Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
Por que os CISOs devem ser estudantes do negócio
Home > Tendências

Por que os CISOs devem ser estudantes do negócio

Conhecimento técnico só o levará até certo ponto. Para ganhar um lugar na mesa executiva, os CISOs de hoje precisam entender seus negócios

Mark Weatherford e Henry Praw

09/11/2020 às 18h00

Foto: Adobe Stock

Para os CISOs contemporâneos, tornar-se um líder de negócios se tornou tão importante quanto as habilidades técnicas em segurança. Embora ser um profissional de segurança seja uma expectativa fundamental para ser contratado, ser um profissional de negócios é algo que o CISO deve aprender proativamente se quiser ser reconhecido como um membro da equipe executiva.

Um dos momentos mais embaraçosos da minha vida ocorreu quando um colega CISO me convidou para dar um briefing de inteligência cibernética para seu Conselho de Administração. Após a apresentação, meu colega forneceu sua atualização de segurança trimestral à diretoria. Após sua apresentação, ele estava recebendo algumas perguntas e, honestamente, não estava indo muito bem. Ele começou a ficar um pouco confuso porque as perguntas estavam direcionadas especificamente para o negócio e fora de sua zona de conforto de segurança. Por fim, o presidente perguntou a ele: "Você entende como geramos receita?". Meu colega ficou sem palavras, e dizer que a conversa foi para escanteio rapidamente é um eufemismo. Foi uma experiência horrível para todos na sala, mas uma das melhores lições que já vi sobre a importância de por que o diretor de segurança da informação deve ser um estudante do negócio e entender como a empresa ganha dinheiro.

Ao longo de nossas carreiras de segurança, conversamos com centenas de pessoas e estamos universalmente surpresos com o fato de tão poucos CISOs serem adequadamente versados nos negócios reais de sua organização. A grande maioria das palestras, apresentações e conversas em conferências relacionadas à segurança enfoca tecnologia, certificações e políticas; é raro ouvir pessoas de segurança falarem em qualquer nível de detalhe sobre os muitos fatores que contribuem para a receita de seus negócios.

Ganhando um lugar à mesa

Embora a maioria das pessoas consiga um CISO ou um cargo de segurança sênior por meio de seu conhecimento de risco, tecnologia de segurança e compreensão das ameaças à segurança que a empresa enfrenta, isso não lhes garante um assento na mesa executiva. Goste ou não, a segurança não é fundamental para gerar receita na maioria das empresas, então a segurança compete pela visibilidade com a liderança executiva. Na maioria das vezes, os CISOs ainda são vistos como geeks de tecnologia que não pensam de forma ampla o suficiente para fazer parte da conversa de negócios.

CIO2503

E-book por:

Os CISOs vêm tentando argumentar nos últimos 20 anos que eles merecem fazer parte da equipe de liderança executiva, mas a maioria dos profissionais de segurança simplesmente não fez seu dever de casa para aproveitar a oportunidade. Costumamos falar sobre risco de segurança, em que a maioria dos CISOs são bastante bem versados. Mas e quanto a outros riscos de negócios, como risco competitivo, risco inflacionário, risco de mercado, risco político, risco operacional ou riscos regulatórios fora de coisas como GDPR, CCPA, HIPAA ou PCI? Esses são os tipos de riscos nos quais os líderes de negócios pensam todos os dias e as expectativas estão crescendo, embora os CISOs não precisem necessariamente ser especialistas, eles pelo menos precisam estar familiarizados com essas discussões.

Acreditamos que os líderes de segurança devem compreender os fundamentos de como sua empresa gera receita para avaliar adequadamente quais programas de segurança são apropriados para sua empresa. Eles devem compreender como a empresa ganha dinheiro e os processos que criam valor.

Compreender a receita e o valor

A maioria dos modelos de negócios é bastante simples: vender um produto ou serviço por valor maior do que custa para fabricar o produto ou entregar o serviço. Por exemplo, um varejista on-line compra um computador de um fornecedor e, em seguida, revende o computador a um consumidor por um preço mais alto do que o custo da compra. O varejista bem-sucedido entende como essas vendas funcionam e é bem versado no modelo de entrada e saída de estoque, bem como na postura geográfica e demográfica dessas vendas. Uma empresa de petróleo ou uma empresa de eletricidade deve vender seu barril de petróleo ou quilowatt-hora de eletricidade por valor maior do que o custo total para produzi-lo, sendo responsável por todos os fatores tangíveis e intangíveis que entram nessa produção.

O valor é um pouco mais complexo. Se você trabalha para uma empresa que fabrica skates, a conversa de negócios envolve muito mais do que simplesmente pegar um pedaço de madeira ou fibra de vidro e adicionar quatro rodas:

  • Como você constrói um skate melhor do que a concorrência?
  • Você tem propriedade intelectual que precisa ser protegida?
  • Quais grupos demográficos compram seus skates e como você faz o marketing para eles?
  • Quais regulamentações legislativas, ambientais e fiscais devem ser seguidas antes que um skate seja embalado e saia da fábrica?

Quanto melhor um CISO entender todos os ingredientes secretos, melhor poderá construir um programa de segurança para protegê-lo. Os riscos são diferentes para diferentes setores da economia e o CISO também precisa entender o valor para avaliar adequadamente os riscos de segurança de uma forma que a administração e o conselho entendam.

O caso para alinhamento entre segurança e negócios

Quando um executivo de segurança com visão, realmente entende o negócio, o programa de segurança se alinha com o que é mais importante para a empresa. Monitorar o desempenho dos negócios e ter um programa de segurança ágil o suficiente para reagir às mudanças do mercado permite uma redução real e adequada dos riscos.

Quando você entende seu negócio, seu programa de segurança faz sentido para a equipe executiva e eles valorizam e respeitam mais a segurança, porque o alinhamento com o negócio será óbvio. É assim que os CISOs ganham um lugar na mesa executiva.

Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15