Apresentando a iniciativa SecOps — InfoSec Army

É com um imenso prazer que faço esse anuncio hoje. Durante toda minha vida eu sempre fui um idealista. Não há como negar. Desde que eu me entendo por gente estive ou ativamente trabalhando ou apoiando projetos, idéias e conceitos que pudessem, de alguma forma melhorar a nossa vida ou trazer vantagens para todos nós. Você acredita que uma idéia pode mudar de mundo? Bem, eu acredito. E finalmente chegou a nossa hora.

Claro que, devido a minha área de especialização, a maior parte destas iniciativas tem sido, obviamente, no âmbito da segurança da informação. Durante toda a minha carreira eu sempre por alguma razão, vi as coisas de forma diferente da maioria dos outros profissionais. Lembro-me claramente de mim em 1997 em um de meus primeiros empreendimentos, tentando explicar aos clientes sobre a importância de se prestar atenção nas pessoas ao implementar a segurança da informação em suas organizações, numa época onde todo mundo apontava ferramentas como firewalls como os salvadores da pátria para protege-los dos hackers malvados.

Lembro-me também em 2002, quando o mercado estava empurrando ainda mais ferramentas de segurança e soluções, de eu repetindo como uma velha chata o conceito Pessoas > Processos > Tecnologia. No entanto, para ser justo, a maioria destes pontos de vista são resultado de experiências únicas que eu tive ao longo do caminho. Foram várias, e cada uma ensejaria um texto próprio a respeito, mas vou contar uma curta para ilustrar o que estou tentando dizer aqui. Eu sou natural de Curitiba, uma das mais belas cidades do Brasil, conhecida pelo transporte público revolucionário e suas soluções urbanísticas futuristas implementadas desde por volta dos anos 90. Eu era apenas um jovem trabalhando na área de tecnologia com grande interesse na área de segurança da informação, quando um amigo meu me contou esta história que ele viveu, sobre um problema que uma empresa de ônibus estava tendo com o novo tipo de ônibus que estavam lançando na época. Eram os chamados "Ligeirinhos" dos quais você muito provavelmente já ouviu falar. Basicamente são ônibus enormes, que pegam as pessoas em estações tubo. Inovações fantásticas que apresentaram um problema: Como alinhar a porta do ônibus à porta da estação tubo?

Imediatamente engenheiros e técnicos começam a apontar soluções, como sensores laser nas portas dos ônibus e portas da estação que iriam acender uma lâmpada no painel dos motoristas e mostrar a posição correta, ou sensores de peso na rua poderiam detectar a presença do ônibus e abrir as portas automaticamente quando ele estivesse na posição correta. Entretanto todas as soluções, embora fossem inovadoras e com tecnologia de ponta, aumentariam em milhões o custo total do projeto. Foi quando alguém teve a ideia de perguntar a alguns motoristas sobre a questão para ouvir algumas de suas sugestões. Um dos motoristas depois de ouvir a longa explicação técnica dos engenheiros disse: Olha Dr. isso é muito legal, mas por que vocês não medem a distância entre as portas da estação e a frente do ônibus, e pintam uma faixa no chão, para que eu possa alinhar ele nela quando eu parar na estação. Silêncio total e expressões de “como eu não pensei nisso antes?".

Essa história (e muitas outras que eu presenciei durante a minha vida) mudaram para sempre a minha maneira de ver as coisas. Não me entenda mal. Tecnologia é importante, é legal. É mais que legal, as vezes é sensacional, mas não é a resposta para tudo, e deve ser acompanhado de humildade verdadeira e uma vontade genuína de ouvir as pessoas envolvidas sobre o assunto. Mesmo o porteiro pode ter uma sacada que o especialista PhD, devido à complexidade de sua mente e forma de pensar, as vezes, não é capaz de enxergar. Além disso eu aprendi ao lidar com pessoas inteligentes e brilhantes, que é muito difícil lidar tanto com os egos quanto com os interesses pessoais. Este último nos leva a um outro problema que eu sempre vi no mercado de segurança da informação. A falta de imparcialidade.

Não adianta. Faz parte do jogo. Quase todas as empresas no planeta, por diversas razões, sejam elas comerciais ou escolhas pessoais, tendem a desenvolver algum grau de preferência por uma ferramenta específica, ou um fornecedor específico e consequentemente irão defender essa escolha até o fim do mundo. Do outro lado, temos os clientes. Quase reféns em uma “guerra” de prestadores de serviços cada um tentando convencê-los, que a SUA solução é a melhor. Como poderia o cliente, que tem diversas outras questões para lidar e na maioria das vezes não possui o expertise necessário, tomar uma decisão informada sobre a melhor ferramenta para o seu problema? Ou, como a experiência mostra, eles sequer precisam de uma ferramenta para resolver o problema? Não poderia ser resolvido modificando o processo interno de alguma forma? Existe uma opção equivalente mais barata? Veja, as empresas de segurança da informação, não estão fazendo nada de errado. Eles estão defendendo seus produtos ou suas soluções. No entanto, por essa razão, eles não têm a imparcialidade necessária para verdadeiramente e francamente apontar uma solução. Isso é algo que sempre me incomodou. Sempre. Não incomoda você?

Outro problema que eu vejo regularmente no mercado é o desperdício de talento profissional. Empresas em geral, muitas vezes evitam contratar profissionais autônomos para lidar com um grande projeto por boas razões. Eles precisam ter certeza, que estão sendo atendidos por algo com lastro e solidez, que possa ser juridicamente responsabilizado por qualquer problema que possa ocorrer durante o projeto. Profissionais de carreira, que já construiram uma reputação sólida conseguem contornar isso, porém eles ainda caem em outro problema. O raciocínio lógico de que se eu tenho apenas uma pessoa fazendo o trabalho que eu preciso, o que acontece se ela por algum motivo, desaparecer do mundo? Ele não é imortal. E se ele tiver um acidente e entrar em coma por vários meses? Esses problemas criam um ambiente onde as empresas de segurança atendem uma importante necessidade do mercado.

No entanto, isso reduz o uso que fazemos dos talentos individuais. Note-se que este talento em outras situações, por necessidade ou decisão pessoal, está muito bem empregado em empresas de porte no mundo todo. Mas não seria bom se pudéssemos alocar vamos dizer que duas ou quatro horas por dia de um especialista sênior altamente qualificado, que esta bem empregado e feliz na equipe de segurança grande de um banco por exemplo, em um projeto específico, para algumas tarefas específicas de alta complexidade? Isso agregaria mais valor ao projeto para a empresa contratante, e uma oportunidade para o profissional, que poderia fazer algum dinheiro extra. Mas não só para ele.

Então você é um CEO, ou algum profissional liderando pessoas, para uma grande empresa de segurança da informação. Me diga a verdade. Quão alta é a taxa de alocação da sua equipe hoje? Você é capaz de alocar o que? 60%, talvez 70% do tempo disponível de seus colaboradores em projetos? Bem mais? Deixa eu adivinhar? 120% As chances são de que provavelmente você está trabalhando em um destes dois cenários. Você está pagando altos valores de horas extras para os seus funcionários porquê 1) você tem muita dificuldade em encontrar profissionais qualificados e 2) se você contratar mais pessoas você vai acabar no outro cenário que várias empresas operam. Será obrigado a aumentar o custo de suas horas faturáveis para compensar o tempo ocioso de sua equipe, pois não consegue alocar 100% de seu tempo em projetos. Em qualquer dos casos não é o cenário ideal. Eu sei. Já estive lá, já passei por isso. Mas não seria bom se tivéssemos uma maneira melhor de fazer isso? Uma maneira que nós pudéssemos otimizar o uso de nossa equipe, e reduzir nossas perdas com horas ociosas?

Outro problema complexo sem solução, especialmente para empresas de maior porte são os grandes projetos de implementação em segurança da informação. Veja, é quase padrão em todo o mundo, os grandes centros são aqueles que atraem os profissionais mais qualificados. Eu acho que talvez 95% das grandes empresas de segurança da informação estão localizados em grandes cidades, ou grandes centros. Assim, quando há um grande projeto, em uma empresa com escritórios ou instalações em várias cidades por todo o país, ou em todo o mundo as vezes, você pode ter certeza absoluta de que os custos de transporte e hospedagem representarão uma parte substancial do custo total do projeto. Não seria bom se fosse possível usar as centenas de profissionais que já residem nessas diversas localizações, ou pequenas empresas de segurança ou TI que já atuem nesses locais? Parece legal, mas uma tarefa bastante difícil para uma empresa de segurança comum reunir todas as conexões, estabelecer os contratos, equacionar os processos e gerenciar uma operação como essa e ainda por cima manter suas outras operações habituais.

