O mandato de segurança empresarial é claro: proteja os sistemas, dados e pessoal contra ameaças cibernéticas. A função do líder de segurança também abrange a proteção da marca da organização.
Estudos quantificaram a custo de um incidente de dados; no entanto, o impacto na imagem, reputação e confiança é duradouro e difícil de expressar além de uma declaração de risco. Pelo que o líder de segurança é responsável e pelo que o líder de segurança é responsabilizado quando algo dá errado?
Quebrando os desafios de segurança corporativa
A função de líder de segurança corporativa é estressante. Requer acompanhar as necessidades de segurança de novas iniciativas de TI. Novos projetos exigem avaliação de riscos e identificação das habilidades certas da equipe a serem aplicadas. A escassez de habilidades de TI é evidente na segurança cibernética corporativa e continua a exercer pressão sobre equipes com poucos recursos. Em alguns casos, a terceirização pode ser a única opção.
As iniciativas de TI lideradas pelo departamento podem ser iniciadas sem qualquer supervisão de segurança, levando ao termo Shadow IT. Uma equipe de segurança que está respondendo após o fato de que projetos de negócios estão sendo “suspensos” terá dificuldade em impor sua postura de segurança uniformemente em toda a organização.
Gerar conscientização com os usuários finais em apoio a higiene cibernética básica deve ser um processo contínuo que envolve todas as partes da organização. O treinamento anual de conformidade cibernética e todas as formas de políticas cibernéticas de “policiamento” criam atrito com os usuários finais. Algumas organizações estão até priorizando a higiene cibernética básica juntamente com iniciativas estratégicas de segurança.
Acrescente a esses requisitos a necessidade de comunicar efetivamente o risco cibernético às partes interessadas nos negócios e acompanhar a crescente carga de trabalho, o líder de segurança moderno levou a comportamentos em que muitos são incapazes de “desligar” do trabalho, temem tirar folga e operam em um ambiente onde eles acreditam que seu tempo é limitado.
Veja Relacionado: Esgotamento de profissionais de segurança cibernética e sua saúde
“Fall Guy” faz parte da descrição do trabalho?
Quando algo dá errado, o CISO pode ser considerado um padrão mais alto do que seus colegas. Se a equipe de vendas perder uma meta do trimestre, o líder será demitido? Essa realidade demonstra a criticidade do líder de segurança e, ao mesmo tempo, levanta a questão: “isso é justo?”
Em uma Força-Tarefa 7 Rádio Podcast, o apresentador George Rettas e a repórter de segurança cibernética da CNBC, Kate Fazzini, discutiram o escrutínio interno e público que os CISOs de grandes empresas estão colocando sobre eles. “Todos nós vamos ter um dia ruim”, disse Rettas. “Não conheço um único incidente de violação que não tenha envolvido muitos conflitos internos”, acrescentou Fazzini.
A conversa entre Rettas e Fazzini chegou ao auge quando chegaram a uma dolorosa verdade. O CISO está “tentando proteger uma infraestrutura e uma rede muito imperfeitas”, disse Rettas. “Você acha que esses CISOs estão sendo usados como uma espécie de bode expiatório aqui?”
“Acho que eles definitivamente estão sendo usados como bode expiatório”, comentou Fazzini. “Não há CISO que não tenha uma violação” em algum momento.
Muitos líderes de segurança recorreram ao humor para administrar esse estresse. Durante a RSA, um CISO perguntou se eu tinha ouvido o que o acrônimo CISO agora significava? “Diretor de Sacrifício Inicial”, ele brincou.
Fazzini observou ainda como a Equifax não apenas substituiu o CISO, mas também mudou as funções de CEO, CIO e muitos outros após o incidente de dados. O novo CISO não só tinha grande experiência em segurança corporativa, mas também era conhecido pela capacidade de falar a língua do CEO e do conselho de administração.
Essa observação apóia a necessidade de reexaminar a definição de CISO e avaliar que ela pode ter várias personas.
Veja Relacionado: 5 aspectos mais estressantes da segurança cibernética
Personas CISO: estratégicas e táticas
A rotatividade para a função de CISO é relativamente alta. Um estudo de novembro de 2019 da Nominet com 800 CISOs do Reino Unido e dos EUA descobriu que ciclo de vida médio agora é de apenas 26 meses. O estresse induzido pelo trabalho afetou tudo, desde os relacionamentos até a saúde mental dos CISOs. O pior caso seria carreiras interrompidas devido ao esgotamento.
Essa percepção do Cyber Security Hub nos levou a mudar nossa abordagem para perguntas e conversas contínuas. Com o aumento do estresse e da ansiedade no campo dos profissionais, talvez a definição de um CISO esteja evoluindo e não deva ser vista como um propósito único.
À medida que as empresas continuam a se expandir e se digitalizar, observamos uma dinâmica de mercado em que os CISOs estão se alinhando com uma das duas abordagens (ou personas) – Estratégica ou Tática.
- A CISO tático lidera com uma compreensão das tecnologias, ferramentas e processos (no espectro pessoas-processo-tecnologia da informação). As organizações precisam “levantar” um programa de segurança rapidamente e essa persona CISO é especialista em colocar as políticas e o regimento em vigor. À medida que os requisitos de segurança se expandiram, o CISO tático também se tornou o “depósito de lixo” para responsabilidades adicionais, que podem ou não estar alinhadas com o conjunto de habilidades dessa pessoa.
- A CISO Estratégico líderes com capacidade de relacionar o imperativo de segurança aos objetivos do negócio (mais dos aspectos de “pessoas” e “informações” do espectro de pessoas-processos-tecnologia da informação). As relações estabelecidas com os restantes stakeholders da organização permitem a esta CISO persona avaliar a postura global de risco do negócio e das suas áreas funcionais.
À medida que uma organização cresce, a tendência é cada vez mais para oportunidades mais estratégicas. A exigência técnica não diminui; no entanto, a demanda futura não é tão grande.
Nenhuma das personas do CISO justifica a necessidade de aprendizado contínuo. Quer haja uma oportunidade de adquirir mais conhecimento técnico ou de negócios, as organizações querem líderes de segurança que possam crescer com a empresa.
Criando consciência para o CISO moderno
Uma discussão aberta é necessária para superar o comportamento atual entre organizações e líderes de segurança. As necessidades de cada organização são únicas. Compreender a maturidade do programa de segurança de uma organização e o que é necessário para promover essa postura de segurança é essencial. O alinhamento do CISO e da organização não é um processo padronizado e requer esforço de ambas as partes para garantir o sucesso de todos.
Veja Relacionado: Seis características de CISOs de empresas de sucesso
