Participar do maior evento de futebol do mundo, jogando em casa, e perder por 7×1, pode ser a última partida na carreira do técnico. Da mesma forma, os desafios dos CISOs (Chief Information Security Officer), atualmente, não se distanciam muito da pressão da derrota em um campo de futebol.

Ou seja, há uma cultura perigosa se disseminando entre as empresas e ocasionando o desligamento de CISOs como primeira medida, após sofrerem um incidente de segurança. 

Essa atitude é preocupante e traz severas consequências para ambos os lados, como:

  • encorajamento da prática de alta-rotatividade entre CISOs no mercado;
  • distanciamento das reais causas para resolução. Suponhamos que o atual CISO de uma empresa tenha identificado graves riscos em potencial. Tendo em mente essa cultura de “caça às bruxas”, o CISO terá dificuldades em endereçar os problemas ou deixará a empresa na primeira proposta recebida;
  • burnout dos CISOs: que é o esgotamento profissional, que causa uma queda no desempenho da equipe.

Por isso, antes de tomar qualquer atitude, recomendo que as empresas façam quatro perguntas de autorreflexão:

  1. Os riscos reportados pelo CISO já foram considerados?
  2. A empresa endereçou as ações propostas pelo CISO?
  3. Segurança era prioridade para a empresa?
  4. O cargo de CISO atende a área que permite autonomia e independência, sem conflitos de interesse e concorrência por orçamento?

Vejam que, de forma indireta e não-intencional, no modelo atual os executivos estão disseminando uma cultura prejudicial aos CISOs e aos negócios, pois as empresas ficarão vulneráveis e os CISOs não conseguirão desenvolver um bom trabalho em longo prazo. Sendo assim, a analogia ao técnico de futebol é perfeitamente aplicável.

CISO e empresa trabalhando juntos

Para sobreviver, as empresas precisam ter um plano estruturado, garantindo que no caso de um ataque ou vazamento de dados, ela consiga se recuperar sem danos graves ou sem perder mais do que um mínimo predefinido. Em outras palavras, os CISOs além de trabalharem para evitar ataques cibernéticos, devem focar na reação a esses ataques (resposta a incidentes).

Por outro lado, a demanda por projetos e a velocidade das mudanças tecnológicas exigem dos CISOs uma carga de trabalho redobrada e um aprimoramento constante de suas atividades, por isso, alguns deles chegam ao burnout.

Logo, atentar-se às horas de trabalho, definir metas realistas, capacitar a equipe e criar uma cultura positiva são atitudes que colaboram com a manutenção do trabalho do CISO, tornando as atividades do dia a dia mais equilibradas e cirúrgicas. 

Visto que, as ameaças à segurança são reais e os CISOs precisam receber recursos e apoio para enfrentá-las da melhor maneira possível, evitando os burnouts e melhorando a segurança cibernética da empresa.

Sendo assim, os CISOs não devem ser tratados como técnicos de futebol, sendo demitidos na primeira “derrota”, ou seja, uma mudança cultural precisa acontecer! O CISO tem que ser capacitado para o trabalho, a segurança cibernética classificada como uma questão estratégica primordial e colocada em prática com atenção. Esse trabalho é de longo prazo e deve ser aprimorado para melhorar o setor e garantir a segurança e o crescimento saudável dos negócios.