Ir para conteúdo
    • Aline Mayra

      Prontos para 2024?

      Por Aline Mayra, em Portal Mente Binária,

      Um professor, uma diretora de TI de empresa varejista e um diretor de TI de seguradora dividem suas visões sobre o ano novo, suas análises de 2023 e - o melhor de tudo - suas dicas para profissionais que querem se posicionar bem em 2024.
      O ano novo chega e, com ele, a esperança de que as coisas ruins tenham ficado lá na noite de réveillon, e que as coisas boas magicamente se materializem logo nos primeiros dias deste ano novinho em folha. Por mais utópico que isso seja, é difícil não desejar pelo menos um pouquinho que isso seja assim, né? Mas para quem trabalha com segurança da informação, a verdade dolorida da realidade é 24/7, não tira férias nunca e está sempre pronta para nos surpreender novamente, correto?
      O lado bom é que, como uma comunidade extremamente engajada e unida, as dores costumam ser bem parecidas e as soluções nascem com altas doses de colaboração. Pensando nisso, a Mente Binária foi atrás de ouvir representantes de alguns setores do mercado para entender quais foram os maiores pesadelos de 2023 - e que deveriam ter sido trancados lá - e o que podemos esperar deste recém-chegado 2024.
      As guerras vigentes no mundo e a inteligência artificial são, sim, as donas dos holofotes, na visão dos nossos entrevistados. Mas o cuidado com as vulnerabilidades evitáveis também está com a audiência alta no radar desses especialistas.
      Afinal, quem são eles? Vamos lá: a redação propôs contato com mais de 20 empresas brasileiras dos mais distintos segmentos da economia. Apenas 3 delas toparam abrir suas visões e compartilhar seus pensamentos sobre o mercado de infosec na atualidade.
      Vamos conhecer, então, as opiniões de:
      Fabiana Tanaka, diretora de TI da Leroy Merlin;  Robson Lyra, diretor de operações e tecnologia da seguradora Campemisa; Professor Marcelo Lau, coordenador acadêmico do MBA em Cibersegurança da FIAP. Nos recortes abaixo, nossos entrevistados vão contar sobre suas avaliações de 2023 e previsões para 2024! E ainda darão suas dicas pessoais para quem está buscando novas posições no mercado de cybersec neste ano!

      MB:: Que balanço você faz da área de segurança da informação na sua empresa em 2023?
      Fabiana:: O ano de 2023 na Leroy Merlin Brasil, testemunhou uma ampla gama de eventos e desenvolvimentos de cibersegurança, destacando a importância crítica de proteger ativos digitais e informações pessoais e sensíveis. Desde o surgimento de novas ameaças até a implementação de tecnologias inovadoras de defesa cibernética, o nosso balanço buscou oferecer uma visão detalhada do estado atual do ambiente cibernético de nosso ecossistema de lojas e matriz, nos permitindo criar um Plano Diretor muito detalhado em todas as camadas: rede interna, sistemas, webservices, produtos digitais (e-commerce, marketplace, PDVs, Self-checkout, Leroy Merlin Pay, ERP e outros), conscientização de colaboradores, investimentos racionais e sustentáveis, além da capacitação contínua da equipe de defesa ofensiva, por meio da criação de um laboratório de testes, ao qual nomeamos de Cyberlabs, composto por ferramentas de testes e uma operação de inteligência e aprendizado para robustecer a nossa resiliência. Este projeto nos rendeu três premiações em 2023, que foram durante o Congresso da Innovation Experience 2023 e o Security Leaders 2023 com duas premiações de líder e case do ano. Como resultado, criamos uma célula de CIC - Centro de Inteligência Cibernética, compreendendo equipes de Purple Team, que é a composição de um Blue Team (segurança defensiva) e Red Team (segurança ofensiva), que está sendo capilarizada e exportada para as demais unidade de negócios da holding, Grupo ADEO.

      MB:: Qual foi o maior desafio de 2023?
      Fabiana:: Em 2023, com diversos conflitos mundiais envolvendo interesses políticos e governamentais, com guerras inclusive cibernéticas, tivemos que adotar tecnologias emergentes para reforçar o monitoramento, observabilidade e inteligência para aumentar a nossa resiliência cibernética. O aumento de ameaças cibernéticas, com o tempo, tem evoluído em sofisticação e frequência. Empresas do varejo, em que a concorrência e o nível de exposição são altos, podem ser alvos de ataques como ransomware, phishing e outros.
      MB:: Qual deve ser o maior desafio de 2024?
      Fabiana:: Em 2024, a  privacidade dos dados dos clientes continua sendo uma prioridade, desta forma, daremos ênfase na proteção de dados através de ações robustas de cibersegurança. As regulamentações de proteção de dados, como o LGPD, Lei Geral de Proteção de Dados (Lei 13.709/2018) e leis similares em outros países como a GDPR na União Europeia, ao qual a nossa sede já atende a legislação, exigem que as empresas protejam adequadamente as informações pessoais dos clientes.
      MB:: A solução para qual dificuldade interna em segurança estaria nos seus pedidos de Ano Novo?
      Fabiana:: Paralelamente aos avanços, alguns desafios persistem na nossa população, que são os cidadãos brasileiros que compõem a nossa gama de clientes. A crescente interconexão de dispositivos, a complexidade das redes corporativas e as lacunas na conscientização dos colaboradores, clientes e parceiros de negócios, destacam a necessidade contínua de abordar questões fundamentais que permeiam a cibersegurança, especialmente em períodos festivos onde as vendas aumentam significamente pela procura por produtos, presentes e reforma dos lares para iniciar um ano novo renovado. Muitos ataques cibernéticos começam com ações inadvertidas de usuários. A conscientização e a educação dos funcionários e clientes sobre práticas seguras são contínuas e utilizamos todos os nossos canais oficiais para isso, pois são cruciais e fatores de sucesso contra ações fraudulentas, contudo muitas vezes dependemos do bom senso, do olhar crítico e analítico das pessoas. 
      MB:: Se pudesse levar a 100% do potencial uma única habilidade no seu time, qual seria ela?
      Fabiana:: Seria a autonomia responsável. Concedo aos membros da equipe um nível adequado de autonomia, pois tenho notado que esta prática promove a responsabilidade individual de líderes e liderados. Isso cria um ambiente onde cada membro se sente capacitado para contribuir de maneira significativa, e isso fomenta a uma cultura que valoriza a aprendizagem contínua, incentiva a adaptação a novos desafios e a busca constante por aprimoramento, além de dar sempre vida ao nosso Cyberlabs.
      MB:: Que conselhos daria para um profissional de segurança em busca de colocação? 
      Fabiana:: Buscar oportunidades na área de segurança não é uma jornada tão desafiadora para aqueles que realmente se interessam pelo assunto, pois com estratégia e preparação, é possível maximizar as chances de sucesso. Aqui estão alguns dos conselhos em lista, para um profissional que almejamos em busca de colocação:
      Mantenha-se atualizado com as últimas tendências e tecnologias em segurança da informação; Destaque as habilidades técnicas em áreas como testes de intrusão, análise forense, gerenciamento de vulnerabilidades, gerenciamento de riscos cibernéticos etc; Construa uma presença online, ou seja, se foi chamado para uma conferência online, abra as câmeras e tenha uma postura adequada para se expressar. A comunicação eficaz e assertiva é um fator muito relevante. Além de habilidades técnicas, as habilidades comportamentais, como comunicação eficaz, pensamento crítico e resolução de problemas, são valorizadas; Tenha um perfil profissional no LinkedIn atualizado, destacando com clareza e sem forçar a "barra" sobre as habilidades, experiência e conquistas; Contribua para a comunidade de segurança participando de fóruns, blogs ou contribuindo para projetos de código aberto; Elabore um portfólio que destaque projetos significativos, desafios superados e soluções implementadas em trabalhos anteriores, isso demonstra iniciativa e descentralização de conhecimentos; Conheça as empresas para as quais está se candidatando. Demonstre como suas habilidades e valores se alinham com a cultura da organização; A ética é fundamental na segurança da informação. Mostre como considerar a ética em suas práticas e decisões profissionais; Por fim, a busca por oportunidades na área de segurança assim como em qualquer outro setor exige paciência e persistência. Estar preparado para aprender com as experiências, ajustar estratégias conforme necessário e continuar aprimorando as habilidades ao longo do tempo são caminhos de sucesso. MB:: Sua área está com vagas abertas? Para qual especialidade/nível?
      Fabiana:: Estamos com o quadro completo, porém trabalhando sempre com a retenção e atração de talentos quando for preciso. A nossa presença no mercado, realizando trabalhos junto às comunidades científicas, de inovação, de diversidade, de cibersegurança e até mesmo de capital humano, nos garante responsabilidade e capilaridade para atração, pois cada setor que compõe os negócios das empresas é também responsável pela presença de uma marca empregadora.

