A construção de uma equipe de sucesso é uma de suas principais responsabilidades do CISO. “Se você se cercar de ótimas pessoas, certifique-se de que elas sejam bem-sucedidas e tenham o que precisam – o treinamento, o orçamento, o quadro de funcionários certo – então uma grande segurança virá”, diz Brennan P. Baybeck. “Mas se você não colocar esse foco em sua equipe, isso não vai acontecer”.
Esse foco requer grandes recursos de desenvolvimento, bem como planejamento e direção de carreira para que os membros da equipe possam desenvolver melhor suas habilidades, diz Baybeck, Vice-Presidente e CISO de Atendimento ao Cliente da Oracle. Equipes bem-sucedidas também precisam de grandes gerentes, recursos adequados e a combinação certa de responsabilidades. Sem tudo isso, a segurança sofre.
“Uma equipe de segurança insatisfeita resultará em brigas internas, infelicidade e agressão”, de acordo com o relatório “Fix Toxic Security Culture Before It Kills Your Innovation”, da Forrester. “Isso não só vai cultivar um ambiente desagradável, mas também tem o potencial de arruinar a reputação de sua equipe de segurança, minar a integridade de sua equipe e colocar sua organização em risco”.
O que, exatamente, os CISOs podem fazer para neutralizar esse cenário? Aqui, Baybeck e outros oferecem sete estratégias para construir uma grande equipe de segurança:
A avaliação de desempenho anual é um padrão corporativo, mas os CISOs que desejam reter talentos e maximizar a experiência de seus funcionários devem agendar revisões com mais frequência, diz Nick Rowe, que como COO do NCC Group North America é responsável pelos negócios de consultoria de segurança da empresa.
“Ciclos de revisão tradicionais não fazem sentido em um mundo acelerado como o infosec, especialmente para membros juniores de suas equipes”, diz ele.
Os profissionais de segurança estão constantemente adicionando novas habilidades à medida que acompanham as demandas profissionais e empresariais, com os profissionais juniores frequentemente avançando em um ritmo particularmente rápido à medida que amadurecem em suas posições.
Como resultado, os talentos em segurança aprimoram sua experiência – e, portanto, sua comercialização – em um ritmo muito mais rápido do que os funcionários de outros departamentos da empresa que não têm a mesma evolução constante de habilidades, tecnologias e requisitos que a profissão de segurança tem.
É por isso que, Rowe explica, os CISOs devem reconhecer o desenvolvimento rápido dos membros da equipe com promoções, reatribuições e aumentos.
Equipes de segurança fortes precisam de mais do que cargos de segurança cibernética; eles também precisam de funções de apoio, como especialistas em operações de negócios, recrutadores e gerentes de projeto, diz Baybeck.
E ele acredita que é estratégico definir essas funções e contratar profissionais qualificados nessas áreas, em vez de pedir aos profissionais de segurança que desviem sua atenção de seu trabalho principal para lidar com essas tarefas.
Ele mesmo viu o valor desta abordagem, tendo “retirado responsabilidades de pessoas que não deveriam tê-las” e contratado pessoal para assumir o gerenciamento de projetos e gerenciamento de operações. Ele diz que essa mudança deu à sua equipe tempo para se concentrar no trabalho principal de segurança.
“O gerenciamento de riscos de segurança é um fluxo interminável de coisas que acontecem, portanto, obter [sua equipe de segurança] a ajuda de que precisam, seja por meio de recursos corporativos existentes ou investindo em novos recursos, os ajuda a ser o mais produtivo que puderem”, diz Baybeck, acrescentando que investir em automação e melhoria de processos também ajuda a aumentar a eficiência e a produtividade da equipe.
“Uma equipe de segurança cibernética diversificada maximiza a capacidade de uma organização de trazer inovação para seus esforços e atua como um multiplicador de força para a capacidade de uma empresa de combater ameaças digitais”, de acordo com o relatório “2020 The Business Value of a Diverse InfoSec Team” do Institute of Critical Infrastructure Technology (ICIT), observando que os CISOs líderes veem “a diversidade como uma vantagem competitiva e uma solução para a crescente escassez de talentos”. Baybeck concorda.
