Eu me relaciono com grandes figuras da cibersegurança no Twitter. E aprendo muito com eles todos os dias. Na série Security Bytes, eu compartilho as melhores recomendações de profissionais experientes da área de segurança. Alguns quiseram usar seus nomes verdadeiros, outros preferiram ficar anônimos. Mas todos eles compartilharam dicas que valem ser consideradas.
Pergunta:
Qual é a melhor decisão que você já tomou como profissional sênior de cibersegurança?
Aprender para influenciar a diretoria
Para dois diretores de segurança de informações (CISOs), participar da diretoria e influenciar seus pares positivamente os ajudaram a alcançar suas metas.
CISO inesperado
“Para início de conversa, aceitar a função. A ideia era apavorante para mim e, sinceramente, eu não achava que conseguiria. Eu tive um impacto enorme sobre a empresa. Meu trabalho de criar e certificar o programa de segurança preparou o terreno para que pudéssemos realizar grandes negócios.”
Patrick C. Miller, CISO, Archer International
“Eu parei de usar a palavra ‘segurança’ nas discussões com executivos. Em vez disso, comecei a usar termos relacionados com gestão de riscos.”
Patrick falou sobre isso na conferência Kaspersky Industrial Cybersecurity 2019 e foi ótimo. Para influenciar a diretoria, os CISOs e profissionais técnicos precisam aprender a falar a linguagem deles. E, normalmente, falar sobre dinheiro, ou seja, os custos financeiros de todos os ataques cibernéticos possíveis, é um bom ponto de início para discutir a gestão de riscos. Os executivos tendem a cuidar do fortalecimento da segurança quando se dão conta do dinheiro que as empresas podem perder por causa de ataques cibernéticos e dos danos de reputação relacionados.
Conhecer seus limites
Saber com quais responsabilidades você pode ou não lidar é um fator importante para seu sucesso como profissional de cibersegurança.
“Contratar pessoas mais inteligentes do que eu. Logo no início de minha carreira, conheci gerentes e líderes que se orgulhavam por achar que eram as pessoas mais inteligentes do lugar. Eu observei o que não deveria fazer. Quando tive a oportunidade de formar uma equipe, tomei uma decisão consciente de contratar pessoas que eu sabia que tinham algo para me ensinar, que tinham mais experiência técnica do que eu e para quem o crescimento pessoal era importante.”
Joonatan Kauppi, fundador, Leijona Security
“Eu recomendei um concorrente quando um possível cliente solicitou um serviço que minha empresa não fornecia. Isso porque, no fundo, melhorar a segurança de informações de nossos clientes é mais importante do que aumentar nossa receita.”
“Descartar um cliente venenoso.”
‘Nick’
“Aprender a dizer não e persistir em apenas um trabalho. Eu ficava pegando mais contratos ou até tentando realizar dois trabalhos em tempo integral e, no final, acabei falhando nos dois.”
Lars Karlslund, fundador, NetSection Security
“Confiar em você suficientemente para dizer não quando achar certo.”
Troy Blake, especialista em cibersegurança e conformidade de PCI
“Focar a simplicidade e não a complexidade. Utilize os produtos 100% antes de adicionar outra ferramenta no ambiente de cibersegurança. Isso torna o gerenciamento, a manutenção e o treinamento muito mais fáceis, além de poupar o dinheiro da empresa.”
Henrik Klimatosse Kramshoej, “o samurai da Internet”
“Eu nunca comprometo minha integridade. Eu perdi um emprego que pagava muito bem porque eles me fizeram definir aproximadamente 4.200 logins em 48 servidores novamente como ‘passw0rd’ porque seu bloqueio causou muitos problemas de suporte.”
Ai! Não irrite os profissionais de cibersegurança. Eles sabem qual é a melhor maneira de lidar com os dados preciosos de sua empresa.
Fazer as coisas da sua própria maneira
Alguns profissionais de cibersegurança trabalham melhor quando podem tomar suas próprias decisões e assumir o controle.
Magda Chelly, fundadora da Responsible Cyber
“Eu percorri meu próprio caminho com a Responsible Cyber e parei de fazer contratos por opção (oportunidades de trabalho opcionais). Atualmente, cada vez mais, delego para meus funcionários.”
“A melhor decisão profissional que tomei foi me mudar para Bonaire (uma ilha no Caribe) e ser consultor. Todas as manhãs, eu me levanto e agradeço a sorte que tenho por poder viver aqui.”
Lisa Ventura, fundadora, UK Cyber Security Association
“Fundar a UK Cyber Security Association e me tornar escritora, blogueira, influenciadora e palestrante do mercado de cibersegurança. Eu nunca fui tão feliz e amo o que faço.”
Melanie Ensign, comunicação de segurança e privacidade, Uber
“Trabalhar por uma causa e não por uma empresa. Assim, é mais fácil encontrar a oportunidade certa ou abrir mão de uma chance, se ela não for adequada para você.”
Richard Greenberg, divulgador da segurança de TI
“Aceitar um cargo quando tinha acabado de me qualificar foi uma experiência de aprendizado intensa, mas incrível. Eu aprendi muito, e isso me deu confiança para meus empreendimentos posteriores. Radicalize!”
Sameep Agarwal, ex-especialista em cibersegurança
“A melhor decisão que tomei foi interagir positivamente com todas as pessoas que conheci. Eu sou sincero e passo minha mensagem sem medir minhas palavras.”
It’s malware!, pesquisador de malware
“Falar sobre salários com colegas de trabalho. Não deixe a empresa se dar bem com pagamentos desiguais. E pague as pessoas por seu trabalho, mesmo que você seja uma startup.”
Essa é uma recomendação séria. Eu concordo em falar claramente sobre dinheiro, pois isso beneficia os trabalhadores.
O profissionalismo é fundamental
As chamadas soft skills, ou habilidades pessoais, como ter uma atitude profissional e estar motivado para fazer o máximo, são fundamentais para o sucesso de uma carreira em cibersegurança.
Vandana Verma, arquiteta de segurança da IBM
“Manter a calma e fazer amizade com a equipe de desenvolvimento!”
“Focar o sucesso do cliente e oferecer serviços fantásticos, que vão além do comum. Fornecer o melhor que você puder.”
Richard Cardona, especialista em segurança de produtos, Electronic Frontier Foundation
“Canalizar relatórios de vulnerabilidade de clientes até o suporte, mas demonstrar como as verificações não auditadas estão cheias de falsos positivos. Qualquer que seja o problema, escalar até a segurança do aplicativo.”
Talvez os testes de penetração dependam demais da automação.
Sempre há espaço para se aperfeiçoar
Uma coisa é certa em sua carreira na segurança de informações: você sempre precisará continuar aprendendo.
M’hirsi Hamza, analista de cibersegurança,Barac.io
“Nunca hesite em tentar aprender coisas novas, mesmo que elas não estejam diretamente em seu campo. Se você entende o que as diferentes equipes fazem em sua empresa, consegue compreender melhor os resultados que precisa entregar.”
Justin Ruth, pesquisador de segurança
“Obter a certificação OSCP (Offensive Security Certified Professional) e nunca ter medo de investir em você.”
Battisto, entusiasta da segurança
“Passar um ano trabalhando como técnico de helpdesk e dois como administrador de sistemas antes de entrar na área de segurança. Os melhores profissionais de segurança têm uma ótima compreensão de como as redes funcionam para que possam saber como protegê-las.”
A experiência faz diferença. Tenha curiosidade sobre tudo.
Tomar uma decisão difícil
Às vezes, é difícil tomar decisões. Às vezes, outras pessoas na organização resistirão a uma mudança necessária. Estes profissionais cibernéticos fizeram escolhas difíceis que tiveram os melhores resultados.
NicoladiaZ, consultor de segurança de informações, Reporters Sans Frontieres
“Mudar de clientes Windows para o Linux. Foi uma ótima decisão em relação às necessidades dos usuários, mas isso exigiu forte apoio político e a possibilidade de aprendizado à distância em nome dos usuários finais.”
É difícil quebrar velhos hábitos. Às vezes, é preciso ser assertivo, se houver um bom motivo para trocar de fornecedor.
Shelly Kramer, CEO, V3 Broadsuite
“Convencer os clientes a ‘abraçar’ os treinamentos regulares de conscientização de funcionários. Considerando o enorme problema que o phishing causa para a cibersegurança corporativa, o investimento em treinamento de funcionários sempre vale a pena.”
“Joe Schlmoe”
“Eu precisei montar uma equipe de conformidade de segurança em uma divisão de uma empresa Fortune 500. O pessoal do desenvolvimento resistiu às nossas iniciativas. A resposta só veio depois de algumas semanas. Eu disse aos dirigentes em uma reunião que, a menos que todos aceitássemos os testes de conformidade de segurança, deixaríamos nossos clientes na mão, possivelmente lançando um produto medíocre para eles. Isso lançou raízes e, em um ano, passamos da média de 30% para quase 99% de conformidade.”
Bl4ckP41nt, engenheiro de segurança para uma grande companhia aérea sediada nos EUA
“Desafiar a diretoria a olhar para baixo: explicar os ‘porquês’, manter os relacionamentos e observar o barco virar lentamente.”
Em conclusão, você pode aprender coisas da forma mais difícil, cometendo erros e refletindo a respeito deles. Mas a maneira mais fácil de aprender é ouvir às pessoas que têm mais experiência.
Essas opiniões refletem as dos especialistas citados e da autora do artigo.
