CISO – Chief Information Security Officer
CISO, sigla que vem crescendo cada dia mais no âmbito de segurança da informação. Esse crescimento está diretamente relacionado aos cibercrimes e ciberataques na internet e seus derivados. Esses ataques cresceram em média 200% no Brasil em maio e junho do ano passado, o motivo principal foram os jogos olímpicos. Somos também o segundo maior gerador de cibercrimes no mundo. Na America Latina só perdemos para o Caribe. A empresa russa Kaspersky divulgava em 2014 uma nota, sobre os cibercrimes analisados por eles em fraudes bancárias online e malware financeiro no mundo e advinha? o Brasil já aparecia no topo da lista, leia e baixe o artigo clicando aqui.
Um dos maiores problemas que precisa ser combatido ao menos no Brasil, é que a população brasileira ainda ignora a escala do problema. Os formuladores de políticas públicas começaram só agora a reagir às ameaças, mas apenas de forma fragmentada. Para combater o crime cibernético de maneira eficaz, o Brasil necessita ampliar a discussão pública sobre o tema.
Os legisladores, as agências de segurança, as empresas, as organizações da sociedade civil e os cidadãos precisam levar a questão muito mais a sério. Não há clareza sobre o custo do cibercrime para a economia brasileira. Um relatório alega que, em 2013, o furto de dados no Brasil gerou prejuízos entre 4,1 bilhões de dólares e 4,7 bilhões de dólares. Segundo outras fontes, desde 2012 cerca de 3,75 bilhões de dólares foram hackeados de boletos bancários — um método de pagamento administrado pela Federação Brasileira de Bancos. Isso representa aproximadamente 495.000 transações envolvendo 30 bancos e mais de 192.000 vítimas. Não há quase nenhuma informação disponível ao público sobre quais bancos foram afetados.
Mas o que é e o que faz um CISO?
A melhor resposta seria: É o general de cinco estrelas de um departamento de segurança de TI.
Nesta posição de gerenciamento de nível “C“, um CISO seleciona, supervisiona e assegura a liderança de iniciativas que dizem respeito à segurança geral de uma organização. Em grandes empresas, um CISO pode até consultar a polícia e o departamento de segurança de seu país sobre questões de segurança corporativa, pois poderá tratar de assuntos de investigação forense.
Responsabilidade de um CISO
- Nomear e orientar uma equipe de especialistas em segurança de TI;
- Criar um plano estratégico para a implantação de tecnologias de segurança da informação e melhorias no programa;
- Supervisionar o desenvolvimento de (e garantir o cumprimento) de segurança corporativa políticas, normas e procedimentos;
- Integrar o desenvolvimento de sistemas de TI com as políticas de segurança e estratégias de proteção de informações;
- Colaborar com os principais interessados para estabelecer um programa de gestão de riscos de segurança de TI;
- Auditoria de sistemas existentes e fornecer avaliações de risco abrangentes;
- Antecipar novas ameaças à segurança e manter-se atualizado com as infraestruturas em evolução;
- Monitorar as vulnerabilidades de segurança, ameaças e eventos em sistemas de rede e hosts;
- Desenvolver estratégias para lidar com incidentes de segurança e coordenar as atividades de investigação;
- Agir como um ponto focal para investigações de segurança de TI e dirigir uma investigação completa, com cursos de ação recomendado;
- Priorizar e alocar recursos de segurança corretamente e com eficiência;
- Preparar as previsões financeiras para operações de segurança e as manutenções adequadas para ativos de segurança;
- Fornecer liderança, oportunidades de formação e orientação para seu pessoal;
- Trabalhar com a alta administração para garantir que as políticas de proteção de segurança serão avaliadas, implementadas, controladas e mantidas de forma eficaz;
- Desenvolver programas de educação Spearhead focada na conscientização do usuário e de conformidade de segurança.
Além desses esforços, um CISO poderá ser envolvido em uma grande variedade de tarefas não técnicas de gestão e no final do dia, gerar relatórios sobre segurança para o CIO ou o CEO.
Como se tornar um SUPER CISO?
