Carreira: CSO ganha espaço no mercado

por Felipe Dreher | InformationWeek Brasil

01/03/2010

Ainda muito baseado em empirismo, o cargo de diretor de segurança ganha importância nas companhias nacionais. Saiba como é a rotina

Quanto vale uma informação? Em tempos de governança, bolsa de valores e mercados em consolidação acessar dados confidenciais pode render prejuízo (ou lucro) de algumas centenas de milhares de reais. Muitas companhias já se atentaram para este fato - algumas até de forma dolorosa, depois de amargarem situações constrangedoras - e isto vem impulsionando uma razoável popularização de outro "C" dentro da hierarquia corporativa. Trata-se do chief security officer (CSO), profissional com a missão de estabelecer normas de segurança. Por volta do ano de 2004, a consultoria de recrutamento e seleção Fesa aceitou um job para conduzir um processo de um diretor de segurança para uma empresa de cartões de crédito. A ideia era a achar um profissional qualificado em poucos dias. "Foi uma tarefa difícil, pois não havia muita opção no mercado", recorda Ana Luiza Segall, diretora para área de TI e telecom da prestadora de serviço, citando que existiam muitos técnicos e poucos gestores para a vaga. Quatro anos depois veio uma nova demanda. Desta vez, as coisas não foram tão complicadas. "O cargo estava mais maduro. Encontramos cinco pessoas qualificadas e o candidato foi contratado em sete dias úteis", cita Ana Luiza, apontando que, mesmo a tarefa parecendo mais simples, ainda há dificuldade de encontrar executivos no mercado brasileiro aptos a ocupar o posto de CSO. A situação vivida na Fesa revela um mercado de trabalho em crescimento, que evolui da necessidade que as companhias têm no trato das informações. Se no mundo a nomenclatura já existe há aproximadamente uma década, no Brasil, o movimento é mais recente. "Mesmo os CSOs que conseguiram um lugar ao Sol, ainda estão debaixo da TI", comenta o diretor da divisão de consultoria em segurança da PricewaterhouseCoopers, Edgar D"Andrea. "Dificilmente, este profissional responde direto para o CEO", observa o especialista, revelando que o comum nas companhias brasileiras são profissionais seniores no assunto reportando-se aos CIOs. Essa dependência decorre, em muitos casos, do fato de que aproximadamente 70% do conhecimento de um diretor de segurança está relacionado com tecnologia. O entendimento sobre o que é TI pode fazer a diferença na hora de definir normas, arquiteturas e avaliar iniciativas sobre o que impactará na corporação. "A questão de segurança da informação começou a vir de dentro da área de informática", contextualiza o professor da Fiap e especialista no assunto Edison Fontes. Mas a informação não se restringe à computação. Contudo, tal afinidade fez com que muitos dos que ocupam o cargo de gestor de segurança tenham (ou, no mínimo, tiveram) um pé no departamento de tecnologia. A afirmação indica, ainda, uma possibilidade interessante para quem está na TI e quer uma mudança sutil na carreira. A estes profissionais, aconselham-se abrir horizontes, buscar noções amplas dos conceitos de segurança e estabelecer vínculos com o negócio. "É preciso ver cada uma das árvores e, também, poder visualizar a floresta", ilustra Fontes. Em outras palavras: CSOs têm à frente uma grande gama de assuntos que tocam vários ambientes corporativos; eles têm de ver o todo, mas se atentarem aos detalhes. Há no mercado diversos cursos e, pelo menos na opinião das fontes ouvidas para esta reportagem, as oportunidades de trabalho são latentes - com um salário inicial para gestor de segurança estimado na casa dos R$ 15 mil ao mês (mais bônus). "A carreira está em franca expansão", avalia Zilta Marinho, diretora de educação da Módulo, entidade que, desde 2002, formou mais de mil profissionais em seu curso de CSO. Armar-se com certificações, MBAs, graduação e pós-graduação é um bom ponto de partida, mas pode não ser