You are currently browsing the category archive for the 'Carreira' category.
As habilidades técnicas permitem ao profissional de SI agir em diversas frentes, de acordo com suas respectivas especializações, no entanto, existe uma habilidade que pode ser empregada tanto na forma de especialização, quanto como um importante complemento para outras áreas de atuação: Gestão de processos.
Quando falo em gestão de processos, não me refiro a uma posição hierárquica, com responsabilidades por processos, mas sim a capacidade de transformar as atividades profissionais, em uma seqüência de atividades, que atinge um resultado esperado. Muitas vezes eu bejo profissionais de SI atuando de formas que tornam as demais áreas “dependentes” deles.
Um exemplo claro é a execução de um hardening do sistemas operacional. Tipicamente o profissional vem, executa uma série de scirpts, ou muda as configurações manualmente, vai embora e se der algum problema a área de sistemas operacionais deve correr atrás de sua ajuda para resolver o problema.
Não seria melhor trabalhar em conjunto com a área que está sendo afetada, buscar em parceria a confecção de um conjunto de controles que mitiguem os riscos identificados e que a área entenda as razões e seus impactos? Não poderiamos complementar este trabalho criando um sistema de gestão que possibilite o mapeamento dos controles implementados em cada ativo e as exceções que tiveram de ser aplicadas para sanar problemas que poderiam impactar o negócio?
Este tipo de ação é a base de processos que todo profissional de segurança deve ter. Uma das razões disso, é assegurar que os procedimentos executados sejam conhecidos e com eficácia comprovada. Isso também possibilita que as áreas envolvidas sejam capazes de elas próprias executar os processos, reduzindo a carga sobre a área de SI, que tipicamente está sobrecarregada, e mantendo um controle constante mesmo quando SI não está presente.
Processos do negócio
Outra capacidade importante para o profissional de SI, é a habilidade de entender os processos do negócio e criar controles que interajam com eles de forma simbiótica, semelhante ao que qualidade faz com métodos Poka Yoke (Mistaken Proof). No Poka Yoke, um máquinário pode ser desenhado de maneira que ele somente possa ser acionado se o operário utilizar as duas mãos, evitando que ele sofra algum acidente e perca um dedo, por exemplo.
Similamente, o profissional de SI, que atua ligado diretamente ao negócio, deve buscar formas de proteger os ativos de informação de um modo que seja intuitivo e que não seja impeditivo para os negócios. Na definição destes controles, o entendimento dos negócios é fundamental, pois sem isso não é possível priorizar e proteger o que é realmente importante. Por isso ele deve empregar seus conhecimentos para guiar os gestores das áreas envolvidas, ou outras pessoas com grandes conhecimentos no processo avaliado, para direcionar adequadamente as atividades sendo desenvolvidas. Sua experiência, em conjunto com as dos demais envolvidos, possibilitarão a implementação dos controles mais adequados para o processo sendo protegido.
Duas das principais características deste profissional é a habilidade de relacionamento interpessoal e a organização e método na execução de suas atividades.
Um base técnica também é importante, para que este profissional seja capaz de interagir com TI, e buscar formas de implementar nos sistemas parte dos controles identificados e também interagir com os demais controles existentes, evitando um emaranhado de proteções que ninguém entende ou sabe se tem alguma serventia.
A medição da eficácia dos controles é outra atividade importante que estes profissionais podem desempenhar. Nesta atividade, um dos objetivos é identificar quais proteções tem se mostrado mais ou menos eficientes e buscar uma variação da curva da vitalidade, do Jack Welch, nos controles de segurança. As proteção que tem pouca efitividade devem ser substituídas por novos controles, que busquem os mesmos objetivos, mas de formas mais eficazes. Os controles de grande valia, devem ser aprimorados e empregados em mais processos. Com isso além de evitar o desperdício de tempo com atividades de pouco valor agregado, existe uma evolução na cultura e no conhecimento corporativo, que pode tornar as atividades cada vez mais intuitivas e menos intrusivas, pois cada vez mais áreas da organização estarão capacitadas na execução de controles de alto desempenho.
Assino em baixo na excelente análise do Aylton sobre certificações. Num tema polêmico como este, é raro ver uma argumentação tão bem elaborada. Nem defendendo, nem atacando cegamente, como muitos fazem, simplesmente mostrando os prós e contras e permitindo a cada que tire suas próprias conclusões com base nas informações recebidas.
Aylton, espero ver muitos outros posts e artigos teus.
Antes de continuar a falar sobre o assunto, gostaria de elucidar alguns pontos que o Paulo levantou em seu comentário para o meu post anterior. Quando falei sobre Generalista x Especialistas, eu estava complementando o que ele havia dito na entrevista ao falar sobre profissionais de “Network/Computer Security”. Eu só abro uma ressalva, que eu entendo que havendo recursos para tanto, pode haver segregação mesmo nesta função. A pessoa com grandes conhecimentos de redes, roteadores, etc, não é necessariamente um especialista na plataforma Microsoft, ou Unix, ou AS/400 ou Mainframe. O mesmo vale para qualquer caso similar (ex.: o especialista de Microsoft pode ter parcos conhecimentos de Unix ou redes).
Isso é principalmente válido quando começamos a falar sobre segurança em aplicações, e sobre linguagens e tecnologias específicas, existe um limite para a capacidade de prover segurança por um profissional genérico. Um profissional de segurança de redes pode ajudar a previnir casos de XSS, SQL Injection e outros mais óbvios quando vistos do lado de fora, mas pode deixar passar muitos outros casos, como um Covert Channel.
Quanto a análise do resultado das ferramentas de varredura, concordo em gênero, número e grau com o Paulo. Ele apontou um ponto que eu esqueci de mensionar: Ferramentas ajudam na produtividade, mas é preciso avaliar o que elas produzem antes de iniciar uma ação corretiva.
