As diferentes fases do ciclo de maturidade de um CISO

O papel de um CISO está a tornar-se cada vez mais importante. 
1 de Julho, 2024

As empresas estão a evoluir e a tornar-se mais complexas e os ataques parecem ser intermináveis, com consequências cada vez mais tóxicas. E embora as empresas continuem a investir grandes quantias em ferramentas defensivas, muitas ainda lutam para se protegerem mesmo contra táticas comuns, como os ataques de phishing através de e-mails. A IA promete encorajar uma comunidade global de hackers já determinada, tornando o perigoso cenário de ameaças ainda mais traiçoeiro. 

Muitas empresas recorrem a um CISO para gerir estes desafios. Mas o nível de autoridade que atribuem a esta função varia muito. Em última análise, todas as empresas precisam de se defender, detetar e recuperar de um ataque. Mas o papel do CISO na execução destas prioridades difere muito de empresa para empresa. E muitas vezes depende do ponto em que a organização se encontra na sua curva de crescimento. 

As responsabilidades e a autoridade do CISO devem estar alinhadas com as prioridades comerciais da empresa. Isto inclui o valor atribuído aos recursos de dados, bem como os níveis de risco que as empresas estão dispostas a assumir quando ocorre um ataque. Qualquer desalinhamento pode prejudicar a segurança da organização.  

É por isso que a coordenação estreita entre o CISO e o CIO é tão importante. Os CIOs estão mais acima na organização, embora nem sempre seja esse o caso, e por isso precisam de conhecer o nível de maturidade da cibersegurança da sua organização. Só um CIO pode capacitar um CISO para tomar as medidas necessárias para cumprir os seus deveres fundamentais.  

Destaco o que os líderes empresariais precisam de saber sobre o papel da cibersegurança nas suas organizações e o tipo de pessoa de que precisam para liderar estas equipas de segurança à medida que a empresa evolui. 

Nível de maturidade 1: 

Nas organizações menos maduras, as equipas de segurança são meros executores de ordens. Não podem definir políticas de forma independente e, muitas vezes, uma equipa de TI trata de muitas das responsabilidades diárias necessárias para manter o ambiente tecnológico a funcionar.   

Nesta fase, é frequente que as empresas nem tenham um CISO dedicado. Em vez disso, o departamento de “cibersegurança” é constituído por alguns profissionais técnicos que podem, por exemplo, configurar um servidor. E, muitas vezes, respondem perante um diretor de TI de nível intermédio, talvez mesmo perante o CIO. 

A cibersegurança é vista como uma área dispensável e as empresas apenas dedicam o mínimo de recursos possíveis. Normalmente, são empresas mais pequenas, com uma presença de TI mais concentrada e que por norma, não são cotadas na bolsa. Ao contrário das empresas públicas, não têm de prestar contas aos acionistas, que estão cada vez mais preocupados com a cibersegurança. As empresas privadas também estão menos preocupadas com a necessidade de auditar os seus sistemas em resposta a requisitos regulamentares. 

Em vez disso, outros objetivos, como o rápido crescimento das vendas, têm frequentemente prioridade. De facto, as medidas de cibersegurança que impõem encargos aos utilizadores finais são muitas vezes um impedimento a esse objetivo. Por exemplo, algumas organizações podem renunciar à autenticação multifatorial devido à carga adicional que esta representa para os utilizadores.  

Nível de maturidade 2:  

À medida que a empresa evolui, o mesmo acontece com o ambiente de TI. Há mais colaboradores, um maior fluxo de trabalho e mais pontos de contacto com clientes e fornecedores. A superfície de ataque potencial para os cibercriminosos expande-se. 

De repente, a cibersegurança torna-se mais importante. Muitas empresas, nesta fase, nomeiam o seu primeiro CISO. Mas a este nível, a função não inclui frequentemente a autoridade para conceber e executar a estratégia. Em vez disso, os CISO são frequentemente técnicos. Podem até passar algum tempo a programar juntamente com as suas equipas. 

