Principais recursos de desenvolvimento de habilidades e conselhos para CISOs

Views: 382

O papel do CISO evoluiu, assim como as responsabilidades. Alguns acreditam que um CISO deve ter conhecimento técnico e experiência como profissional de segurança cibernética, outros acham que as habilidades de liderança, como a capacidade de se comunicar com os conselhos, são o que mais importa.

Em última análise, as organizações contratantes definirão o que precisam em termos de segurança cibernética para encontrar a pessoa certa. Em finanças e seguros, por exemplo, haverá regras específicas que devem ser seguidas em diferentes países e os líderes de segurança cibernética dessas organizações podem até ser responsabilizados. Nas telecomunicações, as habilidades exigidas provavelmente serão mais técnicas, enquanto que no governo o conhecimento sobre governança e risco está no topo da lista.

“Por exemplo, uma organização menor que é um site greenfield ou uma grande multinacional onde já existe uma função de segurança estabelecida exigem diferentes conjuntos de habilidades e abordagens”, disse Joseph Head, diretor técnico de segurança da Intaso ao CSO. “Existem algumas semelhanças entre todas as funções do CISO, no entanto: uma compreensão do risco e do apetite ao risco – em outras palavras, uma compreensão do negócio e quanto risco ele pode carregar. Isso determina quanto trabalho um CISO deve fazer e, portanto, o orçamento disponível. Desbloquear esse orçamento só pode ser feito comunicando-se de forma eficaz.”[ Dê um impulso à sua carreira com as principais certificações de segurança: para quem são, quanto custam e do que você precisa .

Sejam habilidades técnicas ou gerenciais, aqueles que desejam se tornar CISOs, CSOs ou VP de segurança precisarão adquirir essas habilidades em algum lugar. O CSO conversou com alguns CISOs atuais e antigos em diferentes países sobre onde adquirir essas habilidades.

Histórias de desenvolvimento de habilidades CISO

Quer aprendam no trabalho, por meio de um certificado ou na universidade, os profissionais de segurança cibernética têm muitas maneiras de adquirir habilidades para obter os melhores empregos. Esclarecendo um ponto que ele fez em uma postagem no LinkedIn , Head diz ao CSO que “um entendimento de alto nível [técnico] ainda é importante, mas [CISOs] certamente não precisam conhecer os detalhes granulares de tudo em segurança. Eu vi algumas descrições de trabalhos CISO pedindo que eles pudessem codificar em Python ou ser um especialista em AWS. Este claramente não é o trabalho de um CISO.”

Os CISOs precisam ser competentes em quatro áreas, de acordo com Tony Vizza, diretor executivo da KordaMentha na Austrália.

1. Eles inerentemente precisam entender de TI.
2. Eles precisam entender os princípios fundamentais de segurança da informação e gerenciamento de riscos.
3. Eles precisam entender o ambiente legal e regulatório em que operam, que geralmente são ditados por regimes de privacidade.
4. Eles precisam ter uma compreensão fundamental de como as pessoas e os negócios funcionam.

Sua experiência profissional começou com um diploma de ciência da computação pela University of Technology Sydney , seguido por um MBA Executivo pela University of Sydney. Ele então estudou e obteve várias credenciais em segurança cibernética, gerenciamento de riscos e privacidade, incluindo certificações CISSP, CISM, CCSP, CRISC, CIPP/E e ISO 27001 Senior Lead Auditor. “E eu não parei. Estou planejando concluir minha certificação de privacidade CIPP/US, certificação de governança de TI corporativa CGEIT e curso GAICD em governança de diretores nos próximos dois anos, além de terminar meu diploma de Juris Doctor ”, disse ele à CSO.

Biljana Cerin, CEO da Ostendo Consulting na Croácia, iniciou sua carreira na faculdade, onde estudou ciência da computação na Universidade de Zagreb . Logo depois ela começou a trabalhar como engenheira de software de segurança. “Depois que entrei em contato com os padrões de segurança, fiquei mais interessada nos princípios gerais de governança, gerenciamento de risco e conformidade relacionados à segurança dos sistemas de informação”, ela diz ao CSO. Ela então adquiriu certificações da indústria como CISM, CISA, CGEIT, CBCP, CISSP. Mais tarde, quando passou a gerenciar projetos de segurança da informação, também obteve a certificação PMP. Atualmente, ela aconselha CISOs no estabelecimento de estratégias eficientes de gerenciamento de riscos de segurança cibernética, principalmente em organizações muito grandes.

