Existe um ditado de um sábio que diz que a maneira como enxergamos a situação atual e como lhe damos determina o resultado final, ou seja, se enxergamos com convicção voando como águias que olham acima das circunstâncias o resultado a ser alcançado será positivo ao contrário será negativo, afinal para crescermos precisamos estar dispostos assumir riscos. Tenho pesquisado e falado com muitos líderes e especialistas de segurança e a percepção que cheguei foi que a habilidade mais importante para um CISO é a comunicação, além da articulação para adaptar a organização com os requerimentos de segurança e regulatórios são cruciais e estima-se que esta seja a mesma visão dos profissionais visionários do futuro.
2019 está chegando época que os principais players de segurança divulgam seus relatórios com as tendências de segurança e ameaças para o próximo ano e com um toque de prudência costumamos ler estes relatórios e inserir na realidade que a empresa está vivendo. Literalmente isto não é fácil, pois dependendo onde a área responsável pela segurança da informação e cibernética está inserida pode determinar o resultado futuro e como a empresa irá levar o assunto em questão.
Em meu primeiro emprego como Sysop para uma provedora de Internet da época as falhas de segurança em linhas de códigos dos sistemas operacionais e aplicações já permitiam acessos indevidos por invasores. Dado que o conceito de RBAC (Role-Based Access Control) ainda não era bem fermentado e o DAC (Discretionary Access Control) era mais utilizado deixando a desejar para entrada destes invasores e turistas do ciberespaço nas conferências dos BBS. Dia e noite caçando os bad guys e, com o advento da Internet, órgãos como NIST e as próprias empresas como Microsoft, Sun, Cisco, etc, começaram a criar seus próprios baselines e frameworks de segurança.
Olhando para o lado do profissional de segurança no ambiente de trabalho apesar de oferecer grandes desafios o que se espera deste profissional as vezes são metas inalcançáveis talvez por pequenos erros estratégicos. Às vezes, por falha do gestor em não saber se comunicar com o board de executivos ou eventualmente não entenderam muito bem o grau de importância da segurança da informação para o negócio. Creio que isto não seja uma especulação e sim um ponto de atenção para tornar a organização mais eficiente e madura, pois como o sábio diz; a sabedoria torna o sábio mais poderoso que uma cidade guardada por dez valentes, não basta um exército de soldados se não houver qualidade e competência. Portanto resolvi esmiuçar abaixo alguns pontos a refletir:
Excesso de processos e documentos internos
Sempre quando business requer a avaliação de uma nova aplicação seja em SaaS, mobile ou interna a área de segurança espera que seja envolvida. Haverá uma gap aqui se o business enxergar a área de segurança como uma área burocrática e também se não estiver alinhado com a área de compras para avaliação de novos fornecedores. Pois bem, acontece a reunião de kick-off e a área de segurança entende a necessidade e determina o nível de segurança para aquela aplicação, em paralelo entrega um e-mail com pelo menos 5 documentos extensos que precisam ser preenchidos e alguns deverão ser assinados por diversas áreas envolvidas. Logo este tipo de abordagem tem o objetivo de garantir a conformidade com as políticas de segurança interna, mas ao mesmo tempo pode impulsionar e criar uma má relação com o negócio e as vezes com TI, pois é cobrada para atender um deadline.
Ressalto aqui que processos e procedimentos são necessários seguindo as melhores práticas como NIST Cybersecurity Framework, ISO 27001, etc, mas ganham os profissionais de segurança que souberem adaptar e reduzir o números de perguntas de uma forma sucinta e objetiva sempre respeitando as regras, registrando e capturando todas as informações necessárias para determinar a melhor alternativa de segurança a ser implementada.
Muitos recursos de segurança sem uma comissão de apoio
Para alguns haverá muitos recursos, investimentos e ferramentas de segurança para implantar e disseminar o processo de gestão de segurança na organização enquanto para outros será ao contrário. Porém, a meta sempre será proporcionar total proteção de dados e estes requerimentos que deve ser integralmente atendido. Cabe ao profissional de segurança ser capaz de definir a melhor estratégia por onde deve seguir. Eu digo aqui que uma forma de envolver todas os pilares e áreas importantes no processo de gestão de segurança é estabelecer e executar um comitê de segurança, pois a pauta e a maneira que esta reunião for conduzida vai cativar e acelerar a absorção da responsabilidade perante todos os envolvidos.
