Adapte seu programa de cibersegurança para que ele seja ágil, autônomo e inovador.
Adapte seu programa de cibersegurança para que ele seja ágil, autônomo e inovador.
Os líderes de cibersegurança enfrentam o desafio de atender às crescentes demandas por maiores volumes de projetos, tempos de resposta mais rápidos e maior flexibilidade e personalização. Tudo isso, com recursos limitados.
Diante desse cenário, como os líderes de cibersegurança podem entregar resultados e evitar o esgotamento profissional? Neste relatório de pesquisa você vai encontrar:
A aquisição, criação e a entrega de tecnologia estão migrando de funções centralizadas de TI para linhas de negócios, funções corporativas, equipes de fusão e funcionários individuais. Por isso, é importante adaptar o seu programa de cibersegurança às realidades da adoção da tecnologia. Para ajudar, confira três formas de reajustar o seu programa:
Os diretores de segurança da informação enfrentam um risco cibernético cada vez mais presente, não apenas em volume, mas também em complexidade e escopo. Os funcionários responsáveis pela cibersegurança não conseguem revisar (ou mesmo identificar) cada um deles, mas a perda de controle e visibilidade pode resultar em riscos inaceitáveis.
Enquanto isso, diretores executivos e outros executivos da empresa transferem o trabalho de tecnologia diretamente para funções de negócios, e um número cada vez maior de funcionários realiza o trabalho de tecnologia que envolve personalização, criação ou aquisição de soluções tecnológicas.
O volume e a complexidade das decisões de risco tomadas de forma distribuída na empresa agora superam as decisões tomadas pelos grupos centrais de TI e de cibersegurança.
A tendência de “centralizar para descentralizar” desponta como uma nova abordagem à governança da cibersegurança. Atualmente, a centralização de decisões reflete uma abordagem mais informada e escalável, enfatizando uma política flexível e centralizada, ao mesmo tempo que apoia a tomada de decisões locais.
Os padrões de controle são criados localmente, e a tomada de decisões locais oferece suporte a uma política governada centralmente.
Para que essa abordagem funcione, crie comitês diretores ou equipes de governança, risco e conformidade para a criação de políticas e processos que possibilitem que os responsáveis locais pelas decisões de risco façam as escolhas certas.
Caso pretenda responsabilizá-los, facilite a autonomia desses profissionais – eles devem ser capazes de agir para atender as suas expectativas.
Para alcançar critérios cibernéticos redimensionáveis, é essencial aplicar uma metodologia ágil em vez de uma metodologia em cascata (ou tradicional). A maioria das decisões e implementações de riscos cibernéticos são tomadas de forma distribuída por equipes de produtos ou unidades de negócios por meio de processos ágeis, não por processos em cascata e com etapas controlados de forma centralizada.
Mudanças superficiais não serão suficientes; os programas de cibersegurança devem mudar fundamentalmente para apoiar novos modelos operacionais:
Incorpore novas funções dentro de equipes locais e dispersas (diretores de segurança da informação empresarial, diretores locais de segurança da informação, campeões de segurança);
Combine novas maneiras de trabalhar com novos processos (DevSecOps, modelos de nuvem vem em primeiro lugar);
Crie processos escaláveis que aumentam seletivamente os conflitos, os riscos residuais excessivos e as solicitações de exceção para suporte prático na velocidade que o negócio precisa.
Quando o assunto é política, menos é mais. Os CISOs estão consolidando ou reduzindo (não expandindo) as políticas para que sejam mais fáceis de utilizar. Ao colaborar com os usuários finais nas políticas, você concede controle e responsabilidade aos responsáveis por riscos e líderes de dados para aplicação de padrões e implementação de soluções que funcionem melhor para eles.
Em resumo, defina “o que” centralmente e resolva o “como” localmente.
Fazer parte da diretoria executiva significa que você pode iniciar mais mudanças e receber menos ordens. Mas primeiro, talvez seja preciso mudar a sua perspectiva de gestor de tecnologia para um ativador de negócios, responsável por influenciar com sucesso a tomada de decisões sobre os riscos.
Para demonstrar credibilidade, afaste-se das reuniões táticas e operacionais e prefira compromissos executivos mais estratégicos. Ademais, se você espera que a sua opinião seja ouvida na diretoria executiva:
Livre-se das responsabilidades táticas e operacionais e aumente o envolvimento executivo. Considere delegar funções operacionais administrativas (como gestão de patches e administração de usuários) às equipes de TI e o treinamento de conscientização dos usuários ao departamento de treinamento de RH;
Crie histórias de valor para aumentar a credibilidade da função da cibersegurança. A percepção da cibersegurança como o “departamento do não” está muito viva. Por isso, trabalhe para mudar a visão da sua função de centro de tecnologia para ativador de negócios. Uma história de valor com métricas de apoio pode demonstrar como os resultados da cibersegurança geram maior valor comercial. Para influenciar os líderes executivos, vincule a narrativa aos objetivos claros do negócio e adapte a mensagem às prioridades das partes interessadas.
Junte-se a outros profissionais do setor para conhecer as últimas tendências nas conferências da Gartner.
As principais tendências da cibersegurança deste ano são:
Otimização para resiliência;
Otimização para desempenho.
A otimização para resiliência envolve a gestão contínua da exposição a ameaças, ampliando o valor da cibersegurança da gestão de identidade e acesso (IAM), a gestão de riscos da cibersegurança de terceiros e as aplicações orientadas à privacidade.
A otimização para desempenho envolve a IA generativa, programas de comportamento e cultura de segurança, métricas orientadas a resultados, modelos operacionais de programas de cibersegurança em evolução e requalificação.
As habilidades necessárias para as equipes de cibersegurança estão mudando drasticamente, mas os líderes de cibersegurança continuam contratando para cargos e habilidades existentes.
Os líderes de gestão de riscos e segurança (SRM) precisam requalificar suas equipes com a realização de novos treinamentos para os talentos existentes e a contratação de novos talentos com novos perfis.
Cerca de 50% das grandes empresas utilizarão a aprendizagem ágil como principal método de aquisição de novas habilidades/requalificação até 2026.
Tome estas medidas:
Desenvolva um plano de força de trabalho de cibersegurança;
Contrate para o futuro, não para o passado;
Promova uma cultura de aprendizagem ágil.
O “risco cibernético” se refere aos riscos que podem impactar os objetivos e os valores de uma organização em termos de perdas financeiras, disrupções operacionais, danos ou prejuízos causados por falhas de tecnologias empregadas para funções informativas e/ou operacionais em ambientes digitais interligados.
Os profissionais da área de riscos cibernéticos precisam adotar práticas para definir o escopo e priorizar esses riscos, vincular os tratamentos aos objetivos organizacionais e à gestão de riscos empresariais e facilitar a responsabilização e a tomada de decisões descentralizadas.