Os CISOs devem realizar uma reestruturação organizacional como parte de seus planos estratégicos gerais, contudo, com segurança. Isso é imprescindível especialmente após grandes mudanças nas necessidades da empresa. Contudo, especialistas alertam que a reorganização por si só não é uma receita para o sucesso.
Com mais de duas décadas de experiência em segurança corporativa, Daniel Schwalbe viu como a profissão mudou e como a estrutura das equipes de segurança evoluiu.
Ele conta, por exemplo, como seu antigo departamento de segurança se reportava às operações de rede quando começou, lá no final dos anos 1990. Enterrado nas profundezas da TI, ele teve a sensação de que “as pessoas não queriam falar conosco”. No entanto, com o passar dos anos, a segurança passou de operações de rede para um escritório dedicado do CISO. A segurança, então, começou a se ramificar.
“Havia uma equipe central, mas começamos a identificar indivíduos nos diferentes departamentos que poderiam assumir uma função de segurança. Eles não faziam parte da nossa equipe, mas eram pessoas que tinham algum trabalho de segurança”, diz Schwalbe, que era então diretor e CISO associado.
Schwalbe diz que o valor desses parceiros era imenso.
“Se você tem alguém que trabalha lá e é experiente em segurança e faz parceria com eles, a situação se torna muito melhor e você pode ser um departamento de segurança muito mais eficaz”, diz ele.
A reestruturação organizacional baseada em segurança é possível?
Essa lição influencia suas decisões hoje como CISO da DomainTools. Após uma fusão em 2021, Schwalbe diz que agora está planejando a melhor forma de reestruturação organizacional aliado às diretrizes de segurança. Afinal, sua equipe de segurança é parte fundamental nesse processo. Ele está se inclinando para um departamento de segurança centralizado com ligações para os vários grupos de negócios que podem:
- aprender sobre o que cada equipe está fazendo;
- identificar mais rapidamente seus riscos de segurança;
- servir como consultores confiáveis para seu trabalho.
“Uma equipe de segurança se sai melhor quando tem a confiança e o respeito dos outros departamentos da organização. Afinal, eles sabem que estamos lá para ajudar”.
Então, ele aponta para uma interação que ilustra o valor de usar ligações. Ele diz que os funcionários de um grupo de negócios tiveram que continuar pedindo ajuda para acessar informações de um sistema seguro. Portanto, a ligação de segurança reconheceu o bloqueio e, trabalhando com outros em segurança, ajustou os níveis de permissão.
Segurança é eficiência
Ou seja, a segurança essencialmente surgiu com uma subcategoria de acesso que deu à equipe de negócios o que ela precisava para trabalhar com eficiência. Contudo, ainda aderindo ao princípio de privilégio mínimo.
“Ao ser mais colaborativo e abordar as coisas ativamente, em vez de esperar que as coisas cheguem até nós”, acrescenta Schwalbe, “estou deixando o lugar em um estado melhor do que o encontrei”.
Schwalbe ingressou na DomainTools como CISO em janeiro de 2022, então é lógico que, como novo líder de segurança, ele considera a melhor forma de organizar sua equipe.
Entretanto, executivos de segurança veteranos e consultores de gerenciamento dizem que os CISOs devem fazer uma reestruturação organizacional focada em segurança. Principalmente após grandes mudanças nas necessidades corporativas. E isso é algo que quase todas as empresas estão experimentando à medida que todos se dirigem para um mundo pós-pandemia que adotou o trabalho remoto, a nuvem computação e digitalização como nunca antes.
Encontrar o modelo certo no momento certo
Os CISOs têm uma variedade de modelos organizacionais diferentes. Eles vão desde altamente centralizados até federados e com graus variados entre eles. Especialistas enfatizam que os CISOs devem levar tempo para determinar qual modelo funcionará melhor e como melhor implementá-lo, dizendo que os esforços têm um bom ROI.
