O ano do CISO, será mesmo que 2024 vai cumprir o esperado?

Início / Tecnologia da Informação / O ano do CISO, será mesmo que 2024 vai cumprir o esperado?

O ano do CISO, será mesmo que 2024 vai cumprir o esperado?

Este ano será o ano do CISO.Esta afirmação não é uma celebração. Em vez disso, surgem as preocupações legais, os requisitos de conformidade, o escrutínio a nível do conselho de administração e o stress contínuo no trabalho farão de 2024 um ano desafiante para os CISOs – tanto que alguns CISOs podem simplesmente declarar “no mas” e procurar uma carreira mais pacífica.

Muitos CISOs concordam com essa perspectiva. Alguns pediram mais dados sobre por que chegamos a essa conclusão. Embora tenhamos formulado esta tese com base em muitas conversas anedóticas individuais com amigos CISO, também revisamos alguns dados de a vida e os tempos dos profissionais de segurança cibernética v6 pesquisa do ESG e da Information Systems Security Association (ISSA) International.

De acordo com essa pesquisa, 63% dos profissionais de segurança cibernética acreditam que trabalhar como profissional de segurança cibernética é mais difícil hoje do que era há dois anos. Da mesma forma, 62% dos CISOs partilhavam esta opinião, mas houve uma ligeira diferença, já que quase um terço (32%) dos CISOs afirmaram que trabalhar como profissionais de segurança cibernética era muito mais difícil do que há dois anos, em comparação com 26% dos não CISOs.

O que está tornando as coisas mais difíceis para os CISOs? Os dados ESG/ISSA indicam que os aspectos empresariais da execução de um programa de segurança cibernética, como trabalhar com o conselho, supervisionar a conformidade regulamentar e gerir um orçamento, são os principais factores contribuintes. Isto faz sentido, uma vez que a função do CISO evoluiu de supervisor técnico para executivo de negócios nos últimos anos. Ao mesmo tempo, as organizações aumentaram a sua dependência da TI para automação, otimização, atendimento ao cliente e transformação digital.

No geral, a função do CISO está a expandir-se no âmbito da estratégia e capacitação empresarial, ao mesmo tempo que é cada vez mais difícil realizar tarefas essenciais como a gestão de riscos cibernéticos, a deteção de ameaças e a resposta a incidentes. Não exatamente, “missão impossível”, mas avançando nessa direção.

Leia também: Não há transformação digital sem segurança cibernética

CISOs tendem a estar satisfeitos com seus empregos

Apesar das dificuldades crescentes e do escopo do trabalho, a maioria dos CISOs (82%) permanece satisfeita com seus empregos atuais, um pouco mais do que os entrevistados não CISOs (79%). Como os CISOs tendem a ser mais experientes do que outros profissionais de segurança, eles podem ter aprendido a ser mais proficientes e a gerenciar o estresse, suas carreiras e expectativas de trabalho do que seus colegas não CISO.

Embora os CISOs possam sentir satisfação geral no trabalho, eles têm critérios de desempenho de trabalho diferentes dos de outros profissionais de segurança cibernética. Por exemplo, os CISOs atribuem satisfação ao compromisso da gestão empresarial com a segurança cibernética, bem como à capacidade de trabalhar em estreita colaboração com as unidades de negócio e obter um salário competitivo. Alternativamente (e não surpreendentemente), os não CISOs obtêm satisfação no trabalho quando a sua organização oferece oportunidades de progressão na carreira.

Mais uma vez, isso ilustra os aspectos comerciais da função de CISO. Esses indivíduos medem seu próprio desempenho com base em sua capacidade de apoiar e proteger o negócio e no compromisso do negócio com uma forte segurança cibernética. Se alguma dessas coisas não estiver presente, os CISOs ficarão meditando ou (mais provavelmente) correrão para a porta de saída.

Leia também: 12 melhores podcasts de segurança cibernética recomendados por profissionais

Estresse no trabalho do CISO

Apesar da satisfação profissional do CISO, os dados indicam claramente que esta posição inclui uma dose prejudicial de stress no trabalho. Na verdade, 62% dos CISOs afirmam que o seu trabalho é estressante pelo menos metade do tempo. Embora os não CISOs também estejam stressados ​​(outra tendência alarmante), 51% afirmaram que o seu trabalho é stressante metade do tempo, ilustrando ainda mais a pressão pronunciada associada a uma posição de CISO.

