O Futuro do CISO: de braço direito do CIO a pilar estratégico de riscos

Felipe Galofaro, sócio e COO da Elytron Security

A cibersegurança deixou de ser apenas uma função técnica, subordinada à área de tecnologia. No cenário atual — em que as ameaças digitais têm o poder de paralisar operações, comprometer reputações e gerar prejuízos bilionários — proteger informações não é mais um tema de infraestrutura, é um tema de sobrevivência das organizações.

Por décadas, o CISO (Chief Information Security Officer) foi alocado na estrutura do CIO, com foco operacional e atuação reativa às ameaças de segurança. Mas esse modelo está em xeque. A razão é simples, o CIO tem como missão acelerar entregas, gerar eficiência tecnológica e habilitar o negócio. O CISO, por sua vez, precisa estabelecer limites, fazer perguntas difíceis e, muitas vezes, dizer “não” em nome da segurança corporativa.

Quando o CISO responde ao CIO, esse conflito é estrutural, o que pode trazer fragilidade à segurança da informação. Por isso, empresas mais maduras em cibersegurança estão redesenhando a governança do tema, levando o CISO a ser um par estratégico do CIO, com reporte direto ao CEO, CRO (Chief Risk Officer) ou, em alguns casos, ao Conselho de Administração.

Conversei recentemente com Eduardo Gouveia, chairman da Mapfre no Brasil e conselheiro de empresas como Baterias Moura, Lojas Quero-Quero, Raymundo da Fonte e CI&T e ele me contou que, nas empresas em que atua, estimula a independência técnica e política do CISO. “Ele precisa de autonomia para agir, sem subordinação à área de TI. Esse é um passo vital para a maturidade da governança digital.”

Mais do que um movimento organizacional, essa mudança é uma resposta à escalada de riscos muitas vezes invisíveis, mas devastadores. Fraudes sofisticadas, ransomwares, vazamento de dados sensíveis e espionagem industrial se tornaram parte do cotidiano empresarial, em uma era de intensa digitalização dos negócios.

Rogério Galloro, ex-diretor geral da Polícia Federal e especialista em segurança corporativa conta que o cenário atual é alarmante. “A maior parte das empresas privadas brasileiras ainda está extremamente vulnerável.  Não há cultura de prevenção, nem investimento proporcional ao risco. Um cenário que precisa ser revisto com urgência!”

Colocar o CISO na estrutura de riscos, ao lado de compliance, jurídico e auditoria, é mais do que um upgrade organizacional, é um gesto de compromisso com a perenidade da empresa. Significa dar voz e poder de decisão ao bem mais valioso deste século, a informação.

Essa maturidade digital também eleva a estratégia do papel do CISO, que deixa de ser apenas o “bombeiro” de TI, ‘apagando incêndios’, para se tornar o orquestrador do risco cibernético. Esse papel só é possível quando o CISO tem autonomia, voz estratégica e um lugar legítimo à mesa de decisão. Sua empresa está pronta para tomar essa decisão?