[life without knowledge is death in disguise]

Aqui do meu cantinho levemente cínico do mundo, vejo uma polarização meio absurda entre dois perfis de profissionais de segurança da informação, especificamente na função de security officers (C-level ou não), que atinge boa parte do mercado.

O primeiro é daquele profissional que se encanta com a noção de “ser gerente” - aquele patamar mágico em que não é mais necessário se preocupar com detalhes tecnológicos, e que uma visão superficial dos aspectos técnicos das ameaças, riscos, vulnerabilidades e controles é suficiente para exercer seu papel.

No seu reino encantado, a principal fonte de informações sobre segurança vem de whitepapers de fornecedores de produtos, e qualquer aprofundamento não passa de meia dúzia de slides de PowerPoint. Faz malabarismo com buzzwords para encantar os leigos, acreditando que “alinhar segurança ao negócio” consiste em adotar as “melhores práticas” para “garantir compliance”, porque “segurança é um processo, não um produto”. Pensa em tirar o CISSP, afinal esta seria a prova definitiva da sua capacidade profissional. Ao mesmo tempo em que acha que gerenciar bem um projeto é tê-lo planejado no Microsoft Project, não entende quando eles falham - e em geral culpa os técnicos.

O segundo perfil é o daquele profisisonal que está fechado no seu mundo de tecnologia, sem enxergar - e sem querer enxergar - nada que esteja fora destas quatro paredes.

Na área restrita que define o seu horizonte, está sempre preocupado e empolgado com o último ataque, a última técnica “ninja”, a última tendência, sem enxergar outros problemas básicos (mas nenhum tão sexy, nunca) que provavelmente contribuem mais pro risco - política de senhas, anyone?. Acha que se todo mundo usasse Linux (ou Vista, ou Solaris, ou seja qual for o SO predileto), todos os problemas de segurança estariam resolvidos. Faz malabarismo com acrônimos para confundir os leigos, propagando que, IMNSHO, é preciso tomar cuidado com ataques MITM quando se utiliza VPNs PPTP, IPSec ou TLS. Não entende direito o negócio da empresa em que trabalha nem como ela funciona, e por princípio é contra políticas de segurança corporativas (até mesmo as bem-feitas) - afinal, é um monte de lero-lero que não ajuda em nada a segurança “na prática”. Usuários ? Os lusers só atrapalham a vida de quem precisa cuidar da segurança da rede. Quando seus projetos tecnicamente perfeitos (e terrivelmente vendidos internamente) são rejeitados pelos usuários, não entende, e se frustra.

Estou exagerando, simplificando um espectro em dois estereótipos ? Provavelmente. Mas o engraçado dos estereótipos é que eles costumam ser  baseados na realidade. Quantas pessoas você não conhece que exibem pelo menos alguns dos traços marcantes destes dois perfis ?

Ambos se caracterizam por acharem que a sua perspectiva é completa. O primeiro pode até ser um gerente competente - mas não para tocar uma área de segurança da informação. O segundo pode até ser uma analista competente - mas não para tocar uma área de segurança da informação.

O perfil dos melhores gestores de segurança da informação que conheço é híbrido: têm uma forte base em tecnologia (mesmo que não tenham mais nenhuma atuação técnica), ao mesmo tempo em que conseguem compreender como funciona o negócio, seus processos, e o papel real da segurança da informação na corporação.

Segurança da informação é uma disciplina que é maior que tecnologia, mas a tecnologia nela influi de maneira tão impactante e nevrálgica que o seu bom entendimento acrescenta muito ao profissional que será responsável pelo security office na empresa.

A questão também não se rende à radicalização: existem muitos bons security officers que não têm formação em tecnologia, e o traço comum que enxergo a todos é que souberam reconhecer a importância do assunto, montando e regularmente escutando uma boa equipe de analistas técnicos, agregando a isso todo seu conhecimento próprio de processos, risco e negócios.

Pessoalmente, acredito que é mais fácil alguém com forte base em tecnologia expandir os horizontes para ter um maior entendimento do negócio, suas prioridades e seus processos, do que o contrário acontecer. Exige principalmente ir além de repetir o mantra verdadeiro, porém desgastado pelo uso indevido e em excesso, de que “segurança é um processo”, e desenvolver algumas novas habilidades.

Que habilidades? Em um post futuro, vou tentar falar um pouco mais do que eu pessoalmente acho que são as principais que são necessárias.

“A história do mundo é contada pela biografia de grandes líderes”, disse Thomas Carlyle, historiador do século passado. Ou na realidade seriam a conjunção de fatores políticos, econômicos, tecnológicos e sociais que criam um ambiente propício à ação transformadora de grandes personalidades? Os líderes moldam a história, ou a história cria os líderes ?

Independente do veredito, é fascinante notar o impacto de ações visionárias ao longo do tempo. Poucos casos são tão emblemáticos como a transformação de Nova Iorque na atual “capital do mundo”, consequência direta da construção do canal Erie no século 19. Foi uma obra ambiciosa, arriscada e considerada impossível por muitos na época, mas que deu à cidade uma dianteira no comércio e nas finanças que ela não perdeu até hoje, mais de 180 anos depois.

Nova Iorque sempre foi um importante porto e centro de comércio, mas no início do século 19 o principal porto atlântico dos EUA era a Filadélfia, com Boston disputando o segundo lugar com Nova Iorque. Naquela época as montanhas Allegheny, parte da cadeia dos Apalaches, eram uma grande barreira de acesso ao meio-oeste americano, terreno fértil para plantações, minérios e madeira, valiosos para o comércio interno e para exportação. O transporte de produtos entre os centros comerciais de Buffalo, na região dos lagos, e Nova Iorque era realizado através de carroças, sendo caro e durando semanas.

