Entrevista concedida à revista CIOReview* por Sergio Thompson-Flores, CEO da Módulo Security Solutions 

Hoje, o CIO tem uma posição privilegiada para liderar a construção de uma gestão de riscos e segurança da informação corporativa mais padronizada e equilibrada. Depois do capital, a informação é a commodity mais importante para uma organização. A infra-estrutura de tecnologia da informação é a base de absolutamente todos processos de negócios e, por extensão, ela afeta a gestão da reputação, propriedade intelectual, planejamento de recuperação de desastres, marketing, jurídico, recursos humanos e até mesmo o financeiro. Logo, o CIO inevitavelmente passará a rivalizar com o CFO no fornecimento de indicadores-chave sobre o desempenho dos negócios para o conselho e acionistas.

Blog-Entrevista-Thompson 1

O CIO precisará incorporar tanto a perspectiva top-down da gestão de riscos, típica do Diretor de Riscos (CRO), quanto à abordagem bottom-up do Diretor de Segurança da Informação (CISO). Geralmente o CRO ajuda definir Indicadores-Chave de Riscos (KRIs) através de técnicas de gestão de riscos corporativos (ERM – Enterprise Risk Management). Já o CISO produz uma visão crítica dos riscos corporativos reais e residuais com base na capacidade de vincular ativos aos processos e aos negócios da organização. A combinação dessas abordagens proporciona ao CIO uma base natural para liderar o movimento em direção à maturidade dos processos de Governança, Riscos e Conformidades (GRC) e da performance à níveis corporativos, bem como uma harmonização dos parâmetros de riscos: cyber/TI, fornecedores, continuidade de negócios, operacionais e corporativos.

Em um recente debate estratégico com mais de vinte CIOs/CSOs de diversos segmentos de negócios e moderado pela a Módulo, descobrimos que muitas organizações já avançam para este nível de maturidade.

Os principais temas que surgiram durante o debate foram:

CIOs/CSOs estão interagindo cada vez mais com a diretoria e conselhos administrativos e a estrutura destes depende da maturidade da empresa e da indústria: Os tipos de conselhos variam desde Comitês de auditoria que recebem relatórios diretamente do CEO, Conselhos de riscos corporativos, Conselhos de governança de TI e Comitês de riscos operacionais.

Colaboração abaixo da linha de Conselho é a chave para o sucesso: Muitas vezes o CIO/CSO é o elo de ligação nas relações entre unidades de negócios e é fundamental que a colaboração entre todas as partes aconteça antes de chegar à reunião do conselho para garantir que todos estejam alinhados.

Grupos de trabalho de segurança cibernética estão sendo criados a fim de apresentar uma frente unificada: Alguns CIOs/CSOs estão formando grupos de trabalho de segurança cibernética junto aos seus superiores diretos, CEOs, RPs, etc., para identificar incidentes significativos e decidir o que é relevante para ser apresentado ao Conselho.

Necessidade de práticas comuns alinhando o processo entre o CIO/CSO e diretoria: A falta de uma metodologia e processos definidos para o CIO/CSO interagir com o Conselho pode dificultar a elaboração de discussões de diretoria. Cada segmento de negócios precisa de melhores práticas e Benchmark.

GRC para diretoria deve ser um facilitador de negócios: GRC envolve uma cultura de riscos presente em todos os níveis do negócio e deve ser apresentado ao conselho como um facilitador de negócios e não como uma “obrigação” ou “encargo”.

Visto isso, como o CIO aplica esses tópicos na prática?

O trabalho do CIO tem sido cada vez mais no sentido de monitorar ativos de informações, transações e processos do que comprar e implementar uma infra-estrutura de TI. Esse monitoramento é cada vez mais considerado pelos tomadores de decisão. Em suma, cabe aos CIOs de hoje adotarem um pensamento ágil e empreendedor e concentrarem-se mais em processos relacionados a gestão de riscos e menos em tecnologia e ferramentas para o gerenciamento de informações.

Analistas e tendências do mercado também nos indicam que o orçamento de TI ficará cada vez mais fora do alcance do CIO – mesmo que alguns gastos permaneçam na segurança de TI. Gastos com TI, que atualmente são uma parte essencial da infra-estrutura de negócios modernos, irão aumentar porém farão parte do orçamento de marketing ou outros setores. Especialistas de Informação terão de se preparar para reportar e monitorar uma infra-estrutura de TI cada vez mais dispersa.

Isso significa que os CIOs podem posicionar suas organizações para implementar, com sucesso, programas que liguem distintos sistemas de TI com a gestão de políticas para gerenciá-los. Mais importante ainda, os CIOs precisam pensar em termos de processos, pessoas e tecnologia, que é onde o conceito de GRC entra em jogo. Programas de gestão de GRC ajudam os CIOs a monitorar processos relacionados a gestão de segurança da informação, políticas e risco de “não conformidade”. Eles também ajudam a unificar dados de outras tecnologias de gestão de riscos. Em última análise, essas ferramentas podem tornar-se os sistemas que melhor informarão sobre o desempenho passado e fornecerão uma visão clara (insight) sobre o desempenho futuro.

Se os CIOs estão repensando suas próprias posições frente ao risco, é fato que o papel das ferramentas que implementam também deve evoluir. Soluções de GRC podem ajudar a preencher esta lacuna integrando dados de ferramentas de monitoramento, ações tomadas por administradores de sistema e as demandas de alto nível do negócio. Entretanto, uma ferramenta de GRC só será realmente eficaz dependendo das informações que lhe forem inseridas. A escalabilidade é a peça-chave: para que os CIOs assumam a responsabilidade do CRO, será necessária uma ferramenta de GRC que forneça tanto uma gestão de riscos ativos ascendente quanto uma visibilidade descendente de KRIs e demais painéis (dashboards) de performance/desempenho.

É importante lembrar que quando o CIO preenche o papel das CROs ele vai ser o único a integrar as informações de gestão de risco para relatar ao conselho, mas a entrada de dados financeiros, operacionais e legais continuarão sob a competência dos respectivos executivos de “nível C” (Chief/Diretor).

Para concluirmos, vale observar que os CIOs e CISOs atualmente estão, proativamente, adotando um papel de liderança, facilitando a colaboração em toda a empresa a fim de apresentar uma frente unificada e informações relevantes para o conselho.

Até a próxima.

*Fonte: http://www.cioreview.com/magazine/Positioning-the-CIO-for-Risk-Reporting-to-the-Boardroom-DLZO50531178.html 

Sergio Thompson-Flores

foto-minicurrculo-srgio-thompson

CEO da Módulo Security. Mestre em Relações Internacionais pelo Instituto Rio Branco. Entre 1996 e 2006, dirigiu a Worldinvest, assessoria financeira e de desenvolvimento de negócios no Brasil, da qual foi o principal sócio e fundador. Antes, foi diretor de um banco oficial de desenvolvimento brasileiro (FINEP) com atividade em private equity e financiamento de projetos. Anteriormente, foi diplomata no Serviço Exterior Brasileiro, em um posto sênior no Ministério da Fazenda.

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2014/03/87969526.jpghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2014/03/87969526.jpgSergio Thompson-FloresProfissionais de TICIO,CISO,grc,Profissionais de TI
Entrevista concedida à revista CIOReview* por Sergio Thompson-Flores, CEO da Módulo Security Solutions  Hoje, o CIO tem uma posição privilegiada para liderar a construção de uma gestão de riscos e segurança da informação corporativa mais padronizada e equilibrada. Depois do capital, a informação é a commodity mais importante para uma...