No final da década de 90 a Internet se tornou popular no Brasil e tive minha primeira experiência com segurança na posição de Webmaster para uma fabricante de computadores. Era uma função hands-on no qual fui responsável por garantir a segurança no ambiente de Internet e Intranet incluindo a implementação de hardening, análise de vulnerabilidades, incidentes de segurança, arquitetura do ambiente e gestão de Firewall e IDS. Foi uma mudança de mindset em minha carreira, pois percebi que era aquilo que gostava de fazer e aprendi com um grande líder que, para conquistar o sucesso, precisamos entender nosso propósito neste plano e andar de maneira intencional, com sabedoria, e fazer o que realmente nos inspira.
Evidente que estas afirmações acima tendem a fazer de um profissional alguém diferenciado em seu meio. A geografia tem um papel importante em toda a história de sucesso, veja o caso de Bill Gates e Steve Jobs. Logo que a região onde você está determina aqueles que o veem e esses determinam o favor que você recebe. Em outras palavras o local em que você está tem grande influência no seu sucesso ou no seu fracasso e ninguém recebe um favor a menos que seja visto.
Desse modo, tenho aferido que precisamos ir onde somos celebrados, ao invés de ir onde somos tolerados e, discernindo este contexto, procurei saber onde o meu oráculo quer que eu esteja a toda hora. Quando você está com as pessoas certas, o seu melhor aparece e o seu pior morre, resultando que o seu sucesso está sempre ligado definitivamente a um lugar. Melhor dizendo, alguém, em algum lugar, em algum tempo, irá celebrá-lo.
Literalmente em minha carreira passei por longos anos trabalhando em gigantes financeiras, big four e conceituadas empresas de tecnologia. Isso me deu a oportunidade de unir a visão operacional de segurança com a gestão da segurança. Foi então que recebi um convite para assumir uma posição de especialista de segurança no âmbito mais estratégico, passei a ser o CSO e recebi a missão de implementar uma área de segurança da informação do “0”. Foi um tempo de aprendizado, pois consegui realizar vários feitos neste desafio agregando valores a organização com projetos de mapeamento de ativos, aplicação de um “gap analysis” e elaboração de um plano diretor de segurança da informação.
De modo consequente, alguns processos foram também implementados, como a aprovação da PSI, gestão de vulnerabilidades e third party, BCP e DRP para os processos críticos e a campanha de conscientização para os colaboradores, que foi fundamental para elevar a maturidade da visão de segurança no C-level. Como CSO eu reportava para o CIO e tinha todo o suporte e um budget para os projetos de segurança acontecer. Definimos uma visão, missão e valores, logo todos estes componentes nos ajudaram a ganhar uma cadeira no comitê executivo de segurança sugerido por nós, que nos permitiu envolver os representantes do C-level que ocorria mensalmente e contribuiu para a aprovação e a implementação de alguns projetos essenciais.
Fato que, incidentes por negligência e desconhecimento do C-level ocorrem, um pequeno incidente de indisponibilidade em um sistema de digitalização gerou uma multa contratual considerável para a organização. Prontamente algumas prioridades de investimento foram definidas e outras medidas mitigatórias foram realizadas e como a empresa atendia alguns bancos de investimentos internacionais foi um fator que impulsionou o C-level a entender a importância da área de segurança da informação. Um pouco mais tarde a área de segurança foi extinta por cortes de investimento devido um problema financeiro na empresa.
O tempo passou e tive que virar a moeda, fui para um novo desafio também como CSO para outra empresa de tecnologia. Meu papel foi também implementar a área de segurança, a fim de ajudar a empresa se tornar uma líder chave em seu modelo negócio. No que diz respeito a estrutura eu respondia para o CTO e este para o CEO da empresa. Durante a entrevista com o CEO apresentei uma ideia que tinha em mente e recebi o aval que teria todo o investimento necessário em segurança.
Naquela ocasião preparei um plano diretor de segurança e apresentei ao board e recebi carta branca para seguir a diante. Como todo começo, fiz um gap analysis e cruzei o legado já existente com o novo ambiente que estava sendo criado em uma nova estrutura em ambiente de cloud. Por um período desenvolvi alguns processos de segurança e justifiquei ao C-level a importância de implementar as melhorias e investir em soluções mais robustas, uma vez que o legado era de um provedor de Internet carregava soluções open source e todos sabemos que precisamos de um ambiente mix de soluções. Ter um firewall open source é muito bom em termo de custo é ótimo para alguns cases, porém, uma solução mais robusta acaba ajudando em outros aspectos e este foi um dos grandes entraves neste projeto a dificuldade de investimento.
