CISO Voices: O CISO como contador de histórias — Parte 6
Poucos setores (talvez nenhum) estão a salvo de criminosos cibernéticos. Em todo caso, é seguro afirmar que alguns setores são mais visados por perpetradores de ameaças do que a maioria.
Como líder de segurança no setor jurídico, Christian Toon já viu muitos ataques cibernéticos — alguns bem-sucedidos, outros nem tanto. Em uma discussão recente com Jenny Radcliffe no podcast “Human Factor Security”, Christian Toon comentou sua experiência, a lacuna de qualificações em segurança e muito mais.
Veja a seguir um resumo da conversa.
Uma olhada no setor jurídico
Ao longo dos últimos 12 a 18 meses, vimos um claro aumento em ataques que visam o setor de serviços jurídicos e profissionais.
Houve no domínio público muitos casos nos quais criminosos cibernéticos utilizaram ataques de spear phishing contra escritórios de advocacia, por exemplo. Então, muito embora estejamos vendo um aumento que sugere ataques em massa, esses ataques são altamente direcionados a organizações e indivíduos específicos.
Os e-mails de phishing continuam sendo um ponto altamente crítico. Em um setor com constante compartilhamento de conteúdo por e-mail, mensagens maliciosas bem redigidas são difíceis de identificar.
A preocupação com o phishing é que a tecnologia tem seus limites. O e-mail é um meio de comunicação universal do qual precisamos para nos comunicarmos e as empresas precisam clicar em links ou compartilhar documentos na forma de anexos.
Sobre a evolução do CISO
O papel do diretor de segurança da informação (CISO) cresceu imensamente em termos de responsabilidade e da atenção que recebe nos ambientes corporativos. Agora somos vistos como pessoa à qual recorrer para suporte e aconselhamento quanto aos riscos enfrentados por uma organização.
Os conselhos diretores estão percebendo que, se a segurança cibernética não está entre seus principais fatores de risco, ela deveria estar. Há poucas outras áreas nas quais uma empresa pode ser derrubada em questão de 60 minutos ou menos. À exceção de algum desastre sísmico ou evento natural, nada mais tem o mesmo poder de perturbar os negócios nesse nível.
Contudo, embora a função do CISO tenha crescido em escopo e em responsabilidade, não devemos considerá-la isoladamente. A segurança da informação (infosec) é um trabalho de equipe. Todos precisam participar, da frente da loja até os bastidores e em todos os departamentos e níveis da organização.
Para fazer isso, precisamos eliminar algumas barreiras que supostamente colocamos diante de nós mesmos na infosec — o jargão e o exagero. Também precisamos entender que as pessoas não ligam para determinados conceitos, como Zero Trust. A maioria não os entende em termos práticos. Portanto, precisamos traduzir esse tipo de linguagem de forma que as pessoas possam se identificar com eles no seu cotidiano.
A lacuna de qualificação é uma lacuna de atitude?
Nosso setor já vem falando sobre a escassez e a lacuna de qualificações há um certo tempo. Eu acho que parte do problema tem mais a ver com uma lacuna de atitude. Ao procurar candidatos, os empregadores ainda têm uma visão preconcebida de como são as pessoas na área de segurança.
Muitas empresas ainda querem pessoas afeitas a um terno, camisa social, gravata, ambiente formal no escritório, estrutura de carreira rígida e poucas oportunidades de desenvolvimento. Porém, há cada vez menos pessoas assim por aí. Por outro lado, alguns entram na força de trabalho com expectativas um tanto exageradas em relação às funções para as quais são adequados. Essa desconexão dificulta muito o gerenciamento de expectativas.
Precisamos fazer uma pausa e examinar o que torna um emprego atraente para os funcionários de hoje. Nosso setor não é dos mais bem pagos. Então, de que maneiras podemos tornar nossos cargos mais desejáveis para funcionários em potencial?
Existem iniciativas governamentais voltadas para mudança dessas percepções e incentivo de um contingente mais jovem e melhor preparado. Contudo, ainda há muito o que fazer.
Enquanto isso, acho que veremos uma tendência maior de terceirização conforme as organizações tiverem dificuldades para obter internamente os recursos de que necessitam. E quanto mais tempo elas estiverem sem essas pessoas nos cargos, mais expostas estarão — e pior será a situação.
Quer ouvir mais opiniões de CISOs?
Visite CISO Voices para ouvir Christian Toon em suas próprias palavras e ter acesso aos episódios anteriores. Os podcasts “Human Factor Security” de Jenny Radcliffe também contêm insights adicionais de especialistas em cibersegurança.
Além disso, faça o download de nosso relatório Voice of the CISO de 2023 para descobrir como nosso setor está se adaptando ao período pós-pandemia e para conhecer o papel desempenhado pelas pessoas em colocar nossas organizações em risco.