Como aproximar a segurança do negócio?

O ciclo vicioso é conhecido: a pouca proximidade da área de segurança com os tomadores de decisão no negócio leva a um baixo investimento nas iniciativas da área, gerando fragilidade na defesa cibernética e, no pior dos casos, situações críticas.

Se aproximar do negócio é, portanto, a chave para reverter o ciclo, na visão de Felipe Thomé, head global de engenharia de segurança da Natura&Co, companhia do setor de beleza controladora da Natura, Avon e The Body Shop, que falou sobre o tema nesta semana no CISO Forum Brazil 2022.

De acordo com o executivo, entre os anos 1990 e 2000, a cibersegurança era vista como um custo operacional que funcionava como uma entidade de bloqueio com baixo valor agregado, cuidando apenas da segurança sem uma visão, de fato, ampla do negócio.

Desde então, o mercado testemunhou diversos casos em que o baixo investimento em cibersegurança traz grandes impactos financeiros através de problemas operacionais e de imagem, visto que o público-alvo passa a confiar menos nas empresas no que diz respeito à segurança de seus dados pessoais e financeiros.

Apenas este ano, o Baguete noticiou mais de 30 casos de ataques cibernéticos. O e-commerce da Americanas, por exemplo, ficou fora do ar e instável por cerca de cinco dias em fevereiro, deixando para trás um prejuízo de R$ 923 milhões – equivalente a 8,5% das vendas on-line do primeiro trimestre.

Em março, foi a vez da Microsoft, época em que a empresa confirmou o vazamento de códigos-fonte de tecnologias pelo grupo Lapsus, incluindo 90% do Bing Mapas e 45% dos elementos Cortana e do buscador Bing.

Nesse contexto, Thomé critica a limitação de orçamentos investidos em cibersegurança e a falta de proximidade da área com toda a cobertura do negócio.

Segundo o executivo, a falta de investimento nesse aspecto afeta a capacidade de apoio e desencadeia fatores como baixa robustez de defesa e projetos que não consideram recursos adequados para condensar a camada de defesa cibernética, guiando as empresas a um futuro não tão positivo.

Para reverter essa realidade, o head elenca maneiras de buscar um relacionamento mais próximo entre a cibersegurança e todas as áreas das companhias.

“Primeiro de tudo: definição da estratégia. Vou começar a elaborar minha jornada para engajar meus patrocinadores para que eles sejam suficientemente contextualizados dos próximos passos e entendam essa evolução ao longo do tempo”, pontua Thomé.

Nessa etapa, segundo ele, é preciso ter uma mudança de postura para transformar a área em um segmento colaborativo, questionador e interessado, que promova empatia entre as equipes e se misture com a visão executiva do gestor e dos demais envolvidos que atuam conjuntamente para, então, mapear as fraquezas da empresa.

“É muito importante que essa mudança de postura aconteça para que as pessoas comecem e continuem a confiar que existe do outro lado um braço de auxílio e não aquela entidade de bloqueio que falamos no passado”, esclarece o executivo.

Em seguida, seria o momento de criar um plano de ação através de um assessment com framework de mercado para compreender o funcionamento do negócio e identificar onde estão os maiores riscos e quais cuidados precisam ser tomados.

“Sem realizar esse assessment e entender o que está acontecendo, qualquer ação é passível de ser questionada”, reforça Thomé.

A partir disso, a orientação é conhecer e enumerar os riscos presentes para entender os possíveis impactos no negócio junto ao board executivo. 

Assim, deve ser possível definir o apetite de risco, garantindo que toda a equipe esteja a par, para compreender o nível necessário de mitigação e traçar a meta de maturidade desejada.

“Dado isso, é possível criar a estrada por onde vamos andar. Um plano estruturante com as principais ações necessárias, dizendo em quanto tempo vai se chegar naquela meta e, principalmente, com foco na redução de risco, é o caminho a se perseguir”, afirma o executivo.

O resultado, de acordo com Thomé, será o engajamento dos executivos e a solidificação da garantia do controle de futuros projetos desde cedo.

A dica, então, é ter indicadores operacionais para realizar a gestão de segurança cibernética e traduzir os dados obtidos ao longo do trajeto.

“Mostre para a camada executiva o seu progresso de elevação de maturidade e como, hoje, a empresa está ficando mais robusta, mesmo que em passos pequenos no mês a mês. No longo prazo, isso se torna um grande mapa de ações estruturantes bem realizadas”, aconselha Thomé.

O executivo lista, ainda, as três principais ações para começar: investir em treinamento para os colaboradores, realizar a gestão de ativos, e investir em projetos que elevem consideravelmente o nível de maturidade das camadas de proteção.

Com base nesse plano de ações, Thomé projeta efeitos positivos como melhor Ebtida, preservação de investimentos e benefícios para os próprios colaboradores.

Outros ganhos possíveis seriam a maior eficiência dos times, mais energia investida em inovação, maior qualidade para os clientes e melhora da imagem da companhia.

O CISO Forum 2022 aconteceu pela primeira vez no Brasil, virtualmente, entre os dias 18 e 20 de outubro. O evento é projetado para lideranças do ambiente de cibersegurança discutirem, compartilharem e aprenderem novas estratégias.