Jump to content
    • Bruna Chieco
      Ameaças cada vez mais sofisticadas, um ano em que as empresas tiveram que passar por uma transformação digital mais acelerada devido à pandemia de Covid-19 e tentativas de invasão intensificadas foram a combinação perfeita para muitas empresas brasileiras serem afetadas por ataques cibernéticos em 2021 – grande parte delas infectadas por ransomware.
      Segundo levantamento da consultoria alemã Roland Berger, o Brasil é o quinto maior alvo de crimes cibernéticos do mundo, ultrapassando o volume de ataques do ano passado apenas no primeiro semestre de 2021. Foram mais de 9 milhões de casos, diz a pesquisa.
      Já a Check Point Software aponta para um aumento do número médio de ataques em geral por semana em 40%, comparando com 2020, enquanto no Brasil esse aumento foi de 62%, tendo uma média de 967 ataques por semana. Veja alguns dos casos deste ano que obtiveram maior notoriedade:
      JUNHO
      - O grupo Fleury sofreu um ataque em junho, reivindicado pelo grupo REvil. A empresa enviou comunicado informando que sua base de dados foi protegida, sem evidências de vazamento de informações sensíveis, restabelecendo acesso aos resultados de exames de clientes uma semana após o ataque.
      JULHO
      - A Cyrela Brazil Realty comunicou, no dia 31 de julho, um sábado, que houve uma alteração em seu ambiente de tecnologia foi identificada, o que indicava que um ransomware que "causou baixo impacto", segundo foi comunicado pela empresa à época, que enviou comunicado de imediato informando que as medidas de segurança foram adotadas, bem como uma ampla investigação para identificar a extensão do incidente, e que a operação da companhia não foi paralisada. Não foi divulgado o grupo responsável pelo ataque.
           
      AGOSTO
      - A Lojas Renner teve seu sistema infectado por um ransomware, sendo que o grupo RansomEXX/Defray777 reivindicou o ataque. A companhia afirmou ter acionado os protocolos de segurança para bloquear o ataque e minimizar os impactos, e dois dias depois restabeleceu seus sistemas. Não se sabe, contudo, se a empresa pagou pelo resgate dos dados criptografados.
      Esse mesmo grupo foi responsável pelo ataque ao STJ, que analisamos num vídeo-tutorial de quatro partes. Veja a primeira:
       
      - Também em agosto, a Accenture, atuante no ramo de consultoria de TI, foi atacada e confirmou posteriormente em seu relatório financeiro referente ao ano fiscal de 2021, finalizado em 31 de agosto, que os operadores do ransomware LockBit roubaram dados de seus sistemas.
      O Ministério da Economia também foi alvo de um ataque cibernético que afetou a rede interna da Secretaria do Tesouro Nacional. À época, eles informaram que as medidas de contenção foram imediatamente aplicadas e a Polícia Federal foi acionada. Não se sabe quem foi responsável pelo incidente.
      SETEMBRO
      - Outros casos ao longo deste segundo semestre também foram reportados, como o Grupo Benner, que informou que foi vítima de um incidente em setembro, na madrugada, aparentemente também pelo ransomware LockBit, que criptografou os servidores de aplicação, interrompendo a operação da companhia. O acesso às estruturas dos servidores foram bloqueados como medida de proteção.
      OUTUBRO
      - A CVC Corp comunicou no dia 4 de outubro, em seu site de compra de passagens e também de seus parceiros, que foi vítima de um ataque cibernético no sábado, dia 2 do mesmo mês. A empresa informou que prontamente ativou seus protocolos de segurança, retomando suas operações 12 dias depois do incidente. Não foi divulgado o nome do ransomware que atingiu a companhia.
      - A Porto Seguro comunicou aos seus acionistas no dia 14 de outubro que sofreu uma tentativa de ataque cibernético, ativando seus protocolos técnicos de segurança. Cerca de uma semana depois, restabeleceu praticamente todos os seus canais de atendimento. Não sabemos quem foi responsável pelo ataque.
      - Por fim, a Atento talvez seja o caso mais recente - que tenhamos conhecimento. A empresa de call center identificou ameaça em um domingo de outubro e disse ter interrompido serviços para "prevenir qualquer risco aos seus clientes". Infelizmente, houve indícios de que os dados sequestrados da companhia vazaram. O autor aparentemente foi o Lockbit.
      Sabe de mais algum caso? Comenta aí que adicionamos!
      Como os atacantes operam
      O modus operandi varia de acordo com cada grupo/afiliado de ransomware, mas ao analisar alguns casos, é possível identificar certo padrão. Por exemplo, os incidentes podem ocorrer aos finais de semana (como o caso da Cyrela, da CVC e da Atento) ou até de madrugada (conforme o ocorrido com o Grupo Benner). Isso indica que atacantes buscam o momento de menor defesa da empresa, com número reduzido de funcionários de TI e usuários em geral. "Para a maioria das empresas, certamente as chances de um ataque passar despercebido são maiores nos fins de semana ou fora do horário de expediente normal", explica Fernando Mercês, Pesquisador na Trend Micro e fundador do Mente Binária. 
      Alguns grupos reivindicam os ataques, mas nem sempre isso ocorre. Não sabemos se esses casos estão relacionados a incidentes de double extortion, quando há ameaça às vítimas de que seus dados roubados podem ser vazados, além de indisponibilizar o acesso aos dados através do ransomware. Este artigo de Carlos Cabral, Pesquisador de Segurança na Tempest e responsável pelo roteiro e apresentação do programa 0News, explica como é realizada a estratégia dos cibercriminosos neste tipo de ataque.
      "Phishing é coisa do passado para estes atacantes. A equipe de ataque funciona como uma equipe de pentest, só que sem escopo delimitado e com todo o tempo que precisar para invadir uma rede. Os grupos utilizam ferramentas profissionais utilizadas por pentesters como Cobalt Strike, Metasploit, Mimikatz e outras. Lembre-se: você não está se defendendo contra ransomware, está se defendendo destes grupos. É muito mais difícil", diz Fernando Mercês.
      Como as empresas respondem
      Vemos que a resposta a incidentes da empresa no geral é bem tempestiva, informando logo aos seus clientes e consumidores sobre o ocorrido e desligando servidores para evitar maiores estragos, suspendendo as operações por alguns dias ou momentos, da melhor maneira possível para não gerar grandes impactos.
      Reforçamos aqui que as empresas não devem ser culpadas por esses ataques. Elas são as vítimas de cibercriminosos que se aproveitam de brechas muitas vezes penetradas por ferramentas sofisticadas que visam de fato invadir e causar prejuízos aos negócios. 
      Sabemos o quanto os profissionais de TI e segurança da informação se esforçam para manter seus sistemas protegidos, mas não há super-heróis e é impossível garantir uma segurança 100% de todos o sistemas especialmente quando os cibercrime está aumentando exponencialmente com atacantes se especializando cada vez mais em, de fato, prejudicar os negócios de grandes companhias.
      Esperamos que este artigo sirva de alerta e inspire os profissionais de defesa a procurarem reforçar a segurança e exposição de seus sistemas, principalmente contra as ferramentas mais modernas de pentest. Também é importante colocar mais energia na monitoração – principalmente fora do expediente e resposta a incidentes. "Simular um ataque de ransomware, testar o backup e se preparar é essencial. Sua empresa é alvo e vai continuar sendo. O que vai fazer a diferença é o quão preparado você está quando o ataque chegar", reforça Mercês.