tudo. "Muitos dos profissionais que se destacam na área se viraram e foram atrás de maneiras para construir sua carreira de forma independente", comenta Fontes. Para entender um pouco mais desta carreira e do dia a dia de um CSO, InformationWeek Brasil acompanhou o trabalho de algumas pessoas que trilharam este caminho. Vontade de aprender Cesar Augusto Kadota não faz o tipo durão. Pelo contrário. Sujeito simpático, de fisionomia oriental, aparenta menos do que os 47 anos que tem. Em seu perfil no LinkedIn, define-se como gerente de segurança da informação. Desde 2006, trabalha na Net, onde coordena uma equipe de cinco pessoas que o ajuda a gerenciar 470 mil logins, 10 mil estações de trabalho, 13 sistemas auditados por Sarbanes-Oxley (Sox); além de bloquear 5 milhões de spams todos os meses. Na hierarquia, reporta-se ao CIO da operadora. Fora isto, integra um comitê composto por líderes de negócio que se reúne de tempos em tempos e o ajuda nas ações. Sua rotina começa cedo. Chega às 7 horas à companhia, acessa seus e-mails, alguns sites de notícia e blogs para saber se existe algo na iminência de ocorrer e que, de alguma forma, pode impactar a operação da operadora de TV. No restante do dia, sua agenda registra reuniões e mais reuniões até por volta das 19 h, quando sai da empresa mantendo o celular ligado. Kadota se define como um autodidata. "E quem na área de segurança, não é?", questiona, apontando este traço como algo comum entre os que escolheram trabalhar com tema. "Os hackers inventam novos ataques a cada segundo", justifica o executivo que estudou por conta própria vários tópicos de segurança, mas ainda não tirou nenhuma certificação na área. "Me dediquei à parte administrativa", resume o gestor, afirmando ter lido vários livros para compor sua formação, manter-se sempre atualizado e trocar, com frequência, informações com colegas. Para suas atribuições, cursou uma pós-graduação e um MBA em telecomunicações. "Rede é fundamental", menciona. Formado em análise de sistemas, o gestor da Net começou carreira na TI de um banco, nos anos 80, como operador de mainframe. Seguia uma carreira clássica pelo departamento de tecnologia até que assumiu o desafio de coordenar a área de disaster recovery na BCP (hoje, Claro). "Foi aí que entrei em segurança especificamente", determina, citando que realizou alguns cursos para completar o conhecimento acadêmico e, no posto, precisou aproximar-se das áreas de negócio da companhia. Na época, Kadota gerenciava três funcionários e um time de consultorias terceirizadas. Por volta de 2001, ele recebeu uma proposta para assumir a gerência de segurança da informação na Telefônica. Recuperação de desastres, então, passou a ser apenas uma de suas atribuições diárias. Entre as diferenças dos cargos, o executivo lista que orçamento, responsabilidade e gestão de pessoas ganharam mais ênfase. "Técnico é fundamental, mas o cara tem de ser bom em relacionamento para saber vender suas ideias", ensina, afirmando que em sua carreira passou apenas por uma situação mais tensa, na qual sistemas de uma das empresas onde trabalhou no passado foram infectados por vírus e o assunto chegou à imprensa. Foram 12 horas de muito trabalho para administrar o transtorno. Tirando isto, só questões de rotina. "Problemas acontecem todo o dia, mas são coisas pequenas." Relação analógica Armando Linhares Neto também não detalha grandes percalços na carreira como CSO. Segundo o executivo de 39 anos de idade (dos quais sete como diretor de segurança), o caso mais complicado que vivenciou ocorreu de maneira banal e sem ligação direta com a TI. Foi mais o menos o seguinte: uma área da empresa onde trabalhava planejava ações que não chegaram a se materializar. A informação era restrita, mas um funcionário comentou o tema em casa. A esposa do profissional mencionou o assunto estratégico com um grande número de pessoas. Foi como se um cano hidráulico rompesse, tamanho o