Quem sou eu na carreira de cibersegurança?

Você se considera um profissional atual, falando a língua que o momento pede, contextualizado com as demandas, conhecedor dos novos paradigmas da segurança e, claro, tecnicamente em dia? Conversamos com diversos líderes de equipes da área, contratantes e estudiosos do setor para entender quem é o profissional de infosec do momento!

Não tem jeito. Por mais técnica ou intelectual que seja a profissão que escolhemos, o fator humano não perdoa quando é deixado em segundo plano. Se você é um profissional de segurança da informação e não encara a comunicação, a flexibilidade e o entendimento (mínimo) de negócios como um pilar da sua carreira, saiba que você está parado no tempo.

A constatação vem de diversos CSOs, CISOs e observadores do mercado ouvidos pela redação da Mente Binária. Eles tinham a missão de nos ajudar a compreender que características mostram que um profissional de segurança está no auge do momento presente, integrado com as demandas atuais, pronto para ter um papel de peso nas empresas em que trabalhar, em outras palavras, tinindo! E também buscamos saber o que mais caracteriza uma pessoa que "estacionou" enquanto o mundo de infosec andou.

"Hoje o que eu levo muito em consideração é o pensamento crítico, a empatia e o senso de liderança, porque trabalhamos com solução de conflitos, então é obrigatório saber conversar com o cliente e ter tato", diz Dayvidson dos Santos Bezerra, líder técnico de gestão de vulnerabilidades e de gestão de compliance, na Tempest. Ele gere uma equipe de 12 profissionais e garante: "Se o candidato não tiver isso, eu não contrato". Ele explica sua posição firme: "Diferente de outras áreas da TI, a área de segurança vai ter reuniões com o CEO, com o CTO e outros C levels, inclusive conversas que nem sempre são amenas. Então essa pessoa precisa saber tomar decisões e lidar bem com conflitos".

Rodrigo Vetere, CISO da Monkey, plataforma de antecipação de recebíveis, pensa da mesma forma. O tema da comunicação foi o ponto mais alto na sua régua de avaliação do profissional de segurança de hoje. "Ele tem que estar confortável para se comunicar de forma clara e fugir do 'tecniquês'. Tem que entender do negócio, onde há termos específicos, e fazer essa ponte. Aliás, eu vejo o elo de segurança como o mais importante para fazer um vínculo com tecnologia e negócios e garantir que aquele ambiente esteja seguro", diz Vetere. Em sua reflexão, ele percebe que 
a proximidade com o desenvolvedor e com a tecnologia torna o profissional de segurança uma pessoa central para fazer tudo funcionar. "No passado, segurança era só uma pontinha, hoje está tudo diferente, tem muito mais material, mais leis, o mercado cresceu", alerta.

Para ter mais abrangência na pesquisa, fomos em busca de ouvir pessoas que estão acostumadas a olhar perfis profissionais todos os dias, procurando pelo candidato ideal para a vaga ideal, o famoso headhunter. E a Viviane Sampaio, gerente de recrutamento para TI na Robert Half, contou sua visão, bem em linha com os executivos da Tempest e da Monkey.

"Uma das coisas que mais interferem na decisão por um profissional de segurança é o comportamental. A gente vê pessoas muito boas, que dominam o assunto, mas na hora de falar com gente da área de negócios, com clientes internos e externos elas têm dificuldade para transmitir o que sabem. O ideal é que a pessoa técnica tenha uma habilidade de comunicação desenvolvida e que entenda e se coloque no lugar do outro ao explicar", ela nos disse, ao lembrar de uma história recente: "Um cliente reclamou que o profissional contratado não conseguia expor as visões dele nas reuniões, que gostava de trabalhar sem falar com as pessoas. A empresa está tentando continuar com ele, porque o conhecimento que ele tem é importante, mas já cogitou fazer a troca do profissional", contou a Viviane.

