[life without knowledge is death in disguise]

Aqui do meu cantinho levemente cínico do mundo, vejo uma polarização meio absurda entre dois perfis de profissionais de segurança da informação, especificamente na função de security officers (C-level ou não), que atinge boa parte do mercado.

O primeiro é daquele profissional que se encanta com a noção de “ser gerente” - aquele patamar mágico em que não é mais necessário se preocupar com detalhes tecnológicos, e que uma visão superficial dos aspectos técnicos das ameaças, riscos, vulnerabilidades e controles é suficiente para exercer seu papel.

No seu reino encantado, a principal fonte de informações sobre segurança vem de whitepapers de fornecedores de produtos, e qualquer aprofundamento não passa de meia dúzia de slides de PowerPoint. Faz malabarismo com buzzwords para encantar os leigos, acreditando que “alinhar segurança ao negócio” consiste em adotar as “melhores práticas” para “garantir compliance”, porque “segurança é um processo, não um produto”. Pensa em tirar o CISSP, afinal esta seria a prova definitiva da sua capacidade profissional. Ao mesmo tempo em que acha que gerenciar bem um projeto é tê-lo planejado no Microsoft Project, não entende quando eles falham - e em geral culpa os técnicos.

O segundo perfil é o daquele profisisonal que está fechado no seu mundo de tecnologia, sem enxergar - e sem querer enxergar - nada que esteja fora destas quatro paredes.

Na área restrita que define o seu horizonte, está sempre preocupado e empolgado com o último ataque, a última técnica “ninja”, a última tendência, sem enxergar outros problemas básicos (mas nenhum tão sexy, nunca) que provavelmente contribuem mais pro risco - política de senhas, anyone?. Acha que se todo mundo usasse Linux (ou Vista, ou Solaris, ou seja qual for o SO predileto), todos os problemas de segurança estariam resolvidos. Faz malabarismo com acrônimos para confundir os leigos, propagando que, IMNSHO, é preciso tomar cuidado com ataques MITM quando se utiliza VPNs PPTP, IPSec ou TLS. Não entende direito o negócio da empresa em que trabalha nem como ela funciona, e por princípio é contra políticas de segurança corporativas (até mesmo as bem-feitas) - afinal, é um monte de lero-lero que não ajuda em nada a segurança “na prática”. Usuários ? Os lusers só atrapalham a vida de quem precisa cuidar da segurança da rede. Quando seus projetos tecnicamente perfeitos (e terrivelmente vendidos internamente) são rejeitados pelos usuários, não entende, e se frustra.

Estou exagerando, simplificando um espectro em dois estereótipos ? Provavelmente. Mas o engraçado dos estereótipos é que eles costumam ser  baseados na realidade. Quantas pessoas você não conhece que exibem pelo menos alguns dos traços marcantes destes dois perfis ?

Ambos se caracterizam por acharem que a sua perspectiva é completa. O primeiro pode até ser um gerente competente - mas não para tocar uma área de segurança da informação. O segundo pode até ser uma analista competente - mas não para tocar uma área de segurança da informação.

O perfil dos melhores gestores de segurança da informação que conheço é híbrido: têm uma forte base em tecnologia (mesmo que não tenham mais nenhuma atuação técnica), ao mesmo tempo em que conseguem compreender como funciona o negócio, seus processos, e o papel real da segurança da informação na corporação.

Segurança da informação é uma disciplina que é maior que tecnologia, mas a tecnologia nela influi de maneira tão impactante e nevrálgica que o seu bom entendimento acrescenta muito ao profissional que será responsável pelo security office na empresa.

A questão também não se rende à radicalização: existem muitos bons security officers que não têm formação em tecnologia, e o traço comum que enxergo a todos é que souberam reconhecer a importância do assunto, montando e regularmente escutando uma boa equipe de analistas técnicos, agregando a isso todo seu conhecimento próprio de processos, risco e negócios.

Pessoalmente, acredito que é mais fácil alguém com forte base em tecnologia expandir os horizontes para ter um maior entendimento do negócio, suas prioridades e seus processos, do que o contrário acontecer. Exige principalmente ir além de repetir o mantra verdadeiro, porém desgastado pelo uso indevido e em excesso, de que “segurança é um processo”, e desenvolver algumas novas habilidades.