impacto do vazamento. A história mostra como o cargo de gestor de segurança não se vincula apenas à TI. Apesar disto, Linhares Neto, atualmente na Infoglobo, começou sua carreira prestando suporte à tecnologia nos idos anos 90 - um início muito parecido com o de Kadota. Quando a rede da empresa na qual trabalhava passou a ser estruturada, ele foi chamado para atuar na manutenção, cuidando para que os servidores não ficassem expostos. Até então, recorda o executivo, não havia uma estrutura formal de segurança nas companhias. A questão tocava bastante os atributos técnicos e gestão da infra. "Junto das facilidades da tecnologia, veio o pacote responsabilidade", analisa. Na sua visão, os profissionais que cuidavam da rede acabaram assumindo assuntos relativos à segurança. Pelos menos foi o que ocorreu com Linhares. Sabendo falar o idioma técnico, hoje se reporta ao presidente da companhia e tem o CIO como par. O executivo assumiu a função de diretor de segurança em uma companhia da vertical de finanças. "Aceitei aquilo como um desafio." Sua formação técnica casou com o perfil que a empresa buscava. No currículo, ele registrava uma graduação em engenharia, uma pós em análise de sistemas e outra em telecomunicações. Ao aceitar o cargo, o executivo buscou formações ligadas a negócio. Fez isto por meio de dois MBAs. "Muda a forma de trabalhar, pois começa a entrar mais na estratégia", compara o profissional, dizendo que seu papel, hoje, é definir políticas e normas, além de avaliar projetos que possam gerar riscos à corporação. Visão de dentro (e de fora) Desde março de 2009, Ricardo Dastis trabalha como gerente-sênior na área de segurança da PricewaterhouseCoopers (PwC) Brasil. Antes disso, ele definia seu cargo  como CISO (chief information security officer), justificando que se reportava mais ao CIO e não diretamente ao presidente. Nas empresas pelas quais passou não havia a figura do CSO. "Bem ou mal, eu ocupava a função", resume o executivo, hoje com 35 anos, que iniciou carreira na área por volta de 1995. Recém-formado em ciências da computação pela Universidade Federal do Rio Grande do Sul (UFRGS), resolveu empreender numa empresa de rede de computadores. A demanda do mercado direcionou a companhia a prover soluções de segurança. Por volta do ano 2000, a firma de Dastis foi absorvida e tornou-se uma filial da Módulo na região Sul do País. Com isto, o profissional passou a responder pelo cargo de gerente-geral da operação local. A guinada de mercado ocasionada pelo estouro da bolha  da internet mudou o rumo da história. Mais ou menos naquela época, a Telemar montava uma equipe de segurança informação e Dastis foi convidado para integrar o time. Em 2002, quando o gerente da unidade deixou a operadora, ele foi promovido e permaneceu até 2005. Uma nova oferta de trabalho ocorreu e o executivo mudou-se para São Paulo para assumir um posto similar na subsidiária brasileira da Basf, focando ações de segurança na operação da companhia em toda América do Sul. O profissional atribui o rumo dado à carreira a um mix de casualidade e oportunidade. O executivo acredita que a promoção para o cargo de gestor na operadora de telefonia deve-se à bagagem que acumulou como gerente da consultoria Módulo. "Curso e certificação, na época, eu não tinha", recorda, dizendo que os aspectos técnicos que contaram a seu favor não foram medidos por formação estruturada, mas pela experiência de implantação de tecnologias. "Aprendi, ao longo desse tempo, que o mais importante não é a segurança como um fim, mas a gestão do risco", analisa Dastis. "Todo mundo sabe que nada é 100% seguro. Logo, algumas coisas terão um grau de exposição maior ou menor. A principal rotina deve ser: o que é preciso para conseguir justificar os projetos a partir do retorno sobre o investimento", comenta, dizendo que essa clareza ajuda na tomada de decisão dos diretores da companhia para trabalhar de forma preventiva.