Em linhas gerais, a posição de um líder em Cibersegurança não tem sido fácil, mas diria o mesmo para qualquer profissional que trabalhe na estrutura de CISO em uma organização. Na história da Segurança da Informação, Steve Katz foi o primeiro CISO, no Citigroup, em meados de 1994, depois que o grupo sofreu um ataque cibernético de um hacker russo chamado Vladimir Levin. O banco criou a primeira posição de executivo de segurança cibernética do mundo e, a partir disso, a estrutura do CISO tem se expandido, sendo até comparada com a função de um piloto, devido às regras no espaço aéreo e alta complexidade de atuação.
Tenho ouvido de alguns profissionais no Brasil e nos EUA que ainda não são muito valorizados, apesar de o cenário ter mudado nos últimos anos. Nos EUA, a função do líder de Cibersegurança tem oferecido salários atraentes, porém o risco na posição, especialmente no mercado financeiro, tem se tornado mais crítico. Tenho ouvido relatos de profissionais que rejeitam a posição de CISO devido à pressão no cargo, preferindo atuar em posições como a de Cyber Risk, para evitar o impacto jurídico em caso de um incidente de Segurança com consequências graves.
Para quem lembra do caso do Capital One, em 2019, a instituição sofreu um vazamento de dados na AWS devido a uma falha de configuração de permissão de acesso em uma conta através de um EC2 server. Isso permitiu o acesso a dados em um S3 bucket. No fim da história, o CISO foi o culpado e acabou demitido. Porém, analisando o caso em profundidade, percebe-se que a negligência foi mais ampla, incluindo falhas na estrutura de TI e, talvez, na auditoria, que não identificou a vulnerabilidade a tempo.
Ao refletir sobre o cenário atual e como devemos agir em 2025, lembrei da história de um grande líder no Velho Testamento chamado Neemias. Ele recebeu a missão de reconstruir o muro de Jerusalém, destruído há mais de 120 anos, e o fez em apenas 52 dias. Neemias estudou o cenário da cidade, elaborou um plano e cumpriu a missão com excelência.
Adaptando as lições de Neemias ao contexto corporativo, especialmente no campo da Cibersegurança, é possível explorar características que fazem sentido para o trabalho dos CISOs. Muitos líderes falham ao negligenciar a responsabilidade de implementar controles adequados. Este artigo busca discernir lições aprendidas e agregar valor ao trabalho desses profissionais.
1. Construção de equipes de alto desempenho
Neemias teve compaixão pela sua missão e pela visão de formar líderes que influenciariam a nação. Ele entendeu seu propósito e persuadiu outros a formarem uma equipe vencedora. Da mesma forma, um CISO não pode apenas ocupar o cargo; é necessário ser um influenciador, um conselheiro confiável, estrategista e articulador. O objetivo deve ser criar um time focado em construir um projeto de cibersegurança robusto, alinhado aos objetivos organizacionais e capaz de entregar resultados.
2. Liderança íntegra e humilde
Neemias liderava com integridade, reconhecendo suas falhas e agindo com humildade para resolver problemas. Ele assumiu a responsabilidade em situações difíceis. Para um CISO, é fundamental contar com conselheiros confiáveis e arquitetos que ajudem a alcançar metas. Um plano bem estruturado, alinhado às melhores práticas, promove transparência e facilita a aplicação de medidas preventivas.
3. Responsabilidade em primeira pessoa
Neemias assumiu sua responsabilidade e não culpou outros pelos desafios enfrentados. No mundo corporativo, CISOs devem ter confiança em seu conhecimento e experiência, além de compreender o modelo de negócios da organização, os riscos e as necessidades. Implementar frameworks adequados, gerir o orçamento de forma eficaz e monitorar continuamente são ações essenciais.
4. Estratégia baseada na experiência
Neemias teve experiências práticas com Deus que guiaram suas decisões. Na Cibersegurança, líderes devem pensar fora da caixa e também consultar especialistas para tomar decisões críticas. Avaliações de risco, atualizações em BIA, BCP e DRP, implementação de Zero Trust e gestão de vulnerabilidades são fundamentais para fechar lacunas no ambiente organizacional. Sabe aquele comitê de Segurança? Esteja preparado para aceitar conselhos, feche os buracos na gestão de vulnerabilidades.
5. Superar limites com planejamento
Neemias enfrentou desafios com recursos limitados, mas alcançou seus objetivos. CISOs devem entender que orçamento, tempo e recursos humanos são limitados, exigindo planejamento rigoroso. É necessário entregar projetos mapeados com excelência, aprendendo com dificuldades para se tornar resiliente e confiável.
6. Comunicação e proatividade
Neemias demonstrou autocontrole e soube enfrentar desafios com cordialidade. CISOs precisam ser proativos, resolver falhas críticas e evitar que ameaças causem danos graves. Investir em processos robustos, monitoramento contínuo e estratégias de remediação é essencial para mitigar riscos.
Para 2025, resiliência e visão estratégica
Por fim, Neemias demonstrou sabedoria e autocontrole em sua liderança. Nesse contexto, ser incisivo e proativo na identificação e correção de falhas e processos problemáticos é essencial para evitar que ameaças explorem essas brechas e gerem riscos significativos. O sucesso de um programa de Cibersegurança depende não apenas de soluções tecnológicas avançadas, como o uso de IA e ML em soluções de EDR, mas também de garantir que todos os endpoints estejam protegidos.
A estrutura do CISO deve estar ciente do poder e da responsabilidade que possui. É crucial utilizar os recursos disponíveis e aprender com os casos de sucesso e fracasso de empresas similares para engajar a alta direção e os colaboradores na importância da SI como pilar essencial para a proteção do negócio.
O posicionamento e a forma como encaramos os desafios serão determinantes para a criação de um plano de Cibersegurança robusto e eficaz, sustentado pelo suporte da alta direção. É fundamental atuar estrategicamente, assegurar um monitoramento contínuo e desenvolver ferramentas que proporcionem a proteção adequada à organização.
Por fim, há um provérbio que diz: “O princípio da sabedoria é o conhecimento e o entendimento, que proporcionam prudência e sábios conselhos; os tolos desprezam a sabedoria e a instrução.” Portanto, usem a experiência adquirida ao longo da jornada com diligência. Não ignorem seu valor!
*Rangel Rodrigues é advisor e arquiteto em Segurança da Informação, CISSP, CCSP, CCISO, CCSK, CCTZ, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA e Cyber Risk Management pela Harvard University. Tem MBA em Gestão de TI pela FIA-USP e é professor de Pós-Graduação em Gestão de Cibersegurança e Riscos Tecnológicos na FIA. Atualmente, trabalha para uma instituição financeira nos Estados Unidos.
