CISO: o pivot da Cibersegurança nas organizações
Num contexto de ameaças digitais cada vez mais recorrentes e sofisticadas, o papel do Chief Information Security Officer (CISO) torna-se cada vez mais central nas organizações – e nunca é demais referir a sua importância. O CISO é o pivot da estratégia de segurança no tecido organizacional, responsável por identificar, avaliar e mitigar os riscos, além de estabelecer políticas e procedimentos para garantir a proteção dos ativos digitais da organização.
Mais do que trabalhar na gestão e avaliação de riscos de segurança, o CISO garante que a organização está devidamente preparada para enfrentá-los. É o ponto central de toda a estratégia de proteção digital, desempenhando um papel crítico não apenas na implementação de medidas de proteção, mas sobretudo na criação de uma cultura corporativa robusta em termos de cibersegurança.
Esta função mostra-se, por isso, essencial para a continuidade do negócio e para resguardar a reputação da organização, sublinhando que a segurança deve ser tida como uma parte crucial da estratégia organizacional.
Neste sentido, uma das preocupações do CISO passa obrigatoriamente pela formação contínua dos colaboradores e pela simulação de ataques, por forma a melhorar a resiliência da organização contra as mais diversas ameaças. A realização destes exercícios garante que as equipas estão preparadas e compreendem os impactos que uma situação grave pode causar. O CISO deve liderar e encabeçar programas de formação e campanhas de sensibilização sobre cibersegurança, promovendo, entre outras iniciativas, workshops, webinars e até mesmo simulações de ataques específicos para testar a resposta dos colaboradores. Assim, a educação, a formação regular e a garantia de boas práticas dos utilizadores no dia a dia é um desafio que faz parte da função, sendo que, quanto maior a organização, mais complexo se torna.
Outro desafio subjacente à atividade do CISO prende-se com a supply chain. O CISO tem sob sua responsabilidade garantir que todos os fornecedores e parceiros compreendem e seguem as normas e políticas de segurança da organização. Deve fazê-lo através de auditorias regulares, avaliações de segurança e monitorização contínua. Capacitar os fornecedores e parceiros para a segurança deve estar na agenda de qualquer organização, especialmente no setor das tecnologias da informação, permitindo garantir um ecossistema de segurança mais amplo, onde todos são pilares de cibersegurança.
Além de precisar de estar sempre atualizado sobre as novas ameaças e métodos de ataque, bem como de garantir que os parceiros e fornecedores estão alinhados com as práticas de segurança, o CISO tem ainda a função de conhecer todas as obrigações legais e regulamentares aplicáveis. Tem de estar a par, por exemplo, do RGPD, NIS 2, ISO27001, DORA, entre outras que se mostrem relevantes, assegurando que a organização está em conformidade com essas normas.
Esta tarefa é fundamental para a manutenção da integridade e confiança de uma organização e envolve a revisão e atualização contínua das políticas de segurança, a realização de auditorias frequentes e a manutenção de registos detalhados. O CISO não só tem de se preocupar com o cumprimento dos requisitos legais, como deve procurar trabalhar, igualmente, para que organização supere as expectativas em termos de cibersegurança.
Um CISO deve, assim, adotar uma abordagem multifacetada para garantir a proteção contra riscos de cibersegurança variados e sofisticados, abordagem esta que combina o uso de tecnologias avançadas de deteção e resposta a incidentes, a implementação de políticas de segurança rígidas e a promoção de uma cultura de cibersegurança em toda a organização.
No contexto organizacional atual, o investimento das organizações em matéria de cibersegurança já deixou de ser uma opção: é imperativo para assegurar a sua permanência no mercado. Hoje, fortalecer defesas é investir numa liderança de cibersegurança competente e experiente. Ter um CISO “em casa” ou procurar apoio de serviços especializados pode ser uma solução altamente eficaz, dado que estes serviços trazem o know-how necessário para enfrentar as ameaças de cibersegurança e garantir que as estratégias e medidas de proteção estão sempre atualizadas e alinhadas com as melhores práticas do setor.
Assim, importa reforçar, o expertise especializado do Chief Information Security Officer (CISO) é um grande diferencial competitivo e uma peça-chave para garantir a consolidação da cibersegurança, num ambiente de riscos cibernéticos em constante evolução.
in IT Security
Miguel Nunes, Chief Information Security Officer - Claranet Portugal
Related articles
CISO: o pivot da Cibersegurança nas organizações
Claranet @ IT Security Conference 2024 - Mesa redonda "Melhorar a Proteção com Inteligência Artificial"
Claranet @ IT Security | O Estado da Nação (em Cibersegurança) 2024
NIS 2 e a materialização da cibersegurança: resiliência e conformidade dos operadores de serviços essenciais
A Cibersegurança como vantagem competitiva no Mercado de TI: o caso 360 Security Audit