Não há dúvida de que, no mundo que estamos, as empresas exigem novas tecnologias, estratégias de segurança, aprendizado de máquina (machine learning) e IA para melhorar suas posturas de segurança cibernética.
Está provado que as máquinas, ao contrário de nós, podem manter o trabalho em bons e maus momentos – mesmo durante uma pandemia. E existem tarefas além das capacidades humanas e tarefas nas quais as máquinas são mais eficientes, mas é inegável que os humanos são engenhosos e inteligentes, e sua contribuição é necessária, especialmente quando se trata de tomar decisões importantes em uma organização.
A IA trata de analisar padrões analisando dados, mas as máquinas não podem ver além desse fator. Humanos podem. Com intuição e criatividade, humanos podem entender as situações de uma perspectiva holística e gerenciar os funcionários melhor do que uma máquina.
Sem uma abordagem centrada no ser humano, muitas organizações carecem das habilidades fundamentais para se defender contra os ataques mais sofisticados. Um ponto problemático comum que as organizações enfrentam é a falta de habilidades na comunidade de segurança cibernética.
A boa notícia é que pesquisas realizadas pelo Gartner em 2021 mostram que a lacuna entre a demanda e a oferta de habilidades cibernéticas está diminuindo. No entanto, essa tendência parece ser apenas de curto prazo e será contrabalançada por taxas de crescimento significativas no mercado de trabalho até 2030. Essa tendência se aplica não apenas aos funcionários, mas também aos conselhos de administração (BoDs).
Diretorias precisam de líderes mais experientes em tecnologia
De acordo com uma pesquisa do Gartner, 88% dos CAs (Conselhos Administrativos) veem a segurança cibernética como um risco de negócios e não um risco de tecnologia, mas apenas 12% têm um comitê dedicado à área em nível de diretoria.
Embora os líderes de negócios saibam que suas empresas devem ser protegidas contra ameaças, a responsabilidade pela segurança recai principalmente sobre a liderança de TI, como o CIO ou o CISO. “No entanto, os líderes de negócios tomam decisões todos os dias, sem consultar o CIO ou CISO, que afetam a segurança da organização”, disse Paul Proctor, vice-presidente de pesquisa do Gartner.
Além disso, um estudo da Deloitte de 2020 confirma que 79% das empresas de alto desempenho têm pelo menos um membro do conselho com experiência em tecnologia, em comparação com 52% das organizações de linha de base. Sem uma experiência digital significativa no conselho, as empresas devem buscar a experiência estratégica dos executivos de tecnologia.
O risco e a segurança das informações estão se tornando uma responsabilidade distribuída do C-suite, não mais limitada ao gerenciamento de TI. Isso levou os líderes seniores fora da TI a contratar cada vez mais especialistas em tecnologia e moldar ativamente sua estratégia digital para testar e dimensionar ideias de negócios da área.
CISOs têm um mandato mais curto do que CIOs
Enquanto o Conselho Administrativo corre para preencher a lacuna de talentos, ele deve estar atento à quantidade de tempo que esses líderes gastam em suas funções. Fontes afirmam que o mandato médio de um CISO (Chief Information Security Officer ou Diretor de segurança da informação) é de 18 a 26 meses mais curto do que o mandato médio de quatro anos de um CIO (Chief Information Officer ou Diretor de TI). Isso ocorre porque eles são demitidos devido a violações de dados ou se demitem por um salário melhor e para ter foco no equilíbrio entre vida pessoal e profissional.
De acordo com a Cybersecurity Ventures, 24% dos CISOs em organizações da Fortune 500 estão em suas funções há, em média, um ano. Isso significa que as organizações têm uma janela curta para identificar, promover e reter um canal de líderes de segurança emergentes para garantir a sustentabilidade e eficácia de longo prazo de seus programas de segurança.
Paralelamente, o Gartner prevê que, até 2025, a escassez global de líderes de segurança emergentes qualificados resultará em um aumento de 20% nos salários, mesmo para os inexperientes em segurança cibernética.
Um “líder de segurança emergente” é um indivíduo que atualmente não está trabalhando em uma posição de liderança formal, mas demonstrou a aptidão, as competências e os recursos necessários para liderar uma organização de segurança cibernética em breve.
Cultive e nutra a liderança de TI nas organizações
A contratação de líderes de segurança é cara, e é por isso que as empresas estão alocando fundos separados para eles. Isso é especialmente difícil para SMBs (pequenas e médias empresas), onde os contratados se sentem desvalorizados e decidem que não há motivo para permanecer na organização.
Ao contratar, os chefes devem considerar a mudança para uma avaliação baseada em competências de líderes de segurança emergentes, em vez de se concentrar apenas em habilidades e experiência. Eles podem começar realizando uma avaliação de habilidades em toda a força de trabalho de segurança e TI, incluindo uma avaliação das competências de liderança atuais. Isso identificará quais membros da equipe têm os atributos certos, aptidões e interesses que podem ser promovidos para futuras funções de liderança.
Incentivar esses líderes de segurança a interagir com mentores experientes dentro da organização os ajudará a se familiarizar com as operações de negócios, contexto, objetivos estratégicos e apetite por risco da organização em um ambiente amigável e seguro. Além disso, eles desenvolverão uma compreensão mais holística das funções distintas da organização. A promoção da liderança ajudará a reter os melhores talentos de segurança, mostrando a eles que existe uma carreira clara e alcançável para eles, caso permaneçam.
Não existe um molde único para uma composição de conselho eficaz. Os Conselhos de Administração (CAs) devem considerar sua composição cuidadosamente para garantir que tenham as habilidades e experiências certas para permitir a diversidade de pensamento e discussões estratégicas inovadoras. Acima de tudo, à medida que as salas de diretoria evoluem para navegar em um mundo cada vez mais complicado, elas devem definitivamente evitar a automação da tomada de decisões.
Traduzido do original: Enterprises need more cyber smart leaders