Infelizmente quando tudo parecia dar certo veio uma tempestade e o projeto de segurança não vingou. Em minha leitura entendi que a organização não estava tão madura para estruturar uma área segurança com uma visão de gestão e governança naquele momento. Olha que fui desafiado a executar funções hands-on que acaba sendo necessário em determinado tipo de business, tal como a execução de pen test onde identificamos algumas falhas de SQL Injection e sistemas mal configurados que foram corrigidas imediatamente por soluções mitigatórias de alguns parceiros.
Um pouco mais tarde olhei para o mercado e percebi que eu estava vivendo o momento certo da minha carreira, pois a tendência de cloud e big data começaram a ficar em alta e compreendi que realmente estava no lugar certo, na hora certa, e na área mais promissora do mercado a “cibersecurity”. Acima de tudo descobri que estes desafios como CSO me ajudou a desenvolver as habilidades de articulado e resiliente Um pouco depois iniciei um novo desafio como Advisor para uma multinacional no ramo de bens de consumo e desde então continuo exercendo meu papel como um profissional de segurança.
Retornando ao título deste artigo cheguei a dedução que para toda a posição em segurança da informação é necessário entender a estrutura do CSO na organização para quem ele ou ela deveria reportar tem elevada importância. Todavia, gostaria de compartilhar alguns pensamentos aprendidos com outros líderes no qual todos nós profissionais de segurança devemos considerar:
Quem será o meu patrocinador e quanto de influência terei como CSO?
É importante entender o quanto você será suportado pelo CIO, CRO, CEO, CFO, CTO ou board. Independente para quem você irá reportar fará a diferença no seu projeto de segurança. Além disso, o quanto você terá de influência na mesa com o C-level ou board, pois na última década, o papel do CSO evoluiu para acompanhar as ameaças em um ritmo dinâmico em um ambiente com regras regulatórias.
Quanto profundo é o compromisso da organização com a cibersecurity?
Cibersecurity tem expandido bem além dos limites de TI e agora é uma preocupação ao nível mais elevado na organização. Um bom indicador é o quanto a organização está disposta a proteger a privacidade e dados pessoais dos clientes. Procure entender em outra ótica, por exemplo, você pode fazer um gap analysis e identificar o que precisa ser feito para elevar o nível de maturidade de segurança da organização, mas talvez aquele report pode denunciar que alguém não fez nada a muito tempo e isto pode deixar seu projeto na gaveta.
Onde estarei daqui a 5 anos?
Penso que se a empresa que está lhe contratando está verdadeiramente comprometida com a cibersecurity seu trabalho vai levar algum tempo para elevar a empresa para um nível de maturidade com a segurança adequada. Isso tem impactado como os CSOs são vistos dentro da organização, bem como sua estrutura e a forma típica que os CSOs reportam ao board.
Como será medido seu trabalho na organização?
Uma vez como CSO, a empresa espera que você fale a linguagem do negócio e que você contribua para que a organização prospere e todo o negócio esteja plenamente protegido contra as ameaças de cibersecurity. Isto tem redefinido as habilidades e origens que determinam quem será contratado nesses papéis e talvez mais importante quem terá sucesso. Logo indicadores que demostrem o nível de maturidade da empresa com o risk apetite é crucial para sobrevivência.
Enfim, a cibersecurity emergiu a organização como uma top prioridade estratégica para as empresas em toda a indústria, a questão de quem o CSO deve reportar tem também igualmente aumentado a importância. Historicamente, o CSO reportava ao CIO como foi no meu caso, mas as empresas estão cada vez mais considerando uma série de alternativas no investimento em que o CSO enxerga o risco nos dados corporativos e de privacidade tendo eles reportado diretamente para o CEO ou board.
Embora não há uma resposta exata, podemos fornecer um conselho para as empresas sobre os prós e contras, mas na realidade é evidente dizer que a prática é melhor que a teoria. Só vivendo a experiência no campo será possível discernir o melhor cenário para uma estrutura de segurança da informação dar certo em uma organização.
Por fim, como líder esteja cercado por pessoas que possuam a mesma visão que você e acreditam em sua liderança e seu projeto de cibersecurity, pois o poder da visão concede segurança, ânimo, motivação e propósito para que seu projeto se concretize. Não gaste sua energia com os opositores e invejosos que não conseguem enxergar a profundidade do estresse e os desafios que enfrentou. Em vez disso, trabalhe! Ninguém sabe quantos tombos você levou, quantas cicatrizes tem para mostrar e só você sabe o quanto sofre o preço que paga. Lembre-se que seu projeto exigirá tudo de você. Portanto rejeite a distração e não deixe que a inveja dos outros destrua seu foco e boa sorte!
* Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
