Os Chief Information Security Officers (CISOs) devem se concentrar em três áreas para aproveitar o aumento do hype e lidar com o escrutínio, para transformar a disrupção em oportunidade, de acordo com o Gartner, Inc. Essas três áreas incluem estar alinhado à missão, pronto para a inovação e ser ágil em relação às mudanças.
“As empresas estão fazendo investimentos agressivos em tecnologia para atingir seus objetivos, especialmente em áreas de ponta e ‘badaladas’ como a Inteligência Artificial Generativa (GenAI)”, diz Oscar Isaka, Analista Diretor Sênior do Gartner. “Os líderes não estão apenas apostando na GenAI e em outras tecnologias exploratórias; eles também estão preocupados com os riscos de segurança cibernética associados a elas.”
“Os incidentes cibernéticos associados à tecnologia exploratória estão atingindo os resultados financeiros, então os executivos estão prestando atenção à cibersegurança”, diz Isaka. “Tornar-se um estudante em relação ao hype pode realmente ajudar os CISOs a promover suas próprias agendas sob esse escrutínio.”
Veja também: Liderança que protege: o papel do CEO na segurança da informação
Durante o keynote de abertura da Conferência Gartner Segurança & Gestão de Risco, que acontece até quarta-feira, Isaka destacou três áreas principais para ajudar a antecipar as necessidades futuras dos CISOs e permitir que eles atendam às necessidades da realidade complexa, rápida e imprevisível de hoje.
1: Estar alinhado à missão
Os CISOs devem provar que seus esforços de segurança cibernética estão alinhados à missão de suas empresas ao mostrar de forma transparente como as decisões de investimento cibernético e as implicações de exposições devem atuar em conjunto.
“Quando as ambições de mudança estão em seu auge, os CISOs precisam manter as pessoas ancoradas na realidade e em dados”, diz Isaka.
Para conseguir isso, os CISOs devem começar identificando métricas orientadas a resultados (outcome-driven metrics – ODMs), ou métricas que medem o nível atual de proteção e exposição em segurança cibernética.
“Os ODMs permitem que os CISOs se comuniquem de forma transparente e cheguem a um acordo sobre os níveis de proteção com a empresa”, afirma Isaka. “Eles são uma maneira de expressar os níveis atuais de exposição e conduzir uma conversa com os stakeholders sobre as metas desejadas, seja o Conselho de Administração, o Chief Executive Officer (CEO), o Chief Information Officer (CIO) ou qualquer outra pessoa.”
Uma vez que que os ODMs são definidos, os CISOs devem explorar os acordos de nível de proteção (protection level agreements – PLAs), que podem ser usados para permitir a transparência alinhada à missão. Os PLAs são um acordo formal sobre a quantia que a empresa está disposta a gastar para oferecer o nível desejado de proteção de segurança cibernética.
“Quando os CISOs se comunicam em termos de níveis de proteção e redução de exposição, é menos provável que se deixem levar pelo hype de marketing de outras pessoas”, diz Isaka. “Isso acaba ajudando os CISOs a provar que seus esforços de segurança cibernética estão alinhados à missão da companhia.”
2: Estar pronto para a inovação
Os CISOs devem inovar com a Inteligência Artificial na segurança cibernética, o que, em última análise, ajudará as ambições gerais de longo prazo de IA da empresa.
“A segurança cibernética deve ser o lugar onde muitas companhias podem começar a fazer experimentos e a encontrar o valor real da IA”, afirma Isaka.
Os CISOs devem explorar três etapas para viabilizar as ambições de longo prazo de IA de suas companhias:
– Cultivar a alfabetização em IA para si e suas equipes.
– Experimentar com a Inteligência Artificial na segurança cibernética, da análise de código à busca e modelagem de ameaças e à análise do comportamento do usuário.
– Proteger os investimentos em IA em suas companhias ao tomar medidas como a revisar políticas de retenção de dados para proteger o armazenamento de prompts, entradas (input) e saídas (output); implementar avaliações de risco abrangentes para soluções de GenAI personalizadas; e realizar auditorias de conformidade regulatória.
3: Ser ágil nas mudanças
Os CISOs sabem, como ninguém, que a IA traz mais riscos à segurança e que as ameaças internas assistidas por IA e a superfície de ataque aumentarão.
“A combinação de efeitos é vertiginosa, por isso vale a pena ser um estudante do hype quando se trata de mudanças”, afirma Isaka. “A mudança organizacional é tanto impulsionada quanto limitada pelo hype. Se os CISOs entenderem como ele flui, poderão usar essa energia a seu favor.”
“Uma maneira de aproveitar o hype é ‘adotando uma visão distanciada de coisas próximas’”, continua Isaka. “Como CISO, você pode ver 1.000 iniciativas conflitantes se acumulando em sua mesa, vindas de todos os lugares por causa do desespero corporativo. Como um estudante do hype, você pode ler a energia da mudança e antecipar os altos e baixos em suas equipes e parceiros de negócios.”
Em uma era em que os funcionários estão cada vez mais resistentes às mudanças e até mesmo com medo da IA, os CISOs devem estar atentos ao esgotamento de seus colaboradores, seja em função de surpresas inesperadas, de um sentimento de falta de autonomia ou de tarefas chatas e repetitivas.
“Os CISOs devem ser capazes de empoderar suas equipes para que elas façam parte da solução e sintam que têm autonomia”, diz Isaka. “Se as equipes dos CISOs sentirem que possuem autonomia, elas vão querer se concentrar na automação de tarefas repetitivas e no desenvolvimento de novas habilidades para impulsionar o seu crescimento e o delas, o que, por sua vez, as tornará agentes resilientes da mudança, não importa qual ela seja.”
Siga TI Inside no LinkedIn e fique por dentro das principais notícias do mercado.