Tal como os seus colegas não CISOs, os CISOs ficam particularmente stressados ​​com coisas como uma carga de trabalho esmagadora, trabalhar com gestores de negócios desinteressados ​​e acompanhar os requisitos de segurança de novas iniciativas empresariais. Vale a pena notar que 26% dos CISOs também estão preocupados com o monitoramento do status de segurança de terceiros com quem sua organização faz negócios (por exemplo, fornecedores, parceiros de negócios, clientes), em comparação com 12% dos não CISOs.

Os relacionamentos com terceiros estão frequentemente associados a processos de negócios (por exemplo, fornecedores, empreiteiros, parceiros terceirizados) e, portanto, estão intimamente ligados às unidades de negócios. Infelizmente, as equipes de segurança provavelmente não têm visibilidade profunda do desempenho diário da segurança nessas empresas. Esta combinação de criticidade empresarial combinada com a falta de supervisão contínua parece criar uma receita para a angústia do CISO.

Uma carga de trabalho esmagadora, o stress no trabalho e a expansão das responsabilidades parecem levar a um resultado inevitável: 36% dos CISOs dizem que é muito provável ou provável que deixem o seu emprego atual no próximo ano, em comparação com 26% dos não CISOs. Sim, alguns CISOs procurarão outros empregadores, mas quase metade (46%) considerou abandonar completamente a segurança cibernética, em comparação com 28% dos não CISOs. Por que os CISOs abandonariam a segurança cibernética? Como mencionei no meu blog anterior, 65% dizem que consideraram sair devido ao alto estresse associado a um trabalho de segurança cibernética, 43% afirmam que estão frustrados porque sua organização não leva a segurança cibernética a sério e 39% dizem que estão perto até a idade de aposentadoria e deixarão a profissão de segurança cibernética após a aposentadoria.

Os CEOs e conselhos corporativos devem tomar nota aqui: o desgaste do CISO pode ser altamente perturbador, levando à competição por novos candidatos e a vagas prolongadas. Uma vez contratados, os novos CISOs precisam avaliar o status da segurança e desenvolver novos programas de segurança. Durante estes períodos de incerteza, o risco cibernético tende a aumentar enquanto as equipas de segurança cibernética sem rumo ficam privadas de direitos e desiludidas com as suas organizações.

O ato de equilíbrio está cada vez mais difícil para os CISOs

A pesquisa ESG/ISSA revela que o equilíbrio entre os CISOs está se tornando cada vez mais difícil, à medida que os CISOs se esforçam para caminhar na corda bamba entre as operações comerciais, a conformidade regulatória e a manutenção da segurança de suas organizações. Apesar dos desafios profissionais e emocionais, a maioria dos CISOs continua satisfeita com as suas carreiras, ilustrando o seu compromisso inabalável com a missão de segurança cibernética.

Embora a devoção do CISO seja evidente na investigação, os executivos e os conselhos de administração das empresas não devem considerar este compromisso como garantido. A pesquisa destaca que o cargo de CISO é bastante estressante, fazendo com que muitos executivos de segurança mudem de emprego ou abandonem a profissão. Embora os CISOs se esforcem para se aproximar do negócio, muitos ainda são repreendidos ou obtêm apoio marginal dos executivos e do conselho. Também vale a pena repetir que mais de metade dos CISOs inquiridos trabalharam como profissionais de segurança cibernética durante mais de 20 anos e poderão atingir a idade da reforma em breve.

Os executivos e membros do conselho devem reavaliar o seu pensamento sobre a posição do CISO, indo além das métricas de desempenho apenas, para avaliar relacionamentos, estruturas de subordinação, recursos, cargas de trabalho e a saúde mental do CISO. Dada a pesquisa ESG/ISSA, os novos CISOs provavelmente se tornarão indivíduos raros e caros no futuro. Portanto, é melhor otimizar a eficácia de um CISO atual (supondo que ele ou ela esteja fazendo um bom trabalho) do que tentar criar um novo a cada dois ou três anos.

Concorda que 2024 será o ano dos CISOs? Deixe seu comentário abaixo.

Leitura relacionada:

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.