Ãs vezes, um CISO não é realmente um CISO ou a função não tem a autoridade ou os recursos de que precisa
A primeira coisa que um CISO deve lembrar ao considerar uma nova posição é que os profissionais de segurança C-level são uma “mercadoria valiosa”. Isso significa, não tenha pressa e seja exigente para não pegar o emprego errado. Ou, como diz o primeiro CISO do mundo, Steve Katz, “não vá às compras quando estiver com fome”.
Isso porque os trabalhos para CISO são abundantes, mas não iguais. Uma rápida pesquisa no LinkedIn, por exemplo, revela mais de 1.000 cargos em aberto relacionados ao cargo, a maioria dos quais parece estar no nível executivo. Indeed.com, por outro lado, reivindica mais de 4.000 posições em uma pesquisa, mas muitos desses títulos não são funções C-level e alguns nem gerentes são.
Esta é uma distinção fundamental que os CISOs devem entender ao considerar um novo emprego, de acordo com especialistas. Este é um verdadeiro cargo C-level com adesão do conselho e uma linha direta ou indireta com o CEO? Ou é um título exagerado para um papel inferior? Pode ser um trabalho troféu em que a empresa precisa apenas do corpo para atender aos requisitos regulamentares.
“Uma das primeiras coisas que pergunto é: ‘A quem o CISO se reporta?’, porque entender onde está o cargo de CISO na organização me mostra o quanto a empresa contratante está investindo em segurança”, disse George Viegas, CISO da Chapman University, uma universidade particular bem conceituada em Orange, Califórnia. “Se o CISO se reporta ao CEO, isso é enorme e indica que o trabalho é, na verdade, de C-level com suporte do topo. Se a função do CISO se reporta ao departamento de finanças, risco ou conformidade, isso me diz que eu estaria em algum nível removido da liderança”.
De acordo com um relatório do Forester divulgado no final de 2020, apenas 13% dos CISOs são considerados C-suite. Se os candidatos estão procurando cargos desafiadores de nível C com a influência e o suporte de que precisam, reportar-se ao CEO é o ideal, enquanto reportar ao CIO com uma linha para o CEO é mais comum.
“Se lhe disserem durante o processo de contratação que não precisa se preocupar em se apresentar ao conselho porque seu chefe fará isso, isso é um sinal de alerta. Isso pode significar que a primeira vez que você vê o quadro é para dar a eles más notícias. Esse nunca é um bom momento para conhecer o conselho”, diz Diana Kelley, ex-CTO da área de segurança cibernética da Microsoft e Cofundadora da empresa de analistas SecurityCurve.
Katz coloca da seguinte maneira: “Se você não desenvolveu essa credibilidade e algo dá errado durante a noite, e vai acontecer, você será chutado para o meio-fio”. Ela se lembra de um exemplo de alguns anos atrás em que o oposto aconteceu, porque o CISO tinha aqueles relacionamentos críticos com a liderança executiva antes de a empresa ser atingida pelo ransomware criptografado Petya. Nesse caso, o CISO manteve seu emprego enquanto o CIO perdeu o dele. “Ele [o CISO] desenvolveu credibilidade com o C-suite e o conselho e foi incrivelmente transparente com eles desde o início”.
Além disso, procure significados ocultos na descrição do trabalho. Por exemplo, Viegas, que está em seu sexto trabalho de CISO, diz para observar palavras-chave, como ‘prático’ x ‘estratégico’ ou ‘conformidade’ x ‘liderança’. “’Prático’ pode indicar recursos limitados ou inexistentes e provavelmente uma pequena empresa que oferece uma função glorificada de administrador de segurança. Estratégico indica uma função de nível superior. Um grande foco na conformidade pode significar que eles estão apenas tentando marcar uma caixa para os reguladores”, explica ele.
A maneira como a descrição do cargo é escrita e estruturada também diz muito sobre uma empresa. A organização está procurando um nível de habilidade irracional, por exemplo, pedir todas as certificações sob o sol com 15 a 20 anos em uma função de CISO executivo? Kelley acrescenta: “Descrições de cargos mal definidas podem listar coisas demais para uma pessoa fazer ou podem revelar uma falta de compreensão sobre o que um CISO faz, o que significa que as expectativas serão frustradas. Também pode mostrar falta de apoio, bem como um ambiente de trabalho confuso ou caótico”.