    • Em nosso último artigo, falamos sobre o treinamento online e gratuito que a Conviso disponibiliza em seu canal de YouTube, o AppSec Starter. E como desenvolvimento seguro é um tema sobre o qual muitos de vocês têm interesse, hoje reunimos algumas dicas de nossos especialistas em AppSec para quem deseja entender ainda mais sobre a importância do desenvolvimento seguro - e aplicá-lo no dia a dia. 
      Mas antes, vamos recapitular um pouco sobre o que é Desenvolvimento Seguro em segurança de aplicações: o termo refere-se a implementar as  iniciativas de segurança em todos os estágios do desenvolvimento - ou seja, desde o início do processo. 
      Afinal, em um contexto onde cada vez mais indivíduos mal-intencionados buscam brechas para obter dados por meio de vulnerabilidades nas aplicações, o cuidado com a segurança deve passar por todas as etapas de criação de um software.
      Você pode ler mais sobre isso por aqui.
      Agora vamos às dicas:  
      1 - Passe a encarar o desenvolvimento seguro como uma cultura
      Desenvolvimento Seguro é uma questão cultural, e exige, portanto, mais do que realizar estudos esporádicos. É necessário “virar a chave” e transformá-lo em um mindset. É uma mudança que envolve 15 práticas, e não apenas os testes, ao contrário do que muitos pensam.
      Mas como colocar isso em prática? Uma pessoa profissional de desenvolvimento, por exemplo, deve ir além da linguagem de programação e buscar aprender sobre como desenvolver códigos seguros desde sua concepção. 
      Mas vai muito além disso: é imprescindível o foco no processo, prática e desenvolvimento pessoal por parte de todos os envolvidos. É um processo de aprendizado contínuo e que exige disciplina -  mas com resultados positivos no final do caminho.
      Tudo isso faz parte de viver e praticar o desenvolvimento seguro. Leia mais sobre este tema neste artigo.
      2 - Familiarize-se com a OWASP
      Você já ouviu falar da OWASP? Esta sigla é a abreviação para “Open Web Application Security Project” e refere-se a uma entidade sem fins lucrativos e com reconhecimento internacional, que atua com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo. 
      Referência para quem quer estudar mais sobre o segurança de aplicações - ou até mesmo ingressar em uma carreira em na área - a OWASP é recheada de documentações para quem quer se inteirar mais sobre o tema. 
      Além disso, ela promove eventos - tanto globais quanto regionais. Os regionais ficam a cargo de cada “capítulo” da Organização, que é como são chamadas as divisões locais. Nove dos 270 capítulos da OWASP ficam no Brasil, portanto, procure o mais perto de você. Certamente será uma oportunidade de interagir com outros profissionais, aumentando sua rede de contatos e também a troca de conhecimento.
      A OWASP mantém ainda uma lista com as 10 principais categorias de riscos em aplicações Web, juntamente com os métodos mais eficazes para lidar com eles. Aqui você encontra um material sobre a última atualização destes riscos, que aconteceu recentemente, em 2021.
      3 - Participe de comunidades online sobre o tema 
      Busque comunidades online sobre o tema, para estar em contato com quem já vive o Desenvolvimento Seguro no dia a dia. Familiarize-se com as  principais referências sobre o tema e siga-os em suas redes sociais, participe dos webinars gratuitos que oferecem. 
      A Conviso, por exemplo, lança quinzenalmente o Code Challenge em sua conta no Twitter, onde especialistas do time de Pentest as a Service criam desafios para que a comunidade se engaje. Já no Slack, existe também uma comunidade focada em DevSecOps, onde profissionais de todo o mundo têm abertura para conversar sobre o tema. 
      4 - Entenda que os estudos e treinamentos precisam ser contínuos
      Sim, os estudos são essenciais. Afinal, apenas com conhecimento é que a jornada de desenvolvimento seguro ficará com pilares sólidos. Se você já trabalha com desenvolvimento, ou mesmo com gestão nesta área, é essencial entender a importância de promover treinamentos relacionados aos temas de segurança para todo o time envolvido no projeto. 
      E estes treinamentos não devem ser realizados pontualmente, e sim, constantemente, para acompanhar a evolução do mercado. E neste processo, o papel do Security Champion - já escrevemos sobre este tema por aqui - é essencial.
      Inscreva-se na Newsletter da Conviso para receber informações sobre AppSec e Desenvolvimento Seguro.

