Como melhorar a comunicação entre a equipe de segurança da informação e os gestores

A falta de comunicação entre uma empresa e seu serviço de segurança da informação pode levar a perdas desnecessárias. Hoje tentamos descobrir como superar a barreira da comunicação.

Nenhuma empresa pode operar com sucesso sem sinergia entre a administração geral e os especialistas responsáveis ​​pelas diferentes áreas do negócio. É claro que essa cooperação requer comunicação, o que às vezes pode ser difícil, pois gestores e especialistas trabalham em diferentes bolhas de informação e geralmente falam línguas diferentes. A liderança pensa em lucro, custos e desenvolvimento; os especialistas – e o serviço de segurança da informação não é exceção – pensam em suas tarefas técnicas específicas.

Um estudo recente conduzido por nossos colegas descobriu que, embora o entendimento mútuo entre gerentes de negócios e especialistas em segurança da informação esteja crescendo, problemas ainda existem. De fato, 98% dos representantes comerciais entrevistados disseram que já tiveram um mal-entendido com o serviço de Infosec pelo menos uma vez. Quanto às consequências diretas de tal ruído, 62% disseram que ele gerou pelo menos um incidente de segurança, enquanto 61% relataram impactos negativos para o negócio – incluindo perdas, saída de funcionários-chave ou piora na comunicação entre departamentos. Ao mesmo tempo, os próprios profissionais de segurança nem sempre estão cientes de quaisquer problemas: 42% dos líderes empresariais gostariam que os especialistas em segurança se comunicassem com mais clareza — porém 76% desses especialistas têm certeza de que todos os entendem perfeitamente!

Muitas vezes há problemas com a linguagem utilizada: os líderes geralmente não entendem todos os termos técnicos que os especialistas usam. Mas a terminologia não é o único problema na comunicação entre os gestores e o time de segurança da informação — aliás, nem é o principal problema. Vamos tentar entender as outras questões com a ajuda de Patrick Miller, sócio-gerente da Archer International, e seu discurso na Kaspersky Industrial Cybersecurity Conference 2019.

Ideias diferentes sobre risco

A maioria dos especialistas em cibersegurança tem uma tolerância a riscos muito baixa. Mas nos negócios, o oposto é verdadeiro: sem risco, não há lucro, então os gestores geralmente estão dispostos a correr riscos maiores. Para o chefe, o principal objetivo é encontrar o equilíbrio ideal entre lucros potenciais e potenciais perdas. A verdadeira missão do departamento de segurança, por mais estranho que pareça, não é eliminar todas as ameaças, mas ajudar o negócio a ganhar o máximo possível.

Do ponto de vista empresarial, os riscos podem ser aceitos, evitados, reduzidos ou transferidos (por exemplo, para seguradoras). Os gerentes tentarão correr o máximo de riscos possível para aumentar os lucros. A segurança da informação é apenas uma pequena parte do cenário: eles provavelmente nem querem pensar nisso.

Com isso, os especialistas em segurança da informação não devem pensar em como fechar todas as lacunas, mas sim em identificar e neutralizar aquelas ameaças que realmente podem causar sérios danos ao negócio. E, em contrapartida, também devem pensar em como explicar aos gestores sobre o investimento para mitigar tempestivamente alguma questão.

Persuasão que não funciona

Tentar persuadir os gerentes usando táticas de medo, incerteza e dúvida (FUD, na sigla em inglês) não vai funcionar porque ficar com receio e incerteza deslegitima o valor agregado pago pelo serviço de segurança da informação. Os especialistas estão lá para resolver problemas – e se possível – para que ninguém perceba que existam.

Outro problema com o uso do FUD é que os gerentes já estão bastante estressados, simplesmente porque qualquer erro que cometem pode ser o último. Tem muita gente por aí disposta a ocupar o lugar deles, eles não confiam muito em qualquer um, e por aí vai. Eles simplesmente não precisam de nenhum fator adicional de medo.

E por fim, nenhum chefe gosta de mostrar que não sabe de alguma coisa. Portanto, qualquer tentativa de bombardear a liderança com termos inteligentes está obviamente fadada ao fracasso.

Pense no negócio como um todo

O principal objetivo de qualquer negócio comercial é ganhar dinheiro. Todos os gerentes olham para tudo sob esse ponto de vista. Isso é o que eles sabem fazer. Portanto, se um especialista em segurança da informação chegar até eles e disser: “apareceu uma ameaça e precisamos investir um valor X para neutralizá-la”, o que o gestor ouve é “se arriscarmos e não fizermos nada, economize uma quantia X de recursos.” Parece loucura, mas é exatamente assim que a lógica do custo-benefício opera.