Viviane Sampaio, da Robert Half: A habilidade da comunicação não é apenas um acessório, é fundamental

Resumindo a visão desses três participantes ativos do mercado de segurança, o sentimento que fica é de que o perfil estigmatizado de alguém que vive imerso em pesquisas e ambientes de nível técnico extremo, num trabalho muitas vezes solitário, já não é mais sustentável. Viviane, que entrevista e busca pessoas diariamente como headhunter, é categórica: "A comunicação não é um acessório, porque as empresas correm muitos riscos e precisam ter alguém capaz de traduzir e explicar o porquê de uma solução e não outra, por que uma marca e não outra. Tem que haver uma conversa muito clara para essas tomadas de decisão".

Uma pessoa que também observa esse setor todos os dias é o Oscar Isaka, que é Analista Diretor Sênior de Segurança e Gestão de Riscos do Gartner. Olha a resposta dele para a nossa primeira pergunta: "Quais são as características ideais do profissional de segurança de hoje?". A resposta: "A segurança da informação é uma área extremamente ampla. Existe uma ideia de que o profissional de segurança fica sozinho e isolado em uma sala cheia de telas e servidores, e essa descrição não poderia estar mais longe da realidade. Da gestão de risco, passando por privacidade e incluindo, claro, os setores mais técnicos, a segurança está bastante difundida por todas as áreas das empresas e não está mais somente limitada ao departamento de Tecnologia da Informação. As características ideais de um profissional de segurança vão depender da área de atuação. No entanto, é possível listar: comunicação; curiosidade e vontade de aprender para a vida toda; habilidades analíticas; paixão e conhecimento técnico", nessa ordem.

Nem só de comunicação se faz o profissional de infosec herói 2023

Uma pausa no assunto de humanas para cuidar um pouco das exatas, afinal, uma avalanche de novidades em processos e tecnologias nos últimos anos também tem exigido muito de quem trabalha em segurança.

Gilmar Esteves é CISO na Zup Innovation, onde gere um time de 60 pessoas. Para responder nossa pergunta sobre a principal característica do profissional de infosec atualizado, Esteves focou bastante em comparar o passado recente com o presente. E suas investigações o levaram a pontuar dois aspectos: desenvolvimento/automação e nuvem. "Hoje em dia, é praticamente tudo em nuvem e isso muda tudo. Cinco anos atrás, tínhamos uma limitação de recursos. Hoje, com a nuvem mais madura, você adiciona e cria imediatamente e isso aumenta a superfície de ataque, por falta de controles ou erro humano", ressalta Esteves. Ele compreende que ainda há muitas empresas, até mesmo os grandes bancos, que usam mainframes e estruturas on premise, mas pede que os profissionais que atuam nessas empresas coloquem como objetivo se familiarizarem com o que a nuvem vem impondo.

Gilmar Esteves, da Zup: Conhecimentos em desenvolvimento e nuvem evidenciam se o profissional está atualizado

Outro ponto que destaca um especialista em segurança hoje na opinião de Esteves é a sua lida com desenvolvimento. "Acredito que uma das principais características de um profissional de segurança da informação tem a ver com código. Tem que entender de software e sistemas. Nos últimos dois anos temos visto gente mudando o jogo com 'infraestrutura as a code', 'segurança as a code'... como você ajuda um desenvolvedor a 'codar' melhor se você não entende de código?", instiga.

Ele conta que na sua equipe de segurança há diversos desenvolvedores. "Isso nos ajuda a tornar parte do problema e parte da solução. Isso acelera a entrega e evolui a maturidade da equipe. Nesse modelo, o time de segurança deve conhecer, estudar e testar a vulnerabilidade e até mesmo corrigir", afirma.

Falando em estudar, está aí uma realidade na vida de quem trabalha em infosec, não é mesmo? Mas para não deixar o conceito "estudar" um pouco vago, trazemos aqui o depoimento do fundador da Mente Binária, Fernando Mercês (que também é pesquisador incansável), sobre esse que, para ele, é o number one na lista do profissional sucesso de segurança hoje: "Se informar, ler mesmo. Não é só 'ficar sabendo no twitter'. É ler os papers, os relatórios de vulnerabilidades, de novos malwares, novos ataques. Ler e praticar para aprender, para poder saber, de fato", destaca Mercês, que continua: "Tem muita gente que sabe de muitas coisas, mas não tem propriedade sobre o assunto, porque não dedicou tempo para estudar aquilo. Uma coisa é ler e outra coisa é colocar em prática", enfatiza o pesquisador.

