MANUAL DO CSO
Capítulo 1

O que e quem é o CSO ?

Versão
1.0
24/05/2022
Em períodos em que não há liderança, a sociedade fica parada. O progresso só ocorre quando líderes corajosos e habilidosos aproveitam a oportunidade para mudar as coisas para melhor.
Harry S Truman – 33º Presidente dos EUA
Conteúdo
1 O que e quem é o CSO?
2 Para quem o CSO reporta?
3 O CSO técnico
4 O CSO empoderado
5 Qual o futuro do CSO?
6 Insights chave sobre o capitulo

O que e quem é o CSO?

Embora relativamente novo para algumas organizações, o cargo de Chief Security Officer (CSO) é de uma complexidade técnica que não é para os fracos de coração. É a posição do principal especialista em segurança cibernética de uma empresa e a que, geralmente, enfrenta repercussões em casos de violação de segurança de dados. O CSO tomará decisões que afetam todos os aspectos de uma organização e sua capacidade de conduzir negócios. Algumas dessas decisões envolverão interpretar regulamentos, estabelecer novas políticas ou influenciar a cultura corporativa.

O CSO precisa conhecer profundamente a sua organização, os requisitos regulamentais que a regem e suas linhas de negócios. Esta inserção no contexto organizacional tem implicações significativas que irão se refletir nas equipes de segurança e nos budgets do departamento. Além disso, as organizações estão exigindo mais de seus CSOs. Elas esperam que os CSOs apliquem, além de seu conhecimento técnico, o conhecimento em gerenciamento de riscos e a gestão de operações de negócios. O CSO moderno, em suma, deve ser um agente de mudanças, bem alinhado aos propósitos da companhia.

Uma mudança de comportamento perante ameaças digitais nos últimos anos fez as companhias evoluírem do mantra “não se, mas quando” para um entendimento de que todo o ativo digital está sob ameaça contínua, exigindo diligência constante, juntamente com o reconhecimento de que falhas e violações acontecerão, e a organização precisará se recuperar.

Esse novo comportamento torna a resiliência organizacional uma das competências essenciais ao CSO moderno, adicionadas às competências de gerenciamento de riscos e de ser um agente de mudanças atuante.

Um dever adicional ao rol de habilidades do CSO é o de falar claramente sobre os riscos de segurança cibernética que as empresas estão enfrentando. Durante o exercício das suas funções, o CSO irá interagir com interlocutores distintos, e de níveis de conhecimentos técnico variados, como membros de conselhos, órgãos reguladores, executivos de alto nível e usuários médios. Para cada interlocutor, cabe ao CSO escolher o vocabulário correto para que o devido peso de sua mensagem seja compreendido claramente.
0
Você concorda?x

Para quem o CSO reporta?

Muitas vezes pensamos em relações de subordinação e estruturas organizacionais como fixas. Alguém é contratado para fazer um trabalho, reportando-se a uma determinada pessoa em um departamento, unidade de negócios ou grupo funcional com uma estrutura específica, e aprende a operar dentro desses parâmetros. Mas, à medida que os riscos de segurança cibernética se tornaram eventos de alto impacto para as corporações, o papel do CSO teve que evoluir.

Um perfil gerencial mais alto vem com maiores expectativas de que a abordagem adotada pelo CSO, em qualquer questão, seja apropriada de uma perspectiva de nível C, não apenas tecnicamente correta. Juntamente com os padrões técnicos e requisitos regulatórios que se espera que os CSOs dominem, vem o requisito de conhecer os produtos, os negócios, os clientes e o mercado em que a organização compete.

O CSO, independentemente da hierarquia corporativa, deve fornecer orientação e conhecimento sobre o seguinte:

  • Práticas, procedimentos e métricas de segurança cibernética.
  • Classificação de dados e ativos de uma empresa, do ponto de vista de segurança cibernética e risco (incluindo impactos na privacidade).
  • Vigilância e monitoramento de atividades e tendências de segurança cibernética globais.
  • Supervisão de práticas de auditoria e governança, incluindo contatos com auditoria interna e externa.
  • Resposta a incidentes em colaboração com a assessoria jurídica.
  • Projeto de política de segurança.
  • Implementação de serviços de segurança.
  • Treinamento de segurança.
  • Gerenciamento de risco holístico e relatórios de avaliação de risco (incluindo fornecedores e processos de negócios).

O CSO técnico

Quando o CSO se reporta a uma estrutura de TI tradicional, geralmente há um foco mais técnico em atividades de segurança cibernética. Aqui, a função do CSO é minimizar os riscos associados aos serviços de TI e fornecer conhecimento técnico relacionado à cibernética.

Nesta abordagem, a segurança cibernética é focada na rede e nos dispositivos que a compõem.  É um mundo perigoso, e o CSO e sua equipe estão lá para garantir que apenas pacotes de dados realmente confiáveis entrem (ou saiam) da organização.
0
A sua empresa atua nesta abordagem?x

Há benefícios substanciais de uma abordagem técnica e centrada em TI para a função do CSO. As ameaças cibernéticas que as organizações enfrentam hoje podem ser ataques altamente sofisticados, e as ameaças persistentes avançadas (APTs) exigem conhecimento técnico aprofundado para serem descobertas e mitigadas.

Especificamente, a equipe do CSO precisa entender a análise de pacotes, o design e a topologia da rede e os indicadores técnicos de comprometimento (IOCs) para fazerem a devida triagem e responder a comportamentos anômalos dentro da organização.

Essas habilidades e competências estão no centro da segurança cibernética. Um CSO centrado em TI se torna um membro crítico da equipe de liderança de TI, validando configurações e práticas de segurança.

No entanto, a preocupação com essa relação de subordinação é o conflito inerente criado pela estrutura de subordinação. Se a função principal do CSO é garantir que as práticas de segurança de TI sejam gerenciadas corretamente, comunicar desafios com essas práticas para níveis superiores da organização (por exemplo, para o chefe do CSO) pode ser problemático.

O CSO é tecnicamente responsável por policiar o trabalho de seu chefe, avaliando os riscos criados pelas tecnologias selecionadas pelo chefe e sua implantação. Esse feedback pode limitar a carreira do CSO. Para que essa estrutura funcione corretamente, o CSO e o seu superior hierárquico devem ser abertos, profissionais e focados em resultados objetivos. Gerenciar por meio da dinâmica de questionar as práticas, competências e políticas da liderança de TI coloca uma enorme pressão sobre esse papel. Esse conflito é a razão pela qual a separação de funções é um controle tão necessário.

Os reports organizacionais para os CSOs estão evoluindo para refletir essas dinâmicas. Dados os riscos existenciais associados a impactos cibernéticos negativos para as empresas, a função de CSO não deve ser enterrada abaixo de duas ou três camadas na TI tradicional.  Consequentemente, vemos surgir um novo CSO. Este CSO moderno é um parceiro de negócios e, idealmente, um membro bem-vindo do C-level.
0
Você concorda?x

O CSO empoderado

A chave para essa estrutura organizacional baseada em pares é uma visão mais ampla e holística das práticas de segurança cibernética, dentro e fora da organização (terceiros e parceiros). Além das habilidades e competências críticas necessárias para avaliar questões de segurança técnica, uma hierarquia fora da estrutura tradicional de TI também precisa de contexto adicional para o CSO, relacionado a questões legais e regulatórias.

Independentemente da hierarquia que mais funcione para o CSO da sua companhia, algumas considerações adicionais devem ser feitas.

Sobre o domínio de negócio

Em muitos casos, a governança corporativa será estruturada para cumprir requisitos regulatórios obrigatórios para o negócio (financeiras, defesa, farmacêuticas, etc). Essa estrutura pode consistir em capacitar comitês específicos do conselho de administração, com responsabilidades críticas, e designar membros específicos da equipe de gestão, com funções ativas na gestão de riscos e segurança da informação.

