O manual do CISO: por que você precisa transformar o risco de segurança em uma métrica de negócios

O manual do CISO é uma série contínua que apresenta uma visão estratégica dos principais executivos de segurança cibernética do setor. Esta postagem apresenta Bryan Liebert, CISO de campo da World Wide Technology (WWT).

O papel do CISO está mudando rapidamente.

Os conselhos querem provas. As seguradoras querem dados. Carisma, instinto e experiência não são mais suficientes.

É hora de os CISOs combinarem sua sabedoria e experiência com ciência e fatos concretos e concretos. Eles precisam demonstrar como as decisões de segurança reduzem os riscos, protegem a receita e se alinham às metas de negócios usando dados reais.

A boa notícia é que você não está sozinho. Bryan Liebert, CISO de campo da World Wide Technology (WWT), diz que é possível obter dados sobre a segurança e o nível de risco da sua rede.  

Prove ou perca

Quando Liebert construiu recentemente sua nova casa, ficou surpreso com as mudanças no processo de inspeção residencial.

“No passado, os inspetores confiavam em sua experiência, instinto e conhecimento de construção para aprovar novas construções”, explicou.

Mas não é mais assim que funciona.

“Os inspetores de hoje ainda podem saber que a construção está bem feita”, disse ele. “Mas eles querem uma carta de um engenheiro para provar isso.”

As cartas de engenharia fornecem aos inspetores a documentação e os dados de que precisam para apoiar sua decisão de dar à casa uma nota de aprovação.

Essa mudança ficou com Bryan. Como ex-CISO e atual consultor de CISO, ele vê a mesma transformação acontecendo na segurança cibernética. Instinto e anos de experiência não são suficientes.

Os conselhos e as seguradoras não estão apenas pedindo opiniões — eles querem que a sabedoria, a experiência e a liderança do CISO sejam aumentadas por uma estrutura que fundamente suas recomendações. Eles querem sua própria carta de engenharia.

Bryan está ajudando os clientes da WWT a liderar o negócio com uma abordagem baseada em dados que permite que as organizações unam a sala de reuniões, as seguradoras e as metas de negócios.

Ele está trabalhando com parceiros como a Illumio para ajudar os CISOs a passarem de contadores de histórias cibernéticas a cientistas de decisão.

Construindo um caso melhor e mais justo

Do ponto de vista de Bryan, o trabalho do CISO se tornou tanto sobre a capacidade do CISO de influenciar os tomadores de decisão quanto com a proteção.  

“Eles estão gastando muito tempo combatendo incêndios e tentando convencer os tomadores de decisão a investir em suas estratégias”, disse ele. “Sem modelos defensáveis que meçam o risco corporativo, eles geralmente precisam confiar em seu carisma para obter apoio do conselho para despesas de segurança.”

Bryan acredita que essa abordagem não é mais sustentável.

É por isso que ele é tão apaixonado por um caminho diferente: Análise Fatorial do Risco da Informação (FAIR). É uma estrutura quantitativa de gerenciamento de riscos desenvolvida pelo FAIR Institute que traduz o risco da informação em termos mensuráveis e reproduzíveis.

“Isso oferece uma maneira científica de calcular a probabilidade e o impacto tradicionais do risco”, explicou Bryan. “Na verdade, as seguradoras cibernéticas agora o estão usando para avaliar a cobertura.”

O objetivo do FAIR é capacitar os CISOs a entrarem em uma sala de reuniões com confiança e delinear uma estratégia baseada nesse modelo.

De “apenas confie em mim” a “aqui está a matemática”

Bryan acredita que o CISO moderno precisa de um mecanismo de decisão — uma forma de traduzir as metas técnicas de segurança em objetivos de negócios que os conselhos entendam.

Isso significa transformar a segurança cibernética em algo que possa ser medido, priorizado e otimizado, assim como qualquer outra parte do negócio.

