Blog

Segurança da Informação - Como fazer seu CIO entender os riscos

Written by NEC | 3/mar/2016 19:00:00

No passado, o líder do departamento de TI das empresas era o guardião da infraestrutura corporativa. Sua missão era cuidar da operação dos computadores da empresa, basicamente. Ao longo do tempo, o avanço da tecnologia para todos os aspectos da operação corporativa fez dela um ativo indispensável para o funcionamento das organizações, aumentando a importância do executivo de TI para as empresas e trazendo novas demandas.

Hoje, os CIOs têm que obter mais produtividade dos recursos de TI, cada vez mais complexos; entregar mais, com mais qualidade, em menos tempo; otimizar custos sem comprometer o compliance; aumentar a confiabilidade dos sistemas; lidar com fornecedores e reduzir a complexidade das operações, com uma visão de redução de custos e aumento de produtividade das equipes.

O papel tecnológico do CIO agora é abrangente: os executivos precisam ser cada vez mais visionários e estrategistas, com uma compreensão macro dos negócios e dos riscos que estão muito além de TI, como regulamentações, práticas em segurança e mitigação de riscos. O foco do CIO está em utilizar a tecnologia para impulsionar a estratégia de negócios e, por isso, o executivo está focado em planejamento e controle.

Esse posicionamento do CIO nas empresas faz com que os gestores de TI, que têm como preocupação principal questões relacionadas à performance dos sistemas, precisem ultrapassar vários obstáculos para justificar alguns investimentos que são necessários, mas cuja importância às vezes é subestimada.

Embora o CIO esteja preocupado em proporcionar um ambiente seguro para o desenvolvimento dos negócios e o crescimento da empresa, ele não tem tempo nem disposição para se ater aos detalhes técnicos, que são de responsabilidade do gerente de TI. Por isso, a argumentação dos gestores de TI a respeito da adoção de soluções deve ter em vista os aspectos ligados aos negócios.

Ao debater com o CIO a respeito da terceirização da Segurança da Informação por meio da contratação de um MSSP (Managed Security Services Provider), por exemplo, é muito mais importante mostrar ao executivo a redução de custos proporcionada pelas estruturas terceirizadas de gestão da Segurança da Informação, ou do ganho de eficiência trazido por profissionais especializados no assunto, do que citar o alinhamento às práticas internacionais, como NIST e ISO 27001.

Para conseguir que a empresa faça os investimentos necessários para a segurança de suas informações, é preciso apresentar os argumentos adequados. Ao lidar com executivos que são orientados a resultado, procure mostrar os números relacionados a perdas financeiras, investimentos em tecnologia e equipe, o quanto pode ser recuperado/poupado com a terceirização de um serviço e traga exemplos de vazamentos de informação que ajudem os executivos a entender a gravidade da questão.