Estou tomando a liberdade de reproduzir aqui o texto de meu amigo Luciano Barreto, que acabou de sair no CSO Online. Ele descreve de maneira fantástica o dilema de quem é ou não é “hacker”, e se as empresas devem contratá-lo ou não:

Hacker: contratar ou não?

Luciano Barreto*

No final do ano passado o site csoonline.com lançou a discussão “Hacker: contratá-lo ou não?”. Houve uma discussão intensa com diversas opiniões e pontos de vista dignos de reflexão. Entretanto, esta discussão não apresentou um resultado favorável para nenhuma das posições. A questão persiste, no último RSA Conference , ocorrido no período de 13 a 17 de abril em São Francisco, houve um debate sobre o assunto, onde participaram nomes como Kevin Mitnick, que ganhou notoriedade mundial como hacker, e Christopher Painter, responsável por processá-lo em 1995. O debate apresentou argumentos válidos, embasamentos teóricos e práticos de ambas as partes. Porém, mais uma vez, não houve um consenso sobre a questão.

Para entrar nesta discussão devem ser esclarecidos alguns pontos sobre a mística criada em torno do termo “hacker”. Não vou entrar na questão se hacker é do bem, cracker é do mal, “White Hat Hacker” é bom ou se existe uma linha tênue dividindo os dois mundos. Estes pormenores já foram bastante explorados e nunca chegaram a alguma conclusão produtiva.

O neologismo “hackerismo” é um rótulo comercial que algumas pessoas exaltam para tentar obter vantagem competitiva no mercado de trabalho. Esta vantagem” poderia ser explicada devido a informações imprecisamente transmitidas através dos meios de comunicação ou completa ausência de informação que exalta a suposta inteligência, perspicácia e conhecimento supremo dos que se intitulam hackers.

Ser hacker é um estado de espírito, não há nada além de um enaltecimento sem fundamento sobre uma palavra, cuja origem está ligada a pessoas com bom conhecimento técnico, pouco material disponível para estudo e grande disposição para aumentar suas capacidades, e que, ao passar dos anos, houve um desvirtuamento de seu conceito.

Afinal, o que é necessário para se tornar um hacker?

A resposta é muito simples. Os passos a seguir realizarão uma transformação e descreverão todo o misterioso e obscuro processo de nascimento deste mito:

- Levante a mão direita;

- Respire fundo;

- Conte até 10;

- Diga bem alto, EU SOU UM HACKER!

Pronto! Agora você é um legítimo hacker com a onipotência a eles concedida. Todos podemos ser hackers. Ninguém pode dizer que não o somos, correto? O fato é que não existem critérios objetivos que possam mensurar esta capacidade. Não há nenhum concurso, requisito mínimo, registro em cartório ou qualquer outro artifício que comprove tal “poder”. Alguém poderia indicar o que caracteriza um hacker? Quais são os sinais que indicam esta “força superior” numa pessoa? Na verdade existem alguns sinais que são facilmente detectáveis, porém não demonstram nenhum diferencial em termos de capacidade profissional. Por exemplo:

- Hackers têm uma habilidade incrível de escrever c0m 4s l3Tr4S Tr0c4d@S

- Hackers riem digitando várias teclas diferentes, para demonstrar suas habilidades. ahuehauehuaehueahaeuhaeuheuehueeha

Brincadeiras à parte, existe um passo esquecido que ajudará nas discussões sobre o assunto dos hackers no mercado de trabalho. Antes de responder sobre a contratação de hackers, deve haver a procura por uma conceituação aceitável e amplamente divulgada, para que possam criar métricas para definir as qualidades e defeitos envolvidos com tal conceito.

Foram pesquisadas 800 empresas nos Estados Unidos sobre o assunto e os resultados apontaram que 60 % das empresa não contratariam hackers e 26% contratariam. Acredito que se houvesse uma pergunta sobre a definição do conceito em si, o número de respostas distintas seria tão grande que invalidaria qualquer tipo de resultado. A seguir serão mostrados argumentos retirados das discussões para demonstrar a falta de unificação do conceito.

Argumento contra os hackers: “Alguém iria colocar uma raposa para tomar conta do galinheiro?”. O contra-argumento seria: “Será que todas as pessoas que se julgam hackers têm uma índole criminosa ou a palavra significa apenas um conhecimento profundo sobre algo?”. O argumento a favor dos hackers: “Os hackers tem maior capacidade de impor a segurança numa empresa por saberem atacá-las e, conseqüentemente, sabem todos os detalhes para defendê-las!”. O contra-argumento: “O trabalho de construir engloba mais detalhes e conhecimentos que a destruição. Quais os conhecimentos envolvidos no conceito de hacker que garantem a capacidade de criar algo construtivo?”. Está claro que o conceito varia e desta forma fica difícil opinar sobre a questão.

Após toda esta informação exposta, vamos voltar à nossa questão inicial. Porque se deve entrar em discussão sobre contratar um hacker se ainda nem temos consolidadas as características envolvidas com este conceito? A discussão sobre hackers, crackers e aos “poderes especiais” adicionados a qualquer rótulo destes é irrelevante quando se quer contratar um profissional de segurança. Esta variável não deve ser levada em consideração. Todos deveriam deixar de lado esta exaltação a algo que não podemos medir e partir para métodos voltados à realidade.

O momento da contratação deve ser precedido pelas seguintes perguntas: Minha empresa sabe o que é e o que esperar de um profissional de Segurança da Informação? Minha empresa sabe quais são as habilidades que um profissional de segurança deve ter para suprir as funções necessárias? Minha empresa sabe que além das funções técnicas, outras características devem estar envolvidas?

Esta última pergunta cria um link direto para a questão central da contratação de profissionais de segurança da informação, a ética. Outros valores como conhecimento e experiência são adquiridos em pouco tempo, enquanto ética se forma ao longo da vida.

Sendo assim, o centro da discussão deve estar relacionado à ética do profissional a ser contratado. Hacker ou não, os esforços devem estar direcionados para verificação dos feitos, atitudes e soluções realizadas ao longo da vida profissional do candidato. O resultado desta fase é primordial para a decisão da contratação. Os rótulos envolvidos podem ser descartados neste momento e utilizados numa situação oportuna.

Desta forma, a pergunta a ser respondida para que as discussões gerem resultados mais palpáveis pode ser reformulada para: Minha empresa sabe contratar um profissional de Segurança?

Luciano Barreto é sócio-diretor da Empresa Cautus Consultoria em Segurança. Formado em Ciência da Computação pela Universidade de Brasília, está envolvido na área de Segurança da Informação desde 1998 e é certificado CISSP (Certified Information Systems Security Professional) emitido pelo (ISC)2 (International Information Systems Security Certification Consortium).

Data: 21/05/2003