De acordo com uma pesquisa da Threat Track Security, empresas que possuem a posição de CSO são significativamente mais conscientes dos riscos e ameaças e mais confiantes na capacidade de se defender contra ataques. Mas qual é o verdadeiro impacto que a posição de CSO possui se compararmos com empresas que possuem apenas o CIO ou gestores de TI? Quais os benefícios internos que a posição de CSO traz?

Por definição, o CSO é uma posição de C-level. Portanto, o CSO deve possuir grande visibilidade e acessibilidade para gerenciamento executivo. O CSO é responsável por alinhar as iniciativas de segurança com os objetivos da empresa, garantindo que informações e tecnologias estejam adequadamente protegidas. A conversa com o board executivo não deve ser simplesmente esperada, é uma responsabilidade do CSO gerar e manter esse diálogo.

O diálogo com o board executivo é de extrema importância. O CSO precisa estar a par dos objetivos do negócio, assim como demonstrar o valor da segurança para quem dita os rumos da empresa. Esse diálogo favorece uma série de fatores, como por exemplo, maior investimento para a área. Contudo, esse canal de comunicação deve ser criado pelo CSO. Para atingir esse patamar ideal, três objetivos são necessários:

  1. Estabelecer uma comunicação recorrente com o board executivo. Isso pode incluir um relatório executivo periódico com os indicadores de segurança, métodos de proteção, aplicações críticas e outros. O importante é informar de forma educativa, simples e sucinta o que está ocorrendo, permitindo que o board tome as decisões corretas para o negócio. Isso auxilia inclusive em caso de ataque bem sucedido, já que o board estará a par das ações de segurança.
  2. Alinhar as iniciativas de segurança com os objetivos do negócio. Isso implica que as iniciativas de segurança precisam ser baseadas nas delimitações dos objetivos do negócio, no risco e no custo total de aquisição (TCO). Esses devem ser os parâmetros para que a segurança efetivamente converse com o negócio e demonstre valor para o board.
  3. Utilizar um planejamento de segurança robusto, que servirá de base para a evolução da segurança na empresa e na gestão dos riscos, redução e/ou mitigação de vulnerabilidades. O planejamento precisa ser customizado para a empresa, levando em consideração os objetivos do negócio, infraestrutura de TI e outras questões. Existem planejamentos disponíveis como ISO 27001, COBIT e NIST 800-53.

Conclusão

Diferentemente de um gestor, ou supervisor da área de segurança, a posição de CSO alça o gestor de segurança ao C-level, criando possibilidades de diálogo que antes não existiam na empresa. Podemos dizer então que a posição de CSO beneficia a empresa, conectando a segurança da informação e reduzindo os riscos, a partir do momento em que o profissional possui iniciativa e utiliza a posição para gerar um canal de comunicação entre o setor e o board executivo.

Por fim, um bom CSO deve conseguir identificar as metas prioritárias, os objetivos do negócio e estabelecer métricas consistentes com o planejamento estratégico corporativo. Também deve trabalhar em conjunto com gestores e executivos de outros setores da empresa, a fim de conseguir priorizar as iniciativas de segurança, assim como o orçamento de segurança e os investimentos necessários.

img_gestaofinanceira