Vou citar abaixo alguns skills que um CISO precisa para estruturar a sua carreira.
O profissional de TI que almeja ser um CISO precisará no mínimo de um grau de graduação em TI ou CyberSecurity ou um domínio técnico relacionado.
Como as questões de segurança tornaram-se mais perigosas e complexas, alguns empregadores estão começando a especificar que CISOs também devem ter um mestrado técnico em segurança de TI e certificações que comprovem tal conhecimento. Claro que cada empregador impõe seus requisitos, mas alguns deles são básicos, como por exemplo: Ethical Hacking Certificate, Certified Information Security Manager, Chief Information Security Officer, Certified Information Systems Security Professional e Information Systems Security Management Professional.
Um profissional de segurança da informação precisa ter no mínimo 8 a 12 anos de trabalho em TI e segurança antes de começar a preencher os pedidos para uma posição de CISO. Tente garantir que pelo menos 5 desses anos de sua experiência foram gerenciamento de operações de segurança e equipes relacionadas.
Para se tornar um CISO o profissional de TI deverá passar anos no campo da segurança da informação. Vamos considerar a obtenção de seu início como:
- Administrador de segurança
- Administrador de rede
- Administrador do sistema
Você pode então construir suas habilidades técnicas e interpessoais em empregos, tais como:
- Especialista em segurança
- Analista de segurança
- Engenheiro de segurança
- Consultor de segurança
- Auditor de segurança
Eventualmente, você terá de evoluir para uma posição de nível sênior, onde você pode ganhar experiência com liderança, gestão de projetos e políticas organizacionais.
- Gerente de segurança
- Gerente de Projeto
- Arquiteto de segurança
- Diretor de segurança
Seguindo esse caminho, com certeza conseguirá o cargo de CISO – Chief Information Security Officer.
Calma ai, ainda não acabou…
Hard Skills
CISOs começam como todos os demais em TI, lá no solo da segurança da informação, buscando aprender e se qualificando. Com o tempo se chega ao topo, mas para isso é preciso desenvolver as mesmas habilidades técnicas, ou hard skills dos seus melhores engenheiros. Essas habilidades podem incluir:
- Práticas e métodos de estratégia de TI, arquitetura corporativa e arquitetura de segurança;
- Conceitos de segurança relativos ao DNS,roteamento, autenticação VPN,serviços de proxy e tecnologias de mitigação de DDOS;
- Estruturas ISO 27002, ITIL e COBIT;
- PCI, HIPAA, NIST, GLBA e SOX avaliações de conformidade;
- Sistemas operacionais Windows, UNIX e Linux;
- Linguagens de programação C, C ++, C #, Java e / ou PHP;
- Protocolos de detecção / prevenção de intrusão e firewall;
- Práticas de codificação seguras, hacking ético e modelagem de ameaças;
- TCP / IP, redes de computadores, roteamento e comutação;
- Rede de desenvolvimento de arquitetura de segurança e definição;
- O conhecimento da terceira auditoria partido e metodologias de avaliação de riscos em nuvem.
Soft Skills
Os empregadores exigem muito de seus candidatos CISO. Além de habilidades de comunicação oral e de especialistas, eles vão querer ver a evidência de organização, o pensamento orientado a processos, planejamento estratégico e ataque criativo, em resumo as suas soft skills, ou o que eu disse lá no início da publicação as mesmas habilidades que um general de cinco estrelas traz para o campo de batalha. Habilidades interpessoais e de negociação são extremamente valiosas nesse caso. Todos os dias, CISOs devem operar dentro de uma organização complexa, interagindo e influenciando múltiplas partes interessadas. Os empregadores precisam saber que você é capaz de dirigir uma equipe, colaborando com executivos de alto nível e construir relacionamentos com um conjunto diversificado de departamentos. Finalmente, os empregadores estão procurando resultados. CISOs deve ser capaz de equilibrar as pressões de requisitos legais / regulatórios, restrições financeiras e adoção tecnológica com o imperativo de obter programas e projetos realizados plurianuais.
Agora sim, depois de passar pelo hard skills e o soft skills, você profissional de segurança da informação estará apto a se tornar um CISO.