IGTI Blog
Entender e se colocar no lugar do cliente é o que diferencia os mais destacados profissionais de segurança da informação.

A barreira a ser superada pelo profissional de segurança da informação: o poder do sim

Entender e se colocar no lugar do cliente é o que diferencia os mais destacados profissionais de segurança da informação.

O profissional de Segurança da Informação (SI) busca antecipar problemas, sugerindo e implantando controles que evitem danos à imagem da empresa, perda de dinheiro e fraudes, acesso indevido a informações restritas e confidenciais e indisponibilidade no acesso à informação.

Em tempos onde boa parte do dinheiro flui em meios digitais, as informações trafegam majoritariamente por meio eletrônico e quase tudo o que nos circunda está conectado à internet, cabe à segurança da informação resguardar a credibilidade deste mundo cada vez mais conectado.

O objetivo deste texto é entender os desafios típicos enfrentados por um profissional de SI, entendendo os conhecimentos técnicos necessários, mas o nosso foco principal foco está no perfil comportamental, ou seja, entender o que de diferente um profissional de SI deve fazer para fazer para ser reconhecimento como excelente.

Desafios típicos enfrentados

Os profissionais de segurança da informação, são usualmente agrupados em áreas do conhecimento:  Segurança de Infraestrutura, Segurança de aplicações, Operações, Governança e gestão.

Dependendo do porte da empresa, o profissional de SI atua definindo as regras técnicas ou de negócio a serem implantadas e/ou implantando tais regras nos ativos tecnológicos que as suportam. Usualmente, em grandes corporações o profissional de SI tem mais um viés de definir e auditar, enquanto que em uma empresa de pequeno ou médio porte este profissional define e implementa. Um caso típico é o firewall. Em grandes corporações o profissional de SI recebe a solicitação para, por exemplo, liberar uma porta de acesso a internet, neste caso ele a analisa e autoriza (se for o caso) para que a equipe de suporte a redes a implemente. Já em empresas de menor porte, é comum este mesmo profissional receber a solicitação e além de analisá-la também colocar em prática.

O profissional de SI que tem atuação e conhecimento em Segurança de infraestrutura, enfrenta desafios ligados a:

  • Definição de arquitetura de redes;
  • Configuração e autorização de regras para firewalls, proxys, roteadores;
  • Configuração mínima de segurança (baseline) para sistemas operacionais, estações de trabalho, banco de dados e plataformas.
  • Gestão de patches de segurança;
  • Logs de auditoria;
  • Antivírus, antispyware e personal firewall;
  • Testes de invasão na infraestrutura.

O profissional de SI que tem atuação e conhecimento em Segurança de aplicações, enfrenta desafios ligados a:

  • Implantação das melhores práticas de desenvolvimento de software;
  • Análise e inspeção de código fonte;
  • Testes de invasão nas aplicações;
  • Gestão de plataformas de autenticação e autorização;
  • Análise de regras de negócio a serem implantados em aplicações;

O profissional de SI que tem atuação e conhecimento em operações de SI, enfrenta desafios ligados a:

  • Gestão de usuários, acessos e perfis;
  • Execução de tarefas operacionais de forma ampla, podendo envolver Implantação de patches; Aplicação de regras de firewall; Monitoração de logs e sistemas e redes e Análise em primeiro nível de incidentes;
  • Implantação de rotinas de automação (ex: bloqueio automático após anomalia na rede);
  • Análise crítica de solicitações internas (ex: liberação de acesso no firewall e proxy).

O profissional de SI que tem atuação e conhecimento em governança e gestão de SI, enfrenta desafios ligados a:

  • Políticas e normas de segurança da informação;
  • Auditorias;
  • Acompanhamento e gestão de indicadores com objetivo de minimizar o risco do ambiente de TI, como Evolução da quantidade de incidentes; % de estações de trabalho desatualizadas; % de aderência a política de segurança da informação; % de servidores com patch atualizado ou % de baseline aplicado no parque tecnológico.
  • Comitê de segurança da informação;
  • Campanhas de conscientização de segurança da informação.

O dia a dia do profissional de Segurança da Informação

O profissional de segurança da informação, do júnior ao sênior, já passou por um dilema simples: liberar ou não liberar o acesso a esta informação? Não importa se  através de um proxy, de um firewall ou qualquer outros dispositivo tecnológico que se sirva a filtrar acessos. Se você é da área de segurança da informação, reflita um pouco e pense: de cada 10 solicitações para quantas eu disse não? Se você não é da área de segurança da informação, mas já demandou esta, pense também: de cada 10 solicitações que fiz, quantas foram plenamente atendidas?

