Em entrevista exclusiva para a Security Report, Jonathan Fischbein fala abertamente sobre como as empresas enxergam o líder de SI e como esses profissionais devem atuar em um mercado cada vez mais exigente
Jonathan “Jony” Fischbein esteve pela segunda vez em São Paulo, agora para apresentar o keynote de abertura da Check Point Experience 2023, que aconteceu na semana passada na capital paulista. O profissional, já há 4 anos como Chief Information Security Officer (CISO) e DPO da companhia, se espantou com as mudanças na dinâmica do mercado brasileiro de tecnologia em comparação com sua última visita. Para ele, isso mostra um novo ambiente digital surgindo no país.
É desse ambiente inovador que o líder de SI tratou durante sua apresentação no evento. Devido ao crescimento da TI em diversos setores da economia brasileira, os riscos contra as empresas também aumentaram. A chegada da pandemia de COVID-19 e o consequente aumento da complexidade das estruturas de dados ampliaram ainda mais a superfície de risco.
O contexto desafiador abriu espaço para grandes mudanças na administração executiva das companhias, com elas percebendo os riscos que suas instituições se colocariam caso não protegessem seus ativos do cibercrime. Essas necessidades fizeram a figura dos CISOs crescem em termos de relevância e criticidade dentro da hierarquia corporativa.
E em entrevista concedida à Security Report, Jony Fischbein explicou que os profissionais agora devem se reposicionar no mercado, mostrando disposição em participar do dia a dia da organização, além de se aproximar de todos os departamentos para engajá-los nos temas de Segurança e equilibrar demandas diversas em favor do sucesso da corporação.
O papel do CISO 5.0 no board
Security Report: Você vê, de fato, o CISO mais próximo da figura do CEO?
Jony Fischbein: É uma ótima pergunta e a resposta é bastante simples: o que está na mente do CEO? Ele compreende a tecnologia aplicada em Cibersegurança e a importância de preservar esse setor? Hoje, a maioria dos CISOs ainda responde ao CIO, enquanto uma parcela reduzida está com o CTO e um conjunto ainda menor fala diretamente ao CEO.
Todavia, é comum haver uma exceção: em um incidente cibernético de grandes proporções, o CEO determina ao CISO responder diretamente a ele pelos próximos 12 meses. Terminado esse período, ele volta à posição inicial. Mas como uma organização executiva, é necessário alguém capaz de entender do negócio e participar das discussões relacionadas à tecnologia, trazendo uma visão voltada para Segurança.
Security Report: A nova posição do CISO pede novas soft skills. Essas exigências podem ajudar ambos os lados?
Jony Fischbein: Já temos ciência hoje de que os Líderes de Segurança jamais serão os executivos mais amados da companhia, pois ainda temos aquela velha situação de sermos quem sempre diz “não” a tudo. Então, falando de soft skills, precisamos espalhar uma mensagem de empatia entre os departamentos para trabalharem juntos e não um contra o outro.
No fim do dia, o CISO é um líder de negócios também. Se ele não fizer um bom trabalho, um incidente pode custar caro em recursos e tempo de recuperação da organização. Eles precisam atuar internamente e entender como direcionar a cooperação da SI aliada ao negócio.
Security Report: O que mais o board pode oferecer de ajuda aos CISOs além de um orçamento maior?
Jony Fischbein: Essa pergunta é boa pois é bastante comum os CISOs apenas baterem à porta do board em busca de mais dinheiro. Antes, precisamos divulgar as tendências de ataque, os desafios, os talentos disponíveis para ajudar e, assim, desenhar um cenário que justifique a solicitação por mais recursos. O board está ali para executar um plano de ação. Isso inclui a transparência de demonstrar quando a situação está crítica. Podemos pensar ainda na criação de estruturas de backup melhores e mais sólidas, além da contratação auxiliar de um Cyber Insurance, mas não como única medida.
Relações com os outros setores
Security Report: Qual a melhor forma de aproximar os diversos departamentos à cultura de Cibersegurança?
Jony Fischbein: Penso em múltiplas maneiras. A primeira me parece ser o Security Awareness, baseado em métodos de conscientização e treinamento multimidiáticos para manter uma atenção frequente dos usuários nesse risco. Também é interessante, ao menos uma vez ao ano, consultar os setores de negócios e ter uma compreensão mais profunda de como está a cultura de Cibersegurança dos departamentos.
Security Report: Esse contato exigiria adequar o discurso do CISO aos vários setores do negócio?
Jony Fischbein: Correto. Na minha opinião, o CISO não pode ser alguém tímido, restrito, que se esconda demais atrás do teclado do computador. Deve ser alguém disposto a se envolver no cotidiano corporativo. Nessas questões, e-mails não funcionam, pois os funcionários não terão interesse ou vão pensar ser um teste de rotina. É importante se envolver com as equipes de comunicação das empresas para passar boas mensagens aos colaboradores, de forma direta e clara.
Security Report: Quais os melhores métodos de fortalecimento da cultura Cyber?
Jony Fischbein: Há diferentes níveis de engajamento, mas uma proposta seria treinamentos rápidos, de três a cinco minutos, realizados uma vez por ano. Se o usuário não o completar, ele receberá lembretes diariamente pelo próximo mês. Se ainda assim a situação permanecer, será enviada uma notificação automática ao chefe dele.Esse contato mais direto permite aos próprios líderes dos setores se aproximarem dos CISOs para incluí-los, por exemplo, nos processos de desenvolvimento de soluções da companhia desde o dia da concepção da ideia, o que é uma grande vitória.
Fortalecendo as equipes de Cyber Security
Security Report: Como preparar as próprias equipes de SI para se tornarem melhores e, eventualmente, reduzirem os problemas de gap de mão de obra?
Jony Fischbein: Nós treinamos, ensinamos e mentoreamos nossos times de segurança para serem eficientes em seus trabalhos. Algo que alguns líderes acabam deixando de fazer é criar um trajeto de carreira aos funcionários. Há também o problema de orçamento: Se ele pode comportar os custos de 10 ou 15 funcionários, dobrar o tamanho dessa equipe exigirá mais gastos. O CISO pode não orientar o orçamento ou as execuções do negócio, mas ele gerencia a autoridade do time, movendo políticas corporativas e organizado a cultura de dados.
Security Report: E como fazer para atrair novos talentos desde o início de sua formação em Cibersegurança?
Jony Fischbein: Muitos me perguntam o que é preciso para entrar em Cibersegurança e eu respondo que isso depende de qual parte da CyberSec eles querem entrar. Cada cargo do setor requer um conhecimento e um interesse diferentes, com um caminho claro de crescimento dentro da organização. Um planejamento interessante é começar a aproximar as pessoas desde os cursos de ciência da computação, criando programas preparatórios dentro das companhias, em parceria com as universidades. Esses projetos são essenciais ao progresso da carreira dos alunos e, no futuro, eles podem se tornar membros de SOC ou pesquisadores.
Security Report: Quais orientações você deixaria para os CISOs brasileiros ampliarem o nível de proteção das empresas?
Jony Fischbein: Os ciberataques estão crescendo e se fortalecendo a cada dia, mas sinto que o setor também está se fortalecendo com novas tecnologias e novos aprendizados. Apenas precisamos pegar esses conhecimentos e compartilhá-los com a indústria. Neste momento, a cadeia de suprimentos é um dos grandes problemas. Portanto, as corporações precisam dar mais peso a parceiros fornecedores de confiança, de forma a consolidar suas estruturas e assim exigir menos esforço humano, menos recursos e menos treinamento.
