Tema será discutido na Conferência Gartner Segurança e Gestão de Risco 2018, que acontece em agosto (SP)
Embora profissionais da área de TI e a maior parte das empresas tenham focado na excelência operacional nos últimos 30 anos, analistas do Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, afirmam que agora é o momento para que executivos de segurança direcionem seus esforços para proporcionar experiências positivas para os clientes.
“Nos dias atuais, o campo de batalha para a revolução digital industrial é a experiência do consumidor”, diz Leigh McMullen, Vice-Presidente de Pesquisa do Gartner. “Não se trata de custo, eficiência e, tampouco, envolve produtos. Trata-se de experiência”, alerta o analista.
Durante a Conferência Gartner Segurança e Gestão de Risco 2018, que acontecerá dias 14 e 15 de agosto (SP), analistas apresentarão para milhares de profissionais de TI e de segurança técnicas para criar melhor engajamento das empresas para o tema segurança. Segundo o Gartner, todo mundo é um grande consumidor digital e, nesse universo, usuários esperam customização para todas as suas preferências. Para executivos de segurança, isso significa abrir de mão de certo controle, o que resulta em um choque cultural. Essa divergência tem acontecido quando questões de risco são passadas do departamento de negócios para a área de segurança com a expectativa de que a equipe responsável lide com o problema. Segundo o analista do Gartner, a chave para mudar essa relação é engajamento.
“Nós, como profissionais da área de segurança, queremos que as coisas sejam controladas”, afirma McMullen. “Nós desejamos estabilidade, mas as expectativas das pessoas têm sido definidas por forças que estão fora de nosso controle. Isso significa que os líderes de TI e de segurança precisam mudar o engajamento se quisermos alcançar o sucesso. Terão que abrir mão do controle para ganhar influência”, explica o analista.
Mais do que nunca, os consumidores desejam experiências com funções simplificadas. Analistas destacam que esforço, insatisfação e a metodologia Net Promoter Score (NPS) são os melhores indicadores do padrão de consumo do futuro. “O departamento de segurança não deveria minar a experiência dos consumidores, mas acabam fazendo isso”, diz McMullen. “Consumidores desejam que o esforço dedicado corresponda ao valor que esperam receber. Se a empresa entrega uma experiência equivocada, eles simplesmente irão trocar de marca”.
O Gartner identificou cinco aspectos da segurança e do gerenciamento de risco nos quais líderes podem trabalhar para criar melhores experiências para os clientes (internos e externos). São elas:
Fale com executivos sobre o que importa para eles – De acordo com analistas do Gartner, estudos têm revelado que o medo associado a riscos e segurança está impactando materialmente a inovação. “Organizações estão desacelerando porque se sentem inseguras”, diz Paul Proctor, Vice-Presidente do Gartner. “Se é possível aumentar o conforto dos clientes e compreender riscos e segurança, então você pode ajudar sua companhia a se mover mais rápido. Isso é realmente um valor de negócio na área da segurança”. O analista acrescenta que é importante para executivos de segurança dialogarem com lideranças dos negócios sobre o que importam para eles, mostrando como os resultados de seus negócios são diretamente dependentes da tecnologia.
Ajude executivos na tomada de decisões com avaliações operacionalmente focadas em risco – Para ajudar executivos de negócios, o Gartner recomenda que líderes da área de segurança comecem com um processo empresarial e conduza entrevistas com pessoas que executam tais processos. Os analistas do Gartner compartilham o exemplo de um departamento que criou um processo de avaliação operacionalmente focada em risco que leva duas semanas, entrega um resumo das recomendações focadas em contexto empresarial e exige a atuação nos resultados de executivos com poder de decisão que não são de TI. “Oferecer aos executivos tomada de decisões no contexto de resultados operacionais torna o engajamento mais que interessante para eles. Isso impacta diretamente suas escolhas”, diz Proctor. “Você agora ajuda eles a fazerem seu trabalho”.
Crie defensibilidade para seus executivos – Executivos não controlam diretamente riscos e padrões de segurança de tecnologia. No entanto, quando uma organização é hackeada, o público deseja que esses profissionais enfrentem as consequências da falha na segurança. “Temos tratado segurança como uma arte obscura por tanto tempo que quando uma organização é atacada, as pessoas não compreendem”, afirma McMullen. “Então, a questão primordial passa a ser: ‘Quem fez besteira? ’. Você não pode garantir que a empresa não será atacada, então pare de vender aos seus executivos proteção e comece a vender algo que eles realmente precisam, defensibilidade”.
Evite termos técnicos nas conversações sobre decisão – A habilidade de abstrair tecnologia e colocar a decisão em termos de resultados dos negócios é crítica para o sucesso de líderes de segurança em um moderno mundo baseado em risco. Para analistas do Gartner, profissionais dessa área precisam compreender o modelo de negócios de suas companhias. “Ao falarmos sobre risco e segurança em tecnologia, essencialmente em termos técnicos, acionistas nos tratam como magos que lançam feitiços e protegem a organização”, explica Proctor. “Tornar processos de segurança e de gerenciamento de riscos mais transparentes e alinhados aos negócios é, definitivamente, uma exigência para tirar o profissional de segurança do mundo de fantasia”.
Saiba gerenciar produtos – O gerenciamento de projetos é algo que executivos de segurança sempre fizeram. Eles priorizam e apoiam essas atividades. Por exemplo, há fases de inicialização, execução, implementação, teste de aceitação, integração e de desdobramentos na administração de projetos. Ou seja, há começo, meio e fim. No gerenciamento de produto, no entanto, tudo é contínuo. Tipicamente, é organizado em torno de um processo empresarial, e das exigências de TI para apoiar tal procedimento. Por exemplo, em uma companhia de seguro, uma linha de produtos poderia ser analisada dentro um contexto de risco e segurança. Mas para isso, seria necessário controlar acessos, proteger perímetros, identificar ameaças e gerenciar vulnerabilidades de forma contínua, sem data final. “Ao tomar essas medidas, a experiência do executivo será melhorada, assim como sua percepção de valor e de resultado em uma organização que está protegida adequadamente”, diz Proctor.