Security Officer: como contratar este profissional?

É isso mesmo, aquele jovem que foi até a sua organização oferecendo proteção, ora apresentando evidências da fragilidade do seu website, ora fazendo demonstrações práticas de ataque ao seu sistema, em sua grande maioria não está ainda em condições de coordenar uma tática de proteção dos seus ativos de informação.

O grande engano é confundir gestão de segurança da informação com refinados conhecimentos em técnicas de intrusão; aquele que sabe invadir, não necessariamente saberá defender. Grandes empresas recebem mensalmente dezenas de currículos de jovens profissionais da informática interessados em preencher a tão cobiçada vaga, mas fica no ar a dúvida: Como determinar o perfil do profissional de gerência de segurança da informação? Quais os requisitos? Como avaliar?

Em primeiro lugar, é necessário entender e aceitar que o gestor tático do processo de segurança deve ser alguém capaz de planejar ações, resolver macro problemas e comunicar resultados. Esta é a química necessária à formação do seu gestor. Em alguns casos, como em instituições financeiras, empresas de telecomunicações ou empresas de comércio eletrônico, é indispensável que o gerente de segurança conheça a fundo as nuances do business que pretende proteger.

Deixaremos o gênio da informática de lado? Claro que não, parte integrante de uma boa equipe, este profissional com alto conhecimento técnico será responsável pela operacionalização das táticas e pela implementação dos controles de segurança necessários à empresa, seja na configuração de um firewall ou no desenvolvimento de uma solução personalizada, sempre coordenado pelo Security Officer.

Quando entrevistamos o candidato, devemos considerar que algumas características pessoais são tão ou mais importantes que a sua capacitação técnica. Enumerarei algumas das diversas atribuições indispensáveis ao bom gestor de segurança, características que têm sua importância elevada quando compreendemos que este funcionário terá acesso a praticamente todas as informações sigilosas da organização e será ponto focal dos eventos de segurança no ambiente corporativo. Não tenho por objetivo esgotar o assunto. Antes disso, utilizem este documento como um roteiro de suporte, e não como instrumento único de avaliação.

1) Ótima capacidade de comunicação

A figura do Security Officer será responsável por manter os executivos da empresa informados sempre que o assunto envolver segurança da informação; significa que além de uma forte habilidade na comunicação escrita (estilo, clareza e objetividade), o gestor deve ser capaz de defender verbalmente frente ao grupo executivo, a necessidade de se investir, por exemplo, em um novo modelo de firewall, ou sobre a importância da inserção de políticas de segurança ao documento já existente. Significa que os memorandos internos não deverão ser repassados com siglas do informatiquês, típico ?Peço aos usuários que não façam mais requisições na porta 25 depois do horário de expediente, ou que durante a reunião com o Comitê Executivo, não adiantará nada dizer ?Eu preciso de um IDS interligado ao firewall na DMZ.

Um bom trabalho é composto de forma (apresentação, recurso visual e etc.) e conteúdo (produto, idéia e etc.). De nada adianta um relatório entregue ao presidente da companhia ou ao diretor de TI, se este não inspirar o interesse em lê-lo. Faz-se necessário um pré-processamento das informações. Ao invés de apresentar o relatório com 80 páginas de logs, seria conveniente demonstrar em um gráfico uma síntese das informações mais importantes. Esta habilidade em entender a visão do estrategista e apresentar-lhe somente o que interessa é indispensável ao Security Officer.

2) Capacidade de conciliar interesses de segurança e interesses do negócio O Security Officer deve ser capaz de perceber, dentre uma série de opções de serviços e produtos do mercado, aquela que melhor se enquadra ao perfil e aos interesses da organização. O ?melhor produto? é aquele que serve de maneira adequada às necessidades de determinado processo ou unidade de negócio.

Para justificar um investimento em segurança da informação, é importante que o gestor domine conceitos de Return on Investment e Return on Opportunity, e que faça uso destas ferramentas para projetar períodos de payback.