Outra tendência da indústria é o pessoal de defesa se tornar um profissional de segurança cibernética. É o caso de Narelle Devine, CISO da maior provedora de telecomunicações da Austrália, a Telstra. Devine era uma oficial da Marinha Real Australiana, onde acabou assumindo o papel de diretora de Guerra Cibernética da Marinha. Ela diz ao CSO que não apenas a Marinha, mas a Força de Defesa Australiana, o governo federal e a aliança mais ampla da Five Eyes oferecem ótimas oportunidades de treinamento.

Devine também adquiriu muitos diplomas pela Marinha e em outros lugares, incluindo diploma de pós-graduação de sistemas de comunicação e informação, diploma avançado de estudos marítimos, certificado IV em governo (aquisições e contratação), entre outros. Da Universidade de New South Wales , ela também adquiriu um bacharelado em artes (inglês e sistemas de informação), mestrado em ciências (tecnologia da informação) e mestrado em engenharia de sistemas.

Depois de deixar a Marinha, Devine tornou-se CISO do então Departamento de Serviços Humanos (agora Services Australia), onde construiu um novo centro de operações de cibersegurança de última geração, elevando a capacidade de 25 para 250 funcionários.

Muitos profissionais também aprendem no trabalho, como Hilary Walton, que é CISO da Kordia na Nova Zelândia. Walton, que iniciou sua carreira profissional como psicóloga, diz ao CSO que o papel de um CISO é manter o sistema de gerenciamento de segurança da informação (ISMS) de uma organização funcionando de forma eficaz. Aprender e entender os diferentes componentes de um SGSI foi onde ela começou, fazendo a certificação Certified Information Security Manager (CISM) da ISACA “para me dar algo com o qual manter meu conhecimento”, diz ela. “Eu estava acostumado com os conceitos de sistemas de gerenciamento de risco e segurança, então aprender um de segurança da informação foi semelhante.” 

Walton também desenvolveu muitas habilidades aplicáveis ​​à função, executando programas relevantes, como incorporar o gerenciamento de riscos em uma empresa e desenvolver sistemas de gerenciamento de segurança. Ela se familiarizou com as habilidades envolvidas em reportar às camadas de governança trabalhando em funções que forneciam material de governança e relatórios para a equipe executiva e o conselho, bem como os conceitos sobre risco e governança que esses líderes precisam entender. 

Certificações para CISOs e onde obtê-las

Algumas certificações são exigidas, ou esperadas, dos CISOs e, ao olhar para os perfis do LinkedIn do CISO, por exemplo, é provável que vejamos todos esses acrônimos que seguem seus nomes ou funções. Aqui listamos alguns daqueles que os profissionais de segurança cibernética geralmente procuram.

O Certified Information Security Manager (CISM)  mostra experiência em governança de segurança da informação, desenvolvimento e gerenciamento de programas, incidentes e gerenciamento de riscos.

Certified Information Systems Auditor (CISA)  não relacionado à Agência de Segurança Cibernética e Infraestrutura dos EUA – é para aqueles que auditam, controlam, monitoram e avaliam a tecnologia da informação e os sistemas de negócios de uma organização.

Certified in the Governance of Enterprise IT (CGEIT) é para aqueles que aspiram a cargos executivos que mostra como lidar com a governança de uma organização inteira e considerar uma mudança para o C-suite.

Certified in Risk and Information Systems Control (CRISC) é para aqueles que procuram mostrar seus conhecimentos em gerenciamento de riscos corporativos de TI.

Todas as certificações mencionadas acima são oferecidas pela associação profissional sem fins lucrativos ISACA . Os custos do exame são de US$ 575 para membros e não-membros pagam US$ 760. Os cursos para se preparar para os exames podem ser bastante caros, custando até $ 2.500 USD na Austrália ou tão pouco quanto $ 23 USD online .

Após a aprovação no exame, uma solicitação formal deve ser apresentada para ser certificado, que tem um custo de US50. Para manter as certificações, taxas de US$ 45 para membros e US$ 85 para não membros devem ser pagas anualmente.

Outras certificações incluem:

Certified Business Continuity Professional (CBCP) para aqueles que demonstraram conhecimento e habilidade no setor de continuidade de negócios/recuperação de desastres. É oferecido pela DRI e requer mais de dois anos de experiência. Os candidatos devem ser capazes de demonstrar experiência prática e específica em cinco das áreas disciplinares das Práticas Profissionais. Como as certificações anteriores, isso requer um compromisso contínuo com a educação continuada e as atividades do setor.

Certified Information Systems Security Professional (CISSP) para aqueles que podem projetar, implementar e gerenciar um programa de segurança cibernética no nível corporativo. É oferecido pela organização sem fins lucrativos International Information System Security Certification Consortium (ISC) ² . A inscrição para o exame custa US$ 749, mais taxas de manutenção anuais de até US$ 125.

Certified Cloud Security Professional (CCSP), também oferecido pelo (ISC) ² , para aqueles que possuem habilidades e conhecimentos técnicos avançados para projetar, gerenciar e proteger dados, aplicativos e infraestrutura na nuvem usando as melhores práticas, políticas e procedimentos . O exame custa $ 599 USD.

O Certified Information Privacy Professional (CIPP) é oferecido pela International Association of Privacy Professionals (IAPP) e tem diferentes áreas de foco.

• O CIPP/A está focado na privacidade asiática e ensina leis que regem o uso, coleta e transferência de dados nos principais mercados asiáticos.
• O CIPP/C ensina leis federais como a Lei de Privacidade, PIPEDA e CASL, principais estatutos provinciais e questões emergentes na prática de privacidade canadense.
• CIPP/E abrange leis de proteção de dados pan-europeias e nacionais, terminologia chave de privacidade e conceitos práticos relativos à proteção de dados pessoais e fluxos de dados transfronteiriços.
• O CIPP/US oferece aos profissionais de privacidade o conhecimento para gerenciar a conformidade dentro da rede legal de regulamentos de privacidade federais, estaduais e locais e minimizar os riscos de multas regulatórias e danos à marca.

Os exames de certificação CIPP custam $ 550 USD e têm uma taxa de manutenção semestral de $ 250 USD. O IAPP oferece recursos gratuitos, mas os cursos de treinamento de parceiros de treinamento podem custar $ 1.995 CAD, por exemplo, e alguns oferecidos pelo IAPP variam em torno de $ 1.495 USD.

Muitas outras opções estão disponíveis, incluindo cursos sobre gerenciamento de projetos e ISO, como ISO/IEC (gerenciamento de segurança da informação) 27001 .

Associações do setor oferecem cursos e oportunidades de networking

Networking, livros e podcasts também são fontes de conhecimento para CISOs. Walton, da Kordia, diz que as experiências de desenvolvimento mais valiosas que ela teve em segurança cibernética foram trabalhar e aprender com outras pessoas de segurança da informação, ler, ouvir podcasts e participar de conferências. 

Ela sugeriu dois grupos do LinkedIn NZ Network for Women in Security  e Women in Security & Resilience Alliance (WISECRA).

KordaMentha’s Vizza recomendou livros sobre poder e liderança do especialista em comportamento organizacional Jeffrey Pfeffer .

Podcasts recomendados por Walton e Devine incluem:

• Risky.biz
• Repensando o Fator Humano , de Bruce Hallas 
• Série CISO, por David Spark, Mike Johnson e Andy Ellis 
• CyberWire Daily

Em última análise, todos concordaram que o networking é uma fonte poderosa para aqueles que desejam obter o melhor emprego. Conversar com colegas ajudará a identificar tópicos de interesse, o que o setor mais precisa em um determinado momento, o que as contratações estão procurando etc. (ISC) ² , o Project Management Institute (PMI), a Australian Information and Security Association (AISA) e a Australian Woman in Security Network (AWSN).

FONTE: CSO ONLINE