Cibersegurança é um assunto que o preocupa? Sabe o que é, a importância e o fato de que em plena Era Digital e diante da Revolução 4.0 este é um tema que já deveria estar no seu dia a dia? A proteção de sistemas de computador contra roubo ou danos ao hardware, software ou dados eletrônicos, intrusão ilícita a programas, computadores, redes e dados é um risco para a sociedade atual globalizada.
O surgimento de novas tecnologias como 5G, Internet das Coisas (IoT), veículos autônomos e indústria 4.0 está levando ao aumento da demanda de profissionais de cibersegurança. Segundo estimativas da Cybersecurity Venture, líder mundial em pesquisas de cibereconomia global, o setor deverá gerar 3,5 milhões postos de trabalho até 2021. Somado a esses fatores, a entrada em vigor em agosto da Lei 13.709/18, conhecida por Lei Geral de Proteção de Dados (LGPD), contribuirá para o aumento da demanda no Brasil.
Diante deste cenário, o engenheiro Raul Colcher, doutor pela Universidade Federal do Rio de Janeiro (UFRJ), presidente da Questera Consulting Life Senior Member do IEEE, que faz parte da IEEE, organização profissional técnica dedicada ao avanço da tecnologia em benefício da humanidade, alerta ser urgente a formação de profissionais para o setor, que é o responsável pela segurança e privacidade de tecnologias existentes e emergentes.
A situação é célere porque, ao se pensar no Brasil, a maioria tem certeza de que o país é um dos mais atrasados em se tratando de cibersegurança: “O campo da cibersegurança é vasto e interdisciplinar, abrangendo competências diversificadas na área tecnológica, mas também em outras, tais como as de gestão, psicologia e ciências humanas em geral. Pode-se dizer que o Brasil conta com profissionais competentes e habilitados para as técnicas básicas de proteção contra os ataques mais comuns no universo corporativo. Mas, provavelmente, em quantidade insuficiente, tendo em vista os desafios atuais e previsíveis. Por outro lado, falta, em muitos casos, uma cultura de processos bem estabelecidos, documentados e maduros, o que tende a expor informações e processos de negócios a ataques. Como, por exemplo, os que exploram o atraso de implementação de correções de software publicadas pelos fornecedores, as imperfeições em rotinas de backup ou os de engenharia social, que de outra forma poderiam ser evitados", especifica Raul Colcher.
A situação é célere porque, ao se pensar no Brasil, a maioria tem certeza de que o país é um dos mais atrasados em se tratando de cibersegurança: “O campo da cibersegurança é vasto e interdisciplinar, abrangendo competências diversificadas na área tecnológica, mas também em outras, tais como as de gestão, psicologia e ciências humanas em geral. Pode-se dizer que o Brasil conta com profissionais competentes e habilitados para as técnicas básicas de proteção contra os ataques mais comuns no universo corporativo. Mas, provavelmente, em quantidade insuficiente, tendo em vista os desafios atuais e previsíveis. Por outro lado, falta, em muitos casos, uma cultura de processos bem estabelecidos, documentados e maduros, o que tende a expor informações e processos de negócios a ataques. Como, por exemplo, os que exploram o atraso de implementação de correções de software publicadas pelos fornecedores, as imperfeições em rotinas de backup ou os de engenharia social, que de outra forma poderiam ser evitados", especifica Raul Colcher.
Para Raul Colcher, existe pouca educação e conscientização sobre processos e rotinas básicas de segurança física e lógica aplicáveis a dispositivos pessoais, como celulares, causando vulnerabilidades em acessos a sistemas corporativos e aplicativos sensíveis de uso pessoal. “É importante observar que o campo da cibersegurança evolui rapidamente, em resposta a demandas cada vez mais complexas, provenientes da sofisticação crescente dos ataques e da criticalidade das novas aplicações no ambiente da transformação digital. De uma forma geral, as organizações brasileiras estão atrasadas na implementação de tecnologias emergentes no universo da transformação digital, o que faz com que não estejam ainda enfrentando plenamente alguns dos complexos desafios de segurança e privacidade reportados em ambientes mais avançados.”
