Tenho lido, visto e escutado muito, nos últimos tempos, sobre o quanto o CISO (leia-se aqui o líder da área de Segurança da Informação ou Cibernética das empresas) deveria estar sentado junto ao board das empresas, garantindo que o tema seja tratado como estratégico pelas suas organizações, ajudando a tomar decisões relevantes que possam impactar os seus negócios. E se a oportunidade surgir, estaremos preparados?
Pois bem, que o tema Segurança Cibernética é estratégico para qualquer negócio, principalmente digital, está claro. Não fosse assim, e o tema não aprecia dentre os principais riscos à economia global, no Relatório do Fórum Econômico Mundial (WEF), desde 2012. Alguns executivos ainda precisam – ou preferem – priorizar outras frentes, “assumindo o risco” de não ter o tema como pauta importante, mas no fundo, eles sabem que é estratégico. Enfim, cada um sabe onde seu sapato aperta mais.
Mas o ponto aqui não é a relevância, e sim, se e quanto os líderes de segurança estão prontos para ir sentar à mesa dos adultos. E é aqui que entra a movimentação lateral que menciono no título desse artigo. Não me refiro à tática número 10 do framework ATT&CK do MITRE e sim, de como estamos construindo nossas alianças com os pares que estão, digamos, no mesmo nível hierárquico, de como estamos mostrando o valor da segurança cibernética para as demais áreas do negócio e de como essas parcerias nos fazem conhecer ainda melhor as águas por onde estamos navegando, entendendo todos os pontos cruciais dos negócios que estamos protegendo.
Sabemos quem são nossos clientes? Quais são as jornadas e pontos de contato com a nossa empresa? Será que estamos apoiando e fazendo um trabalho próximo junto ao time de GRC, que deveria ser um grande parceiro interno para elevar o nível da discussão quando falamos sobre riscos cibernéticos?
Aqui citei alguns exemplos, mas onde quero chegar? Quando tivermos a oportunidade de sentar á mesa do board (e aqui está outro ponto polêmico porque nem tenho certeza se precisamos ter uma cadeira fixa no Conselho) temos que ser estratégicos, temos que apresentar, de fato, as pautas mais críticas e todas elas, muito bem contextualizadas em nível de risco para o negócio. E se não chegarmos lá, fortalecidos por alianças e parcerias muito bem construídas dentro de casa, a chance de voltarmos para o playground das crianças, é muito grande.
Por fim, a comunicação é um ponto tão crucial quanto à base de negócios e parcerias que temos que construir. Claro, contexto será sempre a palavra chave. Ainda, alguns boards não são totalmente maduros, a jornada em Segurança Cibernética ainda pode estar no começo, mas ao menos que sua empresa seja Tech Native na veia, os jargões cibernéticos hypados terão que ficar de fora da conversa, sendo “convidados” para a agenda somente se for necessário (e ás vezes é).
Cada um tem o seu caminho para chegar ao topo, garanta que está subindo preparado, com os melhores argumentos – e parceiros internos – e que não lhe falte fôlego quando chegar lá. E aí CISO? Você está fazendo a sua movimentação lateral antes de tentar escalar a montanha?