Tenho a audácia de dizer que 6 ou mais solicitações foram completamente ou parcialmente negadas, sejam estas nas áreas de infraestrutura, aplicações, operação ou governança logo em sua primeira tentativa e só depois de uma boa dose de conversa e de fazer o solicitante “ajoelhar no milho” é que este número acabou abaixando para algo como 3 ou 4 solicitações negadas em cada 10.

Profissionais de segurança da informação não negam solicitações porque gostam. Tudo bem, admito, lá no fundo a gente acaba se sentido o dono da verdade (aqui me incluo) e sentindo uma pitadinha de orgulho ao ter argumentos que justifiquem o não, mas analisando profundamente a situação, porque dizemos tantos nãos? O motivo é relativamente simples: evitamos problemas e assim não precisamos no futuro  – que pode nem existir – que alguém descarregue uma acusação assim: “mas isso foi liberado pelo pessoal de segurança da informação”. Portanto, nada mais cômodo do que dizer o não e buscar 1 milhão de justificativas e explicações para embasá-las, certo?

Este é o comportamento da maioria de nós, mas o que buscamos aqui, é encontrar as moscas brancas, aqueles profissionais que compõem os 10% a 20% que se destacam e acredito que você esteja buscando estar inserido neste contexto, certo? Mas afinal, o que um profissional de segurança da informação precisa para se destacar? Vamos separar em duas frentes, uma técnica e outra comportamental.

Áreas de conhecimento técnico necessárias

Um bom profissional de segurança da informação pode ser especialista e profundo conhecedor de uma área, tal como segurança de redes e todos os seus dispositivos e proteções como firewall, proxy, filtros em camada e muitos mais, ou também ser generalista, conhecendo os conceitos e eventualmente dominando uma área de forma mais ampla, transcorrendo em assuntos diversos como segurança de aplicações, políticas e normas, criptografia e muito mais.

Muito provavelmente, assim como acontece em todas as profissões, serão as oportunidades que aparecem em seu caminho que o tornarão um profissional especialista ou generalista. Assim, se você for convidado para trabalhar como engenheiro de software de uma empresa tradicional no mercado de firewall, muito provavelmente você desenvolverá um perfil mais especialista e se você for convidado para trabalhar no setor de suporte de uma pequena ou média empresa, terá a chance de ser um profissional que desenvolverá características mais generalistas.

Obviamente, por iniciativa própria, para atender aquilo que gostamos, podemos buscar nos estudos (sejam estes formais, em escolas, ou mesmo de forma autodidata) nos desenvolver através do caminho que melhor nos agrada.

Posso dizer que o mercado tem espaço para qualquer um dos perfis profissionais – infraestrutura, aplicações, operações e governança. O que as empresas buscam são aqueles profissionais que gostam do que fazem, que buscam a cada dia se aperfeiçoar mais e principalmente, que tenham um perfil comportamental conectado aos valores do negócio. Quando digo “as empresas buscam”, não me refiro aqui exclusivamente a recrutamento de novos colaboradores, me refiro também a promoções internas. Portanto, se o técnico pode ser aprendido estudando, se dedicando, acumulando anos de experiência e devoção ao que de fato se ama fazer, como é possível desenvolver o lado comportamental?

O comportamento desejável

Você deve estar se perguntando afinal: “o que devo desenvolver para pertencer aos 10% a 20% que são o destaque da empresa?”, a resposta, caro colega, é simples: busque o sim! Exatamente isso: busque dizer sim para tudo! 100% do que lhe for demandado. Isso para nós, profissionais de segurança da informação, é o maior desafio que precisamos enfrentar no dia a dia. Como vimos, o ‘não’ é confortável, evita problemas, mas também, em sua boa parte não leva em consideração o seguinte: se alguém está lhe pedindo algo, é porque precisa daquilo e se precisa, muito possivelmente é porque é importante para a cadeia do negócio que aquele profissional suporta ou é responsável, portanto, ao dizer não, você está protegendo o negócio, mas em contrapartida está fazendo que este mesmo negócio caminhe de lado ou mesmo caminhe para trás! Nós, é claro, profissionais de segurança da informação, estaremos sempre convictos: o não é o mais importante, afinal o que seria da empresa se ela fosse invadida para atender um “simples” pedido de um usuário que poderia fazer as coisas do jeito certo?

