Um Director de Segurança da Informação (CISO) é um executivo de alto nível cujo papel é assegurar que a segurança da informação empresarial de uma organização seja adequadamente protegida e melhorada. A sua organização necessita de um?
Segundo a APMG International, a segurança da informação empresarial e a garantia da informação nunca foram tão importantes. Hoje, vivemos numa sociedade onde relatórios, incidentes, notícias e eventos relacionados com a segurança da informação empresarial se tornaram padrões familiares e as nossas notícias regulares. A onda crescente de ciberataques tem feito da segurança da informação uma das principais preocupações de todas as empresas, organizações e estados nacionais.
As organizações estão agora a dar prioridade a melhorias na segurança da informação empresarial, incluindo formação de agentes de segurança, certificações de gestão de risco, tecnologia melhorada, políticas, e outras actividades de sensibilização, para mitigar as ameaças e vulnerabilidades da segurança da informação empresarial.
Para o mesmo organismo, “não só a sua organização necessitará de um CISO competente, mas também um Chefe Certificado de Segurança da Informação (CCISO) seria uma melhor opção”. Assim, se é um profissional de TI, um profissional de segurança informática, ou apenas um entusiasta da segurança informática que deseja melhorar as suas opções de carreira, considere a possibilidade de tomar um programa de certificação para lhe dar o impulso necessário.
Qual é o papel de um CISO?
O Director de Segurança da Informação (CISO) é um executivo de alto nível cujo papel é criar e sustentar a estratégia, missão e sistema da organização para garantir que a segurança da informação empresarial de uma organização seja adequadamente protegida e melhorada. O papel de um CISO é supervisionar tecnologias de segurança, responder adequadamente a incidentes, conceber normas e controlos adequados, e também gerir a formulação e execução de políticas e processos.
“O papel de um CISO é uma posição muito cobiçada, uma vez que combina tanto a capacidade técnica como as competências de gestão”. Descobrir um indivíduo com todas estas aptidões “é muitas vezes difícil”. Pode melhorar as suas hipóteses de ser considerado para um cargo CISO tornando-se um Chief Information Security Officer (CCISO) certificado. Pode também obter uma certificação online de formação em gestão de riscos para validar as suas competências ou adquirir todas ou a maioria das competências seguintes.
- Necessita de uma base sólida em conceitos de redes informáticas, incluindo VPN, DNS, DDoS e DoS, autenticação, proxy, e outros controlos de mitigação equivalentes.
- Precisa de capacidades de negociação e competências relacionadas com qualidades interpessoais.
- Um bom CCISO possui vastos conhecimentos sobre a arquitectura da inovação e da segurança. Espera-se também que compreendam as práticas e abordagens adequadas para a estratégia de TI.
- Tem uma vasta compreensão da missão empresarial e, portanto, alinha-a com os objectivos de segurança da organização.
- Devem possuir proficiências em sistemas operativos e linguagens de programação semelhantes ao Unix e Windows, tais como PHP, Python e Java.
- Experiência com roteamento, TCP/IP, e comutação.
- Possuem capacidades de liderança eficazes que influenciam.
- Compreende a protecção de dados ou informação de dados.
- Devem ser capazes de identificar e construir uma arquitectura de segurança de rede.
- Espera-se que um CCISO esteja ciente e compreenda o risco de governação e conformidade, tais como GLBA, PCI DSS, NIST, HIPAA, SOX, e NIST.
- Os CCISO devem ser capazes de lidar com estruturas tais como ITIL, ISO 27001, COBIT, e ISO 27002.
- Devem estar familiarizados com protocolos que avaliam e executam a prevenção de intrusão, firewalls, e detecção de intrusão.
- Precisam de fortes capacidades de comunicação com a direcção e outros executivos de nível C e construir fortes relações com outros departamentos dentro da organização.
- Vastas capacidades de hacking ético, capacidades de codificação de alta tecnologia, e conhecimentos sobre modelação de ameaças.
Se pretende melhorar os seus conhecimentos e sensibilização em matéria de cibersegurança, “é muitas vezes aconselhável investir na formação de agentes de segurança e outras certificações baseadas em TI que tenham o potencial de melhorar o seu currículo”. Uma certificação popular de ciber-segurança que deve obter é o Certified Information Chief Information Security Officer (CCISO) da EC-Council.
“É espantoso o número de grandes organizações que ainda não contrataram uma CISO. Na realidade, apenas algumas empresas podem prescindir de um departamento de TI, sendo a segurança da informação empresarial um aspecto fundamental de todas as operações empresariais”. Embora, mesmo um CISO possa não garantir que os ciberataques não atinjam a rede ou o dispositivo da sua organização. No entanto, “incorrerá em menos custos e minimizará os danos quando tiver um especialista que possa gerir o incidente”.
A sua “segurança cibernética e de informação empresarial e a segurança de dados requerem um profissional especializado com vastos conhecimentos e aptidões no que diz respeito às questões técnicas e administrativas relacionadas com o negócio”.
