Aprendizado e descoberta 4min de Leitura - 20 de setembro de 2022

Como se tornar um CISO

CISO

This post is also available in: Português Español

Os diretores de segurança da informação (CISO, na sigla em inglês) estão no mais alto nível das carreiras de segurança digital. Não há cargo mais alto do que ser um diretor de segurança da informação, assim como são grandes as exigências para chegar nesse nível.

Em grandes empresas, é uma posição que figura entre os executivos mais poderosos e influentes, e geralmente se reporta diretamente ao diretor presidente. Como tal, requer ampla experiência, conhecimento, especialização e habilidades práticas no maior número possível de aspectos da segurança da informação. Reunimos então 4 passos importantes para quem segue o caminho de se tornar um CISO:

1. Auto-análise

Ser um diretor de segurança da informação não é para todos. Exige motivação muito acima do convencional, determinação, dedicação, habilidades de liderança, capacidade de visão de futuro – e um profundo desejo de permanecer continuamente informado sobre as últimas tendências da área. Ou seja, precisa de muitos soft e hard skills.

Pela própria natureza do cargo, os CISOs também interagem com a maioria dos outros departamentos dentro da mesma empresa e com funcionários do alto escalão de outras companhias, assim como agências governamentais. Os profissionais bem-sucedidos devem realizar muito bem essas atividades para se destacar. Portanto, é necessário uma profunda autoavaliação antes de decidir avançar nessa carreira, por conta das várias habilidades necessárias.

2. O que estudar

Construir as bases para um cargo com responsabilidades tão amplas e variadas como um CISO requer formações diferenciadas. Obviamente, demanda diplomas em cursos de segurança da informação e também em administração e gestão.

Para executivos de nível superior como CISOs, cursos e certificações são mais do que desejados. Assim, espera-se um conjunto de titulações em áreas associadas à segurança da informação, bem como em gestão de pessoas e processos.

3. Certificações profissionais

Existem dezenas de certificações que podem ajudar o candidato a atingir o nível de CISO. Provavelmente, é melhor adicionar certificações em todas as disciplinas trabalhadas ao longo do caminho e quaisquer especialidades auxiliares que possam se aplicar à vaga.

Nesse contexto, o certificado chamado de CCISO é a conquista máxima para os diretores de segurança da informação. Trata-se de um programa líder do setor, que reconhece a experiência do mundo real necessária para ter sucesso nos mais altos níveis executivos de segurança da informação.

Também são valiosas as oportunidades de treinamento e certificações oferecidas por organizações como OSCP (Offensive Security Certified Professional), SANS Technology Institute, ISFCE (International Society of Forensic Computer Examiners) e IACIS (The International Association of Computer Investigative Specialists).

Certificações mais básicas, como CompTIA A+, que certifica as habilidades de suporte técnico e operacional de TI, também podem ser úteis. A ISACA (Information Systems Audit and Control Association) oferece uma certificação direcionada a gerentes de infosec – Certified in the Governance of Enterprise IT (CGEIT), e outra direcionada a auditores de infosec, denominada Certified Information Systems Auditor.

4. À frente das atualizações

Como é o caso da maioria dos cargos de segurança cibernética, é vital estar atualizado com o que está acontecendo no setor. Manter as habilidades e o conhecimento atualizados com as últimas tendências é ainda mais crítico para os CISOs, pois eles são encarregados de decidir como todos os recursos de segurança de informações de qualquer empresa serão implantados no presente e no futuro.

Por isso, é fundamental ter contato com associações de segurança da informação. Duas dessas instituições profissionais são a International Society of Forensic Computer Examiners®, ou ISFCE, e o Scientific Working Group on Digital Evidence (SWGDE). Outra fonte de artigos e informações sobre assuntos específicos em infosec é o SearchSecurity. O EC-Council também fornece artigos, podcasts, de outros CISOs em sua página CISO Resources.

A Information Systems Audit and Control Association (ISACA) também é uma grande fonte de treinamento e interação profissional. O Infosec Institute oferece uma variedade de recursos e treinamento para profissionais do setor.

O dia a dia de um CISO

CISOs são também conhecidos como os chefes de segurança digital, ou gerentes de segurança da informação. Algumas empresas confiam a essa pessoa de nível executivo todos os aspectos de segurança dentro da organização, incluindo funcionários e instalações. Nesses casos, o cargo pode ter o título de diretor de segurança.

Um CISO geralmente se reporta diretamente ao CEO (diretor presidente) e, às vezes, recebe um cargo no conselho de administração. Os CISOs têm a tarefa de determinar a direção geral dos recursos de segurança sob seu domínio, determinando como os recursos serão distribuídos nas várias áreas, gerenciando todas as pessoas em seu departamento e interagindo com todos os outros departamentos da empresa.

Os CISOs geralmente estão à frente das operações de segurança da informação de uma empresa nas interações com agentes externos. Em corporações maiores, em particular, isso pode muitas vezes envolver a supervisão do governo, agências reguladoras, formuladores de políticas e agências de aplicação da lei.

Habilidades esperadas

  • Experiência significativa com gestão de negócios e conhecimento prático de gerenciamento de riscos de segurança da informação, bem como tecnologias e estratégias de segurança cibernética;
  • Forte compreensão dos conceitos de Linux, virtualização e rede;
  • Familiaridade com os padrões de segurança da indústria, incluindo NIST, ISO, SANS, COBIT, CERT;
  • Conhecimento sobre os regulamentos atuais de privacidade de dados, incluindo LGPD e larga compreensão e experiência com Secure SDLC e DevSecOps ou automação de segurança;
  • Capacidade de entender e comunicar o impacto nos negócios e nos lucros que as operações de infosec têm na empresa.

As habilidades sociais procuradas pelos empregadores incluem: Habilidades de comunicação interpessoal, escrita e oral, capacidade de trabalhar sob pressão, organização e flexibilidade, fortes habilidades de liderança e experiência em planejamento estratégico e execução.

This post is also available in: Português Español