10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

10 Coisas que eu gostaria de ter sabido antes de ingressar na área de Segurança da Informação

Se algum dia eu resolver escrever sobre o que eu aprendi apenas após ter tentado e errado, provavelmente será um longo, muito longo artigo, capaz de rivalizar com mais da metade do conteúdo da Wikipédia. E o melhor: Eu não vejo nada de errado com isso!

Desde basicamente sempre eu me vi um fã do método da tentativa e erro para descobrir como o mundo funciona. Isso é um instinto que temos desde pequenos, afinal foi o que usamos para aprender as coisas mais básicas como, por exemplo, andar, falar, nadar. Conforme chegamos a fase adulta, perdemos muito dessa aptidão, mas acredito que como um bom gamer, fui influenciado a testar, errar, perder vidas, usar contiues até conseguir salvar a princesa no último castelo.

Bem, se aprender com os próprios erros é algo bom, ter a oportunidade de aprender com os erros de outrem é significativamente melhor. É isso que busco passar aos meus alunos em cursos de gestão de serviços de TI, governança e segurança da informação. Nessa era onde existem inúmeras opções para se buscar conteúdo básico, acredito que trocar experiências é bem mais enriquecedor do que simplesmente discutir o material padrão em sala de aula.

Foi assim que pensei nesse artigo. Lá se vão mais de 10 anos que já atuo com Segurança da Informação e uma das perguntas mais frequentes de colegas/alunos/amigos em redes sociais é “como faço para começar a trabalhar com segurança?”. Bem, esse é um tema que certamente rende outro texto bem legal, mas hoje gostaria de compartilhar com vocês alguns pontos que eu realmente gostaria de ter conhecido antes de ingressar na área. A lista não está em nenhuma ordem específica e, obviamente, essa foi/está sendo uma jornada bem pessoal que agora partilho com vocês.

1.      Segurança da informação é bem mais abrangente do que segurança de TI (cibersegurança): Quando iniciei com segurança da informação eu imaginava que passaria o resto da minha carreira basicamente trabalhando com tecnologias como firewalls, roteadores, hardening de sistemas operacionais, correções de vulnerabilidades técnicas. Foi com um certo espanto (para não dizer receio) que me vi responsável pela segurança física de ambientes críticos para as operações da empresa, atuando junto a equipe jurídica na definição de aspectos legais e gastando boa parte do meu tempo na “simples” tarefa de educar pessoas sobre o tema. Hoje em dia gasto boa parte do meu dia de trabalho em atividades que buscam mudar a “cultura corporativa”, algo que é essencial a implantação de uma segurança da informação efetiva.

2.      Você não precisa ser um expert em tecnologias específicas: Ainda ligado ao item anterior, meus primeiros trabalhos na área de segurança foram relacionados ao uso de firewalls mas conforme evolui profissionalmente, me descobri mais e mais afastado do conhecimento técnico puro. Segurança da Informação é uma disciplina que permeia todos os níveis hierárquicos da empresa, do mais operacional até (esperamos!) decisões estratégicas. Um dos primeiros passos para se tornar um bom gestor é aprender a delegar ações operacionais a sua equipe e focar nos resultados e entrega de valor ao negócio. Entenda, existem vários cargos que vão exigir um profundo conhecimento técnico como, por exemplo, quando for necessário realizar um teste de intrusão baseado em exploits que você mesmo construiu ou fazer engenharia reversa de algum novo malware. Se isso é o que você quer fazer, ótimo! Existem diversas opções de carreira! Apenas não se sinta limitado. Um bom gestor precisa focar muito mais em construir equipes confiáveis, compreender como a tecnologia funciona e, especialmente, como ela se encaixa dentro da visão geral de sua arquitetura de segurança, do que saber simplesmente “meter a mão na massa”.

