1. Home >
  2. Notícias >
  3. Notícias >
  4. O que é um CISO?... >

O que é um CISO? Responsabilidades e requisitos para este papel vital de liderança

Aprenda o que é necessário para conseguir um emprego de CISO e como ter sucesso nessa função

Author Photo
9:50 am - 05 de abril de 2021

O diretor de segurança da informação (CISO) é o executivo responsável pela segurança das informações e dados de uma organização. Embora no passado a função tenha sido definida de forma bastante restrita ao longo dessas linhas, atualmente o título é frequentemente usado como CSO e VP de segurança, indicando uma função mais ampla na organização.

De acordo com o estudo “2020 Security Priorities Study” do IDG, 61% das empresas pesquisadas têm um executivo de segurança de alto nível, embora essa taxa vá até 80% para grandes empresas. Mas em empresas que empregam tal executivo, eles desempenham um papel importante. O mesmo estudo descobriu que as empresas sem um CISO ou CSO eram mais propensas a dizer que seu treinamento de segurança de funcionários era inadequado e sua estratégia de segurança era insuficientemente proativa do que aquelas que tinham esses executivos.

Então vamos dar uma olhada no que você pode fazer para melhorar suas chances de conseguir aquele emprego e quais serão suas obrigações se você conseguir esse papel essencial. E se você deseja adicionar um CISO à lista de sua organização, talvez pela primeira vez, você também vai querer continuar lendo.

Responsabilidades CISO

O que um CISO faz? Talvez a melhor maneira de entender o trabalho do CISO seja aprender quais responsabilidades do dia-a-dia estão sob seu guarda-chuva. Embora não haja dois empregos exatamente iguais, Stephen Katz, que foi o pioneiro na função de CISO no Citigroup nos anos 90, descreveu as áreas de responsabilidade dos CISOs em uma entrevista à MSNBC. Ele divide essas responsabilidades nas seguintes categorias:

  • Operações de segurança: análise em tempo real de ameaças imediatas e triagem quando algo dá errado;
  • Risco cibernético e inteligência cibernética: manter-se atualizado com o desenvolvimento de ameaças à segurança e ajudar o conselho a entender os problemas de segurança em potencial que podem surgir de aquisições ou outros movimentos de grandes negócios;
  • Perda de dados e prevenção de fraude: certificando-se de que a equipe interna não use indevidamente ou roube dados;
  • Arquitetura de segurança: planejar, comprar e implementar hardware e software de segurança e garantir que a infraestrutura de rede e TI seja projetada com as melhores práticas de segurança em mente;
  • Gerenciamento de identidade e acesso: garantir que apenas pessoas autorizadas tenham acesso a dados e sistemas restritos;
  • Gerenciamento de programas: manter-se à frente das necessidades de segurança implementando programas ou projetos que atenuem os riscos – patches regulares do sistema, por exemplo;
  • Investigações e perícias: determinar o que deu errado em uma violação, lidar com os responsáveis, se eles forem internos, e planejar para evitar a repetição da mesma crise;
  • Governança: certificando-se de que todas as iniciativas acima funcionem sem problemas e obtenham o financiamento de que precisam – e que a liderança corporativa entenda sua importância.

Outra observação importante: a maioria desses tópicos se aplica à segurança de TI. Mas, para muitos executivos de segurança de ponta, seu mandato vai além de servidores e PCs e se estende à segurança física também, garantindo que os escritórios e instalações físicas de suas empresas estejam protegidos contra intrusões. De acordo com o estudo “2020 Security Priorities”, do IDG, 42% dos executivos de segurança de alto escalão dizem que tiveram tarefas de segurança física adicionadas à sua placa nos últimos três anos – e outros 18% esperam assumir essa função nos próximos 12 meses.

Requisitos CISO

O que é necessário para ser considerado para esta função? De modo geral, um CISO precisa de uma base técnica sólida. Cyberdegrees.org diz que, normalmente, espera-se que um candidato tenha um diploma de bacharel em ciência da computação ou área relacionada e 7 a 12 anos de experiência de trabalho (incluindo pelo menos cinco em uma função de gerenciamento); mestrados técnicos com foco em segurança também estão cada vez mais em voga.

Além de uma longa lista de habilidades técnicas, como princípios básicos de programação e administração de sistema; compreensão de algumas tecnologias centradas em segurança; práticas de codificação, hacking ético e modelagem de ameaças; e firewall e protocolos de detecção/prevenção de intrusão. E como se espera que os CISOs ajudem com a conformidade regulamentar, você também deve conhecer uma série de regulamentações que afetam o seu setor, incluindo PCI DSS, HIPAA, GLBA e SOX.

Certificações CISO

À medida que você sobe a escada na expectativa de um salto para o CISO, não custa polir seu currículo com certificações. Como afirma a Info Security, “essas qualificações renovam a memória, invocam um novo pensamento, aumentam a credibilidade e são uma parte obrigatória de qualquer currículo de treinamento interno sólido”. Mas há um número um tanto desconcertante para escolher – Cyberdegrees.org lista sete. Pedimos a Wallenberg, da Lasalle Network, suas escolhas e ele nos deu uma das três principais:

  • “Certified Information Systems Security Professional (CISSP) é para profissionais de TI que buscam fazer da segurança um foco de carreira”.
  • “Certified Information Security Manager (CISM) é popular para aqueles que buscam subir a escada dentro da disciplina de segurança e fazer a transição para a liderança ou gerenciamento de programa”.
  • “Certified Ethical Hacker (CEH) é para profissionais de segurança que buscam obter um conhecimento avançado de problemas que podem ameaçar a segurança corporativa”.

CISO, CSO e além: O que há em um nome e quem está no topo?

Embora estejamos usando CISO ao longo deste artigo, como mencionamos acima, existem outros títulos que são usados para um oficial de segurança de nível executivo: Chief Security Officer, ou CSO, é bastante comum, e alguns outros oficiais têm o título de Vice-Presidente. O estudo “2020 Security Priorities”, do IDG, descobriu que CISO era o título mais comum em 41% dos entrevistados, em oposição a 14% que trabalhavam em empresas com um CSO e 16% para outros títulos. Curiosamente, é mais provável que as grandes empresas chamem seu principal executivo de segurança de CISO: 80% dos entrevistados usam esse título.

Mais importante do que as letras em seu título é a estrutura do organograma. Segurança é uma função dentro de uma organização que inevitavelmente bate de frente com as outras, já que os instintos de um profissional de segurança são bloquear sistemas e torná-los mais difíceis de acessar – algo que pode entrar em conflito com o trabalho de TI de disponibilizar informações e aplicativos sem atrito. Esse drama pode se desenrolar no topo do organograma como uma batalha CISO/CSO vs. CIO, e os contornos dessa luta são muitas vezes estabelecidos pelas linhas de relatórios dentro de uma organização: se o principal executivo de segurança se reporta à liderança de o departamento de TI, que pode restringir a capacidade do CISO de executar estrategicamente, pois sua visão acaba sendo subordinada à estratégia mais ampla de TI.

Quão comuns são as diferentes estruturas de relatórios? De acordo com o Estudo de Prioridades de Segurança de 2020 do IDG, 46% dos principais executivos de segurança das empresas pesquisadas se reportam ao CEO ou ao Conselho de Administração, enquanto 33% se reportam a um CIO corporativo ou divisionário. Talvez as empresas menores tenham estruturas mais planas: 59% dos executivos de segurança das PMEs pesquisadas se reportam diretamente ao CEO.

Colocar CIOs e CISOs em pé de igualdade pode ajudar a conter o conflito, até porque envia um sinal para toda a organização de que a segurança é importante. Mas também significa que o CISO não pode ser simplesmente um guardião que veta iniciativas técnicas.

Descrição do trabalho CISO

Se você faz parte da busca por um CISO promissor para sua organização, parte disso envolve escrever uma descrição de cargo – e muito do que discutimos até agora estabelece a base de como você abordaria isso. “As empresas decidem primeiro se desejam contratar um CISO e obter aprovações para o nível, estrutura de relatórios e título oficial para o cargo – em empresas menores, os CISOs podem ser VPs ou Diretor de Segurança”, diz Wallenberg, da Lasalle Network. “Eles também precisam definir os requisitos e as qualificações mínimas para a função e, em seguida, ir ao mercado para candidatos externos ou postar para candidatos internos”.

Michael Nadeau, Editor Sênior da CSO, expõe com alguns detalhes como você abordaria a redação de uma descrição de cargo de CISO. Uma das coisas importantes que ele aponta é que sua descrição deve deixar o compromisso de sua organização com a segurança muito claro desde o início, porque é assim que você atrairá um candidato de alta qualidade. Você deve destacar onde o novo CISO terminará no organograma e quanta interação ele terá com o conselho para realmente deixar esse ponto claro. Outro ponto importante que ele destaca é manter a descrição do trabalho atualizada, mesmo se você tiver alguém na função – afinal, você nunca sabe quando essa pessoa vai passar para outra oportunidade, e este é um trabalho crucial que você não quer deixar sem pessoal.

Tags:
carreira
CSO

Notícias relacionadas

Notícias
IA Gen foi utilizada em mais de 50% dos ataques recentes contra empresas brasileiras, aponta pesquisa
Notícias
Phi-3 Mini: Microsoft introduz o menor modelo de IA até o momento
Notícias
Falta uma semana para o IT Forum Trancoso 2024
Notícias
Blanca Treviño, CEO da Softtek: “O Brasil foi como um mestrado para mim”
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.