Por Shamla Naidoo, CSO, Head of Cloud Strategy and Innovation, Netskope
A próxima grande ameaça à segurança corporativa pode não ser uma nova variedade de malware ou técnicas e processos inovadores de hackers. Pode ser a nossa própria saúde mental. Nos últimos 20 anos, atuei como CISO (Chief Information Security Officer) para empresas de diferentes setores. Nessas funções, assumi a responsabilidade de proteger cada organização de uma ampla gama de ameaças de cibersegurança em rápido desenvolvimento. Também senti na pele quanto estresse os líderes de segurança enfrentam no dia a dia.
Conversas recentes com meus colegas mostraram que esse sintoma é um problema de todo o segmento de TI. O papel do CISO é um dos mais estressantes em qualquer organização. E a função de segurança, em todos os tipos de empresas e setores da indústria, está à beira de uma crise induzida pelo estresse.
O que diferencia o papel do CISO
A equipe de segurança dificilmente é o único grupo sob pressão. Outras funções corporativas e outros executivos precisam atender às expectativas elevadas de seus superiores e muitas vezes fora da realidade. Mas o diferencial do CISO é o fato de ser um novo papel, já que a maioria dos empregos em uma organização moderna existe há décadas, então eles já são bem definidos. As empresas tiveram muitos anos para detalhar as responsabilidades do CEO, CFO e COO, por exemplo, e desenvolver processos que garantam que suas funções funcionem sem problemas.
No entanto, a função de segurança corporativa é algo meio faroeste. Do CISO para baixo, em toda a hierarquia, as funções de segurança são novas e imaturas em relação a muitas posições corporativas. Assim, o CISO muitas vezes acaba assumindo a responsabilidade por tudo o que poderia dar errado com a presença digital da empresa. Isso dá a ele uma missão de amplitude surpreendente.
Se os dados do consumidor forem comprometidos, o CISO pode ser responsabilizado por todas as implicações com compliance, atendimento ao cliente e marca. Se houver pagamentos fraudulentos, as consequências financeiras podem cair para o CISO. Se o maquinário for danificado ou os processos interrompidos por ransomware ou outro ataque, isso volta para o CISO. Se os funcionários colocarem dados corporativos em um sistema baseado em nuvem, o CISO provavelmente terá a responsabilidade, mesmo que as equipes de segurança não saibam que a transferência de dados está acontecendo. E se alguma nova ameaça comprometer os sistemas de maneiras que ninguém poderia prever, mais uma vez, cai no colo do CISO.
Eventos individuais de cibersegurança têm o potencial de inviabilizar os planos estratégicos de uma empresa. Mas a maioria dos CISOs não tem um plano claro para preparar essa empresa para se defender das inúmeras ameaças que pode enfrentar. Eles sequer têm uma descrição padrão de trabalho. Para algumas organizações, o controle de acesso pode estar dentro do domínio do CISO, enquanto em outras pode pertencer à equipe de redes.
Com cada empresa definindo o papel e as responsabilidades à sua maneira, os CISOs perdem o argumento “todo mundo está fazendo assim”. Nem todas as empresas estão lidando com a segurança da mesma maneira. Cada CISO está por conta própria para determinar as melhores formas de proteger uma infraestrutura em rápida evolução contra o cenário de ameaças que também muda a todo momento.
Expectativas externas
Colocando mais um pouco de pressão, vale mencionar o fato de que os C-levels podem não ter expectativas realistas sobre o quanto a equipe de segurança pode garantir que as aplicações e dados corporativos estejam seguros. CEOs, CFOs, COOs e conselheiros gerais geralmente veem a segurança como uma equação matemática. Eles acham que o CISO deve ser capaz de identificar todas as possíveis lacunas e, em seguida, fechá-las. Parece uma proposta simples. Na realidade, é claro, garantir uma infraestrutura corporativa ampla e dinâmica não é nada simples.
A equipe executiva e o conselho geralmente esperam que o CISO tenha uma resposta imediata para todas as perguntas que possam surgir. A empresa pode usar centenas de aplicações e ferramentas, que se acumularam ao longo de décadas, mas os executivos C-level podem esperar que o CISO conheça todas as etapas que a equipe de segurança tomou para proteger cada um. Se ele não puder responder imediatamente, corre o risco de ser questionado em relação ao seu desempenho, direta ou indiretamente.
As expectativas dos clientes em relação à entrega pontual de produtos e serviços e também à privacidade e confidencialidade dos dados, podem traçar uma linha direta entre a eficácia da equipe de segurança e a receita corporativa. E ainda há o ambiente regulatório. Espera-se que muitos CISOs demonstrem a eficácia da segurança das empresas em áreas específicas para agências reguladoras relevantes.
Para alguns CISOs, esses fatores estressantes são compostos por um sentimento de responsabilidade pelo bem maior da comunidade ou de uma nação. De oleodutos aos escritórios governamentais e instalações de saúde, já vimos diversos casos que mostraram como os ataques de ransomware podem prejudicar a infraestrutura crítica. De repente, a segurança nacional também está na agenda do CISO. É um risco que os CISOs não foram treinados para gerenciar, mas isso não significa que podemos ignorá-lo.
As consequências da saúde mental
Todos esses fatores se combinam para criar um cerco entre CISOs e equipes de segurança. Os hackers estão constantemente testando sua competência, procurando o menor descuido que possam aproveitar. Do ponto de vista da saúde mental, isso tem um preço alto. Infelizmente, as equipes de segurança corporativa normalmente não têm clareza da sua missão, a base de conhecimento ou a estrutura de suporte que outras organizações de alto estresse, como forças militares, construíram ao longo dos séculos.
Isso colocou muitos CISOs em conflito com os desafios da saúde mental. No entanto, muitos de nós evitam falar sobre as ramificações de saúde mental da nossa profissão. É fácil pedir aos C-level um número de funcionários ou tecnologia e ferramentas adicionais. Podemos fazer a análise e o business case. Solicitar apoio de saúde mental é diferente. Alguns CISOs acham que isso seria recebido como falta de competência. Eles se preocupam que uma conversa sobre saúde mental possa sugerir que suas habilidades e conhecimentos são inadequados para realizar o trabalho.
No entanto, deixar os problemas de saúde mental piorarem pode resultar em consequências terríveis. Pode gerar um burnout entre os principais líderes de segurança e sua equipe, algo por qual muitos já estão passando. Outra consequência é que alguns jovens estão optando por não seguir uma carreira de segurança porque não querem assumir o estresse. Ambas as tendências exacerbam a escassez de profissionais no setor, como a mídia tem alertado nos últimos anos.
Mais uma consequência que é altamente alarmante são os CISOs que lidam com o estresse do trabalho se automedicando e ingerindo álcool. No início de 2019, pré-pandemia, a Forbes publicou uma pesquisa apontando que 1 em cada 6 CISOs admitiu recorrer a essas opções para lidar com o estresse do trabalho. Provavelmente havia muitos mais que não admitiram essas práticas na época. O nível de estresse dos CISOs aumentou durante a pandemia com o trabalho remoto e a necessidade de acesso contínuo aos recursos digitais, levando a mais oportunidades de comprometimento e interrupção. Todo esse pivô e produtividade prejudicam a saúde mental e ninguém quer que a equipe de segurança seja prejudicada quando ocorre uma crise. Bem, ninguém, exceto os cibercriminosos. Um CISO distraído é um grande risco para a segurança.
O que fazer sobre isso
As empresas precisam enfrentar a crise de saúde mental, tanto para garantir uma resposta sóbria quando a segurança corporativa está em jogo quanto para criar e competir pelos melhores talentos de segurança. Os C-level precisam reconhecer o nível de pressão que os CISOs e suas equipes sofrem todos os dias. Eles precisam promover um equilíbrio saudável entre trabalho e vida pessoal para a equipe de segurança e garantir que a empresa forneça um ambiente seguro para solicitar e participar de ações de apoio à saúde mental. Também precisam buscar e financiar programas que apoiem os CISOs com ferramentas simples para gerenciar o estresse, sem tomar muito tempo de trabalho ou penalizá-los.
Os profissionais que não têm medo de falar e não são intimidados pelos riscos para a própria carreira devem fazer isso. Temos um papel na educação dos CEOs sobre essa crise iminente. Os líderes corporativos precisam entrar em contato com seus CISOs de forma proativa e sem julgamento. Os CEOs precisam reconhecer que esse trabalho é difícil e muitos CISOs e suas equipes estão lidando com preocupações legítimas para falar sobre os desafios da saúde mental. Nossos colegas e nossa profissão precisam que essa mensagem se seja assimilada.
Para os CISOs que estão com dificuldades e não se sentem à vontade para pedir ajuda, há recursos disponíveis. Como nossos trabalhos são simultaneamente complexos e importantes, esses profissionais sempre estarão sob pressão, e o estresse nunca desaparecerá completamente. Mas existem métodos que podem nos ajudar a mitigar esse dano. Este é um problema de toda a indústria e mais comum do que imaginamos.