Ao contrário do que escutamos por aí, o candidato a Security Officer (gestor da segurança da informação) não deve ter um glorioso passado hacker para garantir o bom desempenho das suas atividades e a proteção efetiva da sua organização. Alias, tampouco é recomendado que o tenha. Isso porque o perfil necessário à gestão de um processo tão delicado, transcende o “escovador de byte”, exigindo do Security Officer habilidades que vão da coordenação de projetos à apresentação executiva dos resultados.
É isso mesmo, aquele jovem que foi até a sua organização oferecendo proteção, ora apresentando evidências da fragilidade do seu website, ora fazendo demonstrações práticas de ataque ao seu sistema, em sua grande maioria, não esta ainda em condições de coordenar uma tática de proteção dos seus ativos de informação.
O grande engano é confundir gestão de segurança da informação com refinados conhecimentos em técnicas de intrusão; aquele que sabe invadir, não necessariamente saberá defender. Grandes empresas recebem mensalmente dezenas de currículos de jovens profissionais da informática, interessados em preencher a tão cobiçada vaga, mas fica no ar a dúvida: Como determinar o perfil do profissional de gerência de segurança da informação? Quais os requisitos? Como avaliar?
Em primeiro lugar é necessário entender e aceitar que o gestor tático do processo de segurança deve ser alguém capaz de planejar ações, resolver macro problemas e comunicar resultados. Esta é a química necessária à formação do seu gestor. Em alguns casos, como em instituições financeiras, empresas de telecomunicações ou empresas de comércio eletrônico, é indispensável que o gerente de segurança conheça a fundo as nuances do business que pretende proteger.
Deixaremos o gênio da informática de lado? Claro que não, parte integrante de uma boa equipe, este profissional com alto conhecimento técnico será responsável pela operacionalização das táticas e pela implementação dos controles de segurança necessários à empresa, seja na configuração de um firewall ou no desenvolvimento de uma solução personalizada, sempre coordenado pelo Security Officer.
Quando entrevistamos o candidato, devemos considerar que algumas características pessoais são tão ou mais importantes que a sua capacitação técnica. Enumerarei algumas das diversas atribuições indispensáveis ao bom gestor de segurança, características que têm sua importância elevada quando compreendemos que este funcionário terá acesso a praticamente todas as informações sigilosas da organização e será ponto focal dos eventos de segurança no ambiente corporativo. Não tenho por objetivo esgotar o assunto, antes disso, utilizem este documento como um roteiro de suporte, e não como instrumento único de avaliação.
1-) Ótima capacidade de comunicação
A figura do Security Officer será responsável por manter os executivos da empresa informados, sempre que o assunto envolver segurança da informação; significa que além de uma forte habilidade na comunicação escrita (estilo, clareza e objetividade), o gestor deve ser capaz de defender verbalmente frente ao grupo executivo, a necessidade de se investir, por exemplo, em um novo modelo de firewall, ou sobre a importância da inserção de políticas de segurança ao documento já existente. Significa que os memorandos internos não deverão ser repassados com siglas do informatiquês, típico “Peço aos usuários que não façam mais requisições na porta 25 depois do horário de expediente”, ou que durante a reunião com o Comitê Executivo, não adiantará nada dizer “Eu preciso de um IDS interligado ao firewall na DMZ”.
Um bom trabalho é composto de forma (apresentação, recurso visual e etc.) e conteúdo (produto, idéia e etc.). De nada adianta um relatório entregue ao presidente da companhia ou ao diretor de TI, se este não inspirar o interesse em lê-lo. Faz-se necessário um pré-processamento das informações, ao invés de apresentar o relatório com 80 páginas de logs, seria conveniente demonstrar em um gráfico uma síntese das informaçções mais importantes. Esta habilidade em entender a visão do estrategista e apresentar-lhe somente o que interessa, é indispensável ao Security Officer.
2-) Capacidade de conciliar interesses de segurança e interesses do negócio
O Security Officer deve ser capaz de perceber, dentre uma série de opções de serviços e produtos do mercado, aquela que melhor se enquadra ao perfil e aos interesses da organização. O “melhor produto” é aquele que serve de maneira adequada às necessidades de determinado processo ou unidade de negócio.
Para justificar um investimento em segurança da informação, é importante que o gestor domine conceitos de Return on Investment e Return on Opportunity, e que faça uso destas ferramentas para projetar períodos de payback.
