Get 4 FREE months of Conformio to implement ISO 27001

O que buscar na contratação de um professional de segurança

Além de procedimentos e tecnologias apropriadas, contar com bons profissionais pode fazer toda a diferença durante a implementação e operação de qualquer processo ou projeto. O filme “Apolo 13” mostra o que pessoas habilidosas podem fazer quando procedimentos e tecnologias falham (lembre-se do dispositivo “caixa de correio”). Por outro lado, quais são as chances do mais bem projetado carro de corrida vencer o campeonato estando nas mãos de um piloto mediano?

Assim, na área de segurança da informação, o que seria um bom professional para a sua organização? Embora esta área tenha se tornado uma enorme interconexão de conhecimentos e habilidades, existem alguns atributos comuns encontrados em profissionais que se destacam na multidão, que podem dar ao CEO ou chefe do setor de RH um bom começo no processo de seleção de um profissional adequado. Vamos falar um pouco sobre estes atributos.

Competência de acordo com a ISO 27001

Como a principal estrutura para gestão de segurança da informação, a ISO 27001 tem cláusulas que proveem um sólido começo com relação ao uso de competências para se atingir os resultados de segurança desejados. Por exemplo, a cláusula 7.2 a) da ISO 27001 requer que a organização defina competências que são necessárias para a gestão de sua segurança da informação. Contudo, embora esta cláusula possa ser um bom requisite para um sistema de gestão proposto para organizações de qualquer tipo/tamanho (definindoo que deve ser feito), ela não ajuda muito em uma implementação (como especificar estas competências) – no máximo, ela ajudará você a definir papéis de segurança.

Quais competências você deveria procurar?

Você pode definir “competência” como um grupo de quarto aspectos:

  • Conhecimento: o que você sabe sobre um assunto específico.
  • Habilidades: o que você pode realizar com base no conhecimento que você tem ou por conta de uma aptidão natural.
  • Experiência: o que você aprendeu durante o tempo ou número de execuções de uma atividade específica.
  • Atitude: comportamento que reflete um estado de espírito ou disposição com relação a algo ou alguém.

Uma etapa comum em qualquer seleção de segurança da informaçãoé buscar por conhecimento, habilidades técnicas e experiência, e para estes você pode usar certificações como principal critério de referência. Os perfis estabelecidos por certificações como Auditor Líder ISO 27001, Implementador Líder da ISO 27001, CISSP, CISM, CISA e CBCI, entre outras, pode ajudar você a identificar candidatos promissores, ou ao menos definir um conjunto de conhecimentos e habilidades técnicas que um profissional deveria ter para se adequar às necessidades de sua organização (para mais informações, veja: Como certificações pessoais podem ajudar o SGSI de sua organização). Especificamente, para o papel de Chefe de Segurança da Informação (Chief Information Security Officer – CISO), temos este dois artigos que você pode achar interessante: Qual e o trabalho do diretor de seguranca da informacao chief information security officer (CISO) na iso 27001 e Chief Information Security Officer (CISO) – where does he belong in an org chart?

Para uma organização aumentar suas chances de encontrar um candidato apropriado, ou para um professional de segurança aumentar sua visibilidade como alguém que pode agregar valor a um negócio, existem seis características que considero críticas para o desempenho de um profissional de segurança:

Foco e entendimento do negócio: um profissional de segurança deveria ser capaz de pensar e demonstrar como soluções de segurança podem agregar valor ao negócio. Para fazer isso, ele deve entender o setor, o ambiente de mercado da organização, e requisitos regulatórios e legais relevantes.

Visão sistêmica: um profissional de segurança deveria ser capaz de ver as necessidades gerais de segurança de uma organização, como elas podem convergir ou estar em conflito, e como mudanças pontuais podem afetar a segurança geral.

Empatia: um profissional de segurança deveria ser capaz de se colocar no lugar dos vários usuários e pensar sobre quais são suas necessidades. Como eles usarão um processo ou tecnologia? Como eles acidentalmente, ou intencionalmente, farão mau uso delas? Ao fazer isso, elepode identificar melhor os riscos e encontrar soluções para os assuntos identificados.

Aprendiz permanente: um profissional deveria sempre buscar aprender novas ideias e tecnologias para ajudar os usuários a tomar decisões bem embasadas sobre riscos. Isto é válido para o autodesenvolvimento também. Ele deve considerar o desenvolvimento de sua carreira como um negócio pessoal.

Habilidades de negociação e comunicação: um profissional de segurança deveria ser capaz de transmitir a ideia certa sobre como a segurança pode agregar valor à tarefa/processo de uma pessoa, considerando diferentes públicos. E como a segurança ideal é uma utopia, ele deveria também buscar um compromisso aceitável entre segurança e usabilidade.

Declaração de ética: Por que isto? Você pode pensar que este é um pré-requisito para qualquer cargo (na verdade, para a vida), e você está certo. O ponto é que dizer que você é uma pessoa ética é fácil, então você deveria ser capaz de elaborar e apresentar uma declaração de ética consistente para mostrar claramente suas crenças e como você as apoia com suas ações.

Busque o que vai além do óbvio

Naturalmente, competências técnicas são o lugar lógico para se iniciar quando da seleção de um professional de segurança ou para se tornar aquele que organizações buscam contratar, mas estas contam apenas parte do que é um grande profissional de segurança. Para se encontrar um profissional que seja bem-vindo em qualquer parte da organização como um conselheiro competente e parceiro na identificação de soluções de segurança de alto valor agregado para o negócio, as organizações deveriam buscar, e profissionais no mercado deveriam se tornar, aqueles que são capazes de entender e trabalhar com unidades de negócio para atingir seus objetivos de forma segura, equilibrando competências interpessoais, organizacionais e técnicas.

Para ver como habilidades de segurança são integradas como requisitos da ISO 27001, veja nosso curso online gratuito:  ISO 27001:2013 Foundations Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001