A responsabilidade termina aqui: as apostas são altas para os CISOs

A responsabilidade termina aqui: as apostas são altas para os CISOs

Carimbo de data / hora: 8 de fevereiro de 2024 5h30

Segurança Empresarial

Cargas de trabalho pesadas e o espectro da responsabilidade pessoal por incidentes afetam tanto os líderes de segurança que muitos deles procuram as saídas. O que isso significa para as defesas cibernéticas corporativas?

Phil Muncaster

Phil Muncaster

Fevereiro 08 2024  .  , 5 minutos. ler

A responsabilidade termina aqui: por que os riscos são altos para os CISOs

A cibersegurança está finalmente tornando-se uma questão de nível de conselho. É assim que deveria ser, dado o papel cada vez mais importante que a gestão do risco cibernético desempenha na tomada de decisões estratégicas. O risco cibernético é fundamentalmente um risco comercial central com potencial para criar ou quebrar uma organização. Esse é certamente o pensamento por trás novas regras regulatórias nos E.U.A. 

Mas, ao reconhecerem a sua importância, os conselhos de administração e os reguladores também estão a exercer mais pressão sobre os CISO, sem necessariamente lhes dar o reconhecimento e a recompensa adequados. O resultado: aumento do estresse, esgotamento e insatisfação. Três quartos (75%) dos CISOs dizem ser aberto a mudanças, um aumento de oito pontos percentuais em relação ao ano anterior. E 64% estão satisfeitos com a sua função, uma queda de 10%.

Estes desafios têm sérias implicações para a segurança cibernética nas organizações. Abordá-los deve ser uma prioridade urgente.

Um papel cada vez mais estressante

Os CISOs sempre tiveram um trabalho estressante. Entre os drivers recentemente estão:

  • Surgindo níveis de ameaça cibernética, o que deixa muitas organizações em modo contínuo de combate a incêndios
  • Indústria escassez de habilidades que deixam as principais equipes com falta de pessoal
  • Carga de trabalho excessiva devido às crescentes demandas da diretoria
  • Falta de recursos e financiamento adequados
  • Carga de trabalho que força os CISOs a trabalhar muitas horas e cancelar feriados
  • A transformação digital, que continua a expandir o mercado corporativo superfície de ataque cibernético
  • Requisitos de conformidade que continuam a crescer a cada ano que passa

Não é nenhuma surpresa que um quarto (24%) dos líderes globais de TI e segurança admitiu à automedicação para aliviar o estresse. Os crescentes níveis de stress não só aumentam a probabilidade de esgotamento e/ou reforma antecipada – como também podem levar a uma má tomada de decisões (conforme observado por este estudo, por exemplo), bem como impactar as habilidades cognitivas e a capacidade de pensar racionalmente. Na verdade, foi sugerido que mesmo a antecipação de um dia estressante pode afetar a cognição. Cerca de dois terços (65%) dos CISOs Admitem que o estresse relacionado ao trabalho comprometeu sua capacidade de desempenho no trabalho.

O escrutínio exerce ainda mais pressão do CISO

Além dessa linha de base de estresse, houve um escrutínio regulatório, jurídico e do conselho extra nos últimos meses. Três eventos recentes são instrutivos:

  • Maio 2023: Ex-CSO da Uber, Joe Sullivan foi condenado a três anos de liberdade condicional depois de ser considerado culpado de dois crimes relacionados ao seu papel em uma tentativa de encobrimento de uma mega-violação de 2016. Apoiadores afirmam que ele foi usado como bode expiatório pelo então CEO Travis Kalanick e pelo advogado interno do Uber, Craig Clark, com Sullivan explicando que Kalanick havia assinado seu controverso pagamento de US$ 100,000 mil aos hackers.
  • Outubro 2023: Num primeiro momento, o SEC cobrou CISO da SolarWinds Timothy Brown por subestimar ou não divulgar o risco cibernético enquanto exagerava nas práticas de segurança da empresa. A reclamação refere-se a vários comentários internos feitos por Brown e alega que ele não conseguiu resolver ou elevar essas sérias preocupações dentro da empresa.
  • Dezembro 2023: Novas regras de relatórios da SEC entre em vigor, exigindo que as empresas listadas publicamente relatem incidentes cibernéticos “materiais” no prazo de quatro dias úteis a partir da determinação da materialidade. As empresas também terão de descrever anualmente os seus processos de avaliação, identificação e gestão de riscos e o impacto de quaisquer incidentes. E terão de detalhar a supervisão do conselho sobre o risco cibernético e a sua experiência na avaliação e gestão desse risco.