“Se você está procurando o mesmo tipo de pessoa que procuramos nos últimos 25 anos, não terá sucesso no ambiente atual ou no futuro. Você precisa de diferentes pontos de vista, diferentes experiências”, diz Baybeck, membro do conselho da associação de governança de TI ISACA.
Baybeck diz que está trabalhando para criar mais diversidade em sua equipe, tomando medidas específicas, como exigir que os recrutadores lancem uma ampla rede de candidatos, escrever descrições de cargos destinadas a atrair um grupo maior de candidatos em potencial e fazer parceria com uma variedade de organizações para ampliar seu alcance.
Jinan Budge, Analista Chefe da Forrester e Coautor do relatório de toxicidade de sua equipe, diz que outros CISOs, que estão diversificando suas equipes, estão adotando uma abordagem semelhante.
“Eles têm metas para uma carteira diversificada de candidatos e painéis de contratação também diversos”, diz ela. Esse trabalho cria equipes mais inovadoras e criativas “porque você é mais capaz de olhar para a infinidade de problemas em segurança cibernética e mergulhar em coisas nas quais ainda não mergulhamos e mudar a forma como pensamos sobre alguns de nossos problemas de segurança”.
As equipes de segurança mais fortes são compostas por membros com um conjunto diversificado de habilidades, diz Deborah Golden, Diretora da Deloitte & Touche LLP e Líder de Risco Estratégico e Cibernético dos EUA para Consultoria Financeira e de Risco da Deloitte.
“Ter as mesmas pessoas com o mesmo pensamento tentando resolver problemas não vai te fazer o que quer. Você precisa ter muitos tipos diferentes de disciplinas para [melhor abordar] a complexidade dos ataques cibernéticos e a complexidade dos negócios”, diz ela.
Golden tem a prova de que isso funciona. Ela tem membros de equipe com formação em artes liberais, incluindo formandos em inglês, arqueólogos e cientistas políticos. Foi um desses funcionários – com experiência em ciências políticas – que trouxe à tona questões de proteção de dados relacionadas a leis internacionais que outras pessoas da equipe não haviam abordado em uma iniciativa de segurança específica.
Clar Rosso, CEO do (ISC)², um treinamento de segurança e associação profissional, da mesma forma aconselha os CISOs a contratar funcionários para suas capacidades de pensamento analítico, crítico e criativo, bem como suas habilidades de resolução de problemas – ou cultivar essas habilidades em sua equipe existente. Além de contratar e treinar trabalhadores em segurança e especialização técnica.
Os próprios profissionais cibernéticos concordam, listando o pensamento analítico, a resolução de problemas, o pensamento crítico, a capacidade de trabalhar tanto de forma independente quanto em equipe e a criatividade como as habilidades sociais mais importantes, de acordo com o “2021 Cybersecurity Career Pursuers Study: A Roadmap to Building Resilient Cybersecurity Teams”, do (ISC)².
“A pesquisa mostra que diversas equipes funcionam melhor porque você não acaba com o pensamento de grupo. Diversas equipes trazem ideias diferentes para a mesa para resolver problemas e, com ameaças em segurança cibernética tão dinâmicas, isso é crítico”, diz Rosso.
O treinamento é fundamental para que os profissionais de segurança cibernética acompanhem as demandas em rápida evolução de seu trabalho. Não há debate lá. Na verdade, 91% dos 489 profissionais de segurança cibernética pesquisados para “The Life and Times of Cybersecurity Professionals 2021”, um relatório da Information Systems Security Association (ISSA) e Enterprise Strategy Group (ESG), concordaram que manter suas habilidades é fundamental para proteger suas organizações. No entanto, 59% disseram que os requisitos de trabalho muitas vezes atrapalham.
