6 principais atributos que os empregadores desejam em novos CISOs

Procurando sua próxima posição como CISO, de preferência com mais remuneração, melhores benefícios e mais responsabilidades/respeito no trabalho? Então você precisa saber quais habilidades e qualidades os empregadores em potencial estão procurando agora em suas contratações de CISO para maximizar suas chances de conseguir o emprego dos seus sonhos. Aqui estão os seis principais atributos que os recrutadores dizem que as organizações estão procurando em um CISO.

1. Experiência anterior do CISO (provavelmente)

Os empregadores de hoje esperam que os novos CISOs tragam uma riqueza de habilidades para seus cargos. De acordo com Burke Autrey, sócio e CEO da empresa de recrutamento de talentos de TI Fortium Partners, as organizações estão buscando candidatos experientes que tenham atuado como CISOs “várias vezes em várias empresas”. Em seus cargos anteriores, suas funções terão coberto “governança, conformidade, monitoramento/detecção de ameaças e resposta a incidentes como líder”, diz ele. Esses CISOs também terão adquirido experiência no gerenciamento de “orçamentos, recursos de pessoas, interação entre executivos e diretoria e responsabilidades de aplicação da lei e seguros”.

“Nossos clientes buscam experiências anteriores com situações de violação ou comprometimento e como eles lidaram com elas, onde podem ter perdido algo, como reagiram e como reforçaram as defesas de suas empresas”, concorda Michael Piacente, Sócio-Gerente e cofundador da empresa de busca de executivos Hitch Partners. Ao mesmo tempo, muitas empresas menores estão dispostas a considerar dar aos profissionais de segurança seus primeiros empregos de CISO, desde que tenham as habilidades necessárias.

2. Expertise em segurança de produtos

“A primeira habilidade mais importante, sem dúvida, é o conhecimento profundo da segurança de aplicativos e produtos”, diz Piacente. “Esta é a capacidade de colaborar em um nível técnico muito profundo com as equipes de desenvolvimento e engenharia de produtos”.

Isso é especialmente verdadeiro para empresas de tecnologia. “A maioria de nossos clientes está em empresas de software disruptivas e de alta consequência, onde a conformidade de segurança de seus produtos/aplicativos, a capacitação do cliente e a contratação são fundamentais para o sucesso de sua plataforma”, diz Piacente. “A segurança em seu mundo não é apenas uma necessidade ou um item de caixa de seleção, mas um recurso de sua plataforma real”.

3. Capacidade de antecipar riscos regulatórios e de ameaças

Outra habilidade obrigatória é ter conhecimento sobre governança, risco e conformidade. “As empresas querem um CISO que entenda a nuance de levar uma empresa ao caminho de certificações como ISO ou SOC2, FedRAMP ou NYDFS [Departamento de Serviços Financeiros de Nova York]”, diz Piacente. “Um CISO em potencial precisa ter passado por esses ciclos completos para entender as nuances do que sua empresa precisa versus o que não precisa”.

Mais amplamente, as organizações querem CISOs que possam trabalhar em uma filosofia de mitigação antecipada de riscos, diz Piacente. “Esses CISOs sabem quais problemas estão no horizonte com relação à segurança do produto, requisitos de conformidade e ameaças potenciais”.

4. Capacidade de construir a confiança do cliente e do parceiro

Os CISOs aspirantes também devem ser capazes de mostrar que podem ajudar as equipes de vendas e marketing da empresa a incutir confiança na segurança de seus produtos e serviços. Os CISOs podem ser solicitados a preencher questionários que clientes ou parceiros enviam para verificar as práticas de segurança da empresa, por exemplo. “Muitos de nossos clientes são empresas de software que buscam CISOs com a capacidade de gerenciar uma operação de TI corporativa, incluindo aplicativos, tecnologia de negócios, infraestrutura – tudo”, diz Piacente. “Embora os CISOs tenham sido tradicionalmente associados a um certo nível de suporte ao cliente e parceiro, os últimos três anos mostraram um rápido aumento e intensidade nessa parte do escopo do CISO. Aproximadamente 80% de nossas pesquisas incluem algum tipo de escopo de capacitação de clientes e parceiros. Prevemos que essa tendência continue à medida que a função CISO se torna um importante influenciador e colaborador em toda a empresa”.

5. Certificações, MBAs, formação em ciência da computação

Muitos empregadores considerarão certificações ao contratar CISOs. De acordo com Autrey, os CISOs tradicionais com formação técnica/engenharia geralmente obtêm certificações específicas de segurança, como CISSP (Certified Information Systems Security Professional), CISA (Certified Information Systems Auditor) ou CISM (Certified Information Security Manager).

Muitos CISOs consideram o assunto das certificações uma boa educação continuada, mesmo que não obtenham a certificação. Os empregadores podem querer discutir certificações e educação continuada como um elemento de um CISO completo.

Quando se trata de diplomas/certificados gerais, “Ciência da Computação é, sem dúvida, a principal peça que os empregadores procuram na maioria dos CISOs”, diz Piacente. “Quando se trata de nossos clientes, muitos dos CISOs que eles contrataram começaram como desenvolvedores de software e engenheiros, então eles têm experiência em computação”.

Piacente observa que, para as empresas de software baseadas em nuvem com as quais seu formulário trabalha, os CISOs tendem a ter uma disciplina mais profunda em engenharia de software ou conhecimentos técnicos/de desenvolvimento relevantes. “No lado da certificação, também vejo essa lógica”, diz ele. “No entanto, nenhuma pesquisa em que colocamos um CISO em mais de cinco anos teve um requisito rígido para qualquer tipo de certificação. No espaço nativo da nuvem, não é uma alta prioridade, mas certamente faz sentido com outros arquétipos de CISO”.

Muitos empregadores também querem que seus CISOs tenham mestrado em administração de empresas (MBAs). “Isso pode surpreender as pessoas, mas a razão pela qual os empregadores querem que seus CISOs tenham MBAs é devido à elevação do papel do CISO nos últimos três a cinco anos, com eles desempenhando um papel maior em assuntos gerais de negócios e se reportando ao conselho”, destaca Piacente. “Embora ter um MBA não seja fundamental para ser contratado como CISO, certamente é útil”.

6. Habilidades interpessoais e sociais

Dada a necessidade de os CISOs trabalharem de forma construtiva com outros na empresa, os empregadores estão procurando pessoas com sólidas habilidades interpessoais e sociais. Isso significa mostrar “calma sob pressão, determinação diante de um desafio à sua autoridade e a capacidade de traduzir ameaças e impactos na linguagem dos negócios”, diz Autrey.

Os CISOs de hoje também precisam de um traço de personalidade fundamental: empatia. “Isso é empatia com sua organização interna, seus parceiros externos e clientes em potencial”, diz Piacente. “Eles também precisam entender que nem todo mundo entende de segurança como eles e ser capaz de falar com essas pessoas de forma positiva usando termos que elas entendem”.

Além disso, os empregadores querem que seus CISOs sejam capazes de definir planos, metas e prazos realistas para seus departamentos e que possam explicar tudo em termos claros e não técnicos. “O público com o qual o CISO precisa trabalhar é extremamente variado, de vendas a marketing, conselho geral e jurídico a finanças”, diz Piacente. “Se você tentar lidar com a segurança cibernética apenas tentando ‘construir um muro’ em torno da empresa sem levar em consideração as necessidades de outras pessoas, seus colegas não o respeitarão. Na verdade, eles vão tentar contornar isso. Mas se você trabalha com eles na construção de soluções de segurança cibernética que permitem que eles façam seu trabalho enquanto atingem um nível mais baixo de risco, então é aí que entra o sucesso”.