Nos Estados Unidos, o cargo de Chief Security Officer (CSO), cuja tradução livre poderia ser algo como diretor de segurança, está em alta. Mas e no Brasil, qual é a situação deste profissional imprescindível às corporações?
Nos Estados Unidos, o cargo de Chief Security Officer (CSO), cuja tradução livre poderia ser algo como “diretor de segurança”, está em alta.
A profissão já crescia continuamente em importância e número de contratações quando os atentados de 11 de setembro alçaram a segurança ao topo das prioridades de empresas e órgãos públicos do país. De lá para cá, esse profissional valorizou-se e ganhou espaço em companhias que há poucos anos sequer saberiam dizer o que a sigla CSO significa.
Mas e no Brasil? A situação é bem diferente por aqui. A definição exata de um CSO é um profissional que ocupa cargo de diretoria, reporta-se sem intermediários à direção da empresa e tem a responsabilidade de garantir a proteção das informações e ativos físicos de uma companhia, além de estabelecer uma política de segurança que permeie todos os departamentos. Contam-se nos dedos os profissionais com esse perfil no mercado nacional.
Existem, no entanto, algumas variantes desse CSO “clássico”. A que aparece com mais freqüência no Brasil é alguém com cargo de gerência e ligado ao departamento de informática, reportando-se ao CIO (diretor de tecnologia) e cuidando sobretudo da segurança de sistemas.
A tendência, no entanto, é acompanhar o que ocorre no mercado norte-americano. O profissional de segurança deve adquirir um status cada vez maior e as corporações exigirão executivos altamente gabaritados para o posto.
“Hoje as empresas nacionais ainda enxergam esse profissional como alguém ligado ao departamento de informática, confundem-no como um funcionário do CIO”, explica Danielle Sarraf, consultora sênior da Mariaca, uma agência especializada na contratação de executivos. “O mercado brasileiro ainda está amadurecendo quanto ao CSO.”
Até hoje, a Mariaca fez o recrutamento de apenas dois profissionais para a posição. Em ambos os casos, o salário era intermediário entre uma gerência e uma diretoria nos Estados Unidos, a remuneração do CSO costuma regular com a dos diretores mais importantes, como sugere o próprio “C” (Chief) da sigla.
Segundo Danielle, o perfil ideal de um CSO é de um profissional diretamente ligado à presidência. “Isso faz com que o resto da empresa veja essa pessoa como uma eminência parda, alguém que não está ligado a área nenhuma, não é subordinada a ninguém e está livre para supervisionar a todos”, afirma.
Danielle acredita que o cargo de diretor de segurança deixará de ser algo exótico no país dentro de poucos anos. “A procura por esse profissional aumentará muito no Brasil”, diz. “Existe uma demanda reprimida no mercado que vai aflorar em algum momento. Os setores de telecomunicações e financeiro devem puxar a contratação de CSOs.”
Boa parte dos profissionais de segurança que atuam hoje no mercado nacional sejam diretores, superintendes ou gerentes veio da área de tecnologia, já que a necessidade de segurança começou a ser disseminada pelo departamento de TI. Pode inclusive ser um CIO que vê na carreira de diretor de segurança uma opção profissional a mais.
A percepção da Mariaca é confirmada por outra agência de “headhunter”, a Crossing. “Há um ano trabalhamos na contratação de uma posição de CSO. Na época, tivemos que fazer uma longa pesquisa”, diz Rosângela Guedes, sócia da Crossing. Rosângela conta que procurou a pessoa ideal por mais de dois meses, quando a média de tempo para encontrar um profissional é de 15 dias. “A dificuldade foi conciliar o conhecimento técnico com a capacidade de relacionamento e de liderança”, afirma.
A contratação foi para um posto elevado, que se reporta diretamente ao presidente e possui salário acima da alta gerência e abaixo da direção. “A empresa queria que a posição fosse desvinculada de qualquer diretoria”, diz Rosângela.
Isso não significa uma atuação similar a uma auditoria muito pelo contrário. “Um auditor adota a postura de alguém que olha os processos e aponta as fragilidades. Alguém que acusa”, afirma a sócia da Crossing. “Este não pode ser o perfil do CSO. Precisa ser um profissional gabaritado em relacionamento e negócios.”
Para Rosângela, o crescimento dessa profissão deve ocorrer naturalmente. “Estamos na era da informação. Isso tem o lado bom, mas tem os riscos embutidos”, diz.
O dia-a-dia de quem cuida da segurança
Há cerca de quatro anos, a gerência de segurança do ABN Amro Bank transformou-se em diretoria. O processo foi percebido como uma adaptação às novas necessidades do mundo corporativo. “A partir do momento em que a empresa está conectada e ligada na internet é preciso aumentar a proteção”, diz Agostinho Gouveia, diretor de segurança e contingência da informação do ABN Amro Bank.
Uma das principais funções de Gouveia cujo perfil profissional é próximo ao da concepção norte-americana de um CSO – é a definição de políticas e normas de segurança para toda a empresa. O maior desafio, no entanto, vem depois: disseminar essas políticas internamente entre as diferentes unidades. “Este ano fizemos um projeto com o slogan segurança é responsabilidade de todos, por meio do qual passamos informações de como adotar procedimentos seguros”, conta o executivo.
