Os primeiros 90 dias de um CISO: por onde começar

Carlos Rodrigues*
23/10/2023

Com a falta crítica de profissionais, cada vez mais os CISOs são mais jovens. Uma pesquisa realizada pela Boyden no Brasil, há pouco mais de um ano, apontou que 93% dos diretores de Segurança da Informação brasileiros têm entre 30 e 49 anos. E esses profissionais iniciam sua carreira executiva precisando fazer uma combinação entre proficiência técnica e habilidades de liderança para comandar uma área de Segurança da Informação. 

Embora esta não seja mais uma função puramente técnica, os CISOs precisam ser capazes de se comunicar de forma eficaz com seus times, compreender a evolução dos riscos de segurança e da tecnologia de proteção de dados, e articular questões e soluções de segurança complexas para executivos, que geralmente não têm o mesmo nível de conhecimento técnico.

Para CISOs que estão começando em uma nova organização que possui sistemas de governança e segurança de dados desconhecidos, os primeiros 90 dias podem ser desafiadores, para dizer o mínimo. Esse profissional terá como responsabilidade, neste período, garantir uma base de segurança sólida o mais rápido possível. Mas por onde começar? Reuni algumas considerações que podem ser importantes. 

Garantir a segurança é essencial

A primeira delas, e mais importante, é começar entendendo quais são as vulnerabilidades de segurança que essa organização tem. Mesmo que a empresa já conte com uma série de sistemas e aplicações para garantir a segurança da informação, uma infraestrutura de TI desconhecida, aliada a milhares de funcionários e diversas aplicações em nuvem, representam um conjunto desconhecido de riscos que um CISO precisa avaliar antes de poder abordá-los e priorizá-los. Cada segundo que existe uma lacuna de segurança representa uma ameaça para toda a organização.

O segundo ponto é construir uma base de comunicação e coordenação transparente com a equipe, pares e o nível executivo. Por isso, é preciso manter um canal aberto com todos os stakeholders envolvidos – alinhando demandas técnicas aos objetivos do negócio e apresentando soluções para pessoas não técnicas.

O terceiro ponto é a obtenção da adesão dos stakeholders para as inciativas de segurança. Conseguir o buy-in e o orçamento para fazer as mudanças necessárias pode ser difícil. Isso vai exigir que o CISO defenda de maneira firme a importância da segurança — o que, diga-se de passagem, não é muito simples. No Brasil a segurança muitas vezes ainda é vista como um gasto desnecessário, visto que o país está sempre no topo dos mais atacados no mundo.

O quarto e o último ponto é a capacidade de lidar com momentos de redução de custos. Este ano, por exemplo, o mercado sentiu a restrição de orçamento após o primeiro trimestre. Isso exige do novo CISO a visão estratégica e operacional para consolidar soluções, melhorar fluxos de trabalho e negociar com fornecedores – garantindo que as medidas necessárias de segurança sejam tomadas, apesar do orçamento menor.

Plano de ação para os primeiros 90 dias

Ter um plano de ação em vigor para os primeiros dias pode ajudar os CISOs a priorizar as ações que precisam tomar, com base no que aprenderam sobre os sistemas e dados existentes na empresa. Isso significa reduzir a sensação de sobrecarga e trabalhar estrategicamente em direção aos objetivos de negócios.

Nesse caso, o primeiro passo é realizar uma avaliação de riscos de dados que permite ao CISO identificar vulnerabilidades e riscos no perímetro e nos endpoints, encontrar pontos em que é possível simplificar a conformidade, e priorizar riscos, de acordo com as necessidades do negócio.

O segundo passo é contar com uma solução que possa detectar e responder prontamente quaisquer violações potenciais. Neste ponto, as soluções DSPM [Data Security Posture Management, na sigla em inglês] possibilitam o monitoramento proativo de alertas e investigação de ameaças, o desenvolvimento de um modelo de ameaça personalizado, com respostas automatizadas e atualizações regulares para revisar as descobertas de segurança. 

O terceiro passo é entender a estrutura de nuvem da empresa. Na medida em que aumenta a adoção de serviços em nuvem, os CISOs precisam saber onde estão os riscos em cada ponto de contato para que possam priorizar cada risco e implementar a segurança necessária. Isso inclui fatores como monitoramento de identidade na nuvem, capacidade de detecção de alterações no ambiente e desvios de conformidade. 

O terceiro passo desse plano de ação é a criação de relatórios e dashboards que ajudem o CISO a monitorar o ambiente, bem como entender se os dados confidenciais e mais importantes da organização estão seguros. Para isso, é preciso compreender com exatidão a localização desses dados, bem como monitorar acessos e atividades não autorizadas. Esse passo, em especial, é bem relevante: dados vazados podem gerar infrações na LGPD (Lei Geral de Proteção de Dados), e onerar a empresa com multas – além do custo reputacional de um vazamento.

Para resumir, enfrentar o desafio do cargo de diretor de Segurança da Informação não é fácil. Além dos aspectos gerenciais, as vezes é preciso fazer uma alteração estratégica na tecnologia para garantir a segurança necessária. Certamente, uma alteração de rota não é algo muito simples, mas as dores de uma mudança repentina certamente serão bem menores do que enfrentar as consequências de um cibercrime.

*Carlos Rodrigues é vice-presidente da Varonis para América Latina.

Compartilhar: