Quatro etapas para contratar o melhor CISO em um mundo IoT

De todos os novos processos de tecnologia que moldam a próxima onda de transformação digital, talvez nenhum seja mais proeminente do que a Internet das Coisas (IoT). Como Phil Celestini, vice-presidente sênior e diretor de segurança e risco da Syniverse relatórios, essa tecnologia está gerando um novo ecossistema de redes interconectadas e transações de dados que está se expandindo rapidamente e redefinindo a forma como fazemos negócios.

Mas o que costuma ser esquecido é que a IoT também é uma Internet de serviços e dados compartilhados. Esse fato é um dos maiores desafios para as empresas que buscam integrar seus negócios à IoT e, ao mesmo tempo, garantir que os vetores de ataque e os riscos associados sejam tratados. Essas defesas envolvem vários conjuntos de habilidades e equipes lideradas pelo diretor de segurança da informação (CISO).

De uma perspectiva de risco, na verdade, a Internet pública nunca foi projetada para ser um ambiente seguro. Ele foi concebido como uma rede com redundância embutida para que acadêmicos e pesquisadores compartilhem dados, não protegendo o acesso a eles. Consequentemente, é mais uma rede de melhor esforço do que a melhor rede necessária para garantir a confidencialidade, integridade e disponibilidade das transações. Uma vez que a premissa da IoT é construída sobre a conectividade, um ataque malévolo que comprometa essa conectividade tem o potencial de causar estragos sem precedentes. Ter a liderança certa para conduzir o sucesso de sua equipe de segurança da informação na defesa contra esse tipo de destruição é crucial.

Com isso em mente, as empresas devem encontrar o equilíbrio certo entre permanecer seguras e alavancar a inovação para aproveitar avanços como a IoT. Uma parte crucial disso começa com a seleção do melhor CISO, algo que fiz há vários meses com grande sucesso. Aqui estão quatro fatores que considerei ao avaliar os candidatos para o cargo de CISO, com base em mais de 35 anos de experiência em operações de alto risco e supervisão de várias facetas de segurança para empresas, FBI, comunidade de inteligência e militares.

4 fatores para a contratação de um CISO

• A segurança está no título, mas não será o único trabalho: A segurança deve ser tratada como um serviço que precisa ser operado como um negócio dentro de sua empresa. Isso significa que os CISOs precisam entender a estratégia, os objetivos de negócios e os riscos de sua empresa para realmente fornecer valor. Além disso, existem referências, melhores práticas e regulamentações que ditarão como a tecnologia da informação e os dados devem ser protegidos. Nesse sentido, os CISOs podem fornecer insights de segurança e mercado que as equipes de vendas e marketing podem usar para criar uma forte história corporativa sobre a postura de segurança para fazer sua empresa se destacar da concorrência.
• Os CISOs devem se comunicar abertamente com o C-suite: Uma cultura de segurança é apoiada por fatores como a forma como uma organização está alinhada e como os relatórios são estruturados. Quando se trata de risco corporativo, um CISO deve se reportar o mais diretamente possível ao C-suite. Haverá diferenças com base no tamanho e maturidade de uma organização, mas quanto mais perto do CEO estiver, menos “filtradas” as conversas críticas serão. As decisões baseadas em risco que um CISO precisa elevar ao nível C às vezes podem ser difíceis de comunicar aos líderes seniores, porque essas decisões afetarão outras partes interessadas e raramente acontecem no vácuo.
• ‘Segurança’ foi ampliada: Vinte anos atrás, era comum trabalhar em uma organização onde “segurança” significava ter alguém da área de TI gerenciando um firewall. Mas a dinâmica do mercado e as demandas dos consumidores desde então influenciaram o modo como as empresas operam e impulsionaram a necessidade de equipes profissionais de segurança da informação. Hoje, fatores externos como regulamentações, requisitos legais e demandas dos clientes impulsionam a necessidade de segurança robusta apenas para permanecer no negócio. Os CISOs devem estar munidos desse conhecimento e do orçamento certo para que possam definir sua estratégia de segurança no contexto realista das finanças e objetivos de seus negócios.
• Os melhores CISOs são os melhores alunos: Os CISOs precisam ser líderes tecnicamente qualificados, fortes e gerentes de negócios astutos. A função de CISO é uma jornada, e bons CISOs devem ser alunos comprometidos ao longo da vida. A indústria nunca para de evoluir junto com a tecnologia, o que significa que os vetores de ameaças continuarão a se tornar mais complexos, assim como as leis de privacidade de dados e uma série de outros "influenciadores" externos na função do CISO. Isso gera uma necessidade constante de manter e atualizar o conhecimento para aderir a práticas sólidas de gestão de risco.

O rápido crescimento de dispositivos e aplicativos IoT dependentes da Internet pública está abrindo uma nova era em conectividade - e vulnerabilidade. À medida que as empresas aproveitam as oportunidades desta era, elas correm o risco de deixar dados e sistemas comerciais expostos a uma Internet pública que nunca foi concebida para esse fim.

Em última análise, as empresas que desejam conduzir negócios e transferir dados com certeza, segurança e privacidade devem ter uma estratégia de segurança para proteger suas operações da Internet pública, e uma parte crítica dessa estratégia envolve encontrar o CISO certo. Os quatro fatores aqui oferecem uma base útil para informar este processo.

Sobre o autor

O autor é Phil Celestini, vice-presidente sênior e diretor de segurança e risco da Syniverse.