      Robson Lyra, da Capemisa: É preciso aprimorar a conscientização dos colaboradores em relação aos golpes e tentativas de phishing
      MB:: Que balanço você faz da área de segurança da informação na sua empresa em 2023?
      Robson:: Devido ao aumento progressivo dos ataques e incidentes cibernéticos que estão ocorrendo nos últimos anos, nós tivemos mais um ano de muito empenho das equipes para mitigar os riscos de segurança, gerenciar de forma mais eficaz as vulnerabilidades, monitoramento de indicadores de segurança. Além disso, seguimos na busca de soluções para nos proteger cada vez dos malwares, golpes e ataques massivos cada vez mais sofisticados que tem atingido muitas empresas globalmente.
       
      MB:: Qual foi o maior desafio de 2023?
      Robson:: Retenção e contratação de profissional de segurança.
       
      MB:: Qual deve ser o maior desafio de 2024?
      Robson:: Migrar o data center on premise para nuvem pública com um nível elevado de segurança.
      MB:: Que assunto, problema, conceito, tecnologia ou dificuldade você gostaria de enterrar em 2023?
      Robson:: Os profissionais de segurança de todos os segmentos precisam unir forças no combate aos ataques em massa que vêm ocorrendo globalmente. Assim como os hackers se organizam e têm sinergia nos ataques, nós, profissionais de segurança, precisamos da mesma estratégia para defesa e para a busca das soluções dos novos desafios de segurança.

      MB::
A solução para qual dificuldade interna em segurança estaria nos seus pedidos de Ano Novo?
      Robson:: Aprimorar a conscientização dos colaboradores em relação aos golpes e tentativas de phishing que estão sendo cada vez mais aperfeiçoados com apoio da IA e engenharia social.
      MB:: Se pudesse levar a 100% do potencial uma única habilidade no seu time, qual seria ela?
      Robson:: Comunicação.
       
      MB:: Que conselhos daria para um profissional de segurança em busca de colocação?
      Robson:: Procurar por empresas que se preocupem não só com processos e ferramentas de segurança, mas também com o bem estar e a capacitação dos seus colaboradores. Muitas empresas estão investindo pesado em soluções de segurança, mas o elo mais fraco tem sido as pessoas, que trabalham insatisfeitas dentro das corporações. Esses profissionais têm sido abordados para aplicar os golpes e conseguir credenciais para tornar vulnerável o perímetro de segurança das empresas.
      MB:: Sua área está com vagas abertas? Para qual especialidade/nível?
      Robson:: Estamos com 2 vagas em aberto, para infraestrutura (não é específico para segurança):
      Arquiteto - Nível superior Técnico de Informática (Service Desk) - Nível superior Os interessados podem ficar atentos ao link https://capemisa.gupy.io/. Por meio deste canal, atualizamos sempre as nossas vagas.


      Professor Marcelo Lau, da Fiap: Catástrofes climáticas devem obrigar as empresas a aprimorarem seus planos de continuidade de negócio
      MB::⁠ ⁠Qual o balanço que você faz da área de segurança da informação no Brasil em 2023?
      Marcelo:: O ano de 2023 foi repleto de desafios, tanto quanto às questões de atendimento às boas práticas de segurança, quanto às normativas, técnicas, legais e regulatórias. Incidentes tiveram grande repercussão e a tendência deve se manter, com destaque para os ataques baseados no sequestro de dados (ransomware).
      Questões relacionadas à privacidade tiveram grande visibilidade no ano de 2023 através da divulgação de empresas que foram objeto de fiscalização. Alguns desafios fizeram parte do cotidiano do cidadão comum no que diz respeito à proteção de suas informações e respectivos dispositivos, fechando o ano com o lançamento do aplicativo Celular Seguro pelo Ministério da Justiça do Brasil.
      2023 ainda foi desafiador para as empresas, que estão sofrendo um déficit de profissionais nesta área. Por outro lado, profissionais que buscam se especializar em segurança, ainda se questionam e têm dúvidas sobre quais as áreas de atuação que podem ter mais futuro.
      MB:: ⁠Na sua visão, qual foi o maior desafio para as empresas e profissionais em 2023?
      Marcelo:: Em 2023, os profissionais precisaram compreender em profundidade os problemas na área de segurança que afetam os negócios (produtos e serviços), já que ainda têm uma visão parcial sobre a forma como podem e devem se proteger dos ataques. Todas as empresas devem ter em mente que serão objeto de tentativas de ataques cibernéticos. O ponto importante é saber como elas e seus profissionais irão se comportar em condições como estas. Outro grande desafio foi saber aplicar as medidas em segurança sobre tecnologias emergentes, dentre elas a Inteligência Artificial, que começou a ser utilizada por algumas empresas que não se preocuparam com questões de segurança da informação nesta área.
      MB::⁠ ⁠E qual deve ser o maior desafio para as empresas locais e para os profissionais em 2024?
      Marcelo:: Em 2024, alguns aspectos regulatórios deverão estar presentes quanto ao uso de Inteligência Artificial, incluindo os relacionados à cibersegurança e à privacidade. A preparação dos profissionais e dos negócios sobre este cenário é imprescindível para que empresas possam manter sua competitividade, com o devido uso das tecnologias e com a devida segurança. Outro ponto importante é considerar que o aumento do uso de tecnologias que hoje estão presentes em ambientes domiciliares - como IoT (Internet das Coisas) - deve aumentar os desafios em segurança dentro das empresas, portanto ter negócios e profissionais preparados sob esta ótica, se torna algo imprescindível.
      Ainda para 2024, espera-se que alguns eventos adversos desafiem a continuidade de negócios das empresas, dentre os maiores desafios estão as catástrofes climáticas, que precisarão entrar na agenda de cenários de desastres que irão obrigar as empresas a aprimorarem seus planos de continuidade de negócio.
      MB:: ⁠Que assunto, problema, conceito, tecnologia ou dificuldade em cybersec você gostaria que tivesse ficado enterrado em 2023?
      Marcelo:: Os conflitos estatais (guerras entre Rússia e Ucrânia, combate entre Israel e Hamas) certamente deveriam ser enterrados, pois além do uso dos meios bélicos tradicionais, todos utilizaram tecnologias que transformaram os conflitos em guerras cibernéticas, o que exige de nós um preparo para encarar um futuro desafiador.
      Na verdade, o que eu gostaria de enterrar em 2023 são sementes de conhecimento sobre as mentes férteis que podem florescer, mentes destes profissionais que estamos plantando sementes de conhecimento hoje, para colher muitos frutos para uma sociedade mais justa e segura.
      MB:: Se pudesse levar a 100% do potencial uma única habilidade nos profissionais de infosec, qual seria ela?
      Marcelo:: Não creio que ter 100% de uma única habilidade nos faz profissionais diferenciados. Entendo que a harmonia entre as diversas áreas do conhecimento pode se tornar um grande diferencial. Mas, se eu tivesse que escolher entre as habilidades, aquela que visualizo como a que tem maior potencial é a empatia. Pois, diferente do que alguns podem considerar, o conhecimento técnico não é a habilidade mais importante de um profissional de cibersegurança. A capacidade de entender a “dor” de alguém ou de uma empresa quanto à sua necessidade de cibersegurança, nos permite ter o adequado senso de urgência daqueles que vêm pedir apoio para solucionar seus problemas.
      MB::⁠ ⁠Que conselhos daria para um profissional de segurança em busca de colocação?
      Marcelo:: Há a necessidade de estabelecer objetivos claros do que se pretende nesta nova colocação - objetivos bem traçados e planejados, de tal forma que possam ser conquistados dia a dia com muita disciplina, levando em consideração a capacidade constante de adaptação. Colocar-se ou recolocar-se exige conhecer o ponto de partida e o objetivo desta colocação, compreendendo a cultura da empresa pretendida, os sonhos a serem realizados e como você fará a diferença nesta empresa. Informar-se e manter-se atualizado com informações precisas e corretas, certamente será um diferencial para quem busca algo novo neste segmento de mercado.