E ele aprofunda um aspecto fundamental aqui, sobre o objetivo em estudar e ler mais profundamente: "Para saber como aquilo te afeta, porque às vezes você está numa empresa e sai uma vulnerabilidade muito grave de um determinado produto e está todo mundo preocupado, mas, de repente, a sua empresa nem usa aquele produto, ou nem usa aquele produto com aquela configuração que foi revelada ser vulnerável. Então o estudo tem que ser mais profundo. Você vai saber menos de coisas diferentes, mas vai saber bastante do que importa para sua empresa, pro seu contexto. Então é uma mudança de um oceano vasto e raso, para um oceano menor e profundo de informação", conclui Mercês.

As dificuldades de contratação

Para Esteves, da Zup, o ponto cloud se destaca entre os desafios de preencher suas vagas em segurança: "Às vezes as pessoas têm certificação, mas não têm prática. Por isso que hoje, a gente tem a prioridade de contratar pessoas sem experiência, com a ajuda de programas, [como o Do Zero ao Um], para trabalhar sua formação dentro de casa", conta ele, acrescentando que o baixo conhecimento em sistemas operacionais e desenvolvimento estão juntos nesse combo de dificuldades para contratar.

Para o CISO da Monkey, Vetere, a flexibilidade aparece como palavra-chave. "Quem chega 'já sabendo', com muitas certezas, cabeça fechada e sendo pouco flexível não vai ter futuro. Essa postura de 'já sei' dificulta as coisas", desabafa. No lugar disso, ele valoriza o profissional que se mantém atualizado e interessado em entender a necessidade que se apresenta. "Ele vai ter que querer entender melhor, trazer ideias, fazer perguntas", aponta. Vetere conta que tem entrevistado pessoas em conjunto com lideranças de outras áreas e que tem sido um desafio o equilíbrio entre o lado técnico e o lado soft skills. "Tive dificuldade de cativar outras pessoas para avaliar o entrevistado, porque as linguagens ficam muito distantes".

Isaka, do Gartner, traz à tona o que muitos já sabem e já têm lidado: A demanda está enorme no mundo todo e só tende a crescer. "Profissionais com experiência e qualificação têm sido cada vez mais difíceis de encontrar e a competição se torna incrivelmente alta. Encontrar esses profissionais, com a qualificação desejada, dentro das expectativas de compensação da empresa é um dos grandes desafios", aponta o analista diretor, nos obrigando a pular para o próximo tópico, que é a competição com salários "gringos".

Oscar Isaka, do Gartner: Se manter curioso e interessado é primordial

Não sem antes registrar esses dados aqui do SC2 Cyber Security Workforce Study 2022: O (ISC)2 revelou que apesar de mais de 464 mil trabalhadores de cibersegurança serem agregados ao mercado em 2021, o gap nessa força de trabalho cresceu 26,2%, que é mais que o dobro desse acréscimo de profissionais. O resultado dessa conta é que a força de trabalho em infosec vem se tornando uma profissão em extrema necessidade de mais pessoas.

US$ x R$

É conhecida de todos aqui a tendência da evasão de profissionais para o mercado internacional. Nossos entrevistados formam coro em dizer que esta tem sido uma pedra no sapato na hora de compor um time de segurança de primeira."Se você for disputar um profissional sênior no mercado, vai ter um problema sério, porque são muito caros. Para empresas americanas pagarem US$ 5000 para um analista é até pouco, mas, no Brasil, faça as contas", lamenta Esteves, da Zup, que não vê outra saída a não ser o investimento em fortalecer a equipe internamente: "O foco é sempre estar trabalhando na formação de alguém, assim conseguimos dar um conteúdo qualitativo para o colaborador e, em paralelo, conseguimos inserir nossa cultura nesse ensino. No longo prazo, você acaba tendo um profissional que faz carreira na empresa", conta o executivo.

