Os Chief Information Security Officers (CISOs) devem se concentrar em três áreas para aproveitar o aumento do hype e lidar com o escrutínio, para transformar a disrupção em oportunidade, de acordo com o Gartner. Segundo a organização essas três áreas incluem estar alinhado à missão, pronto para a inovação e ser ágil em relação às mudanças.
Durante o keynote de abertura da Conferência Gartner Segurança & Gestão de Risco, Oscar Isaka, Analista Diretor Sênior do Gartner, destacou três áreas principais para ajudar a antecipar as necessidades futuras dos CISOs e permitir que eles atendam às necessidades da realidade complexa, rápida e imprevisível de hoje.
“As empresas estão fazendo investimentos agressivos em tecnologia para atingir seus objetivos, especialmente em áreas de ponta e ‘badaladas’ como a Inteligência Artificial Generativa (GenAI)”, diz Isaka. “Os líderes não estão apenas apostando na GenAI e em outras tecnologias exploratórias; eles também estão preocupados com os riscos de segurança cibernética associados a elas.”
A primeira área que o executivo alerta é estar alinhado à missão. Os CISOs devem provar que seus esforços de segurança cibernética estão alinhados à missão de suas empresas ao mostrar de forma transparente como as decisões de investimento cibernético e as implicações de exposições devem atuar em conjunto.“Quando as ambições de mudança estão em seu auge, os CISOs precisam manter as pessoas ancoradas na realidade e em dados”, diz Isaka.
Para conseguir isso, os CISOs devem começar identificando métricas orientadas a resultados (outcome-driven metrics ou ODMs), ou métricas que medem o nível atual de proteção e exposição em segurança cibernética. Uma vez que que os ODMs são definidos, os CISOs devem explorar os acordos de nível de proteção (protection level agreements), que podem ser usados para permitir a transparência alinhada à missão. Os PLAs são um acordo formal sobre a quantia que a empresa está disposta a gastar para oferecer o nível desejado de proteção de segurança cibernética.
“Os incidentes cibernéticos associados à tecnologia exploratória estão atingindo os resultados financeiros, então os executivos estão prestando atenção à cibersegurança”, diz Isaka. “Tornar-se um estudante em relação ao hype pode realmente ajudar os CISOs a promover suas próprias agendas sob esse escrutínio.”
Além disso, foi reforçado durante o evento que é preciso estar pronto para a inovação. Os CISOs devem inovar com a Inteligência Artificial na segurança cibernética, o que, em última análise, ajudará as ambições gerais de longo prazo de IA da empresa. “A segurança cibernética deve ser o lugar onde muitas companhias podem começar a fazer experimentos e a encontrar o valor real da IA”, afirma Isaka.
O profissional explica que os CISOs devem explorar três etapas para viabilizar as ambições de longo prazo de IA de suas companhias: Cultivar a alfabetização em IA para si e suas equipes; Experimentar com a IA na segurança cibernética, da análise de código à busca e modelagem de ameaças e à análise do comportamento do usuário. E também é preciso proteger os investimentos em IA em suas companhias ao tomar medidas como a revisar políticas de retenção de dados para proteger o armazenamento de prompts.
Outro ponto explicado durante o evento é a agilidade nas mudanças. Os CISOs sabem, como ninguém, que a IA traz mais riscos à segurança e que as ameaças internas assistidas por IA e a superfície de ataque aumentarão. “A combinação de efeitos é vertiginosa, por isso vale a pena ser um estudante do hype quando se trata de mudanças”, afirma Isaka. “A mudança organizacional é tanto impulsionada quanto limitada pelo hype. Se os CISOs entenderem como ele flui, poderão usar essa energia a seu favor.”
E ele explica que nesta era em que os funcionários estão cada vez mais resistentes às mudanças e até mesmo com medo da IA, os CISOs devem estar atentos ao esgotamento de seus colaboradores, seja em função de surpresas inesperadas, de um sentimento de falta de autonomia ou de tarefas chatas e repetitivas.
“Os CISOs devem ser capazes de empoderar suas equipes para que elas façam parte da solução e sintam que têm autonomia”, diz Isaka. “Se as equipes dos CISOs sentirem que possuem autonomia, elas vão querer se concentrar na automação de tarefas repetitivas e no desenvolvimento de novas habilidades para impulsionar o seu crescimento e o delas, o que, por sua vez, as tornará agentes resilientes da mudança, não importa qual ela seja.”
