Pelas visitas que tenho feito à algumas empresas brasileiras, posso dizer que grande parte das equipes de segurança da informação estão sobrecarregadas. O maior problema que tenho notado é que os profissionais que são responsáveis pelos projetos de segurança, também são responsáveis pela operação de segurança. Isso causa um conflito inexorável entre o que é urgente e o que é importante. Respectivamente, Operação de Segurança e Projetos de Segurança. Na maioria das vezes o "urgente" toma grande parte do tempo do profissional e a maturidade do ambiente é elevada muito vagarosamente. Como a maturidade é baixa, os problemas e incidentes continuam a "roubar" o tempo do "importante" e o ciclo vicioso nunca termina. Ou nunca terminava…
Outro problema encontrado é que alguns profissionais de segurança da informação são "pilotos" de soluções de segurança. Estes profissionais, em geral, sabem muito sobre uma solução de firewall ou de IPS mas compreendem muito vagamente os desafios que a segurança nos apresenta todos os dias. O verdadeiro profissional de segurança precisa olhar para um ambiente de TI e enxergar as lacunas e "gaps", entender quais destes devem ser priorizados e ajudar a mitigá-las, mesmo nas ações mais básicas do dia-a-dia. Infelizmente, profissionais com esta capacidade estão cada vez mais escassos no mercado.
O verdadeiro profissional de segurança da informação é inquieto. Pelo menos, no meu tempo, ele era… Eles gostam de movimento, de aprender, ler artigos e "papers", fazer laboratórios para entender como tudo funciona na prática e estar sempre na vanguarda sobre o mundo de SI. Em geral, este profissional tem paixão por extrair o máximo das soluções e proteções de Segurança. Ter profissionais com este perfil, além de trazer benefícios óbvios, diminui o custo de treinamento e formação (muito altos no Brasil) pois eles são autodidatas. E adoram isso!
No final das contas pode até ser fácil achar profissionais de segurança, mas encontrar um que se encaixe neste perfil é uma tarefa árdua e nem sempre bem-sucedida. Ou seja, a priorização do tempo da equipe de SI não é o único problema. Se você identificou um membro da sua equipe ou um companheiro de trabalho com este perfil, você esta diante de uma raridade hoje.
Terceirização traz maturidade
Para evitar que estes profissionais tenham de lidar diariamente com as tarefas da operação e possam se dedicar aos projetos que irão elevar o nível de maturidade da SI, é recomendado terceirizar parcialmente ou totalmente a operação de segurança. Existem muitas empresas no mercado mundial que oferecem este tipo de serviço com competência e custos compatíveis com a realidade do mercado brasileiro.
No final do dia, estas empresas irão transformar 1 milhão de eventos de segurança diários em poucos alertas. Alguns alertas serão tratados pela própria empresa, através de mudanças nas configurações dos ativos de segurança, outros serão encaminhadas para as equipes de TI para adequação. Assim, se você conta com um profissional conforme eu descrevi anteriormente, seu tempo será utilizado apenas no que é realmente urgente. O resto, fica com o que é importante.
Se, como a maioria das empresas do Brasil, você não conta com este profissional, não se preocupe. Também existem modelos de serviço que disponibilizam recursos humanos para suprir esta necessidade, além de tudo mais que foi citado anteriormente.
Estes modelos de serviço vêm da constatação dos líderes de negócio de que não é eficiente realizar tudo relacionado à SI "dentro de casa". A terceirização de alguns serviços se tornou uma excelente estratégia para empresas de todos os tamanhos. Afinal, de nada adianta investir em caros controles e sistemas de segurança se um incidente pode acontecer de madrugada, por exemplo, e não houver uma equipe disponível para realizar as medidas cabíveis. Ou pior: um incidente real ser negligenciado por falta de tempo da equipe e de profissionais para investigar.
Leonardo Moreira, diretor da PROOF.