https://valor.globo.com/carreira – 23/11/2020.
Por Danylo Martins — Para o Valor, de São Paulo.
Transformação digital e desafios na proteção de dados valorizam atuação dos chamados CISOs.
Com o avanço da transformação digital nas empresas e os desafios crescentes de proteção de dados, principalmente após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o papel do CISO (sigla em inglês para chief information security officer) tem ganhado mais importância em grandes companhias e startups. Antes restritos à infraestrutura de TI, agora o líder de segurança conversa com as áreas de negócios e passa a exercer uma função mais estratégica nas organizações, em muitos casos reportando diretamente ao CEO.
O alinhamento com as áreas de negócios é tendência no mundo e reflete as mudanças no perfil do líder de segurança. Levantamento recente feito pela empresa de segurança digital Tenable, em conjunto com o instituto de pesquisa Forrester, indica que 90% dos CISOs alinhados ao negócio estão completamente confiantes em sua capacidade de demonstrar que os investimentos em cibersegurança estão afetando positivamente o desempenho dos negócios, em comparação com 55% dos seus pares, que ainda trabalham em silos nas empresas. A maioria (85%) dos chefes da área tem métricas para rastrear o ROI (sigla em inglês para retorno sobre o investimento) de segurança cibernética e o impacto no desempenho do negócio, ao contrário de apenas 25% dos CISOs que atuam isolados.
Hoje o profissional de segurança precisa entender do negócio, de marketing, gestão de riscos, entre outros assuntos estratégicos. “Não pode mais ficar no bit e byte, com perfil apenas técnico”, analisa Arthur Capella, executivo com 15 anos de experiência em segurança da informação e country manager da Tenable. As novas tecnologias mudam constantemente e numa velocidade mais célere, o que traz oportunidades, mas também riscos. Daí a necessidade de executivos preparados. Na pandemia, a alocação de times inteiros para o home office em um curto espaço de tempo pode ter sido uma chance para o CISO mostrar a importância de estar alinhado aos negócios, diz Capella. “Todo mundo teve de se abrir para o risco.”
Há 20 anos no mercado de segurança, Armando Lima Amaral foi contratado em 1999 para trabalhar no UOL como especialista em segurança – uma função nova à época. Na empresa, fez carreira ao longo de três anos, chegou a diretor de infraestrutura e operações e vice-presidente de engenharia e operações para tecnologia da informação (TI), telecom e facilities da UOL Diveo. Em 2015, assumiu a posição de CTO da Tivit, multinacional de TI com 7 mil funcionários. Em setembro de 2019, virou diretor de cibersegurança, depois de a companhia ter dois executivos para a cadeira de CISO, contratados por outras empresas.
Hoje, Amaral lidera a unidade de segurança da informação, com uma equipe de cerca de 60 pessoas, com previsão de dobrar o quadro até o ano que vem. “Estamos crescendo a estrutura e vamos investir bastante nessa área”, conta. Para o executivo, o chefe de segurança não pode ter apenas conhecimentos de rede, segurança de perímetro, firewalls, mas também entender de governança, segurança em softwares e aplicações na nuvem, modelos de negócios que ganham força nas organizações. “Para ajudar no desenvolvimento de softwares seguros, o CISO precisa entender o impacto dessas aplicações no negócio.”
Curiosidade, autoconhecimento, visão ampla e vontade de aprender são algumas das principais ‘soft skills’ que devem ser desenvolvidas pelo líder de segurança da informação, acredita Amaral. O próprio executivo teve de estudar mais, conforme a empresa foi investindo nos últimos anos em digital, big data e analytics. “Segurança está indo para um nível mais avançado de tecnologia e os profissionais precisam acompanhar, serem facilitadores, e não ficar dizendo ‘não’ como antes.”
“O profissional não pode mais ficar no bit e byte, com um perfil apenas técnico”, Arthur Capella, da Tenable.
Formado em redes de computadores, Daniel Meirelles, 40 anos, começou a carreira como analista de suporte na Rede Globo, onde atuou por três anos, mas a maior parte de sua trajetória profissional foi no mercado financeiro, com passagens pelo BTG Pactual e pela XP, nas áreas de redes, aplicações e produção de tecnologia. Há seis anos, ele está na seguradora Austral, onde iniciou como analista de infraestrutura de TI e chegou à gerência de TI em 2018. Neste ano, o executivo foi nomeado DPO (sigla para Data Protection Officer) do grupo Austral (seguradora e resseguradora) – a função é nova e uma das exigências da LGPD.
Além das atribuições de encarregado de proteção de dados, Meirelles responde pelas áreas de segurança e infraestrutura do grupo. “Estamos no meio de uma revolução tecnológica, que impacta como as pessoas se relacionam. E isso traz naturalmente a obrigação de atualização, frente a novas tecnologias. Precisei me atualizar”, conta. O executivo está fazendo, por exemplo, cursos de privacidade de dados e cibersegurança no mercado segurador. “Os projetos nas empresas acabam já levando em conta segurança e privacidade, num conceito de privacy by desing. Problema de segurança hoje é de risco operacional.”
No passado, o perfil do CISO nas organizações era muito técnico. Isso vem mudando para uma visão que envolve gestão de riscos do negócio, aponta Adriano Galbiati, CISO da Etek NovaRed Brasil, provedora de soluções integradas de segurança da informação e privacidade. “Em vez de falar que o servidor pode ser invadido, o CISO pode dizer ao board da empresa que há vulnerabilidade de infraestrutura, prejudicando a privacidade de usuários”, explica.