Existem vários motivos para a contratação de um novo CISO. Às vezes, é devido a uma violação e o CISO anterior saiu ou foi demitido por causa disso. Alguns nunca tiveram um CISO antes. Idealmente, a empresa está procurando um parceiro estratégico para levá-los ao próximo nível.
“Muitos de nossos clientes estão contratando a Alta porque estão elevando uma posição ou criando uma nova função. Portanto, embora possam ter um CISO no lugar, eles percebem que o que os trouxe até aqui não os levará onde desejam”, explica Joyce Brocaglia, fundadora e CEO da empresa de busca de executivos de segurança, Alta Associates. “Essas organizações geralmente procuram um líder executivo de alto nível que possa transmitir as questões de segurança e risco em termos que façam sentido para os negócios. Eles também costumam querer que encontremos alguém que tenha uma abordagem mais holística ao risco, um estilo de liderança colaborativa e que veja a segurança cibernética como um facilitador de negócios”.
Também é importante saber quem você está substituindo. Existe uma sequência de CISOs indo e vindo? Ou eles nunca tiveram um CISO antes? Se não, existe um orçamento realista e um departamento de segurança? Se a empresa tiver uma porta CISO giratória, isso pode indicar que é difícil trabalhar para a empresa e que ela tem expectativas irracionais, sugere Kelley. Ou pode significar que a empresa ainda é imatura e não entende a natureza estratégica de nível C do trabalho.
Procurar um CISO no próximo nível, com habilidades executivas, pode ser um dos motivos pelos quais a empresa não está tentando contratar de dentro, mas esse é outro sinal de alerta a se observar, diz Viegas. Isso pode significar que um bom talento está sendo negligenciado ou que não há gerentes e diretores na organização para promover – indicando falta de apoio para a função.
Se o CISO se reporta ao CIO, Viegas também recomenda consultar o histórico do CIO para saber se eles são uma boa combinação cultural e se o CIO vê o CISO como um parceiro estratégico. Em seguida, analise o tamanho da equipe e descubra se há espaço para crescimento em relação ao tamanho e missão da organização. “Se a equipe tem três membros, eles têm orçamento para outros? Existem gerentes e diretores subordinados ao CISO?”
O desajuste cultural é um dos sinais de alerta menos comentados, mas mais importantes, quando se considera um novo emprego, diz Brocaglia. “No papel, a maioria das descrições de cargos são semelhantes, mas a cultura de cada empresa é diferente. As expectativas são diferentes, as necessidades de liderança são diferentes e os níveis de colaboração são diferentes. As habilidades são fáceis de encontrar. É o encaixe cultural que é difícil”.
O processo de entrevista também é um bom indicador de adequação cultural – ou falta dela. Por exemplo, Kelley descreve entrevistas em que seis pessoas diferentes explicaram o trabalho de seis maneiras. Alguns podem ter um complexo de salvadores onde sentem que o CISO é responsável por tudo, ou o RH parece desorganizado e caótico. “Se o RH está confuso, geralmente a empresa está”, acrescenta ela.
Katz, que treina CISOs, gosta de organizar a satisfação no trabalho no que ele chama de “seis Cs”: challenge, commitment, chemistry, culture, clarity and commute [desafio, compromisso, química, cultura, clareza e deslocamento]. Se todos eles se alinham, então vem a compensação. Katz diz que os pacotes para verdadeiros CISOs de nível C variam de US$ 250.000 a US$ 2 milhões por ano, dependendo do tamanho, maturidade e complexidade da organização e das opções incluídas no pacote.
O conselho de Kelley é verificar como essa compensação é empacotada. Por exemplo, o pacote é pesado em bônus e concessões de ações, mas fraco em pagamento mensal? Os requisitos de desempenho para o bônus são alcançáveis? Em que intervalos os subsídios são adquiridos?
Também importante, o CISO pode obter uma cláusula de ouro no contrato de que esses incentivos não desapareçam no caso de a cabeça do CISO rolar por uma violação ou erro político dentro da empresa, diz ela. “Se a empresa passou por uma violação recente e o CISO foi sacrificado como um bode expiatório para a mídia e perdeu o emprego, isso é um vislumbre potencial do seu futuro nessa organização”.
