Os CISOs precisam ser resilientes por intenção, dizem analistas do Gartner

Os CISOs (Chief Information Security Officers) que elevam a resposta e a recuperação a um status igual ao da prevenção estão gerando mais valor do que aqueles que aderem à tolerância zero ultrapassada para mentalidades de falha, de acordo com o Gartner. “Cada nova interrupção de segurança cibernética expõe o fato de que os CISOs gerenciam mais por adrenalina do que intenção, o que é insustentável”, disse Dennis Xu, analista vice-presidente do Gartner. “Os CISOs precisam ser resilientes por intenção, em vez de adrenalina, se quiserem prosperar”, afirmou.

“A indústria fez avanços incríveis no lado da prevenção, mas a resposta e a recuperação continuam sendo músculos subdesenvolvidos por causa da mentalidade de tolerância zero do setor a falhas”, disse Christopher Mixter, analista vice-presidente do Gartner. “Em uma era em que os ataques cibernéticos bem-sucedidos estão aumentando em volume e impacto, apesar dos investimentos cibernéticos preventivos, as organizações devem aumentar sua abordagem para elevar a resposta e a recuperação a um status igual ao da prevenção”, comentou.

Para começar a jornada em direção à segurança cibernética aumentada, o rótulo do Gartner para uma função de segurança cibernética que elevou a resposta e a recuperação a um status igual ao da prevenção, os CISOs devem priorizar três áreas de atividade: construir tolerância a falhas cibernéticas nos negócios, simplificar para um conjunto de ferramentas cibernéticas minimamente eficaz e construir uma força de trabalho cibernética resiliente.

O Gartner recomenda que os CISOs trabalhem para criar tolerância a falhas cibernéticas em seus negócios, concentrando-se primeiro em duas áreas de atividade de negócios em que as medidas preventivas de segurança cibernética têm um desempenho visivelmente inferior: IA generativa (GenAI) e o uso de terceiros.

Para uma tecnologia em rápida evolução como a GenAI, é impossível evitar todos os ataques em todos os momentos. A capacidade de se adaptar, responder e se recuperar de problemas inevitáveis é fundamental para que as organizações explorem a GenAI com sucesso. Portanto, CISOs eficazes estão complementando sua orientação voltada à prevenção para GenAI com manuais de resposta e recuperação eficazes.

Em relação ao gerenciamento de riscos de segurança cibernética de terceiros, não importa os melhores esforços da função de segurança cibernética, as organizações continuarão a trabalhar com terceiros, aumentando os riscos. O impacto real da segurança cibernética não está em fazer mais perguntas de due diligence, mas em garantir que a empresa tenha documentado e testado planos de continuidade de negócios específicos de terceiros.

“Os CISOs devem orientar os patrocinadores de parceiros terceirizados a criar um plano formal de contingência de terceiros, incluindo coisas como uma estratégia de saída, lista de fornecedores alternativos e manuais de resposta a incidentes”, disse Mixter. “Os CISOs comandam todo o resto. É hora de trazer exercícios de mesa para o gerenciamento de riscos cibernéticos de terceiros”, observou.

Conjunto de ferramentas mínimo efetivo

Um dos lugares em que a mentalidade de tolerância zero ao fracasso está mais inserida é na abordagem da cibersegurança à tecnologia. “Os CISOs mantêm equipamentos antigos além de sua data de venda, enquanto também correm para adicionar novas ferramentas sem entender totalmente o custo adicional e a complexidade de gerenciamento que elas trazem”, disse Xu. “Os CISOs devem quebrar o ciclo da síndrome de aquisição de equipamentos que inibe sua capacidade de prosperar, adotando um ethos de adotar o menor número de ferramentas necessárias para observar, defender e responder às explorações das exposições da organização.”

Para isso, os CISOs devem:

– Identifique redundâncias e lacunas mapeando seu conjunto de ferramentas para sua estrutura de controles.

– Crie provas de conceito de tecnologia em torno dos riscos de implantação, não apenas da funcionalidade de recursos.

– Buscar agressivamente os aumentos do GenAI para as ferramentas existentes.
Construa uma força de trabalho cibernética resiliente

“Os CISOs e suas equipes geralmente têm uma mentalidade de heroísmo”, disse Mixter. “Eles sentem que devem evitar resultados ruins a todo custo, mesmo às custas de sua saúde. Eles precisam de inovação, experimentação e engajamento de seu pessoal mais do que nunca, mas a maneira como eles pedem a seu pessoal para operar muitas vezes tem o efeito oposto”, completou.

Para criar uma força de trabalho cibernética resiliente, os CISOs devem tratar a resiliência como uma verdadeira competência e construí-la em suas pessoas da mesma forma que constroem competências técnicas e outras:

– Facilite para os funcionários obter o suporte de que precisam: isso inclui a criação de autocuidado nos fluxos de trabalho dos funcionários, como aconselhamento e exercícios de descompressão durante incidentes ativos.

– Compartilhe histórias de fracasso/aprendizado: os CISOs devem dar o exemplo e ser os primeiros a compartilhar exemplos de momentos em que ficaram aquém de seus objetivos e o que aprenderam com essas experiências.

– Reengenharia do trabalho para reduzir o burnout: envolva os funcionários para entender onde eles experimentam atrito em seu trabalho, reduzir gargalos e aproveitar a automação para liberar as pessoas para concentrar sua energia em atividades que realmente exigem isso.