O Papel do Security Officer

Existem desafios que todo profissional designado para a função executiva de gestor de segurança da informação deve conhecer, enfrentar e superar. Evidentemente, sempre considerando o porte da organização e as características do negócio pois muita das vezes, o profissional deseja implementar vários controles de segurança mas ficará impedido pelo alto valor do investimento.

O Security Officer tem que ser o mediador, orientador, questionador, analisador de ameaças, impactos e consequentemente responsável por um estudo de viabilidade para cada situação e etapas a serem impostas, na esfera das estratégias de análise dos riscos. Afinal, ele estará envolvido com os diversos setores da organização, receberá e emitirá opiniões sobre as atividades desenvolvidas e a forma de como assegurar a segurança das informações.

Segundo Mário César Peixoto, o Security Officer não deixa de ser um engenheiro social do bem, devido a ter que conhecer suas técnicas, seu modo de agir, enfim, o perfil com atitudes e suspeitas de que esteja deparando com um ataque da Engenharia Social. O Engenheiro Social é o profissional que utiliza a boa vontade das pessoas em querer ajudar para obter todas as informações importantes e confidenciais de uma instituição, para futuramente, promover algum tipo de ataque à organização.

O papel do Security Officer é ser mais uma poderosa ferramenta para ajudar na diminuição de pontos vulneráveis que possam mais tarde se tornar ameaças crônicas, resultando em impactos sérios e as vezes irreparáveis, principalmente se as consequências da ações descontinuarem o negócio da empresa.

Esse profissional tem que está ciente que seu objetivo é fazer segurança pois é o responsável pela execução do processo de segurança da informação. Ele tem que garantir que os requisitos de segurança existem, são de conhecimento dos envolvidos e são cumpridos ao longo do tempo.

Uma das responsabilidades do Security Officer dentro de seu papel é definir a abordagem estratégica que vai adotar para a organização, em que necessariamente tem que estar alinhada às normas e procedimentos éticos da corporação, definir a forma de atuação do grupo de segurança, ter por base as normas e melhores práticas do mercado, proteger os recursos de informação, definir os controles para as novas iniciativas do negócio e acompanhar a eficácia da proteção ao longo do tempo.

Realmente não é tarefa fácil elaborar e executar um plano de Segurança da Informação, mas é possível na medida em que se conheçam verdadeiramente os negócios da empresa, tendo a liberdade de propor novos planos à Diretoria. Não adianta somente propor solução, tem que se preocupar em evitar a descontinuidade do negócio antes de ocorrer qualquer tipo de incidente de segurança.

Entende-se então que não existe uma solução padrão para ser aplicada em todas as empresas e sim, planos personalizados conforme a necessidade de cada organização. Não se podem copiar procedimentos e normas de segurança de uma instituição corporativa e implantar em outro lugar. Cada local possui seu próprio negócio, seus ativos da informação e os objetivos são completamente distintos, o que leva sempre a criação de procedimentos exclusivos para o planejamento da segurança da informação de cada segmento empresarial.

O Security Officer tem que criar uma política de segurança da informação em que a política reflete a filosofia da organização sobre o assunto segurança, que deve ser de fácil lembrança e deve informar as regras básicas que precisam ser seguidas. As normas e os procedimentos tratarão do detalhamento e de como executar esses controles.

O sucesso do processo de segurança da informação depende do nível do comprometimento dos usuários. As pessoas precisam entender da necessidade de proteção da informação e também precisam ser treinadas para fazer corretamente essa proteção. Nesse momento, o próprio Security Officer tem que está preparado e firme em suas decisões para que no futuro, determinadas ações cometidas pelos usuários não entrem em conflito com a postura do profissional de segurança da informação.

A proteção da informação atua sobre um leque abrangente de assuntos, situações novas e recentes tecnologias. Algumas vezes, o Security Officer não saberá detalhes de como normatizar determinadas coisa, mas deve saber contar com a colaboração de especialistas no assunto para implantação adequada.

Além desses desafios, o profissional de segurança da informação deve ter, pelo menos, duas características básicas: amar o que faz e ser ético. Com essas características e complementando com profissionalismo, o processo de segurança da informação existirá de uma forma efetiva na organização.

Resumidamente, o papel do Security Officer é ser responsável pela coordenação dos processos inerentes à segurança da informação. Onde este “chefe” de segurança junto com um plano diretor de segurança, tomará os devidos cuidados quanto ao tratamento de dispor e descartar informações baseando-se nas políticas de segurança impostas e estruturadas conforme as necessidades que cada organização tem em particular.

Fonte:

PEIXOTO, Mário César Pintaudi.Engenharia Social e Segurança da Informação. Ed. Brasport: Rio de Janeiro, 2006.

A sua empresa cobra horário ou resultado do seus funcionários de TI?

O mercado brasileiro está sempre em busca de profissionais tecnicamente capacitados para fazer parte dos quadros da companhia, especificamente quando estamos tratando de vagas relacionadas à tecnologia. Os empregadores desejam que a sua equipe de profissionais de TI sejam melhores do que os profissionais do concorrente. Uma situação normal nos dias de hoje onde prevalece a livre concorrência do mercado e o direito de ir e vir dos profissionais.

Em muitas oportunidades de emprego, o filtro dos futuros profissionais de tecnologia começa nos requisitos que a vaga exige, tais como: certificação, tempo de experiência, inglês fluente, disponibilidade para viagens e outras exigências que vão diminuindo as chances dos candidatos “aventureiros” que tentam trabalhar com TI por simplesmente gostar da área.

