A proposta deste post é de iniciar (ou aprimorar) o pensamento critico sobre a segurança de nossos dados e da postura organizacional de formados e formadores de conteúdo diante do crescimento do Cyber Ativismo, ou em especial do Cyber Terrorismo.
Da realidade acadêmica para o mercado de trabalho, existe um verdadeiro abismo quando falamos de segurança da informação. Hoje é muito comum falarmos de segurança, mas atuarmos com segurança é algo deichado a desejar. Nossos alunos e profissionais tem uma carga de conhecimento de pratileira e muitas vezes se quer conseguem identificar um ataque real ou quando identificado não possuem a qualidade técnicas para mitiga-lo. Hoje quando falam de segurança, falam de aquisição de Firewalls, IDS, IPS, etc... (não todos, mas ainda muitos).
Não se pode falar sobre segurança sem viver a segurança. Acredito que hoje seria ideal e no mínimo sensato tratar a segurança em três momentos, sendo eles o da gestão, o da cyber segurança e o da perícia forense computacional. Obviamente coloco aqui um pouco de minha experiência de vida acadêmica e também corporativa e não fundamento tais pensamentos com análises quantitativas ou gráficos explicativos (deixo esta parte para o Mestrado). Vejo dentro das instituições brasileiras (não todas, mas muitas), uma lacuna preocupante quanto ao ensino de segurança aos alunos. Nosso capital humano que entra todos os dias no mercado de trabalho, se quer sabe realmente o que é e como atuar com segurança dentro do que se propõe a fazer.
Colo aqui alguns itens como por exemplo programadores que sabem desenvolver um site sem se preocupar com certificação digital (para falar o mínimo), ou ainda um especialista em redes que mantem a senha padrão dos ativos ou que não possui um plano de atualização de firmware, ou ainda um gestor de TI que não se importa com as regras de um SGSI de uma empresa (isso quando existe um SGSI). O problema se agrava se sairmos da TI e caminharmos para cursos como contabilidade, direito, RH, administração de empresas, etc. Tais cursos não possuem se quer a base sobre segurança da informação necessária para atuar com um mundo tão conectado e cheio de novas regras e formatos. A segurança não pode ser vista como um mero investimento em Firewalls pelos que assinam o cheque. A segurança precisa ser entendida e formatada de forma que pessoas, processos e políticas atuem de forma objetiva e acertiva.
A questão aqui proposta é, como alinhar expectativas de mercado com entrega de capital humano qualificado pelas instituições de ensino? Eis o grande desafio de formar pensadores que atuem de forma preventiva e com qualidade, não fazendo apenas o mínimo necessário para alcançar uma certificação como ISO ou PCI. Um papel assinado não garante a segurança dos dados e será descartado quando a empresa sofrer um ataque (sim, quando e não SE receberá um ataque).
Do topo da torre de marfim até o chão de fábrica da TI, deve-se atuar com times competentes, qualificados e obviamente motivados para prover uma boa segurança, tanto dos dados da empresa quanto dos ativos que ali estão. A necessidade em se formar recursos humanos prontos e preparados para esta nova realidade deve ser levada a sério, pois cresce a cada dia a quantidade de ataques e atacantes que saem da linha de base e atuam com cyber terrorismo.
Sequestro de dados, comprometimento de ambientes inteiros e DDoS são alguns dos problemas que enfrentaremos com mais intensidade no decorrer dos anos. Vejo com preocupação a forma com que a educação sobre segurança nestes aspectos é assimilada pelos tomadores de decisão, tanto corporativos quanto academicos. Hoje muitas empresas precisam de especialistas que não possuem competências para atuar com situações mais complexas. É como mandar um soldado a guerra com apenas a teoria de como disparar um fuzil. Se o soldado nunca efetuou um único disparo, como é que irá encarar uma situação real com o agravante da pressão pelos resultados?
O mais engraçado (para não dizer trágico), é que a cobrança e exigência das empresas pela qualidade profissional é oposta as oportunidades de aprendizado e remuneração oferecidos. Querem pagar pouco, sem que o profissional tenha tempo para se adaptar as mudanças pelo volume de trabalho, dentro de um time enxuto de orçamento apertado.
Hoje vejo mudanças significativas neste contexto, mas lentas e ainda não adequadas ao necessário para atender a demanda de especialistas (e não meros conhecedores) de segurança. Siglas e textos sobre o assunto não são significam qualidade sobre a defesa de um ambiente. Precisamos discutir e mudar o discurso tanto de quem contrata, quanto daqueles quer fornecem a mão de olbra qualificada para melhorar a forma com que encaramos a segurança da informação.
Meu nome é Eduardo Popovici e agradeço sua presença neste post. Fique a vontade para comentar e compartilhar não só o artigo aqui escrito, mas suas opiniões quanto ao assunto.