3- ) Auto-atualização: Circular pelo meio tecnológico
O gerente de segurança da informação deverá possuir um perfil pró-ativo: conhecer produtos, novas tecnologias, explorar novidades, estar disposto a formar uma grande rede de contato com experts no assunto e manter-se diariamente atualizado, através de boletins e listas de discussão especializados.
Para muitas empresas é custoso contratar um profissional que ainda não está familiarizado com tecnologia da informação. Significa um grande investimento em cursos, um tempo excedente (que muitas organizações não possuem) e o risco da empresa perder, depois de formado, seu treinee.
O profissional de gestão da segurança não precisará conhecer a fundo os conceitos da programação TCP/IP, ou “o valor do protocolo X no cabeçalho do protocolo Y”, tão somente deve estar apto a escolher uma tecnologia, em vista do respaldo técnico dos profissionais da sua equipe e em vista dos resultados provenientes de suas análises de benchmark.
4-) Familiaridade com termos e conceitos
É indispensável ao Security Officer familiaridade com termos e conceitos comuns da segurança da informação. São poucos os cursos de formação de profissionais de segurança, ainda mais no Brasil, mas esta passagem é importante: algumas regras básicas devem fazer parte da bagagem do futuro gestor, conteúdo que estes cursos costumam abordar.
Termos como alta-disponibilidade, acordo de confidencialidade, análise de risco, diretrizes de segurança e plano de resposta a incidentes, são linguajar comum na rotina deste profissional. Conceitos como firewall, PKI, Intrusion detection system, Single Sign-On e outros, também fazem parte da knowledge base mínima do Security Officer.
Recomendo aos candidatos a leitura da NBR ISO/IEC 17799:2001, norma brasileira que apresenta uma série de controles para uma boa implementação de segurança. Lembrando que este documento considera uma centena de controladores, e que nem todos serão necessários: cabe avaliar as peculiaridades do ambiente de negócio. Outro ponto crítico é compreender a ISO 17799 como um guia das melhores práticas, e não um “como fazer”. É um grande passo àqueles que decidem marchar do mundo técnico para o lado processual da segurança.
Espero que estes quatro pontos sejam proveitosos durante a entrevista. Repasse uma cópia deste documento para o seu gerente de recursos humanos, estou certo de que cedo ou tarde ele precisará destas informações.
É isso mesmo, aquele jovem que foi até a sua organização oferecendo proteção, ora apresentando evidências da fragilidade do seu website, ora fazendo demonstrações práticas de ataque ao seu sistema, em sua grande maioria, não esta ainda em condições de coordenar uma tática de proteção dos seus ativos de informação.
O grande engano é confundir gestão de segurança da informação com refinados conhecimentos em técnicas de intrusão; aquele que sabe invadir, não necessariamente saberá defender. Grandes empresas recebem mensalmente dezenas de currículos de jovens profissionais da informática, interessados em preencher a tão cobiçada vaga, mas fica no ar a dúvida: Como determinar o perfil do profissional de gerência de segurança da informação? Quais os requisitos? Como avaliar?
Em primeiro lugar é necessário entender e aceitar que o gestor tático do processo de segurança deve ser alguém capaz de planejar ações, resolver macro problemas e comunicar resultados. Esta é a química necessária à formação do seu gestor. Em alguns casos, como em instituições financeiras, empresas de telecomunicações ou empresas de comércio eletrônico, é indispensável que o gerente de segurança conheça a fundo as nuances do business que pretende proteger.
Deixaremos o gênio da informática de lado? Claro que não, parte integrante de uma boa equipe, este profissional com alto conhecimento técnico será responsável pela operacionalização das táticas e pela implementação dos controles de segurança necessários à empresa, seja na configuração de um firewall ou no desenvolvimento de uma solução personalizada, sempre coordenado pelo Security Officer.
Quando entrevistamos o candidato, devemos considerar que algumas características pessoais são tão ou mais importantes que a sua capacitação técnica. Enumerarei algumas das diversas atribuições indispensáveis ao bom gestor de segurança, características que têm sua importância elevada quando compreendemos que este funcionário terá acesso a praticamente todas as informações sigilosas da organização e será ponto focal dos eventos de segurança no ambiente corporativo. Não tenho por objetivo esgotar o assunto, antes disso, utilizem este documento como um roteiro de suporte, e não como instrumento único de avaliação.