O desafio aqui é encontrar o sim que seja bom tanto para a segurança das informações quanto para o próprio cliente. Assim, se a área de marketing demanda acesso a uma gama enorme de sites que o seu filtro de conteúdo bloqueia, porque dizer não a ela? Entenda a necessidade, reflita junto com o demandante e encontre soluções que diminuam consideravelmente o risco para o negócio, como por exemplo, liberando o acesso apenas a um grupo restrito e com controles mais rígidos de segurança em seus microcomputadores, exemplo: criando redes segregadas, instalando firewalls pessoais, etc.

Note que dizer sim dá trabalho, faz pensar, investir muito mais tempo do que quando você diz não, mas o que queremos aqui não é trabalhar menos, o que queremos aqui é ser diferente, é encontrar a solução para o cliente e para o negócio certo? Assim, este profissional de segurança da informação que disse sim, pensou: “eu entendi que a área de marketing precisa desenvolver campanhas diferentes e precisa de acesso a sites com conteúdo mais pesado, mais arriscado, mas que se não for assim, eles não terão os insumos necessários para produzir algo que seja de fato bom para a empresa”.

Obviamente o exemplo citado é simples e corriqueiro, cujo a implantação é relativamente simples, mas pense agora em mais um outro cenário, cujo exemplo costumo citar sempre em minhas conversas e que a meu ver é o que faz a diferença entre o profissional que pensa no sim e o que pensa no não:

A empresa hipotética “Primeiro-Em-Tudo”, maior empresa de comércio eletrônico do mundo possui um sistema de compras que hoje já foi “copiado” pela maior parte dos sites de comércio eletrônico, o conceito é simples: “Compre com 1 clique”. Imagine a briga que isso deve ter gerado dentro da “Primeiro-Em-Tudo” quando o departamento de vendas trouxe esta demanda, dentro da sala os profissionais de segurança da informação ficando vermelhos de raiva com a solicitação (eu ao menos ficaria) e dizendo logo de cara que aquilo iria resultar em milhões de perda em fraudes. Pois bem, o sistema está aí, deve gerar sim alguns problemas e perdas financeiras, mas em sua imensa maioria, só gera benefícios pois atinge um ponto crucial no processo de vendas que é a facilidade em comprar, ou seja, não precisar digitar o número do cartão de crédito todas as vezes que você precisa fazer uma nova compra e afinal, qual foi a grande sacada da solução? Simples: desde que o endereço da sua última compra não seja alterado, você poderá usar o “Compre com 1 clique”. Veja o quanto isso é poderoso: uma ideia para aumentar as vendas, que poderia ter morrido por causa do atalho em dizer “não”, simplesmente virou uma alavanca que rende milhões a empresa “Primeiro-Em-Tudo” exatamente pelo fato que todos focaram na busca pelo sim.

Obviamente os 100% das situações em que você disse sim reduzirão em alguns momentos, mas o diferencial aqui é que o cliente precisa estar convicto que aquilo que ele pediu de fato merece um não, mas esta convicção, não deve ser uma briga entre a justificativa do profissional de segurança da informação e o demandante, mas algo, que pelo esgotamento da busca pelas alternativas em buscar o sim, levou, inevitavelmente e com completo aceite do demandante a um não. O “não” aqui, não deve ser motivo de satisfação e nutrição do ego do profissional de segurança da informação, por ter “vencido” a batalha por uma solicitação que desde o início ele tinha convicção que não deveria seguir, o “não” deve ser motivo de tristeza e me atrevo a dizer, deveria compor um indicador que causaria frustração a quem o acompanhasse e o tivesse como meta. Imagine a área de segurança da informação com um indicador destes: “quantidade de solicitações negadas” e que a melhor nota seria 100% e a pior 0%, quanto mudança de paradigma, não é verdade?

Conclusão: O comportamento e o conhecimento técnico

Podemos então concluir que comportamento é mais importante que o conhecimento técnico, afinal investi inúmeros parágrafos para exemplificar “bons comportamentos” e poucos para descrever o conhecimento técnico, mas isso, em absoluto, não é verdade.

Só consegue dizer sim, de forma robusta e segura para a empresa aquele que tem profundos conhecimentos técnicos em si ou em sua equipe, afinal dizer sim, envolve gerar ideias, conhecer a rede tecnológica da empresa, seus aplicativos, sua cultura e muito mais, ou seja, dizer sim, requer conhecimento técnico assim como predisposição.

Busque sempre conhecimento e tenha sempre o coração aberto para as demandas que cheguem até você, me atrevo a garantir que além de mais valorizado pela sua empresa e pelo mercado, você também será mais feliz!

Professor autor: Paulo Gontijo