    • Incansáveis e autodidatas nos estudos; gratos por natureza; bem pagos (pelo menos com possibilidade de); curiosos e determinados. Os detalhes de uma profissão em alta no Brasil e no mundo, pelo olhar do profissional e da indústria
      Que tal uma carreira que pague muito bem, que não exija formação universitária, que permita o trabalho totalmente remoto, que seja de extrema utilidade para a sociedade, e que ainda possibilite trabalhar em comunidade, num fluxo de trocas com pessoas do mundo inteiro? Parece utopia, mas essas são algumas características da profissão de analista de malware, uma verdadeira joia rara no universo tecnológico atual.
      A redação da Mente Binária conversou com profissionais da área e com um representante da indústria para mapear a quantas anda essa carreira ascendente - óbvio que nem tudo são flores -, que reserva muito espaço de crescimento para quem tem curiosidade e vontade de aprender constantemente.
      "Eles estavam há cinco meses procurando alguém para a vaga e não achavam. O último ficou duas semanas e aceitou um convite melhor", diz José Silva*, nessa frase que resume todo o assunto. José, no auge de seus 20 anos, completa 1 ano como analista de malware de uma empresa de grandíssimo porte no Brasil, em formato CLT, 100% remoto.
      Se você perguntar pra ele pra ele como ele chegou a conseguir um trabalho - e um salário (12k + benefícios e certificações pagas) - desejado por gente muito mais madura do que ele, ele vai responder algo assim: "Meu primeiro contato com segurança foi há 11 anos (ou seja, aos 9 anos de idade!). Eu mexia com coisas básicas de desenvolvimento, script simples, linguagem C e acabei encontrando um vídeo no YouTube sobre segurança e comecei a estudar", diz José, mostrando que se antecipou razoavelmente nos estudos da área.
      Ele continua dando a pista do sucesso precoce que alcançou: "Na minha infância, meu pai sempre foi rígido sobre os estudos, então estudar já estava no meu estilo de vida. Aí eu achei um vídeo bem chamativo, 'como invadir um site'. Isso despertou minha curiosidade e eu nunca mais parei".
      Foi assim que José - uma criança ainda - se embrenhou nos estudos da Engenharia Reversa e descobriu o CTF (Capture The Flag), seu grande aliado de carreira: além de adorar jogar o jogo, usava também como material de estudo e prática. Aliás, usa até hoje. Nas horas vagas é isso que ele faz: joga e aprimora seu repertório de soluções para usar no trabalho.
      "Comecei a analisar malware por conta própria. Então, em 2021, conheci o Paulo Soares*, que também fazia engenharia reversa e, enfim, encontrei alguém para conversar sobre o assunto", lembra José. Um ano depois, Paulo - outro jovem de 23 anos - soube da vaga que José ocupa hoje e o recomendou.
      Análise de malware exige compreender bastante coisa
      Vamos, então, falar um pouco sobre Paulo e sua visão da carreira de analista de malware. Assim como José, não foi o estudo formal acadêmico que o colocou como um profissional de valor no mercado de segurança. Paulo trabalha com engenharia reversa e análise de malware há quatro anos, antes mesmo de completar 20 anos de idade.
      Mas a baixa relevância da universidade na sua carreira não significa baixo nível de estudo. Muito pelo contrário. "Quem mexe com engenharia reversa tem que ter noção de arquitetura de computadores, de sistemas operacionais etc. A curva de aprendizado é difícil, comparando com Python. Não que seja fácil, mas, se comparar a curva de aprendizado de Python com Assemblying, com C, a abstração que essa linguagem dá é surreal", opina Paulo.
      Tanto José, quanto Paulo enfatizam que conteúdos da comunidade, como viabiliza a Mente Binária, foram fundamentais para subirem sua régua de conhecimento. "Maratonei todos os vídeos do Papo Binário. Me encontrei ali. Paixão à primeira vista", conta Paulo. Ele e José já fizeram também todos os treinamentos de engenharia reversa oferecidos pela Mente Binária.
      Hoje, Paulo está desbravando o universo da detection engineering. Numa empresa brasileira de grande porte, ele, hoje, realiza um trabalho tático e estratégico, gerando insumos para decisões executivas, detecção de ameaças, casos de uso e identificação de comportamentos, com ênfase em ransomware. Além disso, trabalha como free lancer para empresas estrangeiras em projetos de engenharia reversa.
      Quanto ganham? Como trabalham? Recebem em US$?
      Já que estamos poupando os entrevistados de terem suas identidades reveladas, ficamos à vontade para sondar seus salários e suas opiniões nesse assunto, já que estão o tempo todo sendo sondados por empresas locais e internacionais para suas vagas. Eis o que coletamos com nossas fontes:
      "O salário é bom e ponto. Você não vai enriquecer, mas quanto mais experiente for, mais alto esse valor vai ficando", define Antonio Dias*, que está há poucos meses como engenheiro de pesquisa de ameaças sênior numa empresa norte-americana de segurança.
      Antonio está neste mercado há seis anos e seu palpite é que o salário de um analista de malware no Brasil é similar ao de um especialista em outras áreas, ou seja, nunca abaixo de R$ 9 mil (pouco mais de US$ 20 mil/ano). "A média deve ser de entre 12 e 15 mil reais numa empresa brasileira, para uma pessoa que já tenha certa experiência no assunto, que não seja totalmente crua", opina ele.
      Paulo, por sua vez, dá seu palpite sobre os ganhos de um analista de malware fora do Brasil. "Lá fora, um analista júnior ganha de US$ 90 mil/ano pra cima. Vi uma vaga para engenharia reversa junior no Google, on-site, em Cupertino (Califórnia/EUA) que era de US$ 140 mil/ano", conta. Na opinião dele, dentro das empresas de antivírus, que são as grandes contratantes desse tipo de profissional, o salário não fica abaixo dos US$ 150 mil/ano, traduzindo grosseiramente para mais de R$ 60 mil/mês…….
      Mas não se engane quem acha que trabalhar para uma empresa internacional é fácil ou que seja a solução de todos os problemas. Nossos entrevistados são unânimes em dizer que as contratações de estrangeiros são mais raras e que o normal é que, mesmo se tratando de uma vaga remota, as empresas prefiram contratar pessoal local. "Geralmente exigem presencial ou híbrido e não pagam o visto ou seu deslocamento. No máximo, escrevem a carta de trabalho e você se vira com o resto", diz Paulo Soares*.
      Antonio Dias, que hoje está numa empresa gringa, enxerga o mercado nacional como um polo ainda bastante fechado, sem grandes volumes de contratação. Daí a atratividade do brasileiro pelas oportunidades em estrangeiras. "Aqui a contratação é baixíssima, São pouquíssimas vagas e também pouca gente capacitada. Lá fora tem bastante", resume.
      A charada difícil para uma pessoa ser contratada tem a ver com a dificuldade do trabalho X necessidade de experiência X escassez de pessoas especializadas. "Por ser uma área mais complexa, as empresas esperam essa complexidade do profissional. É raro a empresa topar contratar um iniciante, embora, na verdade, não exista analista de malware junior. Se a pessoa faz análise de malware, ela já não é iniciante, pela própria natureza da atividade. Ela pode ser mais ou menos experiente, mas já vem com muito conhecimento desde o início", explica Antonio.
      Onde fica a Universidade no meio disso tudo?
      100% dos nossos entrevistados não concluíram seus cursos de formação universitária, mas não se veem inimigos do ensino superior. Pelo contrário: reconhecem o valor, mas esperam mais da academia. Vale a pena conferir a íntegra de suas falas sobre o assunto:
      "Tentei fazer ciência da computação (1 ano), mas o curso repetia tudo o que eu já tinha visto. Quando chegaram as linguagens de alto nível, comecei a achar entediante", opina José, aquele que começou a estudar segurança aos 9. Ele continua: "A faculdade é muito interessante, mas não da forma que ela é passada. Ela não passa o conteúdo explicando o seu uso, a sua aplicação. A teoria é importante, mas se não tiver a prática, fica monótono e você não vai saber agir com um caso real quando ele chegar", conclui.
      Diante disso, José conta que está pensando em estudar Estatística. "Isso sim  pode me ajudar na engenharia reversa, no trabalho de descobrir vulnerabilidades no software e protegê-lo", planeja ele.
      A visão de Antonio Dias é um pouco diferente. "No passado, eu tinha preconceito contra faculdade, por achar que não ensina nada sobre isso, mas tem uma exceção aí: Ela só não vai ajudar a ser um analista de malware, aquelas pessoas que já sabem tudo por fora. Mas se a pessoa não tem nenhuma afinidade com o assunto, a faculdade abre caminhos, é relevante para dar os primeiros passos, para entrar na área de tecnologia", avalia.
      Apesar do curso não concluído de análise de sistemas, foi através da faculdade que Antonio se lançou no métier. "Um professor meu de redes me deu o caminho dos eventos. Meti as caras na H2HC (Hackers To Hackers Conference). Um pouco perdido, encontrei o Mercês (Fernando Mercês, idealizador da Mente Binária), assisti a uma palestra dele, comecei a interagir com ele e pedir dicas de estudo. E ele nunca mais soltou da minha mão", lembra o profissional.
      Ele conta que, na época, fez o curso de engenharia reversa presencial da Mente Binária e "não entendi nem 50%, mas me apontou para muitas direções", brinca. Na sequência, começou a estudar e fuçar na internet, em blogs, vídeos, artigos, e muita prática. Quando fez a parte 2 do curso, já estava em outro nível de aproveitamento.
      Ele reconhece, assim, que na análise de malware é preciso andar com as próprias pernas, já que a área envolve muito conhecimento integrado: base sólida de computação, algoritmos, programação em C/C++, estrutura de dados, redes, sistemas operacionais etc. "Tudo isso é necessário? Se você não tiver uma base sólida, você vai patinar 80% das vezes e vai travar frequentemente", opina Antonio, ao completar: "As travadas são por falta de conhecimento, na maioria das vezes. Mas uma vez que você já tenha uma base sólida, você vai cair cada vez menos e, se cair, você vai levantar mais rápido", orienta o especialista.
      Quem disse que quem é de exatas não tem coração?
      Um comportamento unânime entre os entrevistados - e de forma espontânea - tem a ver com gratidão. Todos eles reconhecem que nunca chegariam aos estágios atuais de suas carreiras sem a ajuda das pessoas e sem o suporte da comunidade. 
      "Aprendi tudo com a comunidade, por quem eu sinto muita gratidão. Eu estou em dívida com a comunidade, porque se não fossem eles, eu não teria todo o conhecimento que eu tenho hoje. Isso ajuda muito quem está iniciando", reconhece José.
      "Se não fossem as pessoas publicando e compartilhando, colocando à disposição, eu não saberia metade do que eu sei. Tive muita gente estendendo a mão para mim durante toda a minha jornada. Na H2HC conheci muita gente, no trabalho também. Não tem como não ser por conta disso. Isso é autossustentável, a gratidão é a coisa mais importante que existe", enfatiza Antonio Dias. "É muito raro uma pessoa aleatória da área não estar aberta a ajudar", conclui.
      Devolvendo o aprendizado para a comunidade
      Como não podia ser diferente, depois desse reconhecimento do crescimento conjunto, nossos entrevistados separaram dicas preciosas para quem está começando na análise de malware (mas vale pra muitas carreiras dentro e segurança, tá?). Vamos a elas:
      Trabalho gringo | Se você quer trabalhar fora do Brasil, precisa conversar, ter amizade com recrutadores de fora. Dá para usar o LinkedIn para isso. Fazer posts, mandar um "oi", conversar como numa rede social mesmo, só que com empresas. Se achar uma empresa interessante, converse com o pessoal de recrutamento para entender e até indicar pessoas. Você acaba fazendo amizades e contatos importantes; Estude, estude e estude | Fortaleça toda base teórica de computação: arquitetura de computação, sistemas operacionais, processadores, linguagem Assembly, como o sistema operacional gerencia a memória do computador, como funciona por baixo dos panos. Quando você tem essa base, você consegue aplicar para coisas mais avançadas. Você consegue entender o que está acontecendo de fato. Pratique, pratique e pratique | O máximo possível. Você pode fazer CTF (Capture The Flag) para se acostumar a usar ferramentas, não só para competir. Analise os malwares que a comunidade coloca à disposição. Todo dia eu faço uma análise de malware. Mente forte | Você precisa se acostumar muito com a frustração e ser persistente. Ser apaixonado é quase uma exigência, porque, se não, você desiste. Mostre sobre você | Conhecer pessoas é importante, assim como compartilhar seu trabalho. A partir do momento que você está na comunidade, as pessoas vão saber seu nome, saber quem você é. E quando você cria um blog, compartilha suas ideias, todo esse esquema de aprendizagem junto é um jeito de chegar até a entrevista. Entrevista não é um monstro | Participei de algumas, tanto concorrendo a uma vaga, quanto contratando pessoas. Posso dizer com certeza que se a pessoa sabe o conteúdo de análise de malware dos cursos da Mente Binária de forma sólida, está bem preparada para entrar num cargo de análise de malware no Brasil ou fora. * Os nomes dos entrevistados até aqui são fictícios. Mantivemos suas identidades e empresas preservadas, afinal, o importante mesmo era o conteúdo de suas mentes.
      Visão de quem contrata
      De forma muito gentil, o Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, topou responder algumas perguntas que a redação enviou. Neste resumo da entrevista com ele, a ideia é entender a visão da indústria sobre os profissionais de análise de malware.
      Quantos analistas de malware existem na equipe local hoje?
      Fabio: Temos muitas equipes, com funções específicas. A equipe global envolvida apenas na análise de malware e desenvolvimento de tecnologias de detecções possui mais de 200 membros. A equipe global de threat intel tem mais de 40 analistas, com 6 na América Latina.
      Em todas essas equipes, a análise de malware é o conhecimento básico para o desenvolvimento do trabalho diário.
      Com relação à qualidade dos profissionais de análise de malware, são especialistas de contratação fácil ou são difíceis de encontrar?
      Fabio: A contratação é difícil. Alguns mercados são mais fáceis, outros nem tanto. Uma posição ficou aberta por 13 meses, até encontrarmos o profissional ideal.
      Uma vez contratados, como é para manter esses profissionais em casa? A concorrência é grande na disputa por eles?
      Fabio: São profissionais bastante disputados pelo mercado, que recebem propostas de trabalho de outras empresas. Geralmente, esse tipo de profissional pode escolher onde trabalhar.
      Como é o regime de trabalho na Kaspersky?
      Fabio: Em nossa equipe, somos 100% remotos.
      Como tem sido o processo de manter bons profissionais? E como fica a concorrência com oportunidades de trabalho no exterior?
      Fabio: É importante oferecer um plano de carreira, desenvolvimento pessoal, trabalho em equipe, salário competitivo, além de um bom pacote de benefícios a fim de retê-los.
      Existe um turnover alto desse tipo de profissional?
      Fabio: Em nosso caso, não. Nos esforçamos para oferecer um ambiente de trabalho agradável e focado no desenvolvimento pessoal do analista. Em nosso departamento, a média de tempo de um analista na equipe é de, no mínimo, 8 anos. Temos profissionais com mais de 15 anos de casa.
      No momento há vagas para analistas de malware em aberto na Kaspersky?
      Fabio: Sim, nesse momento temos algumas posições abertas na equipe europeia (França) e asiática (Japão). Porém, é importante observar que damos preferência para profissionais locais, que morem nesses países. Apesar da equipe ser remota, acreditamos que o conhecimento e a presença de um local faz toda a diferença. Ninguém analisa malware chinês melhor que um analista da China.
      Como é a questão da educação formal na área de tecnologia para contratações?
      Fabio: Não exigimos uma educação formal para a contratação. Um candidato sem formação e outro com formação serão avaliados de forma igualitária. Como o processo de contratação envolve provas práticas, avaliamos o background do candidato e suas experiências anteriores na função.
      Quais as características fundamentais para a contratação de um analista de malware, na sua visão?
      Fabio: (1) Saber trabalhar em equipe; (2) Ser ético: jamais ultrapassar as linhas do que é certo; (3) Ter paixão pela área: entender que por trás de cada malware existem muitas vítimas e um malfeitor e que nós temos a missão de desvendar as ações do malware e criar proteção para quem confia em nossos produtos; (4) Ter vontade de aprender e crescer; (5) Ser humilde, entender quando está errado e aceitar sugestões vindas de colegas mais experientes; (6) Ser disciplinado, especialmente no trabalho remoto; (7) Ser fluente no inglês ou outros idiomas necessários, não só falado mas também escrito; (8) Saber escrever bem: de nada adianta fazer uma análise completa, sem saber colocar isso no papel. (9) Saber se comunicar: desenvolver a didática que lhe permitirá explicar assuntos complexos para leigos.
      ***
      Fabio Assolini deixa uma última reflexão para os apaixonados pelo mercado de análise de malware: "Talvez você se pergunte: o conhecimento técnico não é importante? Sim, é muito importante, ele é exigido nas contratações. Porém, de nada adianta um analista completo na parte técnica, sem as qualidades descritas acima. Essas características se complementam. As soft skills, somadas à parte técnica, fazem o analista completo.
      Lembrando que as inscrições para a turma de Novembro do nosso treinamento Modern Malware Analysis online estão abertas! Restam poucas vagas! 😉 
       

    • Edição deste ano aborda as Jornadas de Inovação em Cibersegurança. Ainda não se inscreveu? Clique aqui.
      No próximo dia 05 de outubro acontece em São Paulo a edição 2023 do Tempest Talks; o maior evento anual da Tempest também é um dos mais importantes eventos brasileiros dedicados à cibersegurança. A seguir, saiba mais sobre o evento e sobre as novidades desta edição.
      O Tempest Talks é um evento dedicado às discussões que estão na vanguarda do mercado de cibersegurança
      Criado como um evento voltado para a comunidade técnica de segurança da informação, o Tempest Talks evoluiu em sua temática para acompanhar as tendências de um mercado no qual os temas da cibersegurança gradualmente passaram a fazer parte da realidade de gestores, executivos e, mais recentemente, dos próprios membros dos conselhos das corporações.
      Hoje, mais do que nunca, empresas de todas as verticais têm na cibersegurança um tema vital. Assistimos nos últimos anos à adoção acelerada de novas tecnologias que aumentaram a exposição dos dados de empresas e pessoas, e também ao surgimento de novas regulações e legislações que vêm atender a um momento histórico no qual a pauta da segurança cibernética é algo importante não só para os negócios, mas para toda a sociedade.
      A Tempest sempre esteve atenta a essas tendências e movimentos do mercado e os palestrantes que já passaram pelo Tempest Talks refletem essa atenção.
      Ao longo dos anos já passaram pelos nossos palcos 73 profissionais altamente qualificados de empresas de diferentes setores como Natura, Embraer e Gerdau, bancos como Santander, C6 e Safra, e entidades como o Banco Central do Brasil para apresentar temas diversos que vão dos riscos cibernéticos apresentados pelas cadeias de suprimentos, comprometimento de sistemas baseados em machine learning ou os desafios da interface entre cibersegurança e legislação. 
      Neste ano, evento trata das jornadas de inovação em cibersegurança
      Nos últimos anos o Tempest Talks evoluiu para adotar um tema central que propusesse aos palestrantes trazer ao evento discussões que estivessem na vanguarda dos desafios vividos pelas organizações, inspirados pelas suas próprias experiências.
      Dando continuidade ao tema da edição de 2022, que tratou da Resilência em Cibersegurança - abordando a aplicação da prática da segurança à operação, visando uma postura de resiliência diante dos desafios apresentados pela evolução tecnológica -, o tema deste ano é Jornadas de Inovação em Cibersegurança.
      Vivemos um início de ano com demissões em massa, reestruturação nas operações (especialmente entre empresas de tecnologia) e manutenção da tendência de adoção de novas tecnologias que pudessem agilizar e automatizar processos. A nuvem se torna cada vez mais essencial e a ela se juntam novas tecnologias como IA, 5G, e outras que contribuem para a expansão das fronteiras do negócio.
      Para responder a esses desafios, o Gartner apontou como tendência para este ano a unificação de ferramentas de segurança, o Zero Trust aplicado ao gerenciamento de riscos e a automação de rotinas de segurança, tudo isso aliado à necessidade de uma proteção adaptável para a segurança de endpoints e workloads. 
      Nesse cenário, a resiliência debatida no último ano depende cada vez mais de soluções de segurança inovadoras - onde inovação significa mais do que nunca soluções que operem em sintonia com o negócio, identificando gaps e deficiências para encontrar respostas plulgadas às realidades únicas de cada organização.
      Clique aqui e inscreva-se no Tempest Talks
      Tempest Talks traz novidades no formato, com duas keynotes na abertura e no encerramento do evento
      Em 2020, por conta da pandemia, o Tempest Talks teve a primeira edição online, não-presencial.
      O sucesso do formato inspirou uma grande mudança nos anos seguintes, com o evento sendo produzido de forma híbrida desde 2021. Desde então, atento às demandas do mercado por temas mais ligados à gestão, criamos duas trilhas de palestras, uma dedicada a temas mais técnicos e outra dedicada aos desafios da gestão de segurança e sua conexão com o negócio.
      Em 2023, manteremos o formato híbrido, com duas trilhas mas, diferentemente dos outros anos, quando o Tempest Talks contava com uma palestra de abertura e um painel de encerramento, neste ano teremos duas keynotes, uma de abertura e uma de encerramento. 
      Para isso convidamos profissionais de altíssimo gabarito no mercado de segurança da informação: Cintia Barcelos, Diretora de Tecnologia do Bradesco, e Cristina Cestari, CIO da Volkswagen, região América do Sul.
      O lineup conta ainda com profissionais renomados de empresas do porte de MasterCard, Vivo, Banco BV e, claro, Tempest e AllowMe. Confira a programação completa.
      Clique aqui e inscreva-se no Tempest Talks
      Tempest Talks 2023: Programação
      A programação desta edição conta com uma palestra de abertura, 8 palestras divididas em dois palcos e um painel de encerramento. Confira a seguir:
       
      9h00  - Keynote de Abertura
      Segurança em Cloud e Criptografia pós-quantum com Cintia Barcelos, Diretora de Tecnologia do Bradesco 
       
      Palco CyberTech
      09h50: A Evolução do Device Fingerprint na Proteção de Identidades Digitais, com Karisa Laxa – PM do AllowMe e Arthur Montenegro – Tech Lead de Data Science do AllowMe
      10h50: Conhecendo o inimigo e as principais ameaças utilizando feeds de inteligência com Thiago Barros, Gerente de Cyber Security do Banco BV
      11h30: Don't Let Me Down: como ameaças latino-americanas dilatam a vida útil de suas campanhas, com Carlos Cabral, Pesquisador da Tempest - EXCLUSIVO NA VERSÃO PRESENCIAL
      Palco CyberBusiness
      09h50: Cyber Business: Escalando a Segurança para o Negócio, com Bruno Moraes, CISO da Vivo - EXCLUSIVO NA VERSÃO PRESENCIAL
      10h50:  IA Generativa: riscos cibernéticos e governança empresarial, com Rony Vainzof, advogado sócio na Vainzof, Lima e Karassawa
      11h30: Data driven CRQ: quantificando e comunicando riscos na linguagem do negocio com Fernando Leitão, Director, Advisors Clients Services, Cybersecurity na Mastercard
      12h10 - Keynote de Encerramento
      Desdobramentos da IA na indústria e humanização da tecnologia com Cristina Cestari, CIO da Volkswagen para a América do Sul

    • Este mês terminamos a turma 2023.1 do projeto Do Zero Ao Um, que busca oferece um treinamento introdutório em computação e segurança para pessoas pretas.
      Com apoio dos nossos mantenededores, Tempest Security Intelligence e Spod VPN, e nossos apoiadores e quem faz treinamento com a gente, nos dedicamos a 4 meses de estudo, onde demos 78 aulas, totalizando aproximadamente 240 horas de conteúdo. Mas não é o tipo de aula onde um fala e os outros ouvem não - tem muita prática, avaliações, trabalhos. É uma vivência mesmo. A turma estudou diversas matérias, dentre elas Introdução à Computação, Matemática, Windows, Inglês Instrumental, Programação, Leitura sobre temas raciais, Redes, Nuvem, Introdução a Segurança, Segurança de Redes, Segurança de Endpoints, Análise de Logs e Soft Skills, só para citar algumas. Foi uma jornada longa, mas muito bonita que trilhamos que juntos.

      Alunos e alunas, professores e professoras, mentores e mentoras, equipe e todos os envolvidos são responsáveis por este sucesso. Mas o momento de comemorar, do nosso lado, ainda não chegou. O ciclo se completa quando vemos as pessoas que estudaram conosco sendo contratadas. E é aí que preciso de você: Se você quiser levar para sua empresa uma pessoa comprometida, que foi até o fim do nosso treinamento, sendo aprovada nas avaliações (fazemos três), e com percentual de presença e participação alto, temos várias possibilidades para você. São elas:
      @allexmiranda10 de Valparaíso de Goiás/GO @aucoliveira de Caucaia/CE @Daniel Borges do Rio de Janeiro/RJ @daniellyzzz de Recife/PE @deividfrancaamaral de Maetinga/BA @g4bas de Atalaias/AL @guitere85 de Teresópolis/RJ @Heb1m de Vespasiano/MG @JEAN DUTRA SACRAMENTO de Fortaleza/CE @Jhonxxz do Rio de Janeiro/RJ @luislfpfelipe de Bauru/SP E temos mais se você quiser entrar em contato. 😉 
      Então, se você precisa incluir pessoas na sua cidade, capital próxima, ou tem vaga home-office já manda uma mensagem direta. É só passar o mouse sobre nome da pessoa. 🙂
      No entanto, atenção: não é para envolver essas pessoas em processos seletivos que não consideram a inclusão. A disputa com quem teve mais oportunidades na vida é desigual. A gente precisa que você as envolva no programa de inclusão da sua empresa, ou da empresa de amigo (caso não tenha um programa de inclusão, não tem hora melhor para criar um já com gente para ser incluída!). 😉 
      Aqui na Mente Binária a gente prepara para que as pessoas sejam recebidas em futuros programas de inclusão. Não é dizer que em 4 meses formamos analistas de SOC ou profissionais de AppSec. Seria desonesto com você e com quem estudou com a gente. A verdade é que fornecemos uma base muito boa para que a pessoa seja inserida em programas futuros, seja para pessoas pretas ou não. Agora elas saíram do zero e foram para o um. Sua missão é levá-la ao dois. Posso contar contigo? 💚
       
       
       

    • Se você é do time de desenvolvedores que ama elaborar projetos pessoais para explorar novos tópicos aleatórios pelo simples objetivo de saciar a sua curiosidade, este é o evento certo para você!
      A GambiConf preenche uma lacuna nas conferências tech. Isso porque não foca em uma linguagem específica nem nas últimas novidades em programação e pesquisas acadêmicas usualmente úteis para a indústria.
      Obviamente eventos com tais focos também são mais que necessários, mas a oportunidade para quem quer compartilhar suas conquistas e buscar pessoas com o mesmo hobby está nos dias 25 e 26 de novembro de 2023, na USP - Campus Butantã. 
      Você já deve saber que projetos pessoais muitas vezes não são focados em serem úteis para a indústria, o que faz com que eventos mais sérios com esse foco sejam resistentes a aceitar esse tipo de palestra.
      A própria tecnologia também dificulta falar sobre um tema aleatório, pois exige requisitos. Imagine que você queira falar sobre como construir um computador usando apenas água. Por essa ideia não estar relacionada a nenhuma linguagem de programação ou a algum ambiente como o acadêmico ou a indústria, essa talk que certamente pode ser bem divertida, ficará de fora.
      É assim que a GambiConf vem preencher essa falta: oferecendo a você um espaço para falar para outros desenvolvedores curiosos sobre as suas ideias. Porque acima de tudo, esse é um evento que acredita que todos somos criativos e devemos explorar essa criatividade, mostrá-la e trocar ideias para ir além.
      É sobre colocar o foco mais no aspecto lúdico dos projetos apresentados e em tudo o que podemos aprender com um tema aleatório ou com uma ideia pouco comum. O ambiente perfeito para se inspirar para o próximo projeto pessoal e ter com quem compartilhar a paixão de ser uma pessoa genuinamente curiosa!
      O que mais torna a GambiConf diferenciada?
      As palestras incomuns que são aceitas pela GambiConf são úteis para aprender um novo tópico. Por exemplo:
      Uma palestra sobre como executar DOOM em um arquivo PDF pode abordar como o formato PDF funciona, suas especificações e outros formatos relacionados. Uma palestra sobre como fazer um chat web funcional usando apenas HTML e CSS pode abranger mais tecnologias web. Claro, existem eventos com propósito semelhante a esse, como é o caso da !!Con, um lugar para encontrar palestras divertidas e projetos pessoais malucos que surpreendem. Mas por lá as apresentações estão limitadas a 10 minutos. 
      E é aí que entra outro grande diferencial da GambiConf: é possível aprender muito mais com um tópico aleatório que leva tempo para ser explicado com mais detalhes. É por isso que os palestrantes daqui têm a liberdade de decidir a duração da palestra. 
      Como resultado, a GambiConf não se enquadra apenas em palestras curtas como as da !!Con, mas também em palestras que exploram um assunto mais amplo. 
      Outro exemplo de evento assim é a SIGBOVIK, que é quando alguém leva a piada muito a sério. Eles publicam um “paper” com todas as ideias malucas e fazem um divertido “congresso acadêmico”. Os diversos assuntos apresentados neste evento têm um espírito próximo ao nosso.
      E a GambiConf é uma mistura desses eventos, sem foco na indústria e direcionado para palestras 4fun, com horários flexíveis para os palestrantes abordarem o assunto até onde quiserem.
      E como foram as outras edições da GambiConf?
      Até o momento, aconteceram duas edições da GambiConf, uma online e outra em Portugal. Certamente o objetivo foi alcançado, tanto no aspecto de diversão como também em qualidade técnica. 
      A primeira edição do evento no país, em 2021, foi online, com foco na audiência brasileira. É por isso que o mascote é um mico-leão-dourado.
      Devido ao fantástico feedback positivo, os organizadores decidiram realizar, já no ano seguinte, uma nova edição, porém, testando algumas diferenças: apresentações em inglês, com um dia presencial em Portugal, e o dia seguinte online.
      As duas edições foram um sucesso e levaram o evento à sua terceira edição.
      Para inspirar você a participar da edição 2023, 100% presencial, elencamos algumas das talks que já rolaram e sintetizam o espírito da GambiConf:
      Teoria e pesquisa na área da computação, cobrindo tópicos fora da caixa: Como fazer um computador usando água Criatividade computacional
        Projetos pessoais divertidos:  Escrevendo um compilador de Game Boy usando Forth Trazendo o gameplay do Klonoa dentro dum jogo do Sonic Engenharia reversa da computação de satélite Fazendo o seu próprio driver de impressora Estação meteorológica apenas com JS Sendo criativo com hardware + emuladores de jogos antigos
        Soluções criativas para problemas reais: Google Sheets como um CMS em potencial Imitando features de JS e fazendo over-engineering com CSS Segfault como otimização Quero participar da GambiConf
      Se a GambiConf parece interessante e essas ideias todas atraíram você, não tenha dúvida alguma de fazer parte desse projeto!
      Essa é uma conferência multilingue, não limitada a uma única tecnologia específica. O foco está mais no propósito dos projetos apresentados, na natureza única de cada sessão e o que podemos aprender a partir de uma ideia bem aleatória e inusitada. 
      A ideia é encorajar as pessoas a testarem novas ideias e descobrirem novas coisas pelo simples prazer da curiosidade e exploração.
      Os palestrantes podem escolher qual idioma se sentem mais confortáveis para apresentar (português ou inglês), bem como se preferem fazer uma talk ou liderar um hands-on em um projeto open source. 
      Seja apresentando ou apenas indo ao evento, abaixo seguem todos os links para você saber mais sobre a GambiConf e garantir sua participação: 
      Submeta sua palestra Confira nosso site Siga-nos no Twitter (vulgo X) Siga-nos no Instagram Siga-nos no LinkedIn Juntos, vamos tornar a computação mais divertida!
       

    • Você se considera um profissional atual, falando a língua que o momento pede, contextualizado com as demandas, conhecedor dos novos paradigmas da segurança e, claro, tecnicamente em dia? Conversamos com diversos líderes de equipes da área, contratantes e estudiosos do setor para entender quem é o profissional de infosec do momento!
      Não tem jeito. Por mais técnica ou intelectual que seja a profissão que escolhemos, o fator humano não perdoa quando é deixado em segundo plano. Se você é um profissional de segurança da informação e não encara a comunicação, a flexibilidade e o entendimento (mínimo) de negócios como um pilar da sua carreira, saiba que você está parado no tempo.
      A constatação vem de diversos CSOs, CISOs e observadores do mercado ouvidos pela redação da Mente Binária. Eles tinham a missão de nos ajudar a compreender que características mostram que um profissional de segurança está no auge do momento presente, integrado com as demandas atuais, pronto para ter um papel de peso nas empresas em que trabalhar, em outras palavras, tinindo! E também buscamos saber o que mais caracteriza uma pessoa que "estacionou" enquanto o mundo de infosec andou.
      "Hoje o que eu levo muito em consideração é o pensamento crítico, a empatia e o senso de liderança, porque trabalhamos com solução de conflitos, então é obrigatório saber conversar com o cliente e ter tato", diz Dayvidson dos Santos Bezerra, líder técnico de gestão de vulnerabilidades e de gestão de compliance, na Tempest. Ele gere uma equipe de 12 profissionais e garante: "Se o candidato não tiver isso, eu não contrato". Ele explica sua posição firme: "Diferente de outras áreas da TI, a área de segurança vai ter reuniões com o CEO, com o CTO e outros C levels, inclusive conversas que nem sempre são amenas. Então essa pessoa precisa saber tomar decisões e lidar bem com conflitos".
      Rodrigo Vetere, CISO da Monkey, plataforma de antecipação de recebíveis, pensa da mesma forma. O tema da comunicação foi o ponto mais alto na sua régua de avaliação do profissional de segurança de hoje. "Ele tem que estar confortável para se comunicar de forma clara e fugir do 'tecniquês'. Tem que entender do negócio, onde há termos específicos, e fazer essa ponte. Aliás, eu vejo o elo de segurança como o mais importante para fazer um vínculo com tecnologia e negócios e garantir que aquele ambiente esteja seguro", diz Vetere. Em sua reflexão, ele percebe que 
      a proximidade com o desenvolvedor e com a tecnologia torna o profissional de segurança uma pessoa central para fazer tudo funcionar. "No passado, segurança era só uma pontinha, hoje está tudo diferente, tem muito mais material, mais leis, o mercado cresceu", alerta.
      Para ter mais abrangência na pesquisa, fomos em busca de ouvir pessoas que estão acostumadas a olhar perfis profissionais todos os dias, procurando pelo candidato ideal para a vaga ideal, o famoso headhunter. E a Viviane Sampaio, gerente de recrutamento para TI na Robert Half, contou sua visão, bem em linha com os executivos da Tempest e da Monkey.

      "Uma das coisas que mais interferem na decisão por um profissional de segurança é o comportamental. A gente vê pessoas muito boas, que dominam o assunto, mas na hora de falar com gente da área de negócios, com clientes internos e externos elas têm dificuldade para transmitir o que sabem. O ideal é que a pessoa técnica tenha uma habilidade de comunicação desenvolvida e que entenda e se coloque no lugar do outro ao explicar", ela nos disse, ao lembrar de uma história recente: "Um cliente reclamou que o profissional contratado não conseguia expor as visões dele nas reuniões, que gostava de trabalhar sem falar com as pessoas. A empresa está tentando continuar com ele, porque o conhecimento que ele tem é importante, mas já cogitou fazer a troca do profissional", contou a Viviane.

      Viviane Sampaio, da Robert Half: A habilidade da comunicação não é apenas um acessório, é fundamental
       
      Resumindo a visão desses três participantes ativos do mercado de segurança, o sentimento que fica é de que o perfil estigmatizado de alguém que vive imerso em pesquisas e ambientes de nível técnico extremo, num trabalho muitas vezes solitário, já não é mais sustentável. Viviane, que entrevista e busca pessoas diariamente como headhunter, é categórica: "A comunicação não é um acessório, porque as empresas correm muitos riscos e precisam ter alguém capaz de traduzir e explicar o porquê de uma solução e não outra, por que uma marca e não outra. Tem que haver uma conversa muito clara para essas tomadas de decisão".
      Uma pessoa que também observa esse setor todos os dias é o Oscar Isaka, que é Analista Diretor Sênior de Segurança e Gestão de Riscos do Gartner. Olha a resposta dele para a nossa primeira pergunta: "Quais são as características ideais do profissional de segurança de hoje?". A resposta: "A segurança da informação é uma área extremamente ampla. Existe uma ideia de que o profissional de segurança fica sozinho e isolado em uma sala cheia de telas e servidores, e essa descrição não poderia estar mais longe da realidade. Da gestão de risco, passando por privacidade e incluindo, claro, os setores mais técnicos, a segurança está bastante difundida por todas as áreas das empresas e não está mais somente limitada ao departamento de Tecnologia da Informação. As características ideais de um profissional de segurança vão depender da área de atuação. No entanto, é possível listar: comunicação; curiosidade e vontade de aprender para a vida toda; habilidades analíticas; paixão e conhecimento técnico", nessa ordem.
      Nem só de comunicação se faz o profissional de infosec herói 2023
      Uma pausa no assunto de humanas para cuidar um pouco das exatas, afinal, uma avalanche de novidades em processos e tecnologias nos últimos anos também tem exigido muito de quem trabalha em segurança.
      Gilmar Esteves é CISO na Zup Innovation, onde gere um time de 60 pessoas. Para responder nossa pergunta sobre a principal característica do profissional de infosec atualizado, Esteves focou bastante em comparar o passado recente com o presente. E suas investigações o levaram a pontuar dois aspectos: desenvolvimento/automação e nuvem. "Hoje em dia, é praticamente tudo em nuvem e isso muda tudo. Cinco anos atrás, tínhamos uma limitação de recursos. Hoje, com a nuvem mais madura, você adiciona e cria imediatamente e isso aumenta a superfície de ataque, por falta de controles ou erro humano", ressalta Esteves. Ele compreende que ainda há muitas empresas, até mesmo os grandes bancos, que usam mainframes e estruturas on premise, mas pede que os profissionais que atuam nessas empresas coloquem como objetivo se familiarizarem com o que a nuvem vem impondo.

      Gilmar Esteves, da Zup: Conhecimentos em desenvolvimento e nuvem evidenciam se o profissional está atualizado
      Outro ponto que destaca um especialista em segurança hoje na opinião de Esteves é a sua lida com desenvolvimento. "Acredito que uma das principais características de um profissional de segurança da informação tem a ver com código. Tem que entender de software e sistemas. Nos últimos dois anos temos visto gente mudando o jogo com 'infraestrutura as a code', 'segurança as a code'... como você ajuda um desenvolvedor a 'codar' melhor se você não entende de código?", instiga.
      Ele conta que na sua equipe de segurança há diversos desenvolvedores. "Isso nos ajuda a tornar parte do problema e parte da solução. Isso acelera a entrega e evolui a maturidade da equipe. Nesse modelo, o time de segurança deve conhecer, estudar e testar a vulnerabilidade e até mesmo corrigir", afirma.
      Falando em estudar, está aí uma realidade na vida de quem trabalha em infosec, não é mesmo? Mas para não deixar o conceito "estudar" um pouco vago, trazemos aqui o depoimento do fundador da Mente Binária, Fernando Mercês (que também é pesquisador incansável), sobre esse que, para ele, é o number one na lista do profissional sucesso de segurança hoje: "Se informar, ler mesmo. Não é só 'ficar sabendo no twitter'. É ler os papers, os relatórios de vulnerabilidades, de novos malwares, novos ataques. Ler e praticar para aprender, para poder saber, de fato", destaca Mercês, que continua: "Tem muita gente que sabe de muitas coisas, mas não tem propriedade sobre o assunto, porque não dedicou tempo para estudar aquilo. Uma coisa é ler e outra coisa é colocar em prática", enfatiza o pesquisador.
      E ele aprofunda um aspecto fundamental aqui, sobre o objetivo em estudar e ler mais profundamente: "Para saber como aquilo te afeta, porque às vezes você está numa empresa e sai uma vulnerabilidade muito grave de um determinado produto e está todo mundo preocupado, mas, de repente, a sua empresa nem usa aquele produto, ou nem usa aquele produto com aquela configuração que foi revelada ser vulnerável. Então o estudo tem que ser mais profundo. Você vai saber menos de coisas diferentes, mas vai saber bastante do que importa para sua empresa, pro seu contexto. Então é uma mudança de um oceano vasto e raso, para um oceano menor e profundo de informação", conclui Mercês.
      As dificuldades de contratação
      Para Esteves, da Zup, o ponto cloud se destaca entre os desafios de preencher suas vagas em segurança: "Às vezes as pessoas têm certificação, mas não têm prática. Por isso que hoje, a gente tem a prioridade de contratar pessoas sem experiência, com a ajuda de programas, [como o Do Zero ao Um], para trabalhar sua formação dentro de casa", conta ele, acrescentando que o baixo conhecimento em sistemas operacionais e desenvolvimento estão juntos nesse combo de dificuldades para contratar.
      Para o CISO da Monkey, Vetere, a flexibilidade aparece como palavra-chave. "Quem chega 'já sabendo', com muitas certezas, cabeça fechada e sendo pouco flexível não vai ter futuro. Essa postura de 'já sei' dificulta as coisas", desabafa. No lugar disso, ele valoriza o profissional que se mantém atualizado e interessado em entender a necessidade que se apresenta. "Ele vai ter que querer entender melhor, trazer ideias, fazer perguntas", aponta. Vetere conta que tem entrevistado pessoas em conjunto com lideranças de outras áreas e que tem sido um desafio o equilíbrio entre o lado técnico e o lado soft skills. "Tive dificuldade de cativar outras pessoas para avaliar o entrevistado, porque as linguagens ficam muito distantes".
      Isaka, do Gartner, traz à tona o que muitos já sabem e já têm lidado: A demanda está enorme no mundo todo e só tende a crescer. "Profissionais com experiência e qualificação têm sido cada vez mais difíceis de encontrar e a competição se torna incrivelmente alta. Encontrar esses profissionais, com a qualificação desejada, dentro das expectativas de compensação da empresa é um dos grandes desafios", aponta o analista diretor, nos obrigando a pular para o próximo tópico, que é a competição com salários "gringos".

      Oscar Isaka, do Gartner: Se manter curioso e interessado é primordial
       
      Não sem antes registrar esses dados aqui do SC2 Cyber Security Workforce Study 2022: O (ISC)2 revelou que apesar de mais de 464 mil trabalhadores de cibersegurança serem agregados ao mercado em 2021, o gap nessa força de trabalho cresceu 26,2%, que é mais que o dobro desse acréscimo de profissionais. O resultado dessa conta é que a força de trabalho em infosec vem se tornando uma profissão em extrema necessidade de mais pessoas.
      US$ x R$
      É conhecida de todos aqui a tendência da evasão de profissionais para o mercado internacional. Nossos entrevistados formam coro em dizer que esta tem sido uma pedra no sapato na hora de compor um time de segurança de primeira."Se você for disputar um profissional sênior no mercado, vai ter um problema sério, porque são muito caros. Para empresas americanas pagarem US$ 5000 para um analista é até pouco, mas, no Brasil, faça as contas", lamenta Esteves, da Zup, que não vê outra saída a não ser o investimento em fortalecer a equipe internamente: "O foco é sempre estar trabalhando na formação de alguém, assim conseguimos dar um conteúdo qualitativo para o colaborador e, em paralelo, conseguimos inserir nossa cultura nesse ensino. No longo prazo, você acaba tendo um profissional que faz carreira na empresa", conta o executivo.
      Na visão dele, essa dificuldade deve se acentuar nos próximos tempos, com a maioria das empresas voltando ao presencial, exigindo mudanças drásticas na rotina de quem se habituou a trabalhar em qualquer lugar, gerenciando vida pessoal, casa, atividades físicas e família. "Para quem tem filhos, essa retomada  complica a vida e favorece a busca por outros caminhos", reflete Esteves.
      Vetere, da Monkey, concorda e acrescenta que essas vagas internacionais combinam com o perfil desse profissional, que pode, inclusive, se dividir em mais de um trabalho, conciliando fusos horários e demandas específicas. "Esse profissional acaba assumindo freelas e abrindo espaço para ganhar muito dinheiro. Difícil atrair um cara desse, que pode caçar vulnerabilidades em casa, sem se preocupar com todos os aspectos que uma empresa demanda".
      Viviane, da Robert Half, reconhece o mesmo problema. Além dos pontos levantados por Esteves e Vetere, ela volta alguns passos antes e questiona o próprio sistema de formação educacional brasileiro, que acaba contribuindo com essa evasão. 
      "Essa é uma matéria que não é fácil. Precisa estudar demais para poder proteger o ambiente de uma empresa. E o Brasil não forma profissionais na velocidade certa. E aí, essa velocidade baixa de formação acaba levando à escassez de senioridade, que é a maior demanda das empresas", pontua a headhunter.
      Mercês, da Mente Binária, adiciona o papel fraco que a educação formal no Brasil ainda desempenha. "Se a formação não for estruturada e sólida, a pessoa pode achar que está pronta, e aí o mercado vai ser o responsável por dizer que ela não está, seja contratando e demitindo, cortando em layoff, seja não contratando, ou seja contratando para posições que não são o que a pessoa queria", aponta ele, ao continuar: "Então, acho que a indústria da educação desempenha um papel muito importante na qualidade desse profissional desde o começo, já que muitas vezes a pessoa não sabe o que é importante aprender. Os educadores são os responsáveis por dizer o que é importante, e se esses educadores não estiverem bem intencionados ou bem informados, aí a gente tem um problema grande".
      RESUMÃO
      Se você pulou o texto todo depois que leu a palavra "resumão", agradeça aos nossos entrevistados, que nos ajudaram a compor uma lista objetiva do quadro que vivemos hoje quando se trata da profissão em cibersegurança. Vamos aos highlights!
      Características do profissional que pode se considerar atualizado:
      Estudioso. Estuda a fundo e pratica o que estuda e nunca para de estudar; Nuvem. Não há como fugir. Boa comunicação. Primordial, seja para conscientizar as pessoas ou informar sobre riscos/vulnerabilidades/características técnicas. Falar inglês é quase obrigatório; Amigo do código. Se no passado existia uma rixa entre devs e infosec, hoje a palavra de ordem é interoperabilidade. Habilidades analíticas. É preciso gostar de resolver problemas e achar soluções;  Paixão. Profissional de segurança não tem uma carreira, mas sim um estilo de vida; Mix. Conhecimento técnico e vivência prática dependem um do outro para impulsionar uma carreira de sucesso. Soft skills. Entende-se por: capacidade de diálogo, pensamento crítico, flexibilidade, saber ouvir, saber transmitir bem uma ideia, empatia. Preocupações que não existiam (ou não eram tão fortes) 5 anos atrás e hoje são vitais à carreira:
      Fraudes atuais (PIX, WhatsApp, etc). Privacidade. Ataques cibernéticos em geral. Inteligência Artificial. Formação sólida em computação e específica em cibersegurança. Características do profissional de segurança que "parou no tempo”
      Não buscar entender os crimes que, de fato, envolvem blockchain e outras criptomoedas, IOT, Cloud, IA, computação quântica e as consideram simples buzzwords. Achar que não é preciso estudar, porque já passou por todas as dificuldades do mercado. Não aprofundar as relações no trabalho e preferir não se relacionar com os outros. Se achar “especial”. Pessoas que ainda não viraram a chave para entender que só existe segurança, pois existe um negócio a ser protegido e que a colaboração é primordial. A segurança deve servir ao negócio.  

    • Negócios de todas as verticais e de todos os tamanhos vêm passando por profundas mudanças do ponto de vista tecnológico.
      Essas mudanças trazem uma série de benefícios, mas também desafios dentre os quais se destacam o aumento da complexidade - representada pelo número de tecnologias adotadas pelas organizações - e a expansão das fronteiras do negócio.
      Este segundo ponto, particularmente, representa um desafio especial.
      O aumento das fronteiras do negócio - seja com a adoção do home-office, seja com a migração para a nuvem ou com a adoção de outras tecnologias - significa um aumento na dificuldade para manter a visibilidade de toda a estrutura, especialmente nos pontos mais críticos como as conexões com colaboradores, parceiros, fornecedores e clientes, por exemplo.
      Nunca antes líderes de segurança tiveram que lidar com ambientes com tamanha variedade
      de ativos para gerenciar.
      O Gartner considera a expansão da superfície de ataque a principal tendência de gerenciamento de risco e segurança dos últimos anos. O instituto calcula que até 2026, as empresas verão suas superfícies de ataque sofrerem um aumento de menos de 10% atualmente para mais de 50% da exposição total dos seus negócios.
      Dentre os desafios deste novo cenário podemos destacar:
      Novos assets como notebooks e outros dispositivos na infraestrutura corporativa Sistemas de que dependem de monitoramento e aplicação de atualizações Ambientes em nuvem Identidade e acesso Para proteger as empresas nesta realidade, investimentos em novas tecnologias de segurança capazes de monitorar e proteger suas estruturas, no entanto, em muitos casos o gerenciamento destas ferramentas fica comprometido por uma série de fatores incluindo: falta de recursos humanos, inexistência de especialistas ou a falta de um profissional dedicado para alguma necessidade específica.
      Para contornar este desafio, uma solução buscada por muitas empresas foram os Managed Security Services, ou MSS e, dentre a gama de serviços oferecidos por operações de MSS, o gerenciamento de tecnologias de segurança (Security Technology Management - STM) se destaca por endereçar justamente o desafio central: proteger o negócio em um ambiente altamente complexo do ponto de vista tecnológico.
      Para compreender a importância da integração e do constante gerenciamento das tecnologias de segurança e como os serviços de gerenciamento podem ajudar a responder aos novos desafios da segurança corporativa, a Tempest desenvolveu o ebook Gerenciamento de Tecnologias de Segurança: Garantindo a melhor experiência e eficiência no combate às ameaças cibernéticas.
      No ebook abordamos:
      A complexidade do cenário tecnológico Os desafios de cibersegurança oriundos deste cenário Como os investimentos em cibersegurança trouxeram novos desafios aos times de segurança A integração e o gerenciamento de tecnologias de segurança com serviços de Security Technology Management Contar com o parceiro certo faz a diferença na proteção dos dados em qualquer ambiente
      A Tempest Security Intelligence é uma empresa brasileira com atuação global. É a maior companhia brasileira especializada em cibersegurança e prevenção a fraudes digitais. Sediada no Recife, a Tempest conta também com escritórios em São Paulo e Londres, com
      mais de 600 colaboradores.
      Ao longo de seus 23 anos, a Tempest ajudou a proteger mais de 600 empresas de todos os portes e setores, dentre elas companhias do setor financeiro, varejo, e-commerce, indústria e healthcare, atuando em clientes nacionais e internacionais atendidos tanto pelo time no Brasil quanto no Reino Unido.
      Em 2020, a Tempest conquistou um parceiro de peso para continuar na vanguarda da cibersegurança, recebendo um grande aporte da Embraer, companhia brasileira de engenharia aeroespacial, o qual resultou em um dos maiores investimentos já realizados na história do setor de cibersegurança na América Latina.
       

×
×
  • Criar Novo...