São Paulo/SP – 12.04.2024 – Em muitas empresas, o Chief Information Security Officer (CISO) costuma se concentrar principalmente, e por vezes exclusivamente, nas questões de segurança cibernética. No entanto, à medida que as ameaças digitais se tornam mais sofisticadas e o panorama de riscos evolui, há uma mudança em curso nas responsabilidades atribuídas aos CISOs, com uma expansão significativa do seu papel
Em muitas empresas, o Chief Information Security Officer (CISO) costuma se concentrar principalmente, e por vezes exclusivamente, nas questões de segurança cibernética. No entanto, à medida que as ameaças digitais se tornam mais sofisticadas e o panorama de riscos evolui, há uma mudança em curso nas responsabilidades atribuídas aos CISOs, com uma expansão significativa do seu papel. De acordo com análises do Gartner, espera-se que até 2027 cerca de 45% das atribuições dos CISOs se estendam para além da esfera da segurança cibernética, devido à pressão regulatória e à ampliação da superfície de ataque.
Com essa rápida evolução no escopo das responsabilidades do CISO, surge a questão de como essa função se adaptará para enfrentar os desafios cibernéticos futuros.
A História do Papel do CISO
A nomeação de Steve Katz como o primeiro CISO do mundo, quando assumiu esse cargo no Citicorp/Citigroup em 1995, marcou o início formal desse papel. Desde o início, Katz compreendeu que o papel não se limitava apenas às questões de Tecnologia da Informação (TI), mas sim ao serviço ao negócio, mitigando riscos. Nos anos seguintes, outras organizações seguiram o exemplo, estabelecendo a posição de CISO, geralmente com o CISO reportando-se ao Chief Information Officer (CIO). Embora muitos CISOs reconhecessem a verdadeira natureza do seu papel, outras partes das organizações nem sempre estavam alinhadas com essa percepção.
Com o tempo, os CISOs expandiram suas responsabilidades para além dos limites organizacionais, envolvendo-se em atividades como o estabelecimento de parcerias, colaboração com fornecedores e gerenciamento de comunicações externas de dados. No entanto, em muitas organizações, o papel ainda era predominantemente associado às TI, com a principal missão de evitar que o negócio sofresse grandes violações ou ataques cibernéticos que pudessem resultar em manchetes negativas. Isso levou muitos CISOs a concentrarem-se principalmente em conformidade e gestão de riscos.
O Papel Atual dos CISOs
Nos últimos anos, houve outra mudança significativa no papel do CISO, impulsionada pelo aumento dos ataques cibernéticos e pelos crescentes riscos de interrupção das operações, multas e danos à reputação. Segundo o Relatório CISO da Splunk, 86% dos entrevistados afirmam que o papel mudou tanto desde que assumiram a função que se assemelha a um trabalho completamente diferente. O foco mudou de ser principalmente técnico para assumir uma postura de liderança empresarial.
Ao invés de simplesmente implementar medidas de segurança cibernética, os CISOs agora trabalham para ajudar os líderes organizacionais a compreender a importância da segurança cibernética e liderar o desenvolvimento de uma estratégia cibernética abrangente. Eles atuam como ponte entre o discurso técnico do departamento de TI e a linguagem de negócios da alta administração.
Essa mudança também resultou em uma reorganização da estrutura corporativa, com 47% dos CISOs agora reportando diretamente ao CEO, conforme indicado pelo relatório da Splunk. Ao colocar o CISO sob a supervisão do CEO em vez do CIO, a organização demonstra o reconhecimento da segurança cibernética como uma prioridade estratégica. Além disso, os CISOs ganharam mais influência, muitas vezes tendo assento na mesa executiva e até mesmo no conselho de administração.
Previsões Futuras para o Papel do CISO
Existe um debate em curso entre os especialistas em segurança cibernética sobre se o papel do CISO deve se concentrar mais nos aspectos comerciais ou tecnológicos. À medida que avançamos, é provável que a resposta se situe em um equilíbrio entre esses dois aspectos. Os CISOs bem-sucedidos do futuro precisarão combinar habilidades técnicas e comerciais de forma única para alcançar sucesso na função.
Além de facilitar a comunicação entre os departamentos e garantir a conformidade com regulamentações, os CISOs assumirão um papel mais proativo na formulação da estratégia de segurança cibernética de toda a organização. Com o aumento da visibilidade e responsabilidade, outros funcionários também reconhecerão a importância da segurança cibernética em todos os níveis da empresa.
Como uma das funções executivas mais recentes, criada apenas nas últimas décadas, o papel do CISO evoluiu consideravelmente desde os primeiros dias de Katz. À medida que as ameaças digitais se tornam mais complexas e as empresas dependem cada vez mais da tecnologia, a interrupção dos negócios causada por ataques cibernéticos afeta todos os aspectos das operações empresariais. As organizações que reconhecem a crescente importância da segurança cibernética e desenvolvem o papel do CISO estarão mais bem posicionadas para criar uma cultura organizacional onde todos, desde os funcionários até os executivos, entendam e valorizem a segurança cibernética como uma responsabilidade compartilhada.
Fonte: https://securityintelligence.com/articles/ciso-role-evolution/
Sobre a Safeway
A Safeway é uma empresa de Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Acumula diversos projetos que renderam credibilidade e destaque entre seus clientes, grande parte posicionada entre as 100 maiores empresas do Brasil. Considerada one-stop-shop com as melhores soluções de tecnologia, processos e pessoas, a Safeway se destaca com soluções como o Safeway Security Tower, um SOC 24/7 dedicado a cada cliente, certificado ISO27001, além do Cybersecurity Health Check, que identifica riscos associados à segurança da informação e privacidade dos processos de negócios, de forma a aumentar o nível de maturidade e resiliência dos clientes; soluções de Governança, Risco e Compliance, Certificações ISO, LGPD e Privacidade.