Os autores do relatório emitiram um alerta para os CISOs sobre este ponto: “Essa lacuna de treinamento está aumentando silenciosamente os riscos cibernéticos em sua organização. Para resolver isso diretamente, os CISOs devem impulsionar a organização, garantindo que tempo e recursos de treinamento amplos sejam integrados à programação de cada membro da equipe de segurança cibernética em uma base contínua”.
Além dos programas de treinamento convencionais, Rosso aconselha os CISOs a implementar programas rotativos, nos quais eles fazem seus funcionários percorrerem diferentes cargos em períodos de seis a oito semanas. Isso dá aos trabalhadores oportunidades de aprender ou aprimorar diferentes habilidades, o que fortalece a equipe como um todo. Ao mesmo tempo, pode ajudar a prevenir o esgotamento, proporcionando uma diversidade de tarefas e variando a intensidade do trabalho.
Rosso reconhece que os CISOs com equipes menores podem ter dificuldade em implementar tal programa; para essas equipes, ela sugere que os CISOs criem funções “fracionárias” dentro da segurança e preenchidas por funcionários de outros departamentos, como jurídico ou de risco, que podem emprestar e compartilhar sua experiência em iniciativas de segurança relevantes.
As grandes empresas de tecnologia e startups têm reputação de criar visões que inspiram seus funcionários e os unem para atingir objetivos comuns. Os CISOs devem cultivar uma cultura semelhante, concentrando suas equipes na missão da organização e em seus objetivos gerais.
“Você precisa construir uma cultura e um propósito; é preciso haver uma razão para a organização de segurança”, diz Rowe. “É importante falar sobre isso. Como profissionais de segurança, fazemos [segurança] porque gostamos, mas também o fazemos porque queremos fazer a diferença”.
Os próprios trabalhadores parecem compartilhar dessa perspectiva: de acordo com a pesquisa ISSA-ESG, 79% dos trabalhadores de segurança dizem que estão felizes por estarem em sua profissão. Ao mesmo tempo, porém, muitos indicaram o desejo de estar mais informados: 58% disseram que ter a equipe de segurança incluída em todos os projetos de TI desde o início seria mais impactante para melhorar as relações de trabalho entre os dois grupos, enquanto 41% disseram que encorajar a participação da segurança cibernética em todo o planejamento e estratégia de negócios melhoraria as relações de trabalho com a gestão empresarial.
Criar uma visão para o departamento de segurança que está ligada à estratégia corporativa ajuda a levar a equipe na mesma direção, mas Rowe diz que é igualmente crítico para os CISOs mostrarem a seus funcionários o que eles ganham como indivíduos.
“Os profissionais de segurança sabem o quanto são valiosos e o quanto são solicitados, e há pressão para tirar proveito disso. Assim, junto com a construção de metas, visão e cultura, os CISOs precisam ser capazes de delinear para os indivíduos como será seu futuro, como será na empresa e como eles podem tirar proveito do que a empresa tem a oferecer – e como você pode levá-los ao próximo nível de suas carreiras onde quer que eles vão”, diz Rowe.
E os CISOs devem permitir que seus funcionários desenvolvam as habilidades de que precisam para crescer em sua carreira, por meio de treinamento patrocinado pela empresa, atribuições de projetos e oportunidades de avanço, acrescenta.
Rowe acrescenta: “É tudo sobre construir caminhos de carreira e ser transparente e ter uma rede de ex-alunos para que você possa apontar os CISOs que saíram de sua equipe. Isso significa alguma coisa”.
O estudo do (ISC)² reforça essa perspectiva ao questionar os profissionais de segurança cibernética o que os motivou a ingressar na área. Eles citaram a capacidade de resolver problemas (54%), alta demanda por habilidades (50%), se encaixa no meu conjunto de habilidades/interesses (46%) e oportunidades de progressão na carreira (45%) como os principais motivos – com a capacidade de ajudar pessoas/sociedade (44%) ocupando o quinto lugar, seguido do salário, com 42% das respostas.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…