Atualmente, a concorrência é enorme na disputa das escassas vagas para trabalhar com tecnologia (o qual me refiro as oportunidades de trabalho com maior responsabilidade como analista de sistemas, security officer, gestores de TI e demais cargos que englobam: segurança, governança, compliance e forense).

Os funcionários que atendem aos requisitos da vaga e conseguem o trabalho, ficam satisfeitos em saber que estão empregados e vão dar o melhor de si nas tarefas a eles confiados. A questão é saber se a empresa em que você conseguiu a tão sonhada vaga se contente com os sistemas funcionando e que o seu ponto esteja marcado nos horários combinados conforme o contrato de trabalho celebrado entre as partes.

Com o passar do tempo de trabalho, o profissional de TI percebe a sua importância dentro da organização que em muitos casos o empresário não tem essa visão. Tem empresa que foca em sua atividade fim que não é a tecnologia e exige o cumprimento da jornada de trabalho dos funcionários de tecnologia, pouco importando se o setor de informática tem ideias inovadoras para a companhia.

Entretanto, outras empresas buscam justamente empregados de tecnologia com o perfil empreendedor, que labuta em sua jornada mas executa as suas tarefas pensando como dono da empresa. Esse perfil é o mais procurado no mercado e o salário desse profissional é pago a peso de ouro. A tendência nesse caso é valorizar o resultado que esse empregado agrega para o empregador e não o horário de trabalho. Por isso que tem excelentes profissionais de TI que já podem aproveitar do esforço de seu trabalho e trabalhar de Home Office.

Ganha o profissional e ganha o empresário.

E a sua empresa, ainda exige simplesmente o cumprimento de horários?

Até a próxima!

Sou o responsável do TI: Posso ver os documentos do CEO?

Em grandes corporações, a informática está presente dos diversos setores da companhia, com vários colaboradores produzindo a cada minuto, uma grande quantidade de informação muito sensível para o sucesso da empresa. Principalmente nos dias de hoje, em que a tecnologia está bem avançada, as informações são produzidas em qualquer lugar graças a mobilidade, seja através de um notebook, tablet ou até mesmo de um smartphone.

A questão é quem pode ter acesso após um documento ser gerado dentro da própria companhia, além do seu próprio “dono”. Certamente, ficaria até estranho que a pessoa que tivesse gerado o documento não pudesse ter o acesso ao próprio material. Entretanto, dependendo da organização, o controle de acesso às informações é tão rígido que isso pode acontecer, principalmente se o funcionário está trabalhando em um projeto secreto ou com valor de mercado muito alto pela sua inovação (nos casos de protótipos de produtos que ainda não existem no mercado).

Partindo dessa situação, temos uma figura muito importante na instituição que dá o suporte aos departamentos da empresa e, principalmente, ao CEO: O Gestor de TI (Tecnologia da Informação). Esse profissional pode ter o nome do cargo diferenciado por localidade, região: pode ser Gerente de TI, Supervisor de TI, Security Officer, etc… Mas a preocupação é a mesma independente do nome do cargo: o acesso não autorizado de pessoas em documentos confidenciais e sigilosas da empresa.

Um problema existente na profissão do responsável do Setor de Tecnologia é a falta de um Conselho Federal da categoria, projeto esse que está se arrastando no Congresso desde a década de 70! Como não existe um órgão fiscalizador desses trabalhadores da área de tecnologia, teoricamente, não existe uma “punição” ao trabalhador no âmbito da profissão quando o mesmo acarreta em desvirtuar o seu papel de garantidor do controle de acesso, permitindo acessos não autorizados nas pastas e diretórios de terceiros que não deveriam ter o acesso. No máximo uma demissão da empresa e esse mesmo profissional em pouco tempo, já estará no mesmo cargo em outro lugar.

Muita das vezes, a própria empresa nem sabe desses “furos” de segurança pois o responsável pela companhia (administrador, gerente administrativo, diretor, CEO, etc) nem sempre tem conhecimento técnico para lidar com essa situação. Ele acredita que os documentos estão seguros pois contratou um responsável do TI com o objetivo exatamente em proteger as informações da empresa.

Entretanto, o mercado erra em selecionar profissionais despreparados, não possui um padrão de qualidade de entrevista ou dinâmica em grupo para escolher pessoas capacitadas e responsáveis para o cargo. Muita das vezes, o Gestor de TI é contratado por indicação, é amigo do dono da companhia, é amigo do amigo do amigo do vizinho do primo do diretor administrativo, enfim, estão na verdade colocando pessoas com falta de experiência e maturidade para serem os responsáveis por dados sensíveis da empresa.

Contudo, o profissional que ocupa esse cargo, tem que ter me mente que ele é um “braço” direito da empresa, ele será o trabalhador que garantirá que as informações da empresa sejam acessadas somente a quem tem direito e deveria, pelo menos, fazer os acessos conforme autorização da chefia e documentar todos os acessos e os privilégios que deu no sistema.

Infelizmente, como temos muitos profissionais imaturos e despreparados, planejam ao seu “crescimento” com base na quantidade de informação confidencial que possui em mãos da própria empresa em que deveria tomar conta. Ele acredita que no momento certo, essas informações sigilosas lhe trarão vantagens competitivas no mercado ou pior, na hipótese de sua demissão, o profissional de TI fará a sua vingança pessoal com a divulgação das informações obtidas ao longo dos anos de trabalho da corporação, acreditando em resultado positivo para si.

Reflitam… Não é porque entendemos de sistemas que somos donos de todos os dados da empresa. Se assim o fosse, você não seria Gestor de TI, e sim, o CEO da companhia.