CISOs brasileiros não são técnicos de futebol
CISOs além de trabalharem para evitar ataques cibernéticos, devem focar na reação à esses ataques
Estar no maior evento Esportivo de Futebol do mundo, jogando em casa e perder com um placar de 7×1, pode ser a última partida na carreira de um técnico de futebol. O desafio dos CISOs (em inglês, Chief Information Security Officer) atualmente não se distancia muito da pressão da derrota em um campo de futebol. Há uma cultura perigosa se disseminando entre as empresas e ocasionando o desligamento de CISOs como primeira medida após sofrerem um incidente de segurança. Essa atitude é preocupante e traz severas consequências para ambos os lados, como:
1. Encorajamento à prática de alta-rotatividade entre CISO’s no mercado.
2. Distanciamento das reais causas para resolução. Suponhamos que o atual CISO de uma empresa tenha identificado graves riscos em potencial, tendo em mente essa cultura de “caça às bruxas”, o CISO terá dificuldades em endereçar os problemas ou deixará a empresa na primeira proposta recebida.
Antes de tomar qualquer atitude, recomendo que as empresas façam quatro perguntas de autorreflexão:
Os riscos já reportados pelo CISO, foram considerados?
A companhia endereçou as ações propostas pelo CISO?
Segurança era prioridade para a empresa?
O cargo de CISO atende a área que permite autonomia e independência sem conflitos de interesse e concorrência por budgets?
Vejam que, de forma indireta e não-intencional, no modelo atual os executivos estejam disseminando uma cultura prejudicial aos CISOs e aos negócios, pois as empresas ficarão vulneráveis e os CISOs não conseguirão desenvolver um bom trabalho em longo prazo. A analogia ao técnico de futebol é perfeitamente aplicável.
Para sobreviver, as empresas precisam ter um plano estruturado que garanta que no caso de um ataque ou vazamento de dados ela consiga se recuperar sem danos graves ou sem perder mais do que um mínimo predefinido. Em outras palavras, os CISOs além de trabalharem para evitar ataques cibernéticos, devem focar na reação à esses ataques (resposta à incidentes).
A demanda por projetos e a velocidade das mudanças tecnológicas exigem dos CISOs uma carga de trabalho redobrada e um aprimoramento constante de suas atividades, por isso, alguns deles chegam ao burnout – esgotamento profissional e que causa uma queda no desempenho da equipe.
Atentar-se as horas de trabalho, definir metas realistas, capacitar a equipe e criar uma cultura positiva são atitudes que colaboram com a manutenção do trabalho do CISO mais equilibrado e cirúrgico. As ameaças à segurança são reais e os CISO’s precisam receber recursos e apoio para enfrentá-los da melhor maneira possível, evitando assim os bornouts e melhorando os meios de segurança cibernética da empresa.
Por tanto, os CISOs não devem ser tratados como técnicos de futebol, sendo demitidos na primeira “derrota”. Uma mudança cultural precisa acontecer. O CISO tem que ser capacitado para o trabalho e a segurança cibernética classificada como uma questão estratégica primordial e coloca em prática com atenção. Esse trabalho é de longo prazo e deve ser aprimorado para melhorar o setor e garantir a segurança o crescimento saudável dos negócios.
*Fernando Oliveira é fundador e diretor-executivo da SEC4YOU