    • O Relatório de Ciências da Organização das Nações Unidas para Educação, Ciência e Cultura (Unesco) publicado em fevereiro deste ano apontou que, em todo o mundo, as mulheres ainda representam apenas 40% dos graduados em ciência da computação e informática. Em relação à área de engenharia, o percentual cai para 28%, enquanto em áreas altamente qualificadas, como inteligência artificial, apenas 22% dos profissionais são mulheres. 
      Ao se deparar com o relatório, o Secretário-Geral da ONU António Guterres alertou que “promover a igualdade de gênero no mundo científico e tecnológico é essencial para a construção de um futuro melhor”. Segundo ele, “mulheres e meninas pertencem à ciência”, mas os estereótipos as afastaram de campos relacionados à área, e “é hora de reconhecer que mais diversidade promove mais inovação”. Para o Secretário-Geral, sem mais mulheres nas ciências, “o mundo continuará a ser projetado por e para homens, e o potencial de meninas e mulheres permanecerá inexplorado".
      Para que esse potencial seja cada vez mais explorado, precisamos incentivar o público feminino a entrar na área de ciência, tecnologia, engenharia e matemática (também conhecida pelo termo STEM, em inglês), sem medo de ser menos capaz que os homens nesse quesito – porque de fato não é. 
      É por isso que escolhemos este dia 12 de outubro para tratar do assunto. Toda segunda terça-feira do mês de outubro comemora-se mundialmente o Ada Lovelace Day, celebração internacional que representa a conquista das mulheres na STEM. Augusta Ada Byron King – conhecida como Ada Lovelace – é considerada a primeira programadora do mundo. A matemática e escritora inglesa é reconhecida principalmente por ter escrito o primeiro algoritmo a ser processado por uma máquina nos anos 1800. 
      Ada Lovelace deixou um legado, séculos depois, sendo seu nome usado para dar destaque às mulheres que atuam na ciência, tecnologia, engenharia e matemática, com o objetivo de aumentar a representação do público feminino nessas áreas. E já temos exemplos de meninas que conquistaram e vêm conquistando cada vez mais espaço e podem inspirar outras tantas a estudarem e se engajarem nas profissionais relacionadas a STEM. 
      É o caso de Lais Bento, que é Java Software Engineer na eDreams ODIGEO. Sua trajetória na área de Tecnologia da Informação (TI) vem de uma longa história. Ela conta que sempre se interessou pelo tema, mas na hora de escolher um curso na universidade se deparou com algumas barreiras sociais e acabou optando por cursar administração. "Depois de um tempo, isso passou a ser um peso na minha vida, porque eu não gostava da área. Mas eu tinha receio de ir para TI, porque não era muito moda, tinha poucas mulheres na área", diz Lais em entrevista ao Mente Binária.
      Até aceitar definitivamente seu gosto pela tecnologia, Lais passou um tempo trabalhando como administradora. Em determinado momento, decidiu fazer um curso técnico em informática, para depois cursar Análise e Desenvolvimento de Sistemas no Instituto Federal de São Paulo. "No segundo ano da universidade consegui minha primeira oportunidade na área de TI, em uma grande empresa, com 26 anos", conta. 

      "No começo eu era uma no meio de vários homens, mas isso mudou muito rápido" - Lais Bento
      Depois de alguns meses, Lais já foi para sua segunda oportunidade na carreira, no iFood, que considera ter mudado sua vida. "Entrei lá como estagiária e virei uma desenvolvedora de software. Aprendi o que precisava e graças a toda a experiência que conquistei, hoje estou morando em Portugal, trabalhando na maior agência de viagens online da Europa".
      Lais conta que sua experiência no iFood marcou sua vida profissional especialmente por ter sido uma das primeiras estagiárias de tecnologia mulher de toda a história da empresa. "Isso me impactou bastante". Após 2 anos trabalhando lá, ela conta que a inclusão já mudou bastante, e muitas mulheres entraram na área de programação, entre elas desenvolvedoras e cientistas de dados. "No começo eu era uma no meio de vários homens, mas isso mudou muito rápido".
      Não ter medo de começar – Lais relata ter um único arrependimento nessa história toda: não ter entrado antes na área de TI. "Deveria ter começado com 18 anos, aceitando que mulheres podem programar também", diz. Segundo ela, começar mais cedo poderia ter trazido mais experiência do que tem hoje. "As coisas em tecnologia mudam muito rápido, então você sempre tem que estar pronto para aprender coisas novas. Sei que não tem idade para começar, mas se eu tivesse entrado antes, vejo que eu estaria mais avançada", diz. 
      Já a história de Tainah Bernardo é um pouco diferente. Ao contrário da Lais, que sempre soube que gostava de tecnologia, Tainah nunca achou que essa área fosse pra ela. Formada em Artes Visuais, recentemente, aos 26 anos, ela descobriu que queria mudar de carreira e foi atrás de um curso de programação. "Com a pandemia, eu percebi que estava cansada de atuar em uma profissão que, por mais que gostasse, não era valorizada. Um dia encontrei um curso que ensinava programação a partir do zero e que garantia inserção no mercado. Foi aí que comecei a conhecer o mercado da tecnologia, porque até então era uma coisa distante, tinha uma imagem bem estereotipada de que para entrar na área precisaria ser um gênio ou alguém enclausurado em um quarto escuro de capuz com várias telas em volta", conta. 

