Na linguagem do board: como aprovar mais investimento em cibersegurança
Muitos CISOs sofrem na hora de justificar melhorias na estratégia de segurança cibernética de uma empresa e de se comunicar com decisores, que ainda enxergam esse tipo de investimento como desnecessário em pleno 2021; eis algumas dicas.
Recentemente, especialistas em segurança da informação reuniram-se virtualmente para a edição 2021 da RSA Conference, um dos maiores eventos sobre o assunto do mundo. Neste ano, a conferência naturalmente foi online por conta da pandemia do novo coronavírus (SARS-CoV2). Dentre a grande variedade de temas que foram abordados nos quatro dias de feira, um deles chamou atenção do público: afinal, como convencer o board de diretores a respeito da necessidade de realizar novos investimentos em segurança cibernética perante os desafios que estamos enfrentando?
Para um profissional da área, fica claro que a transformação digital acelerada causada pela crise da COVID-19 desfigurou completamente o perímetro, aumentou a superfície de ataques e criou novas ameaças que exigem uma nova abordagem de proteção. Não é raro que esses CISOs, porém, tenham uma grande dificuldade para se comunicar com os tomadores de decisão sobre esses novos desafios e justificar que “teremos que gastar mais dinheiro” — justamente para evitar a perda de mais dinheiro. Afinal, na maioria das vezes, os presidentes estão mais preocupados com lucro, receita, market share e afins.
O primeiro passo é abordar o board demonstrando justamente o que a falta de investimento pode causar — usar exemplos da vida real e noticiados na grande mídia, incluindo infecções por ransomwares, vazamentos de dados e os gigantescos prejuízos financeiros que isso pode causar (especialmente, é claro, perante as legislações de proteção de dados vigentes no país). Porém, não prometa milagres: deixe claro que sempre existirá um risco residual que pode ser coberto por um seguro cibernético, por exemplo. O importante é que a estratégia apresentada torne mais madura a postura de proteção de dados da companhia.
Também é importante colaborar com outros setores que estejam diretamente ligados aos riscos cibernéticos, incluindo o jurídico, os recursos humanos, o departamento financeiro, a equipe de marketing e assim por diante. A apresentação constante de métricas também contribui para uma comunicação mais transparente entre a equipe de segurança e a presidência: apresentação de eventos críticos barrados e o retorno sobre o investimento (ROI) são números que sempre agradam o board, pois mostram de forma factual que o dinheiro está sendo, de fato, bem-aproveitado.