Perfeitos estranhos: como CIOs e CISOs podem se dar bem
Segurança como imperativo estratégico alterou o relacionamento entre CIOs e CISOs. Veja como esses líderes podem se tornar melhores parceiros
Uma pandemia poderia ter tornado o relacionamento entre CIOs e CISOs uma passarela frágil sobre ovos, mas este ano eles tiveram que trabalhar juntos mais próximos do que nunca em circunstâncias sem precedentes. O resultado? O estado do relacionamento melhorou.
Leia também: Para CIOs e CTOs, Machine Learning, IA, 5G e IoT serão as tecnologias mais importantes em 2021
Organizações em toda a linha aceleraram suas iniciativas digitais e migrações para a nuvem para oferecer suporte a funcionários e clientes remotos nos últimos meses. Isso “fez com que o apetite de risco das pessoas mudasse muito, muito drasticamente e fez com que os CIOs e CISOs ficassem ainda mais presos”, disse Jeffrey Wheatman, Vice-Presidente do Gartner Research.
Uma relação simbiótica também é necessária agora porque “os conselhos estão fazendo mais e às vezes melhores perguntas sobre a segurança cibernética”, diz Wheatman, “e isso resultou em CIOs e CISOs tentando pelo menos ter histórias ou narrativas alinhadas’.’
CIOs e CISOs concordam que o impulso para automatizar processos manuais e recursos para criar eficiências exigiu um trabalho mais próximo. “O CIO e o CISO devem estar fortemente acoplados no roteiro e na estratégia, independentemente da estrutura de relatórios”, diz Patricia Titus, Diretora de Privacidade e Segurança da Informação da seguradora Markel.
Segurança agora é estratégica
Nem sempre é o caso quando o CISO se reporta ao CIO. “Infelizmente, alguns CISOs têm dificuldade em estar sob o comando do CIO porque, em última análise, algumas das coisas que eles encontram e precisam consertar tornam mais difícil para o CIO fazer seu trabalho”, diz Wheatman. “Acho que o CISO quer garantir que os dados, durante a movimentação, não fiquem disponíveis para pessoas que não deveriam vê-los e [manter] a integridade dos sistemas e segurança e conformidade, então há um pouco de divergência sobre quais são os objetivos” entre as duas funções.
A boa notícia, diz ele, é que há menos conflitos do que antes e mais sinergias entre as duas funções, graças ao reconhecimento por parte dos executivos e stakeholders de que estão cada vez mais dependentes da tecnologia.
A maturidade da segurança como disciplina também cresceu. “A segurança agora é vista mais como uma iniciativa estratégica do que como pessoas que dizem: ‘não, pare, não faça’”, diz Wheatman. “Costumávamos nos referir a esse tipo de CISO como ‘Dr. Não’. Estamos vendo menos isso”.
Quando os CIOs e CISOs se veem mais como parceiros e colegas, isso gera sinergias, acrescenta Wheatman. “Conforme vemos a convergência de tecnologias operacionais como IoT e nuvem, há um reconhecimento de que os dois devem estar mais em sintonia, em vez de o CIO jogar tudo por cima do muro e dizer: ‘Você tem que proteger o que implementamos’”.
Evolução do relacionamento CIO-CISO
Titus e Mike Scyphers, CIO da Markel, trabalharam juntos por quase cinco anos e têm o que pode ser caracterizado como o casamento de trabalho ideal – um casamento de respeito mútuo e louvor. Ambos falam com respeito um do outro.
Scyphers diz que com a proliferação da tecnologia de consumo e a capacidade das unidades de negócios de criar seus próprios serviços em nuvem, é muito fácil se concentrar na inovação “sem incorporar a segurança”. Ele chama seu relacionamento com Titus de “valioso” e diz: “Não consigo imaginar [implantar tecnologia] sem essa parceria”.
Titus originalmente trabalhou no departamento de TI e Scyphers diz que “endossou totalmente” sua mudança.
“Sempre que temos uma conversa em que não há uma [discussão] saudável de freios e contrapesos, fico nervoso. Ter ela dizendo que algo está errado começa como correto”, diz ele. “Vou debater nossas diferentes visões, mas … quando tudo está na organização de TI, no final das contas, me encontro nos dois lados do livro-razão e, embora você sempre tente fazer tudo certo, você tem pontos cegos e isso ajuda a compensar”.
