O que é preciso para ser um bom CISO?
A segurança informática é um desafio que tem subido de tom para as empresas e para os profissionais que, dentro das organizações, têm de gerir esta área. Os orçamentos aquém do esperado limitam estratégias, conclui a maior parte das pesquisas sobre o tema e a complexidade crescente das ameaças cria permanentemente novos desafios.
Um estudo feito pela Kaspersky (What It Takes to Be a CISO: Success and Leadership in Corporate IT Security) junto de 250 CISOs (Chief Information Security Officer), para perspetivar cenários para este ano, confirmava as tendências: 49% dos responsáveis pela segurança TI nas empresas europeias não previa alterações no orçamento disponível em 2019 (outros tantos acreditavam que a verba ia aumentar), 57% destes profissionais consideram-se mais pressionados que nunca na função e mais de metade mostrou-se preocupada com o aumento continuado do nível de ciberataques.
Como a mesma pesquisa mostra, há uma consciência crescente dos profissionais (80%) de que há falhas inevitáveis.
Estar bem preparado para lidar com elas é o mais importante e isso implica muito mais mais do que tecnologia. Implica estratégias que vão além do departamento TI, boa gestão de risco e profissionais com o perfil e as competências certas para abraçar a tarefa. Mas afinal, que caraterísticas são essas?
Os requisitos fundamentais
«Um CISO ou CSO (chief cybersecurity officer) é um “Jack of all trades” na organização. Quanto mais houver em falta na organização no que diz respeito à cibersegurança mais será assumido por esta figura, obrigando a que tenha um leque de competências bastante abrangente», defende Jorge Pinto.
Do ponto de vista técnico, deve ser alguém capaz de compreender os riscos a que a organização está sujeita, ter a capacidade de se manter atualizado sobre novas tendências e desafios no sector e um «sentido estratégico para a definição, implementação e monitorização das atividades necessárias para reduzir a exposição da empresa aos riscos a que está sujeita».
Para o presidente da AP2SI é ainda importante que a isto se junte um boa capacidade para fazer a ponte entre o IT e o negócio, um atributo que não é o único a destacar.
A capacidade de comunicar é aliás uma das caraterísticas mais apontada por especialistas do sector, como fundamental num profissional que hoje tenha a cargo a definição e a gestão da cibersegurança numa empresa.
A importância das soft-skills
As chamadas soft skills saltaram para a ribalta nas mais diversas áreas e esta não é exceção. Entre as mais valorizadas neste caso concreto estão «a capacidade de comunicação, de resolução de conflitos e de construção de consensos» elege Rui Serapicos, managing partner da Cionet Portugal.
Uma das grandes missões dos profissionais de cibersegurança nas empresas está em sensibilizar e «defender um tema que nem sempre está na agenda dos decisores», como sublinha Orlando Fontan, leanchange manager, especialista em segurança e docente. O responsável concorda por isso que a missão deve ser entregue a quem tenha boa capacidade de comunicação, um perfil de negociador e a preocupação de sensibilizar e agilizar a formação de todos os colaboradores em cibersegurança, para lidar com ameaças que muitas vezes não sabem como atuam, ou sequer que existem.
Leia também: Cibersegurança (ainda à) conquista de um papel principal nas empresas em Portugal
Hoje, mais do que nunca, pede-se também que estes profissionais trabalhem com os diferentes departamentos dentro da empresa, para antecipar ameaças, prevenir ocorrências, garantir a segurança da informação e reduzir os riscos operacionais de eventuais ataques, como destaca ainda Orlando Fontan.
Esta “expansão territorial” dentro da organização tem aumentado a importância e influência crescente do CISO dentro da organização, mas também trouxe novas responsabilidades, que exige outras competências.
«A função de um CISO bem-sucedido deixou de ser definida pelos conhecimentos técnicos», admite Rui Serapicos. «Tem havido uma migração rápida de CISOs táticos e técnicos para verdadeiros líderes de negócio, com uma visão e abordagem sistemática a programas de risco e segurança».
Novas competências para novas funções
O grande desafio destes profissionais, neste novo âmbito de atuação, passou a ser a capacidade de equilibrar as necessidades do negócio, com o apetite por risco da organização, acrescenta o responsável da Cionet Portugal, absorvendo maior responsabilidade na expansão e competitividade do negócio, com um nível de risco e compliance o mais aceitável possível.
Esta mudança de papel exige novas competências técnicas, que complementem o know-how na área tecnológica e é nessa linha que Orlando Fontan vê como uma mais-valia para um profissional de cibersegurança ter conhecimentos nas áreas de gestão de risco e auditoria, ou a aposta em certificações, «nomeadamente o CISA e CISM da ISACA ou mesmo o CISSP da (ISC)2.
A formação em torno da ISO 27001 é outra aposta que vale a pena fazer, segundo o responsável, que a vê mesmo como um bom ponto de partida para dar início ao percurso formativo do responsável pela cibersegurança de uma organização.
Publicado em:
TalentoPartilhe nas Redes Sociais
