Da sobrevivência à prosperidade na Segurança Cibernética




Da sobrevivência à prosperidade na Segurança Cibernética

A maioria dos CISOs duram 13 meses em seu trabalho, ou foi o que me disseram uma década atrás. Eu já vi até 18 meses e tão baixo quanto 11 meses, mas independentemente do tempo real, acho que todos nós podemos concordar que qualquer carreira com uma expectativa de vida curta em alcançar a posição de liderança de um departamento inteiro é extremamente desperdício! O motivo é simples: não estamos alinhados com o negócio. O que é preciso para chegar ao assento CISO não é o que é necessário quando se está sentado nele.

Fiz uma apresentação no DEEP, a conferência da minha empresa intitulada “Como manter seu emprego por mais de 13 meses”, focada em minhas próprias experiências e nas discussões que tive com vários de meus colegas. Para a transparência, como posso dizer com o LinkedIn, realizei quatro cargos de CISO / CSO híbridos e eles duraram sete anos, oito meses, vinte e dois meses e agora 29 meses. Meu mandato médio é de aproximadamente 35 meses ou pouco menos de 3 anos. No meu caso, optei por seguir em frente. No entanto, a implicação na maioria desses casos é que seguir em frente é involuntário, e isso é um desperdício também.

Também me pediram muito em discussões sobre como atrair e reter talentos, como novas pessoas na indústria devem chegar onde estou. A resposta é “não faça o que eu fiz”. Por quê? Porque a segurança estava em uma fase nascente e crescente, sem carreiras definidas quando eu estava entrando no setor. A maioria de nós, como Babe Ruth, não apontou para as arquibancadas e bateu a bola lá. Nossas carreiras se parecem mais com o movimento browniano do que com a perfeita execução de um plano. Isso levanta a questão de o que será necessário para produzir o CISO de próxima geração, mais duradouro e futuro? Se somos honestos aqui, na verdade, é sobre fazer um CISO que pode durar mais de 13 meses para esta geração.

Algumas pessoas podem discordar de mim aqui, mas acredito que o problema fundamental por trás desse desperdício e a maior questão da segurança não é como impedir os maus, como gerenciar controles ou contratar as pessoas certas. O maior problema é a falta de alinhamento com o negócio. Esta é a causa de todo esse desperdício. Quando o CISO obtém sua nova e orgulhosa posição, ele está em um apêndice do negócio e não é visto como uma função principal pela grande maioria das empresas.

Há 20 anos atrás, esse era o problema do CIO. Hoje é o nosso problema. A segurança é percebida como o outro e sofre por isso. Somos amadores que falam em techno-jargão e não entendem o core business que paga nossas contas. Nós sempre queremos um novo brinquedo da mesma maneira que o R & D quer mais desenvolvedores e o Marketing quer mais dinheiro do programa. Mas nossos brinquedos são movidos por FUD (medo, incerteza, dúvida) e vendedores ganhando e jantando. O que os conselhos, os CEOs e os CFOs não entendem é quando terminará ou se o risco realmente está sendo gerenciado.

Então, o que um jovem CISO precisa fazer e focar para ter sucesso em seu trabalho? Como eles podem preparar e elevar a empresa para o futuro, certificando-se de que eles prosperem para continuar fazendo isso? Aqui está minha opinião sobre o que qualquer jovem ou aspirante a CISO pode e deve fazer para ter sucesso:

  • Sempre use a linguagem dos negócios: Resumo isso em 6 frases ou ideias: (1) receita, (2) custo / margem, (3) risco, (4) satisfação do cliente, (5) eficiência do empregado e (6) estratégia corporativa. É isso aí. Nenhuma conversa sobre vírus, firewalls, BGP, registros, PCAP ou qualquer coisa assim, a menos que seja devido a um incidente ou risco específico.
  • Não pule em toda segurança assim que ela aparecer: Deixe os outros obterem a propriedade. Você não tem nada para provar. Todo mundo sabe que você é a pessoa mais inteligente em segurança, mas também se torna conhecido por falar de negócios sempre que possível.
  • Quebre o pão com frequência e caminhe para ver as pessoas: Sneakerware é o que você deve investir. Diminua a velocidade e busque conversas. Cara a cara. A confiança exige confiabilidade, credibilidade, intimidade e alinhamento entre si. Os problemas reais acontecem por causa da falta de intimidade e alinhamento, mas confiabilidade e credibilidade geralmente são os culpados: “Eles não sabem o que estão fazendo” ou “eles não são capazes de fazer isso”. É o que as pessoas vão dizer sobre você prefere as verdadeiras razões de “eu não as conheço” ou “nós não estamos buscando o mesmo resultado”. Concentre-se nos relacionamentos laterais como o primeiro emprego porque você satisfará seu chefe e seu pessoal o satisfará.
  • Alinhe com os colegas e esteja preparado para fazer uma apresentação de negócios a qualquer momento: Tenha alguns slides disponíveis e compartilhe os KPIs de forma agressiva. Depois enrole as mangas e desça e se suje. Veja o exemplo do gerenciamento de vulnerabilidades. Se você aparecer e pedir 40 patches, o CIO ouvirá: “Eu quero causar quebra, slam SLAs, aumentar o volume de chamadas e o tempo de chamada.” Nas negociações, você luta por 10 e as recebe. Um mês depois, você pede 60 porque 30 não foram corrigidos e 30 novos, mas o CIO diz: “você pode ter 5 porque nada de ruim aconteceu com os 30 não corrigidos e você arruinou meus KPIs”. Compartilhar KPIs: se o CIO levar um KPI de redução de risco e você pega seus KPIs de SLA e de tempo de chamada, você está alinhado.
  • Seja o principal responsável pela narrativa de riscos: Prepare uma estratégia, um plano e os KPIs e entregue-os ao membro do conselho mais técnico e envolvido no numero 1: 1. Coloque-os em um apêndice, distribua e venha e apresente uma história. Quem quer mergulhar, recebê-lo e estar preparado para discuti-lo (veja o último ponto). Mas faça isso com as histórias de segurança para a maior parte do público e tenha a profundidade para fazer o backup.

Comentários ( 0 )

    Deixe uma resposta

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.