Por James Pearce (*) 

Estamos em 2023 e a cibersegurança é apontada pela maioria das empresas como uma das três principais preocupações para o seu negócio. No entanto, muitas delas ainda não têm um CISO (Chief Information Security Officer) na sua Comissão Executiva (Exco) - Porquê? E como isso pode ser alterado?

Para qualquer outra função operacional central, existe representação na Exco - finanças, RH, vendas, marketing, risco, IT e operações. Estes são os domínios-chave que garantem que as prioridades estratégicas estão salvaguardadas e que o ADN cultural e operacional está incorporado no negócio.

Questão #1: Por que deve o CISO ter assento na Exco em vez de reportar ao CIO, COO ou CTO?

Em primeiro lugar, a ciber-resiliência é transversal à empresa – todos desempenham o seu papel na proteção do negócio. O IT implementa e gere um grande volume de sistemas que a segurança utiliza e controla e que o negócio depende. Para que a transformação digital seja bem-sucedida, é preciso ter plataformas e aplicações altamente disponíveis e seguras para maximizar o valor para o negócio.

Portanto, é tão válido ter o CISO com assento na Exco como qualquer outro líder estratégico que proteja, construa e faça crescer o negócio. Se a cibersegurança está no top 3 das preocupações e o Conselho de Administração é responsável pela gestão do risco corporativo, como podemos esperar que consiga ter uma visão equilibrada do risco cibernético e tome as decisões apropriadas se for apresentada através de outras lentes?

Além disso, como podemos impulsionar um ADN cibernético se a Exco, que implementa as diretrizes de topo, não tiver representação cibernética?

Em segundo lugar, a resiliência cibernética e o IT são domínios separados de especialização, mas devem trabalhar como parceiros iguais para que os sistemas sejam construídos, executados e geridos com segurança. Por isso, a cibersegurança não deve ser subordinada ao IT, mas sim ter o mesmo peso nas conversas de nível estratégico.

Finalmente, se recuarmos à história recente das empresas, o IT nem sempre teve assento à mesa da Exco. No entanto, num mundo cada vez mais digital, quem argumentaria que o CTO de um negócio centrado na cloud não precisaria de estar na Exco?

Chegou a hora do CISO ser sempre um cargo de nível Exco, especialmente em empresas de maior dimensão ou reguladas.

Isto leva à segunda questão.

Questão #2: Como é que o CISO mantém o envolvimento com a Exco?

Não faz sentido estar na Exco se o Conselho de Administração e o CEO não veem a relevância da resiliência cibernética. Isto é o que pode acontecer ao longo do tempo, já que nem todos são tão apaixonados e motivados pela cibersegurança e resiliência.

Por isso, é imperativo manter a relevância ao longo do tempo:

  1. O negócio em primeiro lugar, a cibersegurança em segundo – o CISO deve olhar todas as atividades de cibersegurança através das lentes de apoiar, proteger e facilitar os objetivos estratégicos da empresa.
  2. Ver as oportunidades, bem como as ameaças (e custos) – na área de cibersegurança, fala-se muito de cenários apocalíticos e de falhas. O negócio deve ver a cibersegurança como motor que simplifica a tecnologia, sustenta os objetivos de ESG e protege novas iniciativas de crescimento, como colocar os clientes no centro da transformação digital.
  3. Tentar dizer “não” o menos possível – a área de cibersegurança é frequentemente acusada de dizer “não” a projetos – é preciso mudar a narrativa. “Sim, contudo…” é uma resposta melhor.
  4. Apresentar a cibersegurança em termos quantificáveis – pode não ser fácil, no entanto, o resto da Exco fala em números – EBIT, CAC, margens, EPS, taxas de conversão, etc. Temos de expressar o risco cibernético em termos quantificáveis e entendíveis para o negócio – as ferramentas existem e é preciso utilizá-las.
  5. Cenários hipotéticos – as histórias são poderosas e é necessário utilizá-las para facilitar atividades cibernéticas positivas e articular o risco de não fazer nada ou o mínimo possível em comparação com o custo da cibersegurança.

Para concluir, como um colega meu diz, "a cibersegurança é o novo modelo de negócio" - é uma parte fundamental do ADN empresarial, tanto como os websites, vendas, faturação, logística, seguros e pagamentos. Portanto, a cibersegurança e sua personificação, o CISO, devem estar na Exco com a mesma importância do IT.

(*) Delivery Director na NCC Group