Home > Carreira

4 habilidades que CISOs precisam ter para alcançar o sucesso

O CISO moderno não é mais apenas um chefe de departamento. Confira o que esse talento precisa ter para ser bem-sucedido

Maxim Frolov*

21/05/2019 às 14h31

Foto: Shutterstock

Conforme os riscos cibernéticos se tornam um problema para as empresas, a função do diretor de segurança de informações (Chief Information Security Officers – CISOs) na organização acabou mudando. O CISO moderno não é mais apenas um chefe de departamento, responsável pela implementação e pelo gerenciamento de controles de segurança e que precisa garantir que todas as estações de trabalho tenham a versão mais recente da solução de segurança ou garantir que as portas críticas não estejam expostas à internet. Não é mais adequado dizer que a empresa é a mais segura do mundo, pois isso pode atrapalhar o progresso e a lucratividade.

Sendo um C-level, sua função hoje consiste em dois elementos cruciais e igualmente importantes: primeiro, permitir que a organização alcance seus objetivos de negócios, como lançar produtos melhores e mais rápido que a concorrência, parecer atraente para os acionistas e aumentar a receita; e segundo, ser um profissional de cibersegurança e minimizar os riscos de ciberataques capazes de ameaçar os negócios. Para conseguir esse equilíbrio, é preciso não apenas excelente conhecimento da segurança e das últimas tendências tecnológicas, mas também uma série de ‘habilidades subjetivas’, que não podem ser naturais para quem começou a carreira no departamento de TI.

Para ajudar os CISOs a ter êxito em suas funções, é preciso focar em quatro habilidades principais:

1. Tato comercial

Antigamente, o CISO era responsável por desenvolver um plano de defesa baseado no cenário de TI da empresa. Essa estratégia não é mais suficiente e a abordagem moderna precisa estar alinhada com a visão de negócios da organização. Por isso, quase todas as vagas para CISOs anunciadas no Glassdoor e em outros sites exigem não apenas conhecimentos profundos em segurança de TI e uma lista de certificações, mas também uma mentalidade de negócios.

Como resultado, os CISOs não podem descartar ou proibir a tecnologia que a empresa deseja implementar. Eles precisam avaliar os riscos associados à ela e propor a estratégia mais segura que não impeça o progresso da organização. Se a equipe precisa acessar recursos corporativos em seus dispositivos, o CISO deve implementar uma política bring your own device (BYOD).

Nas palavras de um CISO atuante, a prática recomendada envolve aconselhar que outras pessoas se tornem gerentes de riscos, além de oferecer assistência e orientações para a empresa, ou seja, antes de introduzir qualquer nova tecnologia em qualquer departamento, costumo fazer reuniões com os departamentos para garantir que as mudanças não entrem em conflito com nossas normas de segurança. Então, implementamos as mudanças necessárias de maneira a obter uma integração apropriada com a nossa rede.

2. Habilidades de comunicação e apresentação

O papel do executivo pede que ele interaja com outros altos executivos e a diretoria. Mas, como pouquíssimos altos executivos têm conhecimentos de segurança, isso pode ser um desafio. O CISO deve desenvolver sua retórica a fim de garantir que a diretoria entenda a gravidade dos riscos, especialmente se você costuma usar os jargões da TI.

Embora a capacidade de apresentar ideias complexas de maneira fácil de entender seja um clichê das vagas de emprego, a capacidade de traduzir a linguagem de cibersegurança em termos de negócios pode solucionar este ruído na comunicação. Ela também pode ser útil em relação à principal dificuldade de todos os CISOs: a justificativa do orçamento de segurança de TI.

Como o orçamento muitas vezes engloba as despesas de TI em geral, o dinheiro pode ser priorizado para os projetos de TI que demonstram lucros comerciais e retorno de investimento claros. As habilidades de comunicação, como a capacidade de adaptar as informações para um público não técnico e a elaboração de argumentos sólidos (multas por não conformidade, prejuízos causados ataques anteriores, relatórios de violações), podem provar que os benefícios são muito maiores que os custos.