Bem, eu poderia continuar com uma série de outras questões, mas o ponto principal aqui é que estamos fazendo o que podemos sobre as questões de segurança da informação, mas não estamos fazendo o suficiente. Podemos fazer melhor. Podemos fazer mais do que isso. Como? Putz, eu pensei que você nunca iria perguntar.

Apresentando a iniciativa SecOps — InfoSec Army

A SecOps — InfoSec Army é uma iniciativa global que visa unificar em um único ecossistema totalmente integrado, todos os recursos humanos disponíveis na área de segurança da informação. Profissionais liberais, empresas de segurança, empresas de TI e até mesmo empresas de desenvolvimento. Do profissional Júnior ao especialista mais renomado. Alocados em projetos de acordo com a necessidade e orçamento disponíveis, coordenados de forma centralizada, oferecendo uma solução única, 100% personalizada de acordo com as peculiaridades de cada empresa ou organização. As mais variadas competências da área de segurança da informação, alocadas sob demanda, de forma dinâmica e otimizada para clientes em todo o mundo.

É uma oportunidade para todos os lados da cadeia de mercado, uma vez que oferece benefícios para todos eles. Se você é um cliente você pode ser beneficiado pela capacidade única da iniciativa de executar projetos 100% focados, personalizados e adaptado para suas necessidades individuais. Também poderá fazer uso de nossa capacidade em montar um conjunto único de talentos de acordo com as necessidades específicas para cada projeto. Através da alocação de analistas com extensa experiência para o alinhamento estratégico ou definição da arquitetura da solução e de profissionais locais perto da localização geográfica do cliente para as tarefas operacionais, nossa iniciativa será capaz de otimizar o custo total de um projeto e maximizar a qualidade da entrega de uma forma incomparável.

No entanto se você é um profissional liberal, você pode de acordo com sua necessidade trazer potenciais clientes e projetos que você normalmente não poderia atender sozinho ou por ventura precisa de nosso modelo único de operações e expertise para ajudá-lo a fornecer uma melhor solução para o seu cliente. Ao fazer parte da iniciativa, mesmo se que você esteja bem empregado, você pode fazer uma grana extra em seu próprio tempo, tornando disponível o tempo que você deseja dedicar ou pode dispor para atuar pontualmente em projetos.

E como você CEO ou proprietário de uma empresa de segurança da informação já deve ter adivinhado a essa altura sua empresa pode fazer parte da SecOps — InfoSec Army e com isso ser alocado em projetos quando seu expertise for necessário, ou apenas alocar de forma granular o tempo ocioso de sua equipe em nossos projetos, o que irá maximizar o uso de seus recursos e otimizar seu resultado operacional.

Um detalhe importante. Não há funcionários aqui. Somos todos literalmente sócios, e por essa razão a SecOps — InfoSec Army é uma iniciativa e não exatamente uma empresa. Não se encaixa no conceito de associação, nem de cooperativa. É algo totalmente novo e sem precedentes. A idéia é que cada profissional de segurança da informação e cada empresa da área no planeta seja dono de um pequeno pedaço dela.

Lembra-se que falamos de imparcialidade? Essa é a razão pela qual a SecOps — InfoSec Army nunca terá qualquer relação de venda direta com qualquer fabricante ou fornecedor de solução do mercado, dessa forma nos mantemos capazes de avaliar os projetos com plena isenção e imparcialidade e, quando julgarmos apropriado com base nas premissas do projeto e necessidades do cliente, a escolha da solução A ou B, utilizaremos uma das empresas associadas com especialistas nesta solução específica para realizar o atendimento e venda, coordenados e fiscalizados por nossa equipe de profissionais para garantia de níveis superiores de atendimento e qualidade.

Espera, então você está dizendo que irá reunir e coordenar todos os recursos humanos e empresas de segurança da informação em todo o mundo, através de um novo conceito que irá maximizar os níveis de excelência nas ofertas de segurança da informação no mercado global? — Isso é ao menos possível? Bem, nas palavras de um grande amigo meu: “Eu nunca faço essa pergunta até depois de eu já ter feito”.

Mas você está perdendo o ponto aqui. EU não vou fazer nada. Nós vamos fazer! Nós, todos os profissionais de segurança da informação e entusiastas. A SecOps — InfoSec Army é uma iniciativa mundial com o objetivo de criar algo melhor, que pode trazer benefícios para todos nós. Clientes e fornecedores, funcionários e proprietários, iniciantes e especialistas.

É claro, fizemos um enorme esforço nos últimos meses desenhando processos, ferramentas, artefatos e metodologias de projeto customizadas que nos permitam manter um de nossos valores fundamentais. A Excelência. Fornecer serviços de altíssima qualidade não é uma necessidade para nós, é uma obrigação. Nossas operações foram projetadas de forma a oferecer um alto valor agregado e níveis superiores de excelência, utilizando normas e padrões internacionais. A propósito, se você é um profissional de segurança da informação, com ampla experiência na gestão de projetos e normas de segurança, certamente teremos oportunidades para você muito em breve.

Legal, mas e aquela história sobre a empresa de ônibus que você falou no início, o que tem a ver com tudo isso? Bem meu amigo, isso é porque este é um outro valor fundamental desta iniciativa. O conceito de “Pense fora da caixa”. A noção de que não importa se você é o “super gênio bam bam bam mega poderoso analista de segurança da informação” você só a ganhar em conversar e ouvir as idéias que outras pessoas podem ter. É quase arrogante pensar que uma pessoa em duas semanas, ou mesmo alguns meses, de um projeto terá uma melhor compreensão e conhecimento dos processos e particularidades de uma determinada empresa, que um cara que trabalhou lá nos últimos 20 anos!

Óbvio que você sabe muito mais do que ele sobre a segurança da informação, mas você pode acabar enxergando uma solução por vezes não-tecnológica e muito mais barata, simplesmente combinando o seu conhecimento sobre segurança da informação e o conhecimento dele sobre a própria empresa. Eu já participei de projetos em todo o mundo onde milhões de dólares foram economizados apenas pelo fato dos gestores saírem de suas zonas de conforto, e de suas mentes excessivamente tecnológicas e se tornarem mais recepetivos a soluções práticas e viáveis. Menos purismo e mais pragmatismo.

O nome desta iniciativa vem de um conceito que defende a importância da comunicação e da sintonia entre todas as pessoas envolvidas no assunto segurança da informação, e isso meu amigo significa todos. Do zelador ao CEO, todos podem contribuir para melhorar os níveis de segurança, aumentar a maturidade e adoção das melhores práticas no assunto, conseqüentemente reduzindo os riscos em potencial e os níveis de exposição, otimizando os níveis de excelência desse assunto dentro de uma empresa.

Mas isso não acontece por magia, é preciso trabalho árduo, dedicado , com profissionais que reconheçam conceitos tão importantes como esse, mas que muitas empresas ainda não compreendem plenamente, ou absolutamente não conseguem implementar devido às limitações inerentes aos modelos de negócio e atuação disponíveis hoje. A iniciativa SecOps — InfoSec Army vem para mudar isso. Economia colaborativa, inovação disruptiva, níveis superiores de qualidade em um novo modelo de negócios que oferece benefícios sem precedentes a todos os envolvidos.

Sim, você está indo bem. Sei que estamos a fazer o nosso melhor. Mas juntos podemos fazer muito mais. Podemos atingir o nível insanamente incrível!

Descubra mais detalhes sobre nossa visão em https://secops-isa.org Siga-nos no Twitter, Facebook e Linkedin para ficar a par dos nossos progressos, desenvolvimento e crescimento. Também não perca o nosso "kick-off" das operações, ao vivo direto da Campus Party Brasil em São Paulo no próximo dia 02 de fevereiro de 2018.

Junte-se a nós na revolução.