Scyphers diz que não gosta de bancar o “policial bom, policial mau”, então, quando surgem questões de segurança, a TI recorre à equipe de segurança “para obter uma leitura sobre isso. Se eles têm a resposta, não perdemos tempo com isso”.
Há muito existe a percepção de que o relacionamento CIO-CISO é conflituoso com um reportando ao outro e assumindo uma atitude de “você deve fazer o que eu digo”, diz Gary Hayslip, CISO da SoftBank Investment Advisers.
No início de sua carreira, Hayslip foi CIO e fez a transição para a função de CISO, ele diz que costumava acreditar que CISOs não deveriam se reportar a CIOs. “O trabalho do CISO é gerenciar riscos usando pessoas, processos e tecnologia, enquanto o trabalho do CIO é fornecer serviços. Essas são visões muito diferentes”, explica ele. “Estamos usando os mesmos recursos, mas abordamos os problemas de maneira muito diferente”.
Dito isso, a pilha de TI e a pilha de tecnologias de segurança estão interligadas, e isso significa que ambas as equipes precisam oferecer suporte uma à outra, acrescenta Hayslip.
Hayslip se reporta a Wil Bolivar, Chefe de Tecnologia e Segurança da Informação da SoftBank, e diz que eles são “realmente bons amigos”. Ele também se reporta ao CFO da Softbank. Em funções anteriores, Hayslip diz que se reportou a alguns “CIOs e CISOs realmente bons” e a outros com quem teve um relacionamento contencioso.
“Às vezes você se depara com CISOs que podem estar muito focados sobre segurança e risco, o que nem sempre funciona ”, diz Hayslip. “Eles são CISOs muito táticos e não jogam bem com os outros e acham que todas as questões de risco devem ser tratadas agora, agora, agora”.
Hayslip se descreve como um CISO que é tático e estratégico. “Vejo meu trabalho como um executivo de negócios que por acaso faz segurança cibernética e tenho que trabalhar com meus colegas em outras unidades de negócios” e explicar o valor da segurança.
“A única maneira de fazer isso acontecer é, eu não posso estar em cima deles; Tenho que entender como eles funcionam, o que precisam, quem são seus principais clientes e como posso apoiá-los”, diz Hayslip. “Eu abordo dessa forma e obtenho muito mais tração”.
Se um CISO for estritamente tático, acrescenta ele, o negócio “só vai aguentar o seu lixo até que eles o chutem para o meio-fio”.
Hayslip acredita que ser tático é um “problema de maturidade”, quando um CISO só trabalhou com pequenas empresas e está acostumado a apagar incêndios não teve a chance de crescer profissionalmente.
Leia também: Você está pronto para a multicloud? Aqui temos um check-list para ajudar a responder isso
Estruturas de relatórios
A estrutura de relatórios varia de empresa para empresa e também pode variar de acordo com o setor. Por exemplo, relatar para o CFO se você estiver em serviços financeiros tende a fazer mais sentido, diz Wheatman do Gartner. Os CISOs que trabalham com remessa, logística ou varejo provavelmente se reportam ao COO.
“Eu atendo 600 ligações por ano, e provavelmente 80 a 100 estão na estrutura organizacional, e a questão básica é: o CISO deve se reportar ao CIO?”, ele diz. Em pesquisas anteriores que Wheatman fez, cerca de um terço dos entrevistados CISO disseram que não fazem parte da TI, diz ele.
A segurança cibernética geralmente é removida da TI quando uma organização reconhece que a segurança é um problema de negócios e não um problema de tecnologia, diz ele. “Quando faz parte do [alcance] do CIO … todo mundo assume que [a segurança é] um problema técnico. Existem ferramentas envolvidas e, sim, tecnologia, mas a segurança cibernética é uma tecnologia operacional”. O foco está no suporte aos processos de negócios e aos requisitos legais e regulatórios, diz Wheatman. “Nenhum desses problemas é do CIO ou da tecnologia”.
Nos 14 anos que Wheatman está com o Gartner, dados das conferências de segurança da empresa mostraram que cerca de 35% das pessoas que se relatam como chefe de segurança de uma organização não se reportam à TI, diz ele.
