“Para estar entre os principais CISOs globais, é preciso de maturidade. É igual piloto de avião, tem que ter muitas horas de voo, com uma atuação voltada para o negócio e discutir Cibersegurança sob o prisma de controle, não de punição”, destaca o CISO do Kabum!, Longinus Timochenco, em entrevista à Security Report.
O executivo participou de duas premiações este ano: o Prêmio Security Leaders, em que ficou entre os TOP 10 CISO no Brasil. E está também entre os TOP 100 Global CISOs Awards 2022, prêmio em que viajou aos Estados Unidos para receber. Timochenco foi o único representante brasileiro e competiu com milhares de candidatos e os juízes analisaram diferentes soft skills, inclusive em aspectos de inovação e capacidade de comunicação com o board.
Na visão do executivo, o CISO do futuro precisa ser desejado pelas áreas de negócio, ele deve ser necessário também na tomada de decisões da companhia. Além disso, é preciso mudar o organograma das empresas para que o CISO responda diretamente ao corpo diretivo, diferente da hierarquia da maioria das organizações brasileiras na atualidade, em que a SI responde para o CIO. Já a Segurança de TI, por ser uma área mais técnica, essa sim pode ficar embaixo do guarda-chuva da Tecnologia.
“É assim que os países mais maduros em Cyber, como é o caso dos Estados Unidos, operam a Segurança da Informação. O CISO que pensa no negócio, estabelecendo os controles e gerenciando riscos cibernéticos, se torna mais estratégico quando responde ao CEO, CFO ou Diretorias. Isso é sinal de alta maturidade em SI”, completa.
A carreira do líder
O lado bom é que o CISO no Brasil vive um momento importante, na visão de Timochenco. É um mercado em evolução acelerada, pois o líder de SI tem comprovado seu valor dentro das organizações. É um profissional que está na luta para deixar de ser visto apenas como custo operacional, ajudando as organizações na prevenção de ataques e trabalhando forte para permitir um crescimento sustentável, controlando riscos e protegendo os ativos mais críticos.
Para elevar o nível de maturidade do CISO, é preciso estudar outras disciplinas e atuar de forma mais consultiva, com uma linguagem de risco cibernético aplicado ao negócio e aos custos financeiros. Para Longinus Timochenco, é preciso investir conhecimento em uma grade de formação que contemple alguns pontos essenciais, como:
1) Criar uma visão de negócio e gestão empresarial
2) Ampliar critérios de contratação em parceria com RH para não correr risco de contratar funcionários mal-intencionados
3) Entender mais sobre os processos jurídicos, regulamentações e Compliance
4) Integrar Segurança Física e Lógica
5) Aproximar áreas de combate a fraudes para uma atuação mais conjunta com a SI
6) Desenvolver soft skill em Governança e Auditoria, pois são áreas que agregam valor à SI
7) Utilizando os orçamentos de segurança cibernética de forma eficaz
8) Supervisionar o pessoal de segurança cibernética dentro da organização – auditoria e compliance
9) Conscientização e treinamento de segurança cibernética
10) Cyber Segurança prover SAVE financeiro para o negócio.
“O CISO não precisa ser especialista em todas essas áreas, mas deve contar com mais conhecimento, integração e trabalho em equipe, mudar essa roupagem/rótulo de punitivo e ser mais consultivo, o que sem dúvida o torna mais estratégico para companhia e não somente para TI. Esse modelo já não atende as necessidades para respostas às vulnerabilidades globais. Ou seja, estamos falando de um colegiado de funções que, quando engajado em prol do negócio, eleva o nível de maturidade em Cyber. Essa nova geração de CISO precisa ter isso em mente e colocar rapidamente em prática”, completa Timochenco.
