Uma grande, mas evitável violação de segurança pode facilmente levar à demissão de um CISO. Mas alguns erros menos óbvios podem levar ao mesmo.
Os CISO, como qualquer outro executivo sénior, enfrentam riscos todos os dias. Como os líderes de cibersegurança são responsáveis pela salvaguarda de alguns dos activos mais valiosos das suas organizações, os desafios são altos.
Um CISO que se prepara inadequadamente para qualquer um desses riscos ou faça uma más gestão dos mesmos será muito provavelmente demitido. Como tem sido o caso em recentes incidentes de alto impacto.
As seguintes falhas são difíceis de perdoar a esses responsáveis.
Não evitar uma fuga de dados com danos financeiros ou de reputação significativos
À medida que as violações de segurança como aquelas ocorridas na Equifax e Yahoo mostram, as empresas podem sofrer graves danos na sua reputação. Quando uma violação monumental de segurança leva a perdas financeiras e um alto nível de publicidade negativa, é difícil aos CISO não “caírem”.
Uma violação provavelmente resultará numa demissão se a empresa puder provar que o CISO foi negligente ao instalar os últimas correcções de software. Ou que não actualizou o ambiente de dados da organização para lidar com as ameaças mais recentes, prescindindo de instalar as firewalls apropriadas no datacenter, no controlo sobre escritórios remotos ou no perímetro da rede, diz Laura DiDio, analista da Information Technology Intelligence Consulting (ITIC).
“Mas às vezes, despedir um CISO neste cenário é só para gerir a imagem; uma empresa tem de mostrar ao público que está a agir “, diz Sean Curran, director sénior na empresa de consultoria West Monroe Partners, focada em cibersegurança. “Outras vezes, um CISO foi realmente negligente e não estava preparado. Não tinha um plano sólido para responder e recuperar de incidentes, que teria limitado o impacto. Nós descobrimos que demasiadas vezes o foco esteve apenas na protecção “.
Mas numa organização, um CISO deve assumir a responsabilidade por cada pessoa que ele ou ela contrata. “Portanto, a rescisão pode ter efeito mesmo se a violação de dados não for directamente atribuível ao CISO “, alerta.
Assumir demasiada responsabilidade pelo risco e sem falar dele aos outros
Os CISO que assumem toda a responsabilidade pela organização em relação às decisões de risco colocam o seu emprego em perigo. Nesse caso, o responsável define o que a empresa irá tolerar ou não do ponto de vista da cibersegurança, risco e conformidade ‒ em vez de ser um facilitador de comunicação, diz Curran.
“Muitas pessoas da cibersegurança pensam que podem assumir todo o peso da organização e que o conhecimento ‘técnico’ está além do negócio”, diz Curran. “Como resultado, deixam de comunicar o risco, sufocando efectivamente a capacidade de a administração decidir quanto investimento devem fazer para enfrentar o mesmo”.
Um CISO “deve ser capaz de articular o seu discurso sobre soluções de risco e cibersegurança para um conselho de administração ou executivos seniores que não estão familiarizados com a cibersegurança, de modo a que estes possam tomar decisões informadas sobre a tolerância ao risco”, considera Curran. Ao fazer isso, um CISO liberta-se do fardo de ser o único responsável por quaisquer lacunas de segurança nas costas “.
Falhar na manutenção da conformidade
Com base na natureza da empresa e nos dados que precisam de ser protegidos, o CISO deve demonstrar as devidas diligências em relação à conformidade e adesão aos quadros regulatórios. “Deve haver sistemas de relatórios instalados em que o CISO possa confirmar que todos os sistemas estão actualizados e protegidos”, diz Robert Siciliano, especialista em cibersegurança da Hotspot Shield.
Se não mantêm a conformidade e um auditor interno ou externo encontrar uma grande lacuna, isso pode levar a custos de remediação não planeados e não orçamentados, que forçam a empresa a lidar com questões do passado em vez de focar-se em melhorar o futuro. “A esta espiral torna-se cada vez mais difícil de escapar, a menos que [os CISO] sejam agentes de mudança, o que raramente é o caso ou não estariam nesta posição”, diz Curran.
O cumprimento, particularmente na era digital, onde as redes estão cada vez mais interligadas e as empresas estão compartilhando dados com seus clientes, fornecedores ou parceiros comerciais “é de grande importância”, diz DiDio.
Conduta pouco profissional
Tal como acontece com qualquer outro tipo de função o despedimento pode resultar de uma conduta pouco profissional pelo CISO. Isso também pode acontecer se um funcionário que trabalha directamente para o CISO actuar de forma desproporcional.
“Se o CISO não corrigir e abordar comportamentos inadequados, como o assédio sexual, isso pode levar ao despedimento do responsável”, diz Burns. O comportamento não profissional pode incluir acções como publicar mensagens inapropriadas no Twitter ou opiniões questionáveis expressadas nas redes sociais.
Não garantir fiabilidade e tempo de disponibilidade de sistemas
“O tempo é dinheiro”, recorda DiDio. “Sistemas, redes e ou dispositivos de conectividade estão sujeitos a falhas. Se o tempo de inactividade persistir por um período significativo, pode ser importante em perdas monetárias. Pode interromper operações, diminuir a produtividade dos trabalhadores e impactar negativamente os parceiros de negócio, clientes e fornecedores da organização.