Nas últimas semanas o mundo tem sido pressionado por catástrofes. Erupção de vulcões, terremotos, greves, guerras, aumento do petróleo e dólar, são temas que tem chamado a atenção dos brasileiros. Em meu último artigo abordei sobre “O Fantasma do Business Continuity” e coincidentemente acabamos de vivenciar em nosso país uma calamidade, diante da greve dos caminhoneiros, que impactou em todas as áreas da nossa economia. Hospitais com falta de insumos, falta de combustível, entre outros itens, demonstraram como o país está despreparado para enfrentar situações de crise, pois muitas instituições importantes, responsáveis por fornecer serviços para a população, não continham de um Plano de Continuidade de Negócios para garantir a continuidade de suas operações ou desconheciam sobre o assunto.
Agora imagine quando se fala em CyberSecurity? Talvez seja um tema já de conhecimento da população, em virtude de inúmeras notícias de invasão e vazamento de dados de gigantes como o Facebook e alguns bancos, mas, por outro lado, este tema ainda é um bebê de mamadeira.
Evidentemente que este é um assunto complexo e a necessita de profissionais qualificados, especialmente gestores, que estão lidando com desafios que vão além da área de segurança da informação, mas requer que o profissional seja articulado para lidar com diversos departamentos, conhecimentos de negócios, noções do campo jurídico, entre outros skills para ser um profissional de destaque e desejado pelas organizações.
Fato é que, diante desse cenário, novas responsabilidades são atribuídas para estes profissionais, e a pergunta que fica é: quais as atribuições e conhecimentos que um profissional de cibersegurança precisa ter? Logo, é muito esperado que estes profissionais entendam muito bem de CyberSecurity e tenham experiência profissional em campo. Então procurei reunir em um guideline algumas dicas que, aplicadas, podem fazer a diferença na carreira.
Domine a CyberSecurity
Fato que esta palavra pode ser explorada e desmembrada em diversos assuntos. Por hora, conhecer sobre conceitos e tópicos técnicos, metodologias e frameworks como COBIT, ITIL, ISO 27001, OWASP, ISSAF, NIST, Risk Management, Incident Response, Deep Web, Botnet, etc, são essenciais. Entender o princípio da TRIAD (confidencialidade, integridade e disponibilidade), além dos conceitos de autenticação, autenticidade e auditoria são complementos.
Explore e conheça o modelo sugerido pelo NIST como seu CyberSecurity framework excelente para implementar um processo eficaz. Conheça sobre desenvolvimento de software seguro, SDLC, Agile, e faça cursos se necessário. Escolas nacionais e internacionais como FIAP, MIT e Harvard oferecem cursos online especializados em CyberSecurity.
Regulamentações e leis locais
Todos sabem que o PCI-DSS é uma regulamentação criada pelas principais bandeiras de cartão com objetivo de proteger os dados privados do cartão de um usuário. Em 2009 empresas de Retail, Merchants, Online Shopping, Bancos e Processadoras de Cartão correram com todas as suas forças para ficar em compliance com a norma. Entretanto, o requisito aqui; é primeiro entender a área de atuação da sua empresa e conhecer os requerimentos de segurança que devem ser cumpridos.
Para empresas locais no Brasil devemos ter atenção para o PCI-DSS, Sox, Basiléia, Resolução 4.658 do Banco Central, a própria GDPR se for coletar e/ou armazenar dados de cidadãos europeus. No que tange às multinacionais, estar ligado também a HIPPA, regras locais de Privacidade de Dados, entre outros temas acabam fazendo a diferença. A dica aqui é manter-se atualizado, por exemplo na última terça-feira (29/05) a Câmara dos Deputados aprovou a redação final do PL 4060/2012, o projeto da lei brasileira que visa estabelecer regras para a coleta e tratamento de dados pessoais em território nacional — ou seja, a versão brazuca da GDPR foi requisitada em caráter de urgência e vai incorporar outros dois projetos do mesmo tema que estavam em tramitação: o PL 5276/2016 (da Câmara) e o PLS 330/2013 (do Senado). A partir do momento em que a PL 4060/2012 for sancionada, as companhias brasileiras devem ter um ano e meio para se adaptar às regras.
Saber de Business e ter uma boa comunicação
Conhecer o negócio, saber identificar os processos críticos, entender do coração da sua organização, ter habilidades de comunicação e ser articulado, além de vestir a camisa da empresa e pensar como owner são atributos, talvez os mais esperados para os gestores de segurança da informação. É importante que o CSO ou CISO seja capaz e articulado em traduzir os conceitos técnicos para o idioma do business. Logo, você precisa ser capaz de fazer uma apresentação em dois slides para um executivo em apenas 5 minutos, lembre-se, você terá pouco tempo para convencer aquele que detém a decisão em liberar o budget para que o seu projeto de segurança dê certo, e fato que ele ou ela espera saber detalhes sobre o Return On Investment (ROI). Entretanto, procure cursos de capacitação de MBA, mais focados em business, gestão de projetos, economia, etc. Tenha atenção que alguns MBA aqui no Brasil são extremamente técnicos e confundem com o conceito americano. É conveniente que escolha as melhores escolas de negócios, há ótimas opções.
Entenda a mente humana
Na época de César e outros líderes de Roma, um líder romano não tinha acesso a tanta informação como temos hoje por meio da tecnologia, como a Internet. Tudo é rápido, o acesso e o conhecimento da informação correm numa velocidade incalculável, a taxa de vazamento de dados tem ocorrido pelo menos 2 vezes por semana em diferentes empresas. Para ter uma ideia dê uma olhada na quantidade de ataques que acontece no globo em real time neste link: https://securitycenter.sonicwall.com/m/page/live-attacks. Por um lado, estamos vivendo talvez uma das melhores épocas da humanidade em termos de facilidade e absorção de conhecimento, mas pelo lado negativo as pessoas estão cada vez mais ansiosas, preocupadas e depressivas nas empresas, talvez devido as metas estabelecidas e a corrida contra o tempo.
