Especialista oferece dicas para profissionais que desejam liderar a área de segurança de uma companhia
Você gostaria de tornar-se um diretor de segurança, ou chief security officer (CSO) algum dia?
Se a resposta é sim, há alguns passos que você deve tomar a partir de agora para fazer isso acontecer, afirma John P. Pironti, chief information risk strategist da Getronics. O especialista lidera o “CSO Boot Camp”, um treinamento intensivo que ocorre dentro do evento Interop, sobre tecnologia e negócios, que acontece esta semana em Las Vegas, EUA.
A primeira geração de CSOs foi formada por profissionais ‘high tech’ que conheciam as ameaças, as redes e a tecnologia. Agora, é a vez de uma segunda onda mais focada em negócios. Isso significa que qualquer técnico que queira assumir a posição de CSO tem que entender melhor sobre orçamento e políticas corporativas da mesma maneira que entendem complexidades sobre infra-estrutura.
Para aqueles profissionais técnicos que desejam atuar no cargo de CSO, Pironti oferece cinco idéias para entender ou regras para dominar:
Pense em negócios e não em tecnologia. Lembre-se que um CSO está realmente a serviço do negócio. Avalie que a tecnologia está sempre seguindo o problema. “Primeiro, você precisa entender o problema e depois utiliza a tecnologia para resolve-lo”, diz Pironti.
Seja proativo. Entenda as ameaças que virão sobre sua organização. Tente descobrir quais são os perigos antes que cheguem. Pironti diz que um bom CSO tem um controle firme sobre a probabilidade do que poderia acontecer e o impacto nos negócios da companhia. “Há um milhão de coisas que poderiam acontecer a você, mas o que é mais provável que aconteça?”, questiona.
Saiba como se comunicar para além de seu próprio mundo. O quanto você se comunica bem dentro do ambiente de negócios? Muitas pessoas no campo da segurança são boas ao falar em termos técnicos mas não estão muito preparadas para a maneira mais significativa de se comunicar com outros executivos. Um bom CSO tem que ser capaz de se adaptar a diferentes ambientes. “Como você inclui a segurança da informação em sua rotina?”, pergunta Pironti. Em sua opinião, a equipe de gerenciamento quer ver PowerPoints e números, é o que eles entendem. Conheça sua audiência, entenda a cultura corporativa e o modo como as pessoas aprendem.
Aprenda a criar uma cultura de código seguro. Você precisa ser capaz de criar uma cultura onde as pessoas sentem que podem gastar seu tempo para realmente escrever melhor, em um código mais seguro. Tenha certeza que está focando naquela comunidade de programação. Os CSOs precisam ser capazes de colocar os processos e controles corretos a fim de que os desenvolvedores tenham oportunidade para construir códigos sem falhas, ou o mais próximo possível da perfeição, diz Pironti. Trata-se de permitir que os programadores façam seu trabalho aproveitando suas melhores habilidades. Descubra de onde os problemas costumam se originar e então os corrija.
Métricas, métricas, métricas! Os CSOs têm que ser capazes de provar que o que estão fazendo está funcionando bem e cada vez melhor. “Para se tornar um CSO você precisa saber como desenvolver, reportar, e analisar métricas”, diz Pironti. “Primeiro, você tem que entender o que você tem medir; o que é signficativo e o que não é; como analisar as métricas que você obtém; e então como reporta-las a diferentes públicos. Se você está atuando em um departamento de negócios, precisa justificar recursos e investimentos. Trata-se de tornar o programa de segurança da informação um processo de negócios que se repete e se sustenta, que possa ter custos acessíveis e mostrar valor para a atividade fim da empresa.
* InformationWeek EUA