Algumas competências que todo profissional de Segurança da Informação deveria ter

AGRADEÇA AO AUTOR COMPARTILHE!

Em um mercado competitivo e dinâmico, o profissional de tecnologia precisa se atualizar constantemente com as novas tecnologias para evitar ficar desatualizado e perder boas chances de trabalho por falta de qualificação técnica.

Entretanto, algumas competências profissionais não são necessariamente ligadas à tecnologia em si. São habilidades necessárias para um bom desenvolvimento do trabalho ligado à Segurança da Informação.

Por exemplo, é de suma importância que as pessoas que queiram trabalhar com segurança da informação saibam identificar o problema de segurança e tratá-los. Não adianta encontrar uma falha e não ter a menor ideia de como resolver. Encontrar a falha não quer dizer problema resolvido. Muitas pessoas passam com os olhos pelo problema e nem desconfiam qual é a origem da falha por simplesmente desconhecer alguns preceitos básicos da área, como atualizações, hotfixes e fóruns especializados.

Nesse mercado, é importante resolver vulnerabilidades no menor tempo possível (logicamente quando as soluções são compatíveis com o que se espera) para evitar prejuízos maiores. Todavia, é necessário ter a competência de analisar se uma solução sugerida serve para determinadas falhas encontradas.

Outra competência básica para um profissional de segurança da informação é ter conhecimento das normas/procedimentos que regem determinadas áreas, como ABNT, SOX, RFC, etc. Dependendo do mercado que o profissional irá atuar, a empresa como um todo tem que atender as exigências de uma determinada norma. Por exemplo, as empresas bancárias/financeiras para entrar na bolsa de valores americana devem seguir a norma SOX (Lei Sarbanes-Oxley).

Nessa norma, exige-se a criação de mecanismos de auditoria e controle de segurança confiável nas empresas, incluindo a criação de comitês internos para minimizar os riscos ao negócio, mantendo um controle nas operações e atividades da empresa, garantindo a rastreabilidade de qualquer ação realizada em seus sistemas e processos internos.

Executar constantes testes de segurança nos sistemas internos da empresa e emitir um laudo sobre a situação atual é dever inerente para quem trabalha nessa área. É através dos relatórios dos resultados de testes de vulnerabilidades que o profissional poderá tomar determinadas ações ou pelo menos planejar como e quando agir.

Não se pode esperar pelo pior (como a invasão dos sistemas ou paralisação total dos serviços) para entrar em ação. A inércia é um fator determinante para o fracasso de uma organização em relação às questões de segurança da informação, pois, dependendo do problema encontrado, o trabalho para correção pode ser inviável e, aí, as consequências negativas graves serão inevitáveis.

É necessária a criação de procedimentos de investigação e busca de evidências para situações que exijam uma intervenção mais técnica e profissional para levantar a autoria de determinadas situações, algumas delas até criminosas. O ato de um funcionário apagar arquivos sigilosos da empresa ou alguma informação ser repassada para terceiros (sem ter autorização ou mediante suborno), é necessário investigar e chegar na autoria desse crime.

Com procedimentos claros e objetivos, o tempo para executar o processo de investigação será menor, pois as ferramentas, o “onde” e “como” procurar está todo descrito no procedimento e o profissional de segurança da informação saberá exatamente como agir nesses casos.

Com isso, percebemos que não é só de tecnologia que devemos saber quando falamos sobre segurança da informação. Algumas competências intrínsecas ao perfil desse funcionário devem ser atendidas para que a real segurança da informação não fique apenas no nome do cargo, e sim, na atividade fim.

Até a próxima!

AGRADEÇA AO AUTOR COMPARTILHE!

Roney Medice

Mais artigos deste autor »

Coordenador de Segurança da Informação do Terminal Retroportuário, no Porto de Vitória-ES, com mais de 23 anos de experiência na área. Consultor de Segurança da Informação do Grupo Otto Andrade. Membro Fundador do CSA - Cloud Security Alliance, Membro do Comitê ABNT/CB-21 em Segurança da Informação. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">