Engenheiro pelo Centro Universitário FEI, Galbiati atua em tecnologia da informação há mais de 20 anos, sendo os últimos nove em segurança. Para ele, o líder da área precisa entender dos frameworks de segurança, mas também de arquitetura de TI. Na visão do executivo, o principal desafio do CISO é saber conversar com a alta liderança da empresa. “No Brasil, os CISOs ainda são muito jovens. Há cinco, dez anos, eram profissionais técnicos, sem experiência em gestão.”
Além de capacidade de gestão e liderança, o executivo-chefe de segurança deve conhecer sobre bancos de dados e como as informações estão conectadas ao negócio e à estratégia da organização, observa Cristiano Marques, CISO da Deep Center, especializada em soluções de big data, inteligência artificial para setor financeiro, varejo e contact center. “O diferencial do CISO hoje é a preocupação com o dado. Antigamente, não tínhamos isso. O trabalho era ver se alguém estava invadindo sistemas”, diz. Há 22 anos em tecnologia e segurança, o engenheiro da computação tem MBA em gestão de infraestrutura e está cursando atualmente pós em cibersegurança.
As grandes companhias não são as únicas a ter um executivo-chefe para a área de segurança. Startups e fintechs começam a criar a posição. Em 2018, a Dock, que atua com ‘banking as a service’, contratou Micael Braga para ser gerente de segurança da informação e hoje ele é superintendente da área. Graduado em segurança da informação pela Universidade do Vale do Rio dos Sinos (Unisinos), Braga trabalhou por oito anos na área de segurança da Lojas Renner, onde entrou como técnico, passou a analista, especialista e chegou a coordenador, em 2017. “Desde que comecei a trabalhar, foram poucos os anos que não tive contato com segurança da informação.”
No setor financeiro, de e-commerce e tecnologia, o CISO pode ocupar cadeira na alta liderança e se reportar ao CEO.
Aos 31 anos, ele liderou a construção dessa área na Dock, quando a empresa ainda estava desenhando as primeiras linhas de código do negócio. Montou o time do zero. Hoje são dez pessoas em segurança, contando com ele, e a fintech tem vagas em aberto. Para Braga, o líder de segurança precisa saber de tudo um pouco. “Gosto de falar que esse conhecimento precisa ser extenso como um oceano e raso como uma colher de chá. Conseguir enxergar a ‘big picture’, estratégias de negócios, ameaças que circulam, capaz de olhar para dentro, com caixa de ferramentas e saber quais tipos usar.”
A habilidade de comunicação é crucial para o CISO, avalia Braga. Isso significa ser capaz de traduzir questões técnicas numa linguagem que CEO e CIO e outros executivos do board entendam. Ao assumir o cargo de liderança, ele buscou capacitação e fez um curso de programação neurolinguística, conta. O chefe de segurança também tem de ser ágil, dinâmico, flexível e, principalmente, uma pessoa íntegra, de confiança na organização, defende Braga. “Lidamos com muitas coisas sensíveis, delicadas e confidenciais. E precisamos fazer isso de maneira correta”.
Segundo Caio Arnaes, diretor de recrutamento da Robert Half, o CISO tem ganhado mais peso e importância nas empresas, liderando equipes, gerindo contratos e cuidando de orçamento para compra de equipamentos e softwares. Isso exige um conjunto de habilidades socioemocionais, como liderança, comunicação e gestão de conflitos. Ainda assim, é uma posição que demanda muito conhecimento técnico, diz.
A demanda é crescente por esse perfil. “Numa velocidade que às vezes o mercado tem dificuldade de suprir em termos de formação. Do nosso portfólio, a quantidade de posições dobrou de 2019 para 2020”, afirma. Dependendo do porte da empresa, a remuneração se equipara a postos do alto escalão, como CFO e CTO. Segundo o Guia Salarial 2021 da Robert Half, a remuneração do chief security officer (CSO) – nomenclatura usada pela consultoria – varia de R$ 23.600 a R$ 48.100, conforme porte da empresa, características do setor, experiência na área e demanda e disponibilidade pelo perfil no mercado.
Em companhias principalmente dos setores financeiro, de tecnologia e e-commerce, o CISO pode ocupar cadeira na alta liderança, reportando diretamente ao CEO, dizem os especialistas. Em muitos casos, no entanto, a posição fica abaixo do CIO, que por vezes incorpora segurança entre suas atribuições, aponta Paulo Moraes, diretor do Talenses Group. “Com o tempo, esse profissional vai ganhando projeção nas organizações. E, quanto maior o nível de exposição ao board, mais as habilidades de gestão de riscos e comunicação são importantes.”
Na posição de CISO, é preciso saber antecipar cenários e riscos, diz Moraes. Curiosidade e capacidade de relacionamento também são competências essenciais. Ele cita o exemplo dos advogados, que antes tinham dificuldade de se comunicar com os outros departamentos da companhia. “Hoje, o papel do advogado mudou radicalmente nas organizações. A mesma coisa ocorre com tecnologia e segurança.”
O mercado exige do novo líder de segurança mais capacidade analítica, conhecimento do negócio e do setor onde a empresa atua, num momento em que diversos segmentos passam por transformação digital e mudanças regulatórias, caso do setor financeiro, afirma Frederico Tostes, country manager da Fortinet Brasil e vice-presidente de cloud para a América Latina da Fortinet, multinacional de segurança cibernética. “Mesmo empresas pequenas começam a analisar para ter CISO. Já não é mais uma opção pensar em ter alguém de segurança na estrutura.”
Assim como outras áreas em tecnologia, segurança da informação carece de profissionais qualificados. Hoje, esse mercado emprega 2,8 milhões em dez países, mas o déficit global de profissionais chega a 4 milhões, com maior lacuna na região da Ásia e Pacífico (2,6 milhões), seguida pela América Latina (600 mil), segundo relatório do (ISC)², uma das principais organizações da área. O Brasil tem a segunda maior força de trabalho em cibersegurança, atrás apenas dos Estados Unidos.