Como se preparar para ocupar o cargo de CISO

Esta semana saiu uma matéria interessante no site ComputerWorld. Como se tornar um CISO, confira a matéria:

Conhecimento técnico, certificações e linguagem do negócio. Esse tripé de habilidades, somado às capacidades de comunicação, apresentação e confiabilidade, formam um profissional de segurança.

Por COMPUTERWORLD
29 de setembro de 2006 - 10h33

Os executivos responsáveis pela segurança da informação, os Chief Information Security Officers (CISOs) e o trabalho importante que eles realizam são cada vez mais reconhecidos pelas cúpulas das corporações. Estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium revela que os profissionais de segurança da informação estão cada vez mais galgando posições de destaque nos quadros corporativos.

O estudo nomeado Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação (quase o dobro dos 12% que fizeram a mesma declaração em 2004) e 73% afirmaram que esta tendência se manterá.

Soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas, tornam essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. Como resultado, o cargo de CISO acaba priorizando a gestão de riscos e está mais integrado às funções de negócio. Profissionais de segurança têm que aprimorar suas habilidades técnicas e de negócio para estarem aptos a executar esta função.

A validação independente de competências e experiências, além do comprometimento com a profissão de segurança da informação abrem portas para quem aspira ao cargo de CISO. Os profissionais de segurança da informação devem levar em conta a importância de obter certificações de uma associação de segurança profissional para ajudar a impulsionar suas carreiras. Para 90% dos participantes da pesquisa envolvidos com contratação, as certificações são um pouco ou muito importantes na decisão de contratar alguém. E mais de 60% pretendem adquirir pelo menos uma certificação de segurança da informação nos próximos 12 meses.

Existem duas categorias de certificação de segurança da informação: a dependente e a independente de fabricantes. Ambas são úteis para o desenvolvimento da carreira. As “credenciais” atreladas a fabricantes (como as da Cisco e da Microsoft, por exemplo) são meios importantes de obter as habilidades necessárias. No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificações Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções.

Ao elaborar seu plano de carreira, procure também buscar a ajuda de associações que oferecem serviços de construção de carreira e educação continuada, além de explorar oportunidades para demonstrar sua experiência na área, fazer parte de redes de comunicação com colegas, e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário.

O guia Resource Guide for Today's Information Security Professional, edição global 2006, compilado pela ISC2, também é uma ótima fonte de organizações e instituições educacionais, associações profissionais, conferências e exposições, recursos online e publicações que têm como foco a segurança da informação.

Entretanto, certificação e experiência em segurança são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CISO, você também precisa saber se comunicar em termos de negócios. Para isso, procure aliar sua proficiência técnica à habilidade de transmitir o valor do negócio. Você tem que explicar os benefícios da segurança em termos de retorno do investimento (ROI), seu valor para aprimorar a capacidade da empresa de fazer negócios e as soluções práticas que ela traz para os problemas – tudo isso mesclado com o apetite da organização por risco.

Enquanto aprimora suas habilidades de segurança e negócios, você também pode trabalhar dentro de sua própria organização para se preparar para uma transição na carreira. Confira a seguir algumas dicas extraídas de um painel de discussão sobre como se tornar um CISO, realizado na Conferência da RSA que aconteceu neste ano nos Estados Unidos:

- Aprenda a colaborar com outros departamentos para integrar e avaliar outras funções. De acordo com um estudo da Universidade de Auburn, a implementação de programas de segurança da informação demanda níveis excepcionalmente altos de “interdependência de tarefas”. Os entrevistados da pesquisa da IDC confirmaram essa premissa ao admitir que 62% de suas tarefas cotidianas dependem da troca de informação ou da cooperação com outras pessoas.

- Adote a abordagem do valor agregado, aprendendo a alinhar suas atribuições e responsabilidades com as metas de negócio de cada departamento. Observe o panorama geral – as estratégias e o foco da organização. Pense no negócio como um todo, conheça o impacto que você exerce sobre ele e saiba como criar valor para a organização. Transmitir o valor da segurança da informação ajudará a fomentar o espírito de cooperação na organização inteira.

