Por Ramon Ribeiro, CTO da Solo Iron
O papel do Chief Information Security Officer (CISO) nunca foi tão desafiador e crucial como nos dias de hoje.
Com o aumento exponencial das ameaças cibernéticas, que podem causar danos irreparáveis à reputação, à confiança e ao patrimônio das organizações, os CISOs precisam estar preparados para enfrentar um cenário cada vez mais complexo e dinâmico.
Em 2024, o Brasil registrou um aumento significativo nos ataques cibernéticos. No primeiro trimestre, houve um crescimento de 38% em relação ao mesmo período de 2023, com organizações brasileiras sofrendo, em média, 1.770 ataques semanais.
No segundo trimestre, o aumento foi ainda mais acentuado, atingindo 67% em comparação ao ano anterior, com uma média de 2.754 ataques semanais por organização.
No terceiro trimestre, o número médio semanal de ataques por organização no Brasil alcançou 2.766, representando um crescimento de 95% em relação ao mesmo período de 2023.
Os setores mais visados foram os de finanças, saúde, governo e energia, sendo que os principais tipos de ataques foram ransomware, phishing, DDoS e APTs (Ameaças Persistentes Avançadas).
Os CISOs têm que se adaptar a esta nova era de ataques cibernéticos sem precedentes – muitas vezes desempenhando várias funções ao mesmo tempo e, no caso do Brasil, gerenciando um cenário de contenção de custos e investimentos em cibersegurança.
O papel do CISO moderno
O cargo de CISO é relativamente novo. Ao contrário dos diretores financeiros ou diretores executivos, a função do diretor de segurança da informação não existia oficialmente até meados da década de 1990.
Além disso, o papel do CISO tem mudado constantemente nas organizações. De acordo com o relatório CISO de 2023 da Splunk, 90% dos entrevistados acreditavam que a função havia se tornado um “trabalho completamente diferente” de quando começaram.
Se no começo o CISO era responsável pela elaboração de políticas, governança de segurança e implementação de controles mais rudimentares de segurança, o que levava esse profissional a ter uma visão muito mais técnica que gerencial, hoje a lista de atribuições aumentou, e muito.
Uma delas, por exemplo, é a função política do cargo: CISOs precisam ter relações de trabalho estreitas com o CEO, o CFO e a área Jurídica da organização. O orçamento da área de Segurança é condição essencial para enfrentar a miríade de ameaças que existem hoje.
E isso, ainda, é um problema para as empresas no mundo todo, especialmente no Brasil. A complexidade do cenário traz, de um lado, um país com um dos maiores índices de ataques do mundo.
Por outro, as incertezas econômicas e a flutuação do dólar (já que a maioria esmagadora das soluções é vendida em moeda estrangeira) faz com que os CISOs tenham que se equilibrar com os recursos disponíveis para garantir a proteção da empresa.
Bons comunicadores
Ao contrário de uma imagem muito calcada no estereótipo do técnico no passado, hoje o CISO precisa ter um papel de liderança e ser um bom comunicador para liderar a criação de uma cultura sólida de segurança cibernética dentro da empresa.
Outro ponto importante é que os CISOs não podem atuar sozinhos na gestão da segurança da informação.
Eles precisam contar com o apoio e a colaboração do ecossistema externo, que inclui fornecedores, clientes, parceiros, órgãos reguladores, entidades de classe e comunidades de segurança.
Esses atores podem contribuir com informações, recursos, soluções e boas práticas que ajudem o executivo a aprimorar e a fortalecer a segurança da sua organização. Por isso, a comunicação e o relacionamento com o mercado também são fundamentais.
Segurança precisa partir de uma visão holística
Não basta ter ferramentas e processos de segurança isolados e reativos. Os CISOs precisam ter uma visão holística e integrada da segurança, que abranja desde a cultura e a conscientização dos colaboradores, até a governança e o alinhamento com os objetivos de negócio.
A segurança deve ser vista como um elemento transversal e essencial para a continuidade e o crescimento da organização, e não como um custo ou uma barreira.
Para isso, os CISOs devem envolver as demais áreas e lideranças da empresa, demonstrando o valor e o retorno da segurança, e estabelecendo políticas e indicadores claros e mensuráveis.
Senso de urgência é essencial para se antecipar às ameaças. As ameaças cibernéticas estão em constante evolução e sofisticação, e podem afetar qualquer organização, independentemente do porte ou do segmento.
Por isso, é importante estar sempre atento e atualizado sobre as tendências e as vulnerabilidades do mercado, e investir em soluções e metodologias que permitam antecipar-se às ameaças e aos riscos.
Uma das formas de fazer isso é adotar uma abordagem de segurança por design, que incorpora a segurança desde a concepção até a entrega dos produtos e serviços da organização.
Outra forma é realizar testes e simulações periódicas que avaliem a eficácia e a resiliência dos sistemas e dos processos de segurança, e identifiquem oportunidades de melhoria e de mitigação.
Mesmo que o papel do CISO ainda esteja em transformação, esse profissional é peça-chave para a proteção e a inovação das organizações na era digital.
CISOs precisam estar preparados para lidar com um nível sem precedentes de ameaças, que exigem uma gestão da segurança da informação proativa, estratégica e colaborativa.
Por fim, os CISOs devem ter em mente que a segurança da informação não é apenas uma questão técnica, mas também um fator de competitividade e de valor para os clientes.
Aqueles que conseguirem alinhar a segurança com os objetivos de negócio e as expectativas dos stakeholders, e que souberem comunicar os benefícios e os desafios da segurança de forma clara e convincente, serão capazes de construir uma cultura de segurança forte e sustentável na organização, e de contribuir para o seu sucesso e crescimento no cenário digital.
