Como CIOs e CISOs podem colaborar para o sucesso na nova era da nuvem

A rápida adoção de ambientes de TI multinuvem e a transição para forças de trabalho híbridas exigem uma nova dinâmica na alta diretoria: uma aliança mais próxima entre CIOs e CISOs.

Ao unir forças, CIOs e CISOs podem encontrar um equilíbrio saudável entre impulsionar o ritmo da inovação tecnológica e mitigar os riscos. A migração para a nuvem, especialmente para ambientes multinuvem mais complexos, pode ocorrer com mais rapidez e eficiência. As equipes de DevSecOps podem reduzir os riscos da integração de novas aplicações de software. Com maior colaboração, CISOs e CIOs podem avaliar conjuntamente os desafios operacionais e os riscos de segurança ao trazer novas tecnologias.

No entanto, para alcançar tudo isso, é necessário que os dois executivos assumam uma agenda de metas compartilhadas. Por exemplo, os CIOs devem buscar incorporar segurança em todos os novos investimentos em tecnologia, enquanto os CISOs não podem permitir que a aversão ao risco diminua o ritmo da transformação digital. Para muitas organizações, é uma dança complicada que só se torna viável com um entendimento comum de que inovação e segurança andam de mãos dadas.

“Você precisa andar no meio de muitas minas terrestres”, diz Tressa Springmann, CIO da LifeBridge Health, uma organização de saúde sem fins lucrativos. Rick Miller, CISO da LifeBridge, acrescenta: “Normalmente, você encontra o equilíbrio certo entre segurança e operações no meio da ponte.”

Veja como um provedor global de telecomunicações obteve um ROI de 283% em seu investimento na Elastic.

Compensações inteligentes

Na LifeBridge, que emprega mais de 12 mil pessoas e opera seis hospitais na área metropolitana de Baltimore, Maryland, os investimentos em novas tecnologias da informação — prontuários eletrônicos de saúde, ferramentas virtuais de telemedicina e soluções de diagnóstico genômico — também podem trazer riscos de segurança adicionais. A cibersegurança no setor de saúde já é uma questão crítica, pois os ataques cibernéticos prejudicaram as redes hospitalares e afetaram o atendimento ao paciente. De acordo com relatórios federais, mais de 40 milhões de prontuários de saúde de pacientes foram expostos em violações de dados no ano passado.

Como os principais líderes de tecnologia estão lidando com as ameaças crescentes?

Apesar dos riscos, “os orçamentos em saúde não são necessariamente elaborados para investir nas caríssimas ferramentas necessárias para proteger os dados”, diz Miller.

Isso pode forçar escolhas difíceis. Quando Miller propôs segmentar a rede de TI do hospital para reduzir a chance de uma violação, ficou claro que a mudança seria cara e exigiria mais suporte de TI. Springmann desafiou Miller a fornecer mais dados sobre o projeto para justificar a despesa. “Quando CISOs e CIOs trabalham juntos para garantir que a economia funcione para a organização, em vez de entrar em conflito, você pode obter um valor significativo”, diz Miller.

Em outro caso, Springmann e Miller colaboraram na avaliação dos sistemas de TI de uma aquisição recente. A principal responsabilidade de Springmann era fazer um levantamento do hardware e do software da empresa adquirida, enquanto a função de Miller era conduzir uma avaliação de risco de segurança. No entanto, diz Miller, em vez de entrarem em confronto, como costuma acontecer em muitas organizações, os dois trabalharam juntos para garantir que a compra fosse adiante e os riscos fossem mitigados.

“Isso nos possibilitou ter uma visão muito embasada da aquisição”, diz Springmann. Miller acrescenta: “A função de segurança está incorporada em tudo o que fazemos aqui na LifeBridge Health.”

A descoberta das compensações do DevSecOps

A implementação de DevSecOps — uma prática organizacional que compartilha a responsabilidade pela segurança entre as equipes de desenvolvimento, segurança e operações de TI na criação de novas aplicações de software — é um lugar lógico para CIOs e CISOs fortalecerem as relações de trabalho. Para ambos, garantir que o software seja resistente a ataques cibernéticos é tão importante quanto colocá-lo em funcionamento rapidamente.

O DevSecOps como prática está crescendo, de acordo com os dados de uma pesquisa da 451 Research, parte da S&P Global Market Intelligence, que revelaram que 48% das equipes de desenvolvimento usaram ferramentas de segurança das aplicações em 2020, contra apenas 29% em 2015.

“Imagine os benefícios potenciais se essas equipes e processos fossem mais colaborativos”, diz Gagan Singh, vice-presidente de marketing de produtos da Elastic. “Os dados de observabilidade podem adicionar mais contexto enquanto as equipes de segurança trabalham para detectar e responder rapidamente às ameaças. Ao mesmo tempo, desenvolvedores com conhecimento sobre tecnologia de segurança podem reduzir o atrito no desenvolvimento pensando na segurança desde o início.”

Migração para a nuvem

A migração para a nuvem é outra área na qual as organizações se beneficiam com uma colaboração mais próxima entre CIO e CISO. A nuvem oferece um valor substancial para os negócios na forma como as organizações usam e compartilham informações — e altera significativamente a natureza dos riscos cibernéticos. Isso pode ser especialmente verdadeiro quando se trata de ambientes multinuvem, que podem reduzir alguns níveis de ameaça, mas, ao mesmo tempo, aumentar o trabalho de monitoramento de tudo o que ocorre na nuvem e de acompanhamento de vários controles e permissões.

Mesmo que as organizações se beneficiem de uma maior colaboração entre o CIO e o CISO, as duas funções continuam a ter prioridades e responsabilidades separadas. Isso aumenta ainda mais a importância da comunicação regular entre os dois cargos. Springmann e Miller, por exemplo, se reúnem regularmente a cada duas semanas e se comunicam quase diariamente por mensagem de texto ou telefone.

“Muito [da nossa parceria] tem a ver com comunicação e relacionamentos pessoais e, se você não cuidar desses dois aspectos, as coisas podem desandar”, diz Mark Settle, ex-CIO e autor do livro Truth from the Valley (Verdades do vale, em uma tradução livre). “Quem é bom em comunicar e antecipar os problemas e as necessidades de outras pessoas consegue evitar a maior parte do atrito que pode ocorrer entre dois grupos.”

Uma maior colaboração entre o diretor de informações e o diretor de segurança da informação é essencial para as empresas que querem acelerar a inovação tecnológica e reduzir os riscos de segurança. Essa confusão de funções pode ser difícil, mas com objetivos compartilhados, compromisso com a comunicação e suporte organizacional, CIOs e CISOs podem ajudar a garantir que suas empresas realizem sua transformação digital com segurança.