A mais nova responsabilidade do CISO: construir confiança

 em Comportamento, Gestão, Líderes de TI, Negócios, Profissionais de TI

Confiança está se tornando diferenciador no mercado e os CISOs que buscam um papel mais estratégico devem envolver toda a gama de partes interessadas

Kirsten Davies teve uma tarefa difícil: fazer com que os colaboradores europeus da sua empresa adotassem novos protocolos de segurança que eles temiam que pudessem ser utilizados ​​para espioná-los.

Davies, que na época era vice-CISO da HPE, precisava engajar os funcionários da companhia em várias novas ferramentas e políticas, acompanhando a preparação da União Europeia para aprovar o Regulamento Geral de Proteção de Dados (GDPR) e seu conjunto de regras de privacidade. Porém, os trabalhadores temiam que as ferramentas de segurança pudessem ser usadas pela empresa para vigilância e questionavam se os recursos poderiam violar sua privacidade.

Para enfrentar essas preocupações, Davies viajou pela Europa, reunindo-se com conselhos de trabalhadores para definir os riscos enfrentados pela empresa e a importância das ferramentas que estavam sendo introduzidas. Ela começou na Alemanha, onde, uma americano nativo de língua inglesa, usou sua fluência em alemão para criar relacionamentos.

Davies explica que o objetivo era fazer com que os trabalhadores entendessem como as novas ferramentas protegiam a eles e a empresa e por que eram tão importantes. Ela conseguiu, criando um Contrato Mestre de Cibersegurança com o Conselho de Trabalhadores da Alemanha que se tornou um modelo para acordos semelhantes entre os mais de 20 conselhos de empresa da HPE.

“Esse primeiro acordo de segurança cibernética nos permitiu ter um acordo confiável de ambos os lados, para dizer que estamos trabalhando em parceria para proteger a empresa”, diz Davies.

Davies, agora vice-presidente sênior e CISO da The Estée Lauder Companies Inc., fabricante multinacional e comerciante de várias marcas de produtos de beleza, afirma que a sua experiência em 2016 com esses conselhos de trabalhadores coincidiu com uma nova responsabilidade dentro da função de segurança: convencer vários constituintes que eles poderiam confiar na organização e em seus líderes para fazer o que é certo por eles quando se trata de segurança e privacidade de dados.

“A confiança está em evolução no momento, mas a expectativa é de que as transações conosco sejam seguras, estáveis ​​e autênticas”, afirma Davies.

Os CISOs, assim como os CIOs e os seus colegas de TI, viram suas funções evoluírem, passando de atividades focadas em implantações táticas para uma posição executiva envolvida em estratégia. Agora, a posição do CISO está crescendo ainda mais, para dar conta de toda a gama de partes interessadas da organização – de clientes e parceiros de negócios a funcionários e membros do conselho – para criar confiança de que a organização tem os melhores interesses em mente quando se trata de segurança cibernética.

Porém, isso não é simplesmente uma discussão esotérica ou um exercício filosófico: os CEOs acreditam que construir e manter a confiança com seus stakeholders é fundamental para o sucesso na era digital. A PwC descobriu em sua 21ª Pesquisa Global de CEOs que 87% dos CEOs globais dizem estar investindo em segurança cibernética para criar confiança com os clientes.

Parece que a confiança está se tornando um diferencial no mercado.

“Haverá vantagem competitiva material para as organizações que estiverem usando dados de maneira ética, protegendo-os e gerenciando-os da maneira que deveriam”, declara Shawn Connors, líder de prática de segurança cibernética e privacidade da PwC.

O valor da confiança

A PwC adverte os executivos para não subestimar a necessidade de confiança no atual mundo digital, nem subestimar seu valor.

“Se a força vital da economia digital são os dados, seu coração é a confiança digital – o nível de confiança nas pessoas, processos e tecnologia para construir um mundo digital seguro”, escreve a PwC em seu relatório “A jornada para a confiança digital”.

Os CISOs, é claro, têm estado imersos em proteger os sistemas e os dados das suas empresas. E os executivos e membros do conselho há muito esperavam que os CISOs cumprissem essas atividades; mesmo clientes e parceiros de negócios esperam que os CISOs executem essas tarefas de forma satisfatória.

Agora, porém, os CISOs também estão enfrentando uma expectativa social crescente, diz Benjamin Wright, advogado especialista em leis de tecnologia e instrutor sênior do Instituto SANS.

“A sociedade está aprovando leis e implementando regras que dizem: ‘Aqui estão os requisitos que esperamos que você atenda, e você será punido se não atender a esses requisitos e garantir essas coisas'”, explica o especialista.

Como resultado, o papel do CISO está se tornando o de diretor financeiro, e a função de segurança como um todo está em uma posição semelhante à do departamento jurídico – com obrigações que transcendem suas responsabilidades diárias.

“Não estou dizendo que a equipe de segurança precisa ser licenciada como advogados ou CPAs. No entanto, historicamente, a empresa conta com profissionais [jurídicos e financeiros] para oferecer aconselhamento profissional e esse aconselhamento tem muito peso. E acredito que há muitas grandes empresas migrando para esse status profissional da equipe de segurança cibernética devido às demandas que a sociedade está colocando nas empresas para lidar com o assunto”, acrescenta Wright. “A sociedade está dizendo: ‘Grande empresa, você tem a responsabilidade de proteger informações e esse tipo de coisa, e se você não cumprir essas responsabilidades, haverá punições a serem pagas à sociedade.”

A sociedade, no entanto, não está necessariamente demonstrando confiança cega na segurança da empresa. Wright aponta uma dispersão de regulamentos que exigem que as organizações atestem que estão atendendo às necessidades de segurança cibernética, como os requisitos do Departamento de Serviços Financeiros de Nova York de 2017 para empresas de serviços financeiros. Há também a decisão da Comissão Federal de Comércio de 2019 exigindo que o CEO do Facebook, Mark Zuckerberg, certifique pessoalmente que sua empresa está trabalhando para proteger a privacidade do consumidor, um requisito decorrente do acordo da FTC com o Facebook por uso indevido de dados no escândalo da Cambridge Analytica.

Pesquisadores, consultores e CISOs dizem que não esperam que todas as organizações precisem assinar tais declarações, mas a expectativa é de que existam mais regras desse tipo no futuro. Pensando nisso, os especialistas também concordam que os líderes empresariais terão que provar às partes interessadas que estão trabalhando duro para proteger os sistemas de TI e os dados que eles contêm.

“A confiança será conquistada com o tempo”, observa Connors, “coletando apenas o que você precisa, encerrando-o mediante solicitação, protegendo-o e usando-o eticamente”.

Link: https://bit.ly/2W1kStu

Postagens Recentes

Deixe um Comentário

Contate-nos

QUEREMOS CONHECER SEU PROJETO!
Solicite nosso contato.

Não pode ser lido? Mude o texto. captcha txt