Brennan Baybeck, Vice-Presidente e CISO de atendimento ao cliente da Oracle, se reporta ao chefe de uma linha de negócios, mas diz que se reportou ao CIO por sete anos e teve uma experiência positiva.
“Tive a sorte de trabalhar com um CIO que era progressista, entendia a importância da segurança e era um grande defensor dela”, diz Baybeck, que também é Diretor do Conselho da organização de governança de TI ISACA. Baybeck diz que foi capaz de articular e demonstrar ao CIO a importância da segurança para a estratégia da empresa, tanto de uma perspectiva de negócios quanto de TI. Ele fez isso “reportando-se continuamente ao CIO, educando-o e mantendo-o ciente de como a segurança estava permitindo nossos negócios e compreendendo a postura, os riscos e as vulnerabilidades de segurança”.
Baybeck diz que tomou a iniciativa de se reunir com o CIO regularmente, não apenas sobre segurança, mas para compartilhar ideias sobre como tornar a TI mais eficiente e eficaz por meio de serviços de segurança.
“Ele me elevou para sua equipe de liderança, o que significava que eu não só podia aconselhar executivos sobre segurança, mas também garantir que a segurança fosse incorporada e relativa aos negócios e estratégias de TI”, diz ele. “Além disso, fui capaz de agregar valor à equipe de TI”.
O avanço da segurança consumiu cerca de 75% do tempo de Baybeck e ele usou os outros 25% para trabalhar na obtenção de recursos adicionais. “Para muitos de meus colegas, essa equação é invertida e eles passam a maior parte do tempo lutando e justificando recursos”.
Hayslip acredita que é bom para um CISO não se reportar a um CIO. Dessa forma, “o risco fica mais visível e a organização consegue, do ponto de vista estratégico, entender onde as coisas serão gerenciadas”, afirma.
Nesse tipo de ambiente, o CIO e o CISO devem ser pares e ainda se reunir semanalmente, diz ele.
O efeito pandêmico
A pandemia certamente estimulou a troca mútua enquanto a TI se esforçava para permitir o trabalho remoto e as equipes de segurança trabalharam para garantir que os funcionários fossem autenticados ao entrar na rede remotamente e que os dados permanecessem seguros. “Se sua [equipe de segurança] está fazendo isso sem o suporte de TI no ambiente de pandemia em que estamos agora, você está louco”, diz Hayslip.
A borda da rede mudou para a casa, observa ele. “Tenho de me preocupar com 680 redes porque tenho 680 funcionários em vez de uma rede”, diz Hayslip.
Embora Russell Kaurloto, Vice-Presidente e CIO da Clemson University, tenha um bom relacionamento de trabalho com o CISO Hal Stone antes da pandemia, ele concorda que a Covid-19 “solidificou e aproximou como compartilhamos informações e nos comunicamos de maneira mais eficaz”.
Clemson tinha cerca de 1.800 alunos trabalhando remotamente on-line e esse número saltou para cerca de 26.000 junto com 4.000 professores e funcionários em março. “Falo com meu CISO semanalmente, um a um, mas ele também está envolvido em uma ligação diária da Covid, em que repassamos sistematicamente o que está acontecendo”, diz Kaurloto.
Dicas para uma harmonia entre CIO-CISO
Ecoando Hayslip, Wheatman diz que com o aumento nos negócios digitais, é contraproducente para um CISO apontar o dedo para o CIO e dizer: “Você precisa fazer o que eu digo ou então… É mais sobre, ‘precisamos trabalhar juntos para resolver um problema que o conselho ou COO, ou CEO ou CFO diz ser importante’. Isso está crescendo com o tempo ”.
Por exemplo, Wheatman trabalhou com um CISO em uma cooperativa de crédito financeiro de médio porte para construir um deck para seu comitê de auditoria. Eles construíram sua narrativa, começando com os objetivos de negócios e, em seguida, as etapas que o CISO tomaria para construir seu programa de segurança cibernética. “O CIO percebeu isso e disse: ‘precisamos conversar com o conselho sobre ameaças e tecnologia, e já conversei com os conselhos e eles não estão interessados nisso e não entendem o que está acontecendo’”, Wheatman relembra.