      "Tudo sempre foi muito atrelado à imagem masculina, mas isso era muito inconsciente" – Tainah Bernardo 
      Segundo ela, ainda é muito enraizada a visão de que somente homens são capazes de participar do desenvolvimento tecnológico. "Quem mexia com tecnologia era o meu irmão, o computador ficava no quarto dele. Tudo sempre foi muito atrelado à imagem masculina, mas isso era muito inconsciente", conta Tainah, que deu o primeiro passo em meados do ano passado para investir em uma área totalmente nova. "Fui fazer o curso, que tinha duração de 6 meses, e achei que o mais importante é que eles trabalham com inclusão, tratam bem as pessoas, fazem elas se sentirem acolhidas, parte da comunidade, e eu vi que tinha espaço pra mim", conta sobre sua experiência no curso oferecido pela Labenu.
      Tainah conta que acabou estudando muitas matérias práticas, e no final realizou treinamentos relacionados a entrevistas de emprego e challenges que a prepararam para o mercado de trabalho. "Terminei o curso e comecei a trabalhar no Olist". Hoje, ela é desenvolvedora backend de e-commerce no Olist, trabalhando com NodeJs dentro do time de Shops, que desenvolve um produto novo para pessoas físicas criarem uma loja virtual e integrá-la às redes sociais. O time da Tainah é responsável por essa integração e cotidianamente busca melhorias e novas features para quem utiliza o app. No dia a dia de trabalho, ela utiliza Javascript.
      Superando desafios – "Se eu tivesse pensado um pouco mais, talvez eu não tivesse coragem, porque cheguei a ver relatos de mulheres que desistiram da área por conta de pessoas que as desrespeitaram", conta Tainah. Segundo ela, o grande desafio de iniciar uma carreira na tecnologia é a comparação em relação aos homens, pois causa estranheza ver tantos homens numa mesma área enquanto há poucas mulheres. "Quando cheguei, fiquei meio bloqueada, achando que seria tratada com diferença, mas eu tive sorte, porque as pessoas foram super legais comigo", reforça. 
      Superando o receio inicial, Tainah percebeu que essa é uma área que está crescendo, e assim ela decidiu crescer junto. "Eu não sabia que TI tem uma comunidade tão ativa e cooperativa, o que me deixou bem feliz. Mas comecei a entender isso melhor durante o curso, pois vi que tinha mulheres trabalhando, que mudaram de área e conseguiram se adequar. Eu vi que eu consigo também, se tem outras pessoas lá, eu também consigo", destaca.
      "Eu achava que sempre dava sorte de entrar nos lugares, mas aos poucos percebi que não foi por sorte, e sim porque mereci, me esforcei, estudei", relata Lais.
      Para Lais, um grande desafio que principalmente as mulheres devem superar é de sempre se acharem inferiores tecnicamente ou menos capazes. "Eu achava que sempre dava sorte de entrar nos lugares, mas aos poucos percebi que não foi por sorte, e sim porque mereci, me esforcei, estudei. Se isso acontecer com alguma menina, o ideal é fazer uma listinha de tudo que teve que aprender para estar onde está hoje. Com isso, consigo perceber que foi uma questão de mérito", conta. 
      Como TI é uma área predominantemente masculina, Lais destaca que há algumas situações em que meninos fazem piadas machistas, perpetuando o estigma de que a área de tecnologia não é para mulheres. "Mas as pessoas hoje estão muito mais abertas. No começo eu sentia mais medo de homens me julgarem, de sofrer algum tipo de machismo. Mas é sempre bom estarmos preparados psicologicamente, pois essas coisas podem acontecer".
      Como entrar na área – Lais diz que a melhor maneira para meninas que querem atuar com tecnologia iniciarem sua carreira na área é saber exatamente o que querem fazer. "É muito fácil falar que quer entrar em TI, mas é uma área muito abrangente. Você quer ser programadora? De aplicativo ou de site? Quer participar da parte lógica, ou ir para a parte bonita do site, que todo mundo vê? Eu sugiro que elas entendam o que cada parte faz, e como trabalham, e assim fazer um curso básico de programação de um app, ou como construir um site, para entender o que acha mais legal. O ideal é saber o que quer fazer e depois disso começar a estudar", indica.
      Segundo ela, o próximo passo é encarar as oportunidades de frente. "Já vi pesquisas que dizem que se uma mulher achar que não atende a um requisito da vaga, não se candidata. E eu diria para se candidatar sim, porque o homem se candidata e nem sempre ele tem todos os requisitos. Encarem as oportunidades de frente, se atualizem e estudem. Se você recebeu uma proposta, participe do processo. A chance de conseguir a oportunidade é muito grande, e sobre o requisito que faltou, você acaba aprendendo depois" diz. "Há muitas oportunidades, só faltam mulheres corajosas para conseguirem ocupar essas vagas", destaca Lais.
      "Vai dar medo, vai ser difícil, mas vai dar. É possível sim, não existe limitação física para isso", diz Tainah.
      Tainah também acredita que mais do que capacidade intelectual, o principal para entrar na área de TI é a vontade. "Vai dar medo, vai ser difícil, mas vai dar. É possível sim, não existe limitação física para isso. Eu vi muitas mulheres que eram mães de primeira viagem ou de segunda viagem fazendo o mesmo curso que eu. Pessoas que não tinham condições financeiras, com dificuldade de aprendizado, e todas elas conseguiram. É possível, mas não vai ser fácil. Aí que entra o querer", relata.
      Ela também não precisou abandonar sua vocação com as artes para seguir a carreira na tecnologia. Hoje, as artes visuais hoje são um hobby (vem dar uma olhada não trabalho dela!), o que, segundo Tainah, acaba sendo muito melhor do que antes. "Faço quando quero, como quero, não dependo disso, e agora conheci um novo universo que vai de acordo com minha personalidade, porque gosto de trabalhar em grupo, isso não era tão comum nas artes, nos lugares em que trabalhei", conta. "Cada um tem sua história, e é bom não desistir nos momentos difíceis, que é quando a gente tem mais vontade. Nessa hora respire, tire o pé do acelerador, mas não para e não volta. Vai devagar, mas vai".

    • A CVC Corp comunicou em seu site de compra de passagens e também de seus parceiros que a companhia foi vítima de um ataque cibernético. A empresa informa que prontamente ativou seus protocolos de segurança e está atuando para mitigar os efeitos do incidente. Não há detalhes sobre qual foi o tipo de ataque ocorrido. 
      A CVC esclarece ainda no comunicado que o embarque de clientes com viagens marcadas e as reservas confirmadas não foram impactadas, mas a central de atendimento está temporariamente indisponível.
      Leia o comunicado na íntegra:

      O site https://www.cvccorp.com.br está fora do ar, mas o https://www.cvc.com.br funciona normalmente, com a divulgação do comunicado sobre o incidente. 
      O Mente Binária entrou em contato com a assessoria de imprensa da empresa, que destacou que "em nome da transparência e respeito aos clientes, colaboradores, parceiros, franqueados e com o mercado, a CVC Corp manterá comunicações subsequentes assim que mais informações forem apuradas".

