Altos executivos subestimam o CISOs e os riscos de ataques cibernéticos
Os chefes de segurança devem melhorar as relações com os executivos e definir expectativas claras para reduzir o estresse.
Principais conclusões:
- O aumento dos ataques cibernéticos aumenta a tensão organizacional
- Explicar os riscos e as contramedidas ajuda os líderes de negócios a dar mais apoio quando ocorrem violações
- Entender os objetivos da equipe de negócios e confiar nos dados pode facilitar as relações entre os executivos da alta diretoria
Durante uma semana especialmente estressante nos primeiros dias da pandemia, Gary Hayslip, diretor de segurança da informação do SoftBank Vision Fund, buscou uma válvula de escape em casa. Ele e sua esposa montaram um destroier imperial de Star Wars de 4,7 mil peças de Lego e 1,2 metros de comprimento. “Muito calmante e meditativo”, diz Hayslip.
E muito necessário para muitos CISOs.
Os últimos 18 meses aumentaram os desafios para os chefes de segurança corporativa, muitos dos quais continuam enfrentando grandes desafios internos junto com ameaças externas contínuas. Os CISOs passaram por uma mudança repentina para o trabalho remoto, um drástico aumento nos ataques cibernéticos e uma maior carga de trabalho devido à falta de pessoal de segurança. Eles também estão recebendo novas tarefas, como a conformidade com os regulamentos de privacidade. Além de tudo isso, eles enfrentam um relacionamento tenso e incerto com suas organizações. Uma pesquisa recente da EY com executivos globais de segurança da informação sugere que essas relações nunca foram tão tensas.
“Devido às mudanças na forma atual de fazer negócios pós-pandemia e a um cenário de ameaças implacável, os CISOs provavelmente têm o trabalho mais difícil no organograma”, diz Manoj Bhatt, head de consultoria de segurança cibernética da Telstra Purple, uma empresa de consultoria de tecnologia pertencente à Telstra, o maior provedor de telecomunicações da Austrália.
“Para dificultar ainda mais, muitos colegas altos executivos não entendem os riscos de segurança e não percebem que os ataques cibernéticos são inevitáveis”, diz Matthew Rosenquist, CISO da Eclipz, um fornecedor de tecnologia de criptografia do Vale do Silício, que também escreve e fala frequentemente sobre os desafios enfrentados pelos executivos de segurança.
Isso pode colocar os líderes de segurança cibernética em becos sem saída. “Se você fizer um trabalho ruim e a empresa sofrer perdas devido a ataques, o CEO dirá: ‘Por que precisamos de você?’”, explica Rosenquist. “Se você fizer um ótimo trabalho e não houver nenhuma perda, os executivos ainda dirão: ‘Bom, está tudo bem, então não precisamos de você’.'”
CISOs veteranos e outros especialistas em segurança dizem que uma melhor comunicação com outros líderes executivos e membros do conselho pode ajudar bastante a aliviar as tensões no topo e reduzir a pressão à qual eles são submetidos. Aqui estão várias estratégias que eles sugerem para promover a empatia e a compreensão com esses grupos-chave.
1. Defina expectativas realistas e dê detalhes aos executivos
A maioria dos CISOs entende as ameaças que enfrenta e o que está sendo feito para evitá-las. É seu trabalho garantir que os demais executivos tenham o mesmo conhecimento. Se os líderes entendem que as violações são uma realidade dos negócios e confiam nas contramedidas, é menos provável que se sintam surpreendidos.
“Todo mundo vê notícias de violações o tempo todo, então você precisa sair conversando com as pessoas sobre como esse risco se relaciona com sua empresa e quais sistemas implementamos, a fim de fornecer um contexto mais amplo”, diz Hayslip.
No SoftBank, Hayslip faz questão de se reunir com outros líderes de departamento para entender seus objetivos de negócios, os recursos críticos que eles têm que precisam de proteção e o atrito que as medidas de segurança podem estar criando para suas equipes. Ele vê seu papel não apenas como o de um líder técnico, mas como o de um “executivo de negócios que gerencia riscos”, diz ele. “Você não pode simplesmente sentar na sua caixa de segurança e ser o mestre do seu domínio.”
2. Conheça seu público para se comunicar de forma eficaz
Como o principal executivo de segurança, o CISO atua como um importante elo entre os departamentos de negócios e as equipes da InfoSec. Para se comunicar de forma eficaz, é necessário entender suas prioridades e falar sua língua, não o complexo jargão de segurança cibernética e TI.
No entanto, apenas cerca de um terço dos CISOs afirma ter fortes habilidades de comunicação, de acordo com uma pesquisa recente do ClubCISO, uma organização de 500 líderes globais de segurança cibernética com sede em Londres. E embora a pesquisa observe que o conhecimento de negócios é muito mais importante para o trabalho do que o conhecimento técnico, apenas uma minoria de CISOs diz ter essas habilidades em quantidade suficiente.
É por isso que é tão importante conhecer seu público interno. “Se for um público de RH, posso discutir a confidencialidade dos dados sensíveis dos funcionários”, diz Rosenquist. “As equipes financeiras estão interessadas na integridade de seus registros e processos. Os executivos das linhas de produtos querem saber como os controles de segurança afetarão a lucratividade e os planos de produtos.”
3. Mensure o que fará você ser notado
Depois do CEO, o colega do CISO mais importante é o diretor financeiro (CFO), que controla o orçamento. Um relacionamento positivo com o CFO pode ajudar a disponibilizar mais recursos para facilitar as cargas de trabalho e para outras iniciativas de segurança.
Dados concretos são uma ferramenta essencial ao trabalhar com chefes de finanças (e com outros líderes de negócios). “Alguns CISOs fornecem dados que mostram o número de ameaças que foram frustradas nos últimos 12 ou 18 meses, como foram neutralizadas e o que os invasores pretendiam”, diz Khalid Kark, líder de pesquisa do Programa de CIO da Deloitte.
Um CISO do setor de serviços financeiros, lembra Kark, criou dashboards customizados de risco cibernético para cada um de seus colegas altos executivos e outros líderes de negócios, permitindo que eles verifiquem regularmente um menu de métricas de segurança.
“Na segurança cibernética, o que é mensurado é notado”, diz Kark. “Ter métricas definidas ajuda a contar a história.”
Sinais auspiciosos para o futuro
A pesquisa do ClubCISO sugere uma perspectiva mais positiva para os CISOs em 2022: 86% dos CISOs disseram que suas organizações agora veem a segurança como tão importante quanto eles, contra 65% pré-pandemia. E quase 70% dos entrevistados concordaram que suas organizações têm uma cultura de segurança positiva, contra 45% em 2020.
Enquanto isso, os CISOs individuais estão encontrando suas próprias maneiras de combater o estresse. Rosenquist relaxa andando de moto no sopé da Sierra Nevada, perto de sua casa nos arredores de Sacramento. “É algo totalmente previsível sobre o qual você tem controle total”, diz Rosenquist. “Totalmente diferente da segurança cibernética.”
Hayslip e sua esposa recentemente reservaram um cruzeiro no Havaí, suas primeiras férias com viagens aéreas em anos. “Neste campo”, diz ele, “você tem de ter maneiras de se soltar”.