Alta Direção: Como a Segurança da Informação deve conquistar seu apoio?

UM DOS MAIORES DESAFIOS PARA SEGURANÇA DA INFORMAÇÃO É A CONQUISTA DO APOIO DA ALTA DIREÇÃO.  Esse tema é tão relevante que a ISO 27001, em sua última atualização, resolveu dedicar uma seção exclusiva para falar de liderança e comprometimento da alta direção.

Mas o que tona isso é tão difícil? No cenário de hoje notícias de vazamento/venda/sequestro de informações se tornaram rotina e isso é só a ponta do iceberg dos incidentes de segurança da informação. Com ameaças tanto internas quanto externas, era de se esperar que o tema tivesse mais aceitação no nível de diretoria ou do board, mas essa nem sempre é a realidade.

O que nós, profissionais da área de segurança da informação, estamos fazendo errado? Bem, muitas vezes é uma questão de foco. Infelizmente, segurança ainda é entendida como uma disciplina primariamente técnica, algo extremamente prejudicial e que joga por terra a ideia de conseguir dar alguma contribuição para a estratégia corporativa. Mas como vamos conseguir mudar isso?

Sem citar diretamente Sun Tzu, e partindo do princípio que você já conhece suas próprias limitações, o primeiro e mais importante passo é compreender como funciona a mente de um gestor. Pense bem, quais são os motivadores que levam alguém responsável pelo futuro e sucesso de uma corporação a tomar uma decisão? O exemplo a seguir é bastante genérico e se aplica melhor ao mercado privado, mas não deixa de ser uma reflexão importante:

A verdade é que apesar de toda relevância do tema, a segurança da informação não é um objetivo em si, devendo ser entendida como apenas um meio (ok, um meio MUITO importante!) para garantir que os objetivos de negócio sejam atingidos.

Dessa forma, acredito que a melhor estratégia para ganhar os corações e mentes da alta direção e ter segurança como uma disciplina efetivamente estratégica na sua empresa, passa por responder como segurança da informação torna o negócio mais competitivo, se existe alguma lei/regulamentação/requisito contratual que deve ser obrigatoriamente atendido e, especialmente, qual será a contribuição da segurança da informação para o aumento de receita da empresa?

Paradoxalmente, garantir os itens acima requer uma abordagem diferente do que é empregado na maioria das organizações. Por exemplo, quando criamos um processo de negócio, na maioria das vezes as empresas esperam que este esteja montado, testado, documentado e praticamente em produção para aí pensar, onde se encaixam aspectos de segurança? Em meus anos de consultoria acabei encontrando bastante esse dilema e apelidando carinhosamente de síndrome da cereja do bolo.

Considero a analogia é perfeita, não é possível esperar que o bolo esteja completo, com massa, recheio e cobertura, para apenas nesse momento colocar uma linda cereja e pensar “estamos seguros”. Infelizmente essa abordagem é a que leva aos maiores e mais impactantes incidentes de segurança. Idealmente, temos que garantir requisitos para a proteção dos dados corporativos em todas as fases da montagem do bolo.

Para mudarmos esse paradigma e obter o tão sonhado apoio da Alta Direção é vital que você consiga demonstrar que um alinhamento aos objetivos estratégico não só é viável, como faz parte do objetivo central da área de segurança. Sem um alinhamento claro, não será possível demonstrar o valor real que é entregue ao negócio.

Com essa estratégia e falando no mesmo “idioma” é bem mais fácil conseguir aliados em posições vantajosas, capazes de tornar a Segurança da Informação uma realidade dentro da sua organização.

Próximo desafio? Mudar a CULTURA CORPORATIVA, que como bem dizia Peter Drucker, continua devorando a estratégia no café da manhã.

Comentários

Comentários