Fonte: SecurityReport
Um relatório recente destacou que o CSO pode assumir características diferentes: Defender, Scientist, Sleuth, Hacker, Firefigther, Stragegist e o Advisor. Mas quais habilidades definirão um bom líder de Segurança?
Ao longo destas quase três décadas trabalhando com tecnologia e especificamente em Segurança da Informação – agora mais conhecida, dado o novo cenário e novas formas de cyber threats – tenho pensado sobre as novas posições em Cybersecurity. Recentemente a Deloitte do Canadá publicou um relatório que posiciona a importância das posições e ressaltou que estão em mudança.
O relatório denomina os seguintes cargos: Defender, Scientist, Sleuth, Hacker, Firefigther, Stragegist e o Advisor. Então, vamos conhecer um pouco mais sobre estes papéis:
Defender – > Suporta, administra e mantém a segurança dos sistemas, dados e redes.
Scientist -> Realiza análises especializadas de inteligências de ameaças e informações criptografadas e SI para melhorar a postura de segurança.
Sleuth -> Investiga eventos de cibersegurança ou crimes relacionados a sistemas, redes e evidências digitais.
Hacker -> Realiza atividades especializadas de detection & deception de ameaças para identificar e mitigar os riscos de cibersegurança.
Firefighter -> Identifica, analisa e mitiga as ameaças a sistemas internos, dados e redes.
Strategist -> Fornece gestão, direção e mediador em cibersegurança.
Advisor -> Aconselha sobre o conceito, design e/ou construção de sistemas e redes seguras.
Agora que já sabemos as atribuições destes cargos a pergunta que devemos fazer é quais são as posições mais difíceis de se encontrar hoje? De acordo com o relatório da Deloitte são papéis do Strategist e Scientist. Já as posições que se espera crescer no futuro com mais importância perante as demandas de cyber threats, GDRP, PCI-DSS, etc, serão as de Strategist, Scientist e Advisor.
Iniciei minha carreira em tecnologia em um dos primeiros provedores de Internet do País, a Mandic, em 1995, como Estagiário e Sysop. As peças foram se encaixando com entusiasmo e o discernimento que vinham com inspiração me direcionou a andar no caminho proposto pelo mercado.
Naquela época, a Internet era pouco conhecida, falar em e-mail era para hackers e amantes de tecnologia. A Internet estava em evidência e os profissionais de Internet em ascensão, e a disputa e procura por webmasters eram intensas. Certificações como MCSE da Microsoft e CNA/CNE da Novell para redes eram bem requisitadas.
Fui webmaster para uma grande fabricante de computadores e meu papel era garantir a segurança e disponibilidade no ambiente de Internet. Em outras palavras, tudo que tratava de Internet, Intranet e Extranet estava no escopo. Um pouco mais tarde, percebi a mudança no cenário e procurei discernir para onde eu teria que investir. De repente, a demanda por Linux expandiu e muitos provedores e grandes empresas trocaram seus ambientes de Unix Solares Enterprise 10000 para Linux em função da redução de custos no ambiente de TI.
Consequentemente, notei muitos profissionais seguir o mesmo rumo, mas um pouco depois a importância sobre a gestão de Segurança da Informação começou a impulsionar as grandes organizações sobre compliance com as melhores práticas, como ITIL, COBIT, NIST e ISO 27001. Neste momento o terreno ficou fértil e posições como Chief Security Officer (CSO) e Chief Information Security Officer (CISO) começaram a aparecer no Brasil. A chama queimou no meu coração e então decidi me especializar em gestão e já trabalhando com processos de gestão de segurança saindo um pouco da esfera técnica.
Por fim, naturalmente vieram o MCSO e CISSP e, junto com a experiência em campo, apareceu a tão esperada oportunidade de CSO para uma empresa de serviços de BPO e um pouco mais tarde em um provedor de cloud. Da mesma forma que evidenciei o Unix Solares ser substituído pelo Linux na época da construção do provedor IG, e agora chegou a era cloud. Literalmente os servidores físicos foram e estão sendo substituídos por servidores em cloud por vários benefícios como a elasticidade, agilidade, disponibilidade e custo.
