You are currently browsing the monthly archive for Dezembro 2006.
Ainda falando sobre a entrevista do Paulo Tetinha, ele fez alguns comentários sobre o perfil dos profissionais de SI e sua postura coincide com a de muitos outros profissionais da área, julgam a partir de um ponto de vista único criticando aqueles que atuam de forma distinta. Isso me motivou a escrever sobre algo que a muito tempo quero falar: Qual é verdadeiramente o perfil do profissional de SI?
Como diria uma pessoa que trabalha comigo, a existência de um perfil do profissional de SI é uma lenda urbana.
Nossa área é muito ampla, com diferentes disciplinas e desafios, querer encontrar um único perfil e enquadrar todos os profissionais neste molde é na melhor das hipóteses insanidade.
Generalistas x Especialistas
O perfil do profissional deve ser adequado ao seu campo de atuação. Da mesma forma que existe uma separação entre administradores de sistemas, programadores, analistas de sistemas e DBAs, tem de haver a segregação na área de SI. Nenhum profissional é capaz de saber tudo, por isso a separação das funções, para que cada um possa contribuir com sua especialidade.
Eu por muito tempo tive esta mesma visão sobre o profissional generalista e ainda acho que uma visão generalista seja importante, mas que o profissional deva ser especializado em uma, duas ou no máximo três disciplinas, para que possa fazer um trabalho verdadeiramente eficaz.
A visão generalista é importante para que sejamos capaz de “intuir” problemas em áreas que não são nossa especialidade, quando nos deparamos com elas, de forma que possamos contatar especialistas no assunto, para que ele seja apropriadamente tratado.
A especialização é fundamental para que as questões de segurança sejam tratados de forma efetiva e que lacunas não sejam deixadas por termos apenas uma visão generalista do assunto.
Ao menos é assim que deve ser no “chão de fábrica”, conforme formos subindo na carreira e passarmos a ter cada vez mais responsabilidade, como a gestão de equipes maiores, passa a ser necessária a transição para uma variação da versão generalista, que nos permita comunicar com os membros da equipe e entender os problemas que eles estão apresentando. A correção destes problemas deixa de ser uma responsabilidade direta sua, ao menos no que diz respeito a por a mão na massa, e passar a ser das pessoas que você lidera. Coordenar estes esforços, entender a importância do que estão fazendo, priorizar estas atividades, alocar orçamentos e apresentar a importância para o resto da organização passa a ser cada vez mais a sua responsabilidade. Neste momento a visão generalista passa a ser uma vantagem, mas desde que empregada da maneira apropriada.
Métodos de atuação
Outra ponto que costuma ser bastante criticado é o uso de ferramentas, contra o trabalho na unha, mais meticuloso e especializado.
Novamente é uma situação em que ambas as abordagens são validas, dependendo do contexto. Quando atuamos diretamente nos sistemas, quando arregaçamos as mangas e pomos a mão na massa, conseguimos um resultado muito mais preciso, porém com um grande custo em termos de tempo ou dinheiro. Se você tem um parque com mais de mil servidores, com dezenas de plataformas operacionais e distribuídos em diversos centros de processamento, e tem de atuar na segurança deles, se você optar por atuar manualmente em cada um deles, você terá de escolher entre levar tanto tempo, que quando concluir o trabalho o que você fez na metade dele já está desatualizado, ou contratar tanta gente que o custo jamais será aprovado.
É nestas horas que as ferramentas e o um bom inventário de ativos, com a definição da importância para os negócios de cada ativo, te ajuda. As ferramentas te ajudarão a indentificar os principais problemas no grosso do seu parque tecnológico, possibilitando um ganho real em um intervalo de tempo relativamente curto. Também possibilitará a monitoração constante, através de processos automatizados, que permitirão a indentificação de novas vulnerabilidades, conforme elas surgirem.
O próximo passo é empregar o inventário para priorizar suas ações, nesta priorização é importante considerar, além da importância do ativo para os negócios, seu nível de exposição as ameaças. Agora você sabe onde tem de atuar e os resultados do seu traballho pode até ser utilizado para melhorar sua ferramenta.
(Continua)
Devido a muito trabalho e algumas mudanças na minha vida pessoa, não tenho tido tempo de acompanhar a CISSP-BR muito de perto como eu costumava fazer. Hoje li a entrevista do Fucs com o Paulo Tetinha, e os comentários do Augusto a respeito. Não irei falar muito sobre o que ocorreu na CISSP-Br, pois, como já disse, não acompanhei de perto, apenas gostaria de fazer dois comentários:
- Se o Paulo tivesse usado o próprio nome, como é regra na lista, eu creio que a reação não seria tão adversa. Apesar de muitos saberem de quem se trata, o que não é o meu caso, é desagradável debater com um “personagem” como o Augusto o caracterizou. Paulo, se você acredito no que diz, por que usar um pseudônimo?
- Por experiência própria, creio que alguns de seus comentários possam ter sido mal interpretados. Algumas vezes, a palavra escrita assume uma forma demasiadamente formal, e a mesma frase numa conversa frente-a-frente não teria o mesmo impacto devido a elementos como entonação ou postura corporal que denotam o contexto da frase.
Não o estou defendendo, apenas não acho que deva ser crucificado por uma opniões que sei que muitas outras pessoas tem, mas que evitam se manifestar por quaisquer que sejam as suas razões.
E, para os que se sentiram ofendidos pelos seus comentários, vale a pena pensar um pouco e refletir se não existe alguma razão nas suas opniões.
