Home > Gestão

O novo manual do CISO: 5 regras a seguir

A privacidade e os novos requisitos regulamentares, a amplitude das ameaças e o mau comportamento dos funcionários exigem mais diretores de segurança

Stacy Collett, CIO/EUA

08/02/2019 às 10h42

Foto: Shutterstock

Quando Michelle Stewart foi contratada em agosto de 2017 como CISO na RentPath, uma empresa de marketing digital para a indústria de aluguel de imóveis, ela sabia que tinha que adicionar algumas novas regras ao seu manual de CISO. Os tempos mudaram desde que ela assumiu um novo cargo de liderança em segurança. Antes considerado um trabalho de tecnologia, o CISO de hoje deve ser um facilitador de negócios que possa comunicar para as demais áreas o valor das iniciativas de segurança.

Muitos dos primeiros passos e melhores práticas fundamentais que um novo CISO deve tomar para rapidamente se tornar um líder de segurança eficaz não mudaram muito nos últimos anos. Primeiro, eles devem avaliar a situação de segurança, desenvolver uma boa equipe e construir relacionamentos e credibilidade com líderes e executivos. Mas algumas dessas regras tradicionais agora vêm com ressalvas.

“Agora os CISOs estão tendo que exercitar diferentes músculos, trabalhar com um conjunto mais amplo de interessados ​​e construir uma equipe cada vez mais diversificada para lidar com diferentes áreas de interesse”, diz Jamey Cummings, um cliente sênior e parceiro que co-lidera a prática global de segurança cibernética da Korn Ferry.

Eles também precisam da visão de negócios para se comunicar com a diretoria. Até 2020, 100% das grandes empresas serão solicitadas a relatar ao conselho de administração sobre riscos de segurança e tecnologia pelo menos uma vez por ano, contra 40% das organizações em 2018, de acordo com o Gartner.

Além disso, as necessidades de segurança cibernética e de informação estão cada vez mais diversificadas pela indústria. No ambiente atual, “você precisa dedicar mais tempo à compreensão do setor em que atua, da direção estratégica e das prioridades de negócios da empresa”, diz Aileen Alexander, outro  cliente sênior que lidera a prática global de segurança cibernética da Korn Ferry junto com Cummings.

Os CISOs que realizaram com sucesso a transição para uma nova empresa, juntamente com especialistas do setor, oferecem cinco regras que devem fazer parte de todos os novos manuais de segurança.

1. Realize uma avaliação de maturidade da segurança

A advertência: não deixe que 'perfeito' atrapalhe o 'bom o suficiente'.

Uma das primeiras tarefas de qualquer novo CISO é avaliar os esforços de segurança da organização. Isso implica determinar primeiro o estado de cibersegurança e o risco existente da organização e, em seguida, fazer um inventário dos ativos críticos e determinar como eles devem ser protegidos.

Quando Stewart iniciou seu trabalho de CISO na RentPath, ela levou os primeiros 60 dias para fazer uma avaliação de avaliação e maturidade do estado atual para identificar lacunas de segurança e priorizá-las. "Isso realmente dá a você uma visão melhor do cenário", diz ela, mas pode se tornar esmagadora quando você acha que tudo precisa ser feito no primeiro ano, diz ela.

"Certifique-se de que 'perfeito' não acabe sendo o inimigo do 'bom o suficiente'", diz ela. Este ano, ela foi capaz de racionalizar porque alguns itens não foram concluídos em 2018 e gerenciar suas expectativas, dado o investimento e os recursos disponíveis.

2. Entregue vitórias rápidas para estabelecer credibilidade

A advertência : Às vezes é necessário que elas surjam mesmo antes do estabelecimento das bases de relacionamento.

Os novos CISOs geralmente passam seus primeiros meses conhecendo colegas, realizando reuniões de departamento e “deixando as pessoas saberem que você existe”, escreve Justin Fimlaid, ex-CISO e agora fundador e CEO da NuHarbor Security, uma empresa de serviços de segurança da informação “Use esse tempo para construir capital político ouvindo seus colegas, demonstrando empatia e, mais importante, reunindo suas metas e objetivos para ajudá-los a ter sucesso.”

Taylor Lehmann imaginou um cenário semelhante quando assumiu a posição de CISO na Wellforce em junho de 2017, mas aprendeu que às vezes você não pode ter uma conversa cuidadosa sobre ameaças de segurança cibernética até resolver “os principais problemas técnicos mais urgentes”, diz.

Em seus primeiros 90 dias na Wellforce, Lehmann abordou três questões relacionadas à segurança que estavam alarmando o departamento de TI, incluindo correção de autenticação de dois fatores e acesso remoto. “Ninguém queria falar sobre segurança até que essas coisas fossem resolvidas”, diz Lehmann. “A realidade é que, quando você entra nessa reunião com o CEO, ele pergunta. 'Por que isso ainda não está consertado?'  é impossível obter apoio para a direção estratégica traçada e convencer da importância do seu papel". Tente encontrar as vitórias rápidas que criem valor imediatamente e, em seguida, use esses momentos ”para avançar sua agenda, diz ele.

3. Construa relacionamentos com as áreas de negócios e os principais interessados

A advertência: Adicione recursos humanos e jurídico, para endereçar conformidade, privacidade e análise de riscos.

À medida que novas leis e regulamentos de privacidade tomam forma em diversos países, incluindo o Brasil, o papel do CISO evolui para incluir privacidade, risco à informação e risco corporativo. "O RH tem que estar na vanguarda da proteção da privacidade dos funcionários, e o jurídico está olhando para a conformidade e o Regulamento Geral de Proteção de Dados (GDPR) da UE . Esses são alguns dos principais interessados ​​que no passado não teriam sido proeminentes, mas com os quais será preciso estar bastante interconectado com eles para ter certeza de equilibrar risco, segurança e privacidade ", diz Cummings.

Dois terços dos 250 CISOs e chefes de segurança de TI entrevistados pela Kaspersky Labs trabalham em conjunto com o departamento jurídico como resultado de novos regulamentos de conformidade. Cerca de 43% dos CISOs dizem que seu relacionamento com o RH também é importante, especialmente em questões de gerenciamento de identidade e acesso. Algumas empresas também têm diretores-chefe de privacidade, o que seria outro relacionamento importante para os CISOs, acrescenta Cummings.

Esta é também uma grande oportunidade para os novos CISOs se tornarem especialistas em questões legais e de conformidade em seus setores, já que estes temas se relacionam cada vez mais com a segurança cibernética, afirma John Cunningham, CISO e CIO da Docupace Technologies em Los Angeles. “Se você tem um assessoria de conformidade, faça dela sua nova melhor amiga. Aprenda tudo o que puder, mas, em seguida, divida esses regulamentos em linguagem acessível, que pessoas, executivos e diretoria entendam. Crie uma lista de prioridades e concentre-se na coisa mais importante dessa lista.”

4. Busque apoio e colaboração de fora 

A advertência: Compartilhe suas estratégias com os concorrentes do setor.

O papel de um novo CISO é amplo, complexo e estressante. Ter alguém com experiência, a quem você possa trocar informações ou conselhos, pode ser inestimável em termos de seu desenvolvimento profissional. Em sua posição anterior de CISO, Cunningham construiu uma rede de suporte de CISOs de seus concorrentes do setor. Ele organizou reuniões regulares e grupos de trabalho para compartilhamento de informações, transferência de conhecimento e colaboração. "Para CISOs não é realmente uma competição", diz Cunningham. “Compartilhamos informações sobre ameaças, falamos sobre nossos orçamentos e discutimos nossas estratégias (de segurança).”

5. Entenda seu lugar na organização

A advertência: Prepare-se para lidar com problemas gerados por pessoas muito importantes na hierarquia da empresa

Como um novo CISO, entenda seu papel e onde sua autoridade pára e começa, acrescenta Cunningham. "Inevitavelmente, no curso de ser um CISO, você vai descobrir alguém muito importante fazendo algo muito ruim, e você precisará ter uma boa compreensão dos desdobramentos e como agir", diz ele. “Conheça cedo a gerência sênior e os recursos humanos. Discuta cenários relacionados a possíveis problemas dos funcionários e descubra como você reagirá em conjunto. ”

Cada organização é diferente, diz Stewart, e isso impulsionará sua metodologia.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail