Brasil,

Os primeiros 90 dias de um CISO: por onde começar

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Allan Costa
  • SEGS.com.br - Categoria: Seguros
  • Imprimir

Por Carlos Rodrigues, Vice-Presidente da Varonis para América Latina

Com a falta crítica de profissionais, cada vez mais os CISOs são mais jovens. Uma pesquisa realizada pela Boyden no Brasil, há pouco mais de um ano, apontou que 93% dos diretores de Segurança da Informação brasileiros têm entre 30 e 49 anos. E esses profissionais iniciam sua carreira executiva precisando fazer uma combinação entre proficiência técnica e habilidades de liderança para comandar uma área de Segurança da Informação.

Embora esta não seja mais uma função puramente técnica, os CISOs precisam ser capazes de se comunicar de forma eficaz com seus times, compreender a evolução dos riscos de segurança e da tecnologia de proteção de dados, e articular questões e soluções de segurança complexas para executivos, que geralmente não têm o mesmo nível de conhecimento técnico.

Para CISOs que estão começando em uma nova organização que possui sistemas de governança e segurança de dados desconhecidos, os primeiros 90 dias podem ser desafiadores, para dizer o mínimo. Esse profissional terá como responsabilidade, neste período, garantir uma base de segurança sólida o mais rápido possível. Mas por onde começar? Reuni algumas considerações que podem ser importantes.

Garantir a segurança é essencial

A primeira delas, e mais importante, é começar entendendo quais são as vulnerabilidades de segurança que essa organização tem. Mesmo que a empresa já conte com uma série de sistemas e aplicações para garantir a segurança da informação, uma infraestrutura de TI desconhecida, aliada a milhares de funcionários e diversas aplicações em nuvem, representam um conjunto desconhecido de riscos que um CISO precisa avaliar antes de poder abordá-los e priorizá-los. Cada segundo que existe uma lacuna de segurança representa uma ameaça para toda a organização.

O segundo ponto é construir uma base de comunicação e coordenação transparente com a equipe, pares e o nível executivo. Por isso, é preciso manter um canal aberto com todos os stakeholders envolvidos – alinhando demandas técnicas aos objetivos do negócio e apresentando soluções para pessoas não técnicas.

O terceiro ponto é a obtenção da adesão dos stakeholders para as inciativas de segurança. Conseguir o buy-in e o orçamento para fazer as mudanças necessárias pode ser difícil. Isso vai exigir que o CISO defenda de maneira firme a importância da segurança – o que, diga-se de passagem, não é muito simples. No Brasil a segurança muitas vezes ainda é vista como um gasto desnecessário, visto que o país está sempre no topo dos mais atacados no mundo.

O quarto e o último ponto é a capacidade de lidar com momentos de redução de custos. Este ano, por exemplo, o mercado sentiu a restrição de orçamento após o primeiro trimestre. Isso exige do novo CISO a visão estratégica e operacional para consolidar soluções, melhorar fluxos de trabalho e negociar com fornecedores – garantindo que as medidas necessárias de segurança sejam tomadas, apesar do orçamento menor.

Plano de ação para os primeiros 90 dias

Ter um plano de ação em vigor para os primeiros dias pode ajudar os CISOs a priorizar as ações que precisam tomar, com base no que aprenderam sobre os sistemas e dados existentes na empresa. Isso significa reduzir a sensação de sobrecarga e trabalhar estrategicamente em direção aos objetivos de negócios.

Nesse caso, o primeiro passo é realizar uma avaliação de riscos de dados que permite ao CISO identificar vulnerabilidades e riscos no perímetro e nos endpoints, encontrar pontos em que é possível simplificar a conformidade, e priorizar riscos, de acordo com as necessidades do negócio.

O segundo passo é contar com uma solução que possa detectar e responder prontamente quaisquer violações potenciais. Neste ponto, as soluções DSPM [Data Security Posture Management, na sigla em inglês] possibilitam o monitoramento proativo de alertas e investigação de ameaças, o desenvolvimento de um modelo de ameaça personalizado, com respostas automatizadas e atualizações regulares para revisar as descobertas de segurança.

O terceiro passo é entender a estrutura de nuvem da empresa. Na medida em que aumenta a adoção de serviços em nuvem, os CISOs precisam saber onde estão os riscos em cada ponto de contato para que possam priorizar cada risco e implementar a segurança necessária. Isso inclui fatores como monitoramento de identidade na nuvem, capacidade de detecção de alterações no ambiente e desvios de conformidade

O terceiro passo desse plano de ação é a criação de relatórios e dashboards que ajudem o CISO a monitorar o ambiente, bem como entender se os dados confidenciais e mais importantes da organização estão seguros. Para isso, é preciso compreender com exatidão a localização desses dados, bem como monitorar acessos e atividades não autorizadas. Esse passo, em especial, é bem relevante: dados vazados podem gerar infrações na LGPD (Lei Geral de Proteção de Dados), e onerar a empresa com multas – além do custo reputacional de um vazamento.

Para resumir, enfrentar o desafio do cargo de diretor de Segurança da Informação não é fácil. Além dos aspectos gerenciais, as vezes é preciso fazer uma alteração estratégica na tecnologia para garantir a segurança necessária. Certamente, uma alteração de rota não é algo muito simples, mas as dores de uma mudança repentina certamente serão bem menores do que enfrentar as consequências de um cibercrime.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar