Perfil do CISO no Brasil: maioria trabalha em empresas estrangeiras

Buscando traçar características do CISO no Brasil, a Boyden realizou um estudo com cerca de 30 executivos. Do total, 57% atuam em empresas estrangeiras enquanto 43% trabalham em empresas de origem nacional. Deste conjunto de empresas, cerca de 71% são organizações com mais de R$ 1bi de faturamento anual, enquanto 25% destas companhias tem faturamento estimado entre R$ 200 milhões e R$ 1bi.

Os setores de atuação destas empresas são diversificados, em destaque o setor de Varejo (21%), Indústria (18%), Tecnologia (14%) e Telecomunicações (11%). Mais da metade (57%) possuem um escopo de responsabilidade nacional, enquanto pouco mais de 20% responderam que possuem um escopo de responsabilidade regional ou global. Ainda em termos de escopo de responsabilidade, mais de 95% dos respondentes afirmaram que são o principal executivo de segurança da informação de sua empresa no Brasil.

“Sobre o ponto de vista quantitativo é possível afirmar que é uma posição menos comum [nas empresas] do que outras com um histórico de evolução na gestão corporativa mais longo, como um diretor financeiro ou um diretor comercial. No caso da área de Segurança da Informação, há um importante aspecto ligado à maturidade e ganho de consciência sobre a sensibilidade do tema e, por isso, é razoável imaginar que uma estrutura específica sobre este assunto ganhe ‘musculatura’ nas empresas ao longo do tempo. Porém, é importante destacar que a presença ou ausência de uma posição de C-Level em uma organização depende de vários aspectos, entre eles o porte e a própria natureza de negócio da empresa. Desta forma, imagino que, mesmo no futuro, nem todas as empresas grandes e médias tenham em suas estruturas um executivo de C-Level para o tema”, revela Leonardo de Souza, sócio da Boyden.

Leonardo comentou também sobre a disparidade entre empresas estrangeiras ou nacionais. Segundo ele, as operações das empresas multinacionais no Brasil, ou em qualquer país, estão sujeitas a regras e políticas corporativas vindas de suas matrizes. Em muitos casos, o seguimento de tais regras ou políticas devem ser obrigatoriamente seguidas nas filiais, ainda que a legislação local de determinado país não exija seu cumprimento naquele momento ou em determinado nível de rigidez.

“Entretanto, apesar de entender que a área de segurança da informação será formatada de maneira mais robusta nas organizações no Brasil no futuro, acredito que a grande maioria das empresas e altos executivos estão conscientes de sua importância e que um movimento de fortalecimento está em andamento e novas cadeiras de CISO estão sendo criadas”, comenta.

Aproximadamente 93% dos pesquisados são homens e cerca de 71% se identificam com a cor branca. Ainda no aspecto racial, 25% dos respondentes se identificam como pardos e apenas um respondente se identificou como da cor preta. Outro item demográfico interessante apontado pela pesquisa é a de que cerca de 93% dos profissionais têm idade entre 30 e 49 anos de idade e apenas 7% dos pesquisados possuem mais de 50 anos.

A formação acadêmica de terceiro grau dos pesquisados apresentou-se bastante diversificada mas a de maior prevalência foi a formação em Sistemas de Informação, com cerca de 36% das respostas. Em seguida, com cerca de 21% das respostas aparece Ciência da Computação. Em terceiro lugar, aparece a opção “Outra”, com cerca de 18% das respostas, número maior em comparação à Engenharia da Computação, outras engenharias ou administração de empresa.

Quase 90% dos profissionais disseram que possuem ao menos uma pós-graduação, mais de 96% consideram que seu nível de proficiência no idioma inglês está entre avançado e fluente e cerca de 54% afirmaram possuir habilidades também em um terceiro idioma.

Aproximadamente 60% dos executivos estão entre 0 e 2 anos e apenas cerca de 4% disseram que estão há mais de cinco anos em suas empresas atuais. Suas passagens anteriores foram também relativamente curtas, com apenas cerca de 20% dos entrevistados afirmando que permanecerem mais de cinco anos em sua empresa anterior.

Com relação ao reporte hierárquico, 50% dos profissionais responderam que se reportam a um CIO/ CTO. Cerca de 30% disseram que se reportam direto ao CEO e percentuais menores afirmam se reportar a um CRO (Chief Risk Officer), direto ao conselho ou outros.

Ao ser questionado sobre essa hierarquia ser um “problema”, Leonardo comenta: “não necessariamente é um problema. Entendo que ambas as arquiteturas de reporte podem funcionar bem, a depender das características do negócio e dos processos. A própria pesquisa traz esta ideia: no conjunto de executivos inquiridos, cerca de 50% afirmaram que seu reporte é atualmente a um CIO/ CTO. E cerca de 80% dos entrevistados afirmaram que entendiam que a atual linha de reporte permitiria que o programa de segurança seja implementado de forma eficiente”, frisa.

Com relação a equipe, 18% dos entrevistados afirmam que possuem um time entre 1 e 5 pessoas, 36% entre 6 e 20 pessoas, 32% entre 21 e 50 pessoas e aproximadamente 14% afirmam que possuem um time de mais de 51 pessoas.

Sobre os dois principais fatores que dificultam a montagem do time duas razões, os entrevistados destacaram: a falta de conhecimento técnico dos profissionais candidatos (60,7%) e a falta de oportunidade de avaliar candidatos em função da escassez de profissionais (50%).