Chief Information Security Officer (CISO) é um dos cargos de maior responsabilidade na área de segurança da informação. CISOs são os profissionais responsáveis por garantir que o conselho administrativo, o CEO e a empresa, se preocupem com segurança de dados, identificando as principais ameaças de um negócio e quais podem ser os impactos financeiros em caso de incidentes, além de desenvolver estratégias de segurança da informação eficientes.
- TOTVS compra 92% da RD Station por R$ 1,8 bilhão
- Jeff Bezos deixa cargo de CEO da Amazon para diretor da AWS, Andy Jassy
- Novos processadores vPro da Intel têm detecção integrada de ransomware
Sua rotina se resume em desenvolver, implementar e atualizar as estratégias de segurança, certificando-se de que a empresa opere com consciência para evitar qualquer surpresa indesejada. CISOs são profissionais multitarefas de nível executivo, que também respondem por incidentes de segurança e vazamentos de dados.
No Brasil, sabemos que existe uma alta demanda por profissionais de segurança qualificados. Esse cenário é ainda mais definido, quando o assunto é contratar um profissional habilitado a liderar uma equipe, que se comunique diretamente com o CEO e os investidores, além de responder pelos dados da empresa e capaz de justificar publicamente, caso a empresa se envolva em vazamentos de dados ou falta de adequação com a Lei Geral de Proteção de Dados (LGPD).
Por serem profissionais de nível C, ou seja, chefes de setores, CISOs ter bons salários. No entanto, na realidade brasileira os salários são bastante variados, tudo depende do tamanho e da relação da empresa com dados. De acordo com o Glassdoor, site que coleta informações do mercado de trabalho, no Brasil, a média de salários para CISOs é de R$ 21 mil por mês.
Mas, o que é necessário para trabalhar como CISO no Brasil? A The Hack entrou em contato com Burt Lima, CISO da RecargaPay e Galeno Garbe, CISO da Sky Brasil, que explicam que não há um caminho determinado, muito menos rápido, para conseguir uma posição no cargo, já que as empresas podem ser muito individuais e com necessidades específicas, além de ser um cargo que exige experiência e conhecimento técnico.
Para Burt Lima, que atuou na segurança da Redecard e do Itaú, embora um amplo conhecimento técnico e estar sempre atualizado seja fundamental, ter uma boa postura e ser capaz de traduzir o cenário técnico da cibersegurança para os membros do conselho e o CEO são os pontos indispensáveis para quem busca uma posição no cargo.
"Boa postura executiva e conseguir falar uma linguagem técnica de forma simples, que ajude a mostrar os riscos de um processo ajuda muito. O mercado procura por pessoas tecnicamente versáteis e que somem com suas experiências e conhecimento", diz Burt.
Já Galeno Garbe, que liderou a segurança da informação de empresas como Mercado Bitcoin, Uber, Movida e Sky, explica que para se tornar um CISO é necessário muito tempo de investimento e experiência profissional. "Não da para tirar alguém da faculdade, colocar em um programa de treinamento para ser CISO. Isso é impossível. É necessário que ele tenha caminhado nas áreas de cibersegurança, passado por cada uma das disciplinas e que tenha um perfil nato de liderança".
Capacitação
Para Burt, a questão da educação e capacitação é um ponto muito importante nessa jornada e embora os cursos da área sejam caros e em alguns casos até insuficientes, a possibilidade de estudar pela internet é uma alternativa bastante acessível.
"É difícil encontrar treinamentos de qualidade, pois além de serem caros, alguns ainda não entregam um bom conteúdo. Conhecer a área tecnicamente e ter habilidades diferenciadas possibilitam uma melhor visibilidade do mercado. Graças a evolução tecnológica conseguimos ter acesso a muita informação e conhecimento, coisas que no passado eram bem complicadas", lembra Burt Lima.
Assim como em qualquer cargo de tecnologia, são valorizados os profissionais certificados. Existem diversos certificados de segurança da informação disponíveis. Os certificados Certified Information Systems Auditor (CISA) e Certified Ethical Hacker (CEH) são de característica mais geral, mas não deixam de ser importantes.
Já para os cargos de gerência (CISOs e CSOs) o mercado busca profissionais de planejamento, que possuam conhecimento técnico aliado a um conhecimento administrativo.
Os certificados Certified Information Systems Security Professional (CISSP) e o Certified Chief Information Security Officer (CCISO) são específicos para esses cargos. No entanto, investir em uma graduação tradicional e uma pós-graduação Master Business Administration (MBA) pode ser considerado um diferencial valioso.
Para Galeno, é fundamental saber escolher a certificação certa para o momento certo da carreira. "A certificação que ainda é a mais cobiçada na área de segurança da informação é o CISSP. Essa certificação, no entanto, tem um direcionamento mais gerencial, indicada para profissionais que buscam uma carreira de CISO executivo, já que é necessário mais de cinco anos de experiência comprovada em segurança da informação para emitir o certificado", explica.
Para os jovens profissionais, que buscam uma carreira como CISO executivo, com perfil de diretor, mas ainda estão no começo da carreira, Galeno recomenda a começar com a certificação Security+ da CompTIA.
O executivo também chama a atenção para o ensino tradicional, que embora não prepare um profissional para trabalhar com cibersegurança, representa uma base sólida de conhecimento, necessária para trabalhar com segurança da informação.
"Não são todas as empresas que aceitam profissionais sem uma graduação tradicional, a faculdade é fundamental. O conhecimento exigido para atuar em cibersegurança, dificilmente será ensinado nas universidades, o que não significa que não seja necessária".
CISO, CIO ou CSO?
Nem todas as empresas possuem um profissional contratado como CISO, mas as empresas que lidam com dados e se preocupam com eles, certamente possuem um encarregado de segurança da informação.
É comum que empresas maiores possuam um Chief Security Officer (CSO) como encarregado da segurança da informação e da segurança física da empresa. Na presença de um CSO, o CISO responde para o CSO. Já que o CISO é dedicado exclusivamente a segurança de dados.
Outro cargo que está diretamente relacionado a segurança da informação é o Diretor de Tecnologia, em inglês: Chief Information Officer (CIO), que também é responsável pela segurança de dados na ausência de um CISO/CSO.
O CISO, no entanto, pode ser contratado por empresas maiores, para ser o gestor da segurança, assim como pode ser contratado por empresas menores onde vai trabalhar de forma mais técnica, junto ao time operacional de segurança.
"É incrível como o escopo de um CISO muda muito, dependendo do tamanho da empresa. No mercado você tem desde o CISO executivo, que lidera uma equipe, como também há empresas onde o CISO atua como gerente e põe a mão na massa mesmo, de forma mais operacional", diz Galeno.
Galeno explica que o conhecimento técnico é imprescindível para ambos os casos. "Se o CISO executivo, com perfil de diretor, não tiver uma base técnica sólida, ele pode prejudicar a empresa, gastando dinheiro demais com equipe e soluções de segurança".
Outras habilidades indispensáveis, segundo ele, é que o CISO precisa ser capaz de formar equipes que entreguem resultados e entender que o principal é o negócio e os clientes. Não adianta ter uma segurança impenetrável, mas um negócio sem funcionalidade. O negócio precisa funcionar e alguns riscos de segurança devem ser tomados.
"É fundamental ter em mente que o negócio e os clientes, vêm antes da cibersegurança. Determinados riscos de segurança são aceitos, se o negócio pedir que sejam aceitos", conclui o executivo.