Estudo da Trellix discute o papel do CISO em um cenário de ameaças constantes

A Trellix, empresa global de segurança cibernética baseada em GenAI, apresentou nesta terça-feira (15/10) os resultados do novo relatório Mind of the CISO: CISO Crossroads, que descobriu que a maioria dos CISOs (84%) acredita que a posição precisa ser dividida em duas funções – uma técnica e outra focada nos negócios, para maximizar a segurança e a resiliência organizacional em meio a um cenário de ameaças em constante expansão.

A pesquisa revelou insights de mais de 500 CISOs em todo o mundo sobre regulamentação de segurança cibernética, o papel do CISO e suas interações e desafios ao se reportar ao conselho de sua organização. Os insights lançam luz sobre as últimas mudanças, responsabilidades e requisitos para CISOs, os impactos de navegar por eles e recomendações para organizações e formuladores de políticas protegerem o futuro dessa função.

“Entramos na era da dualidade do CISO”, disse Harold Rivas, CISO da Trellix. “Os CISOs precisam de uma lente técnica e focada nos negócios – e precisamos ser comunicadores estratégicos. O papel não é mais apenas manter a higiene cibernética. É gerenciar riscos, manter-se atualizado e à frente dos regulamentos e conformidade e alinhar-se com a liderança e o conselho, ao mesmo tempo em que se defende contra ameaças avançadas. Os CISOs são o canal entre as principais partes interessadas, os objetivos de negócios e a resiliência cibernética”, afirmou.

Manter proativamente uma postura de segurança cibernética, priorizar a prevenção e mitigação de ransomware, defender-se contra ataques patrocinados pelo Estado e responder a incidentes globais de TI são as principais prioridades dos CISOs este ano. Além disso, os CISOs também devem navegar por requisitos regulatórios complexos e aumentar o interesse e as expectativas das partes interessadas com recursos limitados. O impacto dessas responsabilidades crescentes está sendo sentido por todos:

Sobrecarga de regulamentação: 93% dos CISOs concordam que a regulamentação da segurança cibernética ajudou sua carreira como CISO – como ter maior influência em decisões estratégicas ou elevação a discussões em nível de diretoria, mas a maioria (79%) acredita que o tempo e o esforço necessários para acompanhar as mudanças regulatórias não são sustentáveis.

A batalha da sala de reuniões: reportar-se ao conselho é uma habilidade que os CISOs precisam aprimorar, já que quase metade (49%) se reporta ao conselho semanalmente (ou com mais frequência), aumentando sua carga de trabalho sobrecarregada. Muitos ainda lutam com a compreensão e o alinhamento do conselho e do nível C, com 66% dizendo que o conselho não tem conhecimento técnico ou experiência para compreender completamente as questões de segurança cibernética e 59% dos CISOs dizendo que suas opiniões não se alinham com seu CIO ou CEO.

Papel do CISO em risco: como resultado, 91% dos CISOs concordam que essas responsabilidades em expansão levarão a uma maior rotatividade na função e 49% não veem um futuro como CISO. Para gerenciar melhor essas responsabilidades crescentes, 84% dos CISOs acreditam que a função deve ser dividida em funções técnicas (CISO) e outra focada nos negócios (BISO).

Para garantir o futuro dessa função, os CISOs precisam de suporte adicional dos reguladores, suas organizações e seus pares. 87% dos CISOs concordam que discutir a regulamentação da segurança cibernética com colegas é mais valioso do que fazer suas próprias pesquisas.

“Um elemento para o sucesso dos CISOs é uma forte comunidade colaborativa”, disse Jim Jenkins, vice-presidente e diretor de Segurança da Informação da Vantage West Credit Union, membro do Conselho de CISOs da Trellix. “É um papel exigente e multifacetado quando os recursos e o apoio são escassos. Aprender com os colegas e compartilhar informações de forma ampla permite que os CISOs sejam mais eficientes e redirecionem os esforços para iniciativas estratégicas”, comentou.

A clareza sobre as responsabilidades e expectativas da função, com orientação clara e apoio da liderança e dos reguladores, bem como uma comunidade colaborativa de pares, são vitais para garantir o sucesso futuro da função do CISO.