Home > Carreira

10 práticas que podem colocar um fim na sua carreira em segurança

Violações podem causar demissão dos CISOs. Mas há outras decisões que podem minar a sua carreira

Mary K. Pratt, CIO (EUA)

21/11/2019 às 11h47

Foto: Shutterstock

A maioria dos CISOs não espera que uma violação cause a sua demissão. Apenas 6,8% dos 207 CISOs entrevistados ​​pela Osterman Research para o relatório "Life Inside the Perimeter: Understanding the Modern CISO" acreditam que uma violação de segurança significativa levaria à sua demissão. Já 21,7% acreditam que receberiam uma advertência oficial. Mas a maioria dos CISOs - 56% - dizem que seus colegas viriam em seu auxílio e os ajudariam a resolver o problema.

Os CISOs, no entanto, reconhecem que ainda há muito o que aprender. O mesmo estudo, por exemplo, constatou que 55% dos CISOs ​​classificaram o seu tempo médio de atuação em cada empresa como menor de três anos, e 30% disseram permanecer na posição em cada organização por menos de dois - O Departamento do Trabalho dos EUA diz que a média é de 4,2 anos.

É difícil determinar quanto dessa rotatividade é voluntária. Muitos CISOs certamente acabam deixando as empresas por conta própria. Mas os consultores executivos relatam (e alguns casos de alto nível provam) que outros são pressionados por várias razões e alguns são, de fato, demitidos. O que, então, pode levar a tais resultados, se uma violação não é o que causa a demissão de um CISO?

Aqui, os especialistas compartilham 10 situações que podem ser determinantes para prejudicar a sua carreira.

Deixar de falar em termos executivos

A cibersegurança agora é um item das pautas da diretoria, com todo o C-suite esperando informações mais detalhadas dos CISOs sobre os pontos fortes da postura de segurança, suas fraquezas, planos de melhoria e como tudo isso se encaixa na estratégia geral da empresa. No entanto, muitos CISOs ainda sobem para essa função por meio de uma série de posições técnicas, deixando-os inadequadamente preparados para fazer apresentações em nível estratégico.

"Eles não foram orientados ou preparados para falar com os níveis mais altos da organização", diz Darrell Keeling, vice-presidente de segurança da informação da Parkview Health e professor adjunto da Universidade Carnegie Mellon.

"Alguns CISOs optam por deixar o CIO, CTO ou outro executivo presente falar em seu nome, o que adiciona uma camada alienante entre o conselho e o CISO. Então, quando algo acontece, percebe-se que o CISO não foi transparente com o conselho."

Encobrindo más notícias

Keeling afirma que vê outro problema com os CISOs enquanto trabalham com seus colegas executivos e com o conselho: eles podem encobrir os problemas. Keeling diz que viu os CISOs apresentarem apenas as métricas positivas em seus conselhos. Alguns CISOs podem fazer isso porque não querem parecer incompetentes, ou podem pensar erroneamente que os desafios entram em discussões técnicas para além do escopo do conselho.

"Seja qual for o motivo, os CISOs podem começar a pensar 'não posso contar isso ao conselho, ou não posso dizer a eles'", acrescenta. Eles podem não ser especialistas em segurança, mas os membros do conselho sabem que a segurança organizacional é mais complexa do que um painel de métricas. E eles provavelmente perderão a confiança em qualquer CISO que não possa ser transparente ao entregar relatórios.

“O conselho não quer que lhe digam que tudo está ótimo. Você deve ser capaz de dizer a eles a realidade da organização. Você precisa fazer uma avaliação honesta e dar a eles a confiança de que tem um plano para seguir em frente”, afirma Keeling.

Surpreendendo o chefe

O CEO, juntamente com qualquer outro executivo que supervisiona direta ou indiretamente a função de segurança, não gosta de surpresas. Eles não querem ser surpreendidos por um ataque que o CISO não avisou que era possível ou por uma necessidade imediata de grandes despesas - especialmente se esses problemas surgirem pela primeira vez em uma reunião do conselho ou em algum outro fórum.

