As equipas de cibersegurança precisam de mais perspicácia nos negócios

Embora a divisão entre os profissionais de cibersegurança e as organizações que eles servem tenha diminuído nos últimos anos, ainda há claramente muito espaço para melhorias. Muitos profissionais de cibersegurança ainda estão a lutar para transmitir o nível de risco para o negócio que qualquer ameaça específica representa. Grande parte dessa falta de comunicação ainda se deve ao simples facto de que os profissionais de cibersegurança nem sempre comunicam de uma forma que os líderes empresariais possam facilmente compreender. Há uma necessidade clara de formação adicional que aborde especificamente essa lacuna.

Infelizmente, uma survey de 259 profissionais de cibersegurança conduzida pela ISC2 deixa claro que ainda há uma falta de valorização pelo tipo de formação que é necessária. Um total de 81% dos inquiridos afirmou que aprende competências de liderança principalmente através da observação, com 86% a referir que as experiências com supervisores, gestores e executivos anteriores moldaram a sua visão sobre o que faz um bom líder.

Embora isso possa ser uma coisa boa em alguns aspetos, já foi estabelecido que muitos líderes de cibersegurança existentes não conseguem comunicar eficazmente com líderes empresariais. Observar a geração anterior de líderes pode apenas perpetuar uma dicotomia existente.

Por exemplo, possuir boas competências de comunicação é, sem surpresa, classificado como o atributo mais importante que um líder de cibersegurança pode ter (85%), seguido por uma compreensão de estratégia (41%), mente aberta (37%), competências técnicas (33%), capacidade de decisão (21%) e, finalmente, perspicácia empresarial (21%).

No entanto, aí reside o paradoxo. A própria coisa pela qual os líderes de cibersegurança são mais frequentemente criticados é a sua incapacidade de comunicar com a gestão empresarial e, ainda assim, apenas cerca de um em cada cinco inquiridos na pesquisa identificou essa competência como sendo uma competência de liderança crucial. Agora, as hipóteses de os líderes empresariais alguma vez conseguirem comunicar usando a nomenclatura que as equipas de cibersegurança utilizam todos os dias são muito pequenas. A única maneira de esta situação melhorar materialmente é se os líderes de cibersegurança compreenderem melhor como é que o negócio realmente funciona.

Num mundo ideal, é claro, as organizações forneceriam esse tipo de formação às suas equipas de cibersegurança, mas, devido a restrições orçamentais ou a uma simples falta de valorização da necessidade, há realmente muito pouco desse tipo de formação disponível. Quer se goste ou não, caberá aos profissionais de cibersegurança individuais usar a sua própria iniciativa para adquirir esse tipo de especialização, seja no trabalho ou através de algum currículo educacional externo.

A única coisa que poucos profissionais de cibersegurança apreciam sempre é o apetite pelo risco que muitos líderes empresariais têm. A maioria deles é produto de escolas de negócios que lhes ensinam a pesar continuamente o risco versus a recompensa. A única coisa que realmente querem das equipas de cibersegurança é uma avaliação precisa do nível de risco enfrentado. Isso pode não exigir um Master of Business Administration (MBA), mas requer pelo menos uma compreensão do que a organização está a tentar alcançar numa era em que cada processo de negócio pode agora ser adversamente afetado por múltiplas ameaças de cibersegurança.