Tubarões nascem nadando
É uma premissa que as empresas exigem um profissional de segurança com um bom cérebro, mente de hacker, articulado em comunicar, uma boa formação, idiomas, conhecimento de tecnologias e hands-on se necessário, mas não oferecem recursos essenciais para que o mesmo se mantenha atualizado e motivado. Logo que os tubarões nascem nadando, mas perceba que eles já recebem por natureza todos recursos que precisam. Aproximadamente 71% do planeja é coberto pelos oceanos, cuja média de profundidade é de cerca de mil metros enquanto 29% é composto por continentes e ilhas. Ainda existem inúmeras espécies de peixes a sua disposição como alimento, ou seja, não há limite para os tubarões. Desta forma, as empresas no futuro deverão pensar sobre isso, treinamentos, participação em eventos chaves, recursos financeiros, formas de retenção do profissional, workshops de motivação, uso de tecnologias inovadoras, etc, serão os principais implicadores para a evolução continua cibernética dos profissionais de infosec.
A arte de enganar e o líder visionário
Kevin Mitnick escreveu um livro com o título “A Arte de Enganar” onde ressalta que a engenharia social é a melhor forma de persuadir o ser humano. Os cientistas dizem que na grande maioria dos seres humanos usam somente 10% do cérebro, você já pensou que somos capazes de quebrar este paradigma? Steve Jobs, Albert Einstein e Thomas Edson foram bons exemplos de pessoas que foram capazes de alcançar limites e ideias inalcançáveis e inimagináveis. Um outro excelente exemplo é da fintech MadeInSpace criada no Vale do Silício por jovens executivos que participaram de um curso de criação de novas ideias e tecnologias, estes executivos tiveram 10 meses para criar algo inovador e descobriram que a fibra óptica feita no espaço torna ela 100 vezes mais rápida que a fibra óptica feita na terra e agora pense como será a tecnologia e os desafios para a segurança cibernética no futuro, note como o ser humano é capaz de inovar e criar…
Desta forma, o profissional de segurança do futuro deverá combinar estas ideias e pensar como poderá inovar as formas para lidar com o avanço tecnológico, a tecnologia disruptiva e a mente humana tornando a segurança da informação e cibernética uma metáfora da segurança. A comparação sobre aquilo que somos conhecidos e temos que atingir com aquilo que ainda não somos ou esperamos atingir talvez seja o caminho e uma saída para lhe dar com o advento das tecnologias e ameaças: IoT, Big Data, Cloud, AI, Maching Learning, Criptojacking, Ransomware, Phsishing, etc. Por exemplo, assim como Thomas Edson foi reconhecido por ter inventado algo de extrema importância para a sociedade. Um profissional de segurança pode fazer em sua área trazendo inovação.
Em geral, a ideia é mudar a nossa forma de pensar e quebrar barreiras como um profissional de segurança. Evidentemente que enxergar e desvendar o futuro é incerto sendo que muitas profissões deixarão de existir e algumas tecnologias ficarão obsoletas. Vide o caso da UBER que revolucionou o transporte público e percebo em minha humilde opinião que 2019 trará novidades com o uso da inteligência artificial e machine learning. Afinal já pensou que a grande maioria dos profissionais de tecnologia estão partindo para um trabalho remoto? Como proteger os ativos de informação em meio a estas tecnologias e conceitos como BYOD? A função do CISO remoto será mais evidente para as pequenas organizações como Fintechs? As agências bancárias deixarão de existir com o crescimento dos bancos digitais? Será que 90% das transações bancárias e compras online serão realizadas em uma app mobile? Será mesmo que o Bitcoin irá substituir a moeda dos bancos tradicionais? Não sabemos! Mas acreditamos que em nossa leitura um futuro cada vez mais inovador fará parte da nossa realidade, se não olharmos para o futuro continuaremos construindo o passado. Por agora, basta apenas esperar… Afinal você está pronto para descobrir a próxima geração da tecnologia em cybersecurity?
* Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP