Diretor de Segurança da Informação (CISO): em prol da segurança digital

O Diretor de Segurança da Informação (CISO) é uma figura cada vez mais requisitada pelas empresas. O aumento das ciberameaças, combinado com os processos de transformação digital que muitas empresas estão a experimentar na atualidade, tem exigido um reforço da estratégia de segurança digital no seio das organizações.

Neste sentido, o CISO (Chief Information Security Officer) tornou-se um ativo que muitas empresas a nível mundial fazem questão de prezar – apesar de ser um cargo com muitos desafios.

De acordo com um estudo realizado pela Kaspersky Lab – “What It Takes to Be a CISO: Success and Leadership in Corporate IT Security” – os CISOs de empresas mundiais não conseguem lutar contra os hackers. Aliás, segundo o mesmo estudo, 80% dos CISOs considera que existem falhas de segurança inevitáveis que os colocam num círculo vicioso de risco.

Tudo porque, devido à pouca influência que (ainda) têm nos Conselhos de Administração, os CISOs não conseguem justificar aumentos orçamentais para tornar o negócio menos vulnerável aos ciberataques.

Diretor de Segurança da Informação (CISO): principais funções e desafios

Além de ter um papel fundamental no desenvolvimento de uma estratégia de cibersegurança para uma empresa, caberá ainda ao Diretor de Segurança da Informação (CISO):

• Prevenir violações de segurança;
• Assumir a liderança no caso de ocorrer uma violação de dados;
• Assumir o papel de mediação entre a direção e a restante empresa;
• Recuperar e gerir a continuidade dos negócios em caso de ciberataque;
• Gerir acessos aos sistemas;
• Assegurar a privacidade da informação e proteção de dados dos clientes;
• Assegurar a segurança da informação em geral;
• Assegurar a conformidade com a regulação vigente;
• Gerir ciber-riscos;
• Realizar investigações de TI e análise forense digital;
• Elaborar uma arquitetura de segurança.

Principais desafios

Voltando ao estudo da Kaspersky Lab, os dados demonstram que os CISOs sentem mais pressão agora do que nunca: 57% dos CISOs europeus considera que as estruturas mais complexas, que incluem armazenamento na cloud e mobilidade, representam um grande desafio de segurança. 50% dos mesmos encontram-se preocupados com o contínuo aumento do número de ciberataques.

Os CISOs crêem que os grupos de hackers com motivações financeiras (40%) e que os ataques maliciosos desde o interior da empresa (29%) são os maiores perigos para as organizações, e que estas são as ameaças mais difíceis de prevenir  – não só porque por trás delas estão hackers “profissionais”, mas também porque contam com a ajuda de certos funcionários internos.

Além disso, debatem-se com a falta de orçamento para o departamento de cibersegurança. Apesar de não haver dúvidas que as empresas têm investido mais em segurança digital, cerca de metade dos CISOs europeus (49%) crê que os orçamentos se vão manter inalterados, enquanto a outra metade (49%) espera que aumentem.

A título de exemplo, e de acordo com os dados revelados pela Kapersky Lab, mais de um terço (36%) dos CISOs reconhece que podem não conseguir os aumentos orçamentais de segurança que necessitam, devido ao facto de não conseguirem assegurar que não haverá uma falha de segurança. Quando os orçamentos de segurança da empresa representam uma parte dos custos totais das tecnologias de informação (TI), os CISOs vêm-se forçados a competir com os outros departamentos para consegui-los.

A segunda razão pela qual os CISOs têm dificuldade em aumentar os seus orçamentos têm a ver com o facto da área de segurança, em muitas ocasiões, representar a maioria dos custos em IT. Além disso, um terço dos CISOs (33%) considera que o aumento do orçamento que podem alcançar irá para projetos digitais, cloud ou outro tipo de ações que melhor possam justificar o seu retorno de investimento.

Diretor de Segurança da Informação (CISO) e a transformação digital

Os CISOs precisam de ser ouvidos pelo Conselho de Administração à medida que a transformação digital das empresas avança.

Não é novidade que os ciberataques podem ter repercussões dramáticas para as empresas. Mais de um quarto (27%) dos participantes do estudo refere que os danos reputacionais de um ciberataque podem ser seguidos por danos financeiros (25%).

Ainda assim, e apesar do impacto negativo de um ciberataque, apenas 26% dos responsáveis de segurança e IT questionados são membros do Conselho Administrativo das suas empresas. Na Europa, entre aqueles que não o são, 4 em cada 10 (41%) acreditam que deveriam sê-lo.

A maioria dos responsáveis de segurança e IT europeus (64%) acredita que participam adequadamente no processo de tomada de decisões na empresa. No entanto, como a transformação digital se tornou chave para a estratégia das grandes empresas, a cibersegurança também deveria sê-lo. O papel do CISO deve desenvolver-se para refletir estas alterações, dando-lhes a capacidade de influenciar a tomada de decisões.

Alfonso Ramírez, diretor-geral da Kaspersky Lab Iberia, afirma que “historicamente, os orçamentos para a cibersegurança são vistos como um custo de baixa prioridade, embora hoje em dia isto esteja a mudar. O ataque às empresas modernas está a aumentar, assim como a sua frequência, impacto e o custo associados. O resultado é termos cada vez mais membros do conselho a tratar temas de segurança e IT numa lógica de investimento”.

“Hoje em dia, os riscos de cibersegurança estão no topo da agenda dos diretores gerais, financeiros e de risco”, continua. “Desta forma, um orçamento para cibersegurança não só é uma forma de evitar o incumprimento legal e os riscos desastrosos a eles associados, como é uma forma de proteger a continuidade do negócio, assim como os investimentos-chave da empresa”.