Gestor da Segurança da Informação, CSO – Chief Security Officer

Introdução

Estabelecer procedimentos em transações corporativas, operar por meio de regras de acesso e restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou vulnerabilidades e, acima de tudo, manter um padrão no que se refere à segurança da companhia, dentre outras, são atribuições que culminaram na criação da função de  Gestor da Segurança da Informação, CSO – Chief Security Officer.

Todas as mudanças importantes ocorridas em segurança da informação demandavam um novo profissional. O gestor de tecnologia não tinha condições nem tempo para assumir toda essa área. A resposta foi a criação de uma nova função dentro da companhia que organizasse e coordenasse as iniciativas em segurança da informação na busca da eficiência e eficácia no tema.

Definir um bom gestor

Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode desenhar a estratégia de segurança da informação de maneira competente, implementando políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade.

Além disso, ainda que a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes companhias, não se chegou a um consenso sobre a natureza do seu cargo.

Responsabilidades

Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sob o mesmo chapéu a segurança lógica e a física. O isolamento entre essas áreas pode ser fatal para uma companhia no caso de um desastre natural, como o furacão Katrina em 2005, que atingiu a cidade norte-americana de Nova Orleans, ou o tsunami, que afetou a Indonésia em 2004, e até mesmo uma pane elétrica ou incêndio.

Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também e aumentam as atribuições e as habilidades necessárias para exercer a função de CSO.

Hoje um CSO tem de entender de segurança, conhecer bem os negócios e participar de todas as ações estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de negócios.

Geralmente, o CSO possui formação em Ciência da Computação, Engenharia ou Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas é diminuir os riscos nas operações, com todas as consequências positivas. Infelizmente, um profissional tão completo assim não é encontrado facilmente no mercado.

No Brasil, a demanda não chega a ser tão grande, mas esses profissionais já são comuns em instituições financeiras, seguradoras, operadoras de telecomunicação e empresas com operações na Internet. Especialistas em carreira recomendam que o CSO tenha atuação independente e não se reporte ao CIO, mas diretamente à diretoria ou à presidência.
Também, estatísticas recentes apontam para o crescimento dos empregos na área de segurança. De acordo com estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium, a projeção de profissionais para a região das Américas passou de 647 mil em 2006 para 787 mil em 2009.

O estudo Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO.

Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação, e 73% afirmaram que esta tendência se manterá.

Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. Desse modo, é preciso contar com profissionais competentes para lidar com soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas.

Assim, o CSO deve proceder a gestão de riscos e estar mais integrado às funções de negócio. Profissionais de segurança precisam aprimorar suas habilidades técnicas e de negócio para que possam exercer a função.

A certificação de Segurança da Informação pode ser dependente e/ou independente de fabricantes e é bem útil para o desenvolvimento da carreira. As credenciais atreladas a fabricantes, como as da Cisco e da Microsoft, por exemplo, são meios importantes para conseguir as habilidades necessárias ao cargo.
No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificações Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções.

Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação é obter certificações de uma associação de segurança profissional para ajudar a impulsionar a carreira.

Conclusão

Ao elaborar o plano de carreira as associações que oferecem serviços de construção de carreira e educação continuada podem ajudar. No contato com essas associações, o candidato a CSO pode explorar oportunidades para demonstrar sua experiência na área, fazer parte de redes de comunicação com colegas e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário.

É importante ressaltar, também, que certificações e experiência na área são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CSO é necessário saber se comunicar, em termos de negócios. Para isso, a proficiência técnica deve ser aliada à habilidade de transmitir o valor do negócio.

O CSO deve ser capaz de explicar os benefícios da segurança, acerca de retorno do investimento (ROI), e seu valor para melhorar a capacidade da empresa em fechar negócios, além de deixar claro quais são as soluções práticas que ela pode trazer para a resolução dos problemas.