As habilidades técnicas permitem ao profissional de SI agir em diversas frentes, de acordo com suas respectivas especializações, no entanto, existe uma habilidade que pode ser empregada tanto na forma de especialização, quanto como um importante complemento para outras áreas de atuação: Gestão de processos.

Quando falo em gestão de processos, não me refiro a uma posição hierárquica, com responsabilidades por processos, mas sim a capacidade de transformar as atividades profissionais, em uma seqüência de atividades, que atinge um resultado esperado. Muitas vezes eu bejo profissionais de SI atuando de formas que tornam as demais áreas “dependentes” deles.

Um exemplo claro é a execução de um hardening do sistemas operacional. Tipicamente o profissional vem, executa uma série de scirpts, ou muda as configurações manualmente, vai embora e se der algum problema a área de sistemas operacionais deve correr atrás de sua ajuda para resolver o problema.

Não seria melhor trabalhar em conjunto com a área que está sendo afetada, buscar em parceria a confecção de um conjunto de controles que mitiguem os riscos identificados e  que a área entenda as razões e seus impactos? Não poderiamos complementar este trabalho criando um sistema de gestão que possibilite o mapeamento dos controles implementados em cada ativo e as exceções que tiveram de ser aplicadas para sanar problemas que poderiam impactar o negócio?

Este tipo de ação é a base de processos que todo profissional de segurança deve ter. Uma das razões disso, é assegurar que os procedimentos executados sejam conhecidos e com eficácia comprovada. Isso também possibilita que as áreas envolvidas sejam capazes de elas próprias executar os processos, reduzindo a carga sobre a área de SI, que tipicamente está sobrecarregada, e mantendo um controle constante mesmo quando SI não está presente.

Processos do negócio

Outra capacidade importante para o profissional de SI, é a habilidade de entender os processos do negócio e criar controles que interajam com eles de forma simbiótica, semelhante ao que qualidade faz com métodos Poka Yoke (Mistaken Proof). No Poka Yoke, um máquinário pode ser desenhado de maneira que ele somente possa ser acionado se o operário utilizar as duas mãos, evitando que ele sofra algum acidente e perca um dedo, por exemplo.

Similamente, o profissional de SI, que atua ligado diretamente ao negócio, deve buscar formas de proteger os ativos de informação de um modo  que seja intuitivo e que não seja impeditivo para os negócios. Na definição destes controles, o entendimento dos negócios é fundamental, pois sem isso não é possível priorizar e proteger o que é realmente importante. Por isso ele deve empregar seus conhecimentos para guiar os gestores das áreas envolvidas, ou outras pessoas com grandes conhecimentos no processo avaliado, para direcionar adequadamente as atividades sendo desenvolvidas. Sua experiência, em conjunto com as dos demais envolvidos, possibilitarão a implementação dos controles mais adequados para o processo sendo protegido.

Duas das principais características deste profissional é a habilidade de relacionamento interpessoal e a organização e método na execução de suas atividades.

Um base técnica também é importante, para que este profissional seja capaz de interagir com TI, e buscar formas de implementar nos sistemas parte dos controles identificados e também interagir com os demais controles existentes, evitando um emaranhado de proteções que ninguém entende ou sabe se tem alguma serventia.

A medição da eficácia dos controles é outra atividade importante que estes profissionais podem desempenhar. Nesta atividade, um dos objetivos é identificar quais proteções tem se mostrado mais ou menos eficientes e buscar uma variação da curva da vitalidade, do Jack Welch, nos controles de segurança. As proteção que tem pouca efitividade devem ser substituídas por novos controles, que busquem os mesmos objetivos, mas de formas mais eficazes. Os controles de grande valia, devem ser aprimorados e empregados em mais processos. Com isso além de evitar o desperdício de tempo com atividades de pouco valor agregado, existe uma evolução na cultura e no conhecimento corporativo, que pode tornar as atividades cada vez mais intuitivas e menos intrusivas, pois cada vez mais áreas da organização estarão capacitadas na execução de controles de alto desempenho.