Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Como oferecer segurança da informação para os CEOs

Aprender a vender seu produto de forma ágil e simples é uma capacidade valiosa, pois poupará tempo para você e para os executivos que vão ouvi-lo

Vender o planejamento de segurança da informação para os executivos não é tarefa fácil. Principalmente para quem está acostumado a lidar com softwares e gerenciamento contínuo de dados. No entanto, é algo possível e vou mostrar como. Uma pesquisa realizada pelo Instituto Ponemon, que fica sediado em Michigan, nos Estados Unidos, indica que os executivos não compreendem bem o potencial dos riscos relativos à cibersegurança, muito menos assimilam que as melhores soluções não significam necessariamente adquirir ferramentas maiores e mais modernas. Portanto, a dúvida com que os gestores de TI convivem diariamente é: como tornar isso claro para aqueles profissionais fundamentais para o processo de decisão na contratação ou aprovação de um serviço?


Por experiência, é importante que o profissional de TI entenda primeiro a realidade das empresas e partir da premissa de que os executivos estão sempre atribulados com as atividades da corporação, conciliando diversos números relacionados a riscos, de diferentes setores da empresa, o que inclui desde os problemas de segurança até as ameaças no mercado financeiro. Em geral, os recursos que a empresa possui para mitigar esses riscos são menores do que a receita necessária e, por isso, eles vão definir a utilização dos fundos onde percebem maior potencial danoso.

Essa noção, em muitos casos, é baseada em juízos de valor e em experiências passadas. Se esses executivos presenciaram um grande problema em algum momento de sua vida profissional, certamente irão atuar de forma mais firme para evitar revezes semelhantes no futuro. A Target, gigante varejista dos EUA, só instaurou a função de CISO depois de sofrer um enorme vazamento de informações no ano passado, em que foram expostos 70 milhões de dados dos clientes. A lógica no mercado parece se a mesma, e isso ocorre porque se trata de um comportamento natural do ser humano.

Um exemplo muito simples de se entender é o caso ocorrido na indústria automobilística. Os primeiros carros não possuíam cintos de segurança e, somente depois que aconteceram acidentes, as pessoas começaram a exigir um meio de realizar suas viagens de forma segura. A partir de então foi inventado o dispositivo, responsável por salvar milhares de vidas até hoje. Do mesmo modo, é importante alertar aos executivos que o pior realmente pode acontecer. O tempo de maturação da segurança da informação, por sua vez, ainda está em estágio inicial. Em comparação com a história do cinto de segurança, é como se muitas empresas ainda não tivessem vivenciado ou escutado falar de acidentes automobilísticos.

Essa situação gera também grande dificuldade para os profissionais de segurança da informação. Nós precisamos ser capazes de vender tais demandas para os executivos, ou seja, tornar real a importância de se investir em projetos de segurança, antes que a empresa se torne uma vítima. Por isso, outra dica que apontamos é deixar os termos técnicos de lado, parar de traduzir tudo o que se enfrenta no dia-a-dia e compreender que os executivos são leigos no assunto, por isso necessitam captar “algo quente”, empregando a linguagem deles. É preciso que eles se sintam convencidos do problema que terão em mãos e assim tenham maior clareza para liberar o orçamento para a área de segurança da informação.

Portanto, aprender a vender seu produto de forma ágil e simples é uma capacidade valiosa, pois poupará tempo para você e para os executivos que vão ouvi-lo. Uma ideia que considero bem sucedida e a pratico é a capacidade de chamar a atenção do executivo em uma abordagem tão rápida quanto uma conversa de elevador. Não, não é necessário “enquadrar” o CEO quando ele estiver descendo para o almoço, mas sim desenvolver a habilidade de vender o tema para uma pessoa no curto tempo de duração de uma viagem de elevador. Isso lhe obrigará a falar apenas o que importa e focar em pontos simples que farão sua mensagem muito mais clara e objetiva.

Outra possibilidade é utilizar dashboards simples em apresentações. Um top 10 de riscos de segurança da informação e as estratégias para mitigá-los geralmente obtém sucesso. Essa técnica reduz o montante de informação a ser entregue para os executivos, facilitando a tomada de decisão. Demonstrar rapidamente as ferramentas de invasão que os atacantes têm traduz a facilidade com que um ataque é feito e isso é muito mais persuasivo do que apenas mostrar uma tabela com os escores do CVE, por exemplo.

Em suma, o fundamental é que o gestor de tecnologia da informação compreenda que os executivos são transportados diariamente para diversas áreas de operação de uma empresa. A segurança da informação é apenas mais uma área em que a companhia pode estar exposta a riscos e, por isso, as empresas usualmente não se preparam para vazamentos de dados até que um dia eles aconteçam. Desse modo, apresentar os riscos de segurança de forma simples e clara faz com que o planejamento de segurança seja analisado de forma correta pelos executivos, permitindo que possa ter muito mais recursos para combater invasões e trabalhar de forma eficiente e produtiva.