- Desenvolva seu próprio círculo de confiança dentro da organização com representantes de cada departamento para ajudar a promover a compreensão mútua, a valorização e o trabalho em equipe. Quando um número maior de pessoas concorda com você, você ganha credibilidade. E, em algum momento, os executivos vão ficar mais bem informados sobre seu grupo e reconhecer o valor de consultá-lo.

- Mantenha conversas com executivos para que eles possam conhecê-lo e aprender a confiar em você. Estas conversas devem ser sucintas, porém expressivas, contendo termos de negócio e não vocabulário “geek” ou acrônimos. Determine como você pode agregar valor às suas metas e demonstre por que você deve ser consultado ou incluído em uma reunião.

- Ofereça treinamento para conscientizar os executivos e usuários sobre ameaças à segurança que afetam os home offices e apresente as técnicas de prevenção. Desta forma, os executivos vêem a diferença que você fez para os computadores ou as redes que têm em casa e vão confiar na sua capacidade de fazer recomendações para as redes da empresa.

- Aprenda a equilibrar riscos e oportunidade. Muitos executivos consideram o staff de segurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível ao equilibrar os riscos à segurança com os processos de negócio que ajudam a organização a cumprir as metas.

Diante de tudo isso, você ainda gostaria de ser um CISO? Estaria disposto a se afastar de alguns aspectos técnicos da segurança da informação? Se a resposta for sim, atualize seu conhecimento técnico e suas certificações, aprenda a linguagem do negócio e adquira habilidades de comunicação e apresentação. E trave relações com executivos para que eles se conscientizem de seu conhecimento e habilidades, comecem a confiar em você e o vejam como uma boa opção para um cargo estratégico na corporação.

Os empregos em segurança estão aumentando...

Existem oportunidades para os que querem trilhar a carreira de segurança da informação. Projeção de profissionais de segurança da informação para a região das Américas. ENTRA GRÁFICO DE COLUNAS2006 – 647.5772007 – 693.2182008 – 735.7092009 – 787.292Fonte: IDC 2005

... e os empregadores estão demandando certificação

Empregadores validam a importância da certificação para a contratação de profissionais de segurança da informação;ENTRA GRÁFICO DE PIZZAImportante: 50%Muito importante: 40%Neutro: 7%Não importante: 1,3%Sem importância nenhuma: 1,3%*Total difere de 100 devido a arredondamentoFONTE: IDC 2005

Como é a função de CISO no Brasil?
Conheça a trajetória de um profissional brasileiro da área de segurança que chegou ao cargo de CISO.

O Tenente Coronel do Exercito Brasileiro João Rufino de Sales exerce atualmente a função de Chefe do Terceiro Centro de Telemática da Área de SP, o que na prática significa que ele é o responsável por toda a segurança da corporação paulista. É isso mesmo. A função de CSO ou CISO tem atualmente espaço nos mais variados tipos de organizações, incluindo órgãos públicos, governamentais e até mesmo o Exército. Deixando de lado a formação militar, feita na Academia Militar das Agulhas Negras, o tenente coronel Rufino também se especializou em Análise de Sistemas e Processamento de Dados.

Após concluir o curso, o militar foi designado a prestar serviço no Centro Integrado de Guerra Eletrônica (CIGE), onde começou a estudar sistemas de segurança para garantir a integridade das informações manipuladas pelo centro. Depois do CIGE, Rufino foi escolhido para projetar toda a estrutura de segurança do novo portal de informações do Exército e de toda a rede associada ao mesmo.

Antes de ocupar a função atual, o militar também passou pelo Gabinete de Segurança Institucional da Presidência da República, onde participou de diversas ações ligadas à segurança da informação do Governo Federal.

“Acho que para desempenhar o cargo de CSO em qualquer organização é fundamental se manter atualizado com as últimas tendências deste mercado, além de conquistar credibilidade em sua organização. Isso só é possível com o desenvolvimento de habilidades como dedicação, responsabilidade, organização e criatividade”, afirma o militar.

Para quem começa agora, Rufino sugere, além da formação específica, o desenvolvimento de habilidades de liderança. “E é claro que o conhecimento profundo do foco de negócios da companhia é fundamental para conseguir transformar a segurança em uma facilitadora das ações da empresa”, ele conclui. (APO)