A cibersegurança está finalmente se tornando uma questão importante para a direção de organizações e está atualmente desempenhando um papel cada vez mais importante na tomada de decisões estratégicas. E assim deve ser, já que o risco cibernético é um risco central com potencial para construir ou destruir uma organização. Tanto que essa é a principal justificativa por trás dos novos padrões regulatórios nos Estados Unidos, por exemplo.
Esse reconhecimento da importância da cibersegurança, por outro lado, trouxe mais pressão sobre os Chief Information Security Officers (CISOs), sem necessariamente haver reconhecimento e recompensa adequados. O resultado: aumento do estresse, do esgotamento e da insatisfação. Setenta e cinco por cento dos CISOs estão dispostos a mudar de emprego, um aumento de oito pontos percentuais em relação ao ano anterior, e apenas 64% estão satisfeitos com sua função, uma queda de 10% em relação ao ano anterior.
Essa situação representa um risco adicional para a cibersegurança dentro das organizações, e abordar esses problemas deve ser uma prioridade urgente.
Uma função cada vez mais estressante
Os CISOs sempre tiveram um trabalho estressante, e entre as causas mais recentes desse tipo de situação estão:
- Níveis crescentes de ameaças cibernéticas, deixando muitas organizações em modo de alerta constante;
- Escassez de habilidades no setor, deixando as principais equipes com falta de pessoal;
- Cargas de trabalho excessivas devido às crescentes demandas de gerências e diretorias;
- Falta de recursos e financiamento adequados;
- Carga de trabalho que obriga os CISOs a trabalhar longas horas e cancelar feriados;
- Transformação digital, que continua expandindo a superfície de ataques cibernéticos corporativos;
- Requisitos de conformidade que continuam a crescer a cada ano que passa.
Não é de surpreender que um quarto (24%) dos líderes globais de TI e segurança tenha admitido se automedicar para aliviar o estresse. Os níveis crescentes dessa condição aumentam a probabilidade de esgotamento e/ou aposentadoria precoce e podem levar a uma tomada de decisão deficiente (como observado neste estudo, por exemplo), além de afetar as habilidades cognitivas e a capacidade de pensar racionalmente.
Na verdade, foi sugerido que até mesmo a antecipação de um dia estressante pode afetar a cognição; cerca de dois terços (65%) dos CISOs admitem que o estresse no trabalho comprometeu sua capacidade de desempenho no trabalho.
Aumento do escrutínio legal, regulatório e interno dos CISOs
Além da base de estresse devido às características do trabalho, nos últimos meses houve um aumento do escrutínio regulatório, legal e da diretoria. É relevante, nesse sentido, detalhar esses três eventos recentes que ilustram isso:
- Maio de 2023: O ex-CSO da Uber, Joe Sullivan, foi condenado a três anos de liberdade condicional após ser condenado por dois crimes relacionados à sua participação em uma tentativa de encobrir um mega vazamento de 2016. Seus apoiadores afirmam que ele foi bode expiatório do então CEO Travis Kalanick e do advogado interno da Uber, Craig Clark, com Sullivan explicando que Kalanick havia aprovado seu polêmico pagamento de US$ 100 mil aos cibercriminosos.
- Outubro de 2023: pela primeira vez, a SEC acusou o CISO da SolarWinds, Timothy Brown, de minimizar ou não divulgar os riscos cibernéticos e de exagerar as práticas de segurança da empresa. A denúncia se refere a vários comentários internos feitos por Brown e alega que ele não conseguiu resolver ou elevar essas sérias preocupações dentro da empresa.
- Dezembro de 2023: Novas regras de informação da SEC entram em vigor, exigindo que as empresas de capital aberto relatem incidentes cibernéticos "significativos" em até quatro dias úteis após a determinação da importância. As empresas também terão que descrever anualmente seus processos para avaliar, identificar e gerenciar riscos e o impacto de quaisquer incidentes. E terão que detalhar a supervisão do conselho sobre o risco cibernético e sua experiência em avaliar e gerenciar o risco cibernético.
Não é só nos EUA que a supervisão regulatória está aumentando: a nova diretiva NIS2, que deverá ser transposta para a legislação dos Estados Membros da UE até outubro de 2024, impõe ao conselho a responsabilidade direta de aprovar medidas de gerenciamento de riscos cibernéticos e supervisionar sua implementação.
Os membros da alta administração também podem ser responsabilizados pessoalmente se for comprovada a negligência no caso de incidentes graves.
De acordo com Jon Oltsik, analista do Enterprise Strategy Group (EST), a crescente pressão que essas medidas estão exercendo sobre os CISOs está dificultando seu trabalho principal de responder às ameaças e gerenciar os riscos cibernéticos. Um estudo recente do ESG revela que tarefas como trabalhar com a diretoria, supervisionar a conformidade e gerenciar um orçamento estão mudando o papel do CISO de técnico para orientado para os negócios. Ao mesmo tempo, a crescente dependência da TI para impulsionar a transformação digital e o sucesso dos negócios se tornou esmagadora. A pesquisa afirma que 65% dos CISOs já pensaram em deixar o cargo devido ao estresse.
De acordo com a LGPD (Lei Geral de Proteção de Dados), os CISOs têm a responsabilidade de garantir a segurança e a proteção dos dados pessoais dentro das organizações. Suas responsabilidades incluem: implementação de medidas de segurança, gestão de riscos, conformidade com a LGPD, treinamento e conscientização, resposta a incidentes, e monitoramento contínuo.
Conclusões para CISOs e conselhos de administração
O resultado final é que, se os CISOs estiverem lutando para lidar com a carga de trabalho e com medo de retaliação regulatória e até mesmo de responsabilidade criminal por suas ações, eles provavelmente tomarão decisões piores no dia a dia. Muitos podem até mesmo deixar o setor. Isso teria um impacto extremamente negativo em um setor que já sofre com a escassez de pessoal qualificado.
Mas não precisa ser assim. Há coisas que tanto as diretorias quanto seus CISOs podem fazer para amenizar a situação:
- Os conselhos de administração devem avaliar a saúde mental, a carga de trabalho, os recursos e as estruturas de relatórios dos CISOs para otimizar sua eficácia e evitar afastamentos relacionados à saúde. Longos períodos sem um CISO em tempo integral afetam a estratégia de segurança;
- Os conselhos de administração devem remunerar seus CISOs de acordo com o alto risco que sua função implica atualmente;
- O envolvimento regular entre o conselho e o CISO é essencial, com linhas de reporte direto ao CEO, se possível. Isso ajudará a melhorar a comunicação entre os dois e a elevar a posição do CISO de acordo com suas responsabilidades;
- As diretorias devem fornecer aos seus CISOs um seguro de diretores e executivos (D&O) para ajudá-los a se protegerem de riscos graves;
- Os CISOs devem permanecer no setor que amam e assumir responsabilidades maiores, em vez de se esquivarem delas. Mas eles também devem se lembrar de que sua função é aconselhar e fornecer contexto à diretoria. Deixe que outros tomem as decisões importantes;
- Os CISOs devem sempre priorizar a transparência e a abertura, especialmente com os órgãos reguladores;
- Os CISOs devem estar cientes do que circulam internamente e garantir que as decisões ou solicitações controversas da gerência sênior sejam sempre registradas por escrito.
Para otimizar a estratégia de cibersegurança, os conselhos de administração devem começar reavaliando o que desejam que seja a função do CISO. A próxima etapa é garantir que o profissional de cibersegurança que ocupa esse cargo tenha apoio e recompensa suficientes para querer permanecer nele.