Para o gestor, é fundamental que qualquer uma de suas ações (ou omissões) resulte em números financeiros positivos — mesmo que esse número positivo seja a diferença entre dois negativos. Assim, a situação deve ser apresentada à gerência de forma que ela entenda: “Existe uma ameaça com Z% de probabilidade de causar Y prejuízos ao negócio. Precisamos gastar X para neutralizá-lo.” Essa é uma equação que faz sentido para a mentalidade empresarial.

Claro, nem sempre é possível prever de forma realista o custo de danos potenciais, então você pode usar valores conhecidos como tempo de inatividade (durante o qual as consequências do incidente seriam eliminadas), a quantidade e o tipo de dados que podem ser perdidos ou comprometidos, perdas de reputação e assim por diante. A empresa pode então converter essas informações em números compreensíveis — com a ajuda de especialistas relevantes. Mas é melhor que a própria equipe de segurança da informação possa fazer isso, pois otimiza muito tempo.

Naturalmente, sempre existe a possibilidade de que a equação não funcione a favor da cibersegurança. Isso nem sempre é um problema de falta de comunicação – talvez os gerentes ouçam e entendam tudo perfeitamente, mas é mais lucrativo correr o risco. Ou isso ou a segurança da informação não foi capaz de defender sua posição de forma convincente porque não aprendeu a pensar como um negócio.

A chave aqui é ter uma boa compreensão da posição do serviço de segurança da informação dentro da empresa e do lucro que ele gera. Isso permitirá avaliar e classificar melhor as possíveis ameaças, evitar o desperdício de tempo e nervos próprios e de outras pessoas com iniciativas que claramente não levarão a lugar nenhum e, em geral, trabalhar com mais eficiência.

O fator tempo e os prazos

Para a segurança, o fator tempo é crucial: algumas ameaças devem ser barradas imediatamente. Mas o tempo também é importante para os negócios, porque para eles é aquela máxima: tempo é dinheiro. Você pode gastar a quantia X acima mencionada hoje, mas se fizer isso em um mês, em mãos habilidosas X se transformará em X*n e X*(n-1) permanecerá no banco.

Mesmo que os gerentes entendam bem o problema e saibam que ele deve ser resolvido, eles não se apressarão em gastar dinheiro, a menos que tenham um prazo claro e bem argumentado. Eles também devem ser informados de que, uma vez vencido o prazo, eles assumem automaticamente a responsabilidade pelo risco especificado, pois a segurança da informação pode apenas minimizar as consequências.

Este prazo deve ser o mais realista possível. Se a segurança da informação está sempre exigindo que uma decisão seja tomada “ontem”, então a administração vai parar de ouvir e, em vez disso, desacreditar a área inteira. E se acontecer o oposto, na linha do argumento “bem, você pode decidir dentro de um ano”, eles simplesmente serão demitidos após o próximo incidente (ou simplesmente despedidos). É importante poder avaliar e definir o prazo real e destacar os riscos potenciais.

Vale a pena notar que pouquíssimas empresas simplesmente mantêm o dinheiro de reserva em suas contas, esperando que o diretor de segurança da informação chegue e diga onde gastá-lo o mais rápido possível. Os fundos para resolver o problema terão que ser retirados ou emprestados de algum lugar, e isso pode levar tempo. E, aliás, para entender o tempo que leva, também é importante saber como o negócio funciona e gera lucro.

Seja um profissional de marketing

Para se comunicar de forma eficaz, os especialistas em segurança da informação devem ter algumas habilidades de marketing; pois daí poderão explicar e vender suas soluções aos chefes.

  • Ofereça a solução, não o problema. Obviamente, você não pode vender um problema.
  • Sempre que possível, baseie-se em precedentes reais e facilmente verificáveis. Os gerentes amam essa abordagem, pois reduz a incerteza.
  • Em vez de termos técnicos, use linguagem de vendas atraente e slides com gráficos coloridos.
  • Ofereça algumas opções – até mesmo aquelas que são inviáveis
  • Coloque toda a proposta em apenas uma página — ninguém vai ler mais do que isso.
  • Utilize sinônimos para a expressão “segurança da informação”: redução de riscos, garantia de resiliência/continuidade dos processos de trabalho, manutenção da eficiência operacional, redução de paradas, prevenção de danos, etc.
  • Reduza ao mínimo a linguagem emocional e mantenha um estilo de comunicação profissional e comercial.

O que fazer?

Soft skills são a chave para uma comunicação empresarial bem-sucedida. Você precisa ser capaz de sair de sua bolha especializada e aprender a falar com os gerentes usando a linguagem e os contextos de sua preferência. Embora possam querer, não podem se aprofundar em todos os detalhes técnicos de todos os departamentos da empresa. Para o serviço de segurança da informação, é importante reconhecer que você é apenas uma parte do negócio, saber como funciona e ajudar a obter o máximo de receita com o mínimo de custos.

E também vale a pena conferir os resultados de nosso último estudo sobre o alinhamento das altas diretorias com os gerentes de segurança da informação (disponível em inglês).

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?