Durante muito tempo, os líderes empresariais encararam a segurança cibernética através de uma lente estreita de gestão de riscos e ameaças. O foco era nos insumos, investimentos nas ferramentas, equipes e controles mais recentes para impedir a entrada de invasores. Mas embora tais capacidades sejam necessárias, esta mentalidade não consegue ligar os esforços de segurança cibernética ao valor estratégico real do negócio.
As equipes de segurança de maneira geral adotam uma abordagem taticamente reativa, perseguindo cada novo tipo de malware ou ataque. Elas se perdem nos detalhes técnicos de implementar o sistema de IA mais recente ou o firewall avançado. No entanto, raramente elas recuam e perguntam: "Como esses esforços estão nos ajudando a alcançar nossos objetivos organizacionais mais importantes?"
Não fazer essa pergunta fundamental é a razão pela qual as equipes de segurança às vezes têm dificuldade em justificar recursos, manter um foco estratégico no longo prazo ou ocupar uma posição influente na mesa executiva. Para elevar o papel estratégico dos negócios da segurança cibernética, os líderes de segurança devem mudar fundamentalmente o foco para definir e alcançar resultados positivos que se alinhem com os objetivos comerciais prioritários e os tornem possíveis.
Os resultados referem-se aos resultados tangíveis que a segurança eficaz proporciona, tais como:
Impacto financeiro de ataques reduzido
Detecção e resposta mais rápidas a incidentes
Aumento da confiança e fidelidade dos clientes
Maior produtividade evitando tempo de inatividade
Por outro lado, os insumos são investimentos feitos para proteger a organização, como ferramentas, tecnologias, treinamento e pessoal. Os insumos são elementos básicos essenciais. Mas os resultados são o que realmente é alcançado com esses investimentos.
Pense em insumos versus resultados como dirigir um carro. Airbags avançados, recursos de frenagem e navegação são informações valiosas. Mas se você não sabe para onde está indo, seu destino, esses recursos não oferecem muito valor. As equipes de segurança precisam de clareza sobre para onde estão direcionando a organização. Os resultados fornecem essa direção.
A abordagem mais eficaz que encontrei para definir resultados estratégicos de segurança cibernética é trabalhar de trás para frente. Essa técnica começa visualizando seu objetivo final e, em seguida, determinando o que precisa acontecer para chegar lá, passo a passo.
Por exemplo, imagine que daqui a um ano você deseja interrupção mínima dos negócios devido a incidentes cibernéticos. Quais são alguns resultados mensuráveis que demonstrariam que você alcançou esse objetivo? Isso pode incluir:
Resposta média a incidentes 20% mais rápida
Menos de duas horas de inatividade devido a ataques cibernéticos por trimestre
Nenhum pagamento de ransomware
Com isto definido, agora você pode trabalhar retroativamente para compreender as capacidades e os recursos necessários para alcançar esses resultados. Quais ferramentas ou habilidades reduziriam o tempo de resposta e o tempo de inatividade? Quais controles de acesso e backups eliminariam pagamentos de resgate?
A abordagem de trabalho retroativo fornece clareza e foco. Você começa com o destino da empresa em mente, em vez de se perder em táticas reativas.
Uma dificuldade comum para justificar os investimentos em segurança cibernética é a ligação com o que é importante para a empresa. Os líderes de segurança devem vincular os resultados diretamente às metas e objetivos organizacionais prioritários.
Por exemplo, se as metas de nível superior incluírem a rápida expansão para novos mercados e o desenvolvimento acelerado de produtos, os resultados relevantes poderiam ser:
Lançar uma plataforma on-line segura para novos mercados em 9 meses.
Reduzir em 30% os atrasos nos ciclos de lançamento de produtos devido a problemas de segurança.
Isso garante que os esforços de segurança sejam posicionados como um facilitador e não como um obstáculo. Os recursos gastos em capacidades que ajudam a apoiar ou impulsionar resultados importantes são muito mais fáceis de justificar.
Os resultados também devem ser quantificáveis através de métricas e KPIs. Em vez de afirmar: “Reduziremos o risco”, defina isso como “Reduzir nossa pontuação geral de risco cibernético de 78 para 68 dentro de um ano fiscal”. Isto permite a medição real do progresso.
Métricas que se espalham por fatores técnicos, financeiros e de negócios são ideais:
Técnica: detecção de ameaças mais rápida, menos vulnerabilidades de software.
Financeira: reduzir custos com violações e incidentes
Empresarial: maior receita devido à confiança do cliente e ao tempo de atividade
Realizar uma análise de realização de benefícios pode quantificar ainda mais vantagens em áreas como produtividade aprimorada, reputação da marca e conformidade.
Uma vez definidos os resultados claros, o verdadeiro trabalho começa: descobrir a combinação certa de pessoas, ferramentas e tecnologias para tornar esses resultados uma realidade. Isto exige uma ligação estreita entre a estratégia de segurança e a execução na prática.
Novas tecnologias como IA e automação podem ser de grande ajuda, mas somente se forem, deliberadamente, direcionadas para impulsionar resultados específicos, seja para alcançar tempos de resposta mais rápidos ou reduzir o número de violações. Caso contrário, mesmo as ferramentas mais avançadas podem se tornar consumidoras de orçamento inutilmente.
Às vezes, a melhor estratégia não é adquirir a mais recente capacidade cibernética da moda, mas simplificar ou eliminar ferramentas que se tornaram distrações. A consolidação de fornecedores duplicados em uma plataforma unificada pode liberar orçamento e possivelmente largura de banda, anteriormente desperdiçada em integração e manutenção.
Acompanhar continuamente o progresso por meio de métricas fornece feedback essencial para refinar abordagens e investimentos. Se as capacidades específicas não promoverem resultados prioritários, poderão ter de ser repensadas ou realocadas. Essa medição alimenta uma estratégia de segurança ágil e em evolução.
O foco permanece fixo na atualização dos destinos definidos que criam valor para a empresa. Com essa estrela guia orientando as decisões, os líderes de segurança podem navegar com confiança pela estrada sinuosa que se estende à frente.
Mudar o foco da segurança cibernética para a obtenção de resultados em detrimento da aquisição de insumos é fundamental para elevar o seu papel estratégico. Os líderes empresariais precisam que as equipes de segurança sejam responsáveis por resultados tangíveis que apoiem a missão da organização.
Este foco externo no impacto positivo na empresa também cria parcerias internas essenciais entre grupos de TI, finanças, marketing, jurídico e outros. Promove a colaboração para gerar resultados de segurança que melhoram os objetivos em toda a empresa.
Finalmente, focar nos resultados proporciona clareza mesmo em tempos caóticos.Novas ameaças vão surgir e os investimentos vão acarretar riscos. Com esses destinos definidos e baseados nas necessidades da empresa, os líderes de segurança podem navegar com confiança pelo caminho a seguir.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
John Engates — @jengates
Field CTO, Cloudflare
Após ler este artigo, você entenderá:
A diferença entre saídas e entradas na segurança cibernética
A necessidade de mudar o papel da segurança, de gestão de riscos para impulsionador estratégico de valor comercial