*Umberto Rosti
O CISO ou o diretor de segurança da informação é uma posição relativamente nova na diretoria e foi somente nos últimos 10 anos que a função ganhou maior destaque, provavelmente por causa do aumento de violações cibernéticas na última década.
As funções e responsabilidades do CISO não são tão claras quanto algumas das funções mais estabelecidas do C-suite. Isso se deve em grande parte à sobreposição (ou competição, alguns podem dizer) com alguns outros papéis semelhantes. O diretor de segurança, o diretor de informação e até mesmo o diretor de tecnologia ou o diretor de risco da informação podem ser funções concorrentes. Para complicar as coisas, não existe uma estrutura de relatórios uniforme para a posição do CISO em todo o setor. Em alguns casos, o CISO se reporta diretamente ao CEO. Em outros, eles se reportam a um CIO.
Parte dessa confusão pode vir da ideia de que a função deve ser baseada em tecnologia. Na prática, o gerenciamento da segurança da informação não é um problema puramente tecnológico. Se não se trata apenas de tecnologia, o que se precisa para ser um CISO? Até que ponto sua função é baseada em tecnologia? Até que ponto eles se concentram nos negócios? Em pessoas? Eles exigem alguma habilidade especial do CISO e técnicas de liderança?
As habilidades necessárias para ser um CISO bem-sucedido, na verdade, exige uma mistura de talentos. Eles variam de resposta a incidentes, resiliência de negócios, pensamento intuitivo, gerenciar sua equipe, servir como um consultor confiável e ser a voz da razão. Essa mistura de habilidades torna uma tarefa difícil de preencher e ter sucesso.
Todos esses desafios significam muita responsabilidade e um grande impacto. Um CISO com as habilidades certas pode revisar a forma como seu grupo pode lidar com a segurança e os negócios.
Conforme a função evolui, o CISO assume responsabilidades cada vez maiores. Pelo menos, em teoria, eles deveriam agora ter um papel mais proeminente dentro da organização do que na década de 90.
Então, o que um CISO precisa para ter sucesso hoje? Acabando com o mito: o CISO não precisa ser um gênio da tecnologia
Pode parecer óbvio que um CISO precisa ser incrível no manuseio de tecnologia, mas nem sempre isso é o que você mais precisa para ter sucesso na função. Claro, é importante poder conversar por falar com sua equipe técnica. Você precisa entender o que eles estão fazendo, mas essa é apenas uma peça de um quebra-cabeça muito maior.
Lembre-se de que este é um papel de liderança. O CISO precisa ter um bom conhecimento da área, mas não precisa ser do tipo “mãos no teclado”. O sucesso requer que você tenha um grande portfolio de habilidades não técnicas à mão.
O que é preciso para ser um CISO hoje
- Uma compreensão das operações de negócios e o que faz a organização funcionar.
- Habilidades superiores de comunicação com uma variedade de partes interessadas, especialmente com o C-suite.
- Um forte conhecimento das operações de segurança, incluindo alterá-las ou até mesmo criá-las, se necessário. Isso vai além da segurança virtual para a segurança física também.
- Habilidades de gerenciamento de programas, pelo menos porque esta posição tem tantas partes móveis e requer alguém que saiba fazer malabarismos.
- Conhecimento de segurança cibernética, para que possam gerenciar adequadamente questões de inteligência de ameaças, gerenciamento de identidade e acesso, perda e prevenção de dados, investigações e forense e tecnologia de monitoramento e automação, como SIEM e SOAR.
- O suficiente de um histórico de arquitetura de TI e segurança para que possam navegar pelas necessidades financeiras e de manutenção de qualquer programa de segurança da informação.
- Habilidades de recuperação de desastres e continuidade de negócios, tanto para planejamento pré e pós-evento.
- Um forte conhecimento de questões de governança, risco e conformidade e até mesmo questões legais, que serão muito úteis para a criação e manutenção de políticas e procedimentos.
- A gestão de recursos humanos, que pode ser muito importante para a educação e o treinamento.
Essa é uma lista bastante impressionante e extensa, mas aqui está o chute: você pode encontrar alguém que tenha todas essas habilidades, e ela pode falhar em sua função se não possuir mais algumas.
Em uma pesquisa de 2019 da PwC e da Harvard Business Review Analytic Services, 63% dos entrevistados disseram que a cultura estará entre as cinco principais responsabilidades do CISO em três anos. Isso significa que um CISO provavelmente gastará menos tempo em questões relacionadas à tecnologia e mais tempo empregando suas habilidades sociais. Primeiro, eles precisam tentar convencer o conselho a fazer investimentos em segurança cibernética. Em segundo lugar, eles descobrirão quais serão as melhores técnicas de gerenciamento de mudança.
Um programa de segurança da informação bem-sucedido exigirá duas coisas: adesão da liderança executiva e adesão do restante da equipe. Então, como você faria para conseguir essa adesão?
Quando se trata de liderança executiva, você precisa falar a língua deles. Você precisa transmitir como suas decisões ajudam os negócios e, mais recentemente, como elas afetam o risco e a resiliência. Se a sua abordagem para conquistar essas pessoas é uma coletânea de relatórios de inteligência de ameaças, avaliações de vulnerabilidade e avisos do setor, não espere ir muito longe. A chave para o seu sucesso com este grupo de partes interessadas repousa exclusivamente no talento do CISO para traduzir esses relatórios, avaliações e avisos em ações. Isso significa que você precisa mostrar como seu trabalho economizará dinheiro para o grupo (por exemplo, por meio de uma estratégia de mitigação de risco) ou gerará um retorno sobre o investimento.
Se você puder demonstrar valor tangível para o grupo executivo, eles estarão mais propensos a apoiar seus esforços.
Mas conquistar o conselho e o restante da diretoria é a tarefa mais fácil dos dois grupos de buy-in. Conquistar o resto requer algumas habilidades sérias no campo do gerenciamento de mudanças.
O gerenciamento de mudanças é difícil. Cursos e livros didáticos inteiros são dedicados ao assunto. Todos os tipos de equipes, pequenas e grandes, se empenham em como implementá-lo na prática. Aqui está a primeira coisa que você deve saber sobre gerenciamento de mudança: não há uma maneira infalível de fazer isso. Muito disso depende da cultura existente e de qual é a visão pretendida. Mas existem alguns princípios sólidos que podem ser seguidos.
Em primeiro lugar, não se perca nos detalhes logo de cara. Com isso dito, não se esqueça do planejamento também. Se quiser fazer alterações, você realmente precisa saber os detalhes. É apenas uma questão de quando focar neles. Tenha-os prontos no bolso de trás, fora do portão, da melhor maneira possível. Alguém pode perguntar a você quais são esses detalhes e, se você não estiver pronto, poderá se encontrar tropeçando de uma maneira difícil de se recuperar.
Mas, no que um CISO deve se concentrar primeiro para ter sucesso? Bem, não tem nada a ver com tecnologia. Tem tudo a ver com psicologia e inteligência emocional. E acima de tudo: tudo começa de cima. Se houver algum tipo de mudança cultural ocorrendo, as pessoas recorrerão ao CISO. Se os funcionários virem palavras e não ações, haverá um impacto profundo; exceto, esse impacto não será o tipo que o CISO está procurando. A dissonância cognitiva é algo real que pode apagar seus melhores planos.
Simplificando, dissonância cognitiva significa que as pessoas ficam desconfortáveis quando suas crenças não correspondem às suas ações ou com as ações que são solicitadas a realizar. Isso significa que se, como líder, você pede a alguém para fazer algo com o qual não concorda, espere algum tipo de resistência. Isso é particularmente importante no espaço da segurança cibernética, porque os funcionários costumam ser o elo mais fraco da cadeia de segurança.
É fundamental que o CISO seja capaz de responder às seguintes questões, com especificidade:
- O que está sendo feito?
- Por que isso está sendo feito?
- Qual é o resultado de não fazer isso?
- Como isso afeta os negócios?
- Como isso afeta os funcionários?
Portanto, antes que o CISO faça qualquer plano relacionado ao programa de segurança, ele precisa primeiro identificar as fontes de resistência, incluindo as suas próprias. Eles também devem ter em mente as quatro dimensões da inteligência emocional: autoconsciência, autogestão, consciência social e gestão social.
Ser um bom CISO requer talentos que vão muito além da arena técnica. Nesse campo dinâmico, o CISO deve ser dinâmico e diversificado também em suas habilidades. O CISO usa tantos chapéus, e muitos mais do que eles teriam até alguns anos atrás. Habilidades técnicas são importantes e podem lhe dar o emprego, mas se você quiser ter sucesso, esteja pronto para sair da sua zona de conforto.
Lembre-se das habilidades pessoais, ainda mais quando você tiver a habilidade técnica para apoiá-las. Se você puder empregar algumas das sugestões acima e completar seu jogo nas arenas de negócios e pessoal, seu próximo cargo depois de CISO pode ser CEO.
*Umberto Rosti é Chairman da Safeway
A [SAFEWAY] pode ajudar a sua organização a definir os controles necessário para proteção dos dados pessoais através da validação do nível de aderência e maturidade aos requisitos do GDPR (Regulamento Geral de Proteção de Dados) e LGPD (Lei Geral de Proteção de Dados) considerando o ambiente de negócio ao qual está inserido e identificando os principais planos de ações para o cumprimento aos regulatórios, visando melhorias no processo e ganhos para a organização.