Na visão dele, essa dificuldade deve se acentuar nos próximos tempos, com a maioria das empresas voltando ao presencial, exigindo mudanças drásticas na rotina de quem se habituou a trabalhar em qualquer lugar, gerenciando vida pessoal, casa, atividades físicas e família. "Para quem tem filhos, essa retomada  complica a vida e favorece a busca por outros caminhos", reflete Esteves.

Vetere, da Monkey, concorda e acrescenta que essas vagas internacionais combinam com o perfil desse profissional, que pode, inclusive, se dividir em mais de um trabalho, conciliando fusos horários e demandas específicas. "Esse profissional acaba assumindo freelas e abrindo espaço para ganhar muito dinheiro. Difícil atrair um cara desse, que pode caçar vulnerabilidades em casa, sem se preocupar com todos os aspectos que uma empresa demanda".

Viviane, da Robert Half, reconhece o mesmo problema. Além dos pontos levantados por Esteves e Vetere, ela volta alguns passos antes e questiona o próprio sistema de formação educacional brasileiro, que acaba contribuindo com essa evasão. 
"Essa é uma matéria que não é fácil. Precisa estudar demais para poder proteger o ambiente de uma empresa. E o Brasil não forma profissionais na velocidade certa. E aí, essa velocidade baixa de formação acaba levando à escassez de senioridade, que é a maior demanda das empresas", pontua a headhunter.

Mercês, da Mente Binária, adiciona o papel fraco que a educação formal no Brasil ainda desempenha. "Se a formação não for estruturada e sólida, a pessoa pode achar que está pronta, e aí o mercado vai ser o responsável por dizer que ela não está, seja contratando e demitindo, cortando em layoff, seja não contratando, ou seja contratando para posições que não são o que a pessoa queria", aponta ele, ao continuar: "Então, acho que a indústria da educação desempenha um papel muito importante na qualidade desse profissional desde o começo, já que muitas vezes a pessoa não sabe o que é importante aprender. Os educadores são os responsáveis por dizer o que é importante, e se esses educadores não estiverem bem intencionados ou bem informados, aí a gente tem um problema grande".

RESUMÃO

Se você pulou o texto todo depois que leu a palavra "resumão", agradeça aos nossos entrevistados, que nos ajudaram a compor uma lista objetiva do quadro que vivemos hoje quando se trata da profissão em cibersegurança. Vamos aos highlights!

Características do profissional que pode se considerar atualizado:

• Estudioso. Estuda a fundo e pratica o que estuda e nunca para de estudar;
• Nuvem. Não há como fugir.
• Boa comunicação. Primordial, seja para conscientizar as pessoas ou informar sobre riscos/vulnerabilidades/características técnicas. Falar inglês é quase obrigatório;
• Amigo do código. Se no passado existia uma rixa entre devs e infosec, hoje a palavra de ordem é interoperabilidade.
• Habilidades analíticas. É preciso gostar de resolver problemas e achar soluções; 
• Paixão. Profissional de segurança não tem uma carreira, mas sim um estilo de vida;
• Mix. Conhecimento técnico e vivência prática dependem um do outro para impulsionar uma carreira de sucesso.
• Soft skills. Entende-se por: capacidade de diálogo, pensamento crítico, flexibilidade, saber ouvir, saber transmitir bem uma ideia, empatia.

Preocupações que não existiam (ou não eram tão fortes) 5 anos atrás e hoje são vitais à carreira:

• Fraudes atuais (PIX, WhatsApp, etc).
• Privacidade.
• Ataques cibernéticos em geral.
• Inteligência Artificial.
• Formação sólida em computação e específica em cibersegurança.

Características do profissional de segurança que "parou no tempo”

• Não buscar entender os crimes que, de fato, envolvem blockchain e outras criptomoedas, IOT, Cloud, IA, computação quântica e as consideram simples buzzwords.
• Achar que não é preciso estudar, porque já passou por todas as dificuldades do mercado.
• Não aprofundar as relações no trabalho e preferir não se relacionar com os outros.
• Se achar “especial”. Pessoas que ainda não viraram a chave para entender que só existe segurança, pois existe um negócio a ser protegido e que a colaboração é primordial. A segurança deve servir ao negócio.