Demanda por especialistas cresce a medida que ameaças cibernéticas aumentam
Conforme a natureza das ameaças cibernéticas evolui e seu volume se multiplica, os Chief Information Security Officers (CISOs) se tornaram um elemento mais comum no cenário de negócios. As empresas que lidam com dados confidenciais correm o risco de vazamentos de dados embaraçosos, comprometendo a segurança e a confidencialidade de seus clientes e custando financeiramente, além de prejudicar sua reputação.
Um profissional de segurança experiente, dedicado à segurança cibernética de uma empresa, significa que esses tipos de ataques poderiam ser mais bem mitigados, explicando porque um número cada vez maior de empresas está procurando um CISO.
Em 2017, a startups Lyft, a varejista Staples, a Delta Airlines e órgãos governamentais do Reino Unido até Nova Gales do Sul e Austrália, adicionaram um CISO a seus negócios pela primeira vez depois de sofrer uma violação de dados pouco tempo antes.
Os números cresceram impulsionados pela evolução da função, colocando em camadas a conscientização comercial e as habilidades técnicas, além de uma base sólida de especialização em segurança. Atualmente, os CISOs orientam os executivos sobre os riscos e requisitos de segurança de suas organizações e estabelecem uma estratégia para minimizá-los.
“A segurança não é puramente focada em tecnologia, e o papel do CISO não é apenas técnico”, explica Mieke Kooij, diretora de segurança da Trainline. “A segurança é criar uma cultura em que as informações e os sistemas sejam protegidos, mudando a forma como as pessoas interagem com eles. Sempre que possível, usamos tecnologia e automação para fazer isso, mas, em última análise, é ganhar confiança do consumidor, conquistar corações e mentes e mudar comportamentos”.
Um estudo conduzido pelo Ponemon Institute descobriu que a nomeação de um CISO reduziu o custo de uma violação em US$ 7 por registro. E, em reflexo a esse valor agregado, os salários dos CISOs estão “absolutamente acima da inflação”, segundo Robert Grimsey, diretor da Harvey Nash.
Enquanto algumas organizações ainda acreditam que não precisam de um CISO, esse número está rapidamente em declínio.
Responsabilidades de um CISO
Embora o papel de um CISO não esteja limitado a um trabalho específico, ele naturalmente se concentra na segurança e ao redor do departamento de TI.
Um CISO geralmente trabalha em estreita colaboração com o CEO e CIO para criar uma estratégia que integre o melhor hardware e software de segurança de TI para os negócios, bem como supervisionar as políticas e padrões de segurança a serem seguidos pela organização.
E com a implementação do GDPR (Lei geral de proteção de Dados) em maio passado, ter um CISO para assumir a responsabilidade pela supervisão da conformidade poderia ser outro benefício no suporte ao departamento de TI e à organização mais ampla.
Além disso, no caso de uma violação de dados ou outro incidente de segurança com um CISO a bordo, é possível minimizar danos, sejam de reputação ou de seus sistemas.
Porque os CISOs são mais importantes do que nunca
O Gartner prevê que o gasto global com segurança atingirá US$ 96 bilhões em 2018, um aumento de 8% sobre a soma de 2017. E as organizações que extraem mais valor de seus gastos terão uma forte compreensão da proteção de dados e gerenciamento de riscos. Um CISO pode ajudar a garantir que o orçamento de segurança de uma empresa seja efetivamente gasto.
“Todos os recentes incidentes de ciberataque de alto perfil poderiam e deveriam ter sido evitados com soluções de custo relativamente baixo”, disse Brian Lord, ex-vice-diretor de Inteligência e Operações Cibernéticas do GCHQ.
“O motivo pelo qual as violações estão crescendo é porque as empresas não estão se protegendo adequadamente, porque estão sendo confundidas pelos fornecedores de segurança cibernética”, complementa.
O aumento das preocupações do público em relação à privacidade e a chegada de regulamentações de proteção de dados mais rígidas, como o GDPR – onde as violações podem resultar em multas de até US$ 17 milhões – também influenciaram o aumento dos orçamentos de segurança cibernética.
“Cada vez mais, quando uma empresa é rompida, a dor é sentida na diretoria, já que as organizações são frequentemente atingidas por multas enormes, danos à reputação e até ações judiciais. Essa mudança está deixando os executivos muito preocupados. Eles querem garantias de que os sistemas estão totalmente seguros e estão totalmente de acordo com as regulamentações que enfrentam. Assim, como indicado pela pesquisa, agora estamos começando a ver mais CISOs sendo empregados pelas organizações”, alerta Bharat Mistry, estrategista de segurança da Trend Micro.
Quando um CISO é essencial?
Os CISOs não podem garantir segurança, mas podem melhorá-la. Entre as formas de mitigar os efeitos das violações de segurança, está o desenvolvimento de um plano de resposta baseado na compreensão especializada do CISO dos sistemas de segurança.
Alguns dos sinais seguros de que um CISO é necessário incluem deficiências de liderança em conjuntos de habilidades de TI, violações de segurança e falta de coordenação entre as necessidades de segurança e de negócios.
A nomeação de um CISO pode parecer desnecessária enquanto os sistemas parecem seguros, mas esperar até que uma violação ocorra pode ser desastroso. Uma abordagem preventiva em vez de reativa às questões de segurança é, de longe, mais sensata. O papel é estruturado para ditar a estratégia de segurança, um objetivo que será prejudicado se eles combaterem incêndios desde o início.
Nem toda empresa está pronta para se comprometer com a contratação de um CISO. Por exemplo, pequenas e médias empresas (PMEs) com requisitos mais básicos de segurança operacional podem ainda não precisar de um executivo de segurança dedicado pronto para definir padrões de segurança e fazer grandes mudanças organizacionais.
Um CISO precisa de total confiança em sua capacidade e liberdade de planejar de forma independente e reagir imediatamente a qualquer incidente. Eles também precisam de acesso direto ao conselho, ou até mesmo um assento ao lado de outros executivos C-level.