Eles acabaram tendo que fazer uma ligação conjunta com o CIO para dizer: “Olha, é por isso que esta mensagem não será construtiva”, diz ele. Embora Wheatman não saiba qual foi o resultado, “esses [cenários] ainda são comuns. Deve ser menos de 5% e é provavelmente 20% a 25% do tempo que esses problemas surgem”.
Wheatman diz aos líderes de segurança que eles precisam descobrir como contar sua história – não apenas para seu próprio chefe – mas através deles para o chefe de seu chefe.
“Freqüentemente, nos perdemos em tecnologia e acabamos falando sobre tecnologia em prol da tecnologia, e não o suficiente sobre o valor do negócio, receita, cultura e gerenciamento de risco”, diz ele.
Os CISOs precisam criar um conjunto comum de termos de referência, diz ele. “Usamos palavras como ‘cibersegurança’ e ‘ameaças’ e ‘vulnerabilidades’ e ‘risco’. E as usamos de forma inconsistente, por isso precisamos comunicar um quadro de referência de maneira consistente”.
Eles também precisam se certificar de que estão alinhados com os objetivos de negócios. “Isso parece óbvio, mas em muitos casos, não é”, diz Wheatman. “Os CIOs tendem a ser mais maduros e precisam ajudar o CISO a elevar suas mensagens para chegar a um nível mais alto de maturidade”. Eles precisam estar alinhados mesmo que não estejam de acordo em tudo, frisa. “Eles precisam ter a mesma visão de longo prazo, e nem sempre é esse o caso”.
A maior causa de atrito é com o orçamento, observa Hayslip. Um CIO será informado de que precisa cortar seu orçamento, enquanto o CISO se concentra em tentar criar um programa de segurança cibernética e gerenciar os riscos, diz ele.
“Nove em cada 10 vezes as prioridades diferem”. Hayslip diz que descobriu que se as linhas de comunicação permanecerem abertas e o CIO e o CISO se reunirem semanalmente, mesmo que seja apenas por meia hora para se preencherem, ambos os lados aprenderão muito.
“O CIO lhe dará uma visão política para que você tenha uma boa visão dos problemas da empresa ou de como os negócios estão mudando”, diz ele. Dessa forma, eles podem colocar suas cabeças juntas para descobrir onde podem obter economias.
Se o CIO e o CISO estão conversando, não há surpresas, diz ele. “Descobri que, quando fazemos isso, trabalhamos muito bem juntos”.
Baybeck concorda que cultivar relacionamentos e construir parcerias é fundamental. “Um CISO deve se esforçar para ser considerado um consultor confiável para o CIO, a ponto de antecipar suas necessidades e informá-los de problemas ou oportunidades que eles podem nem estar pensando em relação aos riscos de segurança”.
Todos os CIOs e CISOs concordam que o respeito mútuo talvez seja o ingrediente mais importante no relacionamento.
“Desde o início, deve haver compreensão mútua de … o que estamos tentando alcançar e manter diariamente”, diz Russell Kaurloto, CIO da Clemson University. “Essa é a chave. A segunda coisa é construir uma relação estreita de respeito mútuo. Você nem sempre chegará ao mesmo resultado e nem sempre estará em uníssono. Mas, com respeito mútuo, você encontrará esse terreno comum”.
Também é preciso haver total transparência, acrescenta. “Se descobrir que você não está fazendo o mesmo, não será capaz de ganhar o respeito e a compreensão de seu CISO. Seu CISO faz parte do seu sucesso geral. Se você não tem um bom relacionamento e verdadeira transparência, você sempre terá atrito”.
Scyphers da Markel diz que ele e Titus se concentram em resultados de negócios em vez de um problema de segurança ou TI. “Nós dois trazemos nossas disciplinas para apoiar isso. Ela é a profissional consumada… Eu encorajo essa confiança a estar presente. É fundamental”.
Por sua vez, Titus diz que é importante desafiar uns aos outros, “e quando você sai, você tem uma frente combinada. Você resolve seus problemas a portas fechadas”.
“É importante focar na parceria” e ambos os lados podem precisar fazer concessões para chegar a esse objetivo comum, diz ela.
“Podemos nos desviar um pouco sobre como chegaremos lá”, diz Titus, “mas no final do dia, vamos cruzar a linha de chegada juntos”.
Como em qualquer bom casamento.