0
0
Poucos oficiais chefes de segurança da informação subiram para as fileiras dos oficiais chefes de informação. Por um lado, pareceria uma progressão lógica. Os CISOs historicamente relataram aos CIOs. A importância de seus papéis cresceu tremendamente à medida que o cenário de ameaças fez o mesmo. Além disso, como a segurança subiu para uma preocupação de nível de diretoria, os CISOs são frequentemente convidados a falar perante a equipe executiva e diretoria, ressaltando a importância da disciplina, ao mesmo tempo em que elevam o perfil do executivo.
Então por que isso não tem sido um caminho maior? Em primeiro lugar, como os CIOs devem se concentrar cada vez mais na inovação, que é sobre a tomada de riscos, os CISOs gerenciam ou mitigam riscos. Isso não quer dizer que não haja uma inovação profunda que os CISOs possam empreender em nome de suas empresas, mas esse foco tem sido um fator limitante para a ascensão desses executivos, no entanto. Além disso, as funções de segurança podem ser siloed em relação a outras funções na tecnologia da informação, e a falta de papéis de liderança em TI pode ser vista como outro fator limitante.
Do lado positivo para os CISOs, eles são cada vez mais configurados como pares para CIOs em várias empresas com a crescente importância da segurança e o aumento dos casos de violações em uma ampla gama de empresas.
Um exemplo de ciso que subiu para o papel de CIO é Wafaa Mamilli, que é vice-presidente executivo e diretor executivo de informação e digital da Zoetis Inc., a maior empresa global de saúde animal. Mamilli foi a CISO Global de Eli Lilly por três anos até fevereiro de 2016, quando foi promovida para o cargo de Chief Information Officer Global, Unidades de Negócios da Eli Lilly.
Outro exemplo é Jason Ruger, que simultaneamente tem o título de CISO global da Lenovo, ao mesmo tempo em que atua como CIO da unidade de negócios da empresa Motorola.
Quando perguntado sobre como ela navegou o caminho do CISO para o CIO, Mamilli observou que o foco em viabilizar a estratégia de negócios tem sido fundamental. “Ao longo da minha carreira, sempre fiz questão de posicionar qualquer papel que eu tivesse no contexto da estratégia de negócios e resultados que aspiramos alcançar”, disse ela. “Isso me levou a ser um aluno contínuo do negócio e da tecnologia ao mesmo tempo. Coisas mágicas acontecem na intersecção de campos.”
Ela observou que seu papel como CISO foi uma espécie de “acidente feliz”, embora esteja feliz por ter essas responsabilidades. “Minha empresa me confiou o papel sem experiência alguma em segurança da informação”, disse ela. “Eu sei que isso foi por causa do meu profundo entendimento do negócio e da credibilidade em uma variedade de papéis em todo o mundo e da função Tecnologia.” Ela acredita que o papel do CISO foi a melhor oportunidade de aprendizado para ela, e tanto a curva de aprendizado íngreme quanto a intensidade da experiência a prepararam para as responsabilidades mais amplas que ela agora tem.
No duplo papel de Jason Ruger, ele deve equilibrar o desejo do CIO de coletar o máximo de informações de tantas fontes diferentes possível para construir insights com a responsabilidade do CISO de separar essas diferentes fontes para não permitir visualizações em múltiplas fontes de dados que resultariam em movimento lateral e aumento do risco. “Quanto mais dados temos ou que nossos clientes optam por compartilhar conosco, se optarem por privacidade, mais um passivo ele cria para a empresa”, disse Ruger. “Do ponto de vista do CIO, quanto mais dados temos que nossos clientes compartilham conosco ou mais dados coletamos de uma linha de fabricação para saber exatamente quais máquinas soldaram a parte específica para um dispositivo do ponto de vista da qualidade, melhores decisões posso ajudar a empresa a tomar como CIO.”
Mamilli acredita que o papel do CISO requer colocar o contexto empresarial no centro do processo de pensamento o tempo todo. “Equilibrar a segurança com a conveniência, ao mesmo tempo em que permite a inovação relevante no ritmo certo, é fundamental para ser um executivo que chega ao ‘sim’ em vez de ser um ‘não’ o tempo todo.” Em seu papel atual, ela se baseia no processo de pensamento que uma vez dominou suas responsabilidades. “Na minha função atual de CIDO, tenho uma profunda valorização dos riscos tecnológicos, da necessidade de segurança por design, além de upskilling as equipes para realmente fazer da segurança e da gestão de riscos o trabalho de todos”, observou.
Ruger acha que manter esse papel duplo o ajuda a entender melhor a necessidade de encontrar alinhamento sobre quais partes do negócio são mais importantes para proteger do ponto de vista da segurança cibernética e também em quais partes do negócio são mais importantes para investir. Ele também acha que, do ponto de vista do CISO, ter ambos os papéis o ajuda a entender melhor às vezes a direção oposta do CIO no que diz respeito a quais sistemas priorizar a partir de uma perspectiva de custo. “Como CIO, entendo a pressão que os CISOs colocam sobre os CIOs. Os CIOs normalmente estão sob muita pressão de custo; temos uma mistura híbrida geralmente de on-prem [computação] e nuvem. Esses sistemas nem sempre são corrigidos com tanta frequência quanto gostaríamos. Não podemos ter o tempo de inatividade, não temos os recursos, etc. Do ponto de vista do CISO, isso me ajuda a entender do ponto de vista do CIO que precisamos priorizar quais sistemas precisamos corrigir. Precisamos priorizar o monitoramento e as camadas que colocamos para que não tratemos todos os dados como o mesmo.”
Mamilli, por exemplo, acredita que mais pessoas devem ter uma passagem no CISO em seu caminho para se tornar CIO, pois é um conjunto de habilidades críticas que não vai diminuir tão cedo. “Acredito fortemente agora que a perspicácia de segurança e gerenciamento de riscos deve ter em qualquer posição executiva de nível C e digital”, disse ela. “Essa perspicácia pode ser adquirida através de experiências rotacionais. Eu recomendaria muito incluir uma atribuição de papel de segurança no plano de carreira de qualquer aspirante a ser CIO, CIDO.”
FONTE: FORBES