Projetos para acelerar o transporte e criar uma via fluvial entre a região produtora do meio-oeste e a costa leste existiam desde o século 18, mas costumavam ser arquivados pelo enorme escopo da empreitada. Foi necessária a visão do então governador do estado de Nova Iorque, DeWitt Clinton, para achar o melhor caminho: construir um canal ligando Buffalo, situado na parte leste do lago Erie, até a cidade de Albany, no rio Hudson, que tinha ligação direta e navegável com a cidade de Nova Iorque. As mercadorias seriam escoadas através de balsas, carregadas no oeste, naveagadas até Albany através do canal, depois descendo pelo Hudson até o porto atlântico.

DeWitt era um visionário com capacidade política e de execução ímpar. Foi prefeito da cidade de Nova Iorque por três turnos consecutivos, de 1803 a 1815. Entre outras coisas, implementou o padrão “matriz” de ruas em Manhattan, tão conhecido atualmente. Em 1817 de DeWitt tornou-se governador do estado de Nova Iorque, e capitaneou a construção do canal, batizado de “canal Erie”. Líder de visão, enxergou de longe a capacidade de transformação de longo prazo que uma obra como essa poderia ter, em palavras proféticas da realidade atual de Nova Iorque:

“As an organ of communication between the Hudson, the Mississippi, the St. Lawrence, the Great Lakes of the north and west and their tributary rivers, it will create the greatest inland trade ever witnessed.”
…
“The city will, in the course of time, become the granary of the world, the emporium of commerce, the seat of manufactures, the focus of great moneyed operations and the concentrating point of vast disposable, and accumulating capital.”
…
“And before the revolution of a century, the whole island of Manhattan, covered with inhabitants and replenished with a dense population, will constitute one vast city.”

DeWitt Clinton enfrentou pesada resistência ao projeto do canal Erie, tendo financiamento federal negado pelo então presidente Thomas Jefferson, que acreditava que o projeto era desperdício de dinheiro público. Já como governador, iniciou-a com dinheiro estadual em 1817, financiando-a no mercado financeiro. Sua obstinação contra todas as resistências levou o canal Erie a ser conhecido como “Clinton’s folly” (”o erro de Clinton”) durante sua construção.

Não era à toa que o projeto era desacreditado. Era de uma escala e logística absurdas para os padrões da época. O canal percorreria uma distância de 580 kilômetros, o equivalente à distância entre São Paulo e Belo Horizonte. Até então, o maior canal construído no país era 36 vezes menor, com apenas 16 kilômetros. Incrivelmente, quando o planejamento foi iniciado, não havia sequer uma escola de engenharia no país, tampouco um engenheiro civil formado! O engenheiro-chefe da obra, Benjamin Wright, era um advogado auto-didata que aprendeu na prática tudo que precisava. Wright é reconhecido como o pai da engenharia civil americana, pela quantidade de novatos que tutorou ao longo da obra. Com exceção de alguns pontos onde foi necessário o uso da pólvora para retirar pedra, todos os 580 kilômetros do canal de 13m de largura por 1m de profundidade foi fruto de, literalmente, manpower e horsepower, na sua maioria de imigrantes irlandeses e alemães.

O canal foi concluído em 1825, dentro do orçamento e 3 anos antes do prazo previsto, e foi um enorme sucesso. O tempo para transportar bens de Buffalo para Nova Iorque caiu de 24 dias para 8 dias, enquanto o custo por tonelada caiu de $100 para meros $10. O investimento retornou em pouco tempo, com o fluxo de comércio crescendo incrivelmente: em 1829 foram transportados 3640 cargas de trigo pelo canal; Em 1837 este número chegou em 500.000 cargas, e quatro anos depois, em 1841, alcançou 1 milhão. Em apenas 15 anos, Nova Iorque tornou-se o porto e centro de comércio mais movimentado do país, operando mais cargas que a soma de Boston, Baltimore e Nova Orleans. A população da cidade cresceu de 123 mil em 1820 para quase 700 mil apenas 30 anos depois, em 1850.

A artéria de comércio que o canal representou catapultaram a cidade para uma era de crescimento e concentração de poderio e riqueza nunca vistos, colocando-a à frente de cidades como Boston e Filadélfia. O canal também desenvolveu culturalmente o estado, com a influência progressiva dos milhares de imigrantes que fixaram residência no estado como resultado das obras do canal. Nova Iorque passou a carregar pela primeira vez a alcunha de “Empire State”.

A partir de 1860, com o crescimento das ferrovias, o canal foi gradualmente perdendo força no transporte de bens. Mas o seu impacto já estava sedimentado: Nova Iorque estava caracterizada como centro comercial e financeiro, e todas as grandes linhas de ferrovia atendiam-na, como ponto focal.

O canal Erie, “o erro de Clinton”, contra todas os argumentos, probabilidades e incertezas, foi o fator mais importante em tornar a cidade de Nova Iorque o centro de comércio do país. Na sequência inevitável da riqueza do comércio, amadureceu sua vocação financeira, tornando-se o pólo das finanças do país e, talvez inevitavelmente, do mundo, tal qual encontramos-na hoje. A vitalidade, riqueza e cultura da Nova Iorque de 2006 podem ser diretamente traçadas às atitudes e visão do conjunto de pessoas lideradas por DeWitt Clinton.

Os líderes moldam a história, ou a história cria os líderes ?