Home > Carreira

CISO interino? O que você precisa para se tornar um

Ser um CISO interino tem muitas das mesmas demandas das funções permanentes de liderança em segurança, mas também possui seus próprios desafios

Dan Swinhoe, CSO (EUA)

02/12/2019 às 12h00

Foto: Shutterstock

Sejam provisórias ou virtuais, as funções de CISOs interinos estão se tornando mais comuns. Eles ajudam a preencher uma lacuna para empresas inseguras ou incapazes de encontrar o que precisam permanentemente, oferecendo benefícios a profissionais de segurança experientes que desejam mais variedade na carreira.

Essas funções temporárias oferecem muitos dos mesmos desafios enfrentados pelos CISOs permanentes, mas também trazem desafios exclusivos para quem assumem o cargo e exigem habilidades e características diferentes.

O papel do CISO interino

Algumas empresas estão terceirizando a principal função de segurança com a contratação de um CISO virtual (vCISO), CISO como serviço ou por meio de outra organização. Um estudo recente do ESG sugeriu que as funções não permanentes para os CISOs estão se tornando mais atraentes, com 21% dos profissionais entrevistados dizendo que estão pensando em assumir o cargo. Outros 33% estão abertos a se tornar um CISO virtual no futuro. Os CISOs interinos atuam de várias formas. Eles podem ajudar a configurar um projeto ou iniciativa em particular, como a implementação de uma estrutura ISO 27001, a criação de uma função de segurança ou a lidar com as consequências de um incidente ou auditoria de segurança.

Às vezes, os CISOs interinos são chamados no intervalo entre duas contratações permanentes. Esses profissionais geralmente são muito disputados, e o processo de recrutamento pode levar meses. Enquanto isso, as operações de segurança de uma empresa não podem ficar paradas, o CISO temporário pode manter a segurança entre e ainda ajudar no processo seletivo.

Leia mais na IT Trends

Os CISOs interinos e os vCISOs podem trabalhar com qualquer número de clientes. James Drake, consultor sênior de serviços profissionais da Optiv, geralmente trabalha como CISO provisório para vários clientes ao mesmo tempo. Além de analisar amplamente a estratégia de segurança, Drake está frequentemente envolvido na reformulação das metodologias de gerenciamento de riscos para as empresas. “Depende do tamanho da organização também. Muitas vezes, existem empresas que talvez não possam pagar um CISO em tempo integral, mas estão procurando alguém para colocá-las no caminho certo.”

Qual é o apelo de ser um CISO interino?

Embora alguns dos elementos do dia a dia do trabalho possam ser os mesmos, trabalhar para empresas diferentes pode significar enfrentar uma variedade de ameaças e desafios, e isso também pode proporcionar um benefício profissional.

“É interessante poder passar de uma empresa no setor de energia e lidar com infraestrutura nacional, depois empregar a minha experiência nos setores de varejo ou lazer”, declara Drake. “Isso expande o meu conhecimento e experiência e oferece uma visão muito mais holística do cenário de ameaças e como isso afeta os negócios em geral."

Outro benefício é que, como o relacionamento é muito mais transacional do que um compromisso permanente, os interinos podem se concentrar nas tarefas em questão e evitar alguns dos elementos mundanos de lidar com a política organizacional.

“Eu acho que é um relacionamento muito mais direto, essencialmente. Você tem um problema; você está me pagando para vir e dar conselhos”, diz Richard Brinson, fundador da agência de consultoria Savanti. "Você pode ser muito aberto com as pessoas, porque todo mundo sabe que você não está lá tentando subir na carreira."

“Quando você passa por aí e vê muitas organizações diferentes, como as culturas funcionam e como isso se manifesta, e o que elas fazem bem e o que elas não fazem tão bem, você obtém um entendimento muito bom de como tirar as melhores partes e juntar”, acrescenta Brinson. "Acho que aprendi mais nos últimos quatro anos do que em qualquer outro período da minha vida."

Como em qualquer função, ser interino acarreta estresse, mas Brinson diz que a necessidade de fornecer retorno do investimento rapidamente pode tornar a função ainda mais desafiadora e cansativa. “É um daqueles papéis em que você nunca pode ter um dia ruim. A cada ligação que você fizer, há mais pressão sobre você. Você tem que estar na sua função o tempo todo, e isso vem com as suas próprias pressões.”

Os CISOs interinos precisam de habilidades

Embora as competências essenciais dos CISOs interinos sejam semelhantes às dos seus pares permanentes, os profissionais temporários precisem ser capazes de pensar e agir rapidamente para demonstrar o seu valor. Isso ocorre porque a posse de um CISO provisório geralmente depende do projeto para o qual foi contratado.

Eles também precisam ser capazes de entender o panorama geral dos negócios e descobrir como a segurança se encaixa nesses aspectos. “Quando você contrata um interino, pode ser uma jornada muito rápida desde a discussão inicial até o início do trabalho. Você pode estar falando sobre algumas semanas, enquanto a contratação de um CISO leva seis, nove, 12 meses. Durante esse período, eles conhecem bem a organização e já podem ter muitas ideias [quando chegam]”, explica Brinson.

“Entrando como provisório, é muito provável que você entre no clima e precise entender rapidamente quem são as partes interessadas, quais são as necessidades da organização, quais problemas estão enfrentando. Você não vai longe se não conseguir resultados ou demonstrar o seu valor rapidamente.”

Como qualquer CISO permanente, é importante ser perspicaz nos negócios para entender quais controles, políticas e tecnologias funcionariam ou não para a empresa.

“Eu poderia entrar em uma empresa e oferecer produtos 'top right' do tempo todo”, revela Drake, “mas isso fornece algum benefício real para a empresa? Identificar as ferramentas e tecnologias corretas, mas vinculá-las e torná-las eficientes e econômicas para os negócios, é um papel muito importante do CISO provisório."

Cada empresa é única, o que significa que é impossível entrar com um plano pronto para todas. Por outro lado, mudar de empresa para empresa regularmente permite que os interessados ​​desenvolvam um modelo aproximado que pode ser adaptado para se adequar a diferentes ambientes e culturas. Assim como a capacidade de identificar os problemas e soluções de negócios e tecnologia em um curto espaço de tempo, os interinos precisam conquistar os corações e as mentes das equipes com as quais trabalharão em um cronograma acelerado.

“Diplomacia e compreensão das pessoas são duas características muito importantes de um CISO interino. A capacidade de desenvolver um bom relacionamento de trabalho com as pessoas em um espaço de tempo muito curto é fundamental”, acrescenta Drake. “Um CISO em tempo integral teria tempo para se integrar a uma organização e desenvolver esses relacionamentos ao longo do tempo. Um CISO provisório não tem esse luxo.”

Além de ser gentil, Brinson sugere que os interinos aceitem que nem todos na empresa sejam acolhedores ou receptivos às suas ideias, já que eles podem apenas considerá-lo um consultor. “É bastante raro, mas há pessoas que simplesmente não confiarão ou não serão tão engajadas quanto seriam se você fosse um CISO permanente.”

O que as empresas precisam saber sobre CISOs interinos

Para um engajamento bem-sucedido, o CISO e a empresa precisam estar na mesma página. Ambas as partes precisam discutir e concordar em como vão implementar a mudança.

Como as empresas geralmente buscam um CISO provisório após um evento negativo, como uma violação, ou estão buscando novos programas de segurança e mudam a maneira como abordam a segurança, algumas podem não gostar da ideia de saber quanto trabalho há para ser feito. No entanto, as empresas devem entender que existe um profissional temporário para ajudar e, portanto, ele deve receber todo o auxílio possível.

“Eu acho que muitas organizações tendem a ser bastante cautelosas ao bater na superfície e abrir a caixa da Pandora”, diz Drake, “porque assim que você começa a identificar riscos e vulnerabilidades, e de repente você se torna responsável por esses riscos. Permita que o CISO faça o seu trabalho. Permita que ele se integre aos negócios, ofereça flexibilidade e capacite o CISO para que ele possa fazer o seu trabalho e fornecer recomendações sem impedimentos.”

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail