Jenny Radcliffe, da Human Factor Security, reuniu-se recentemente com Lucia Milică Stacy, vice-presidente e diretora global de segurança da informação (CISO) residente da Proofpoint, para discutir a situação atual do setor de cibersegurança. Elas falaram de tudo, de ataques de alto padrão e escassez de qualificações em cibersegurança a mudanças de funções e diversidade.
Veja um pouco do que Lucia disse:
Sobre a evolução da função do CISO
Fico muito satisfeita que minha função me permita estar do outro lado da mesa e falar com meus colegas sobre seus desafios cotidianos. Embora cada pessoa tenha sua própria batalha para lutar, um assunto comum foi recorrente na compilação do relatório Voice of the CISO de 2022. Com a pandemia de COVID-19, ciberataques de alto padrão contra grandes marcas e infraestruturas críticas e um aumento no trabalho híbrido, ficou claro que o papel do CISO está mudando.
Esses eventos e outros ressaltaram a importância de nossa função e o quão crítica ela é para o sucesso contínuo de nossos negócios. Embora a função do CISO já tenha sido encarada como uma questão de TI, agora é considerada uma função vital para a empresa. Tivemos nosso momento de reconhecimento quando os conselhos diretores finalmente entenderam que o risco cibernético é um risco empresarial.
Os CISOs não estão de acordo com a diretoria
Um outro tema comum entre os CISOs é a luta para manter um alinhamento com o restante da diretoria. O resultado é, frequentemente, um descompasso entre conscientização quanto à segurança e o grau de preparação no âmbito de toda a empresa. Em última instância, isso se traduz em um embate constante para comunicar o risco cibernético. Porém, como sempre, essa história tem dois lados.
Por um lado, embora não haja dúvida de que as diretorias querem compreender os riscos enfrentados por suas empresas, persiste uma falta de qualificações técnicas e cibernéticas nesse nível. Portanto, precisamos continuar a pressionar por mais conhecimento e supervisão de cibersegurança na diretoria. Já estamos vendo isso em lugares como Austrália, onde conhecimentos sobre cibersegurança são agora uma exigência comum em nível de diretoria. Nos Estados Unidos, a comissão de valores mobiliários (U.S. Securities and Exchange Commission) também propôs regras cibernéticas que devem estar prontas em abril deste ano.
Contudo, os profissionais de cibersegurança também precisam fazer sua parte. Precisamos ser capazes de contar nossa história e de pintar um quadro convincente sobre as consequências do risco. Isso significa falar a linguagem dos negócios em vez de jargões técnicos. Precisamos parar de falar em métricas e KPIs (indicadores fundamentais de desempenho) e, em vez disso, colocar o risco cibernético mais perto da narrativa empresarial.
Eliminação da lacuna de qualificações, acabar com mitos e promover diversidade
Ainda estamos testemunhando uma escassez considerável de pessoas qualificadas em nosso setor e, conforme os líderes mais velhos se aposentarem, o problema ficará ainda mais pronunciado.
Embora não existisse um cargo específico de cibersegurança quando os profissionais mais experientes de hoje começaram, a segurança era parte de tudo o que fazíamos. Então, quando os cargos de CISO e outros relacionados foram criados nos últimos anos, tínhamos pessoas que podiam facilmente desempenhar essa função. Da mesma forma, agora que a cibersegurança tem um foco muito maior, estamos colocando profissionais talentosos diretamente em cargos cibernéticos em nível de iniciante. Porém, a lacuna continua existindo na camada intermediária, com uma falta de diretores ou gerentes de segurança experientes, prontos para assumir cargos de liderança sênior.
Além disso tudo, há uma questão de diversidade que persiste na próxima geração. Frequentemente ouço que não pareço alguém que trabalha com cibersegurança, muito provavelmente porque não sou um homem jovem de tênis e moletom.
Precisamos lidar com esse problema de imagem e criar um caminho mais claro para pessoas jovens de todos os gêneros, etnias e formações. Para muitas organizações, isso provavelmente significa repensar completamente os programas de diversidade e inclusão para assegurar que busquemos os melhores talentos, onde quer que estejam.
Quer ouvir mais opiniões de CISOs?
Visite CISO Voices para ouvir toda a conversa entre Lucia e Jenny, além de outros episódios.
Os podcasts Human Factor Security de Jenny também contêm insights adicionais de especialistas em cibersegurança. Fique atento a nossa próxima postagem no blog CISO Voices para descobrir insights de cibersegurança de Kate Mullin.
Central do CISO da Proofpoint
Visite nossa central do CISO para obter atualizações regulares sobre pesquisas, insights e recursos de cibersegurança, especificamente para a comunidade global de CISOs.