Como se vê, o desafio extrapola o mundo dos bits e bytes do departamento de TI. “Tenho que explicar para o funcionário que ele não pode deixar documento aberto em cima da mesa, que não pode conversar assuntos sigilosos fora do banco, que não reconheça e-mails de estranhos como algo oficial”, diz. “Isso eqüivale a mostrar para o funcionário que é ele quem fará a segurança.”
Mas o escopo de atuação de Gouveia é mais amplo do que isso. O executivo é responsável por controlar todas as senhas de acesso dos 23 mil funcionários e também de clientes, além de definir o perfil de cada funcionário para determinar exatamente quais áreas e ferramentas da rede da empresa ele precisa para trabalhar nada a mais e nada a menos. O executivo é ainda responsável pela homologação e instalação dos software de segurança, como firewall ou antivírus. Sua ação atinge cada esquina da empresa.
Além disso, Gouveia estabelece normas, padrões e procedimentos para contingência. O ABN possui uma estratégia para emergências claramente estabelecida. A estrutura vital para o funcionamento do banco está replicada. Se houver um incêndio no prédio da matriz, existe uma plano para levar alguns funcionários-chave para outro escritório onde tudo está pronto para que as pessoas sentem e comecem a trabalhar imediatamente, de modo que o funcionamento das operações mais importantes da instituição financeira não sejam interrompidas.
Todos os dados fundamentais usados e atualizados – no dia-a-dia de trabalho estão espelhados no sistema, de modo que a operação não ficará paralisada mesmo no caso de um acidente imprevisto. Para áreas importantes mas que não são consideradas vitais, também há um sistema duplicado, mas que fica apenas semi-pronto o funcionário precisa baixar os back-ups antes de começar a trabalhar.
Cada um a seu modo
Não existe uma receita padronizada para cuidar da segurança da informação. Em alguns casos, é possível armar uma estrutura eficiente mesmo sem a figura de um CSO. O modelo de se estabelecer um comitê que responda por todas as questões que envolvem segurança é bastante adotado e pode funcionar bem.
É o que mostra a Embratel. A empresa possui uma área interna de segurança e uma área externa, voltada para os clientes. Há ainda uma terceira gerência de segurança empresarial que cuida da segurança dos ativos físicos da empresa e está ligada à diretoria administrativa.
“Existe uma quebra de responsabilidades entre segurança lógica e segurança física. Mas estamos criando um sinergia entre as áreas”, conta Yanis Cardoso Stoyannis, gerente de segurança da Embratel. Esse foi um dos motivos que levou à criação de um comitê de segurança da informação. Trata-se de um comitê executivo, que chega a envolver pessoas-chave, como vice-presidentes, que tenham força de disseminar a política de segurança estabelecida.
Outro bom exemplo é o Itaú, segunda maior instituição financeira privada do Brasil. Em 1987, o banco criou uma área de segurança para sistemas e informática. A estrutura evoluiu e hoje existem duas pessoas: uma voltada para as políticas internas e sistemas e outra focada exclusivamente em internet. Há ainda uma área de auditoria em informática e uma superintendência de segurança que se responsabiliza por fazer com que cada unidade siga os processos estabelecidos.
Essas quatro áreas formam o comitê de segurança do banco, que se reúne mensalmente para ajustar a política de segurança da informação. Pode-se dizer que o CSO do Itaú é este comitê. Não existe uma única pessoa que centraliza todas as ações de segurança, mas não há questão sobre o tema que o comitê não tenha a incumbência de resolver.
Já o Banco Santos possui um departamento de segurança que fica separado da área de TI, embora trabalhe em proximidade. Hoje esse departamento reúne um gerente que coordena uma equipe de cinco profissionais. O grupo se reporta ao CIO, Maurício Ghetler, apesar de atuar de forma independente. A instituição financeira não pode abrir uma nova agência, um novo Web site, um projeto qualquer nada pode ser feito sem o aval dessa unidade.
“A área de segurança é importante porque efetivamente analisa processos, enquanto o departamento de TI tem a função de prestar serviços, não de criticar processos em termos de segurança”, diz.
A separação da área de segurança do departamento de TI começou timidamente em 1999. Na época já havia um CSO, mas a saída desse profissional levou o Banco Santos a planejar o desmembramento de forma mais cautelosa. A área ganhou músculos aos poucos e depois foi isolada quando estava forte o bastante para andar com as próprias pernas.
No começo de 2002, o departamento ganhou autonomia. O que não significa que haja sozinho. A conscientização da necessidade de segurança é feita pela controladoria, superintendência e presidência. “Com tanta força política, os funcionários acabam aderindo. As áreas de TI e segurança têm um respaldo muito grande da direção da empresa”, afirma Ghetler.
Não existe um modelo único para cuidar de segurança corporativa. A figura do CSO é importante e a responsabilidade do cargo é um excelente forma de se estrutura uma área de segurança com dentes e garras para cumprir seu dever com eficiência.
Não é sem motivo que a profissão está consolidada nos EUA e chama cada vez mais atenção no Brasil. Mas existem outras alternativas, como ensinam as experiências de grandes empresas nacionais. No final, o importante é que haja vontade política de colocar a segurança como prioridade. Esse é o ingrediente básico para o sucesso de qualquer área de uma corporação.