3.      As normas da família ISO 27000 basicamente explicam basicamente tudo que você precisa saber para entender o que é segurança da informação: Sim, eu vou admitir um crime! Eu sequer havia ouvido falar da ISSO 27001 quando comecei a trabalhar com segurança. Meus primeiros passos foram muito mais focados em seguir as regras impostas pela política corporativa que, na época que eu trabalhava em uma empresa multinacional, já fazia referência a termos como Sarbanes-Oxley 404, ISO 27001, CobiT, ITIL. Não, eu realmente não sabia o que eram nenhum deles e perdi muito tempo por conta disso. Um colega mais experiente me presenteou com algumas publicações da ISO e um livro introdutório da ITIL (eu já era responsável pelos processos de configuração e mudança na minha empresa, e nem sabia o que era gestão de serviços de TI!). Só posso dizer que foram leituras bem esclarecedoras e tive vários momentos de “Ahhh, é por isso que eu faço dessa forma.”. Se tiver oportunidade, não perca tempo e leia! A ISO 27000 pode ser obtida gratuitamente nesse link! O CobiT é gratuito para associados da ISACA, as demais normas e outras publicações, infelizmente só comprando.

4.      Esteja preparado para se decepcionar com algumas pessoas: Na primeira vez que implantei um serviço de proxy/filtro web, passei vários dias espantado com a quantidade de material inapropriado que as pessoas tentavam acessar, bem como sua “criatividade” quanto ao tipo de assunto pesquisado na internet. Bem, isso realmente me surpreendeu, mas o triste foi ter a vivencia de participar de investigações onde descobri que pessoas bem próximas não eram exatamente honestas. O primeiro instinto sempre foi o de perguntar diretamente, pedir uma explicação, pois os resultados só podiam estar errados. Felizmente, alguns colegas mais experientes, especialmente das áreas de auditoria, me ajudaram muito a manter uma postura imparcial e ética.

5.      Você vai descobrir quem realmente são seus amigos: Talvez esse ponto esteja um pouco relacionado ao item anterior. No meu primeiro ano como Security Officer, quando tive que implantar uma série de controles bem restritivos, percebi que várias pessoas se afastaram do meu convívio e, algumas semanas depois de termos iniciado o controle de acesso a internet, meu carro misteriosamente apareceu com pneus vazios e alguns arranhões nada acidentais (não se sintam mal, a empresa me ressarciu!). Muitas vezes a área de segurança é percebida de maneira bem negativa dentro da empresa, afinal “bloqueamos” e “monitoramos” tudo, pessoas podem chegar ao ponto de ser demitidas quando violam algum controle, isso definitivamente não vai contribuir para sua popularidade dentro da empresa. Felizmente, conforme a disciplina evolui, eu percebo que esse cenário tem mudado nos últimos anos (meu carrinho passa muito bem, obrigado!).

6.      Pessoas são bem mais importantes que tecnologias e processos: Quando comecei a estudar segurança da informação, logo conheci os pilares básicos: Confidencialidade, Integridade e Disponibilidade. Mas muitas vezes não lembramos que eles são apoiados diretamente por Pessoas, Processos e Tecnologias. Desses três últimos, certamente as pessoas são o ativo estratégico mais importante a segurança da informação, bem como o que vai demandar mais esforço para garantir a proteção corporativa. Não é a toa que uma das frases mais comuns é dizer que pessoas “são o elo fraco” da segurança, isso é uma verdade que não mudou ao longo dos anos e que dificilmente vai se alterar no futuro próximo. Paradoxalmente, sem pessoas preparadas, você pode contar com a melhor tecnologia e os mais bem definidos processos, ainda assim existe uma grande chance de falha. Investir tempo dialogando, explicando, conscientizando e condicionando os colaboradores da sua empresa é uma ação estratégica que, a longo prazo, entrega muito mais valor do que a implantação de qualquer tecnologia.

7.      Controlar é diferente de bloquear, dialogar é diferente de simplesmente dizer não: Cada vez que crio uma campanha de conscientização parte do foco vai para tirar a imagem negativa que nós, profissionais da área, criamos para segurança da informação. Por muito tempo fomos percebidos como a equipe do NÃO. Posso colocar minha empresa na internet? Não, é inseguro. Posso permitir que meus colaboradores tenham acesso remoto? Não, é inseguro. Posso permitir uso de equipamento pessoal no ambiente de trabalho? Não, é inseguro. Posso levar meu sistema crítico para a nuvem? NÃO! JÁ FALEI, É INSEGURO! Sim, ao longo dos últimos anos, conforme a tecnologia evoluía e se tornava onipresente, cada vez mais vi profissionais responderem negativamente antes de pensar se aquilo traria um benefício ao negócio. Precisamos aprender a dialogar com as diversas áreas corporativas, explicar que é possível fazer praticamente qualquer operação de maneira segura, desde que a empresa esteja disposta a fazer os investimentos necessários para garantir a implantação de controles e seguir regras básicas de segurança. Da mesma forma que não é possível eliminar todos os riscos ao negócio, não é possível (nem necessário) bloquear tudo. Um ambiente adequadamente controlado consegue conviver harmoniosamente com os riscos persistentes e, ao mesmo tempo, estar preparado para situações adversas como crises e desastres.

