Qualquer empresa pode comprar produtos que fornecerão algum grau de segurança. Mas segurança é mais do que sistemas de monitoramento e firewalls, leitores de cartões e detecção de intrusão. A segurança é um valor de negócio que precisa ser incorporado em cada sistema e vivenciado na forma como os funcionários pensam e operam diariamente. Ela precisa ser compreendida e cuidada dentro dos mais altos níveis de exigência, não apenas no escritório CSO ou entre os membros da equipe de segurança. Para que uma mudança desse tipo aconteça, é fundamental o papel de um líder executivo com a função de criar uma cultura de segurança.
2. Riscos para o negócio
O risco sempre vai existir e cabe às empresas definir qual o grau de tolerância em relação às suas atividades e informações críticas. Esse tipo de análise é imprescindível na tomada de decisões e exige um CSO não mais ligado às tecnologias, mas ao core business. Ele deve estimar os riscos, estabelecer possíveis danos, definir os custos de uma mitigação e seu impacto. É ele quem dará à alta direção a visibilidade necessária para tomadas de decisão e investimentos.
3. Estratégia
O CSO deve conduzir o desenvolvimento de uma estratégia de proteção eficaz, de modo a avaliar e mitigar os riscos externos e internos, gerenciar crises e incidentes, planejar a continuidade do negócio e colocar os processos da empresa no caminho certo.
4. Auditorias
Quando ocorre uma auditoria, o CSO é responsável por planejá-la e acompanhá-la, exibindo os controles e processos exigidos para manter a conformidade da organização de acordo com as normas regulatórias (sejam elas de qualquer natureza).
5. Segurança da Informação
Dentre as diversas atribuições de um CSO, uma delas (de extrema importância) é estabelecer normas e controles de risco associados ao desenvolvimento, implementação e manutenção de processos de segurança e políticas da organização a fim de proteger a propriedade intelectual da organização. Além disso, determinar uma diretriz de segurança com o objetivo da empresa aprender a gerir a segurança em todos os seus produtos e processos. Orientar e liderar o time para implementação de segurança, operações e atividades, visando garantir a proteção dos colaboradores, clientes, empresa, bem como todos os ativos de informações.
