Brand Abuse, Digital Fraud, Information Leakage, Sales Abuse, Partner Compliance, Threat Intelligence

O perigoso efeito da síndrome de burnout em talentos de segurança digital

Por Fábio Ramos em
COMPARTILHAR

Não há setor do mercado com profissionais ilesos de cobranças excessivas, acúmulo de tarefas, reuniões, metas, prazos e esgotamentos físico e, principalmente, mental. O International Stress Management Association (ISMA) estima que 30% dos cerca de 100 milhões de trabalhadores brasileiros são diagnosticados com a Síndrome de Burnout ou Síndrome do Esgotamento Profissional, que é quando o corpo entra em colapso por conta do estresse causado pela alta carga de trabalho e pressão por resultados. Em 2016, a nossa Previdência Social registrou cerca de 75 mil afastamentos por esse tipo de doença.

Na área da tecnologia especificamente, temos enxergado uma tendência crescente do transtorno acometendo especialistas em segurança da informação. Segundo levantamento realizado pela consultoria Robert Half em 2016, 81% dos CIOs (Chief Information Officers) consideram que a pressão sobre os profissionais de tecnologia aumentou muito nos últimos anos.

Estivemos em março na gigante RSA Conference, em San Francisco, nos Estados Unidos, e vimos diversas tendências em cibersegurança – o que inclui questões de saúde física e mental. Um dos keynotes que deu o que falar foi o da Corporate VP de Cybersecurity da Microsoft, Ann Johnson, que mostrou que 66% dos profissionais da área estão dispostos a buscar outros empregos que tenham menos cobrança, ainda que com menor remuneração, impulsionados pelo estresse do atual trabalho.

Já se sabe que a segurança digital é uma das áreas mais sensíveis de uma empresa, afinal, é ela a responsável por um dos ativos mais estratégicos: os dados. Os técnicos em segurança da informação devem ter a habilidade de proteger dados, mapear e tratar riscos digitais que potencialmente comprometem a confidencialidade de informações e, consequentemente, a reputação e o próprio negócio da empresa. Em grandes organizações, esses profissionais são responsáveis pelo SOCs (do inglês, Security Operations Centers), os centros de operações de segurança.

O conceito de SOC está relacionado a uma central intensa de monitoramento de cibersegurança. O objetivo é concentrar toda e qualquer demanda de proteção aos dados de uma empresa em todas as fases – prevenção, detecção, soluções rápidas, avaliação e reporte.

Por lidar com a ameaças aos negócios, o ambiente é afetado por um sentimento de ansiedade e tensão geral. Existe a ilusão de que esse profissional é um super herói que dará respostas rápidas e certeiras e que existe uma varinha de condão capaz de resolver qualquer incidente. Enfim, há uma cobrança de perfeccionismo e foco total no trabalho para não que haja nenhuma falha, vazamento ou até mesmo ataques de phishing - situações que acabam fugindo do controle de qualquer profissional. Ainda, esses profissionais devem adicionar aos malabarismos das demandas o acompanhamento dos avanços nas técnicas hackers: são dezenas de milhares de pessoas atacando, para um reduzido número de "goleiros".

O volume de informações e dados disponíveis na web só aumentou nesses 30 anos de internet, comemorados neste mês. Já são mais de 2 bilhões de sites online possíveis de serem acessados, com aproximadamente 44 zettabytes (ZiB) ou 44 trilhões de gigabytes em dados armazenados. E, se considerarmos a deep web, esse tamanho se multiplica por astronômicas 500 vezes. Isso significa que, nesse cenário de vulnerabilidade, o profissional da segurança convive com a pressão de estar com o pensamento sempre à frente dos cibercriminosos e das técnicas mais avançadas existentes.

O impacto desse ecossistema dentro da tecnologia é muito grande. A Microsoft prevê uma demanda reprimida de mais de 3 milhões de profissionais de segurança para os próximos dois anos. Esse cenário gera a necessidade da utilização de ferramentas inteligentes e automatizadas para auxiliar no processamento e análise das centenas de milhões de sinais, que passam pelos sistemas das empresas e que podem causar riscos às marcas.

A Lei Geral de Proteção de Dados (LGPD, nº. 13.709, em vigor desde agosto de 2018, estipulou um prazo de 18 meses para que as empresas se preparem e se enquadrem no cumprimento das novas obrigações. Ao longo do texto, a lei esclarece as penalidades cabíveis às empresas que violarem o sigilo dos dados que mantém sob custódia:

"Art. 52. Os agentes de tratamento de dados em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adaptação das medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (...)"

Portanto, a legislação vai trazer ainda mais pressão para as áreas de segurança, já que erros serão punidos com multas severas. E, mais pressão, significa profissionais estressados, podendo realmente levar a erros – exatamente o contrário do que a indústria espera acontecer.

 

Artigo publicado originalmente na CIO Brasil, em 02 de abril de 2019.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Fábio Ramos

Fundador e CEO da Axur, onde protegemos a presença digital e a relação de confiança entre empresas (marcas) e seus públicos.