Rangel Rodrigues, advisor em Segurança da Informação, analisa que o futuro dos CISOs é cada vez mais estar próximo do board e entender as necessidades do negócio, uma vez que a segurança da informação ocupa um papel de destaque no cenário onde os dados devem ser protegidos e vazamentos impactam na reputação das empresas.
Os CISOs trabalham para estabelecer a maturidade da segurança cibernética transcendendo a visão do plano executivo de segurança sobre os componentes da corporação em termos de processos, pessoas e tecnologia. O bom líder tem habilidades para integrar o time persuadindo para abraçar a visão e a responsabilidade da segurança cibernética fazendo com que todos colaboradores entendam o seu papel na organização.
Quando uma empresa está precisando de ajustes nesta área ou tem que implementar um projeto deste porte, este líder também é reconhecido como um reformador, ele olha para a visão e missão e se esforça para aprofundar em toda a organização. Este está muito mais preocupado com a visão macro do que com os detalhes, mas tem em alguns casos a competência técnica para entender e discutir com o nível operacional, mas é líder para delegar e atribuir responsabilidades sobre seu time.
O CISO ou CSO, como abordado em um dos meus artigos anteriores, é o líder de segurança do futuro e deverá possuir as atribuições de Advisor, Strategist e o Scientist. Um pouco destes perfis podem tornar este profissional numa verdadeira liderança. Fato que hoje espera-se deste executivo a capacidade de manter uma cadeira no board e lógico que dependendo para quem será o reporte, este poderá ter muito power ou enfrentará conflitos e portanto acredito que a melhor estrutura será aquela que procede menos conflitos e na minha humilde opinião acho que reportar para o CRO e CEO poder proporcionar ter menos conflito e consequentemente mais sucesso na cadeira.
Já tive experiências reportando para um CIO e CTO, e em uma delas o desenvolvimento da área foi bem produtivo, por isso, vai depender também da cultura da organização e o quanto os líderes acima estão dispostos a investir e abraçar o projeto como todo. Em organizações grandes a figura do Information Security Officer (ISO) tem sido uma ótima estratégia para impermeabilizar a massificação da cultura da segurança da informação e a importância da matéria em toda a organização, o ISO local sendo um bom Advisor com características de Scientist sabe realmente o propósito do CISO, entende e se esforça para que todos os requerimentos e objetivos sejam atingidos localmente.
Obviamente que o bom líder deve ter uma visão geográfica do ambiente corporativo, pois tende a absorver conhecimentos e habilidades para lhe dar com todos os pilares da organização. Já ouvi de outras lideranças que o programa de carreira de um CISO deveria seguir o modelo de um piloto de avião, mas acredito que seja um pouco diferente, pois as empresas são diferentes, pensam e ganham dinheiro de diversas formas e, portanto, um manual pode até ajudar para a formação, mas não será o suficiente e não servirá para todas as empresas. Pois, é o papel deste líder entender o modelo de negócio e aplicar adaptando as melhores práticas de cibersegurança na cultura da empresa.
Acredito que o bom líder nasce em sua própria alma e quando ele ou ela descobre seu potencial e gosto pela profissão começará a andar de forma intencional por propósitos olhando e fixando sempre a visão do plano de segurança se esforçando o máximo para atingir seu objetivo. Entretanto, para concluir esta leitura sobre como deveria ser o bom líder de segurança podemos definir algumas premissas que o bom líder é:
Sua missão é abraçar o ecossistema viabilizando que todos os recursos necessários sejam usados com eficácia, entendendo os melhores frameworks e standards de segurança, governança e cibersegurança, e sempre de olho nas novas tendências de mercado por meio de empresas especializadas neste contexto como Gartner, IDC, e prayers de segurança que estão sempre divulgando tendências de ameaças e o futuro da tecnologia. Bom é isso, o bom líder de segurança nunca dorme e está sempre atento e enxergando o futuro e acima de tudo sabe e conhece os benefícios ao negócio que a gestão e governança de segurança proporciona para a organização. Como diz o sábio: instrua o homem sábio, e ele ainda será mais sábio; ensine o homem justo, e ele aumentará o seu saber. Que este artigo sirva como um ponto de reflexão para todo o profissional de cibersegurança que tem de alguma forma responsabilidade sobre este tema.
Este artigo foi publicado no portal Security Report.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
Os CISOs trabalham para estabelecer a maturidade da segurança cibernética transcendendo a visão do plano executivo de segurança sobre os componentes da corporação em termos de processos, pessoas e tecnologia. O bom líder tem habilidades para integrar o time persuadindo para abraçar a visão e a responsabilidade da segurança cibernética fazendo com que todos colaboradores entendam o seu papel na organização.