3. Habilidades de gerenciamento de crises

Segundo nosso relatório, 86% dos CISOs entrevistados acham que as violações de cibersegurança acontecerão mais cedo ou mais tarde, o que significa que as empresas não devem ignorar os riscos e precisam estar preparadas para elas. Todos os escritórios têm um procedimento de evacuação que deve ser seguido em caso de incêndio. Da mesma forma, a empresa deve ter um manual de cibersegurança caso ocorra uma violação, pois o pânico e a desorganização só pioram a situação.

Os planos de ação não se limitam a mudar as senhas afetadas ou recuperar os sistemas. Para eliminar o ataque rapidamente, é essencial descobrir quem é o responsável por determinadas ações e identificar os principais contatos de outros departamentos para informá-los imediatamente. Isso pode incluir as equipes jurídica, de comunicação ou as que estão cuidam da conta de determinados clientes que, por sua vez, poderão participar da solução da crise. Se ocorrer uma violação, é fundamental que o CISO esteja ciente de tudo durante todo o incidente e atue como elo entre todos os envolvidos, coordene as atividades de resposta à incidentes da equipe de segurança de informações, informe a empresa e recomende a melhor maneira de resolver a situação.

4. Supervisão e liderança

Para se ter uma ideia, 62% dos CISOs concordam que há uma escassez de talentos na área de cibersegurança, por isso é cada vez mais difícil encontrar novos especialistas. No entanto, essa é apenas a ponta do iceberg e a principal causa de preocupação é a retenção de funcionários. Com a falta de especialistas em segurança, os profissionais têm muitas ofertas de head hunters e de vaga quando decidem mudar de trabalho. O déficit da força de trabalho também aumenta a carga sobre as equipes atuais, causando aborrecimentos adicionais para os administradores de segurança. Com uma abundância de tarefas redundantes e rotineiras, será que o esgotamento é tão inevitável quanto o crime cibernético?

Os CISOs têm influência direta sobre as equipes de segurança; por isso, devem ser líderes que as pessoas podem seguir, guias capazes de dar apoio à equipe e encontrar maneiras de motivar os funcionários. A motivação não se limita a incentivos financeiros; ela pode incluir a outorga de mais poder na tomada de decisões, possibilidades de aprendizado e desenvolvimento profissional (por exemplo, presença e participação em conferências do setor), e até o simples reconhecimento do empenho do funcionário no trabalho. O que funciona perfeitamente para uma pessoa pode não ser adequado para outra, então, para ser um gerente eficiente, o CISO deve escolher o incentivo ou a fonte de motivação ideal para cada pessoa da equipe.

É claro que a função do CISO é desafiadora, pois requer uma combinação única de habilidades pessoais subjetivas com sólidas capacidades técnicas. Para ser eficaz, o CISO deve desenvolver qualidades de gestão e liderança, ampla compreensão da TI, uma mentalidade corporativa e conhecimentos de cibersegurança.

Embora as qualificações técnicas formem a base da função, os principais fatores continuarão afetando o balanço das habilidades que serão necessárias no futuro. Por exemplo, o crescimento das ferramentas de defesa com Inteligência Artificial irão auxiliar na luta contra o crime cibernético, mas não precisa significar que os robôs vão ocupar nossos lugares, pois eles não conseguem aprender as habilidades subjetivas que mencionamos. Talvez chegue o dia em que as máquinas conheçam a cibersegurança melhor do que qualquer pessoa e consigam solucionar tarefas técnicas, mas se os CISOs tiverem habilidades subjetivas, como a de gerenciar equipes e o tempo, além do tato comercial, suas funções continuarão sendo necessárias para as empresas do futuro.

*Maxim Frolov é vice-presidente de vendas globais da Kaspersky Lab

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail