há muitas formas de abordarmos a relevância e o papel da Cibersegurança nas organizações. Sabendo que nenhuma organização está imune a ser atacada, as mais bem preparadas serão aquelas que, percebendo que a Cibersegurança é um tema de negócio, irão normalizá-la, incluir o risco cibernético na gestão de risco corporativo e “distribuir” a responsabilidade a todos os níveis, desde a liderança aos colaboradores. A nossa contribuição, profissionais e líderes de segurança, é garantir esta normalização, a mudança de mentalidade e colocar o foco na organização e no cumprimento da sua missão. Para tal, o nosso conhecimento organizacional é importante e a comunicação é crucial para podermos provocar no dia-a-dia a mudança de paradigma, levando com que a Cibersegurança seja vista como “Business Enabler”. Assim sendo, partilho três tópicos/práticas onde nós, os líderes e profissionais de segurança, deveremos investir mais tempo e atenção para assim estarmos preparados para, cada vez mais, colocarmos a Cibersegurança como um tema do negócio e contribuirmos para a melhoria das organizações e, consequentemente, do estado da nação: 1. Literacia financeira e conhecimento do negócioPara que a Cibersegurança seja realmente uma função de negócio, é importante percebermos que o nosso papel é sermos “tradutores” de uma linguagem muito técnica para uma linguagem de negócio que seja percetível pelos executivos, resistindo assim a termos um discurso demasiadamente técnico, onde nos sentimos mais à vontade mas que poderá não ter a receção esperada. É igualmente importante investir no conhecimento do negócio e terminologia financeira. Isso não quer dizer que devemos ser os “experts” em gestão, contudo devemos estar familiarizados com termos como EBITDA, P&L, Capex, Opex, entre outros. Igualmente devemos conhecer como a organização é gerida, ciclos de orçamento, modelos de financiamento e negócio. Para sermos capazes de colocar a Cibersegurança como função de negócio, temos de conhecer bem a organização. 2. Estratégia e planeamentoExiste literatura diversa sobre estratégia, diferença entre estratégia e planeamento, geração de valor e objetivos de negócio. Muita dessa literatura é lida, estudada e colocada em prática no dia-a-dia pelos líderes nas organizações. A “geração de valor” (para o cliente, acionistas, colaboradores) está sempre presente quando ouvimos falar de estratégia. Como podemos associar a Cibersegurança à geração de valor? Por outras palavras, como conseguiremos estar no centro da estratégia organizacional e contribuir para criação de valor? Por exemplo, se a organização tiver como valor fundamental a inovação, como é que a Cibersegurança poderá contribuir para, sem proibir, potenciar a geração de valor? Perceber de estratégia e criação de valor na organização irá contribuir para que tenhamos mais armas para colocar a Cibersegurança como “Business Enabler”. Também perceber de estratégia permitir-nos-á desenhar programas de Cibersegurança alinhados com os objetivos organizacionais, trazendo valor acrescido. 3. Liderança e comunicaçãoA nossa capacidade de liderar e influenciar é, em grande medida, um dos pontos cruciais para o sucesso da Cibersegurança. Como somos vistos na organização? Um líder que está ao serviço da organização ou um “justiceiro” para os prevaricadores das políticas de Cibersegurança? E para as nossas equipas? O que conhecemos hoje como “Servant Leadership” pode ajudar a encontrar caminho para ajudar a equipa, valorizando e enquadrando no propósito de servir os valores e objetivos organizacionais, principalmente numa altura de escassez de recursos especializados. A comunicação é uma importante ferramenta de um bom líder. Pessoalmente, não é algo natural e por isso tracei há algum tempo uma jornada para melhorar a forma de comunicação, simplificar o discurso, adicionar elementos tais como “storytelling” para rapidamente alcançar a audiência. Tudo isto com o propósito de ir de encontro ao destinatário da mensagem. Assim, com todo este conhecimento organizacional, financeiro e de como alinhar a estratégia de segurança com a do negócio, se não houver capacidade de comunicar efetivamente, não seremos capazes de influenciar a organização e promover a Cibersegurança a um tema de negócio. Para que a Cibersegurança seja cada vez mais um tema do negócio, temos que fazer a nossa parte de perceber o negócio, falar a mesma linguagem que os executivos, ter clareza na comunicação para cada audiência e principalmente, ter a estratégia de Cibersegurança completamente alinhada com a estratégia de negócio, objetivos e valores organizacionais. |
Josué Delgado
Chief Information Security Officer
Grupo Lusíadas Saúde
Josué Delgado é Chief Information Security Officer no Grupo Lusíadas Saúde. Trabalha há mais de 15 anos em Segurança de Informação, Ciber-resiliência & Transformação e entrega de programas de segurança
Outros artigos deste autor