Olhando para o passado vemos que as principais iniciativas de segurança da informação eram discutidas somente pela área de TI.
Infelizmente, ainda hoje sabemos que muitas vezes isso ainda acontece em muitas organizações: mesmo após um incidente, o foco é levado apenas para a área de TI e raramente tem-se uma repercussão no comitê executivo.
Enquanto muitas pessoas se perguntaram o porquê desse ocorrido apenas analisando a vulnerabilidade técnica, nós podemos ir além e facilmente relacionar como uma das principais causas: um CEO com 35 anos de casa que não se envolvia em nenhuma iniciativa de SI.
E isso acontece em diversas empresas no Brasil: muitas tem essa vulnerabilidade!
Quando relacionamos isso a alguma iniciativa de SI escutamos sempre uma típica frase “mas nós nunca tivemos um incidente significativo de SI, além de não termos uma grande dependência de TI”. Ledo engano! Hoje em dia todos temos certa “dependência de outras áreas” e ainda temos que nos preocupar com uma reputação a zelar que pode ser impactada rapidamente ao cair em redes sociais.
Então Sr. Presidente e CEOs estamos vulneráveis!
Não podemos mais não entender os riscos operacionais, não podemos mais tratar o orçamento de SI como algo adicional ao orçamento de TI e relegar suas iniciativas a gerência media das organizações.
Perda de dados e informações críticas de negócio, violações de privacidade, problemas de conformidade e até paralisações do negócio são os impactos mais comuns na operação hoje em dia. Esses incidentes colocam todas as organizações em risco e tem os executivos como responsáveis.
Isso significa que o comitê executivo deve sim ser informado sobre todas as decisões de segurança da informação, permitindo aos membros desse comitê entender melhor o risco, explorar melhor novas tecnologias para gerar benefícios ao negócio e ficar atualizados com os incidentes de SI.
Organizações que oferecem infraestrutura como energia e telecom estão mais acostumadas a este tipo de envolvimento porém ainda precisam evoluir em sua maturidade. Sabem da responsabilidade de um CIO e CSO, mas o presidente (CEO) deve estar ciente de sua responsabilidade e deve conhecer toda a estratégia de SI e ter ciência do risco em sua organização.
Aquela máxima que conta a diferença entre estar envolvido e estar comprometido.
Sr Presidente, o senhor esta comprometido com a SI, por isso se debruce em seus dashboards e entenda o risco de seu negócio.
