Nenhuma empresa pode operar com sucesso sem sinergia entre a administração geral e os especialistas responsáveis pelas diferentes áreas do negócio. É claro que essa cooperação requer comunicação, o que às vezes pode ser difícil, pois gestores e especialistas trabalham em diferentes bolhas de informação e geralmente falam línguas diferentes. A liderança pensa em lucro, custos e desenvolvimento; os especialistas – e o serviço de segurança da informação não é exceção – pensam em suas tarefas técnicas específicas.
Um estudo recente conduzido por nossos colegas descobriu que, embora o entendimento mútuo entre gerentes de negócios e especialistas em segurança da informação esteja crescendo, problemas ainda existem. De fato, 98% dos representantes comerciais entrevistados disseram que já tiveram um mal-entendido com o serviço de Infosec pelo menos uma vez. Quanto às consequências diretas de tal ruído, 62% disseram que ele gerou pelo menos um incidente de segurança, enquanto 61% relataram impactos negativos para o negócio – incluindo perdas, saída de funcionários-chave ou piora na comunicação entre departamentos. Ao mesmo tempo, os próprios profissionais de segurança nem sempre estão cientes de quaisquer problemas: 42% dos líderes empresariais gostariam que os especialistas em segurança se comunicassem com mais clareza — porém 76% desses especialistas têm certeza de que todos os entendem perfeitamente!
Muitas vezes há problemas com a linguagem utilizada: os líderes geralmente não entendem todos os termos técnicos que os especialistas usam. Mas a terminologia não é o único problema na comunicação entre os gestores e o time de segurança da informação — aliás, nem é o principal problema. Vamos tentar entender as outras questões com a ajuda de Patrick Miller, sócio-gerente da Archer International, e seu discurso na Kaspersky Industrial Cybersecurity Conference 2019.
Ideias diferentes sobre risco
A maioria dos especialistas em cibersegurança tem uma tolerância a riscos muito baixa. Mas nos negócios, o oposto é verdadeiro: sem risco, não há lucro, então os gestores geralmente estão dispostos a correr riscos maiores. Para o chefe, o principal objetivo é encontrar o equilíbrio ideal entre lucros potenciais e potenciais perdas. A verdadeira missão do departamento de segurança, por mais estranho que pareça, não é eliminar todas as ameaças, mas ajudar o negócio a ganhar o máximo possível.
Do ponto de vista empresarial, os riscos podem ser aceitos, evitados, reduzidos ou transferidos (por exemplo, para seguradoras). Os gerentes tentarão correr o máximo de riscos possível para aumentar os lucros. A segurança da informação é apenas uma pequena parte do cenário: eles provavelmente nem querem pensar nisso.
Com isso, os especialistas em segurança da informação não devem pensar em como fechar todas as lacunas, mas sim em identificar e neutralizar aquelas ameaças que realmente podem causar sérios danos ao negócio. E, em contrapartida, também devem pensar em como explicar aos gestores sobre o investimento para mitigar tempestivamente alguma questão.
Persuasão que não funciona
Tentar persuadir os gerentes usando táticas de medo, incerteza e dúvida (FUD, na sigla em inglês) não vai funcionar porque ficar com receio e incerteza deslegitima o valor agregado pago pelo serviço de segurança da informação. Os especialistas estão lá para resolver problemas – e se possível – para que ninguém perceba que existam.
Outro problema com o uso do FUD é que os gerentes já estão bastante estressados, simplesmente porque qualquer erro que cometem pode ser o último. Tem muita gente por aí disposta a ocupar o lugar deles, eles não confiam muito em qualquer um, e por aí vai. Eles simplesmente não precisam de nenhum fator adicional de medo.
E por fim, nenhum chefe gosta de mostrar que não sabe de alguma coisa. Portanto, qualquer tentativa de bombardear a liderança com termos inteligentes está obviamente fadada ao fracasso.
Pense no negócio como um todo
O principal objetivo de qualquer negócio comercial é ganhar dinheiro. Todos os gerentes olham para tudo sob esse ponto de vista. Isso é o que eles sabem fazer. Portanto, se um especialista em segurança da informação chegar até eles e disser: “apareceu uma ameaça e precisamos investir um valor X para neutralizá-la”, o que o gestor ouve é “se arriscarmos e não fizermos nada, economize uma quantia X de recursos.” Parece loucura, mas é exatamente assim que a lógica do custo-benefício opera.
Para o gestor, é fundamental que qualquer uma de suas ações (ou omissões) resulte em números financeiros positivos — mesmo que esse número positivo seja a diferença entre dois negativos. Assim, a situação deve ser apresentada à gerência de forma que ela entenda: “Existe uma ameaça com Z% de probabilidade de causar Y prejuízos ao negócio. Precisamos gastar X para neutralizá-lo.” Essa é uma equação que faz sentido para a mentalidade empresarial.