Os CISO tratam da segurança da informação empresarial, risco e conformidade da governação, controlos da tecnologia da informação, gestão de riscos, forense digital, continuidade do negócio e recuperação de desastres, infra-estrutura informática, eDiscovery, garantia da informação, resposta a emergências, e privacidade da rede ou sistema, entre vários outros.
Como saber quando a sua empresa deve contratar uma CISO?
Então, como sabe que a sua organização requer os serviços de uma CISO? Se se enquadra nas seguintes categorias, então precisa de uma CISO.
- Registos de Infracções de Segurança
“Se a segurança da sua informação comercial tiver sido comprometida em uma ou mais ocasiões, então precisa de um CISO”. “Pode parecer um desperdício desde que a sua rede e os seus dispositivos já foram comprometidos, mas os hackers maliciosos são gananciosos e frequentemente implacáveis. Não se deterão num único ataque. Querem muitas vezes testar aquilo com que os seus programas de segurança podem lidar”.
Não têm forma de saber que o seu plano de resposta a incidentes e outros controlos de segurança irão resistir eficazmente a um potencial ataque. Por conseguinte, precisa de contratar um CISO competente para lidar com a segurança da sua informação empresarial.
- Ambiente de Ameaça Intrincada
A dimensão da sua empresa determinará as suas necessidades de segurança cibernética. As necessidades de cibersegurança das PMEs com dezenas de empregados serão diferentes das de uma grande organização com milhares de consumidores e trabalhadores. A contratação de um CISO é uma consideração crucial. O seu ambiente de ameaça deve ser a sua principal deliberação ao ponderar se deve ou não contratar um CISO.
Não quer esperar até que a sua rede ou sistemas tenham sido comprometidos antes de ter um plano de reserva. A complexidade do seu negócio determinará a forma de dar prioridade à sua segurança. Compreenda que a complexidade do seu negócio não é automaticamente a mesma que a escala do seu negócio. No momento em que a sua organização estiver pronta para associar a segurança da informação empresarial a outros executivos de alto nível, então precisa de um CISO.
- Risco de governação e conformidade
As organizações que prestam serviços financeiros ou de saúde são extremamente regulamentadas. Assim, espera-se frequentemente que as empresas que operam nestas indústrias tenham abordagens mais avançadas de segurança da informação empresarial do que os estabelecimentos regulares. O prejuízo legal, regulamentar, reputacional e financeiro do desafio ou do fracasso poderia compensar a compensação e as vantagens que se daria a uma CISO.
- Uma escassez de especialistas em segurança da informação empresarial
Há falta de profissionais de TI na indústria da cibersegurança. A procura de profissionais de segurança da informação empresarial excede os conjuntos de competências disponíveis. Só isto é uma indicação de que a sua equipa de TI pode não possuir as competências necessárias para lidar com tais incidentes. “Poderá não precisar de contratar um CISO se a sua organização já tiver um profissional de TI a tratar das suas necessidades de segurança de informação empresarial e também a fazer malabarismos com a liderança necessária, tais como um CSO, COO, CIO, ou CTO”.
No entanto, uma vez que pode ser complicado designar um membro adequado para chefiar as suas exigências de segurança informática da sua equipa de TI, a habilitação ou contratação de um CISO pode ser essencial. Também precisariam de formação de agentes de segurança ou obter certificações de gestão de riscos em linha para se tornarem uma boa CISO.
Quantas empresas têm uma CISO?
A posição expande-se e flutua a um ritmo semelhante com o ambiente de segurança cibernética e de segurança da informação empresarial. Surpreendentemente, o número de empresas que actualmente têm uma CISO, é inferior a 50%, diz o organismo.
Anteriormente, as organizações contratavam outros cargos equivalentes, tais como um director de informação (CIO), director de segurança (CSO), director de tecnologia (CTO), director de operações (COO), ou um vice-presidente de segurança em vez de um CISO. Contudo, a descrição de funções de um CISO expandiu-se para incluir os riscos encontrados através da segurança da informação empresarial, privacidade do cliente, processos empresariais, e perícia digital, entre vários outros. Consequentemente, a tendência actual é a de reforçar a função da CISO dentro do departamento de TI.
Como pode tornar-se uma CISO?
Não existe uma forma fixa de se tornar uma CISO. No entanto, pode adoptar várias opções que aumentariam os seus conhecimentos e aumentariam as suas hipóteses de conseguir um emprego como CISO.
- Uma licenciatura: É necessário um mestrado ou pelo menos um bacharelato para se poder qualificar para um emprego como CISO. A via educacional potencial inclui a tecnologia da informação (TI), negócios, informática, TIC, ou outros campos equivalentes.
- Experiência de cibersegurança: A exigência média para um CISO é de sete a dez anos de experiência de trabalho. Considere ganhar experiência em gestão de riscos e governance, segurança da informação empresarial e programação. Ou pode também utilizar a sua experiência em hacking ético, engenharia de segurança, e analistas de segurança.
- Formação e certificações de agentes de segurança: Não existe uma única certificação per se para a obtenção de um emprego como CISO. No entanto, investir em programas de formação e certificação baseados em TI aumenta os seus conhecimentos de TI e também demonstra a sua dedicação ao campo. Uma certificação popular e aceitável é a CCISO.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.