Se segura malandro !

Security Officer, Analista de Segurança, Gerente de Segurança, seja lá o nome. Hoje em dia está ficando cada vez mais comum a existência desta figura nas empresas.

E o que esta pessoa faz afinal ? Muitas vezes eu me pergunto se as pessoas sabem qual é o papel dela na organização, o que é trabalhar com segurança, e o que de fato é segurança da informação.

Mas o que fazem os profissionais de segurança afinal ? Dependendo de um lugar ou outro os seus papéis passam por funções tais como:

• Avaliar os riscos a que a empresa está exposta
• Elaborar políticas de segurança da informação
• Desenvolver processos ligados a sua área
• Auditar sistemas
• Compilar boas práticas de trabalho
• Fazer palestras de transferência de conhecimento
• Apontar erros e falhas arquiteturais em sistemas internos
• Criar controles para alertar sobre problemas ou atuarem automaticamente na sua correção
• Mensurar a segurança da empresas através de métricas apropriadas a sua realidade

e por último, mas sempre o mais importante:

• Levar a culpa caso algo dê errado.

Pode parecer uma piada, e obviamente é. Mas é uma piada de mal gosto.

Imagine o desafio desta pessoa:

• Ter que convencer toda uma organização a mudar seu jeito de trabalhar. Quem conhece um pouco de administração sabe que a mudança cultural é a mais difícil de implementar. Imagine  uma mudança cultural que vai contra a produtividade, contra a lei do menor esforço, contra tudo que as pessoas fazem intuitivamente. Isto sem trazer nenhuma recompensa imediata, nenhuma fonte de receita. É um grande teste de política e jogo de cintura.
• Entender o funcionamento da empresa e criar processos para minimizar sua exposição. Claro que existem boas práticas de segurança para se mirar. Mas cada empresa tem sua realidade e a aplicação dosada das boas práticas é fundamental ou então o trabalho não está sendo feito adequadamente.
• Ter conhecimento técnico profundo em cada uma das tecnologias que compõe o funcionamento da empresa, em geral mais profundo do que os técnicos que são especialistas, para ser capaz de visualizar os relacionamentos e interdependências e ainda achar no meio deste palheiro os pontos de falha. (Em geral, no nível de maturidade que estamos eu diria que é achar um paralelepípedo no palheiro, mas pensando no mundo ideal…)

Se você reparar existem atividades que lidam diretamente com um universo humano, com caráter administrativo, com políticas e processos. E existe um universo  que lida com questões absolutamente tecnologicas, abarcando todo espectro das disciplinas de TI.

Em geral os bons praticantes da segunda disciplina são em geral no mínimo  übber-nerd wannabees. Este tipo de pessoa em geral não é o com mais tendência a socialização.  E diria que o contrário também é verdadeiro. Poucos animais políticos tem o tipo de inteligência, a dedicação e o interesse por tecnologia requeridos para atingir um bom kung fu na parte tecnológica.

Existe alguém com este perfil ? Eu duvido. Ainda que existam pessoas com um mix razoável entre as duas coisas é muito difícil ter o domínio total. Alguém com perfil totalmente gerencial existe as pencas como em qualquer área. Übber geeks que manjam de tudo em tecnologia são poucos e cada vez  mais raros, pois cada vez mais crescem as opções entre sistemas operacionais, linguagens de programação, bancos de dados, etc.

Então por que se criou esta figura mítica ? Minha opinião é exatamente esta. É uma figura mítica. Ninguém entende o que é segurança então se terceiriza para um ser mágico capaz de absorver a responsabilidade. Isto salta aos olhos quando se espera que esta pessoa tenha que dar um parecer em um ou dois dias sobre algo novo ao qual esta sendo apresentado naquele momento. Se quem é especialista não foi capaz de perceber problemas será que é um pobre coitado, ainda que com toda uma experiência e um security mindset, que vai bater o olho e imediatamente achar os problemas ? Só acha mesmo porque como eu disse hoje em dia temos muito pouca maturidade, e o que ele faz é mostrar as falhas risíveis. No fundo não é para resolver, mas para eu poder dizer “o pessoal de segurança disse que tava bom” e praticar o bom e velho CYA.

Aonde quero chegar ? Quero dizer que eu acho que no futuro vai chegar um momento em que as pessoas vão ter a consciência de segurança, assim como ninguém sai de casa e não tranca a porta. Que esta responsabilidade vai ser dividida por todos. Se você gerencia um projeto e ele apresenta um problema de segurança a culpa é sua. Se você administra um sistema e ele tem falhas a culpa é sua. Se você é um gestor de RH e os funcionários da sua empresa tem uma cultura que permite o vazamento de informações a culpa é sua.

E qual o papel do “analista de segurança” nesta organização ? Ele é um guru, um consultor. É aquele que as pessoas procuram para ajudá-las a assumir sua responsabilidade. Não tenho o raciocínio de avaliação de riscos da minha área ? Não tem problema procuro o guru e ele vai me dar uns bons toques, me referenciar para a literatura correta, e comigo avaliar a efetividade do que estou implantando. Ele vai dar palestras internas sobre o tema. Seu papel será o de facilitador e não mais de responsável. Afinal de contas para ser responsável é preciso poder de mudar as coisas, e ninguém tem conhecimento, tempo, capacidade intelectual de absorver a empresa inteira e cuidar de todos os riscos pelos outros.

Isto transforma o profissional de segurança em solução e não mais problema. Afinal de contas ele está ali para me ajudar a fazer o meu papel. Quem nunca ouviu um “o pessoal de segurança só atrapalha”. Atrapalha porque é responsabilidade dele deixar a empresa segura, então ele que se dane com seus projetos, prazos, e problemas que eu vou cuidar do meu. Mas mudando a perspectiva quem vai ter que procurar, talvez implorar para ser ajudado é cada um no seu pequeno cubículo, com sua pequena responsabilidade.

Será que eu estou sonhando muito alto ?