1-) Ótima capacidade de comunicação
A figura do Security Officer será responsável por manter os executivos da empresa informados, sempre que o assunto envolver segurança da informação; significa que além de uma forte habilidade na comunicação escrita (estilo, clareza e objetividade), o gestor deve ser capaz de defender verbalmente frente ao grupo executivo, a necessidade de se investir, por exemplo, em um novo modelo de firewall, ou sobre a importância da inserção de políticas de segurança ao documento já existente. Significa que os memorandos internos não deverão ser repassados com siglas do informatiquês, típico “Peço aos usuários que não façam mais requisições na porta 25 depois do horário de expediente”, ou que durante a reunião com o Comitê Executivo, não adiantará nada dizer “Eu preciso de um IDS interligado ao firewall na DMZ”.
Um bom trabalho é composto de forma (apresentação, recurso visual e etc.) e conteúdo (produto, idéia e etc.). De nada adianta um relatório entregue ao presidente da companhia ou ao diretor de TI, se este não inspirar o interesse em lê-lo. Faz-se necessário um pré-processamento das informações, ao invés de apresentar o relatório com 80 páginas de logs, seria conveniente demonstrar em um gráfico uma síntese das informaçções mais importantes. Esta habilidade em entender a visão do estrategista e apresentar-lhe somente o que interessa, é indispensável ao Security Officer.
2-) Capacidade de conciliar interesses de segurança e interesses do negócio
O Security Officer deve ser capaz de perceber, dentre uma série de opções de serviços e produtos do mercado, aquela que melhor se enquadra ao perfil e aos interesses da organização. O “melhor produto” é aquele que serve de maneira adequada às necessidades de determinado processo ou unidade de negócio.
Para justificar um investimento em segurança da informação, é importante que o gestor domine conceitos de Return on Investment e Return on Opportunity, e que faça uso destas ferramentas para projetar períodos de payback.
3- ) Auto-atualização: Circular pelo meio tecnológico
O gerente de segurança da informação deverá possuir um perfil pró-ativo: conhecer produtos, novas tecnologias, explorar novidades, estar disposto a formar uma grande rede de contato com experts no assunto e manter-se diariamente atualizado, através de boletins e listas de discussão especializados.
Para muitas empresas é custoso contratar um profissional que ainda não está familiarizado com tecnologia da informação. Significa um grande investimento em cursos, um tempo excedente (que muitas organizações não possuem) e o risco da empresa perder, depois de formado, seu treinee.
O profissional de gestão da segurança não precisará conhecer a fundo os conceitos da programação TCP/IP, ou “o valor do protocolo X no cabeçalho do protocolo Y”, tão somente deve estar apto a escolher uma tecnologia, em vista do respaldo técnico dos profissionais da sua equipe e em vista dos resultados provenientes de suas análises de benchmark.
4-) Familiaridade com termos e conceitos
É indispensável ao Security Officer familiaridade com termos e conceitos comuns da segurança da informação. São poucos os cursos de formação de profissionais de segurança, ainda mais no Brasil, mas esta passagem é importante: algumas regras básicas devem fazer parte da bagagem do futuro gestor, conteúdo que estes cursos costumam abordar.
Termos como alta-disponibilidade, acordo de confidencialidade, análise de risco, diretrizes de segurança e plano de resposta a incidentes, são linguajar comum na rotina deste profissional. Conceitos como firewall, PKI, Intrusion detection system, Single Sign-On e outros, também fazem parte da knowledge base mínima do Security Officer.
Recomendo aos candidatos a leitura da NBR ISO/IEC 17799:2001, norma brasileira que apresenta uma série de controles para uma boa implementação de segurança. Lembrando que este documento considera uma centena de controladores, e que nem todos serão necessários: cabe avaliar as peculiaridades do ambiente de negócio. Outro ponto crítico é compreender a ISO 17799 como um guia das melhores práticas, e não um “como fazer”. É um grande passo àqueles que decidem marchar do mundo técnico para o lado processual da segurança.
Espero que estes quatro pontos sejam proveitosos durante a entrevista. Repasse uma cópia deste documento para o seu gerente de recursos humanos, estou certo de que cedo ou tarde ele precisará destas informações.