A prioridade que faltava ao CIO

Direcionar a conscientização dos tomadores de decisão para os alvos certos é uma habilidade essencial para o sucesso do CIO

Author Photo
4:55 pm - 12 de abril de 2022

Quer sobreviver como CIO? Você precisa das prioridades certas. E para a maioria dos CIOs, neste exato momento, as 5 principais prioridades do CIO médio são:

Segurança.
Segurança.
Segurança.
Segurança.
Sem falar na segurança.

Observe o que está faltando? Se sua resposta for “está faltando tudo”, vá para o chefe da classe.

A segurança é, para o CIO de hoje, uma faca de dois gumes. Uma vantagem afiada é o subinvestimento em segurança. No passado, investir muito pouco em segurança significava aceitar um risco maior de invasões que poderiam levar a problemas financeiros significativos.

Ransomware mudou o jogo. O subinvestimento em segurança agora significa aceitar um risco maior de ser totalmente eliminado do negócio. Portanto, o subinvestimento em segurança é uma ponta afiada.

A outra é o subinvestimento em novos valores de negócios orientados por TI.

O risco real da liderança de TI

Caso você tenha perdido as notícias, digital-como-substantivo é um grande, grande negócio. Trata-se de usar as tecnologias da informação para gerar receita e vantagem competitiva. Subinvestimento aqui e concorrentes mais agressivos, com o tempo, vão jantar a sua empresa.

É a escolha de Hobson: arriscar ser eliminado do negócio com um único soco vs. arriscar um resultado lento, mas igualmente letal, da perda de clientes, marketshare e mindshare.

Acrescente ao desafio esta máxima de gestão de risco: a prevenção bem-sucedida é indistinguível da ausência de risco. O que isso significa é que ninguém vai parabenizar você e sua equipe por um trabalho bem feito, nem ninguém vai perguntar de que apoio você vai precisar para continuar a manter a empresa segura.

Não, a cada ano que suas práticas de segurança da informação são bem-sucedidas é mais um ano que os aprovadores de orçamento de TI estarão convencidos de que você está exagerando os riscos.

Se você não acredita em mim… Y2K.

A armadilha do estorno

Você está pronto para cair no poço do desespero?

Não desista ainda. Você tem alternativas. Alguns são mais atraentes do que outros; todos são melhores do que desistir.

Chame a primeira de manobra NoSuch, abreviação de ‘There’s No Such Thing as an IT Project’, algo que você deve defender com ou sem os desafios atuais de segurança da informação.

Por trás do NoSuch está a ideia de que os chamados “projetos de TI” são realmente tentativas de fazer com que alguma parte do negócio funcione de maneira diferente e melhor. Sendo assim, o financiamento para esses projetos que não são mais de TI não deve sair do orçamento de TI. Devem ser financiados pelos departamentos que deles se beneficiarão. Dessa forma, seu financiamento não competirá com a TI pelo aumento do orçamento necessário para a segurança da informação.

Estornos. Se a gestão de sua empresa adotar uma abordagem mais tradicional para o relacionamento de TI/Negócios, você pode evitar que a segurança da informação concorra por recursos com novo valor de negócios por meio do mecanismo consagrado de estornos, que transferirá o custo dos serviços de aplicativos de TI para as áreas de negócios que farão uso de tudo o que eles estão pedindo que a TI desenvolva e implemente.

A diferença entre estornos e a manobra NoSuch é sutil, mas importante. Quando não existe um projeto de TI, o envolvimento da TI na mudança de negócios é como líder na identificação e defesa de oportunidades e como colaborador pleno e igual para alcançá-las.

Quando a TI cobra por seus serviços, ela abandona suas funções de liderança na identificação de oportunidades estratégicas e na realização de mudanças intencionais nos negócios. Em vez disso, relega a TI a ser um mero tomador de pedidos.

Uma estratégia alternativa para lidar com os gastos com segurança

Aqui está mais uma opção. Sugira a redistribuição da responsabilidade pela segurança da informação para um grupo que não se reporte a você. Os melhores candidatos a “vítimas” em potencial são a prática de gerenciamento de riscos corporativos (ERM) e quem possui o planejamento de continuidade de negócios.

Chame isso de jogada do SEP (‘Someone Else’s Problem’, ou seja, isso é o ‘problema de outra pessoa’ para os inexperientes). Pode não fazer nada para o negócio como um todo, mas do seu ponto de vista egoísta, pendurar o albatroz no pescoço de outra pessoa tem muitas vantagens para recomendá-lo.

E realmente oferece algum benefício comercial. A reatribuição da responsabilidade pela segurança da informação permite que seu novo proprietário destaque a necessidade de financiamento adicional, evitando as queixas usuais sobre a TI ser um poço de dinheiro.

Essas três alternativas – a manobra NoSuch, estornos e a estratégia SEP – têm o mesmo objetivo. Isso é para evitar que a segurança da informação e os investimentos em novos recursos concorram por tempo e atenção dos executivos, algo que se traduz diretamente em suas decisões de financiamento.

Essa é uma habilidade – ser capaz de direcionar a conscientização dos tomadores de decisão para os alvos certos – que é fundamental para o sucesso de qualquer CIO.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.