Apenas 12% dos CISOs são considerados ‘altamente eficazes’, diz Gartner

Apenas 12% dos diretores de segurança da informação (CISOs) se destacam em todas as quatro categorias do Índice de Eficácia CISO do Gartner, de acordo com uma pesquisa da empresa de consultoria. Analistas discutiram as características dos CISOs de melhor desempenho no The Virtual Gartner Security & Risk Management Summit, realizado de 14 a 17 de setembro, virtualmente, nas Américas e na EMEA.

“Os CISOs de hoje devem demonstrar um nível mais alto de eficácia do que nunca”, disse Sam Olyaei, Diretor de Pesquisa do Gartner. “À medida que o impulso para o digital se aprofunda, os CISOs são responsáveis por apoiar um conjunto de decisões de risco de informações em rápida evolução, ao mesmo tempo em que enfrentam maior supervisão de reguladores, equipes executivas e conselhos de administração. Esses desafios são ainda agravados pela pressão que a Covid-19 colocou sobre a função de segurança da informação para ser mais ágil e flexível”.

A Pesquisa Gartner CISO Effectiveness 2020 foi conduzida entre 129 chefes de funções de risco da informação, em todos os setores, globalmente, em janeiro de 2020. A medida da eficácia CISO do Gartner é determinada pela capacidade de execução de tarefas do profissional, relacionada a um conjunto de resultados nas quatro categorias: liderança funcional; entrega de serviços de segurança da informação; governança em escala; e capacidade de resposta da empresa.

A pontuação de cada respondente em cada categoria foi somada para calcular sua pontuação geral de eficácia. O Gartner define “CISOs eficazes” como aqueles que pontuaram no primeiro terço da medida de eficácia CISO.

Comportamentos dos CISOs eficazes

Dos fatores que afetam a eficácia do CISO, o Gartner revelou cinco comportamentos que diferenciam significativamente os CISOs de alto desempenho dos de baixo desempenho. Em média, cada um desses comportamentos é duas vezes mais prevalente nos de melhor desempenho do que nos de pior desempenho.

“Uma tendência clara entre os CISOs de alto desempenho é demonstrada em um alto nível de proatividade, seja para ficar a par das ameaças em evolução, comunicar riscos emergentes com as partes interessadas ou ter um plano de sucessão formal”, disse o Olyaei. “Os CISOs devem priorizar esses tipos de atividades proativas para aumentar sua eficácia”.

A pesquisa também descobriu que os CISOs de melhor desempenho se reúnem regularmente com três vezes mais partes interessadas não relacionadas à TI, do que partes interessadas de TI. Dois terços desses funcionários de alto desempenho se reúnem pelo menos uma vez por mês com os líderes das unidades de negócios, enquanto 43% se reúnem com o CEO, 45% se reúnem com o chefe de marketing e 30% se reúnem com o chefe de vendas.

“Os CISOs construíram historicamente relacionamentos frutíferos com executivos de TI, mas a transformação digital democratizou ainda mais a tomada de decisões de segurança da informação”, acrescentou Daria Krilenko, Diretora de Pesquisa Sênior do Gartner. “CISOs eficazes mantêm um olhar atento sobre como os riscos estão evoluindo em toda a empresa e desenvolvem relacionamentos sólidos com os donos desse risco – líderes de negócios seniores fora de TI”.

A pesquisa também descobriu que CISOs altamente eficazes gerenciam melhor os fatores de estresse no local de trabalho. Apenas 27% dos CISOs com melhor desempenho se sentem sobrecarregados com alertas de segurança, em comparação com 62% dos com pior desempenho. Além disso, menos de um terço dos CISOs de melhor desempenho sentem que enfrentam expectativas irreais das partes interessadas, em comparação com a metade dos CISOs de pior desempenho.

“À medida que a função do CISO se torna cada vez mais exigente, os líderes de segurança mais eficazes são aqueles que podem gerenciar os fatores de estresse que enfrentam diariamente”, disse Olyaei. “Ações como manter uma distinção clara entre trabalho e não trabalho, definir expectativas explícitas com as partes interessadas e delegar ou automatizar tarefas são essenciais para permitir que os CISOs funcionem em alto nível”.