“Os conselhos não se importam com o material técnico”, disse Bryan. “Eles se preocupam com o risco para o negócio. Se você puder mostrar a eles uma análise hipotética que diz: 'Se esse sistema está comprometido, aqui está o impacto financeiro', você está falando a língua deles.”

Não se trata apenas da adesão inicial. Bryan quer que os CISOs retornem com estatísticas mensuráveis que demonstrem como seus investimentos em segurança reduziram significativamente os riscos relacionados a objetivos comerciais lucrativos.  

“Este é o momento da carta de engenharia”, disse Bryan. “Você não diz apenas que reduziu o risco. Você mostra a eles a matemática.”

As diretorias não se importam com o material técnico. Eles se preocupam com o risco para o negócio. Se você puder mostrar a eles uma análise hipotética que diz: “Se esse sistema estiver comprometido, aqui está o impacto financeiro”, você está falando a língua deles.

Como o seguro cibernético está mudando o jogo

O seguro cibernético também desempenha um papel nessa nova mudança. No passado, poderia ter sido simplesmente uma caixa de seleção, mas agora está reformulando a forma como os CISOs provam valor.

“Quando o seguro cibernético apareceu pela primeira vez, ninguém tinha um modelo aberto para quantificar o risco”, disse Bryan. “Agora, eles estão pedindo uma prova real. E se você puder dar a eles uma fórmula defensável, poderá obter descontos — dinheiro real na mesa.”

Esse tipo de incentivo é exatamente o que os CISOs precisam para impulsionar seus programas.

“Você não está mais pedindo apenas um orçamento”, disse Bryan. “Você está mostrando que sua postura de segurança é comprovadamente capaz de proteger os objetivos de negócios da empresa. Esse é o tipo de ROI que preocupa as placas de ROI.”

O CISO como tradutor, não apenas técnico

Um dos maiores desafios que Bryan vê atualmente é que a maioria dos programas cibernéticos ainda está ignorando a empresa, em vez de se alinhar a ela.

Isso é um problema, especialmente em setores como ensino superior ou saúde, onde o objetivo principal do conselho não é a segurança cibernética, mas sim a pesquisa, o sucesso dos estudantes ou o atendimento ao paciente.  

A segurança cibernética é uma parte necessária da responsabilidade corporativa, mas irrelevante para universidades sem estudantes ou hospitais sem pacientes.

“Seu trabalho é demonstrar o papel que a segurança cibernética desempenha na proteção e manutenção do tempo de atividade de sistemas que contribuem para o sucesso dos alunos e para a satisfação dos pacientes”, explicou Bryan. “Você quer que eles retornem e recomendem seus serviços porque sentiram que sua privacidade estava protegida e que estavam seguros e tiveram uma boa experiência com todos os sistemas que encontraram.”

É aí que entram fornecedores como a Illumio — e parceiros como a WWT.

Como a Illumio e a WWT ajudam a tornar o risco real

Para Bryan, o poder das parcerias se resume a uma coisa: a prova.

“Trazemos as organizações ao Centro de Tecnologia Avançada (ATC) da WWT e as mostramos lado a lado: veja o que a tecnologia faz e veja como a fórmula reduz o risco”, disse Bryan. “Nosso campo de testes de IA permite que eles o vejam em ação com os mais recentes avanços de IA que agora estão sendo incorporados a praticamente todos os produtos e estratégias de segurança cibernética.”

Bryan também observou que fornecedores de segurança cibernética como a Illumio estão levando a matemática da segurança a sério. Com ferramentas como o Illumio Insights, eles estão ajudando as equipes de segurança a ver, entender e priorizar riscos com base em dados, não em suposições.

Com parceiros como a WWT e a Illumio, os CISOs têm as ferramentas e os recursos necessários para demonstrar valor, priorizar riscos e apoiar cada decisão com dados.

Quer ver quais dados o Illumio Insights pode descobrir em sua rede? Comece o seu teste gratuito hoje.