Apenas 12% dos CISOs (chief information security officers), executivos responsáveis pela segurança digital nas corporações, obtiveram destaque em todas as quatro categorias do CISO Effectiveness Index, índice de eficácia criado pelo Gartner para avaliar o desempenho dos diretores de segurança da informação.
A pesquisa foi realizada em janeiro e contou com a participação de 129 executivos de diversos países que trabalham nas funções de risco em empresas de diversos setores. O estudo indica que a eficácia desses profissionais é determinada a partir de quatro categorias: liderança funcional, habilidade para entrega de serviços de segurança da informação, governança e capacidade de resposta.
A pontuação de cada executivo foi somada para calcular a pontuação geral de eficácia. O Gartner define como “CISOs eficazes” aqueles que pontuaram melhor que outros profissionais (um terço mais do que a média).
“Os CISOs devem demonstrar um nível mais alto de eficácia”, alerta Sam Olyaei, diretor de pesquisa do Gartner. “À medida que o impulso para o digital aumenta, os diretores de segurança da informação serão cada vez mais demandados para assumirem a responsabilidade por um conjunto de decisões de risco, ao mesmo tempo em que enfrentarão uma supervisão muito maior dos líderes de negócios, equipes executivas e conselhos de administração. Esses desafios são ainda agravados pela pressão que a covid-19 colocou sobre a função de segurança da informação para serem mais ágeis e flexíveis”.
Cinco comportamentos-chave
Dos fatores que afetam a eficácia do CISO, o Gartner listou cinco comportamentos que diferenciam significativamente os chefes de funções de risco da informação de alto desempenho dos de baixo desempenho. Em média, cada um desses comportamentos é duas vezes mais predominante nos de melhor desempenho do que nos de pior desempenho.
“Uma tendência clara entre os profissionais de melhor rendimento é o alto nível de proatividade, seja para ficar a par das ameaças em evolução, comunicar os riscos emergentes com as partes interessadas ou ter um plano de sucessão formal”, diz Olyaei. “Os diretores e líderes devem priorizar esses tipos de atividades proativas para aumentar sua eficácia.”
A pesquisa também indica que os CISOs com melhores resultados se reúnem regularmente com até três vezes mais stakeholders (públicos de interesse de diversas áreas) do que com partes interessadas de TI. Dois terços desses executivos de alto desempenho se reúnem pelo menos uma vez por mês com os líderes das unidades de negócios, enquanto 43% se reúnem com o CEO. Além disso, 45% se reúnem com o chefe de marketing e 30% se reúnem com o chefe de vendas.
“Os CISOs construíram historicamente relacionamentos frutíferos com executivos de TI, mas a transformação digital democratizou ainda mais a tomada de decisões de segurança da informação”, acrescenta Daria Krilenko, diretora sênior de pesquisa do Gartner. “Os líderes mais eficazes mantêm um olhar atento sobre como os riscos estão evoluindo em toda a empresa e desenvolvem relacionamentos sólidos com os donos dessas áreas – líderes de negócios seniores fora de TI.”
Gerenciamento de estresse
A pesquisa apresenta também outro dado interessante. Mostra que os diretores de segurança da informação altamente eficazes gerenciam melhor os fatores de estresse no local de trabalho. Apenas 27% dos CISOs com melhor desempenho se sentem sobrecarregados com alertas de segurança, em comparação com 62% dos com pior desempenho. Além disso, menos de um terço dos profissionais com alta eficácia sentem que enfrentam expectativas irreais das partes interessadas, em comparação com a metade dos diretores de pior desempenho.
“À medida que a função do CISO se torna cada vez mais exigente, os líderes de segurança mais eficazes são aqueles que conseguem gerenciar os fatores de estresse que enfrentam diariamente”, diz Olyaei. “Ações como manter uma distinção clara entre trabalho e vida pessoal, definir expectativas explícitas com as partes interessadas e delegar ou automatizar tarefas são essenciais para permitir que os líderes atuem em alto nível.”