O esgotamento dos CISO está a aumentar. Estaremos simplesmente mais conscientes da condição? Ou as exigências sobre o CISO aumentaram e o esgotamento é agora o resultado inevitável?

Security Week, 3 de novembro de 2025

Em 2019, o esgotamento foi definido pela Organização Mundial de Saúde como um fenómeno ocupacional e não como uma condição médica. Em 2025, esta condição não médica, inicialmente com os mesmos sintomas de uma forte dor de cabeça (exaustão, negativismo e eficácia reduzida), tornou-se endémica na cibersegurança, afetando tanto os membros da equipa como os CISO.

Duas coisas são claras: primeiro, o esgotamento é muito diferente e mais extremo do que uma dor de cabeça, e ainda não aprendemos adequadamente a prevê-lo, detetá-lo e preveni-lo. Segundo, o esgotamento não é uma doença, é o nome que demos aos sintomas de uma doença não especificada (tal como uma dor de cabeça é o sintoma visível de uma doença não especificada).

Claramente, precisamos de compreender a causa do esgotamento (a doença subjacente) e o seu tratamento para podermos detetar, prevenir e atenuar o efeito altamente prejudicial que tem sobre os seus portadores e o seu trabalho.

Causa do esgotamento

O papel do CISO evoluiu para o de Diretor de Gestão de Crises. As crises continuam a surgir de várias direções e de fontes aparentemente infinitas e muitas vezes desconhecidas – e essas crises devem ser todas resolvidas. Mas há sempre e imediatamente a seguinte. O requisito de obter e manter a cibersegurança é, em última análise, interminável e fútil. É um trabalho de stress contínuo e interminável, pontuado por períodos de stress extremo, a qualquer hora do dia ou da noite, em qualquer dia da semana.

É agravado pelo problema frequentemente citado da responsabilização sem responsabilidade. Os CISO são responsáveis pela postura de segurança, pela preparação e pela resposta de toda a organização quando confrontados com uma crise cibernética. Mas não têm autoridade para garantir que todos, em toda a organização, fazem realmente o que devem fazer. Os CISO são responsáveis pelo que acontece, mas não são responsáveis por isso.

“É como o Controlo da Missão num voo espacial”, sugere Jim Wetekamp (CEO da Riskonnect). “O Controlo da Missão não era responsável por construir a nave (a empresa), não treinou os astronautas (os funcionários da empresa que conduzem a nave) e não planeou a viagem (os objetivos corporativos). Eles apenas executam no momento, em todas essas diferentes funções, tendo de confiar que todas as diferentes peças funcionam.”

Outros executivos da empresa têm muito mais autoridade nas áreas mais limitadas pelas quais são responsáveis.

Leia o artigo completo na Security Week.