    • Recentemente nós fizemos uma pesquisa com o público do Mente Binária para conhecer melhor a nossa comunidade. Os resultados mostraram que, entre os 529 respondentes, a maioria (49,1%) é profissional da área de segurança da informação, enquanto 32,9% são estudantes e 10,8% são entusiastas e curiosos sobre a área. O público está bem dividido entre iniciante, júnior, pleno e sênior, e esse é um ponto importante para o projeto, já que o nosso objetivo é levar sempre conteúdo aderente ao que a comunidade precisa, em todos os momentos da carreira. "O objetivo da pesquisa foi entender o que o nosso público sente mais falta. A ideia é que os esforços sejam concentrados em projetos que atendam a maior demanda que a gente identificou nos resultados", diz Fernando Mercês, fundador do Mente Binária. 
      Apesar de 59,4% dos respondentes afirmarem que possuem uma formação em faculdade, grande parte (50,9%) também respondeu ser autodidata. E entre as principais formas de aprendizagem apontadas pelos respondentes da pesquisa estão os cursos e vídeos, preferidos por 85,1% e 83,7%, respectivamente, além de livros (73,9%) e artigos (68,1%). Esse é mais um tópico que demonstra a necessidade de que haja um conteúdo mais específico sobre a área, livremente disponível online para que a comunidade possa sempre se atualizar e se especializar. 
      Tem muita gente que já trabalha com segurança da informação entre os respondentes (31,%), mas também temos uma grande parte do público composta por pessoas que querem começar a atuar na área ou que tem curiosidade/interesse no assunto (25,4%).

      Entre os temas da área que o nosso público respondeu ter mais interesse está engenharia reversa (65,8%); segurança de redes (64,5%); pentest (64,5%); análise de malware (59,5%); e conhecer técnicas de ataques (51,4%). "Me chamou atenção que existe um interesse muito grande em pentest e na área de segurança ofensiva como um todo, e um interesse mais discreto na área de segurança defensiva. Isso é algo que precisa ser explorado", diz Mercês.
      Ele reitera que é preciso desenvolver o interesse das pessoas pela área de segurança defensiva, estimulando o público através de mais conteúdos sobre técnicas de defesa e a carreira nessa área. "Vemos que tem muitas vagas abertas em segurança defensiva, sendo que a maioria das empresas precisam de profissionais de segurança em todas as áreas de trabalho relacionadas à defesa. A galera que trabalha na área ofensiva é importante, pois ela descobre as vulnerabilidades, mas precisamos de pessoas que possam corrigi-las".
      Mercês destacou também o fato de que 40% das pessoas responderam que possuem interesse em desenvolvimento seguro, o que é um percentual bem alto. "Por isso, vamos desenvolver conteúdo nesse sentido. A parceria com a Conviso é uma iniciativa que visa gerar conteúdo técnico nessa área", explica.
      Comunidades e conhecimentos técnicos – Colaborador do Mente Binária e coordenador da pesquisa, Anchises Moraes pontuou que se sentiu impactado e admirado pela quantidade de comunidades que os respondentes participam. "As respostas mostraram uma quantidade muito grande de comunidades que eu nem sabia que existiam. Isso é muito legal, porque cada comunidade representa um pequeno nicho baseado em uma área de conhecimento. E o fato de haver várias comunidades, mais do que imaginamos, é positivo por mostrar que a galera está interagindo entre si, fazendo networking, o que fortalece os profissionais na carreira e ajuda também na busca por empregos", diz.
      Para Anchises, vale destacar também o nível de inglês apontado pelas pessoas da área, que ainda é intermediário e básico para a maioria dos respondentes da pesquisa (40,9% e 33,1%, respectivamente). "Para quem trabalha em tecnologia, o conhecimento de inglês é fundamental para o dia a dia e a carreira", pontua, reiterando que o conhecimento mais avançado no idioma abre portas para a leitura de material novo, atualizado, e acesso a palestras de alta qualidade. "Não temos, na comunidade de segurança da informação, uma produção em português que se compare com o que é produzido em inglês. Se há uma limitação de linguagem, acaba-se perdendo a oportunidade de aprender, de se educar profissionalmente e tecnicamente", explica Anchises. Para Fernando Mercês, esse é um desafio que a comunidade possui e que o Mente Binária vem buscando endereçar. 

      Do ponto de vista profissional, muitas empresas exigem um inglês bom, e para chegar em determinadas empresas ou posição, o profissional deve ser fluente no idioma. "A deficiência no inglês pode ser uma barreira profissional em termos de crescimento de carreira, para ter um cargo de liderança, etc. A maioria da população não fala inglês, então não é vexatório, mas do ponto de vista profissional, para tecnologia e segurança, o domínio do idioma é requisito básico, e o diferencial surge quando a pessoa conhece um outro idioma a mais, como o espanhol, por exemplo", reforça Anchises. 
      Ele diz ainda que o principal objetivo da pesquisa foi conhecer o público para entender se o conteúdo oferecido pelo Mente Binária está adequado à expectativa e identificar zonas de melhoria em termos de abordagens. "Queremos entender como o Mente Binária pode adequar o conteúdo para atender às demandas desse público. Por conta dessa deficiência em inglês, por exemplo, se confirmou a necessidade de oferecer alguma atividade relacionada ao uso do idioma", diz.
      A pesquisa também demonstrou uma grande admiração pelo projeto do Mente Binária. No campo aberto para sugestões, praticamente metade dos comentários foram elogios ao projeto, além das diversas sugestões de conteúdo e projetos que recebemos. Isso nos faz ter certeza de que estamos no caminho certo, e alinhados com a nossa comunidade! 💚


