Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Como CISOs e executivos de segurança cibernética podem se preparar para o conselho
Os diretores de segurança da informação geralmente trabalham para cultivar a segurança dos computadores, sites e aplicativos de sua organização, trabalhando em conjunto com os membros da equipe de segurança cibernética e de TI. O papel de um CISO costumava ser principalmente tático, com os oficiais totalmente responsáveis pela proteção contra ameaças cibernéticas, mas hoje a posição é mais sobre conduzir e alinhar o planejamento estratégico para que toda uma organização possa prevenir adequadamente as ameaças como um todo.
Embora as empresas de capital aberto não estejam se movendo para adicionar especialistas cibernéticos a seus conselhos, há evidências de que os CISOs realmente se destacariam em cargos de diretoria. Este mês, a IANS Research, a Artico Search e o The CAP Group divulgaram um relatório avaliando as qualificações dos CISOs no Russell 1000 Index (R1000), listando as principais características de candidatos confiáveis.
Os resultados indicam que 14% dos CISOs R1000 – ou aproximadamente 1 em cada 7 – se destacam por possuir as características necessárias para um cargo em um conselho de administração. É notável que este relatório seja apresentado no momento em que a Comissão de Valores Mobiliários (SEC) está trabalhando para finalizar novas regras relativas à experiência cibernética e à transparência.
Claro, uma das razões pelas quais a SEC e outros estão pedindo mais CISOs nos conselhos é precisamente para que eles possam trazer sua experiência de domínio única para discussões de negócios mais amplas nos conselhos. Mas também ficou claro a partir da pesquisa que os melhores candidatos serão capazes de trazer outras habilidades para a mesa.
"A experiência em tecnologia e segurança cibernética por si só é insuficiente para cargos de diretoria", afirmou Brian Walker, CEO e conselheiro do conselho cibernético do The CAP Group, em um comunicado à imprensa. "Os diretores do conselho operam em um nível estratégico e, na maioria dos conselhos, não há espaço para 'pôneis de um truque', pois adicionar um novo diretor para cada domínio complexo de especialização não é escalável."
Algumas peças-chave de critérios que um CISO deve ter para ter sucesso em um conselho incluem, entre outros fatores: posse em infosec, conhecimento multifuncional, capacidade de escala e educação avançada.
Ter o cargo de infosec significa que o indivíduo ostentaria, como afirma o relatório, "experiência profunda no domínio" de aproximadamente cinco anos como CISO e 10 ou mais anos de experiência em segurança da informação. Possuir esse know-how ajuda a fazer as perguntas certas e a desafiar suposições arraigadas.
Da mesma forma, uma experiência comercial mais ampla é um requisito importante adicional. O relatório afirma que os CISOs com experiência em funções funcionais não cibernéticas – como fundador de empresa ou consultoria em estratégia – são fortes candidatos a assentos no conselho, pois suas habilidades são abrangentes.
Isso leva direto ao próximo pré-requisito: ter escala. Digamos que um CISO tenha experiência como chefe de segurança da informação em uma grande organização global – isso pode mostrar que ele tem uma perspectiva abrangente e inclusiva e é capaz de navegar por uma ampla gama de partes interessadas.
Para ter sucesso em um cargo de conselho de administração, um CISO também precisaria de educação avançada, pois esse fator "aumenta a credibilidade do conselho com as partes interessadas externas", de acordo com o relatório, e é "indicativo de pensamento crítico e habilidades analíticas" que certamente ajuda um indivíduo em uma placa.
A diversidade é outra – e talvez a mais importante – característica que um CISO deve ter se pretende ingressar em um conselho de administração.
Como Steve Martano, sócio e recrutador executivo da prática cibernética da Artico Search, disse no relatório: "Para servir como um membro aditivo do conselho, deve-se trazer uma combinação única de conhecimento de domínio e governança estratégica, bem como um pedigree que avance o prestígio e diversidade da composição do conselho."
De fato, como afirma o relatório, a justificativa para os critérios de diversidade é que cada membro do conselho traria suas próprias perspectivas diferentes ou novas para a mesa, o que ajudaria o grupo a identificar pontos cegos e evitar possíveis armadilhas. Diversidade em um novo membro do conselho pode significar que ele talvez se identifique como mulher, uma pessoa negra ou de outro grupo sub-representado (e isso está de acordo com a regra 5605(f) da SEC). "No mundo de hoje, os conselhos estão buscando diversidade de experiência e pensamento e expandindo as oportunidades do conselho para grupos sub-representados", acrescentou Martano.