Segurança da Informação: Gestor da Segurança da Informação

Todas as mudanças importantes ocorridas em Segurança da Informação demandavam um novo profissional. O gestor de tecnologia não tinha condições, e muito menos tempo, para assumir toda essa área que se constituía com velocidade estonteante. A resposta foi a criação de uma nova função dentro da companhia que organizasse e coordenasse as iniciativas em Segurança da Informação em busca da eficiência e eficácia no tema.

Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode desenhar a estratégia de Segurança da Informação de maneira competente, implementando políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade. Ainda que a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes companhias, não se chegou a um consenso sobre a natureza do seu cargo.

 

Responsabilidades

Algumas metas gerais para os gestores de segurança são:

• Desenvolver e implementar políticas, padrões e guias gerais para o pessoal, para a segurança de dados, recuperação de desastre e continuidade de negócios.
• Supervisionar o contínuo monitoramento e proteção da infra-estrutura, os recursos necessários de processos que envolvam pessoas ou dados.
• Avaliar possíveis brechas de segurança e recomendar as correções necessárias.
• Negociar e gerenciar service-level agreements (SLAs) com fornecedores externos de serviços de proteção ou hospedagem de dados.

 

Qualificações

Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também e aumentam as atribuições e as habilidades necessárias para exercer a função de CSO. Hoje, um CSO tem de entender de segurança, conhecer bem os negócios e participar de todas as ações estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de negócios. As qualificações que costumam ser exigidas para o cargo de CSOs são:

• Habilidades em questões de segurança física – Familiaridade com a linguagem e os dilemas próprios da TI – Experiência prévia em segurança é um destaque, se acompanhada também por conhecimento de negócios;
• Exigência de lidar com pessoas – Facilidade de comunicação, para ter a desenvoltura necessária para fazer a interface tanto na esfera de decisão quanto nos diversos setores e níveis culturais dentro da companhia;
• Capacidade de liderança e de gerenciamento de equipes para atingir uma atuação bem-sucedida em qualquer corporação;
• Ter conhecimentos maduros sobre questões como autenticação, auditoria, preservação da cena do crime real ou virtual, e gerenciamento de risco – Ter visão estratégica e experiência no gerenciamento das operações;

 

Formação

Geralmente, o CSO possui formação em Ciências da Computação, Engenharia ou Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas é diminuir os riscos nas operações, com todas as conseqüências positivas. Mas a verdade é que um profissional assim tão completo não é encontrado facilmente no mercado. Por isso, calcula-se que há mais de 20 mil vagas abertas para CSOs naquele país. No Brasil, a demanda não chega a ser tão grande, mas esses profissionais já são comuns em instituições financeiras, seguradoras, operadoras de telecomunicação e empresas com operações na Internet. Especialistas em carreira recomendam que o CSO tenha atuação independente e não se reporte ao CIO, mas diretamente à diretoria ou à presidência.

Estatísticas recentes apontam para o crescimento dos empregos na área de segurança. De acordo com estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium, a projeção de profissionais para a região das Américas passará de 647 mil em 2010 para 787 mil em 2011.

O estudo Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação e 73% afirmaram que esta tendência se manterá.

Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. E para isso, é preciso contar com profissionais competentes para lidar com soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas. Dessa forma, o CSO deve proceder a gestão de riscos e está mais integrado às funções de negócio. Profissionais de segurança precisam aprimorar suas habilidades técnicas e de negócio para que possam exercer a função.

Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação é procurar obter certificações de uma associação de segurança profissional, para ajudar a impulsionar a carreira. Para 90% dos participantes da pesquisa envolvidos com contratação, as certificações são um pouco ou muito importantes na decisão de contratar alguém. Mais de 60% pretendem adquirir pelo menos uma certificação de segurança da informação nos próximos 12 meses.

A certificação de Segurança da Informação pode ser dependente e/ou independente de fabricantes e ambas são úteis para o desenvolvimento da carreira. As “credenciais” atreladas a fabricantes (como as da Cisco e da Microsoft, por exemplo) são meios importantes para conseguir as habilidades necessárias ao cargo. No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificações Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções.

Ao elaborar o plano de carreira, as associações que oferecem serviços de construção de carreira e educação continuada podem ajudar. No contato com essas associações, o candidato a CSO pode explorar oportunidades para demonstrar sua experiência na área, fazer parte de redes de comunicação com colegas, e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário.

Entretanto, certificações e experiência na área são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CSO, é necessário saber se comunicar em termos de negócios. Para isso, a proficiência técnica deve ser aliada à habilidade de transmitir o valor do negócio. O CSO deve ser capaz de explicar os benefícios da segurança em termos de retorno do investimento (ROI), seu valor para melhorar a capacidade da empresa em fechar negócios, além de deixar claro quais são as soluções práticas que ela pode trazer para a resolução dos problemas.

Dicas para se tornar um CSO

1. Aprender a colaborar com outros departamentos, para integrar e avaliar outras funções. Pesquisa da IDC indica os entrevistados afirmam que 62% de suas tarefas cotidianas dependem da troca de informação ou da cooperação com outras pessoas.
2. Adotar a abordagem do valor agregado, ou seja, alinhar suas atribuições e responsabilidades com as metas de negócio de cada departamento.
3. Desenvolver seu próprio círculo de confiança dentro da organização, com representantes de cada departamento para ajudar a promover a compreensão mútua, a valorização e o trabalho em equipe.
4. Manter conversas com executivos para que eles possam conhecê-lo e aprender a confiar em você. Essas conversas devem ser sucintas, porém expressivas, contendo termos de negócio e não vocabulário “geek” ou acrônimos. Determine como você pode agregar valor às suas metas e demonstre por que você deve ser consultado ou incluído em uma reunião.
5. Oferecer treinamento para conscientizar os executivos e usuários sobre ameaças à segurança que afetam os home offices e apresentar técnicas de prevenção. O objetivo é conquistar confiança dos executivos na sua capacidade de fazer recomendações para as redes da empresa.
6. Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff de segurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível ao equilibrar os riscos à segurança com os processos de negócio que ajudam a organização a cumprir as metas.