    • Não conseguir descansar a mente ou se desligar do trabalho, se sentir mais acelerado, não conseguir dormir, pensar somente em trabalhar… esses são alguns dos sintomas detectados em alguém que está entrando em um processo de Síndrome de Burnout. Os sintomas básicos são um estresse constante, o pensamento acelerado, um esgotamento mental, e, mesmo quando a pessoa não está fazendo nada, se sente cansada. 
      Segundo reportagem da Agência Brasil, a síndrome foi incluída na Classificação Internacional de Doenças da Organização Mundial da Saúde (OMS) em 2019. A matéria traz ainda dados da OMS, que apontam que, no Brasil, 11,5 milhões de pessoas sofrem com depressão. A Síndrome de Burnout vem sendo cada vez mais comum dentro das empresas, e profissionais têm pedido afastamento de seus empregos por conta de doenças mentais relacionadas ao trabalho. 
      Na área de segurança, a pressão do dia a dia pode agravar essa situação. Muitas vezes os profissionais estão enfrentando um processo de estresse alto que pode levar a consequências físicas mais graves e nem percebem, e é importante detectar o quanto antes se essa rotina está afetando a saúde – e evitar que a situação piore. "A área de segurança tem, geralmente, uma carga muito intensa de trabalho. Não existem 8 horas de trabalhos diários, 40 horas semanais, até porque a maior parte das mudanças são feitas em janelas de atendimento durante o dia e mudanças à noite, quando há disponibilidade para alterações nos sistemas sem impacto ao usuário final. O que torna o trabalho com segurança da informação e privacidade tenso é toda a pressão que a responsabilidade da atividade traz para o dia a dia, principalmente pelo vínculo com a saúde do negócio", explica Eva Pereira, CMO, Head Security Awareness e Responsabilidade Social da IBLISS Digital Security e Team Coach de Alianças, Marketing e Privacidade da WOMCY. 
      Eva tem mais de 20 anos de experiência no mercado, atuando com segurança desde 1997. "Sempre trabalhei em média 17 horas por dia. Em um somatório de muitos anos, isso veio plantando uma sementinha que não foi legal", conta. "Quando a gente é muito jovem e tem muita saúde, acha que virar uma ou duas noites sem dormir não tem problema, mas fazer isso durante anos tem uma consequência", alerta.
      Ela diz que a tensão de manter um ambiente seguro e defender um projeto em meio a tantos outros em que a companhia deve tratar, acumula uma dinâmica em uma pessoa que sofre pressão por entregar resultados e acaba gerando uma falta de equilíbrio entre bem-estar e vida social. "Você vai se consumindo no trabalho. Tudo que é excesso traz consequências. Isso formou uma bola de neve, além do acúmulo de funções ou ter que dar conta de tudo, a falta de ir a um parque, andar descalça, um convívio social, foi se somando", destaca. 

      "Você vai se consumindo no trabalho. Tudo que é excesso traz consequências" - Eva Pereira
      Um dia Eva se deu conta que, além de não conseguir dormir, pois o corpo estava cansado e a mente não silenciava, a questão física ficou mais evidente. "Eu tive episódios de dores de cabeça por mais de 15 dias". Uma massagista da própria empresa em que trabalhava na época a alertou: "Toma cuidado, seu corpo cansou de te avisar que algo não está bem". No mesmo dia, Eva foi parar no hospital. "Eu apaguei, não estava falando coisa com coisa, estava confusa, delirando. Fui parar em um hospital, onde soube que estava tendo um princípio de AVC".
      Eva conta que não conseguia produzir muito mais depois disso. "É como se eu quisesse passar a quinta marcha na estrada, o carro pedia, mas eu não conseguia. Perdi o domínio do meu corpo, ele precisava descansar", diz Eva, que iniciou um tratamento natural, retomando suas funções aos poucos ao longo dos anos. "Precisei trocar de emprego, dar uma reviravolta na minha vida e buscar o natural para equilibrar minha rotina. Foram quase 2 anos para retomar à normalidade da capacidade que eu tinha de agilidade".
      Demanda diária – Uma pesquisa do Chartered Institute of Information Security (CIISec) sobre profissionais de segurança aponta que o estresse no local de trabalho pode ser grande, e o número de horas de trabalho nesta área aumentou durante a pandemia de Covid-19. Em média, os profissionais de segurança trabalham 42,5 horas por semana, mas alguns trabalham até 90 horas semanais, o que é preocupante, considerando que o esgotamento é destacado como um grande problema da profissão pelo relatório.
      "Quem escolheu a área de tecnologia já sabia onde estava se metendo. Durante a faculdade já começamos a ter essa visão, ou logo nos primeiros meses de trabalho sabemos que não tem horário, tem uma carga pesada de trabalho, de entrega, de cobrança, de necessidade de se manter atualizado", conta Jorge (nome fictício, pois o profissional preferiu não ser identificado). 
      Com mais de 25 anos dedicados à tecnologia, e desses, pelos menos 17 na área de segurança da informação, Jorge atua como Diretor de Segurança e lida no dia a dia com orçamentos limitados, o que faz com que as escolhas sejam difíceis. "Você dorme com aquilo na cabeça, porque fica ciente que deixou algo descoberto, e isso tira seu sono", destaca. 
      "Você não vai conseguir resolver tudo, não tem super-homem, não tem mulher maravilha.
      A área de segurança não é para heróis", pontua Jorge
      Jorge diz que ao passo em que um atacante vai buscando as brechas e vulnerabilidades, a diversidade de tecnologias e de componentes deixa a empresa cada vez mais exposta. "A transformação digital por si só já te expõe a riscos maiores. Por outro lado, você, como profissional de segurança, precisa viabilizar o negócio e muitas vezes vai dormir com a ciência de que deixou vulnerabilidades descobertas e que alguém pode se aproveitar delas".
      Apesar da pressão diária, o profissional conta que é preciso saber lidar bem com essas adversidades do dia a dia e saber delegar, sem querer carregar tudo nas costas. "Você não vai conseguir resolver tudo, não tem super-homem, não tem mulher maravilha. A área de segurança não é para heróis. É preciso saber dividir para não se sobrecarregar", indica.
      Para quem trabalha na área de segurança, responder a um incidente é um momento estressante de muita pressão. Mas para Anchises Moraes, que é profissional da área de segurança e colaborador do Mente Binária, é possível encarar com mais leveza e uma dose de satisfação. "Para trabalhar na área é preciso ter a ciência de que esse tipo de situação pode acontecer, mas sem que isso te prejudique. É ok também mudar de trabalho se não estiver aguentando a pressão. É preciso priorizar a saúde. Se você não priorizar sua saúde, ninguém vai fazer isso por você", destaca. 
      Primeiros sintomas – "Eu já tinha passado isso uma vez por um afastamento de trabalho quando eu trabalhava em uma grande rede varejista, achando que era um super-herói. Fiquei 80 dias afastado, mas quando fui parar no ambulatório da empresa, e depois no hospital, eu estava em um estado muito crítico", diz Jorge.
      Esse episódio o ajudou, no ano passado, a detectar alguns comportamentos e sintomas parecidos com os que teve naquela época. "Comecei a perceber, em junho, que as coisas estavam estranhas, mas achei que era por conta da pandemia, já que todo muito estava impactado de alguma forma". Ele diz que esse período de isolamento social agravou um pouco mais a situação, por conta da falta de um contato mais próximo das pessoas. "Apesar de ser um cara de tecnologia, eu gosto mais de gente do que de máquina. E eu comecei a sentir falta de happy hour, almoço, olho no olho, uma conversa de corredor. Achei que estava mal por causa disso, e deixei passar". 
      O primeiro sinal de alerta foi quando Jorge chorou no final de uma reunião de equipe. "Fiquei com vergonha, fechei a câmera, e algumas pessoas perceberam, mandaram mensagem. Mas isso já foi um sinal de atenção. Em agosto, eu percebi outros sintomas, como não querer sair da cama, tomar banho, comer... a cabeça estava longe, eu não lembrava o que tinha sido conversado nas reuniões, minha produtividade caiu demais, e comecei a esquecer coisas importantes. Isso impactou minha rotina", relata Jorge. 
      Ele decidiu marcar uma consulta com um psicólogo. Mas após um dia muito intenso de trabalho, Jorge percebeu que realmente precisava de uma pausa. "Um pouco antes da consulta, estourou uma crise em um dos clientes, um incidente grave de segurança. Trabalhei direto, fazendo poucas pausas. Na segunda-feira de manhã, em uma reunião para falar sobre o problema, eu desabei a chorar e acabei desabafando com meu colega. No mesmo dia, o psicólogo me encaminhou ao psiquiatra".
      Jorge teve que lidar ainda com mais um fator, que é o medo e a vergonha de se expor em relação a essa dificuldade. "Eu demorei mais de um mês para aceitar que estava doente. Mesmo com o diagnóstico, eu só comentei sobre isso com minha esposa e com o RH da empresa. Demorei para falar sobre isso com as pessoas mais próximas, que foram poucas, e só depois de uns 3 ou 4 meses que comecei a falar mais abertamente. Eu tinha vergonha e medo dessa exposição. Depois eu entendi que todo mundo tem suas vulnerabilidade e lidar com isso é um sinal de força, e não de fraqueza". 
      Segundo Fabiane de Faria, psicóloga com especialização em Terapia Cognitivo Comportamental, é comum ter medo de falar sobre o assunto, pois existe um estigma quando se fala em doenças psiquiátricas. "Parece que isso demonstra uma certa fraqueza, erroneamente, ou uma certa inabilidade no seu trabalho, que também não tem nada a ver". 
      Pandemia – "Muitas pessoas que já estavam tendenciosas a ter Burnout acabaram tendo porque a pandemia foi uma aceleração, um caminho para tudo aquilo que nos dificultava", diz Fabiane. A psicóloga destaca que para quem tinha tendência a ter ansiedade ou a deprimir, a pandemia serviu como um gatilho para iniciar uma série de movimentos. 
      O especialista em segurança da informação e Head de Resposta a Incidentes na Tempest, Thiago Araújo, notou que nesse período de home office imposto por conta do isolamento social estava trabalhando muito mais do que em um ambiente normal do dia a dia do escritório. "Em casa ficamos sentados muitas horas trabalhando, então comecei a ter problemas físicos na coluna, na perna, e problemas de ansiedade, além de uma fadiga extrema e dificuldade em me concentrar, insônia... Isso foi piorando ao longo da pandemia, e nossa área vem trabalhando muito por conta de um aumento de incidentes", conta. 