"O CEO realmente não quer aprender sobre as necessidades de segurança dessa maneira", declara John Pescatore, diretor de tendências emergentes de segurança do SANS Institute, organização de treinamento em segurança cibernética.

Trabalhar sozinho

Para Mansur Hasib, presidente do programa de tecnologia de segurança cibernética da Escola de Pós-Graduação da Universidade de MarylandOs, os CISOs podem sentir que estão mostrando problemas que ninguém se importa. Nesses casos, eles podem estar em desacordo com outros líderes empresariais.

Hasib reconhece que é uma situação difícil defender um caminho ético quando os outros não se importam tanto com o assunto. Ele aconselha os executivos de segurança nessas situações a deixar a empresa antes que a sua própria reputação sofra as consequências. Melhor ainda, os CISOs podem tentar determinar a posição ética de uma organização antes de assumir o cargo, fazendo perguntas sobre os principais valores da empresa e dos executivos durante o processo seletivo.

Ser o departamento do "não"

Por outro lado, os CISOs que desejam manter seus postos não podem permitir que preocupações com segurança sejam um impedimento ao crescimento dos negócios. “Existem grupos de segurança dizendo: 'Não podemos garantir que a [nova iniciativa de negócios proposta] seja segura. Essa é outra questão em que os CISOs são vistos como um impedimento ao sucesso dos negócios, onde eles apenas levantam objeções em vez de encontrar soluções”, observa Pescatore.

Negligenciando alertas

Embora a maioria dos CISOs não espere ser demitida se ocorrer uma violação, eles podem esperar problemas se negligenciarem os alertas. Os CISOs que subestimam os riscos que a empresa enfrenta são frequentemente demitidos. Mesmo que os problemas sejam contidos, o CEO e o conselho podem perder a confiança no trabalho do CISO.

Imitando os concorrentes

A equipe executiva e os membros do conselho têm a chance de avaliar os seus programas de segurança e a sua liderança quando problemas semelhantes atingem várias organizações. Portanto, qualquer CISO que busque imitar os concorrentes ou empresas similares na restauração dos serviços descobrirá que será chamado a prestar contas. "Você será demitido porque a empresa perdeu mais do que os concorrentes atingidos pelo mesmo problema", alerta Pescatore.

Assumindo o cargo para ser o bode expiatório

Um CISO que assumir o cargo em uma empresa em que a posição é rebaixada alguns níveis no organograma deve considerar os seus dias contados. Segundo Hasib, a sua pesquisa descobriu que essas organizações querem que alguém assuma o lugar de culpado quando algo inevitavelmente der errado. “Muitas pessoas não olham para o organograma, mas é o determinante mais importante de como a segurança é vista. Algumas organizações propositalmente contratam alguém para ser o bode expiatório”, diz Hasib, explicando que onde o CISO se encontra na estrutura executiva indica se a empresa vê a segurança como um facilitador de negócios ou simplesmente como um centro de gastos.

Permitindo um ambiente de trabalho hostil

Os números são sombrios: de acordo com um relatório de 2019, as mulheres representam apenas cerca de um quarto da força de trabalho em segurança cibernética. Além disso, outro levantamento constatou uma representação de apenas 26% de minorias raciais e étnicas no setor. Pescatore afirma que alguns departamentos de segurança mantêm uma cultura hostil. Se esse ainda é o caso de algum CISO, ele pode esperar que o CEO e o conselho busquem melhorias, mudando a liderança.

Falha ao criar a equipe certa

Nenhum CISO pode fazer tudo, e quem tentar se sentirá sobrecarregado, colocando em risco a segurança da organização e dificultando a sua própria carreira. “Se eles não se cercarem de pessoas fortes que têm o conhecimento para fazer a coisa certa, não terão sucesso. Portanto, o CISO deve ter o poder de contratar as pessoas certas”, declara Hasib. Hasib diz, ainda, que percebe alguns CISOs enfatizando demais as soluções de segurança baseadas em tecnologia, em vez de equilibrar a tecnologia com as partes do processo e dos talentos. Para os especialistas, os CISOs devem priorizar a criação de uma equipe de primeira linha se quiserem contar com profissionais de segurança qualificados nos dias de alta demanda.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail