Como a CISO da HP busca transformar a segurança cibernética

Impulsionados por imperativos digitais, mais líderes de TI se livraram de suas algemas de recebimento de pedidos para se tornarem parceiros de negócios completos. Os líderes de segurança cibernética estão cada vez mais seguindo a mesma direção.

Joanna Burkey, que voltou para a HP há um ano, é uma CISO que lidera o ataque. Burkey, que passou quase 13 anos em várias funções na HP antes de sair para liderar a segurança cibernética na Siemens por 5 anos, encontrou um programa cibernético com um forte foco operacional. Mas Burkey acreditava que a HP poderia se beneficiar mais se ela atuasse como uma parceira estratégica para o negócio.

“Tivemos espaço para expandir nosso foco na habilitação dos negócios”, disse Burkey à CIO. “Precisamos de um assento na mesa de estratégia de negócios; não é suficiente ter um assento na mesa de TI”.

O assento cibernético na mesa executiva

Este é um lugar que Burkey agarrou com zelo enquanto a empresa trabalhava em uma transformação de vários anos sob o comando de Enrique Lores, Presidente e CEO. Também é uma crença que Burkey diz que compartilha com outros CISOs. Nos últimos anos, as ameaças existenciais representadas por violações de dados pressionaram os CEOs e os conselhos de administração a trazer os líderes de segurança da informação para a corporação. E muitos CISOs estão aproveitando a oportunidade para ajudar a influenciar e moldar a estratégia de negócios.

Isso inclui transformar a função de simplesmente dizer sim ou não para sugestões de soluções de tecnologia, para uma que também levanta questões, de acordo com Burkey. Os CISOs também devem parar de medir seu impacto simplesmente por meio de métricas de prevenção de ameaças e, em vez disso, criar narrativas sobre como os vetores de ameaças e ataques afetam a abordagem da empresa para o gerenciamento de riscos.

Em suma, trata-se de tecer métricas esotéricas em linguagem de negócios para que os CISOs possam manter conversas produtivas com seus pares de negócios sobre o apetite de risco e estratégia. “É muito tentador olhar para as métricas acima de tudo, mas as métricas não são significativas a menos que alimentem a conversa sobre riscos”, diz Burkey. E essa narrativa ajudará a “ampliar a abertura para as decisões cibernéticas certas”.

A diversidade na segurança cibernética deve melhorar

Burkey vê a diversidade como a chave para liderar efetivamente a transformação da segurança cibernética da HP. Uma equipe diversificada que compreende uma gama completa de perspectivas está melhor posicionada para resolver problemas e compartilhar informações que são tão críticas para a defesa digital. Para tanto, Burkey está procurando mais mulheres, pessoas de cor e outros talentos de populações sub-representadas para preencher cargos em perícia de segurança cibernética e inteligência de ameaças, bem como especialistas em nuvem que estejam dispostos a aprender sobre segurança cibernética. Ela também está visando talentos com habilidades mais suaves, como funcionários que possam conduzir análises de casos de negócios e facilitar o gerenciamento de partes interessadas.

Em particular, Burkey precisa de pessoas que possam articular adequadamente o risco no contexto de uma estrutura de risco corporativo – habilidades que vão além dos talentos de ameaças fúteis possuídos por profissionais de segurança cibernética tradicionais. “Temos lacunas de talentos a preencher”, diz Burkey.

Mas Burkey conhece muito bem os problemas de diversidade que o espaço de segurança cibernética enfrenta, especialmente no que diz respeito ao gênero. Ela se lembra de ser a “única mulher na sala” em vários papéis durante sua carreira e chegou a mudar para se adaptar a isso, diz ela. Com o tempo, ela percebeu que, ao fazer o que sentia que precisava fazer para ter sucesso, estava sendo “inautêntica consigo mesma”. Não mais.

Mas isso pode ser mais fácil dizer do que fazer para as mulheres, pois a diferença de gênero persiste. As mulheres representam apenas 24% das pessoas que trabalham com segurança cibernética, de acordo com o consórcio cibernético ISC2. A disparidade é mais abismal no nível mais alto da escada corporativa. As mulheres representam apenas 13% dos cargos de CISO nas empresas Fortune 500 e apenas 9% no FTSE 100 do Reino Unido na Europa. Esses números se comparam aos 11% dos CIOs e 9% dos CTOs que são mulheres, de acordo com os números do Gartner.

Burkey diz que continua a ser mais difícil atrair mulheres jovens para os campos de ciência, tecnologia e engenharia, embora ela esteja tentando mudar isso na HP, descrevendo funções de maneiras que ressoarão, mesmo para talentos menos experientes. Por exemplo, ela observa que algumas mulheres e outros clientes em potencial carentes evitam a indústria cibernética porque muitas das descrições de cargos são carregadas com requisitos técnicos que parecem ter como alvo profissionais cibernéticos de meia-idade.

“Tenho formação técnica, mas mal estou entre os 5 primeiros em habilidades de CISO”, diz Burkey sobre as várias certificações e outros requisitos que as vagas de emprego incluem. “Precisamos mudar a forma como falamos sobre essas funções e a indústria”.

Enquanto isso, Burkey oferece as seguintes dicas para mulheres que buscam se destacar em cargos de liderança ao longo de suas carreiras.

Seja você mesmo autêntico. Por mais tentador que seja agir como seus colegas para se encaixar, Burkey diz à equipe que ela orienta para ser fiel a si mesma. Ela aprendeu essa lição no início de sua carreira enquanto tentava agir mais como pessoas que “não se pareciam comigo e agiam como eu”.

Abrace o movimento lateral. Algumas pessoas planejam cada passo ao longo de sua carreira, parte de algum plano mestre ou objetivo, mas Burkey diz que não há problema em mover-se lateralmente; você vai adquirir novas habilidades a cada parada. Burkey, por exemplo, trabalhou em engenharia de software, P&D, gerenciamento e estratégia de produtos e várias outras funções antes de chegar à liderança em segurança cibernética. Ela até mesmo uma vez se rebaixou da gerência porque uma posição de colaboradora individual a intrigava. “Isso pode se transformar em uma experiência na qual você pode contar para o resto de sua carreira”, diz Burkey.

Rede, rede, rede. A maioria das pessoas busca oportunidades de carreira, mas você também deve fazer networking para aumentar seu conhecimento, porque um dia você o utilizará, diz Burkey. Burkey nunca ocupou uma função financeira, mas ela fez questão de se relacionar com especialistas em finanças, o que ela diz ter fornecido a ela um conhecimento prático que a ajudou não apenas a gerenciar seu próprio orçamento de segurança cibernética, mas também a falar melhor com a empresa.

Afinal, a segurança cibernética é, como os seguros e outros setores, “maximizar o desempenho dos negócios”, diz Burkey. “É tudo sobre dinheiro”.