Security Officer Quem é ?
Um Security Officer possui um perfil profissional voltado para gerência de redes e auditoria de sistemas. Mas isso não quer dizer que um excelente gerente de redes ou um auditor de sistemas sênior possa ser considerado um excelente Security Officer. Não existe um curso de nível superior totalmente voltado para essa área, e os poucos cursos de pós-graduação existentes não acrescentam quase nada ao currículo de um profissional com alguns anos de mercado.
Resta então o auto-aprendizado, ser autodidata é a solução. Mas nada de viver isolado do mundo apenas lendo livros e revistas. Trocar idéias, informações e participar de reuniões, encontros de grupos de usuários, workshops, palestras e feiras de tecnologia são requisitos exigidos para se manter atualizado. Quando se fala em participar, atente para o fato que o profissional pode começar como ouvinte e depois passar a palestrante, passando adiante seus conhecimentos.
Outro fator considerado é ter um perfil investigativo, quase detetivesco para procurar e descobrir a solução para os furos de segurança do seu sistema. Isso envolve desde viver no mesmo submundo que os especialistas mal intencionados (listas de discussão, sites, …) até procurar pela correção no site do fabricante (ou seria vítima?) de hardware ou software envolvido.
No mundo dos negócios conhecer a empresa em que se trabalha é fundamental. Ou seja, conhecer de negócios é um fator diferencial para um Security Officer. Saber negociar é outro fator muito considerado, controlar os investimentos, visão de planejamento, entender de “seres humanos” (saber se relacionar com usuários é fundamental!) e, óbvio, conhecer muito da tecnologia utilizada na empresa.
Estar atualizado com a cultura geral e informações de todo o mundo é essencial. Com as recentes ondas de atentados e ataques no mundo real, as empresas estão procurando manter de todas as formas seus dados íntegros e seguros.
Se o profissional desejar ter uma certificação profissional, a ISACA forma auditores em todo o mundo, mediante a realização de provas para se certificar que o profissional possui um nível de conhecimento acima da média. A certificação CISA (Certified Information Systems Auditor) da ISACA é, sem dúvida, a mais cobiçada no mundo da segurança da informação. Caso tenha interesse, basta acessar o site www.isaca.org para obter maiores informações.
O leitor pode ter atentado para o fato que não me prendi muito em escrever sobre o domínio de tecnologias. O real motivo é que dificilmente poderia chegar a uma definição do perfil de um profissional de segurança da informação escrevendo apenas sobre tecnologias que ele domina com maestria. Por exemplo, de que adiantaria um profissional especialista em determinados produtos se a empresa não possui essa tecnologia?
Por mais que tente, um profissional não consegue se manter atualizado em todas as tecnologias, então não adiantaria traçar um perfil técnico do Security Officer tipo precisar dominar a tecnologia xyz, sistemas operacionais abc, cde, fgh, etc…. Mesmo porque ele não é apenas técnico; precisa saber gerenciar e negociar.
Gerenciar indivíduos é, sem dúvida, muito complicado. Com muita experiência consegue-se manter uma equipe coesa, integrada e altamente competitiva em uma empresa. Cabe ao Security Officer gerenciar a equipe que pode ser formada por indivíduos internos e/ou externos à empresa. Se é raro o profissional de segurança da informação imagina contratar alguém. Saber entrevistar e detectar o profissional sério do hacker é fundamental. De que adianta um super especialista em sistemas operacionais se este não sabe conviver com outras pessoas na empresa? Pior ainda é na hora de contratar consultoria externa para realizar qualquer tipo de trabalho voltado para segurança. Já ouvi fatos aterrorizantes! Uma empresa possuía hackers para invadir e quebrar a segurança da empresa. Em seguida, um gerente de contas da tal empresa visitava a empresa invadida e “vendia” seus serviços de segurança.
Terceirizar a área de segurança da informação envolve correr riscos. Neste terreno da terceirização, conheço Security Officer que simplesmente abomina tal prática. Outros não se preocupam com a terceirização. Na minha opinião, muitos fatores devem ser levados em consideração.
Um ponto a considerar é que existem poucos profissionais especializados, essa falta de profissionais, por outro lado, geralmente eleva os salários. Da mesma forma que não citei perfil técnico não irei me prender em salários. A experiência e o conhecimento formam o salário do Security Officer.
E para finalizar, conhecer profundamente a tecnologia aplicada na empresa é fundamental, mas não esqueça de ser um “profissional de negócios”. De nada adianta tentar colocar um firewall super-híper-poderoso, softwares IDS de ultima geração na empresa e não apresentar resultados. Aqui está o pulo do gato: O verdadeiro Security Officer consegue demonstrar o porque do investimento e consegue calcular o mais importante: O retorno do investimento ou como os profissionais de TI gostam de falar e escrever: ROI (Return o Investiments).