Não é apenas nos EUA que a supervisão regulamentar está a aumentar. A nova diretiva NIS2, que deverá ser transposta para a legislação dos Estados-Membros da UE até outubro de 2024, atribui ao conselho de administração a responsabilidade direta de aprovar medidas de gestão de risco cibernético e supervisionar a sua implementação. Os membros do alto escalão também podem ser responsabilizados pessoalmente se forem considerados negligentes em casos de incidentes graves.

De acordo com o Analista do Enterprise Strategy Group (EST), Jon Oltsik, a pressão crescente que tais medidas estão a exercer sobre os CISOs está a tornar mais desafiante a sua função principal de resposta a ameaças e gestão de riscos cibernéticos. Um estudo ESG recente revela que tarefas como trabalhar com o conselho, supervisionar a conformidade regulamentar e gerir um orçamento estão a transformar a função do CISO de uma função técnica para uma função orientada para os negócios. Ao mesmo tempo, a crescente dependência da TI para impulsionar a transformação digital e o sucesso dos negócios tornou-se esmagadora. A pesquisa afirma que 65% dos CISOs consideraram deixar suas funções devido ao estresse.

cisos-burnout-estresse-responsabilidade

Conclusões para CISOs e conselhos

O resultado final é que se os CISOs estiverem lutando para lidar com a carga de trabalho e com medo de represálias regulatórias e até mesmo de responsabilidade criminal por suas ações, é provável que tomem decisões piores no dia a dia. Muitos podem até deixar a indústria. Isto teria um impacto extremamente maligno num sector já lutando com a escassez de habilidades.

Mas não precisa ser assim. Há coisas que tanto os conselhos como os seus CISOs podem fazer para aliviar a situação. É do interesse de ambos encontrar uma maneira de superar isso. Considere o seguinte:

  • Os conselhos devem avaliar a saúde mental, a carga de trabalho, os recursos e as estruturas de reporte dos CISOs para otimizar a sua eficácia. Altas taxas de desgaste podem levar a longos intervalos sem um CISO em tempo integral, o que desmotiva as equipes e impacta a estratégia de segurança.
  • Os conselhos de administração devem remunerar os seus CISOs de acordo com o elevado risco que o seu papel agora acarreta.
  • O envolvimento regular do conselho-CISO é essencial, com linhas de reporte direto ao CEO, se possível. Isto ajudará a melhorar a comunicação entre os dois e a elevar a posição do CISO de acordo com as suas responsabilidades.
  • Os conselhos devem fornecer aos seus CISOs seguros de diretores e executivos (D&O) para ajudar a isolá-los de riscos graves.
  • Os CISOs devem permanecer na indústria que amam e assumir maiores responsabilidades em vez de fugir dela. Mas também devem lembrar-se de que o seu papel é aconselhar e fornecer contexto ao conselho. Deixe que outros tomem as decisões importantes.
  • Os CISOs devem sempre priorizar a transparência e a abertura, especialmente com os reguladores.
  • Os CISOs devem estar atentos ao que circulam internamente e garantir que decisões ou solicitações contenciosas do alto escalão sejam sempre registradas por escrito.

Ao encontrar uma nova função, os CISOs devem contratar um advogado pessoal para analisar detalhadamente o seu possível contrato.

Para otimizar a estratégia de segurança cibernética, os conselhos devem começar por reavaliar o que pretendem que seja o papel do CISO. O próximo passo é garantir que o profissional de segurança cibernética nessa função tenha apoio e recompensa suficientes para querer permanecer lá.

Carimbo de hora:

Mais de Nós Vivemos Segurança