Uma coisa que sempre gostei de fazer é correlacionar o resultado das falhas encontradas e repriorizar as vulnerabilidades com base neste correlacionamento. Algumas vezes a ferramenta indica N falhas críticas, para as quais já existem contra-medidas aplicadas, como um firewall que não deixa aquele serviço específico disponível, mas sem esta análise seria dispendido tempo no tratamento urgente de falhas com baixa probabilidade de efetivação. Outras vezes, as ferramentas mostram brechas que são classificadas como de baixa ou média criticidade, mas que em conjunto podem significar um grande risco para o sistema. Certa vez uma ferramenta me mostrou que havia uma falha, classificada como média, que possibilitava a obtenção de um shell remoto desde que o atacante tivesse acesso a uma série de informações. No entanto, haviam outras no sistema, que tornavam quase todas aquelas informações disponíveis, exceto a listagem de usuários, para usar uma identificação no ataque. Mas havia um outro sistema que permitia listar seus usuários, como os userids eram identicos todas as informações disponíveis estavam acessíveis e assim, uma falha média e algumas baixas, como classificado pela ferramenta, na verdade representavam um alto risco para a organização.
Outra razão para isso, é que muitas ferramentas, talvez tentando mostrar trabalho, são extremamente prolixas, porém fornecendo informações de pouco qualidade ou relevância, como avisos de presença de banners, que as vezes sequer verifica se é um banner padrão ou algo personalizado.
PS.: Paulo, meu post não foi resposta a sua entrevista ou as sua opniões, apenas entrei no embalo e apresentei as minhas visão do assunto, coisa que a muito tempo eu queria fazer.
Ainda falando sobre a entrevista do Paulo Tetinha, ele fez alguns comentários sobre o perfil dos profissionais de SI e sua postura coincide com a de muitos outros profissionais da área, julgam a partir de um ponto de vista único criticando aqueles que atuam de forma distinta. Isso me motivou a escrever sobre algo que a muito tempo quero falar: Qual é verdadeiramente o perfil do profissional de SI?
Como diria uma pessoa que trabalha comigo, a existência de um perfil do profissional de SI é uma lenda urbana.
Nossa área é muito ampla, com diferentes disciplinas e desafios, querer encontrar um único perfil e enquadrar todos os profissionais neste molde é na melhor das hipóteses insanidade.
Generalistas x Especialistas
O perfil do profissional deve ser adequado ao seu campo de atuação. Da mesma forma que existe uma separação entre administradores de sistemas, programadores, analistas de sistemas e DBAs, tem de haver a segregação na área de SI. Nenhum profissional é capaz de saber tudo, por isso a separação das funções, para que cada um possa contribuir com sua especialidade.
Eu por muito tempo tive esta mesma visão sobre o profissional generalista e ainda acho que uma visão generalista seja importante, mas que o profissional deva ser especializado em uma, duas ou no máximo três disciplinas, para que possa fazer um trabalho verdadeiramente eficaz.
A visão generalista é importante para que sejamos capaz de “intuir” problemas em áreas que não são nossa especialidade, quando nos deparamos com elas, de forma que possamos contatar especialistas no assunto, para que ele seja apropriadamente tratado.
A especialização é fundamental para que as questões de segurança sejam tratados de forma efetiva e que lacunas não sejam deixadas por termos apenas uma visão generalista do assunto.
Ao menos é assim que deve ser no “chão de fábrica”, conforme formos subindo na carreira e passarmos a ter cada vez mais responsabilidade, como a gestão de equipes maiores, passa a ser necessária a transição para uma variação da versão generalista, que nos permita comunicar com os membros da equipe e entender os problemas que eles estão apresentando. A correção destes problemas deixa de ser uma responsabilidade direta sua, ao menos no que diz respeito a por a mão na massa, e passar a ser das pessoas que você lidera. Coordenar estes esforços, entender a importância do que estão fazendo, priorizar estas atividades, alocar orçamentos e apresentar a importância para o resto da organização passa a ser cada vez mais a sua responsabilidade. Neste momento a visão generalista passa a ser uma vantagem, mas desde que empregada da maneira apropriada.
Métodos de atuação
Outra ponto que costuma ser bastante criticado é o uso de ferramentas, contra o trabalho na unha, mais meticuloso e especializado.
Novamente é uma situação em que ambas as abordagens são validas, dependendo do contexto. Quando atuamos diretamente nos sistemas, quando arregaçamos as mangas e pomos a mão na massa, conseguimos um resultado muito mais preciso, porém com um grande custo em termos de tempo ou dinheiro. Se você tem um parque com mais de mil servidores, com dezenas de plataformas operacionais e distribuídos em diversos centros de processamento, e tem de atuar na segurança deles, se você optar por atuar manualmente em cada um deles, você terá de escolher entre levar tanto tempo, que quando concluir o trabalho o que você fez na metade dele já está desatualizado, ou contratar tanta gente que o custo jamais será aprovado.
É nestas horas que as ferramentas e o um bom inventário de ativos, com a definição da importância para os negócios de cada ativo, te ajuda. As ferramentas te ajudarão a indentificar os principais problemas no grosso do seu parque tecnológico, possibilitando um ganho real em um intervalo de tempo relativamente curto. Também possibilitará a monitoração constante, através de processos automatizados, que permitirão a indentificação de novas vulnerabilidades, conforme elas surgirem.
O próximo passo é empregar o inventário para priorizar suas ações, nesta priorização é importante considerar, além da importância do ativo para os negócios, seu nível de exposição as ameaças. Agora você sabe onde tem de atuar e os resultados do seu traballho pode até ser utilizado para melhorar sua ferramenta.
(Continua)