Nesses casos, o CSO deve reportar a um nível suficiente alto para fornecer supervisão apropriada para a estratégia chave de tecnologia da informação. Isso geralmente exigiria que o CSO se reportasse ao CEO ou a um executivo de nível C. Reportar ao CIO, neste caso, também pode funcionar, mas isso deve ser abordado com cuidado. Segundo o Federal Financial Institutions Examination Council:

Normalmente, os oficiais de segurança devem ser gerentes de risco e não um recurso de produção atribuído ao departamento de tecnologia da informação

(FFIEC, 2015)

Entender o cenário cibernético onde a organização está inserida também define o posicionamento hierárquico do CSO. Empresas suscetíveis a ataques cibernéticos, em razão de sua reputação, seu mercado de atuação, etc, posicionam seus CSOs de maneira mais proeminentes. Nesses casos, além da supervisão das implementações de tecnologia da informação, o CSO pode muito bem ser o ponto de escalação crítico para mobilizar a alta administração, assumir o controle sobre as respostas a eventos ou até mesmo ser o principal ponto de interação para canais de comunicação.

O CSO precisará de parcerias bem formadas com os principais participantes da equipe de resposta a incidentes. Eles podem estar fazendo malabarismos com o ataque em curso, com as notícias sobre esse ataque e impactos nos ativos da organização ou ativos do cliente/parceiro. Dado o papel altamente visível, o CSO nesta organização provavelmente deve se reportar ao nível de CEO ou COO.
0
Você concorda?x

O CSO empoderado funcionará em um papel consultivo dentro da empresa. Como tal, o CSO bem preparado irá deliberar sobre decisões críticas potencialmente não relacionadas à TI, incluindo seleção de fornecedores, classificação e tratamento de dados, fusões e aquisições e outras atividades que possam afetar a confidencialidade, integridade e disponibilidade dos principais sistemas que suportam a organização.

Os CSOs nessa nova função precisam ser comunicadores eficazes, com notáveis poderes de persuasão, quando a autoridade formal não for totalmente compatível com os requisitos de segurança cibernética disponíveis.

Essas habilidades sociais e influência geralmente exigem tempo para se desenvolver. Os CSOs devem ter esse tempo e o devido comprometimento organizacional para crescer em suas funções.

Alinhamento de skillsets

O papel do CSO é muito mais recente do que outras funções de nível C, mas está no mesmo caminho de maturidade que o do CIO. Assim como o CIO, o CSO está evoluindo de uma função puramente técnica para uma forte abordagem baseada em visão de negócios. O papel do CIO surgiu de uma necessidade de negócios de centralizar o gerenciamento de tecnologia e adicionar eficiência, confiabilidade e previsibilidade de custos à área de tecnologia de negócios, cada vez mais complexa e em rápido crescimento nas organizações.

O risco percebido foi que a complexidade, o custo e a falta de confiabilidade criaram um empecilho para a competitividade e lucratividade da organização. Os líderes empresariais observam que o CIO bem-sucedido é primeiro um parceiro de negócios. Eles aprendem e melhoram a partir de várias formas de “shadow IT“, incorporam em seu portfólio o que faz sentido para sua organização e visualizam todos os modelos de consumo de TI como parte de seu kit de ferramentas, para permitir que os negócios se movam com a velocidade e agilidade necessárias.

Da mesma forma, a função de nível C para segurança da informação está evoluindo para permitir que organizações tragam ordem ao caos e forneçam liderança em um domínio altamente complexo que abrange todos os grupos funcionais e unidades de negócios.

Mas muitos líderes de negócios veem o CSO surgindo de um histórico orientado à conformidade e avesso ao risco. São necessárias evidências de que o CSO pode equilibrar adequadamente risco versus recompensa e evitar a construção do que o negócio percebe como barreira desnecessária ao sucesso. Os líderes empresariais têm alguma responsabilidade por essa percepção. O CSO precisará de credibilidade com as unidades de negócios para obter abertura para implementar controles críticos de segurança e introduzir o rigor necessário para o planejamento de continuidade e resiliência cibernética bem-sucedidos.

Qual o futuro do CSO?

O futuro da segurança cibernética evoluirá em paralelo com as novas táticas em dos cibercriminosos e a mudança acelerada na tecnologia da informação.