8.      Saber dialogar no idioma da alta direção: Não é possível se fazer segurança da informação sem o apoio direto da alta direção (diretores, donos, acionistas, conselho administrativo ou qualquer outra entidade que se aplique a sua empresa!). Uma das maiores dificuldades que profissionais que possuem conhecimentos eminentemente técnicos tem é garantir uma boa comunicação com executivos. Invista tempo e esforço para tentar entender os valores da sua empresa, quais são seus objetivos estratégicos e como a segurança da informação pode agregar aos resultados da organização. Essa é a natureza da entrega de valor e, no final do dia, é o que vai garantir que segurança não seja percebida como um peso morto, mas sim vista como um facilitador do negócio, uma disciplina estratégica, alinhada a visão e missão corporativa.

9.      Inglês ainda é indispensável: Talvez eu devesse ter colocado esse ponto no início, dada sua importância. Como meu pai era tradutor-interprete e eu herdei uma facilidade com idiomas, apreendendo inglês basicamente por osmose, é provável que eu não tenha valorizado tanto esse conhecimento. Mas a realidade é que diversas oportunidades profissionais foram facilitadas pelo fato de eu ser bilíngue. Na minha primeira auditoria internacional eu não era o profissional mais experiente, mas dominava perfeitamente o inglês, além de conseguir fingir razoavelmente bem falar castelhano (Saludos a mis amigos en Chile!) em uma época onde não havia Google Translator. É claro que essa foi uma vivencia pessoal, mas com a quantidade de material de estudo em inglês, além de provas de certificação que não foram traduzidas e um mercado internacional bem atraente, não dá para argumentar. Ter um segundo idioma (escolhas obvias: inglês, espanhol, alemão, francês, chinês) é uma obrigação para um profissional que quer se destacar no mercado.

10.  Certificações te ajudam, mas não substituem experiência: Ah, certificações, ainda esta semana li aqui no linkedin um artigo sobre como elas estavam matando o “mercado de segurança da informação”. Bem, se você viu meu perfil, acho que não preciso explicar que não concordo com essa visão. Investi muito do meu tempo direcionando estudos para certificações na área de segurança. Pessoalmente o resultado foi espetacular. Novamente, muitas portas se abriram, o último exemplo é o razoável sucesso que tenho tido como escritor freelancer para empresas nos EUA, Canadá e EU. Nenhum dos clientes me conhecem pessoalmente, mas tanto meu portfólio profissional, quanto a sopa de letrinha das certificações contribuíram muito na hora de fechar o primeiro trabalho. Entenda, um título é apenas o seu cartão de visita, ele pode até te render uma boa oportunidade, mas é o seu esforço, compromisso, atitude e competência que vão garantir a manutenção dessa posição. Meu conselho é investir sim em cursos e certificações, especialmente aquelas que são independentes de fabricante como as da EXIN, ISACA, ISC2, CompTIA e similares. Entretanto, esteja atento: por mais que os seus instrutores se esforcem para passar conhecimento prático, nada substitui experiência. Sempre que possível procure colocar em prática aquilo que você aprendeu em sala de aula ou estudando sozinho, caso contrário, será conhecimento perdido.

Bem, aí está, foram 10 pontos que considero muito importantes e que sinceramente gostaria de ter sabido quando comecei a trabalhar com segurança da informação. Se você teve paciência e leu até aqui, bem, segue o 11º como um bônus: Não consigo imaginar uma área mais desafiadora, enriquecedora, em ampla fase de crescimento, carente de profissionais qualificados e que remunera muito bem. Não tenha medo de abraçar essa carreira, as oportunidades são enormes e a recompensa, além da jornada em si, é bem pragmática.