Precisamos falar sobre os CISOs: estresse, valorização e comunicação

No cenário atual da cibersegurança, o papel do Chief Information Security Officer (CISO) se torna cada vez mais crucial diante da crescente profissionalização do cibercrime. No entanto, a complexidade e a falta de reconhecimento desse cargo geram uma série de desafios e estresse significativo para esses profissionais.

Eu, particularmente, acho os gestores de cibersegurança verdadeiros heróis. Repito isso em palestras, reuniões de conselho e onde mais sou convidado. Minha impressão pessoal se reforça com os dados do estudo “The Life and Times of Cybersecurity Professionals Volume VI (2023)“, realizado pela ESG e pela Information Systems Security Association (ISSA), que revela que 62% dos CISOs consideram seu trabalho estressante por pelo menos metade do tempo, em comparação com 51% em outros cargos. A sobrecarga de trabalho, o desinteresse por parte dos gestores e a dificuldade em acompanhar novas iniciativas de negócios são os principais fatores que contribuem para esse estresse.

Mesmo usando dados internacionais, posso dizer que o cenário brasileiro é ainda mais agravante: menor maturidade digital entre as empresas e posicionamento de CISOs com responsabilidades elevadas, porém com pouco poder de influência e decisão nos negócios.

Isso acontece porque muitas empresas brasileiras ainda posicionam o CISO em níveis hierárquicos distantes dos demais C-levels e do Conselho de Administração. Essa distância impede que os CISOs tenham uma voz ativa nas decisões estratégicas, mesmo possuindo o conhecimento técnico necessário para identificar e mitigar riscos cibernéticos. E o que isso significa, na prática?

Leia mais: Sua empresa não sobrevive sem cibersegurança – mesmo que não saiba

Em grande parte, esse distanciamento pode ser explicado pela comunicação, ou pela falta dela. Um levantamento da FTI Consulting aponta que 43% dos líderes brasileiros afirmam que os CISOs possuem dificuldades em “traduzir” os riscos de cibersegurança em termos financeiros, índice acima da média global, de 30%.

Os líderes empresariais muitas vezes não compreendem a linguagem técnica dos riscos cibernéticos e, como resultado, não reconhecem a importância de compartilharem a responsabilidade da segurança com todos os níveis da organização.

Então, o que ainda falta para gerar maior conexão entre cyber e C-levels?

As métricas são essenciais na hora de comunicar os riscos e as oportunidades. Usar frameworks internacionais como o ISO 27000, por exemplo, pode ajudar o executivo de negócios a visualizar em que nível de maturidade digital a empresa se encontra comparada à concorrência. Essas métricas ajudam a distribuir a responsabilidade pela segurança entre todos os níveis da empresa, evidenciando os gaps existentes e as medidas necessárias para mitigá-los.

Ainda assim, é fundamental definir conjuntamente com os demais dirigentes da empresa qual é o nível de risco aceitável para a organização. Essa definição chamamos de apetite ao risco. Ao definir o ponto de partida e o ponto desejado de chegada em termos de maturidade de segurança digital, um plano começa a nascer e é compartilhado com a organização.

Ao fazer isso, os CISOs se deparam com uma miríade sem fim de controles, possibilidades de ataque e estratégias de defesa. Calma, não se desespere, nem despeje este volume de informação no Conselho de Administração. Priorize considerando as Jóias da Coroa e a criticidade dos ativos, alinhando estes com os principais processos de negócio da empresa.

Agora, para que esta comunicação funcione, é preciso quantificar os investimentos necessários para atingir este patamar de proteção, identificando quais projetos, controles e recursos precisam ser implementados. Vejo muitos CISOs, ao assumirem a posição, mergulharem na operação do dia a dia e, com isso, acabarem tomando para si um risco ou uma decisão que deveria ser combinada com a organização.

Veja também: Qual é o custo da violação de dados no Brasil?

É fato que muitos dos CISOs têm uma sólida formação técnica e muitos gaps em competências de gestão. Isso é natural e esperado, afinal, para conhecer cibersegurança, é necessário um investimento importante em formação e atualização técnica. Agora, a primeira lição de liderança é a construção de equipe, principalmente com competências complementares, de modo a cobrir todo o espectro de habilidades requeridas por um programa de segurança de sucesso.

Para os CISOs mais técnicos, sempre existe a possibilidade de contratar escritórios de gestão de riscos, aliviando a carga de trabalho ao passo que une a estratégia com o tático.

CISOs que são mais gerenciais do que técnicos precisam construir uma sólida abordagem tática. Em tempos de talentos escassos em cibersegurança, este desafio pode e deve ser enfrentado usando parceiros de serviços gerenciados. Essa é uma alternativa muito comum em mercados mais maduros e ainda “nascente” no Brasil.

Ao entender sobre a dinâmica de uma organização, seja em questões de gestão de pessoas, governança corporativa e finanças, o CISO conseguirá traduzir a importância da cibersegurança para os demais profissionais de maneira estratégica e, esperamos, com menos estresse. Naturalmente, a organização também precisa assumir seu papel e não negligenciar os riscos cibernéticos.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!