Recursos/White Papers

Gestão

4 sinais de que a equipe de segurança está esgotada

Só porque você quer ser o herói não significa que tenha de sacrificar os outros para fazê-lo

Da Redação, com CSO/EUA

Publicada em 29 de agosto de 2018 às 08h31

O burnout (nome dado à síndrome de esgotamento físico e mental) acontece muito no campo da segurança da informação, pois colocamos os profissionais responsáveis ​​em posições em que eles estão configurados para falhar. Para consertar isso, precisamos parar de tratar a segurança como uma opção ou obstáculo, e deixar de lado a abordagem da “cultura do herói”, que praticada no ambiente de negócios e tecnologia.

Quais são os sinais mais comuns de que estamos levando os funcionários na segurança da informação ao desgaste? 

Sou CISO há 10 anos. Trabalhei em segurança da informação por 15 anos e em tecnologia muito mais do que isso. Vi colegas de trabalho e de outras empresas se esgotarem e saírem do setor em todos os níveis. Essa é uma questão endêmica, de acordo com o artigo de Kelly Sheridan em Dark Reading: “Burnout, Culture, Drive Talent Security Out The Door”.

Este artigo foi escrito para os CIOs e gerentes que podem ajudar a conter muitas das causas que meus colegas CISOS e eu observamos que levam as pessoas ao burnout. A maioria, na verdade, não é de natureza técnica. São questões de comunicação e culturais.

Quando você tem membros da equipe e gerentes que se recusam a fazer qualquer coisa para melhorar a segurança, dão desculpas e depois solicitam abertamente o trabalho de outras pessoas, então você tem um problema complexo. Ou melhor, dois problemas. O primeiro é não usar uma abordagem baseada em risco para trabalhar e lidar com riscos abertos. O segundo é permitir que os gerentes ponham suas próprias prioridades à frente da missão da organização. Em ambos os casos, se você permitir isso, estará se abrindo para problemas graves de segurança e não terá controle sobre a sua organização. Você também contribuirá para que as pessoas de segurança entrem em colapso.

1 - Pensar em segurança vai fazer tudo por você
Toda grande empresa tem uma equipe de auditoria interna cujo trabalho é auxiliar na descoberta de possíveis armadilhas. No entanto, não é seu trabalho abordá-la. Quando a Segurança da Informação realiza uma avaliação de risco, as mesmas regras se aplicam. Só porque descobrem um risco não significa que agora o possuem e precisam consertá-lo. Segurança é uma atividade de equipe e precisa ser tratada em conjunto. As organizações precisam trabalhar juntas para lidar com os riscos. Se você não está lidando com seus riscos, que é o objetivo da auditoria interna, você não está contribuindo para evoluções, está estagnado.

2 - Ignorar ou não fazer uma avaliação de risco ou plano de gerenciamento de risco
Se a avaliação de risco indica que algo é de alto risco e você a ignora, não faz nada a respeito, você será responsável caso algo aconteça. Lembre-se de que se sua equipe de segurança da informação não tiver o poder de fazer uma avaliação de risco ou criar e executar colaborativamente um plano para tratar dos riscos, será responsabilizado quando algo acontecer.

3 - Pensar que a “cultura do herói” funciona para a segurança/microgestão
Uma das ideias mais difundidas é que as empresas são construídas em torno de super-homens ou super-mulheres. Steve Jobs, Elon Musk, Larry Ellison, Bill Gates, Michael Bloomberg e Mark Zuckerberg são vistos como heróis singulares que construíram impérios e moveram montanhas por conta própria. Steve Jobs, em particular, destaca-se por sua ênfase no design e em acertar as coisas. Eles são ou foram brilhantes, pessoas bem-sucedidas, e que contaram e contam com equipes por trás deles. Essas equipes planejaram e executaram e foram motivadas por suas lideranças para chegar a lugares que não tinham antes.

Não pense que você pode levar segurança e entregá-la a uma pessoa realmente inteligente e dizer a ela para descobrir com recursos limitados, porque fulano de tal fez e construiu foguetes, um smartphone ou um banco de dados. Você terá sim um profissional muito inteligente, mas descomprometido, que irá embora porque vai se cansar e se esgotar. Motivação só leva você até certo ponto.

desgaste

4 - Não ter uma cultura de bem-estar individual
A prevalência da ideia de que devemos estar em nosso trabalho 24/7/365 está nos matando. Se uma organização não apoia e incentiva um equilíbrio saudável entre a vida profissional e não coloca em prática políticas, procedimentos, equipes e estratégias que a apoiam, você terá problemas. A ideia de que todos nós temos de sermos heróis está prejudicando a vida de bons profissionais e suas carreiras.

É importante ter uma cultura que promova atividades saudáveis, exercícios, boa alimentação e lazer. Também é importante respeitar o tempo pessoal e as horas de trabalho e fazer a pergunta “Isso é realmente importante ou isso pode esperar? Isso precisa ser feito agora?

Nós não somos robôs. Não podemos esperar que sejamos. Se a expectativa é de que não há equilíbrio entre trabalho e vida pessoal, as pessoas boas vão adoecer ou pedir para sair. Definir a expectativa de que qualquer coisa menos que um esforço heroico de 100% do tempo seja um sinal de fraqueza é tóxico e destruirá não apenas a vida dos funcionários, mas também suas famílias e amigos. Só porque você quer ser o herói não significa que tenha de sacrificar os outros para fazê-lo.

Os problemas de segurança geralmente têm suas causas principais em problemas não técnicos, mais ligados à cultura e à forma como é implementada a gestão. Demorei alguns anos para descobrir isso. Se você está se perguntando o por que de a sua equipe de segurança estar esgotada e falhando, talvez seja melhor analisar sua empresa primeiro e, então, encontrará a resposta.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui