Papel do CSO é separar riscos bons de ruins, avalia VP do Gartner
Para Andrew Walls, executivo de segurança da informação não deve barrar os projetos de risco, mas avaliar quais compensam arriscar.
Na implementação de novos projetos, as empresas e os CSO costumam qualificar o risco baseado em baixo ou alto, descartando aqueles que apresentam maior risco. Na visão de Andrew Walls, vice-presidente do Gartner, é preciso mudar o modelo, passando para a classificação em risco positivo ou negativo, sendo o primeiro aquele que traz lucro para a empresa.
“Arriscar não é ruim, é preciso, desde que se aposte no risco que vale a pena correr”, disse Walls hoje, durante palestra na Conferência Gartner: Segurança & Gestão de Riscos, em São Paulo. “E essa classificação deve ficar a cargo do CSO, que transmite a gerência de negócios de sua empresa.”
Certificação transforma profissionais de TI em CSO
Para isso, é necessário implementar uma cultura de medição de riscos, calculado em métricas de agilidade, segurança e compliance, por exemplo. “Com o entendimento dos riscos que se corre, é possível arriscar em bons projetos sem perigo. Do contrário, a empresa pode ficar estagnada ou se colocar em más situações”, explica o executivo.
CSO: ponte entre equipe de TI e gerência de negócios
Segundo Walls, o CSO precisa traduzir a tecnologia para a linguagem da gerência de negócios, por isso a necessidade de ver o ângulo dessa área. “Hoje, há empresas que contratam CSOs que vieram da área de negócios justamente porque entendem essa visão”, diz. “O executivo de segurança precisa mediar a interação entre a equipe operacional de TI e a gerência da empresa, negociando o nível de risco aceitável dos projetos.
FOnte:Ipnews