      "Hoje eu tento não pegar muitos trabalhos estressantes" - Thiago Araújo
      Em uma semana estressante de escrever relatórios, um cliente acionou a equipe de Thiago na madrugada, e ele começou a trabalhar mesmo não dormindo bem. "Nesse dia eu entrei em desespero, em pânico, eu fiquei paralisado. Minha esposa viu e me levou pra cama. No dia seguinte eu liguei para a psicanalista e avisei os colegas que eu não conseguiria mais trabalhar no caso. Eles entenderam perfeitamente", diz. 
      Thiago relata que não havia ocorrido nada parecido com ele anteriormente, apesar de ter passado por alguns momentos de ansiedade. "Passei o ano de 2020 todo com esses episódios até esse colapso. A gente acaba não percebendo, acha que no dia seguinte estará tudo bem, mas só piora". 
      Ele conta que teve apoio de sua empresa e não ficou afastado legalmente, mas saiu das tarefas mais estressantes de seu trabalho. "Continuei trabalhando normalmente, gerindo a equipe, mas fora do cenário, sem pegar casos extremos. Hoje eu tento não pegar muitos trabalhos estressantes, vou dividindo para a equipe, e chega um momento em que eles trabalham sozinhos. Depois eu ajudo em um relatório, ou no entendimento de uma evidência, tratamento de um caso".
      Papel da empresa – Trazer uma consciência mais humana ao trabalho é resultado de um processo de recuperação, conta Eva. "Eu estudo comportamento humano hoje, e vejo que quanto mais humanizado é o contato com o profissional, melhor resultado eu tenho dele. E o que as empresas precisam não é só cobrar metas, e sim dar voz de uma forma estruturada para que seus colaboradores se expressem, trazendo sua essência e diversidade de opiniões. Se a empresa faz isso, ela tem muito mais futuro e consegue crescer mais forte, além de colaboradores felizes", diz. 
      Eva ressalta a importância de estar em um ambiente de trabalho onde o colaborador é reconhecido dentro de sua importância. "É importante entender que se chegamos em um estado desse, precisamos de apoio de empresas com propósito, que se preocupam efetivamente com o colaborador, e não com um número apenas. As empresas são feitas por pessoas. É preciso proporcionar uma qualidade de vida para que a situação não chegue num ponto de insegurança mental. E se você chegar nesse ponto, que a empresa possa te apoiar na sua recuperação, pois isso é fundamental". 
      Em seu momento de crise, Jorge se sentiu apoiado por sua empresa. "A empresa continuou me pagando integralmente, colocou outra psicóloga à disposição, com quem eu conversava periodicamente, e ficou focada na minha recuperação. Toda vez que eu ensaiava voltar, eles falavam pra eu voltar bem. Na minha experiência, a empresa foi super diferenciada. E não sei se essa é a realidade da maioria delas", destaca. 
      Tratamentos e recuperação – Tratamento é a primeira coisa, o melhor e inevitável caminho para quem quer melhorar, diz a psicóloga Fabiane. Segundo ela, é importante também entender os limites, pois não é falta de vontade, não é desmotivação, nem desinteresse da pessoa que está passando por essa situação. "Na depressão, realmente tem dias que a gente fica muito para baixo, sem vontade de fazer nada, com o humor deprimido. Conseguir entender as nossas limitações, aceitar esses dias, não deixar que eles nos deixem piores e tentar recomeçar é essencial", diz. 
       