Que habilidades? Em um post futuro, vou tentar falar um pouco mais do que eu pessoalmente acho que são as principais que são necessárias.

Recentemente me enviaram um relatório de um consultor de segurança independente sobre uma avaliação de produtos e serviços de uma empresa de segurança. Uma consultoria cara, de mercado. O que me chamou a atenção é que na realidade o relatório dele não era, bem, um relatório. E sim uma apresentação em Powerpoint, um conjunto de slides com bullet-points.

Não era um conjunto de slides para acompanhar um relatório. Nao era um PPT usado na apresentação ao vivo de um relatório. O PPT era o relatório, feito para ser lido como um documento independente - inclusive enviado por email.

Esta prática, de condensar todo e qualquer tipo de informação, em bullet-points de PPT, está cada vez mais comum. Porque eu estou levantando esta bola? Não sou um cara chato ou dogmático, mas acredito que é uma prática ineficiente e, enquanto cultura, nociva.

O problema de apresentar informação que precisa ser coesa como um relatório no formato de bullet-points é que se perde a maior parte do contexto da informação, que pode ser provida na forma de um texto fielmente, mas dificilmente através de bullets em slides. A utilização de bullets para passar conceitos importantes é pobre, pois os bullets (por definição) são curtos e focados em verbos e keywords… que podem significar coisas diferentes para pessoas diferentes, e não passam nada das premissas por trás daquele raciocínio.

Por exemplo, um dos bullets que tinha no “relatório”, na seção que tratava do planejamento de um projeto, era: “Desenho solução macro”. Hein?! O que significa macro pra você ? Será que é o mesmo que significa pra mim ? Eu só consegui entender boa parte do PPT em questão porque eu tinha obtido o contexto necessário por outros meios, mas se eu não tivesse isso, nunca teria conseguido só com o documento em mãos. Isto é algo que é totalmente aceitável quando um PPT é material que acompanha uma apresentação, mas não quando ele se denomina um relatório.

A informação em bullets é a ponta do iceberg, os 10% visíveis, enquanto todo o contexto necessário e as premissas presentes naquele raciocínio ficam invisíveis embaixo d’água. E os navios naufragam exatamente no que passa desapercebido, invisível. O (excelente) blog Presentation Zen tem alguns exemplos high-profile onde este tipo de coisa estourou: no planejamento da guerra do Iraque (em que os principais briefings eram feitos em Powerpoint):

“That reliance on slides rather than formal written orders seemed to some military professionals to capture the essence of Rumsfeld’s amateurish approach to war planning.”

— Thomas Ricks, author of Fiasco

… e nos problemas de comunicação técnica que ajudaram na queda do ônibus espacial Columbia em 2003:

“The Board views the endemic use of PowerPoint briefing slides instead of technical papers as an illustration of the problematic technical communication at NASA.”

— Columbia Accident Investigation Board

A análise do Edward Tufte sobre a produção de conteúdo em apresentações PPT na NASA é muito interessante, e vale a leitura para encontrar alguns exemplos emblemáticos deste tipo de problema.

Não é que a apresentação em si tenha causado diretamente estas falhas, mas a cultura de passar informação dessa forma, e a passividade em aceitar e achar normal a informação nessa forma, são quem contribui para buracos no entendimento.

Obviamente que a crítica não é ao software Powerpoint, já que a apresentação pode ser feita em qualquer outro. Conjuntos de slides têm seu lugar como ferramentas de auxílio a (adivinhem?) apresentações ao vivo, em que o apresentador pode passar o contexto e as premissas verbalmente, não como substitutos de textos completos como relatórios. O fluxo de idéias, a coesão de um texto escrito simplesmente não têm paralelo em uma estrutura de bullets.

A rapidez e a constância com que precisamos digerir novas informações não são um motivo para transformar tudo em bullets e slides, e sim para encontrarmos meios mais eficientes e pragmáticos de passar as informações que precisamos — sem precisar afogar 90% do conteúdo embaixo d’água.