Opinion
Nas organizações, os CISOs são vistos como as pessoas responsáveis pela segurança. Mas isso não é totalmente correto — a administração é, na realidade, a responsável pela segurança e pelos riscos como um todo e o CISO apenas garante que essas responsabilidades são cumpridas.
Por Sérgio Pedroche, Country Manager da Qualys para Portugal e Espanha . 27/08/2025
|
No entanto, de acordo com uma investigação do National Cyber Security Centre, cerca de 80% dos participantes não tinham noção a quem devia ser atribuída a responsabilidade da cibersegurança. Em muitas organizações, o CISO (ou função equivalente) afirmou que essa responsabilidade era da administração, enquanto a administração pensava que era do CISO. Na verdade, a responsabilidade é de ambos. De acordo com a IANS Research, menos de metade (47%) dos CISOs interagem com os seus conselhos de administração mensalmente ou trimestralmente, enquanto 42% apenas o fazem de forma pontual. Essa falta de consistência pode prejudicar a sua abordagem. Aconselha-se a que exista uma relação mais consistente com o conselho, de forma a ser possível abordar temas como os riscos e a cibersegurança, mas a função em si enfrenta um certo nível de ambiguidade devido à forma como qualquer relação é definida. A IANS afirma que cerca de 22% dos CISOs são destacados para projetos táticos relacionados a riscos de cibersegurança, em vez de interagir com a empresa, enquanto 50% têm algum nível de influência, mas carecem de visibilidade consistente. Não é de espantar que muitos CISOs sintam que as suas funções são indefinidas e desgastantes devido à falta de apoio da empresa em geral, de acordo com um estudo realizado por Piazza, Vasudevan e Carr para a Universidade de Greenwich. Mas como é que se supera essa divisão entre a direção de uma empresa e um CISO? Considera-se atencioso ou cuidadoso? Para muitos CISOs, o obstáculo é fazer com que os conselhos de administração se importem com o trabalho que realizam em relação aos ciberriscos. Como tornar o trabalho realizado num Centro de Operações de Segurança (SOC) relevante para o conselho de administração e o que fazer para que compreendam os riscos antes que os problemas surjam? Como evitar ser distraído por notícias sobre segurança que ganham destaque nos media, mesmo que sejam úteis para demonstrar o impacto que pode ocorrer? No entanto, fazer com que a direção da empresa se preocupe com a segurança pode levar a associações mais negativas do que apoio positivo. Paradoxalmente, preocupar-se com a segurança é o pior resultado, porque pode confirmar a posição como “apenas” responsável pelas operações táticas de segurança. Em vez disso, tem de manter uma abordagem mais ampla para fazer a maior diferença ao longo do tempo. Mas porque é que isto representa um problema? De acordo com a perspetiva de um CISO, qualquer aviso seria benéfico para a equipa, pois permite confirmar os orçamentos e planear com antecedência. No entanto, essa consideração tática ignora a lacuna fundamental que pode existir para os CISOs: como se envolver em conversas sobre operações comerciais e riscos, não apenas questões de cibersegurança. Essa abordagem, porém, faz com que se analise as questões ou ameaças específicas, em vez de se compreender os riscos ou perigos gerais que estas representam. Para as direções que estão mais habituadas a lidar com cenários de risco e planeamento, analisar o impacto monetário dos riscos é mais importante do que os riscos em si. Em resposta, pode criar um processo de operações de risco que inclua as questões potenciais e onde atribui riscos financeiros e percentagens de probabilidade contra eles. Mais importante que criar este processo é garantir que é um processo contínuo, para que o seu conselho compreenda o que a organização tem a perder. Para isso, é preciso criar uma imagem mais clara do valor de negócio que está em risco e, em seguida, quantificar esse risco na prática. Isso depende de que o valor em risco seja tangível para a administração, para que esta possa ver o impacto do seu trabalho. Estimar o impacto monetário é difícil — cada ameaça ou risco é diferente e mais ou menos provável de ocorrer —, mas não é necessário ser exato ou completamente preciso. Estes valores devem ser flexíveis de acordo com o risco e o impacto potencial que essas questões representam no momento. O que o cálculo do valor em risco demonstra é que se preocupa com o negócio e que os esforços da equipa são projetados para proteger o que o negócio mais valoriza. O maior desafio é começar. Em momentos de pressão para atribuir um valor monetário ao risco em torno de questões potenciais, podemos sentir que o trabalho ainda não é preciso o suficiente para ser partilhado. Mas sem esse esforço inicial, não é possível melhorar a precisão na medição de riscos e valores, nem partilhar essa abordagem com o conselho de administração. É melhor começar o processo ao longo do tempo, em vez de manter métricas técnicas mais tradicionais que não se conectam com o que o conselho realmente se importa. Isso também pode ajudar a redefinir a relação com a empresa, concentrar-se no impacto comercial a longo prazo e remover a incerteza que pode existir em torno da função de CISO. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
OPINION
O lado obscuro dos agentes de IA: poder sem controlo
OPINION
Pagamento de resgates do ransomware: funciona proibir?
OPINION
Shai-Hulud: um worm de supply chain com possível génese em AI
OPINION
Por fim