      Procurar não ficar focado somente no trabalho também faz parte de um processo de recuperação ou prevenção ao Burnout, diz a psicóloga. "O home office tem deixado as pessoas 100% focadas no trabalho, o tempo todo trabalhando, ligado no celular, no e-mail. Tentar focar em outras coisas, ter uma rotina de trabalho com horários certos, dividir quais são os horários de comer, estar com a família, ter tempo para você, para a sua atividade física… esse é o principal caminho para manter uma mente sã e tranquila", indica.

      "Temos que tomar cuidado, e se não buscarmos o autocontrole, o corpo vai reagir em algum momento" - Anchises Moraes
      Anchises diz que adotou um estilo de vida mais leve e saudável após passar por alguns episódios de estresse durante a pandemia. "Já tive vários momentos que impactaram minha saúde. Meu corpo reagiu e isso foi um sinal de alerta. Temos que tomar cuidado, e se não buscarmos o autocontrole, o corpo vai reagir em algum momento. Pode ser de forma branda ou mais grave. No meu caso, todas as vezes que tive essa percepção tentei desacelerar, diminuir meu estresse com meu trabalho para voltar a ter um equilíbrio", conta.
      Ele ressalta que, na época de pandemia, ao mesmo tempo que não sofria tanto por estar acostumado com o trabalho remoto e ter consciência que é uma fase passageira, chegou um momento que ficou exausto de tanto ficar em casa. "A maioria das minhas opções tradicionais de lazer foram cerceadas. Fiquei limitado. E por isso decidi, este ano, fazer um curso de francês para aprender a relaxar e me desconectar do trabalho, e adotei dois gatinhos para ter uma companhia", diz Anchises.
      Foi isso que Eva também fez após o episódio grave de Burnout relatado anteriormente. Hoje ela aprendeu a silenciar sua mente e a equilibrar trabalho com bem-estar e vida pessoal. Ela relata que na época de sua crise, a vontade foi de abandonar a carreira e os anos de trabalho com segurança. "Quando eu parei para pensar melhor, eu vi que não foi a tecnologia que me fez passar por isso, e sim a ausência de segurança mental para conseguir lidar com a situação no momento, por excesso de pressão e falta de apoio. Por que eu sempre acordei todos os dias? Para, de alguma forma, trabalhar por uma sociedade mais segura. E se eu não me sinto segura em levar meu propósito para os lugares, eu preciso procurar um lugar onde esse propósito se encaixe", destaca Eva. "Meu propósito de vida hoje é cuidar de mim".
      Jorge também conta que está mais focado em cuidar do corpo e da mente, fazendo exercício físico e aulas de violão junto com seu filho. "Mudei a alimentação, comecei a fazer atividades que me dão prazer. E acredito que o autoconhecimento é importante para qualquer área da vida, não somente para quem está em depressão e Burnout", diz. Da mesma forma, Thiago relata que hoje está bem melhor, fazendo terapia, e indica às pessoas a buscarem ajuda antes do corpo entrar em colapso. "Não tenha vergonha", diz.

    • Ao longo dos últimos meses, nós temos compartilhado uma série de artigos sobre o universo da Segurança de Aplicações. A boa notícia para quem se interessou pelo assunto e quer se aprofundar ainda mais no tema é que a Conviso disponibilizou de forma integral e gratuita em seu canal de YouTube o treinamento AppSec Starter - um curso inicial de conscientização em AppSec. 
      Para quem tem interesse em se aprofundar mais sobre Desenvolvimento Seguro e gosta de aprender por meio de cursos, é uma ótima oportunidade de ingressar no universo da AppSec por meio de um curso criado por profissionais que vivem o tema no dia a dia. Além disso, por já estar 100% disponível na íntegra, é possível encaixar as aulas nos horários que melhor se adaptarem na rotina de cada aluno.
      O treinamento é composto por um total de 15 vídeo-aulas, onde conceitos introdutórios são abordados - em linguagem acessível - pelos especialistas da empresa. Ao longo dos vídeos, temas como Modelagem de Ameaças, Owasp Top 10 e Testes de Segurança de Aplicações são abordados. Para conferir o programa detalhado das 15 aulas, clique aqui.
      O curso foi criado originalmente para facilitar a entrada de novos colaboradores da Conviso em uma cultura de AppSec. Agora, ele está aberto e acessível na íntegra para que qualquer estudante ou profissional com interesse em aprender mais sobre o tema possa ingressar nos conceitos iniciais de AppSec. 🤗
      Público-alvo do treinamento
      Qualquer estudante ou profissional de áreas relacionadas a tecnologia que tenham interesse no tema podem se beneficiar com o treinamento. No entanto, é altamente indicado para profissionais envolvidos com desenvolvimento de software, que certamente poderão tirar máximo proveito das informações contidas no curso.
      Se você consumir o treinamento, não se esqueça de deixar seu feedback nos próprios comentários do canal do YouTube da Conviso, para que mais treinamentos possam ser disponibilizados no futuro. E caso você conheça alguém que se interesse pelo treinamento, não deixe de compartilhar esse conteúdo! 😉


×
×
  • Create New...