A função do CISO é relativamente imatura em comparação com outras posições de negócios de nível C mais antigas, como CEO, COO ou CFO, mas evoluiu significativamente apenas nos últimos anos. Os CISOs de hoje precisam ser um pouco diferentes dos líderes de segurança tradicionais do passado, e isso reflete duas coisas: a função vital e crescente que os dados desempenham no funcionamento diário de uma empresa e as expectativas aumentadas da função de segurança para manter esses dados seguros e operacionais.
“Anteriormente, a função do CISO era exclusivamente focada na tecnologia e esse aspecto tecnológico permanecerá fundamental”, disse Tami Hudson, CISO da Randstad América do Norte, ao CSO. “No entanto, em nosso ambiente cada vez mais digitalizado e orientado por dados, a função de CISO forneceu uma oportunidade única na interseção de tecnologia e negócios para construir resiliência cibernética generalizada que impacta todas as partes do negócio, da sala da diretoria à sala de correspondência. Quando tudo é digital, tudo está em risco”.
Hoje, o sucesso dos negócios está diretamente relacionado ao sucesso da segurança da informação. Portanto, o CISO moderno precisa de um conjunto exclusivo de qualidades para alinhar estratégia, processo e prática de segurança de dados eficazes com várias necessidades e requisitos de negócios.
Aqui estão cinco das qualidades mais importantes dos CISOs de hoje, junto com conselhos sobre como reunir e manter essas habilidades, de acordo com vários profissionais que trabalham no setor global de segurança da informação.
Nos primeiros dias da segurança cibernética, esperava-se que os primeiros CISOs realizassem ações altamente técnicas e muitas vezes não divulgadas para proteger suas organizações, explica Dave Stapleton, CISO da CyberGRX. “Hoje, os CISOs não podem se dar ao luxo de ser simplesmente o ‘cara da tecnologia’ para suas organizações”, diz ele. Eles também precisam entender a missão de sua empresa, articular como seu trabalho apóia essa missão, fornecer insights acionáveis para a liderança e criar uma cultura focada na segurança em todas as organizações.
“Se os CISOs não compreenderem totalmente a missão de seus negócios ou não puderem comunicar com eficácia o impacto da segurança nessa missão, sua eficácia será prejudicada, no mínimo”, acrescenta Stapleton. “Em alguns cenários, essa incapacidade de comunicação pode até resultar em uma tomada de decisão inadequada, por parte do CISO ou liderança, que afeta direta e negativamente a segurança da organização”.
Para que os CISOs desenvolvam habilidades de comunicação com foco nos negócios, Stapleton acredita que a prática contínua é a chave. “Infelizmente, isso pode ser difícil se um CISO trabalhar para uma organização que não solicita ou valoriza sua opinião. Dito isso, todo CISO deve ser capaz de encontrar oportunidades para articular sua mensagem à liderança. Cada uma dessas oportunidades é significativa e potencialmente abre a porta para o envolvimento subsequente”. Ele sugere que os CISOs também expandam sua leitura além de postagens técnicas em blogs e veículos de notícias de segurança para incluir fontes de notícias de negócios como o Wall Street Journal, Forbes ou Bloomberg.
Muito alinhados com a habilidade de falar a língua das empresas, os CISOs hoje também devem ser colaboradores interdepartamentais, capazes de construir e manter relacionamentos em uma organização. “A segurança cibernética não é uma disciplina que opera isoladamente”, disse Ian Glover, Presidente do Organismo Internacional de Credenciamento e Certificação de Segurança da Informação CREST, à CSO. “Para ser eficaz, a segurança cibernética precisa do suporte e da experiência de outras partes da empresa, tão diversas quanto TI e comunicações, auditoria interna, recursos humanos, marketing e até mesmo programas de mudança cultural”.
Glover acrescenta que os CISOs precisam identificar áreas de negócios onde possam obter suporte e “trabalhar duro” para construir relacionamentos colaborativos baseados em “confiança, empatia e clareza de propósito”.
Mark Nicholls, CISO do Chime Group, concorda, destacando a importância das pessoas de uma organização em qualquer estratégia de segurança. “Sem relacionamentos sólidos em toda a empresa, é muito difícil para a função de segurança ser eficaz. É importante que cada membro da equipe de segurança, incluindo o CISO, passe um tempo com as várias unidades de negócios para entender seus objetivos e como a segurança pode ajudar a alcançá-los”.
Uma cultura “sem culpa” que também destaca os sucessos e recompensa o bom comportamento ajudará a construir esses relacionamentos, diz Nicholls. “Construir confiança com a empresa significa que ela buscará o CISO à procura de ajuda e os envolverá desde o início em projetos que auxiliem no princípio de design seguro, em vez de tentar melhorar a segurança depois que o ‘cavalo fugiu’”.
Os CISOs de hoje precisam ser emocionalmente inteligentes, diz Stephen Khan, Presidente da Comunidade Global ClubCISO, explicando que essa qualidade deve se estender tanto à empatia pelos outros quanto à autoconsciência de si mesmo. “Liderar uma equipe no que geralmente é um ambiente de alta pressão significa que uma de nossas principais preocupações é com o bem-estar deles e com a garantia de que eles tenham o nosso apoio”, disse Khan. “Ter empatia e compreensão sobre o que os preocupa ajuda aqui e garante que estejamos genuinamente interessados e engajados. Isso leva a um resultado mais positivo”.
Da mesma forma, o reconhecimento e a compreensão dos próprios preconceitos e lacunas de conhecimento são cruciais nas funções de liderança de segurança moderna, acrescenta Kahn. “Estar ciente disso garante que possamos construir uma equipe diversificada e inclusiva, e nos permite ter certeza de que contratamos pessoas que complementam nosso conhecimento e apóiam áreas de fraqueza”. Além do mais, dadas as pressões do papel moderno do CISO, “autocuidado e ser capaz de encontrar o equilíbrio entre vida/família/self/trabalho é fundamental para evitar problemas de esgotamento”, algo que tem sido amplamente relatado para atormentar os líderes de segurança em todo o globo.
Uma das qualidades mais subestimadas e importantes de um CISO moderno é o foco estratégico, diz Emilian Papadopoulos, Presidente da Good Harbor, empresa de consultoria de risco cibernético com sede em Washington. “Os CISOs são atingidos por ruídos e distrações em todas as direções: as últimas TTP [táticas, técnicas e procedimentos], soluções de tecnologia em constante atualização, mudanças no ambiente de negócios e uma enxurrada de perguntas de executivos, reguladores e clientes. Enquanto outros executivos podem se desconectar aqui e ali para recuperar o foco estratégico, a maioria dos CISOs, em virtude de sua função, está conectada quase 24 horas por dia, 7 dias por semana”.
Concentrar-se nas prioridades estratégicas em vez de reagir às informações recebidas é, portanto, um desafio comum e digno de nota para os CISOs hoje, acrescenta Papadopoulos. “No entanto, tenho visto CISOs incríveis que se destacam nisso de algumas maneiras: por meio de uma estratégia concisa e documentada ou lista de prioridades, fazendo com que os principais interessados concordem e compartilhem a propriedade das prioridades para que se tornem orientados externamente, em vez de apenas a prioridade dos próprios CISOs, e gastando tempo em conversas ponto a ponto com outros CISOs, onde eles podem se concentrar em seus problemas mais importantes, em vez de reagir aos problemas mais importantes de outras pessoas”.
Finalmente, os CISOs de hoje precisam de uma natureza tenaz que lhes permita continuar a se esforçar para melhorar o cenário de segurança complexo e multifacetado. “A segurança cibernética geralmente não tem soluções rápidas. Portanto, é essencial que o CISO tenha uma perspectiva de longo prazo”, diz Stapleton. “As mudanças, por mais sensatas e sustentáveis que sejam, exigirão investimentos em tempo e recursos. Esses recursos desviarão a atenção de outras atividades que muitas vezes são mais fáceis de entender e oferecem suporte mais direto às operações normais de negócios”.
O CISO deve apresentar uma mensagem consistente sobre como fazer melhorias na segurança cibernética, acrescenta Stapleton. “É improvável que eles obtenham um ‘sim’ na primeira vez que perguntam. Portanto, o CISO deve ter a capacidade de aceitar um ‘não’ e continuar a apresentar o caso para apoio e financiamento”.
Kahn concorda: “Haverá ocasiões em que se apresentarão pressão das partes interessadas. Mantenha a confiança na direção em que sua função está dirigindo e esteja atento ao raciocínio e ao esforço necessários para mudar de direção. Manter o foco ajudará suas equipes a serem bem-sucedidas, em vez de mudar de direção com muita frequência com base no sentimento das partes interessadas e queimar sua equipe”.
O IT Forum traz, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e…
A Microsoft está enfrentando críticas após um relatório revelar um aumento alarmante em suas emissões…
O Grupo Centroflora é um fabricante de extratos botânicos, óleos essenciais e ativos isolados para…
Toda semana, o IT Forum reúne as oportunidades mais promissoras para quem está buscando expandir…
Um estudo divulgado na segunda-feira (13) pela Serasa Experian mostra que a preocupação com fraudes…
A Honeywell divulgou essa semana a sexta edição de seu Relatório de Ameaças USB de…