Como os CISOs da próxima geração podem se tornar agentes de mudança

CISOs com visão para o futuro estão buscando um novo papel, construindo relações interfuncionais mais fortes para apoiar a inovação e a transformação.

Como os diretores de segurança da informação (CISOs - Chief Information Security Officer) conquistam a confiança de seus conselhos, asseguram os recursos necessários para proteger suas empresas e passam a ocupar uma posição mais estratégica no negócio? A nova pesquisa da EY revela que a próxima geração de CISOs está determinada a desempenhar um papel fundamental na geração de valores e na viabilização de mudanças. Para chegar lá, estes CISOs estão buscando um novo tipo de relacionamento com seus colegas.

Os CISOs sabem muito bem que, diante da crescente ameaça da cibersegurança, sua responsabilidade fundamental é a segurança e a proteção de suas organizações. E a EY Global Information Security Survey (GISS) deste ano, que contou com a participação de quase 1.300 organizações em todo o mundo, descobriu que os ataques estão se tornando mais frequentes: 59% das organizações dizem ter sido, de forma mais frequente, alvo de ataques nos últimos 12 meses, em comparação ao ano anterior.

Entretanto, a GISS também revela que os CISOs da próxima geração acreditam que seu papel precisa ser expandido agora. Eles esperam estar muito mais alinhados aos negócios, focados na construção de relacionamentos fora da TI e comprometidos com os imperativos comerciais da organização - incluindo a transformação digital..

O CISO Inovador

Os CISOs da próxima geração - que atualmente são a minoria - já estão criando esse tipo de papel para si próprios. Por exemplo, eles estão se envolvendo com seus conselhos mais regularmente, com 29% das organizações pesquisadas, confirmando que a segurança cibernética é um item da agenda do conselho a cada trimestre. E eles estão alcançando todos os negócios para formar novas alianças com funções com as quais o CISO tradicionalmente tem pouco contato. Muitas equipes de segurança construíram relacionamentos de confiança com funções como TI e risco, que são seus colegas mais próximos na organização, mas o GISS mostra que alguns estão indo além: 26% dos entrevistados descrevem sua relação com o marketing como sendo de confiança mútua ou alta , envolvendo bons níveis de consulta, e 36% dizem o mesmo da equipe de pesquisa e desenvolvimento.

Essa quebra de barreiras tradicionais é crucial para o CISO contribuir de uma forma mais voltada para os negócios e com valor agregado. A evidência da GISS deste ano é que, em muitas organizações, os CISOs e suas equipes ainda são considerados reativos e orientados para a conformidade, em vez de parceiros nos objetivos de crescimento do negócio. Mais CISOs devem agora considerar como podem melhorar seus perfis e serem vistos como inovadores: apenas 7% dos entrevistados disseram que suas equipes de gerenciamento executivo descreveriam o papel da segurança cibernética como “possibilitando a inovação com confiança”.

Sua recompensa? A oportunidade de apoiar sua organização na busca de seus objetivos comerciais. Por exemplo: relativamente, poucas equipes de segurança estão atualmente envolvidas, desde o início, no lançamento de novos produtos e serviços. Apenas 36% dos entrevistados dizem que a equipe de segurança cibernética é trazida para tais iniciativas na fase de planejamento. Um grande número não é consultado até que os produtos e serviços tenham sido projetados; em alguns casos, eles não são consultados de nenhuma forma.

De um ponto de vista de segurança, isto perde um trunfo. Ele impede que as organizações trabalhem com uma mentalidade de Security by Design e as força a adaptar suas proteções. Mais amplamente, isso significa que os CISOs não estão realizando seu potencial - eles poderiam se tornar agentes vitais de mudança, permitindo que suas organizações busquem a transformação digital essencial com confiança.

Envolver os CISOs muito tardiamente também afeta sua capacidade de assegurar os recursos de que necessitam para salvaguardar adequadamente suas organizações. Muitas equipes de segurança identificaram a obtenção ou justificação de orçamento como um dos principais desafios operacionais deste ano; isto pode refletir frustração mútua em nível de conselho com repetidas demandas por gastos com cibersegurança e equipes de segurança provando ao conselho que eles estão atuando de acordo com as expectativas.

Reformulando a conversa

Os CISOs da próxima geração estão respondendo através do processo de reformulação de seu caso para obter financiamento. Enquanto a maioria dos CISOs continua justificando o aumento dos gastos em termos de redução de risco ou necessidades de conformidade, 9% agora citam a habilitação de novas iniciativas comerciais. Esta mudança em direção a novos negócios deverá aumentar nos próximos anos: 40% dos respondentes da GISS já estão se concentrando em aumentar os gastos com cibersegurança nas áreas do negócio onde há oportunidades de crescimento e transformação.

A comunicação nestes termos será cada vez mais importante para a próxima geração de CISOs, que estão buscando um nível diferente de engajamento do negócio. Os relatórios do conselho, por exemplo, representam uma importante oportunidade para mudar a narrativa. Nos últimos GISS, 25% dos CISOs estão confiantes de que podem quantificar, em termos financeiros, a eficácia de seus gastos para enfrentar os riscos; o restante se preocupa por não poder articular suas realizações ao conselho.

Da mesma forma, apenas uma pequena minoria de CISOs está demonstrando o desempenho da equipe de segurança a seus conselhos de administração usando métricas alinhadas aos objetivos comerciais que os executivos já entendem. A maioria ainda está fornecendo relatórios de status ou balanços após incidentes ou violações - uma tática que só irá prolongar e intensificar a desconexão entre o conselho e a função de segurança.

O desafio agora é que os CISOs avaliem sua posição em suas organizações e determinem como ela precisa se adaptar. O trabalho do dia - manter a empresa segura - continua, mas o CISO de amanhã também será um pensador estratégico e agente de mudança. Relações mais fortes com outras funções em toda a empresa ajudarão a segurança a se envolver muito mais cedo em novas iniciativas e no processo de transformação. Um engajamento mais estreito com o conselho, construído sobre as duas partes, falando a mesma língua, melhorará o status dos CISOs e os posicionará como facilitadores da inovação.

Esta é uma mudança que tornará o trabalho diário mais simples. Os CISOs envolvidos em novas iniciativas desde o primeiro dia têm a oportunidade de incorporar uma cultura de Security by Design - em vez de ter que se esforçar para adicionar proteções retrospectivamente. E aqueles com relacionamentos mais fortes com o conselho acharão mais fácil defender os recursos de que precisam. Reposicionar o CISO como um agente de mudança é uma situação vantajosa para todos.