Muitas das novas tecnologias, como Cloud Computing, SDN, IoT, Blockchain, Criptografia Quântica, terão um impacto fundamental nos programas de segurança cibernética corporativa. Da mesma forma, o impacto dos modelos Home Office ou híbridos de escritório/home office aceleram o colapso do perímetro de rede seguro tradicional, que começou com o modelo BYOD. Essas tecnologias e modelos de interação da força de trabalho também serão aproveitados por organizações cibercriminosas, resultando em novas formas de crime digital.
0
Você concorda?x

Segurança de rede, privacidade de dados, segurança física e segurança de operações se fundirão em um portfólio de segurança cibernética focado nos negócios em expansão. Para gerenciar efetivamente o risco corporativo em todo esse novo portfólio de tecnologias, o CSO implementará um conjunto de segurança cibernética projetado para monitoramento contínuo e alertas e respostas rápidas a incidentes. A segurança se tornará orientada por análises de comportamento, pois as equipes de segurança empregam ferramentas que usam dados e análises de ameaças para remediar incidentes de segurança de forma proativa.

O perímetro das organizações continuará a mudar. O limite não será mais a localização física ou lógica dos ativos da rede, mas a localização dos dados corporativos, trabalhadores individuais e, potencialmente, consumidores. O CSO e seu programa de segurança se tornarão mais focados em dados – quem tem acesso (identidade), o que eles têm permissão para acessar (autorização), onde armazená-los e como protegê-los. Essa visão centrada em dados está se tornando o novo perímetro a ser defendido pelo CSO. O novo mantra para essa visão de segurança será “verificação total de identidade e acesso”, também conhecido como “Zero Trust”.

Insights chave sobre o capitulo

O CSO deve reportar a alguém que possa fornecer o nível certo de suporte organizacional, visibilidade e acesso para permitir ao CSO, e ao programa de segurança cibernética, a devida mitigação dos riscos, impulsionando as mudanças necessárias na cultura e nos comportamentos corporativos. Esse arranjo deve fornecer independência ao CSO e fornecer:

  • A capacidade de fazer recomendações e discordar de outros líderes de tecnologia;
  • A capacidade de ter uma visão equilibrada e estratégica da implantação controles de segurança;
  • Capacidade para financiar, construir e incorporar o programa de segurança cibernética dentro da organização.
É essencial que o CSO atue junto a seus pares, como um conselheiro e um orientador para que juntos, compreendam e influenciem as escolhas que estão sendo feitas para as principais tecnologias subjacentes (incluindo plataformas de desenvolvimento) e estejam bem cientes dos marcos e resultados significativos que devem ser alcançados.

Os membros da equipe de liderança sênior, incluindo membros do conselho, quando apropriado, devem passar o tempo necessário com seu CSO para garantir que estejam bem informados sobre a estratégia da organização, as informações e os dados com que a organização lida, suas linhas de negócios e partes interessadas, e o apetite de risco geral da organização. O objetivo deve ser equipar o CSO para ser um parceiro de negócios completo e muito bem-vindo ao C-suite.

Compartilhe este capítulo:

Compartilhe:

Comentários

Participe da construção deste capítulo deixando seu comentário:

Inscrever-se
Notify of
guest
0 Comentários
Feedbacks interativos
Ver todos os comentários

Wendel Siota

Especialista em gestão de segurança digital com experiência de mais de 25 anos em cyber security de grandes corporações.

Falar com o autor

Seminário

Privacy By Design Proteção de Dados

Aprenda a identificar e mitigar os riscos de privacidade dentro de sua organização no desenvolvimento de produtos, processos e serviços e como criar uma cultura de segurança digital para atuar de forma proativa.

Tenho interesse

TECH

&

BIZ

-   Insights e provocações sobre tecnologia e negócios   -   

55 51 9 9942 0609  |  me@elemarjr.com

55 51 9 9942 0609  |  contato@eximia.co

55 51 9 9942 0609  contato@eximia.co

0
Quero saber a sua opinião, deixe seu comentáriox
()
x