“Muitas vezes, não se trata de contratar novas pessoas ou comprar mais equipamentos. Mas sim de operações e como fazer com que a organização opere com mais segurança que possa criar a segurança mais eficaz”, diz Adam Goldstein, professor assistente de segurança cibernética no Champlain College e diretor acadêmico da seu Leahy Center for Digital Forensics & Cybersecurity.
Os executivos geralmente reestruturam o departamento de segurança após um incidente, diz Jack O’Meara.
“No entanto, acho que eles deveriam reavaliar com mais frequência por causa das ameaças em constante evolução e da dinâmica em mudança do local de trabalho”, diz ele.
Afinal, os CISOs descobrirão que toda estrutura organizacional traz prós e contras, bem como benefícios e desafios para implementá-los.
Por exemplo, O’Meara diz que os CISOs normalmente acham que é mais fácil exercer o controle em um modelo centralizado. Entretanto, podem abrir mão da visibilidade total de toda a tecnologia que está sendo usada na organização. Principalmente se houver muita shadow IT implantada nas unidades de negócios.
Governança forte é imprescindível
Por outro lado, os CISOs podem se associar mais facilmente a unidades de negócios sob um modelo federado. Contudo, devem ser mais diligentes na definição e manutenção de uma governança forte para garantir que os padrões de segurança sejam consistentemente mantidos em todas as áreas da empresa, acrescenta O’Meara.
Dadas essas considerações, ele diz que muitos CISOs optam por um modelo híbrido. Ou seja, centralizando algumas funções de segurança e incorporando ou conectando a segurança com as várias unidades de negócios como forma de obter os benefícios de cada modelo e minimizar possíveis armadilhas.
Schwalbe concorda, explicando que ele equilibra os elementos dos modelos em parte fazendo com que os seguranças se reportem a ele. Contudo, sempre incentivando cada contato a ser uma presença regular nas unidades de negócios que apoiam, por exemplo, participando e participando de suas reuniões.
Hora de avaliar
Não sem surpresa, O’Meara e outros dizem que não há um único modelo que funcione melhor para todos na hora de uma reestruturação organizacional amiga da segurança. No entanto, eles também concordam que os CISOs devem tomar decisões deliberadas sobre como organizar e quando reestruturar, em vez de apenas seguir o que herdaram ou sempre fizeram.
Joe Nocera, líder do Cyber & Privacy Innovation Institute da PwC, diz que aconselha os CISOs a considerar vários fatores ao pensar sobre esse tópico.
Ou seja, eles devem considerar quais serviços corporativos seus departamentos veem como serviços principais a serem entregues em escala. É o caso de um centro de operações de segurança, gerenciamento de identidade e acesso e controles de políticas. “Afinal, essas coisas tendem a ser fornecidas como um serviço corporativo”, diz Nocera.
No entanto, os CISOs também devem avaliar como e quão bem a segurança se alinha com as unidades de negócios, diz ele. “Onde a segurança entende as unidades de negócios e pode ajudar a personalizar a segurança, você pode incorporar recursos nos negócios”, diz ele, acrescentando que esses recursos incorporados podem ter uma linha de relatório sólida ou pontilhada de volta ao CISO.
Impactos da nuvem e DevOps
E com a crescente adoção de nuvem e DevOps, ele diz que os CISOs devem pensar em como eles dão suporte às equipes de desenvolvimento de aplicativos. Não obstante, devem considerar como o departamento de segurança pode apoiar melhor o desenvolvimento ágil e colocar a segurança no início desse processo.
Nocera diz que essas perguntas são menos sobre o tamanho da equipe de segurança e mais sobre a maturidade da empresa em sua abordagem à segurança cibernética.
“Se a organização não priorizou a segurança, sou a favor de um modelo centralizado em que você precisa direcionar as coisas do centro e garantir que as coisas estejam acontecendo”, diz ele. “Contudo, se você tem processos, memória muscular e governança, você pode começar a federar e empurrar algumas dessas coisas para fora.”
O valor de ser deliberado
Como outros, a Nocera vê benefícios nos modelos centralizado e descentralizado.
