Segurança da Informação: 7 Dicas de Comunicação para Envolver o Negócio

Postado em 03 de dez. de 2021 por Antonio Plais

Originalmente postado por Remco Blom* no blog da BiZZdesign. Tradução, adaptação e reprodução autorizados.

Há poucos dias iniciamos uma série de postagens baseada em discussões que tivemos com profissionais experientes do mercado e dos nossos clientes, reunidos para falar sobre a falta de conexão entre as políticas e as medidas em muitas organizações. Estas discussões aconteceram na forma de quatro rodadas de debates. Na postagem anterior, nós apresentamos a segurança da informação como uma necessidade da vida. Não há dúvida de que a Segurança da Informação é um tema muito importante para a maioria das organizações, mas durante o debate muitos participantes se mostraram inseguros em relação a se, e como, comunicar sobre isso para o restante da empresa. Nesta postagem apresentaremos as conclusões dessa discussão

Comunique o problema e a solução

A primeira pergunta quando discutimos a comunicação sobre riscos e segurança na arquitetura foi: nós precisamos comunicar sobre isso? E, se a resposta for sim, como? Para quem? E o que? Isso causou um debate acalorado entre os participantes. A conclusão geral foi que a comunicação é, de fato, imprescindível, e que os tomadores de decisão são o nosso público-alvo, uma vez que o negócio precisa estar bem informado para tomar as decisões corretas sobre o dimensionamento adequado das medidas. Responder à segunda pergunta, o que comunicar, foi muito mais difícil, uma vez que as diferenças entre os tomadores de decisão do negócio são enormes. Interesses pessoais, experiências, nível de educação e área profissional geralmente variam. De qualquer forma, fomos capazes de produzir uma lista de boas práticas.

7 melhores práticas: comunicando riscos corporativos e segurança da informação

1. O risco não machuca. O impacto sim!
2. Use metáforas
3. Mostre exemplos concretos
4. Teste a segurança
5. Comunicação específica para cada parte interessada
6. Não use jargões e, se você realmente precisar fazê-lo, use jargões do negócio
7. Torne isso pessoal

Para cada melhor prática tentaremos explicar o que você pode fazer, e como fazê-lo, e como isso contribui para o entendimento dos riscos de segurança da informação e das medidas de controle.

1. Risco não machuca. O impacto sim!

Tipicamente os gerentes de risco e arquitetos de segurança tentam ganhar a atenção de seus gerentes de duas formas diferentes. Um método popular é mirar o medo e a dor. Eles comunicam o impacto potencial dos riscos sobre o negócio. Alternativamente, alguns participantes obtém maior sucesso vendendo o medo em vez de vender o ganho de estar seguro.

2. Use metáforas

Metáforas são extremamente efetivas para comunicar conceitos mais complexos para a equipe de gerentes de negócio. Por exemplo, você pode simplificar a discussão, comparando a segurança da informação com um seguro. Todo mundo possui algum tipo de seguro. Muitas pessoas possuem mais seguros do que eles realmente precisam. A maioria das pessoas espera que eles jamais vão precisar dele, mas eles continuam os possuindo, apenas por segurança. Outros participantes mencionaram a metáfora do tráfego. Talvez alguns gerentes gostem de dirigir em alta velocidade. Eles provavelmente sabem que as coisas podem sair errado, e eles podem acabar recebendo alguma multa, mas eles estão dispostos a aceitar este risco. Alguns gerentes podem nunca dirigir acima do limite de velocidade, porque eles sabem que eles poderiam perder a sua licença. Outros poderiam usar aplicativos para determinar onde estão os pontos de controle da polícia. quando você usa metáforas os riscos podem ser compreendidos com maior facilidade do que usando a terminologia de segurança cibernética mais abstrata. Isso ajuda a defendere a importância do gerenciamento de riscos.

3. Mostre exemplos concretos

Raymond Slot mostrou que somente 6% dos ataques são tornados públicos. Eles, no entanto, realmente ajudam para aprender o que poderia ser as perdas em caso de vazamentos. Use isso! De preferência usando exemplos de sua própria indústria e região, para tornar isso o mais próximo do negócio quanto possível.

4. Teste a segurança

A cada dois meses nós paramos em frente ao nosso edifício depois de mais uma simulação de  incêndio. É inconveniente e irritante, mas nós todos entendemos que isso tem alguma forma de propósito. O teste de problemas de segurança cibernética na vida real é feito por meio de testes de penetração, por exemplo. Mas o negócio em si, e a equipe gerencial em particular, dificilmente são afetados por estes testes. Alguns participantes nas nossas discussões tinham boas experiências com testes de segurança na vida real para vazamentos, ataques e interrupção de serviços. Isso não apenas fornece informação relevante para você, mas também ajuda a fornecer para as suas partes interessadas o senso de urgência adequado em torno do assunto.

5. Comunicação específica para cada parte interessada

“O negócio” não é uma pessoa. É uma ampla audiência cobrindo desde os empregados do chão-de-fábrica, líderes de equipe, audiência não-técnica, semi-técnica e técnica, até os membros da Diretoria e até mesmo alguns parceiros de negócio. Estes grupos possuem diferentes necessidades de informação e necessitam de estilos de comunicação diferentes. Algumas pessoas na audiência criam estratégias de comunicação para periodicamente apresentar as informações de segurança corretas, por meio do canal correto, e para a audiência correta.

6. Não use jargões e, se você realmente precisar fazê-lo, use jargões do negócio

Arquitetos compreendem a distinção entre modelos conceituais, lógicos e físicos, e consideram os métodos que precisam ser aplicados. Mas gerentes não se importam…mesmo! O único jargão em que eles são fluentes é o jargão do seu próprio negócio. Dinheiro, velocidade e risco é o jargão que deve ser usado na Diretoria. Alguns dos participantes na nossa oficina defendeu a implementação de medidas em torno das perdas financeiras potenciais que poderiam advir dos riscos financeiros. Isso perece ter realmente ajudado a engajar os membros da Diretoria no assunto da segurança da informação.

7. Torne isso pessoal

A mensagem principal que deveria ser entranhada na cabeça dos gerentes de negócio após uma reunião sobre segurança da informação deveria ser: “esse é um problema sério”. Ou mais concretamente: “Isso afeta minha posição/meu pessoal/meus clientes/minha carreira/minha vida”. Discutir esses assuntos apenas em grandes reuniões não irá realmente ajudar você a obter retorno e entender se a sua mensagem está tocando o ponto exato. Não fale para os gerentes que você gostaria que estivessem ao seu lado quando o assunto é segurança, mas fale com eles!

Fique ligado na próxima postagem nesta série, onde discutiremos: o que realmente funciona para construir a consciência da segurança da informação?

*Remco Blom é consultor sênior e especialista em melhoria de processos e segurança da informação na Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.