Nesta fase, a empresa também começa a incorporar conhecimentos de conformidade. E podem implementar capacidades iniciais de monitorização e auditoria. À medida que a equipa de segurança cresce, o distanciamento com as TI começa a diminuir. Os dois trabalham agora em conjunto para identificar as áreas em que não estão a cumprir os objetivos de segurança. O CISO e o CIO interagem agora com mais frequência.  

Nível de maturidade 3: 

Com o passar do tempo, um CISO precisa de autoridade e autonomia para implementar controlos de segurança em toda a organização. Nesta fase, o CISO tem mais funções tecnológicas. Torna-se responsável pela defesa, deteção e recuperação de ataques. Os CISO podem contratar especialistas em áreas como a segurança na cloud ou introduzir novas funções, como a gestão da identidade e acesso. 

A este nível, o CISO ainda não toma decisões unilaterais. Outros executivos opõem-se a medidas que acreditam que irão afetar a produtividade ou perturbar os fluxos de trabalho. Embora a cibersegurança se tenha tornado mais importante, a administração continua a controlar a equipa de segurança.   

As TI tornaram-se uma equipa separada, encarregada de supervisionar a infraestrutura central. Estão mais preocupados em pôr os servidores a funcionar, implementar novos ambientes de desenvolvimento e gerir o ciclo de vida de todos os componentes envolvidos. 

No melhor dos cenários, o CIO começa a valorizar o trabalho realizado pelo CISO e o trabalho em uníssono torna-se uma realidade, de forma a garantir que os objetivos de TI e de segurança estão alinhados. 

Nível de maturidade 4: 

É neste nível que um CISO ganha poder. O CISO tem acesso direto aos executivos seniores e participa frequentemente em reuniões estratégicas com o conselho de administração, aconselhando sobre os riscos de cibersegurança e a integração das práticas de segurança nas estratégias empresariais globais.

O CISO concentra-se mais focado na gestão do risco, ao colaborarem com a equipa de gestão para determinar a tolerância ao risco da empresa. Em seguida, adquire a autonomia para criar políticas e procedimentos adequados em toda a empresa para refletir esse facto. 

Por exemplo, muitos CISOs nesta fase de maturidade estão a falar com o conselho de administração sobre como a empresa pode começar a aproveitar a tecnologia de IA e a defender-se contra as novas ameaças que ela traz. 

Nível de maturidade 5: 

Nas empresas que atingiram esta fase final, a segurança e o resto do negócio funcionam em harmonia. É provável que sigam princípios de conceção seguros, em que a cibersegurança está integrada na base de tudo o que a empresa faz. 

Os sistemas críticos são continuamente testados para garantir que a equipa pode recuperar em caso de incidente. E todos os colaboradores seguem, geralmente, os princípios de segurança de dados bem estabelecidos, como a autenticação multifatorial.  

Aplicação destes princípios 

Quando os CISO compreendem como as suas funções e responsabilidades refletem a maturidade cibernética da organização, podem preparar-se melhor para o que está para vir. E, à medida que as suas próprias competências evoluem, o CISO irá pressionar a empresa a analisar mais seriamente as suas defesas digitais. 

Quando se trata de cibersegurança, não há duas empresas iguais. Cada empresa tem um conjunto de tecnologias diferentes e prioridades diferentes. As empresas públicas têm necessidades muito diferentes das empresas privadas. As pequenas empresas têm restrições diferentes das grandes empresas. 

Por conseguinte, os CISO devem manter-se flexíveis e adaptar-se. As empresas devem ponderar os riscos e as recompensas únicos em cada fase do ciclo de maturidade. Ao compreender as características de cada fase, os CIO e outros líderes empresariais podem capacitar corretamente o CISO para o sucesso.  

Luis Feitor é Specialist Systems Engineer na Commvault

Opinião