As cem maiores empresas não-financeiras e brasileiras listadas no Anuário Valor 1000 não têm nas suas diretorias os executivos que administram a segurança cibernética. É zero o número de CISOs (chief information security officers) e CIOs (chief information officers) nessas cem diretorias. Pior ainda, somente em sete delas há um cargo executivo com a nomenclatura claramente associada à tecnologia da informação. Muito diferente dos bancos, por exemplo, onde gestão de TI é geralmente uma função de vice-presidente ou de diretor-executivo – veja-se por exemplo Bradesco, Caixa, Banco do Brasil.
Fiz essa pesquisa nos sites das cem empresas na internet, inspirado na pesquisa que o colega Brian Krebs fez com as cem maiores empresas do mundo. A maior parte desses sites tem uma área de Relações com Investidores e dentro dela o item Governança Corporativa, onde se encontram conselhos e diretorias. Várias delas, no entanto, são de capital fechado e não publicam qualquer informação sobre a equipe de administração.
Mesmo não sendo especialista em administração, esse quadro gera para mim algumas perguntas e reflexões. A primeira pergunta é onde estão os CISOs e CIOs? A resposta é que em várias dessas empresas eles certamente existem, mas podem estar soterrados várias camadas gerenciais abaixo do CEO. E certamente sem canal de comunicação direta com ele. O canal existente é indireto e provavelmente se trata do CIO, o chief information officer ou diretor de tecnologia – tanto faz o nome. No entanto, uma organização assim indica geralmente o seguinte: segurança está dentro de TI. Ou debaixo de TI. E só fala com TI.
Qualquer coisa dita pelo gestor de SI poderá, sim, chegar ao CEO. Mas chegará tal como é? Ou chegará filtrada, polida, aparada, colorida e cintilante? Será que chegará?
No caso da Equifax, cuja invasão no ano passado rendeu os dados de 143 milhões de pessoas aos hackers. Dez anos atrás, o CSO da Equifax estava debaixo da asa do CIO. Acontece que eles não se davam bem dentro da empresa. Por causa disso houve uma mudança na organização e o CSO passou a responder para o Jurídico (Legal). Depois da invasão e do escândalo, no entanto, nova reorganização transformou o CSO em CISO, que agora responde direto ao CEO. Em outras palavras: segurança virou diretoria e responde direto ao presidente.
Como a maioria das minhas reportagens é sobre tecnologia e com as empresas de tecnologia, sempre tive a impressão de que as outras empresas tinham um cenário parecido em termos de executivos e diretorias, mas não é assim. O fato de ter encontrado somente sete empresas com um diretor de tecnologia deixa claro para mim que para a maioria tecnologia não é estratégico, embora seja um meio. E não é estratégico porque existe entre diretores executivos – ou ainda existirá – a tese de que TI é um artigo que se compra. Ou alguma coisa que a gente encomenda para, paga e pronto, se consegue. Tenho certeza de que a existência da computação em nuvem favorece essa visão, de que TI se compra. Essas 93 empresas não têm diretor de TI mas TODAS têm um diretor financeiro. TODAS têm um diretor comercial ou de vendas. TODAS têm um diretor jurídico.
Eu tive a esperança de encontrar amparo à cibersegurança nos comitês que existem em muitas S/As, mas também não tive sorte. Existem comitês de governança, de risco, de compliance, do diabo. Mas nenhum de segurança da informação. Pode ser até que a segurança da informação esteja coberta em algum dos comitês de risco que encontrei. Mas tenho a certeza de que a esmagadora maioria discute e examina RISCOS DO NEGÓCIO, ou RISCOS DO MERCADO. E tenho quase certeza de que os membros dos comitês de risco têm uma ideia vaga, bem vaga do que seja o risco cibernético.
É possível que esse cenário evolua para melhor, à medida em que nosso calendário se aproxime de Fevereiro de 2020. Aí entrarão em vigor todos os artigos da LGPD, a legislação brasileira de proteção de dados pessoais. Evoluir para melhor, pode ser. Pero no mucho. Porque, até lá, a computação em nuvem continuará ganhando clientes e breve irá dominar 83% do mercado pelos cálculos das consultorias. E nessas condições – com os servidores fora e longe de casa – sempre será mais fácil os conselhos e os diretores financeiros continuarem considerando TI e SI temas acessórios, complementares, opcionais ou o que mais lhes convenha para economizar orçamento.
Até que chegue o desastre. Como chegou para Marriott, JP Morgan, Sony, Equifax, Renault, Honda, Target… etc etc etc etc Porque como diz todo mundo que conhece cibersegurança:
- NÃO É UMA QUESTÃO DE “SE”
- É UMA QUESTÃO DE “QUANDO”