O CISO em empresas de grande porte: papel, desafios e responsabilidades na prática

Por Glauco Sampaio – Former-CISO | CEO na Beephish
Simplifico a gestão de riscos digitais | Segurança da Informação | 
Conselheiro de Riscos | Transformação Digital | Tecnologia e Inovação | 

No mercado vemos uma ascendência muito grande de profissionais de segurança a cargos de diretores e gestores sênior de equipes de segurança, e isso mostra que nosso mercado vem ganhando maturidade, o que é bom. Mas na prática, olhando para essa cadeira, muitos deve pensar ou ficar imaginando: o que realmente é a trabalho do CISO que está nessa posição? 

Pois é, o objetivo desse artigo é com base na minha experiência prática e de muitas conversas com colegas de mercado, trazer um pouco da visão do que é estar nessa posição de CISO, o que se espera e é cobrado desta pessoa, e também o que ele faz na prática em seu dia a dia. 

Posição de CISO X tamanho de empresa, isso tem uma correlação direta? 

Não necessariamente! Vemos no mercado hoje um cenário muito diverso em relação a isso:  

– empresas muito grandes que faturam bilhões com CISOs em posições pequenas 

– empresas grandes que tem CISO em posição executiva de verdade 

– empresas pequenas ou startups com CISOs em posição de diretoria 

– empresas que posicionam o CISO como diretor para atender a pedidos externos (reguladores, auditorias ou investidores) 

– e se ficar elucubrando aqui, vão aparecer mais uns 10 cenários pelo menos… 

Na verdade, na minha opinião e experiência, o quanto a empresa está “preocupada” com segurança e dá condições do CISO exercer sua função como deveria não está diretamente ligada ao seu tamanho, e sim como os demais executivos enxergam a importância da segurança para o negócio. 

Na prática, se o board da empresa e os demais executivos não estiverem alinhados com a necessidade de fazer segurança, esquece, você poderá até receber orçamento, estrutura, gente… mas na prática pouca coisa conseguirá ser feita de verdade em prol da segurança (uma verdade bastante inconveniente, mas que é a grande realidade). 

Agora vamos falar do CISO na realidade 

 Achei importante falarmos sobre o ponto anterior pois ele muda completamente o que o CISO será capaz de fazer na prática nas empresas. Colocado esse ponto, vamos falar agora de quais seriam as reais atribuições de um CISO numa empresa que dá condições de você exercer sua função como deveria, vamos falar aqui sobre quais seriam as atividades do dia a dia, o que você deve entregar e suas responsabilidades (que muitas vezes ninguém te conta nas entrevistas, rs). 

Parece chover no molhado falar nisso, e é na verdade, mas vivemos num mundo onde as mudanças, evoluções e necessidades de negócios surgem numa velocidade tão grande que o CISO dificilmente consegue, mesmo com recursos, estar atento a tudo e todos ao mesmo tempo. Para dar conta você vai precisar: 

1. De um time para te suportar, primeiro porque você não terá tempo para “fazer” coisas práticas, o meter a mão na graxa não é uma realidade para a posição de um CISO, isso tem que ser atribuição do seu time e você tem que estar confiante (e ter o desapego) para delegar as atividades para a equipe. Você acabará tendo que dedicar grande parte de seu tempo a conversas e reuniões onde o foco não é a segurança prioritariamente. 
2. De alianças com parceiros internos estratégicos. Você precisa conhecer a se aproximar das pessoas que são formadoras de opinião internas (independente do nível hierárquico delas) e trazer elas para seu lado como parceiros, isso vai ajudar muito a criar uma imagem positiva da segurança. 
3. Ter o suporte constante dos executivos para conseguir os recursos e suporte necessário para que as ações de segurança fluam como deveriam e principalmente para que você consiga fazer parte dos processos que não ficam sob responsabilidade de segurança e as áreas podem “esquecer” de envolver a segurança. 
4. Conhecer mais sobre o negócio da sua empresa (foi-se o tempo em que segurança se resolvia somente com questões de segurança puras, com tecnologias e serviços específicos). Se você não for capaz de conectar a segurança aos riscos de negócio, você não vai conseguir o engajamento das pessoas necessárias. 
5. Ser capaz de entender o jogo político da empresa e como você se conecta a elas. Acho hipocrisia não falar sobre isso, mas as pessoas tem seus próprios interesses e muitos deles podem ser contrários ao que a segurança precisa que seja feito. 

Essas são algumas das necessidades para conseguir desempenhar um bom papel de CISO, isso é geral para todas as empresas, mas em empresas maiores acaba sendo algo cada vez mais necessário. 

E as responsabilidades desse CISO? 

Pois é, isso também muda bastante! Em uma empresa onde segurança é levada à sério, as responsabilidades do CISO são maiores. Você passa a ter que aprender a gerenciar um montante financeiro (orçamento) e de pessoas (equipe) em constante crescimento para conseguir entregar os resultados que a empresa precisa. Você também passa muitas vezes a ter que se posicionar como Porta-voz oficial da empresa (interna e externamente), isso parece simples, mas não é, quem nunca teve a experiência de fazer um bom mídia-training sabe o quanto isso pode ser desafiador. 

Também será necessário ter interlocução constante com os alto-executivos e muitas vezes o conselho de administração da empresa, que é um tipo de conversa que demanda muita preparação e experiência pra que tenha o resultado positivo como esperamos. Além disso, você também terá que ser responsável por traduzir para o time de segurança as necessidades da empresa, isso em muitos casos é bastante complicado pois as necessidades podem não estar alinhadas ao que nosso time considera correto ou necessário para a segurança, mas você tem que ser capaz de fazer para não perder o controle sobre da equipe e das demandas externas. 

Reflexão final 

Aceite algumas verdades: 

• Você será responsabilizado por coisas fora do seu controle. 

• Nunca terá orçamento suficiente para fazer tudo. 

• Sua maior batalha é cultural, não tecnológica. 

• Seu sucesso poderá ser medido por incidentes que NÃO aconteceram (e ninguém verá). 

• Um grande reconhecimento poderá ser ninguém “lembrar” da segurança, porque ela realmente já faz parte da empresa. 

• Você precisará defender suas decisões anos depois. 

• Seu maior ativo é sua reputação e credibilidade. 

Enfim, o reconhecimento e a felicidade (pois sim, é uma felicidade atingir uma posição pela qual batalhamos bastante) vem acompanhada de uma grande mudança e de muitas novas necessidades, mas que bem conduzida, com preparo e suporte, é uma jornada muito gratificante.  

A pergunta não é se você está pronto. A pergunta é: você está disposto a se transformar no líder que esse papel exige? 

Bem-vindo ao jogo mais estratégico da sua carreira.