Dan Bowden tinha a combinação certa de experiência e credenciais para conseguir seu próximo posto de CISO, mas queria ter certeza de que seu currículo refletisse esse fato. Então, Bowden contratou uma consultora de currículo profissional no início de sua pesquisa. (“Valeu a pena”, diz ele.)
A consultora fez com que ele considerasse o que seus colegas executivos diriam sobre suas contribuições para a organização – “os eventos, as atividades, as realizações” – e, em seguida, conduzisse com essas ideias em vez das habilidades técnicas e do trabalho de segurança detalhado que geralmente dominam o currículo do CISO.
“Isso me ajudou a ter mais insights sobre o que é importante, para quais coisas você deve chamar a atenção e o que deve ser colocado no topo do currículo”, diz Bowden. “Não era que [meu novo currículo] fosse totalmente diferente. Ela usou todas as informações que eu tinha, mas me ajudou a entender o que importava e o que deveria ser destacado. Isso é o que eu perdi, esse conceito do que realmente importava. Eu não entendia como fazer isso aparecer em um currículo”.
Bowden, que agora é Vice-Presidente e CISO da Sentara Healthcare, posição esta que ele procurava quando trabalhou com a consultora, diz que acredita que seu currículo precisava ser reformulado para refletir como o CISO evoluiu para uma posição executiva plena.
Recrutadores e consultores executivos concordam: os candidatos a cargos de CISO devem elaborar seus currículos para mostrar suas capacidades de liderança, não suas credenciais técnicas. Mesmo assim, os especialistas dizem que muitos profissionais de segurança não adotaram essa mensagem e, como resultado, ainda enviam currículos abaixo da média.
Aqui, os recrutadores, CISOs e consultores executivos descrevem os erros comuns que os candidatos continuam a cometer.
Os CISOs mais eficazes demonstram cinco comportamentos principais, de acordo com o Gartner. Eles iniciam discussões sobre as normas de segurança em evolução, priorizam a atualização dos tomadores de decisão sobre os riscos atuais e futuros, têm um plano de sucessão formal e acionável, colaboram com outros líderes seniores para definir o apetite de risco da organização e se envolvem proativamente na proteção de tecnologias emergentes. Todos, exceto o quinto desses comportamentos, estão relacionados às habilidades de liderança, e não à perspicácia em segurança cibernética.
Isso não é surpreendente, dizem os recrutadores e consultores executivos, à medida que a função de segurança superior evoluiu de uma função focada em fornecer defesas de perímetro para uma posição verdadeiramente C-suite que deve incluir a segurança na estratégia corporativa.
Mesmo assim, muitos candidatos a cargos de CISO não levam suas credenciais executivas em seu currículo, diz Nick Giannas, Consultor da WittKieffer, uma empresa global de busca de executivos. Na verdade, muitas vezes eles deixam de lado informações que demonstram suas habilidades para formular uma visão para a organização, desenvolver uma estratégia e gerenciar riscos.
“Você precisa mostrar que tem habilidades de nível executivo”, diz Giannas. “Ter um conhecimento completo da tecnologia e das tendências emergentes é importante, mas a capacidade de comunicar e traduzir a segurança em risco de negócios – e ser capaz de retratar isso em seu currículo – é ainda mais importante. Isso mostra que você pode funcionar em um nível estratégico, que tem experiência de nível sênior e de nível de conselho”.
Os líderes de segurança tendem a deixar informações importantes fora de seus currículos, incluindo o que exatamente eles realizaram em seus empregos atuais e anteriores. Eles também não fornecem detalhes sobre suas organizações anteriores, bem como o tamanho e o escopo de suas responsabilidades, o tamanho das equipes que administravam e os orçamentos que possuíam.
“Os candidatos se venderão rapidamente”, diz Brandon Parezo, Diretor da Unidade de Serviços de Tecnologia da empresa de recrutamento LaSalle Network. “Eles simplesmente não têm o suficiente em seus currículos. Eles não falam sobre o que aprenderam sobre liderança e gestão em suas funções anteriores e os resultados de seu trabalho. Mas esses são pontos que os CISOs querem ter em seus currículos”.
Ele e outros dizem que veem currículos que encobrem o valor que os candidatos a CISO entregaram em funções anteriores. Eles podem afirmar que amadureceram o programa de segurança de uma organização, mas não fornecem detalhes sobre onde e como o fizeram e o impacto que isso gerou para a empresa.
“Eles não estão incluindo resultados mensuráveis onde falam sobre seu trabalho”, acrescenta Giannas, “mas eles realmente deveriam apontar suas realizações significativas”.
Embora os CISOs devam ter habilidades executivas e um histórico de entrega de valor para suas organizações, eles também precisam entender os ambientes de tecnologia que são responsáveis por proteger. E eles devem saber como as ferramentas de segurança existentes e emergentes operam e como implantá-las para obter o máximo de eficácia.
Esse fato, no entanto, não significa que os candidatos a CISO devem transmitir suas habilidades técnicas usando o jargão técnico, palavras da moda e abreviações que dominam a profissão de segurança cibernética – e muitos currículos de CISO. Um colega especialista em segurança entenderá a função de um SOC ou a importância das ferramentas SIEM, mas os CEOs e membros do conselho que revisam currículos provavelmente não.
“A pessoa do outro lado pode não entender o que tudo isso significa”, diz Parezo.
Ele diz que os candidatos a CISO devem, de fato, fazer referência a habilidades e realizações técnicas, mas devem colocá-las em prática. Portanto, os CISOs devem listar em seus currículos, por exemplo, que implementaram uma ferramenta SIEM, mas destacam sua função de liderança no projeto e como a ferramenta entregou valor mensurável para a organização.
“Você quer ter currículos mais focados nos negócios. Então, fale sobre como os produtos impactam os negócios”, diz Parezo.
O relatório Thales Data Threat de 2021 descobriu que 56% das empresas sofreram uma violação de segurança.
Considerando esse número, não é surpreendente que tanto os recrutadores quanto os executivos corporativos envolvidos na contratação de CISOs saibam que muitos candidatos provavelmente sofreram um incidente de segurança durante seus mandatos.
Portanto, não há razão para omitir esses detalhes; na verdade, os recrutadores dizem que deixar esses fatos de fora pode ser prejudicial para o candidato, especialmente se ele ou ela trabalhou em uma empresa que teve um evento divulgado.
“Eu vejo evasão neste tópico, mas você não quer que alguém saiba sobre isso e sinta que você o escondeu. Portanto, se você trabalhou para uma empresa que passou por uma violação, declare isso no currículo e o que você fez para se recuperar e tornar sua empresa mais segura. Porque se você não reconhecer, alguém vai pesquisar e saber que você esteve lá e então isso surge em uma entrevista de qualquer maneira”, diz Ash Athawale, Diretor-Gerente Sênior do grupo de prática de busca de executivos da Robert Half.
Os executivos corporativos desejam que seus CISOs estejam bem conectados e ativos com associações profissionais em nível regional ou mesmo nacional, para que possam se sentir confiantes de que seus chefes de segurança estão acompanhando as tendências emergentes e novas estratégias.
Mesmo assim, muitos CISOs deixam de lado seu envolvimento em associações profissionais ou minimizam suas funções de liderança em redes profissionais. Por outro lado, alguns CISOs os exageram.
“Eles estão enfatizando demais sua visibilidade ou suas aparições para falar em público, e a indexação excessiva dessa exposição pode ser preocupante”, diz Kate Hannon, Colíder da Prática Cibernética da Spencer Stuart, empresa global de consultoria de liderança e busca de executivos. “Tivemos candidatos CISO que enfatizaram essa atividade em seus currículos e [as organizações de contratação] questionaram se esse indivíduo está mais interessado em divulgar seu nome em vez de focar em seu trabalho diário. Algumas pessoas perguntaram se essa atividade demonstra um enfoque apropriado no trabalho e para o que foram contratadas para fazer”.
Para obter o equilíbrio certo, Hannon recomenda que os CISOs incluam detalhes sobre suas afiliações profissionais e seu trabalho como especialistas no assunto de uma maneira muito cuidadosa.
“Nós os encorajamos a incluí-lo como uma nota de rodapé ou uma nota lateral. É mais importante liderar com sua experiência, suas capacidades e o que você fez em sua empresa”, explica ela.
Executivos e membros do conselho envolvidos na contratação de CISOs ainda dão muito peso aos currículos de um candidato, mesmo nesta era de LinkedIn, mídia social e pesquisa na Internet. “Qualquer pessoa envolvida no processo de entrevista provavelmente estará de olho no currículo”, diz Hannon.
No entanto, muitos candidatos ainda não entendem o básico dos currículos corretamente, dizem Hannon e outros, observando que eles ainda veem erros de digitação, dados ausentes, como informações de contato e formatação inadequada. Eles aconselham os candidatos a começar a revisão do currículo prestando atenção a algumas regras básicas sobre comprimento, formatação e precisão.
Os currículos no nível CISO devem ter pelo menos algumas páginas, mas não devem ser muito mais longos do que isso. Parezo diz que viu currículos excessivamente longos, incluindo um que chegava a 10 páginas, para acomodar todos os cargos que os candidatos ocuparam nas últimas décadas. Não há necessidade disso, diz ele, acrescentando: “O que você fez há 30 anos não é realmente relevante”.
Os currículos devem ser bem organizados, com foco nas competências executivas e no valor do negócio no topo e nos cargos mais recentes primeiro. Habilidades técnicas, reconhecimentos profissionais, afiliações a associações e detalhes educacionais devem vir mais adiante.
E devem ser atualizados e adaptados às posições específicas que estão sendo buscadas.
Enquanto isso, os candidatos devem certificar-se de que as informações em seus currículos correspondem a seus perfis do LinkedIn e perfis on-line e informações corporativas publicamente disponíveis. Athawale viu candidatos se listarem como CISOs em suas funções atuais quando, na realidade, estavam atuando como vice-presidente de segurança da informação ou em alguma outra posição semelhante. Os recrutadores e empregadores verificarão os títulos e as datas, por isso é fundamental apresentar informações exatas.
Como diz Hannon: “Essas são as primeiras impressões, então você quer ter certeza de que acertou”.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…