Artigos

O presente e o futuro do profissional de Segurança da Informação

Por 29 de maio de 2020 Sem comentários

*Lucas Santos

O avanço tecnológico nos trouxe até a era da indústria 4.0, onde os recursos, serviços e dados das organizações passam pela digitalização, deixando seus meios físicos de processamento, compartilhamento e armazenamento e migram para ambientes virtuais.

Dentre os inúmeros benefícios que essa migração pode trazer, uma vantagem que merece destaque é a alta disponibilidade dos recursos de uma organização, tanto na visão dos colaboradores, que podem acessar remotamente informações necessárias para seu trabalho quanto na visão dos usuários, que podem usufruir dos serviços oferecidos pela organização a qualquer momento e em qualquer lugar.

Essa vantagem é a perfeita ilustração do resultado que a digitalização pode trazer para uma organização.

Esse ponto positivo (entre muitos outros) da digitalização serve como exemplo para entendermos as vantagens e desvantagens dessa transformação, e o cuidado necessário em sua utilização.

Uma vantagem é a praticidade na prestação de serviços e atendimento à demanda de usuários.

A digitalização traz às organizações eficiência em atender as demandas e ao mesmo tempo aumenta a capacidade de atendimento simultâneo de clientes. Por exemplo: um serviço comum fornecido pelo Poupatempo, como extração de segunda via de documentos, se resolve muito mais rápido e de forma muito mais segura se for realizado de forma totalmente digital, sem necessidade de troca de informações entre humanos.

Essa, entre outras facilidades oferecidas pela digitalização tem feito com que empresários invistam nessa transformação em seus negócios para agregar valor à corporação.

Esse novo cenário organizacional, onde cada vez mais empresas estão investindo em ambientes digitais de processamento e armazenamento de dados, faz com que os negócios das organizações dependam cada vez mais dos seus recursos digitais.

E é neste ponto que a alta disponibilidade se torna uma desvantagem da digitalização, se não receber a devida atenção.

Afinal, a informação está disponível para quem quiser acessar, e se não possuir os devidos controles de acesso e manipulação, podem comprometer completamente o negócio das organizações. Em outras palavras, se as informações sensíveis forem armazenadas/ processadas sem o devido cuidado, uma pessoa mal-intencionada pode conseguir acesso, obter informações extremamente confidenciais e até manipulá-las a fim de prejudicar o andamento das atividades de uma empresa ou para obter, de alguma maneira, benefício próprio, por exemplo: chantagem financeira com dados sequestrados.

Durante um tempo, os responsáveis por gerenciar toda a informação sensível de uma organização, seu processamento, armazenamento e controle de acessos era responsabilidade dos profissionais de Tecnologia da Informação (TI). Com o passar do tempo, a maior quantidade de vulnerabilidades e formas de ataque obrigou as empresas a recorrerem à segmentação dessa área e criar uma equipe dedicada especialmente ao controle e mitigação dos riscos ligados às informações de alto valor para uma organização. E assim, derivada da área de TI, surge a área da Segurança da Informação.

O que faz um profissional de segurança da informação?

Mesmo em ambientes mais simples, nota-se a presença do profissional de Segurança da Informação (SI) através do controle de acessos e perfis de usuários de uma rede de computadores, por exemplo. Quanto maior o ambiente e parque de dispositivos de TI de uma empresa, maior é o seu investimento na segurança das informações e ativos considerados de alto valor para a corporação.

Atualmente, nota-se no cenário da SI duas grandes subcategorias de profissionais:

  • Aqueles que possuem contato direto com a rede de uma organização e os recursos tecnológicos que a compõem, identificação de vulnerabilidades, possíveis ameaças e maneiras de mitigá-las, os chamados Ethical Hackers, que possuem as mesmas habilidades que possíveis atacantes e as utilizam em prol da organização. Nas organizações, é comum vermos a divisão desses profissionais em duas equipes:
    • Red team – Responsável por identificar as vulnerabilidades em uma rede de computadores e como estas podem ser exploradas. Essa equipe possui a visão mais parecida com a visão de um atacante.
    • Blue team – Responsável por mitigar as ameaças encontradas pelo Red team. São os responsáveis pela defesa da rede corporativa.
  • Aqueles que atuam na área de GRC (Governança, Risco e Compliance – também identificada como Conformidade). Esses profissionais são responsáveis pela aplicação e monitoramento de regras, leis, políticas e afins dentro de uma organização. Para melhor entendimento, podemos fazer uma analogia e dizer que esses profissionais são os “advogados” do setor de TI de uma organização. Em empresas grandes, é comum ver também a área de Governança Corporativa, que tem a mesma finalidade, abrangendo a corporação como um todo.

Para ambas as funções, é comum que uma empresa terceirize a mão de obra, contratando empresas de consultoria de Segurança da Informação, que possuem uma visão mais direcionadas sobre as regras e normas que devem ser seguidas para que a empresa contratante tenha suas atividades regularizadas e documentadas, em conformidade com normas impostas por órgãos regulamentadores e leis de seu segmento de atuação.

            Qual a expectativa de mercado para o profissional de segurança da informação?

         Para profissionais dessa área, o cenário é otimista, em curto e longo prazo. É possível constatar que, cada vez mais, as organizações estão recorrendo a ambientes digitais para armazenarem e processarem as informações importantes para o seu negócio, e o investimento na segurança desses recursos deve ser proporcional à sua utilização, investimento que ainda é visto por parte dos administradores de empresas públicas e privadas como “gasto”.

            Essa noção de necessidade de segurança de dados tem aumentado no nível organizacional, devido à disseminação das notícias de vazamento de dados em empresas multinacionais, e até mesmo em órgãos e/ ou pessoas públicas, afetando usuários ao redor de todo o globo. Uma noção que por muito tempo passou despercebida, mas hoje já existe dentro do cenário empresarial e pode ser percebida através do surgimento e aplicação de regulamentações e leis que abrangem este tema em organizações por todo o mundo.

Hoje temos leis como a americana Sarbanes-Oxley (SOx) voltada para controle financeiro das organizações, o grupo de normas ABNT/ISO 27.000, a Lei Geral de Proteção de Dados Pessoais (LGPD), baseada na regulamentação vigente na União Europeia do mesmo tipo (General Data Protection Regulation – GDPR), a resolução do Banco Central do Brasil n°4.658 e a circular n°3.909, ambas dispõe de Segurança Cibernética para instituições financeiras e instituições de pagamento respectivamente. O conhecimento sobre essas leis e normas são imprescindíveis para aqueles que desejam construir uma carreira de sucesso dentro da Segurança da Informação.

            Diante do cenário de digitalização apresentado no decorrer deste artigo, podemos concluir que a demanda por profissionais da área de SI tende a aumentar com o passar do tempo. O surgimento de novas tecnologias traz a necessidade de implementação de segurança, portanto a expectativa de mercado para o profissional da área de SI é muito positiva. Inclusive, esses profissionais, já são requisitados não só em ambiente organizacional, se considerarmos recursos como os IoTs (Internet of Things – Internet das Coisas, em inglês) que estão sendo implantados em ambientes residenciais.

Enquanto algumas profissões passam por um cenário negativo e correm risco de extinção, para o profissional da Segurança da Informação, o cenário é o oposto, a cada dia surgem novas oportunidades e a tendência é aumentar! Portanto, se você é ou quer ser um profissional de SI, pode ficar animado, pois o futuro para nós é promissor!

Lucas Santos – Consultant in GRC & Information Security na [SAFEWAY]

 

Sobre a [SAFEWAY]

A SAFEWAY é uma empresa de consultoria em Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.