Em um novo estudo global realizado pela Nominet Cyber Security com profissionais de cibersegurança tem revelado uma verdade entre os CISOs. As ameaças externas, pressões internas e cobranças diárias tem levado muitos CISOs ao estresse, alguns destes para lhe dar com a situação tem buscado como saída a medicação e até mesmo o álcool tem sido uma alternativa. Será que esta é a melhor abordagem? Fato que a vida de um CISO dependendo da organização já é um estresse!
Seja para mudar de emprego ou mesmo considerando um novo desafio em sua atual empresa o melhor instrumento aqui é saber estar preparado a lhe dar com este tipo de evento. A pesquisa foi tão profunda que ajudou a entender o mindset destes profissionais modernos e o resultado espanta a comunidade infosec. A depressão e ansiedade tem sido o principal alvo dentre os profissionais de cibersegurança e muitos não estão sabendo como lhe dar com este tipo de situação, nem mesmo as empresas estão conjugalmente preparadas, pois um dos maiores fatores para a causa do estresse tem sido a dificuldade de colocar em pauta a importância de segurança no negócio.
Ainda que os executivos de negócios falham em abraçar esta causa ou meramente os executivos de segurança mesmo com seus esforços e habilidades de comunicação e articulação enfrentam dificuldades para convencer o board. Fato que a fé no que diz respeito a certeza sobre aquilo que não vemos mais cremos nos torna mais resilientes diante de uma fragilidade emocional, a combinação espiritual, o suporte de um especialista (psicólogo ou psiquiatra) e atividades físicas são bons elementos para vencer estes vilões.
Portanto, o caminho é buscar ajuda e quebrar o orgulho para não cair na malha do burnout. Esmiuçando este assunto achei relevante expor neste artigo um parênteses sobre estes vilões que tem sido um pesadelo para muitos profissionais de cibersegurança, então sugiro que:
i) As experiências passadas continuam sendo um indicador fundamental para remediar os gaps de segurança, utilize os últimos reports de segurança, reports de vulnerabilidades, métricas de segurança, KPIs, análise gaps para entender o tamanho do buraco e quanto será o esforço para alcançar o objetivo.
ii) Tendo claro a real situação e onde precisa ser atacado é necessário um road map/plano de ação. Seja para implementação de um solução de DLP para mitigar a violação e vazamento de dados PII, soluções robustas de NAC para monitoramento do perímetro, criptografia e soluções de monitoramento em cloud, e até mesmo a aplicação de pent test em soluções IoT para evitar futuros riscos de reputação com o nome da organização.
iii) Aqui gostaria de salientar que é sim necessário uma visão de quanto seu ambiente de tecnologia está aderente as melhores práticas de cibersegurança e quanto o negócio está protegido e quais são as estratégias para atingir o objetivo para a devida proteção da informação sensível. Neste contexto o futuro que foi planejado em seu plano de ação é relevante, mas não adianta ficar se lamentando pelas dificuldades encontradas e pelo passado decorrente a um grave incidente ou ficar flutuando no futuro deixando os medos te paralisar, a ansiedade pode ser grande, mas tenha em mente que sua mente como um profissional de cibersegurança precisa estar conectada e focada no presente em cima daquilo que está executando, ou seja, procure canalizar estes sentimentos para algo bom.
Talvez uma boa dose de gestão de projetos e óbvio o pleno alinhamento do projeto de segurança com os objetivos esperados pelo conselho executivo é fundamental para a sobrevivência da sua espécie. Saiba que os benefícios para uma boa gestão de segurança em cibersegurança alinhado com a governança de segurança corporativa trará alguns resultados surpreendentes, tais como: 1) proteção do ativo e boa reputação da organização 2) aumento de marketshare e oportunidades de negócio 3) estabilidade da organização no ramo atuante 4) atração de bons profissionais e 5) segurança na cadeia produtiva.
Acima estão alguns dos benefícios de um bom projeto de cibersegurança, logo que as empresas no ramo de Saúde e Financeiro estão mais preocupadas com a proteção de seus ativos devido a regulamentações e leis aplicadas que precisam estar em conformidade. Enquanto que as startups estão mais preocupadas nos resultados e acabam meticulosas falhando no quesito de segurança.
Por fim, como mencionado acima, o nosso papel como um profissional de cibersegurança é ter foco nas atividades que são prioritárias, aquelas que realmente vão ajudar a mitigar e proteger as informações sensíveis da sua empresa. Sendo assim é preciso ser como um carpinteiro que está sempre focado em moldar a madeira para um estado perfeito, cortando, armando, instalando e reparando peças de madeira utilizando ferramentas apropriadas e da mesma forma um profissional de cibersegurança deve ser resiliente capaz de reparar qualquer tempestade, seja um estresse ou uma depressão.
*Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP