Segurança da Informação na Diretoria

Postado em 03 de dez. de 2021 por Antonio Plais

Originalmente postado por Remco Blom* no blog da BiZZdesign. Tradução, adaptação e reprodução autorizados.

Um dos valores principais da Centus e da BiZZdesign é compartilhar conhecimento e melhores práticas. Nós regularmente organizamos e contribuímos para seminários presenciais e online, conferências e mesas redondas. Depois de uma apresentação intitulada “Segurança não é um Problema da TI”, que ilustrou a frequente falta de conexão entre as políticas e as medidas dentro das organizações, nós decidimos promover um encontro com vários especialistas e respeitados profissionais da indústria, muitos deles nossos clientes. Nesta postagem vamos apresentar as descobertas de um dos debates que tivemos, centrado na discussão sobre Segurança da Informação na Diretoria.

Apresente soluções, não apenas problemas

Problemas, ameaças e desafios da segurança são temas interessantes para discussão, e são também muito importantes. No entanto, os membros da Diretoria precisam tomar decisões, e eles precisam fazer isso rápido. Assim sendo, é importante apresentar os riscos que a sua organização está correndo no momento, mas também apresentar cenários potenciais que poderiam se materializar se uma ameaça não for enfrentada, e aconselhar sobre como seguir adiante. A maioria dos participantes declarou que a Diretoria não está disposta a se engajar em longas discussões intelectuais sobre possíveis ameaças, mas que eles desejam mensagens claras e decisões bem preparadas.

A Diretoria não é uma pessoa… é um conjunto de indivíduos, cada um com a sua própria agenda. É o seu desafio, como a pessoa responsável pela segurança organizacional, entender os seus desafios e  aconselhá-los sobre as medidas que eles devem tomar. Se você fracassar, é provável que as suas mensagens “técnicas” não encontrem terreno fértil na Diretoria.

Alinhamento com as metas da organização

As metas de negócio são tipicamente melhor documentadas do que as metas pessoais e as ambições dos membros da Diretoria. Alguns dos arquitetos de segurança presentes no nosso workshop realmente trabalharam para entender a lógica deste as metas e princípios até os elementos da sua arquitetura de segurança, indo até as medidas de segurança. Outros apenas sonham com um caminho claro e estruturado como esse, mas acreditam que isso ajudaria no seu trabalho.

Casos de uso

Políticas e medidas podem ser vistas como abstratas para os membros da Diretoria. Criar casos reais mostrando aquilo que acontece quando um hacker está batendo em uma porta digital, ou o que acontece quando um novo empregado é contratado, tornará as coisas mais palpáveis para a Diretoria. Você poderia ilustrar isso por meio de simulações. Um dos participantes sugeriu que hackear o iPhone e o tablet de um membro da  Diretoria poderia deixar uma impressão inesquecível!

Pressão dos reguladores

De acordo com alguns participantes, problemas de conformidade, regras e regulações estão tornando mais difícil para as empresas ajudar seus clientes a melhorar os seus negócios. Alguns arquitetos de segurança indicaram que a pressão dos reguladores os ajuda a colocar aspectos de segurança e privacidade na agenda da Diretoria. Ajudar a organização a se tornar conforme é visto como um valor de negócio real que os especialistas em segurança podem trazer para a organização.

Entender o contexto

Segurança da Informação na Diretoria

Riscos e segurança da informação é apenas um aspecto da operação de uma organização. Se você não entende que a segurança é apenas um dos muitos assuntos na agenda da Diretoria, você não obterá sucesso na sua tentativa de influenciá-los. Ou você ficará frustrado instantaneamente. Ao apresentar a segurança no contexto das metas de negócio você demonstra que você entende que existem mais coisas na vida do apenas segurança, risco, privacidade e confiança. Também existem as vendas, a facilidade de uso, e o tempo para o mercado. Isso fornecerá uma ótima fundação para uma colaboração futura.

Segurança da informação não tem a ver apenas com tecnologia, mas também é um problema de negócio que precisa ser compreendida e sustentada pela Diretoria. As dicas dos profissionais participantes da nossa oficina podem ajudar você a resolver os desafios que você está enfrentando.

Fique ligado na próxima postagem, quando apresentaremos dicas valiosas para lidar com a comunicação sobre riscos e segurança.

*Remco Blom é consultor sênior e especialista em melhoria de processos e segurança da informação na Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.