Cinco maneiras de atingir objetivos de segurança

Com os orçamentos cada vez mais enxutos, alinhar prioridades e priorizar os gastos são ações fundamentais para quem garantir recursos extras para proteger a empresa.

Segurança pode ser uma questão corrente para os executivos de negócios, mas em um ambiente de incerteza econômica, já em curso, o apoio a iniciativas de segurança nem sempre é fácil de obter. Principalmente e algum gasto extra estiver em jogo.

"Não há carta branca para a segurança", diz Roland Cloutier, CSO da ADP. Dave Cullinane, CISO do site de leilões eBay, concorda. "Saber onde estamos gastando, que despesas são ou não apropriadas e os riscos que corremos, é um bom caminho para evitar tornar ainda mais difícil a aprovação de investimentos em segurança", diz ele.

A COMPUTERWORLD perguntou a várias CSOs dicas de boas práticas, compiladas na forma de nove táticas para obter manter as iniciativas de segurança em movimento, apesar de inúmeros obstáculos.

1. Faça o cálculo

Com os orçamento mais apertadas do que nunca, é crucial apresentar números concretos que reafirmem a importância do seu projeto ou iniciativa. "Se for apenas para melhorar marginalmente o nível de segurança, nem pense em solicitar recursos extras", diz Richard Gunthner, CSO da Mastercard. "É preciso haver um retorno sobre o investimento que faça sentido."

Com tantas ameaças potenciais, uma grande parte do trabalho dos CSOs será identificá-las, calcular os riscos, quantificar as perdas e estimar o ROI da correção pretendida. "Se eu puder demonstrar que um investimento de 6 milhões dólares irá resultar em uma redução do risco 300 milhões de dólares, o CFO compreenderá", diz Cullinane. "Mas você tem que provar que a iniciativa irá resultar redução de gastos. Essa quantificação é a parte mais difícil."

Um bom caminho é acompanhar os resultados. "Mostre o ponto onde começaram a investir, e os problemas evitados ao longo de um curto período de tempo que justificaram cada centavo investido", diz Cullinane. Depois de construir credibilidade, o dinheiro virá mais facilmente. "Eu estou dando de volta ao CFO 5 dólares por cada dólar que ele me dá. Por isso ele está disposto a me dar mais" diz Cullinane.

Idealmente, você deve mostrar o investimento vai fechar um buraco que você tem em sua organização que resultou em um lapso de segurança diretamente relacionado a uma perda financeira. Se você não pode fixá-lo a um evento interno, mostre o que aconteceu em outra empresa, de preferência do mesmo ramo de atuação.

"Isso mostra que você não é alarmista, mas realista, já que o problema pode ocorrer de fato, e, portanto, há um risco que precisa ser debelado", diz Gunthner. "Isso torna o investimento em segurança muito mais fácil de vender."

2. Mostre a relação com o negócio

Mesmo se você não possa obter números concretos, certifique-se de que seu pedido de financiamento das iniciativas de segurança está alinhado com os interesses de negócios, diz Cloutier. Se a maior preocupação da empresa estiver no topo da linha da receita, como você pode ajudar a mantê-la ainda mais rentável, mais rápido? Se a preocupação é a redução da despesa, o que pode fazer a segurança para reduzir a fraude e desperdício?

"Se você pode articular isso e mostrar uma ligação direta, não apenas um discurso que aponta para alguma coisa, a chance de obter apoio dos líderes empresariais para seus esforços de segurança aumenta."

3. Cuidado com a linguagem

Você não vai chegar longe nos pedidos de seus gastos, se não ajustar a sua mensagem para o público, seja ele o conselho executivo, o grupo de TI ou o pessoal da área de gerência.

"Você deve manter a mensagem para ajustar o discurso para cada potencial cliente", diz Jason Clark, chefe de segurança e diretor de estratégia da Websense, provedora de soluções de segurança. "O pessoal de TI se preocupa com os detalhes operacionais, mas a diretoria, não."

Alan Nutes, gerente sênior de segurança e gerenciamento de incidentes na Newell Rubbermaid, concorda. "Se você está falando para a gerência sênior, utilize palavras que façam parte do vocabulário dos executivos C-level.", diz ele. "Um profissional de segurança pode dizer 'prevenção de perdas" para uma platéia de executivos que vai entender "gestão de ativos."

Por exemplo, para explicar para executivos a necessidade de um firewall a mais, você pode usar a metáfora da necessidade de novos freios em um carro, não para parar, mas para ir mais rápido, com segurança, sugere Clark. "Ou se os executivos quiserem usar iPads, você passe a ser o cara que, em vez de dizer vetar o uso, dirá 'sim, mas só com esse pedaço extra de software na rede para suportá-lo."

O fato é que a maioria dos executivos de negócio somente se preocupa com violações de segurança quando a exposição de riscos deixa bastante claro que uma falha pode afetar o negócio, e o seu trabalho como líder de TI é mostrar essa conexão para eles.

4. Torne as questões pessoais

Se quiser obter a atenção de alguém, coloque a questão em seu quintal. Depois que as pessoas sentem-se responsáveis, vão ter interesse em defender sua proposta de investimento extra em segurança. "Issa é uma estratégia poderosa. As pessoas não querem ser vistas como responsáveis ​​pelo risco. Correr para que se tornar adeptas a ajudar a atenuá-lo", diz Cloutier. "Não se trata de medo e incerteza, é sobre se sentir responsável por um problema na sua área e decidir que podem ajudar a resolvê-lo." A técnica estimula uma abordagem de parceria, que impulsiona os recursos necessários.

Clark concorda. Ele usa um dispositivo criado por ele no início de sua carreira, que chama de gráfico "Good, Bad e Ugly" (em tradução livre para o Português, algo como "Bom, Rui, e Perigoso"). O diagrama mostra onde cada divisão está em seu progresso em iniciativas de segurança. Em uma empresa, Clark compartilhou este gráfico com o CEO e solicitou que ele desse apoio à iniciativa da área de segurança em seu discurso trimestral. Não só o CEO promoveu o projeto,como também repreendeu publicamente o presidente de uma divisão que tinha resistido muito em adotar o projeto. "Logo depois, todos vieram me procurar para sav=ber o que precisavam fazer para recuperar o atraso", diz Clark.

5.Antecipe-se

Não é preciso ser um vidente para prever as preocupações e as perguntas que as parte interessadas certamente farão. Tudo o que é necessário é um estudo rápido do comportamento humano. "Algumas pessoas gostam de levantar questões polêmicas", diz Gunthner. Por exemplo, o RH pode ter uma sensibilidade especial para as relações com os empregados, enquanto o pessoal da área de infraestrutura se preocupa mais com ativos fora de lugar. "Procure enumerar as preocupações mais comuns e estar pronto para respondê-las e até resolvê-las com antecedência. Isso aumentará as chances da iniciativa de segurança ser bem recebida", diz ele.

"Para ser um agente de mudança, você tem que ser criativo e expressar as coisas de maneiras interessantes, para que pareçam não terem sido ouvidas antes", diz Clark. "Muitas vezes, as pessoas já alinharam suas objeções. Por isso você tem que pensar dois passos à frente."
 FONTE: MODULO.COM.BR