Aqui a chave é entender um pouco de psicologia e como a mente humana trabalha, ser um bom gestor de emoções lhe ajudará a gerir a sua equipe e desenvolver um excelente trabalho, por exemplo, para um projeto de Awareness Security Program, no qual é uma estratégia fundamental para compartilhar e conscientizar os colaboradores sobre os conceitos de segurança, de fato, será um ponto positivo. Já conheci um CSO que sua formação era de Psicologia e isso ajudava no dia a dia. Portanto, essa habilidade lhe ajudará a gerir melhor os conflitos e identificar oportunidades e estratégias para melhorar o nível de maturidade na matéria de segurança na organização.
Seja um especialista em Direito Digital
Evidentemente que já comentei acima sobre a importância de conhecer sobre leis e regulamentações, mas procure cavar mais fundo. Conheço um gestor de segurança que está cursando um faculdade de Direito com intuito de entender melhor sobre o assuntos e ser mais assertivo em lidar com temas como Direito Digital, Privacidade, Proteção de Dados, Contrato, Jurídico, SLA, N.D.A, Código Civil, além disso, conhecer a fundo a regras locais ou externas sobre Perícia Forense, como lhe dar com um incidente, quais as regras para assegurar que a evidência seja válida, como proteger a sua empresa diante das regulamentações que tem o objetivo de proteger dados pessoais, como a GDPR, e mesmo como garantir a proteção destes dados em uma cloud.
Certificação, faculdade, curso ou hands on
Não vou dizer aqui se certificação faz do profissional um mestre no assunto, mas defendo que, se você quer ser um excelente profissional, deveria considerar o estudo na a área no qual lhe julga mais confortável no que tange “Segurança da Informação”. Se você é um gestor tanto aqui no Brasil como fora, as empresas têm exigido o CISSP e CISM, C|CISO é nova, mas já está expandindo entre os profissionais. CRISC, CISA, CSSLP, CCSP, CEH, OCSP, cursos de CyberSecurity online, etc. Tudo isso é um complemento e pode ser um diferencial na escolha de um candidato.
O melhor mesmo é ser um caçador de informações e ser apaixonado pela área. Cave e cave mais a fundo, se você é autodidata já é um ponto positivo, leias livros, artigos, papers, pesquise, vá em eventos, participe da comunidade hacker, troque experiências, seja um advisor e não permita que o ego tome o seu coração, pois, considero um risco para qualquer profissional. A generosidade e a humildade farão diferença na sua carreira.
Resiliência e capacidade de resolver problemas
Saber lidar com uma situação crítica na organização e torná-la controlável, resolver um incidente de segurança, reagir contra um ataque de Distributed Denial of Service (DDoS) no Internet Banking, consertar uma infecção por malware ou ransomware, convencer o executivo sobre um risco relevante, apresentar resultados e finalmente passar pela tempestade, só é possível receber estas atribuições se você já passou por elas. Ninguém vira um especialista em algo ou tem autoridade para falar se nunca vivenciou. Aqui o conceitual não adianta, é a experiência. Entretanto, se você é novo na área identifique um mentor que seja um espelho para a sua carreira e faça o necessário para atingir suas metas. No mais, se você é velho na área, sugiro que faça uma reflexão e uma análise do seu caráter, conheça quem você é e entenda qual seu objetivo na área. Caso seja um CSO ou CISO faça perguntas perigosas para sua alma. Lembre-se que se estiver enfrentando uma situação crítica, tipo um vazamento de dados interprete isso como um aprendizado, deserto não foi feito para ficar e sim para passar. Seja sincero e reconheça suas falhas, faça uma análise de SWOT em sua carreira e desenvolva estas habilidades, pois está dentro do ser humano, só precisa de fé e determinação.
Estar antenado as novas tecnologias
Acima de tudo é determinante saber sobre o que está rolando por aí. Fique atento sobre os tipos de cloud (IaaS, PaaS e SaaS), AWS, Azure, Google Cloud Platform (GDP), BYOD, DDoS of Things (DoT), Wearables, Content Delivery Network (CDN) Internet of Things IoT, Data Lake, Inteligência Artificial (AI), Machine Learning, Big Data, Computação Quântica, Chatbots, Advanced Persistent Threat (APT), Deep Web, e novos conceitos como Continuous Adaptive Risk and Trust Assessment (CARTA) e Cloud Access Security Broker (CASB). Caso tenha um item que desconheça, marque e consulte sobre esta sopinha de letras no Google.
Para encerrar este artigo, ressalto que existem outras atribuições que um profissional de segurança deve ter, mas se eu detalhar mais a fundo, o artigo irá ficar muito extenso. Então sugiro que você comente e dê a sua opinião nos comentários. Creio que desta forma irá colaborar e contribuir para a comunidade de segurança da informação em geral. Portanto, é importante ter em mente que não precisa ter medo em compartilhar algo pensando que poderá ser substituído por um novo colaborador, mas claro tenha discernimento sobre o interesse daqueles que se aproximam de você, e não deixe de ser generoso, pois asseguro que dar o alimento é muito mais fundamental do que reter. Ah! Mais uma coisa: se você gosta de escrever artigos, go ahead! Isto poderá abrir novas portas e, acima de tudo, uma experiência que só você vai poder contar para seus filhos e netos, ao deixar um legado para a próxima geração.
* Rangel Rodrigues é especialista em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