Claro, nem sempre é possível prever de forma realista o custo de danos potenciais, então você pode usar valores conhecidos como tempo de inatividade (durante o qual as consequências do incidente seriam eliminadas), a quantidade e o tipo de dados que podem ser perdidos ou comprometidos, perdas de reputação e assim por diante. A empresa pode então converter essas informações em números compreensíveis — com a ajuda de especialistas relevantes. Mas é melhor que a própria equipe de segurança da informação possa fazer isso, pois otimiza muito tempo.
Naturalmente, sempre existe a possibilidade de que a equação não funcione a favor da cibersegurança. Isso nem sempre é um problema de falta de comunicação – talvez os gerentes ouçam e entendam tudo perfeitamente, mas é mais lucrativo correr o risco. Ou isso ou a segurança da informação não foi capaz de defender sua posição de forma convincente porque não aprendeu a pensar como um negócio.
A chave aqui é ter uma boa compreensão da posição do serviço de segurança da informação dentro da empresa e do lucro que ele gera. Isso permitirá avaliar e classificar melhor as possíveis ameaças, evitar o desperdício de tempo e nervos próprios e de outras pessoas com iniciativas que claramente não levarão a lugar nenhum e, em geral, trabalhar com mais eficiência.
O fator tempo e os prazos
Para a segurança, o fator tempo é crucial: algumas ameaças devem ser barradas imediatamente. Mas o tempo também é importante para os negócios, porque para eles é aquela máxima: tempo é dinheiro. Você pode gastar a quantia X acima mencionada hoje, mas se fizer isso em um mês, em mãos habilidosas X se transformará em X*n e X*(n-1) permanecerá no banco.
Mesmo que os gerentes entendam bem o problema e saibam que ele deve ser resolvido, eles não se apressarão em gastar dinheiro, a menos que tenham um prazo claro e bem argumentado. Eles também devem ser informados de que, uma vez vencido o prazo, eles assumem automaticamente a responsabilidade pelo risco especificado, pois a segurança da informação pode apenas minimizar as consequências.
Este prazo deve ser o mais realista possível. Se a segurança da informação está sempre exigindo que uma decisão seja tomada “ontem”, então a administração vai parar de ouvir e, em vez disso, desacreditar a área inteira. E se acontecer o oposto, na linha do argumento “bem, você pode decidir dentro de um ano”, eles simplesmente serão demitidos após o próximo incidente (ou simplesmente despedidos). É importante poder avaliar e definir o prazo real e destacar os riscos potenciais.
Vale a pena notar que pouquíssimas empresas simplesmente mantêm o dinheiro de reserva em suas contas, esperando que o diretor de segurança da informação chegue e diga onde gastá-lo o mais rápido possível. Os fundos para resolver o problema terão que ser retirados ou emprestados de algum lugar, e isso pode levar tempo. E, aliás, para entender o tempo que leva, também é importante saber como o negócio funciona e gera lucro.
Seja um profissional de marketing
Para se comunicar de forma eficaz, os especialistas em segurança da informação devem ter algumas habilidades de marketing; pois daí poderão explicar e vender suas soluções aos chefes.
- Ofereça a solução, não o problema. Obviamente, você não pode vender um problema.
- Sempre que possível, baseie-se em precedentes reais e facilmente verificáveis. Os gerentes amam essa abordagem, pois reduz a incerteza.
- Em vez de termos técnicos, use linguagem de vendas atraente e slides com gráficos coloridos.
- Ofereça algumas opções – até mesmo aquelas que são inviáveis
- Coloque toda a proposta em apenas uma página — ninguém vai ler mais do que isso.
- Utilize sinônimos para a expressão “segurança da informação”: redução de riscos, garantia de resiliência/continuidade dos processos de trabalho, manutenção da eficiência operacional, redução de paradas, prevenção de danos, etc.
- Reduza ao mínimo a linguagem emocional e mantenha um estilo de comunicação profissional e comercial.
O que fazer?
Soft skills são a chave para uma comunicação empresarial bem-sucedida. Você precisa ser capaz de sair de sua bolha especializada e aprender a falar com os gerentes usando a linguagem e os contextos de sua preferência. Embora possam querer, não podem se aprofundar em todos os detalhes técnicos de todos os departamentos da empresa. Para o serviço de segurança da informação, é importante reconhecer que você é apenas uma parte do negócio, saber como funciona e ajudar a obter o máximo de receita com o mínimo de custos.
E também vale a pena conferir os resultados de nosso último estudo sobre o alinhamento das altas diretorias com os gerentes de segurança da informação (disponível em inglês).