[life without knowledge is death in disguise]

incoherent ramblings about infosec, books, tech, and whatnot.

Security Officers & Dissonância cognitiva

Posted by lincoln | February 26th, 2007 | tags: , ,

Aqui do meu cantinho levemente cínico do mundo, vejo uma polarização meio absurda entre dois perfis de profissionais de segurança da informação, especificamente na função de security officers (C-level ou não), que atinge boa parte do mercado.

O primeiro é daquele profissional que se encanta com a noção de “ser gerente” - aquele patamar mágico em que não é mais necessário se preocupar com detalhes tecnológicos, e que uma visão superficial dos aspectos técnicos das ameaças, riscos, vulnerabilidades e controles é suficiente para exercer seu papel.

No seu reino encantado, a principal fonte de informações sobre segurança vem de whitepapers de fornecedores de produtos, e qualquer aprofundamento não passa de meia dúzia de slides de PowerPoint. Faz malabarismo com buzzwords para encantar os leigos, acreditando que “alinhar segurança ao negócio” consiste em adotar as “melhores práticas” para “garantir compliance”, porque “segurança é um processo, não um produto”. Pensa em tirar o CISSP, afinal esta seria a prova definitiva da sua capacidade profissional. Ao mesmo tempo em que acha que gerenciar bem um projeto é tê-lo planejado no Microsoft Project, não entende quando eles falham - e em geral culpa os técnicos.

O segundo perfil é o daquele profisisonal que está fechado no seu mundo de tecnologia, sem enxergar - e sem querer enxergar - nada que esteja fora destas quatro paredes.

Na área restrita que define o seu horizonte, está sempre preocupado e empolgado com o último ataque, a última técnica “ninja”, a última tendência, sem enxergar outros problemas básicos (mas nenhum tão sexy, nunca) que provavelmente contribuem mais pro risco - política de senhas, anyone?. Acha que se todo mundo usasse Linux (ou Vista, ou Solaris, ou seja qual for o SO predileto), todos os problemas de segurança estariam resolvidos. Faz malabarismo com acrônimos para confundir os leigos, propagando que, IMNSHO, é preciso tomar cuidado com ataques MITM quando se utiliza VPNs PPTP, IPSec ou TLS. Não entende direito o negócio da empresa em que trabalha nem como ela funciona, e por princípio é contra políticas de segurança corporativas (até mesmo as bem-feitas) - afinal, é um monte de lero-lero que não ajuda em nada a segurança “na prática”. Usuários ? Os lusers só atrapalham a vida de quem precisa cuidar da segurança da rede. Quando seus projetos tecnicamente perfeitos (e terrivelmente vendidos internamente) são rejeitados pelos usuários, não entende, e se frustra.

Estou exagerando, simplificando um espectro em dois estereótipos ? Provavelmente. Mas o engraçado dos estereótipos é que eles costumam ser  baseados na realidade. Quantas pessoas você não conhece que exibem pelo menos alguns dos traços marcantes destes dois perfis ?

Ambos se caracterizam por acharem que a sua perspectiva é completa. O primeiro pode até ser um gerente competente - mas não para tocar uma área de segurança da informação. O segundo pode até ser uma analista competente - mas não para tocar uma área de segurança da informação.

O perfil dos melhores gestores de segurança da informação que conheço é híbrido: têm uma forte base em tecnologia (mesmo que não tenham mais nenhuma atuação técnica), ao mesmo tempo em que conseguem compreender como funciona o negócio, seus processos, e o papel real da segurança da informação na corporação.

Segurança da informação é uma disciplina que é maior que tecnologia, mas a tecnologia nela influi de maneira tão impactante e nevrálgica que o seu bom entendimento acrescenta muito ao profissional que será responsável pelo security office na empresa.

A questão também não se rende à radicalização: existem muitos bons security officers que não têm formação em tecnologia, e o traço comum que enxergo a todos é que souberam reconhecer a importância do assunto, montando e regularmente escutando uma boa equipe de analistas técnicos, agregando a isso todo seu conhecimento próprio de processos, risco e negócios.

Pessoalmente, acredito que é mais fácil alguém com forte base em tecnologia expandir os horizontes para ter um maior entendimento do negócio, suas prioridades e seus processos, do que o contrário acontecer. Exige principalmente ir além de repetir o mantra verdadeiro, porém desgastado pelo uso indevido e em excesso, de que “segurança é um processo”, e desenvolver algumas novas habilidades.

Que habilidades? Em um post futuro, vou tentar falar um pouco mais do que eu pessoalmente acho que são as principais que são necessárias.

9 Comments so far

  1. Gustavo Bittencourt February 28th, 2007 9:51 am

    Cheguei aqui via o blog do Augusto. Excelente post.

  2. Nelson Corrêa February 28th, 2007 11:55 am

    Grande Lincoln!
    Cheguei aqui através do Augusto Paes de Barros. Gostei muito do seu blog e guardei o feed para acompanhar suas novidades.
    Esse post mostra como a maioria do mercado se divide. Mesmo sendo caricatural, quem disse que a caricatura não mostra a verdade?
    Mas eu discordo da sua posição. Não acho que só porque alguém nasceu na área técnica será um CSO melhor de quem nasceu fora da área técnica. Acho um pouco de preconceito.
    E viva a controvérsia! :-D
    Grande abraço e sucesso!

  3. Anderson Ramos February 28th, 2007 2:08 pm

    Excelente Lincoln! Acredito porém que essa dicotomia vai bem além da segurança, afetando, no mínimo, todas as áreas envolvidas com tecnologia, além de muitas outras. Abraço.

  4. Herbert Danilewich March 1st, 2007 5:40 am

    Excelente post !!! (tambem cheguei aqui gracas a indicacao no Blog do Augusto). Concordo plenamente com as ideias apresentadas.

  5. Leonardo Cavallari March 2nd, 2007 4:54 am

    Lincoln, parabéns pela apresentação crônica da realidade.
    Consultores e analistas externos esbarram frequentemente com CSOs, vindo de áreas como auditoria interna e até mesmo financeira, que acabam por apoiar suas decisões nos braços direitos (e esquerdos) da equipe técnica.
    Excessões existem… (ao menos acredito que devem…)

  6. Alexandro A Figueira March 5th, 2007 12:59 pm

    Grande Lincoln,
    Apesar de ser novato na área, achei interessante o seu artigo, mas quando eu estava lendo me veio a cabeça alguns questionamentos. Creio que algumas áreas específicas como a nossa, por exemplo, deve-se existir os dois lados da moeda. É possivel que um executivo, o gerente, assim citado, sejam considerados “melhores” por apresentar um conhecimento a mais, diante o foco gestão. Assim ele tem e terá sempre maior embasamento para dialogar com um Analista. E o analista um perfil mais técnico diante das situações enfrentadas diariamente. Diante de tanta informação eu acredito ser muito complicado existir um profissional 100% perfeito em tudo que faz. Pra refletir, Engenheiro Civil - Pedreiro / Engenheiro Elétrico - Eletricista.

    Grande abraços a todos,

    Alexandro A. Figueira

  7. Eduardo Cabral March 5th, 2007 6:27 pm

    Grande Lincoln! Parabéns pelo blog ( ta bom vai cheguei aqui pela indicação no blog do Augusto, um bom blog puxa o outro :) ). Só adiciono uma parte ao seu post. Na minha opinião o que faz de um CSO bom é seu caráter e competência e não sua formação.

  8. Francisco Milagres March 14th, 2007 5:46 pm

    Olá Lincoln. Vim também pelo blog do Augusto e assino embaixo da reflexão que fez dos perfis de profissionais da nossa área. É a formalização do que vemos, embora em alguns casos não extrema assim, mas com um ótima maneira de lidar com as palavras.
    Abraço,
    Milagres

  9. B. Negao April 16th, 2007 12:37 am

    Gostei do post. Vou acompanhar o blog a partir de agora ;)

Leave a reply