De todos os posts malucos promovendo empregos de CISO, aquele que pedia um CISO para programar em Python foi provavelmente o exemplo mais escandaloso da discrepância no papel de um CISO, diz Joe Head, diretor de pesquisa de CISO da empresa de pesquisa britânica Intaso. Isso foi há alguns anos e só se pode imaginar que o cargo foi criado por um tecnólogo que não se importava ou entendia do negócio – ou vice-versa por um empresário que não sabia o suficiente sobre tecnologia.

Em ambos os casos a separação é real. No entanto, Head e outros especialistas dizem que, quando se trata de alcançar a verdadeira liderança e se reportar ao CEO e ao conselho de administração, as habilidades de negócios reinam supremas. No entanto, isso não significa que a maioria dos CISOs não sabe nada sobre tecnologia, pois a maioria ainda começa com um histórico de tecnologia.

No qual Pesquisa CISO 2022 da Heidrick & Struggles, uma empresa de recrutamento de executivos, a maioria dos CISOs vem de uma formação funcional de TI que reflete as questões da época. (Por exemplo, em 2022, 10% dos CISOs estavam no desenvolvimento de software, o que está de acordo com a política da Casa Branca Proteja a cadeia de fornecimento de software.) O relatório conclui que a maioria dos CISOs tem experiência no setor de serviços financeiros, que tem baixa tolerância ao risco e onde mais dinheiro é gasto em segurança.

A pesquisa também mostra que apenas um pequeno núcleo de CISOs (que trabalham principalmente para a Fortune 500) avança para o nível sênior com a combinação de responsabilidades comerciais e técnicas que acompanham a função. De acordo com o estudo, mais de dois terços dos CISOs que participaram da pesquisa trabalhavam para empresas avaliadas em mais de US$ 5 bilhões. Então, em vez de criticar a falta de habilidades de TI de um CISO, a real necessidade está em desenvolver habilidades de negócios para os tecnólogos que sobem na hierarquia.

A combinação esperada de pessoas, processos e habilidades tecnológicas do CISO pode variar

“Não existe uma resposta certa sobre o quão técnico um CISO precisa ser. Meu conselho é que os CISOs precisam se manter atualizados com as novas tecnologias e estratégias de fornecedores e garantir que os projetos técnicos e sua implementação não criem riscos adicionais para os negócios”, aconselha Renee Guttmann, consultora virtual de CISO e ex-CISO de várias empresas da Fortune 50 .

Com a grande maioria dos CISOs começando com uma formação técnica, cabe a eles aprender a liderança adequada e as habilidades de comunicação de alto nível necessárias para trabalhar com stakeholders e CEOs, empresas de capital de risco, investidores externos e reguladores. “Sim, habilidades técnicas são importantes. Mas no início de sua carreira, você precisa aprimorar suas habilidades de negócios para poder conversar com várias pessoas e entender como os negócios funcionam”, diz Head.

No Reino Unido, onde a segurança cibernética é menos madura do que nos EUA, é mais difícil encontrar a combinação técnica e de negócios necessária em um CISO de nível executivo e que a maioria dos gerentes de segurança são mais como “engenheiros glorificados”. Ele trabalha para ajudar os candidatos a melhorar suas habilidades de negócios, acrescentando: “As pessoas mais bem-sucedidas que vejo são os profissionais de TI que desenvolvem suas habilidades de negócios voltando à escola para treinamento adicional”.

Um exemplo é Bob West, CSO da Prisma Cloud, uma divisão da Palo Alto Networks. No final da década de 1980, atuou como Diretor de Sistemas Sênior no Citicorp. Depois de aprender o valor do conhecimento de negócios com seus colegas, ele obteve seu mestrado em Gerenciamento de Sistemas de Informação na década de 1990 antes de ingressar no JP Morgan como arquiteto de segurança. Ele então assumiu o cargo de CISO para o grupo de varejo Bank One. Ele então atuou como Enterprise CISO no Fifth Third Bank.

Ser técnico é muito importante para um CISO, diz West, “Mas mais importante é ser um líder sólido e funcionar como parte de uma equipe de liderança. É importante entender para onde o negócio está indo para que uma estratégia de segurança esteja devidamente alinhada com o negócio. Construir e manter relacionamentos com o restante da equipe de liderança. E se você não é conhecedor de tecnologia em todas as áreas, sabe a quem perguntar.”

Aspirantes a CISOs: encontre um campeão, seja um campeão

West recomenda encontrar colegas e executivos que possam se comunicar tanto com o lado comercial quanto com suas equipes de TI. Como exemplo, ele cita um chefe que considerava um mentor que era um líder de tecnologia comprovado, mas não um profissional de segurança. No entanto, ele conseguiu consertar um programa de segurança quebrado que ninguém mais conseguiu. West atribui o sucesso de seu mentor na época a contar boas histórias à liderança e ao conselho. “Quando meu chefe me contratou, ele disse: ‘Você sabe contar uma boa história e conhece seu público’. É uma maneira diferente de falar com um conselho do que com um CIO ou auditor interno”, acrescenta.

A comunicação começa com a escuta ativa, acrescenta Barbara Filkins, consultora da Syntax2Semantics LLC. Filkins também começou com uma formação técnica e chegou até a consultoria de nível C para provedores e intercâmbios médicos, ao mesmo tempo em que obteve seu mestrado em gerenciamento de segurança da informação pelo SANS Technology Institute. Ouvir, diz ela, leva a uma melhor comunicação e, mais importante, a uma compreensão do que você precisa abordar em relação à área a ser protegida, seja saúde, aviação ou gestão da água. Filkins trabalhou em todos esses setores.

“Ser bem-sucedido como CISO é realmente um ato de equilíbrio, porque o CISO precisa entender os aspectos técnicos para poder se comunicar e ganhar a confiança de sua equipe técnica. Eles também precisam abordar os problemas programáticos e de negócios que sua organização enfrenta, como justificativa de custo, gerenciamento de risco e similares. Nem todo mundo que entende de tecnologia pode transmitir sua experiência e onde ela se encaixa nas necessidades de negócios”, explica ela.

Vários caminhos para o sucesso do CISO

Somente nos últimos anos o papel do CISO evoluiu de uma função de back-office para um verdadeiro líder C-suite e facilitador de negócios, diz Joyce Brocaglia, líder global de práticas de segurança cibernética da empresa de busca de executivos Alta Associates. Mesmo com o amadurecimento dos requisitos da função e do trabalho, ela adverte contra a crença de que existe ou existirá uma função do CISO que serve para todos. Embora o título possa ser o mesmo, a função, a responsabilidade, a estrutura de relatórios, o número de funcionários, a maturidade do departamento, a cultura de suporte e a medição geral do sucesso podem variar, explica ela.

“Quase nunca é tão fácil porque eles não têm as habilidades técnicas ou gerenciais certas”, explica ela. “Às vezes, o CIO com uma sólida experiência em tecnologia prefere contratar alguém mais experiente em tecnologia do que a função exige. Em outros casos, o gerente de contratação e seus colegas ou principais interessados ​​envolvidos no processo de inscrição podem não concordar com a descrição do trabalho e o que eles realmente desejam alcançar na função, então na Alta os ajudamos a encontrar o equilíbrio de que precisam.”

Os verdadeiros CISOs executivos são raros o suficiente para conseguir pacotes salariais de US$ 1 milhão ou mais, Relatórios de fortuna. Para avançar, Guttmann aconselha CISOs em potencial a atualizar sua educação empresarial, participar de eventos do setor e participar de oportunidades de networking local.

“O CISO que faz questão de entender a cultura organizacional, as ameaças ao seu negócio, criando critérios adequados para pilotos de produtos, tempo de implementação, dependências do sistema e requisitos operacionais de longo prazo vale seu peso em ouro”, acrescenta Guttmann. “O CISO que pode agregar esses dados para as partes interessadas e executivos e obter o apoio e o financiamento vale diamantes”.

By Ortega

Leave a Reply

Your email address will not be published. Required fields are marked *