Os CISOs de hoje estão sob ataque de vários quadrantes, tanto dentro como fora das suas organizações. Certamente, existem muitos agentes mal-intencionados que utilizam métodos de exploração novos e mais sofisticados para penetrar nas suas redes. Mas internamente, eles também estão sob ataque.

Os requisitos para o diretor de segurança da informação moderno são inúmeros: manter-se atualizado com a implementação de novas tecnologias e medidas de proteção, claro, mas também melhorar as habilidades e o moral da equipe e, acima de tudo, assumir um perfil de liderança mais elevado e responsabilidade pela redução da conformidade geral risco e responsabilidade legal.

De acordo com o Relatório recente de recomendações do programa de segurança da Forrester, “os olhos do mundo estão voltados para os CISOs – mas não no bom sentido. Existe agora uma longa lista de CISOs sacrificiais que foram demitidos ou deixados devido a desentendimentos com suas empresas.”

Navegar pelo que vem a seguir não é fácil, mas aqui estão cinco conclusões da análise da Forrester que podem ajudar a identificar alguns caminhos para o sucesso.

A empatia pode reconstruir a confiança após uma violação

Uma consequência do ataque contínuo às redes corporativas é a erosão da confiança, especialmente entre clientes e parceiros de negócios, de acordo com Heidi Shey, analista da Forrester, escrevendo em um recente relatório sobre implicações para a marca decorrentes de lapsos de privacidade.

Ela recomenda que os CISOs realizem um exame crítico dos riscos de segurança cibernética e de privacidade em toda a operação, incluindo ecossistemas de parceiros e fornecedores, porque, como ela escreveu, “supervisão de privacidade, práticas e estruturas de responsabilização robustas serão a base para a criação de novos produtos e apoiando o uso ético e responsável de dados em sua transformação digital.”

No entanto, os CISOs também precisam ser empáticos e transparentes com notificações pós-violação imediatas, compreendendo as preocupações dos fornecedores, parceiros e clientes sobre os danos que as violações podem causar – independentemente de quem é a culpa do incidente. 

“Há uma tendência de autopreservação após uma violação e é lógico manter as informações para si mesmo, mesmo depois do evento terminar”, afirma Max Shier, CISO da Optiv. “No entanto, os profissionais de segurança cibernética e especialmente os CISOs precisam garantir que haja o máximo possível de compartilhamento de informações para ajudar outras pessoas a aprender com o evento.”

Seja sincero ao cometer erros

Parte desta reconstrução da confiança é que os CISOs precisam confessar tudo, assumir a responsabilidade quando há problemas e ser proativos no trabalho com várias partes interessadas para resolvê-los.

“Pratique a franqueza radical com seus principais constituintes e executivos”, é uma sugestão da Forrester. Em outras palavras, faça as perguntas difíceis e trabalhe em direção a um consenso.

“A transparência, a compreensão e a manutenção das linhas de comunicação abertas podem ajudar toda a cadeia de abastecimento a lidar com um evento se algo for interrompido ao longo da linha”, diz Shier. “É fundamental ter uma cadeia de abastecimento resiliente, mas também é fundamental para ajudarmos uns aos outros durante e após um evento, pois há efeitos em cascata ao longo da cadeia de abastecimento.”

Os CISOs não podem se dar ao luxo de não prestar atenção à sua responsabilidade por violação de dados: um detalhamento da empresa do 35 principais violações em todo o mundo em 2023 descobriram que as organizações pagaram quase 2.6 mil milhões de dólares em multas pela exposição de 1.5 mil milhões de registos, com quase metade das violações a acontecerem em agências públicas e indústrias relacionadas com a saúde. Entre esta lista estavam violações em muitos dos maiores fornecedores de telecomunicações do mundo. Das 35 principais violações, todas, exceto uma, ocorreram na União Europeia e nos EUA.

Transparência operacional: mais do que apenas relações públicas

Além disso, a transparência deve ser uma parte natural do manual de um CISO, e não apenas algo que é ativado em situações pós-violação. Parte da motivação é a conformidade, como observaram os analistas da Forrester.

“Os reguladores estão pressionando por maior transparência”, escreveram. “Eles estão facilitando isso ao dar incentivos aos líderes de segurança para agirem no melhor interesse dos clientes – e deles próprios – com a ameaça de ação legal. A falta de transparência leva à violação da lei, à quebra da confiança e à continuação do teatro da transparência. Em outras palavras, faça o que você diz que faz com seus dados.” 

Noutra relatório divulgado no início deste mês, os analistas da Forrester também deram este conselho aos gerentes de segurança: “Não assine seu nome em avaliações de risco de terceiros, documentos de subscrição de seguros ou atestados de conformidade regulatória que ofusquem ou encobrem falhas de programas ou produtos”.  

Em geral, os CISOs precisam “assumir o controle, reconhecer onde as coisas deram errado e trabalhar proativamente para corrigi-las, incluindo o maior número possível de partes interessadas para garantir que você corrija a causa raiz e identifique quaisquer outros problemas que possam ter sido ignorados”, diz Shier. . “Isso é especialmente verdadeiro agora que os CISOs são cada vez mais responsabilizados pessoalmente por questões que podem surgir de negligência corporativa ou de questões de segurança que eram persistentes, conhecidas e não mitigadas.”

Preste mais atenção à qualificação de sua equipe

Os CISOs também são desafiados a manter as suas equipes atualizadas sobre novas tecnologias, novas ameaças e novos métodos de prevenção.

“A segurança é um alvo em movimento, as coisas estão mudando muito rapidamente”, diz Lisa Rokusek, recrutadora de sua própria agência com sede em St. Louis, chamada rokusekrecruits.com. “Muitas empresas têm um histórico terrível em termos de desenvolvimento e retenção de talentos internos. É muito míope.”

O caminho a seguir é investir em mais e melhores programas de qualificação, algo que a analista da Forrester Jess Burn escreveu em seu relatório sobre o assunto. “A falta de funcionários com habilidades de segurança foi um desafio importante em muitas organizações”, disse ele. “Investir em tecnologia em vez de formação apenas aumenta a lacuna de competências, à medida que os profissionais lutam para acompanhar a aprendizagem de novas ferramentas em vez de desenvolverem proficiência em domínios-chave.”

Abrace novas tecnologias, mas entenda o contexto

Quando se trata de implementar novas tecnologias – IA generativa, digamos – é quase inevitável que os CISOs sejam apanhados num ciclo de hype em algum momento. Mas é importante manter a cabeça limpa e pensar cuidadosamente sobre quaisquer riscos de privacidade de dados versus benefícios de segurança quando se trata de novas plataformas.

“A indústria de segurança cibernética é como qualquer outra e também é vítima de ciclos de exagero”, diz Shier. “IA, confiança zero e plataformas de segurança vêm imediatamente à mente. O trabalho do CISO é pesar os riscos e benefícios, eliminar o jargão de marketing e determinar um bom equilíbrio entre risco e benefício, ao mesmo tempo que viabiliza o negócio. Não é uma tarefa fácil, especialmente quando a IA realmente mudou o mundo, tanto para o bem quanto para o mal, e a necessidade de implementação é extremamente alta, ou seu negócio pode rapidamente se tornar irrelevante.”

Como observaram os analistas da Forrester em relação aos recursos do tipo ChatGPT, “priorize a utilidade em vez da ostentação, perceba as restrições da IA ​​e entenda seus impactos” na infraestrutura, nos dados e nas operações de uma organização.

Outro exemplo é a mudança para sem senha. A Forrester recomenda que as empresas adotem métodos de autenticação sem senha e outros métodos de autenticação melhores para evitar ataques futuros. No entanto, isso não é algo que um CISO possa simplesmente ligar.

“No nível de 80,000 pés, tudo isso é verdade, há muito tempo que precisávamos de algo melhor do que senhas”, diz Phil Dunkelberger, CEO da Nok Nok, um fornecedor de autenticação de longa data. “É aqui que está o problema: quando nossos clientes começam a implementar soluções sem senha, descobrimos que o diabo está nos detalhes; cada vertical tem suas próprias necessidades de segurança, seus próprios mandatos regulatórios e, claro, as plataformas também variam amplamente.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cybersecurity-operations/5-ways-cisos-can-navigate-new-business-role