É evidente que o cenário mudou agressivamente e consequentemente novas posições em Cybersecurity e novas atribuições fazem parte do cardápio destes profissionais. Em destaque no cenário atual estão o Strategist e o Scientist. É importante salientar que encontrar um bom líder de segurança ou Strategist tem sido delicado e nada fácil para as organizações. Então se você pretende investir na carreira de Cybersecurity sugiro avaliar bem o seu perfil e quais skills precisa para atingir este objetivo.
Baseando no relatório da Deloitte e no feeling que tenho desenvolvido na carreira, destaco que o bom Líder em Cybersecurity no futuro deverá ter um mix destas atribuições:
O novo CSO deve ser Strategist -> Saber gerir budget, pessoas e acima de tudo fornecer uma boa visão do real nível de segurança perante os riscos em Cybersecurity para o board de executivos e ao CEO é uma premissa.
O novo CSO deve ser Advisor -> Como um líder, precisa conhecer de tecnologia de segurança para saber corretamente como aconselhar sobre o conceito, design e como construir sistemas, aplicações e redes com a segurança desejada, especialmente em ambiente de cloud.
O novo CSO deve ser Generalista -> Como um líder é relevante juntar os conhecimentos do Scientist, Defender, Firefight, Sleuth e Hacker. Desde sempre abordo em meus artigos, que ter uma mente de hacker é importante para um security leader, mas frente a frente ao board é necessário que seja articulado e saiba usar bem as palavras. O board não quer ouvir o techniquês, mas que você seja um ponto focal para abordar sobre o tema de Cybersecurity com clareza e objetividade.
O novo CSO deverá ser Intencional-> Ter uma visão clara do propósito da posição na organização, ter foco no objetivo alinhado com o negócio, não ser insensato e sim sábio, firme e resoluto, a fim de reunir recursos e aprendizado, ser cercado de pessoas dedicadas a encontrar soluções para os cenários mais complexos em uma organização e não permitir que obstáculos e oposições como um vazamentos de dados o detenha.
O novo CSO deverá ser Líder -> Num cenário de crise é necessário saber administrar o estresse, valorizando as ferramentas preciosas que estão em suas mãos, sendo assim, o líder terá que aprender a lutar com gigantes, vide o exemplo do vazamento de dados da Equifax! Como ter firmeza e solidez para não deixar sua organização passar por um incidente daquela proporção? Além disso, o verdadeiro líder precisa influenciar as pessoas, especialmente os executivos, o time que lidera, seus pares e os colaboradores. Para ser influente é necessário estar inspirado e, portanto, o líder também precisa de visão sobre o que é necessário fazer para implementar e gerir um projeto de Cybersecurity, além de entusiasmo para transformar as lições aprendidas em excelência.
O verdadeiro líder tem em sua alma algo para manter a chama acesa e a de seus liderados, disposto para vencer e ignorar obstáculos, desânimo e seguir em frente. Alguns líderes esperam que ao se tornarem um executivo, sejam servidos por seus liderados, mas a chave é servir. Logo aprendi que para ser um bom líder e um profissional de destaque na área que atuo preciso ser servo. Como diz o sábio: em quem quiser ser o primeiro entre vocês, que se torne servo. Pois nem o filho do sábio veio para ser servidor, mas para servir o próximo.
Aprendi com um grande líder desta geração que na cultura deste mundo, quanto maior o grau de liderança de uma pessoa, mais servida ela espera ser. Na realidade é o contrário, quanto mais se crescer em autoridade, conhecimento e responsabilidade, maior a obrigação de ser exemplo de serviço.
Entretanto, o que faz um bom líder não é o seu título, mas o serviço por meio daquilo que você foi designado a fazer. Desta maneira, discernindo todas as informações acima, tenho pensado muito que o futuro líder em Cybersecurity pode ser também conhecido como Cyber Security Officer (CSO) que contempla os skills do Strategist, Scientist e o Advisor, posições esperadas a crescer com grau elevado de importância de acordo com a Deloitte, e ainda para ser um profissional completo e fazer a diferença. Quem sabe esta analogia no futuro próximo não se torne realidade em nossa profissão!
*Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP