Jump to content
    • Ana Martins
      Duvido que você não conheça alguém que teve sua conta de Instagram sequestrada; ou pelo menos que tenha recebido um link de uma oferta irresistível, ou um pedido de pix para terceiros. Como diz o meme, “o golpe tá aí”, e as pessoas caem por desatenção, ou por se deixar levar pelas informações enganosas. 
      Foi pensando em trazer mais informações à população e ajudar a identificar os riscos cada vez mais presentes de ser vítima de um desses golpes que o Observatório de Crimes Cibernéticos (OCC), lançou nesta quinta-feira, 04, o e-book “É bom demais para ser verdade?”, escrito por Alesandro Barreto, delegado de Polícia Civil do Piauí, em parceria com Natália Siqueira, policial civil de São Paulo. 
      O livro traz uma lista dos 50 golpes mais comuns na internet, descrevendo de forma bem simples e didática como é o modus operandi de cada um deles, e ainda ensina as medidas para recuperar contas sequestradas, e orienta o que deve ser feito caso seja vítima desse tipo de golpe.
      “Eu acredito na educação digital da população como uma maneira de mitigar esses crimes. Nossa missão é trazer informação, e quanto mais cursos, palestras e informações sobre o assunto houver, melhor”, afirma Barreto. 
      Na lista dos 50 golpes mais comuns, as orientações de prevenção acabam passando por um ponto comum: desconfie. Isso até tem a ver com o nome do livro. “Se parece bom demais, fácil demais ou até simples demais, desconfie, é golpe”, salienta o delegado. 
      Outro ponto em comum das medidas a serem tomadas pós-golpe é a importância de denunciar e registrar um boletim de ocorrência. “Isso nos ajuda a ter uma dimensão do problema, impedindo que os casos fiquem subnotificados, e trazem mais elementos para que os casos sejam solucionados, e criminosos não saiam impunes”. 
      O livro está disponível neste link, e pode ser baixado gratuitamente. A ideia é compartilhar com o máximo de pessoas que puder. “A tecnologia oferece coisas maravilhosas a todos, e ela sempre vai trazer inovações. A questão não é a tecnologia, são as pessoas, daí a importância de conscientizar a população. Precisamos fortalecer a cultura de segurança digital”, finaliza. 
      E-book: É bom demais para ser verdade? - 50 tipos de golpes digitais 
      https://occ.org.br/downloads/e-book-50-tipos-golpes-digitais.pdf
       

    • A Tempest Security Intelligence lançou na segunda-feira (24) um novo serviço diário de notícias sobre cibersegurança. O serviço, chamado Cyber Morning Call, utiliza o formato de podcast para trazer, todas as manhãs, os assuntos mais relevantes das últimas 24 horas, incluindo novos ataques, vulnerabilidades e ameaças.
      Usando uma linguagem acessível, o Cyber Morning Call foi criado para trazer insights importantes para quem precisa tomar decisões sobre cibersegurança, segundo o seu curador e apresentador, Carlos Cabral. 
      Cabral é pesquisador de cibersegurança da área de Threat Intelligence da Tempest e, na seleção dos temas de cada edição, conta também com a expertise de mais de um ano em curadoria de conteúdo de cibersegurança realizada pelo time responsável pelo boletim No Radar, entregue diariamente por email a clientes da Tempest.
      Versatilidade levou à escolha do formato 
      Segundo Cabral, a ideia de ter um podcast na Tempest não é recente, “deve ter já uns 3 ou 4 anos”. E a escolha do formato se deu pela facilidade com que ele pode ser consumido. “A pessoa pode baixar no celular e ouvir a qualquer momento, sem interromper o que está fazendo… é diferente de parar para ver um vídeo no YouTube, por exemplo”.
      Mas, de acordo com o pesquisador, para criar um podcast era necessário desenvolver algumas ações prévias. Uma delas era desenvolver um ritmo diário de produção editorial, o que foi possível com o boletim No Radar. 
      “O No Radar passou a ser um primeiro filtro para o roteiro do podcast. Eu pego aquele material e seleciono o que é mais relevante, incrementando com outros fatos e notícias que porventura aconteçam durante a madrugada para entregar algo ainda mais atualizado”, conta. 
      Morning Calls de bancos foram inspiração para o podcast da Tempest
      A inspiração para o Cyber Morning Call partiu dos morning calls diários, que eram chamadas telefônicas feitas por agentes do mercado como bancos.
      Eles ligavam para seus clientes para informar sobre o que aconteceu no dia anterior, informar sobre indicadores econômicos, tendências para o dia, etc, para que o investidor pudesse balizar suas decisões. “Muitos desses Morning Calls, inclusive viraram podcasts…”, segundo Cabral.
      “A gente entende que hoje os assuntos de cibersegurança passaram a ter uma importância similar, por isso escolhemos o nome Cyber Morning Call… A intenção é, logo pela manhã, fornecer um conjunto de informações para o tomador de decisão de cibersegurança para ajudá-lo a conduzir o seu dia. 
      Público inclui de gestores a interessados nos temas da cibersegurança
      Segundo Cabral, a iniciativa está diretamente ligada à missão da Tempest de tornar a cibersegurança um direito do mundo, especialmente porque: “em primeiro lugar o conteúdo é público. Qualquer pessoa interessada no assunto pode baixar e consumir à vontade, não precisa ser necessariamente um profissional, muito menos um gestor de segurança”. 
      Para atingir o maior público possível, Cabral conta que há todo um esforço para trazer a linguagem das pautas o mais próximo possível de uma linguagem acessível a todos; “claro que a depender do tema não tem como evitar de usar um jargão mais técnico - mas esse esforço existe, até porque o próprio tomador de decisão em uma empresa nem sempre é um técnico e ele precisa entender os impactos e mesmo riscos de cada pauta”. 

      Primeiros episódios já estão disponíveis

      Os primeiros episódios do Cyber Morning Call já estão disponíveis nas principais plataformas de podcasts, incluindo Apple Podcasts, Spotify e Google Podcasts. Clique aqui para saber mais.
       

    • É sempre bom quando me deparo com um projeto de software livre criativo. E é a cara do Brasil ser o berço de softwares assim. Aqui no Mente Binária, além de trabalharmos muito pela formação tecnológica no Brasil, também mantemos vários projetos de software livre e para isso contamos não só com a comunidade, mas também com dois estagiários que começaram conosco ano passado. São dois estudantes de programação que, além de trabalharem nos nossos projetos, também desenvolvem seus próprios.
      E é justamente sobre um caso desse que venho falar hoje: o OPM (Oxidized Packager Manager) é um gerenciador de pacotes de pacotes DEB, então pode ser usado em sistemas como Ubuntu, Debian, Kali, etc. No entanto, o FallAngel, principal desenvolvedor, pretende estender este suporte a outros tipos de pacote, como o RPM.
      Os seguintes sub-comandos são suportados pelo OPM:
      clear – Limpa o cache do OPM help – Exibe a ajuda install – Instala um pacote remove – Remove um pacote search – Busca por um pacote update – Atualiza o cache do OPM O OPM gerencia as dependências, assim com o APT. O código, escrito em Rust, é super enxuto e o desenvolvedor não vê a hora de receber contribuições. Se você conhece da linguagem ou está a fim de aprender, ou mesmo tem só a curiosidade de saber como um gerenciador de pacotes funciona, tá aí sua oportunidade, isso porque o desenvolvedor é brasileiro e acessível.
      Downloads, código e mais informações podem ser obtidas no repositório do OPM no Github.
      Velocidade
      Se tem uma coisa que chama atenção no OPM é a velocidade. Uma busca em todos os pacotes disponíveis dura menos que um segundo! Olha só:
      # export PKG_FMT=deb $ time sudo target/release/opm search ht | grep -i editor ht - Viewer/editor/analyser (mostly) for executables real 0m0.067s user 0m0.051s sys 0m0.015s Olha a velocidade de instalar o tmux... 0 segundos!
      $ sudo ./target/release/opm install tmux Installing tmux for debian ... Looking up for dependencies ... Done Installing 2 NEW package libevent-core-2.1-7 tmux After this operation, 561.26KiB of additional disk space will be used. Do you want to continue? [Y/n] y Done Installing libevent-core-2.1-7 ... Done Installing tmux ... Running pre-install script ...Done Running post-install script ...Done Installed tmux in 0 seconds Compatibilidade
      O OPM é genérico e foi feito principalmente para permitir a instalação de pacotes personalizados. No entanto, com a variável de ambiente PKG_FMT=deb, ele passa a utillizar os repositórios do APT.
      Inifinitas possibilidades
      Imagine um sistema embarcado onde manter a infraestrutura de um DPKG, RPM ou APT seja muito custosa (espaço, performance, etc)... O OPM parece ser ideal. 🙂
      Ou ao desenvolver seu próprio Linux, por que não ir de OPM?
      Comunidade
      Falando em ser acessível, junto com outros membros do servidor do Mente Binária no Discord (e possivelmente outros), o desenvolvedor do OPM e outros amigos criaram a comunidade CoffeCode no Discord, pública para quem quiser trocar ideia sobre programação e aprender. Não por coincidência, Rust tá no topo dos canais, mas também há canais para C/C++, Python, Assembly, Java e Golang. 😊
       

    • O que será que o mundo da computação e segurança da informação está mais precisando em termos de especialização? Sabemos que o que mais as empresas necessitam, hoje, é investir em segurança, e para isso é preciso ter profissionais habilitados a trabalhar para que o ambiente das companhias esteja o mais protegido e disponível possível, dentro, é claro, do que está ao seu alcance.
      Em novembro nós falamos um pouco sobre alguns dos crimes cibernéticos que ocorreram em 2021. A cada dia há mais e mais casos de ataques, e para isso ser mitigado, profissionais da área bem capacitados são requeridos.
      O que ocorre no Brasil é um déficit desses profissionais. Um estudo da (ISC)² indica que, em 2021, o Brasil alcançou uma defasagem de 441 mil profissionais do segmento, sendo esse número o maior entre os 14 países avaliados pela pesquisa.
      O estudo sugere ainda que, diante do avanço das ameaças digitais durante a pandemia, essa força especializada precisa crescer 65% em todo o mundo. 
      E o que as empresas veem como as profissões que mais vão precisar de gente este ano?
      Entrevistamos diretores do Olist, Spod, Conviso e Tempest, e com base nas respostas, fizemos uma listinha das áreas que serão mais demandadas em 2022:
                1. Segurança defensiva ou ofensiva
      Segundo Samuel Riesz, líder do time de segurança no Olist, profissionais experientes e capacitados em segurança da informação (em qualquer vertente) estão em falta no mercado, e a tendência para as empresas é piorar a situação. 
      A Tempest também está sempre muito focada em identificar profissionais especializados e com grande potencial na área de segurança da informação, seja ofensiva ou defensiva, conforme diz Gilberto Pimentel, gerente de Recursos Humanos da empresa. 
      Um profissional em início de carreira na área de SI tem uma remuneração média mensal entre R$ 4 mil e R$ 6 mil, segundo Pimentel. Ele destaca ainda que para se preparar para essa profissão é preciso dominar certas ferramentas e técnicas. "Em geral, é interessante possuir conhecimento geral dos sistemas. Assim, o entendimento da dinâmica de funcionamento será mais eficiente", pontua.
                2. Engenharia de software ou de segurança
      Essa também foi uma profissão que apareceu entre nossos especialistas. Para a Conviso, o engenheiro de segurança de aplicações, mais especificamente, está entre as principais profissões demandadas para este ano. "Este profissional do planejamento e desenho de aplicações seguras", explica Wagner Elias, CEO da Conviso.
      "Isso envolve a definição de arquiteturas e soluções até o acompanhamento do desenvolvimento e atendimento a requisitos que foram definidos por modelagens de ameaças", continua.
      Segundo Elias, no Brasil a média salarial deste profissional é de R$8 mil CLT, mas pode alcançar cifras bem mais altas de acordo com a experiência prática do profissional. 
                3. Analista de Suporte Técnico 
      Para Rafael Cimatti, co-fundador da Spod, essa é a profissão que vai despontar em 2022. "O analista de suporte técnico deve conhecer os produtos (hardware e software) da empresa para poder auxiliar os clientes e executar manutenções quando necessário".
      A remuneração inicial aproximada é de R$ 2,3 mil, mas o analista pode crescer indo para a área comercial como pré-venda ou ainda para a área técnica de desenvolvimento de produtos, segundo Cimatti.
                4. Profissionais de AppSec
      O Olist também possui uma demanda por bons profissionais de segurança de aplicações (AppSec) que conheçam além do básico, entendam bem de arquitetura de software e de soluções tecnológicas. "Também temos sentido uma grande falta de profissionais de arquitetura de segurança, que conheçam de aspectos de segurança de infraestrutura, gestão de identidade e acesso, operações de segurança e boas práticas de segurança no geral", relata Samuel Riesz.
      Falando especificamente em funções dentro de segurança, ele acredita que a função de analista de segurança de aplicações e similares serão as mais demandadas.
      Profissões de segurança da informação em alta no mundo inteiro
      Não importa muito com qual dessas áreas você se identifica mais. "Todas, repito, todas as profissões dentro de segurança da informação estão em alta no mundo inteiro", reforça Riesz. Segundo ele, não faltam recrutadores assediando diariamente todos os profissionais do ramo.
      "Cyber security tem, cada vez mais, se consolidado como prioridade do mundo corporativo. O incremento dos investimentos em segurança tem, evidentemente, gerado uma procura considerável por profissionais de segurança da informação", diz Gilberto Pimentel, da Tempest. 
      Wagner Elias, da Conviso, também destaca que a demanda por esses profissionais continuará crescendo, especialmente engenheiros de segurança de aplicações. "Os desafios para construir aplicações resilientes a ataques são cada vez mais altos e as tecnologias evoluem constantemente. Não irá existir em um curto período uma solução ou ferramenta que substituam o trabalho de um bom especialista".
      Já para quem quiser ir para o suporte técnico, como indicou a Spod, as oportunidades de crescimento também são grandes. "O analista pode crescer indo para a área comercial como pré-venda ou ainda para a área técnica de desenvolvimento de produtos", ressalta Rafael Cimatti.
      O que estudar?
      Não fique perdido na hora de buscar especializações em uma das áreas citadas. "Para o analista de suporte técnico é necessário ter conhecimento geral na área de TI e informática e gostar de aprender, já que nessa área sempre temos novas tecnologias e produtos no mercado", diz Cimatti. 
      Cursos como Sistemas de Informação, Ciência da Computação, Engenharia Computacional, Análise e Desenvolvimento de Sistemas são recomendados para esta área.
      Os profissionais de segurança da informação, tanto ofensiva quanto defensiva, precisam dominar certas ferramentas e técnicas, além de possuir conhecimento geral dos sistemas. "Recomenda-se, ainda, a formação em curso de tecnologia e áreas afins", diz Gilberto Pimentel. "Certificações, ainda que não sejam obrigatórias, também são ótimas fontes de conhecimento". 
      E ele indica trabalhos em configuração de sistemas e suporte como excelentes oportunidades para obter conhecimento básico, além da formação em curso de tecnologia e áreas afins. 
      Já o engenheiro de segurança de aplicações precisa ter uma base sólida em arquitetura e desenvolvimento de aplicações e dominar os padrões de arquitetura e construção de aplicações cloud native, explica Wagner Elias.
      No caso de AppSec, o profissional que atua nessa área precisa gostar de desenvolvimento de software e ter curiosidade e perseverança para superar desafios é base para evoluir na carreira profissional.
      "É necessário estudar e se desenvolver em assuntos como Desenvolvimento de Software Seguro, Exploração de Vulnerabilidades em Softwares, Redes de Computadores, Arquitetura de Software e se manter bem atualizado no mundo de segurança", indica Samuel Riesz.
      E ele já dá a letra: "hoje já existe muito material disponível de maneira gratuita na Internet". Veja o que ele elencou de mais relevante para o estudo da área:
      Livro: Tangled Web - A Guide to Securing Modern Web Applications - by Michal Zalewski – https://nostarch.com/tangledweb - "Livro essencial para quem quer iniciar na área de segurança de aplicações. Apesar de já estar um pouco datado ainda é referência na área"; Livro: Real-World Bug Hunting - A Field Guide to Web Hacking - by Peter Yaworski - https://nostarch.com/bughunting - "Um pouco mais recente, aborda direto ao assunto técnicas reais para testes em aplicações"; https://www.hackthebox.com/ - "Um playground para segurança ofensiva de todas as maneiras, essencial para quem está na área e quer se manter sempre em evolução"; https://pentesterlab.com/ - "Ótima plataforma para desenvolver habilidades ofensivas em web hacking"; https://gohacking.com.br/cursos - "Atualmente uma das melhores escolas de segurança cibernética e é brasileira!" https://ine.com/pages/cybersecurity - "Ótimos cursos com ótima didática"; https://www.offensive-security.com/courses-and-certifications/ - "Must have para quem quer realmente se diferenciar na área. Os cursos e certificações da Offsec estão entre os mais valorizados do mercado". Para quem conhece um pouquinho de lógica de programação, temos o curso certo aqui mesmo no Mente Binária, que é nosso treinamento gratuito de programação em C e fornece bases computacionais importantes para qualquer futuro (e presente) programador:
      Aproveite as oportunidades, se habilite e esteja preparado para iniciar ou decolar em sua carreira em 2022, suprindo umas das principais demandas do mercado de trabalho atual!

    • No último dia 10 de dezembro aconteceu em São Paulo a 11ª edição do Tempest Talks, evento da Tempest onde grandes nomes do mercado discutem sobre os temas mais relevantes de cibersegurança.
      Com formato híbrido, o evento foi realizado na Sociedade Hípica Paulista e transmitido online via YouTube; esta edição teve como tema Novas tecnologias e cibersegurança: como conectá-las em um cenário de alta complexidade. (Veja o evento na íntegra no final deste artigo)
      Complexidade tecnológica inspirou o tema da edição 2021
      Os últimos anos viram uma combinação de fatores que aumentou exponencialmente a complexidade dos negócios.
      Além disso, a pandemia da COVID-19 trouxe uma série de transformações sociais, e muitas delas refletem diretamente no cotidiano das empresas.
      Isso se deu, em parte, graças à aceleração nos processos de digitalização das rotinas nas organizações – seja para atender a seus clientes durante a pandemia, seja para acomodar uma nova rotina de trabalho remoto e/ou híbrido.
      Tudo isso trouxe uma nova dimensão para as perguntas “o quê e como proteger na minha empresa?”.
      Em meio a essa nova e crescente complexidade há uma questão fundamental a ser respondida:  o que é preciso para adotar novas tecnologias ou metodologias sem abrir mão da segurança nesse novo contexto?
      Essa questão inspirou a escolha do tema desta edição do TTalks.
       
      Tempest Talks 2021 – Palestras e painel
      Para responder a essa questão foi selecionado um time composto de especialistas e profissionais com diferentes visões sobre os papéis da tecnologia e da segurança da informação neste novo contexto.
      Em Open Revolution: A Complexidade da Inovação Tecnológica em Ambientes Ultraconectados o fundador da Futurum Capital, Guga Stocco lembrou que cada vez mais as decisões que envolvem a escolha de uma tecnologia precisam considerar tanto  plataformas e estruturas envolvidas na própria operação do negócio quanto suas interações com estruturas de terceiros ou mesmo com ecossistemas inteiros.
      Ao mesmo tempo lembrou que plugar a segurança no processo de implantação de qualquer tecnologia está entre os principais desafios desta decisão.
      Este desafio foi o ponto central da palestra Tecnologias de proteção da identidade:  adoção e implantação com foco na evolução da segurança de Glauco Sampaio, CISO da CIELO.
      Glauco destacou que a evolução dos negócios traz um conflito entre manter-se seguro e oferecer a melhor experiência para seus clientes e que a solução para este conflito passa por uma abordagem de segurança que seja adaptativa, e que esteja em constante evolução.
      Sob essa lógica, tecnologias não podem ser adotadas como um fim em si mesmo, mas como ferramentas para atingir um objetivo, agindo em conjunto, com um mesmo propósito e sob constante revisão.
      As questões de ambas as talks foram também abordadas no painel Inteligência Artificial e Machine Learning: os CISOs e os times de segurança estão preparados para utilizá-los na gestão de riscos cibernéticos?
      O debate contou com Cristiano Lincoln Mattos (CEO da Tempest), Bruno Motta (CISO da Magazine Luiza), Marcello Zillo Neto (Director of Customer Success for Cybersecurity da Microsoft) e Paulo Alessandro (Head de Sales Engineering da Tempest).
      O wrap up do evento ficou a cargo do CTO da Tempest, João Paulo Lins na palestra Open Banking: O que já é possível falar sobre a segurança desse ecossistema.
      Partindo do exemplo prático do Open Banking, João abordou a questão da segurança da informação neste novo contexto tecnológico.
       
      Assista abaixo a íntegra do Tempest Talks 2021:

       

    • Não, você não leu errado, e nem nós cometemos um erro de digitação. O que queremos propor aqui é um exercício de imaginação e expectativas. O que esperamos que evolua no mercado de Segurança de Aplicações ao longo dos próximos 10 anos? Quais são as maiores mudanças - tecnológicas, culturais, comportamentais, educacionais - que gostaríamos de testemunhar ao longo da próxima década neste mercado?
      Para começar, perguntamos aos especialistas da Conviso, que vivem este tema no dia a dia. Na sequência, queremos saber a sua opinião por meio dos comentários, combinado? Conte para nós: o que você acha - ou espera - que mude neste mercado ao longo dos próximos anos?
       
       
      Gustavo Marinho, Analista da Segurança da Informação do time de MSS, conta que já atuou em times de Desenvolvimento ao longo de três anos antes de trabalhar na Conviso, e que o conhecimento sobre AppSec raramente chegava até estes times. “Era algo exclusivo de Infosec”, relata. Confira o que ele vê para este mercado ao longo da próxima década:
      Enxergo que, nos próximos 10 anos, programas de Security Champions terão uma alta demanda, de forma que os próprios desenvolvedores vão aprender mais sobre segurança e defender a bandeira do desenvolvimento seguro. Imagino que cada vez mais os times de produto e as squads de desenvolvimento terão uma preocupação em desenvolver softwares de forma segura. Resumidamente, vejo que AppSec será algo abraçado pelos times de desenvolvimento e possivelmente até pelos profissionais de produto (Product Owner de squads, por exemplo), deixando de se tornar algo majoritariamente do interesse dos profissionais de segurança.
       
       
      Já o Analista de Segurança da Informação do time de Consulting Evandro Pinheiro de Oliveira aposta na evolução das ferramentas. Confira:
      Uma tendência que percebemos no mercado é a parte de ferramentas. Uma amostra disso é o assistente do Azure, a Nuvem da Microsoft, que fica monitorando e dando recomendações para melhorar a postura de segurança dos seus clientes. Claro, temos mais exemplos da evolução de ferramentas da segurança que podem ser combinadas com o aprendizado de máquina/ inteligência artificial para uma nova geração dessas ferramentas. Como das categorias de Security Information and Event Management (SIEM) ou de web application firewall (WAF) que monitoram, registram, alertam e podem tomar decisões ao analisar o tráfego de dados nas aplicações.
       
       
      O Tech Lead Rodrigo Maués, também da área de Consulting, diz que acha complicado fazer previsões acerca de uma área que muda a cada dia, mas aposta em uma mudança de perfil cultural muito grande quando o tema é desenvolvimento de aplicações. Confira:
      Passaremos a olhar profissionais de desenvolvimento não apenas como criadores de uma aplicação, mas como donos da solução, pois é no desenvolvimento que AppSec acontece.
      Essa visão vai moldar um novo ponto, onde equipes de segurança começam a deixar de ser o centro para se tornarem parte do processo - e isso é uma mudança cultural grande nos dias de hoje. Além disso, pontos que entendemos hoje como diferenciais se tornarão obrigatórios, como o conhecimento do dev, que obrigatoriamente vai passar a contemplar conhecimento de práticas de AppSec.
      Também acredito que programas de Security Champions serão os novos "hits" e a existência de um security champion dentro do processo de AppSec será quase que obrigatório.
      Gerencialmente, eu imagino que a principal mudança vai ser na percepção da importância do processo de segurança de aplicação. Não é de hoje que quase todos os negócios se baseiam em soluções de software, que na grande maioria estão expostas, então é natural pensar que isso deve ser um foco de segurança. As legislações estão aí para mostrar que isso deve ser olhado de forma diferente.
       
      Bom, essas foram algumas previsões dos especialistas da Conviso para os próximos dez anos. 
      Mas para melhor compreender como está o mercado neste momento, a empresa especialista em AppSec está realizando uma pesquisa sobre o mercado de Segurança de Aplicações no Brasil, voltada para empresas brasileiras de todos os setores e portes, que lidem com dados sensíveis de usuários.
      São apenas 11 perguntas, que podem ser respondidas em menos de cinco minutos. A pesquisa pode ser respondida anonimamente.
      O ideal é que ela seja respondida por algum profissional ligado à TI, Segurança ou Desenvolvimento da empresa, com conhecimento acerca do orçamento da empresa para a área. 
      Se você se encaixa neste perfil, não deixe de participar da pesquisa sobre o Mercado de AppSec em 2022!

    • Você já ouviu falar em Developer Advocate? Papel ainda pouco difundido no Brasil, o termo refere-se à pessoa responsável por intermediar os interesses de desenvolvedores. 
      Quando atua em nome de uma empresa de software, este profissional faz uma ponte de contato entre os desenvolvedores e a plataforma e se envolve com as comunidades de devs. A pessoa developer advocate busca então difundir o produto, indo atrás de feedbacks confiáveis com os usuários para, assim, garantir a melhoria contínua do produto para esse público.
      Mas como isso funciona, na prática?
      Na Conviso, existe há tempos a ideia de evangelizar o mercado sobre a importância da Segurança de Aplicações – e neste contexto, o Developer Advocate tem papel fundamental. 
      Além disso, o papel deste profissional é também garantir que o produto da empresa – o AppSec Flow, uma plataforma completa de DevSecOps – esteja cumprindo bem a função de empoderar devs na construção de aplicações mais seguras.
      Para isso, é necessário que esse profissional – que na Conviso é o Gabriel Galdino – torne-se usuário da plataforma, para ter uma compreensão completa acerca de como ela funciona, e também quais são os seus gaps e pontos de melhoria, para que ela seja sempre otimizada.  
      O que é preciso para se tornar Developer Advocate?
      Os pré-requisitos para trabalhar como Developer Advocate envolvem ter um conhecimento prévio em desenvolvimento de software e comunidade open source; bem como habilidades interpessoais, como ser sociável e ter um perfil inovador. Ter um bom inglês também ajuda muito.
      Além disso, é preciso saber que sua rotina envolverá desenvolver e manter recursos para desenvolvedores, bem como representar a empresa e participar do ecossistema e da comunidade de desenvolvedores, construindo relacionamentos sólidos com a comunidade.
      Trocamos uma ideia com o Gabriel Galdino (foto ao lado), Developer Advocate da Conviso, para ele contar um pouco sobre os desafios e a rotina deste cargo. 
      Ele é formado em Relações Internacionais, e foi durante um mestrado, quando estudava sobre as cadeias produtivas da Apple, que decidiu buscar novos ares para a carreira e ingressou de cabeça nas comunidades de desenvolvedores. Atualmente está em uma graduação em Análise e Desenvolvimento de Sistemas.
      Enquanto Developer Advocate na Conviso, quais têm sido seus desafios desempenhando esse papel?
      Tenho dedicado meu tempo para ajudar os Insiders a serem bem-sucedidos e produtivos com a ferramenta que amam e usam, o AppSec Flow. Para isso, tem sido necessário conhecer cada um dos desenvolvedores, além de construir relacionamentos com as comunidades externas de devs. Construir conexões genuínas é a minha paixão, entretanto, exige tempo. A capacidade de fazer conexões humanas é de longe o aspecto mais importante desse trabalho.
      Outro desafio é a definição de métricas para uma função que não é tradicional. Dado aos vários planos de fundo e às tarefas exclusivas do Developer Advocate, pode ser difícil encaixar métricas tradicionais a uma função em que um dos seus papéis principais é construir relacionamentos e criar elo entre a empresa e a comunidade.
      Como busca referências para executar seu trabalho no dia a dia?

      Atualmente faço parte de uma comunidade brasileira de Developer Relations, espaço que tem sido bastante útil para a troca de experiências e desafios. Além disso, acompanho atividades das(os) Developers Advocates Elder Moraes (Red Hat) e Carolina Fonseca (Zup Innovation) no Brasil; e também de Developers Advocates estrangeiras(os) Vickie Li (ShiftLeft) e JJ Asghar (IBM). Grande parte dos Dev Advocates está explorando um território totalmente novo sem um manual, então estamos todos aprendendo juntos e compartilhando novas experiências incríveis a todo momento.
      Acrescento também à lista de referências o livro THENGVALL, Mary. The Business Value of Developer Relations: How and Why Technical Communities Are Key to Your Success. Nacionalmente, tem os artigos científicos sobre Developer Relations do professor e pesquisador Awdren Fontão, os quais tem me ajudado a entender de modo mais profundo as dinâmicas da função.
      Você comentou comigo que existem dois "papeis”, um mais externo e um mais interno do developer advocate - quais são eles?
      O profissional Developer Advocate é responsável por atuar como apoio e agente facilitador na gestão de comunidades de desenvolvedores, levando em consideração o propósito e a cultura do negócio. Na Conviso, seu principal objetivo é empoderar os desenvolvedores sobre a importância do desenvolvimento seguro e garantir que as ferramentas desenvolvidas pela empresa sejam amigáveis e produtivas aos insiders. Nas comunidades externas de desenvolvedores, por meio da disseminação de conteúdo e recursos técnicos, o Advocate age como um “evangelizador”, conscientizando as pessoas sobre a importância da segurança e cultura AppSec no desenvolvimento de aplicações.
      Se você gostou do tema e quer saber mais sobre o universo da Segurança de Aplicações e Desenvolvimento Seguro, não deixe de assinar a newsletter da Conviso!
      Inscreva-se na newsletter!

×
×
  • Create New...