Como transformar o risco cibernético em prioridade para o negócio?

Como o risco cibernético deve ser levado à alta gestão do negócio, e como o CISO deve se posicionar nesse contexto? Essas questões foram tratadas durante o Painel de Debates no Cyber Risk Conference Brazil, organizado pela parceria entre Qualys e Security Leaders. Nessa discussão, os Líderes de Cyber reforçaram ser crucial não apenas evidenciar a importância de se precificar o risco cibernético, mas também estabelecer a SI como um setor crítico para a gestão dele.

Os debatedores reforçaram a percepção apontada pelo CEO da Qualys, Sumedh Thakar, na abertura do evento, de que a Cibersegurança não terá sucesso em levar suas demandas ao board se não considerar o impacto financeiro que esse risco pode gerar às operações. Assim, já não há mais espaço para que a Cyber tente justificar novos investimentos com uma linguagem demasiadamente técnica, exigindo uma forma de transformar a discussão sobre esse tema.

“A questão é que o risco cibernético é extremamente dinâmico, e pode se tornar mais ou menos relevante para a continuidade do negócio a depender das mudanças do mercado e da própria empresa. O grande desafio, com isso, é conseguir formar alguma coesão qualitativa dentre tantos fatores que podem gerar danos à organização. Construir uma proposta simples e clara para o board é o nosso grande desafio”, explicou Vitor Sena, CISO Global da Gerdau.

Nesse sentido, Sena aponta que os gestores de Cyber devem focar suas atenções para análises de impacto ao negócio e comparativos entre o risco cibernético e outros impactos nocivos dentro da cadeia de produção, de modo a colocar a Cibersegurança dentro da visão estratégica do negócio. Nesse cenário de alto dinamismo da SI, um risco cibernético médio em um setor crítico da operação pode justificar o investimento feito pelo board.

Em concordância com o colega, o Superintendente de Segurança do Banco Bradesco, Luciano Santos, acrescenta que formar um padrão quantificador de Cyber Risk também pode ajudar. A proposta desse conceito, aliado à noção de impacto de negócios, é entender qual o tamanho do prejuízo gerado pela companhia – incluindo financeiro, reputacional e operacional – apenas para responder a um incidente passado.

“Qual seria o impacto para nós, por exemplo, se nosso teleatendimento parasse? Quais as consequências de um olhar do Banco Central sobre uma questão interna de tecnologia? Tudo isso nos dá métodos de formar visibilidade financeira sobre o risco, e embora não seja uma competência fácil de se construir, ter uma gama maior de subsídios é essencial para justificar o porquê daquela demanda precisar ser vista pelo board”, disse Santos.

Todavia, diante de toda essa incumbência, que papel fica reservado ao Líder de Segurança? Na visão do CISO da Braskem, André Rocha, esse é o momento desses profissionais transformarem suas formas de se relacionar com o business e estabelecer, de fato, sua importância para a continuidade da organização. Isso é feito a partir do entendimento sobre quais são as demandas críticas do negócio, e como a Cyber se relaciona com elas.

“Se antes a Cyber não tinha voz entre as lideranças, hoje o negócio vê a necessidade de dar mais espaço ao setor de SI, dado o tamanho do dano financeiro e até reputacional que uma paralisação pode gerar. Entendo que podemos convergir a essa ação compreendendo que somos habilitadores do negócio, e por isso, precisamos ajudá-los a entender quando o risco cibernético é crítico o suficiente para exigir uma ação direta do board”, explica Rocha.