A guerra do CISO contra o crime digital é em parte contra atacantes externos, em parte contra a cultura interna da organização. Há times que não aceitam a verdade de que a segurança digital é uma missão para todos, não só para os profissionais de TI. O quadro fica mais desafiador quando se analisa os valores financeiros envolvidos nesta guerra. Segundo o Gartner, a economia global investirá US$ 4,3 bilhões em cybersecurity em 2024. É uma cifra impactante, mas que não se aproxima do prejuízo causado pelos ataques digitais: US$ 9,5 trilhões em 2024, segundo estudo da Cybersecurity Ventures. Um estudo com 2600 líderes de tecnologia divulgado em junho revela que 79% dos líderes de segurança sentem-se pressionados pelo C-Level a minimizar a gravidade dos riscos cibernéticos, uma realidade com impacto direto sobre o budget da área de TI e Segurança. Além de terem sua opinião desconsiderada, alguns CISOs reclamam de serem chamados de repetitivos ou irritantes.
Por outro lado, quando contam com argumentos conectados à sustentação dos processos de negócios, 46% conseguem a aprovação para projetos inovadores que, além de elevar a postura de segurança da empresa como um todo, abrem caminho para disruptivos negócios digitais.
Mensurando a maturidade digital da empresa
Antes de defender um novo projeto, é recomendável que o CISO faça uma complexa lição de casa: mensurar a maturidade digital da empresa e, a partir daí, estimar em moeda corrente o prejuízo que a empresa sofreria em caso de um ataque. Trata-se de dar corpo a uma ameaça antes que ela aconteça, algumas vezes utilizando casos de outras empresas, até mesmo de outras verticais, para se chegar a um número que faça sentido. Num portal de e-commerce, por exemplo, é fundamental mensurar quantas vendas deixaram de ser feitas diante de um ataque, chegando ao detalhe de detalhe para, diante de questionamentos do Board, ter respostas prontas e alinhadas com o contexto.
Falar em linguagem de cybersecurity com os líderes de negócios não levará o CISO a lugar algum. Mas, para conseguir traduzir questões técnicas complexas – que envolvem vulnerabilidades em hardware, software e gestão de pessoas e processos –, um longo e detalhado percurso tem de ser realizado.
Segundo o World Economic Forum Global Cybersecurity Outlook 2024 – estudo realizado a partir de entrevistas com 199 líderes de TI e segurança de empresas globais –, o maior impedimento para o sucesso dos projetos de cybersecurity é a dificuldade em inseri-los na inovação dos negócios da organização usuária.
Cabe ao gestor de tecnologia conhecer em profundidade a cadeia de valor da empresa, quais são os processos críticos para o negócio e, a partir daí, construir um retrato que revele o quão digital é esse universo.
Por meio da contratação de uma consultoria ou utilizando seus recursos internos é possível, a partir de benchmarks de mercado como o NIST (National Institute of Standards and Technology), medir a maturidade digital da empresa. Enquanto a ISO 27001 tem 127 controles (pontos a serem checados), o NIST é organizado em 23 categorias e 108 subcategorias.
Problemas com a qualidade dos dados
Outra frente de batalha diz respeito à Inteligência Artificial, que está entrando com força nas empresas sem que os dados tenham sido previamente tratados e classificados. Estudo da F5 realizado a partir de entrevistas com 700 líderes de tecnologia, 25 do Brasil, revela que 72% dos gestores enfrentam problemas com a qualidade dos dados. Uma das maiores dores é a ausência de fonte única de verdade para seus dados.
Realizar assessments prévios nessas áreas colabora para que o CISO enxergue com clareza o grau de maturidade digital da empresa e, a partir daí, desenhe um roadmap de novas aquisições em cybersecurity de acordo com as necessidades de crescimento da organização. Sem ter cumprido essa etapa, o CISO pode acabar não conquistando o apoio do C-Level para a inovação em escala da segurança. Derrotas para criminosos digitais serão o resultado deste quadro.
*Hilmar Becker é Diretor Regional da F5 Brasil.