Augusto Paes de Barros, CISSP: MBAs e segurança

Quinta-feira, Dezembro 07, 2006

MBAs e segurança

Saiu na edição de Novembro/Dezembro da Infosec Today (que pode ser acessada on-line) uma entrevista muito interessante com Paul Henry, da Secure Computing. Ele aponta de forma muito interessante e clara que é perigosa a "tendência" apontada pelo Gartner e cia. de que a área de segurança passe a ser mais composta de pessoas com perfil "MBA" do que técnicos, por conta da necessidade de ser mais estratégica.

Ele aponta exemplos muito interessantes de falha nesse tipo de pensamento. Ele também não diz que a segurança deve se feita só por técnicos, mas sim que não pode ser feita sem eles, pois o componente técnico é muito importante no "enforcement" da políticas criadas pelos "estratégicos".

Pessoalmente fico impressionado ao ver muitos CSOs repetindo essa ladainha de estratégicos e, na hora de participar de uma apresentação sobre novos projetos ou produtos, são incapazes de identificar potenciais ameaças ou mesmo se a segurança foi levada em consideração naquele projeto. Talvez a quantidade de vendedores de tecnologia completamente despreparados para responder questões de segurança seja um sintoma da falta de pessoas fazendo perguntas capazes de incomodá-los. Algo além do "tem criptografia?" :-)

2 Comments:

At 3:36 PM, Eduardo Cabral said...: Tinha certeza que ia virar um post. Ma me fala uma coisa, tem client? rsrsrs
At 5:22 PM, Lincoln Moreira said...: Augusto, talvez a tendência apontada pelo “Gartner e cia” tem como foco principal buscar maior eficiência das ações de uma área de segurança quando estão “fazendo segurança”.

Neste ponto não basta o CSO estar alinhado com o negócio, deve existir uma fusão da segurança dentro do negócio, entendendo suas necessidades e possíveis limitações provocadas quer seja por controles de segurança quer seja por utilização de sistemas inadequados. Talvez a melhor forma de alcançar este objetivo seria trocando a camisa dos times trazendo especialistas de negócio para apoiar a elaboração e implantação da estratégia de Segurança mais adequada para cada organização.

Esta idéia não invalida seu ponto de vista, porém, abre um outro lado que deve ser observado com mais atenção por todos aqueles que “fazem segurança”.