“Com a centralização, o CISO consegue ser mais prescritivo. Além disso, há um maior grau de certeza de que os recursos estão sendo executados dentro das diretrizes que o CISO espera, e isso permite um pouco mais de uniformidade nas definições de funções, responsabilidades e fluxos de trabalho. Você também tem mais feedback em tempo real e correção de curso.”
Quanto ao último, ele diz que “porque a segurança está próxima do negócio ou do processo de desenvolvimento, eles provavelmente estão nas primeiras reuniões de ideação, então você pode incorporar a segurança mais cedo [nas iniciativas]. E você está obtendo mais propriedade da unidade de negócios ou dos desenvolvedores quando eles veem a pessoa de segurança como parte de sua equipe.”
No entanto, especialistas dizem que a estrutura organizacional não é apenas entender os prós e os contras. Em vez disso, a chave é que o CISO seja proposital em qual modelo usar e por quê.
“Se você for”, acrescenta Nocera, “acho que você pode obter o nível de segurança ideal em qualquer modelo”.
Estrutura hierárquica
Steven Sim, CISO global de uma grande empresa internacional e membro do Grupo de Trabalho de Tendências Emergentes da ISACA, tem uma visão semelhante.
Ele diz que sua própria equipe de segurança tem uma estrutura hierárquica de três níveis. O nível superior inclui governança, gerenciamento de incidentes e um escritório de gerenciamento de projetos; funciona a nível global. Depois, há escritórios regionais e, abaixo, várias unidades de negócios com suas próprias equipes de TI e segurança.
Então, Sim diz que a segurança fornece serviços compartilhados centralizados. Entretanto, está estruturado para que alguns trabalhos – como a conformidade com as leis de privacidade locais – sejam tratados de forma descentralizada, com as regiões assumindo essas tarefas.
Não obstante, Sim diz que a empresa pode extrair recursos de uma região para ajudar outras áreas quando necessário. Contudo, também deve coordenar entre as regiões, para que, por exemplo, a empresa possa determinar se os incidentes que ocorrem em diferentes regiões podem estar relacionados.
“Certamente há áreas em que a descentralização faz sentido, mas, na minha opinião, não existe um tamanho único. Depende do negócio, da maturidade, da agilidade e da cultura”, diz.
Sim diz que o que pode ser ainda mais crítico é como todos, incluindo os líderes das unidades de negócios que ele diz ter responsabilidade pelo risco, se unem.
“É realmente essa mentalidade de mão no convés”, diz ele. “Afinal, na reestruturação organizacional a segurança é cada vez mais responsabilidade de todos. Portanto, todos têm um papel a desempenhar.”
Gerenciamento de risco
O diretor do Gartner, Sam Olyaei, que trabalha como parte do grupo de gerenciamento de risco e segurança da empresa de pesquisa, ecoa esse ponto. Ele diz que a estrutura da equipe de segurança influencia o sucesso, “mas a questão central sempre continua sendo a governança”.
Como outros, Olyaei diz que os CISOs precisam se concentrar primeiro não em seus organogramas, mas em:
- como seus departamentos de segurança se encaixam na empresa maior;
- quão bem a organização como um todo lida com riscos;
- quão maduros são seus processos e políticas;
- se a empresa é mais autocrática ou democrática;
- como a segurança pode orientar melhor os padrões nesse ambiente.
Portanto, resolver essas questões é primordial.
“Você pode fazer uma reestruturação organizacional de mil maneiras – com diferentes linhas de relatórios, equipes reorganizadas, ter um modelo federado ou não federado – mas isso não resolverá nenhum problema principal de segurança”, diz Olyaei. “Portanto, resolver problemas de governança subjacentes é mais importante do que tentar reestruturar sua maneira de contornar um problema. Isso é algo que eu digo aos clientes o tempo todo.”
Você também pode contar com o apoio de uma empresa de TI para cuidar da sua segurança de forma a suportar qualquer reestruturação organizacional.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.