Quando uma empresa está precisando de ajustes nesta área ou tem que implementar um projeto deste porte, este líder também é reconhecido como um reformador, ele olha para a visão e missão e se esforça para aprofundar em toda a organização. Este está muito mais preocupado com a visão macro do que com os detalhes, mas tem em alguns casos a competência técnica para entender e discutir com o nível operacional, mas é líder para delegar e atribuir responsabilidades sobre seu time.
O CISO ou CSO, como abordado em um dos meus artigos anteriores, é o líder de segurança do futuro e deverá possuir as atribuições de Advisor, Strategist e o Scientist. Um pouco destes perfis podem tornar este profissional numa verdadeira liderança. Fato que hoje espera-se deste executivo a capacidade de manter uma cadeira no board e lógico que dependendo para quem será o reporte, este poderá ter muito power ou enfrentará conflitos e portanto acredito que a melhor estrutura será aquela que procede menos conflitos e na minha humilde opinião acho que reportar para o CRO e CEO poder proporcionar ter menos conflito e consequentemente mais sucesso na cadeira.
Já tive experiências reportando para um CIO e CTO, e em uma delas o desenvolvimento da área foi bem produtivo, por isso, vai depender também da cultura da organização e o quanto os líderes acima estão dispostos a investir e abraçar o projeto como todo. Em organizações grandes a figura do Information Security Officer (ISO) tem sido uma ótima estratégia para impermeabilizar a massificação da cultura da segurança da informação e a importância da matéria em toda a organização, o ISO local sendo um bom Advisor com características de Scientist sabe realmente o propósito do CISO, entende e se esforça para que todos os requerimentos e objetivos sejam atingidos localmente.
Obviamente que o bom líder deve ter uma visão geográfica do ambiente corporativo, pois tende a absorver conhecimentos e habilidades para lhe dar com todos os pilares da organização. Já ouvi de outras lideranças que o programa de carreira de um CISO deveria seguir o modelo de um piloto de avião, mas acredito que seja um pouco diferente, pois as empresas são diferentes, pensam e ganham dinheiro de diversas formas e, portanto, um manual pode até ajudar para a formação, mas não será o suficiente e não servirá para todas as empresas. Pois, é o papel deste líder entender o modelo de negócio e aplicar adaptando as melhores práticas de cibersegurança na cultura da empresa.
Acredito que o bom líder nasce em sua própria alma e quando ele ou ela descobre seu potencial e gosto pela profissão começará a andar de forma intencional por propósitos olhando e fixando sempre a visão do plano de segurança se esforçando o máximo para atingir seu objetivo. Entretanto, para concluir esta leitura sobre como deveria ser o bom líder de segurança podemos definir algumas premissas que o bom líder é:
- Conhecedor nato de tecnologia e tendências e ameaças no terreno cibernético.
- Visão ampla sobre o seu papel, persuasivo, servidor, articulador e um excelente. comunicador capaz de fazer analogias em casos reais a fim de conquistar seu governo.
- Mindset aberto e disposto a vivenciar mudanças, gerenciar conflitos e resiliente para enfrentar stress em momentos de crises.
- Um bom vendedor que sabe usar o momento certo para apresentar os resultados com métricas convincentes para o board e usa adequadamente os recursos e o melhor de cada solução de segurança.
- Ele ou ela sabe que seu papel é injetar a cibersegurança como uma prioridade na organização, ou seja, mesmo sendo um executivo com uma boa visão de negócios, no fundo tem como uma raiz a paixão sobre o tema, a alma de um hacker.
- Ele ou ela tem um plano diretor de segurança com metas claras. Se o CEO ou qualquer executivo lhe perguntar por onde começar, saberá a melhor resposta, pois há algumas regras a seguir, mas dependendo do modelo de negócio ele ou ela irá discernir e onde priorizar os seus esforços.
- O bom líder entende que o estilo de vida em cibersegurança requer melhoria contínua e por isso sua mente nunca deve parar e está sempre ligado com sensores sobre o que está acontecendo com a transformação digital lendo white papers, estabelecendo networking, participando de grupos de discussão e eventos do campo.
Sua missão é abraçar o ecossistema viabilizando que todos os recursos necessários sejam usados com eficácia, entendendo os melhores frameworks e standards de segurança, governança e cibersegurança, e sempre de olho nas novas tendências de mercado por meio de empresas especializadas neste contexto como Gartner, IDC, e prayers de segurança que estão sempre divulgando tendências de ameaças e o futuro da tecnologia. Bom é isso, o bom líder de segurança nunca dorme e está sempre atento e enxergando o futuro e acima de tudo sabe e conhece os benefícios ao negócio que a gestão e governança de segurança proporciona para a organização. Como diz o sábio: instrua o homem sábio, e ele ainda será mais sábio; ensine o homem justo, e ele aumentará o seu saber. Que este artigo sirva como um ponto de reflexão para todo o profissional de cibersegurança que tem de alguma forma responsabilidade sobre este tema.
Este artigo foi publicado no portal Security Report.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
Comentários
Postar um comentário