Conforme Raul Colcher, o déficit de qualificação nas áreas de segurança e privacidade, tanto no nível profissional quanto gerencial, parece semelhante ao que existe em outras áreas. “De modo geral, somos limitados, de início, por uma educação básica deficiente. Nossos estudantes apresentam desempenho abaixo da média em competências básicas, como matemática elementar e compreensão de textos, o que acaba influindo negativamente sobre suas possibilidades de desempenhar satisfatoriamente funções que ultrapassem o nível básico das aplicações de negócios mais comuns. Mesmo na indústria de informática brasileira, situada em um dos maiores mercados do mundo, não é fácil encontrar profissionais capacitados para o desenvolvimento de aplicações científicas ou de engenharia, algoritmos avançados, telecomunicações, planejamento ou integração de redes e sistemas, técnicas criptográficas, etc. O campo da segurança caminha para soluções de arquitetura, integradas às arquiteturas de sistemas, em que as novas competências de inteligência artificial, ciência de dados e engenharia de software em geral tornam-se ainda mais críticas, pondo em relevo, de forma mais grave, essas deficiências de formação básica.”
Diante deste cenário, é emergencial que o Brasil encontre e forme profissionais com know how e habilidades necessárias: “A falta de mão de obra qualificada já está sendo sentida e tende a se agravar no curto prazo. Serão necessários esforços e investimentos em formação e também reestruturação de processos e organogramas para atualizar as atribuições e responsabilidades relacionadas”, alerta Raul Colcher.
NOVAS POSIÇÕES
Como é um termo que, se não assusta, é distante para muitos, Raul Colcher informa quais são as várias profissões que trabalham no setor. Até para inspirar e instigar os jovens que ainda estão indecisos sobre qual rumo profissional seguir, já que especialistas de RH avisam que muitas das profissões de hoje desaparecerão ou vão estar obsoletas em futuro próximo: “No momento, as funções e responsabilidades relacionadas a segurança aparecem frequentemente repartidas ao longo do organograma das organizações e tratadas sob várias denominações. Exemplos comuns de tais posições seriam: analista (ou consultor) de segurança, CSO (Chief Security Officer), gerente ou supervisor de segurança da informação, analista de negócios (parte da função), cientista ou analista de dados (parte da função), etc. Com a entrada em vigor da LGPD, essas responsabilidades tendem a “transbordar” para as áreas de privacidade, proteção das informações de clientes e colaboradores, etc. Com a evolução previsível e progressiva maturidade das arquiteturas de negócios, elas deverão passar a incluir arquiteturas de segurança e privacidade, o que possivelmente contribuirá para a definição de formações e carreiras mais harmonizadas e padronizadas no mercado de cibersegurança.”
Diante de funções que mais parecem uma sopa de letras, Raul Colcher destaca quais são as qualificações exigidas dos profissionais que pensam em mergulhar na área: “De modo amplo, o profissional de cibersegurança é alguém familiarizado com as principais ameaças e com as tecnologias, medidas e processos que visam proteger e/ou mitigar os riscos associados. É também desejável que seja um profissional com uma boa cultura técnica e de processos de negócios em geral, porque as estratégias, soluções e investimentos em segurança tendem a variar largamente com a probabilidade de ocorrência de determinados tipos de ataque para particulares processos e organizações, e com os impactos previsíveis de sua ocorrência não prevenida ou controlada. Frequentemente, será também alguém capaz de dialogar com diferentes camadas da organização (áreas de negócios, TI, gerências de nível alto e intermediário, etc.). Com o advento das legislações de proteção de dados (LGPD, no caso brasileiro), este profissional deve ainda ser capaz de interagir eficazmente com profissionais e organizações externas voltadas a outras disciplinas (como, por exemplo, escritórios jurídicos e consultorias especializadas).”
Raul Colcher lembra que as habilidades são extensões e aprofundamentos já requeridas de profissionais de segurança e proteção de privacidade. "Possivelmente, haverá uma crescente ênfase em aspectos de interdisciplinaridade e capacidade de diálogo, integração e coordenação entre profissionais de diferentes áreas e formações”.
REMUNERAÇÃO E EDUCAÇÃO
Pelo tamanho da responsabilidade e diante das exigências, imagina-se que este profissional seja um dos mais bem remunerados no mercado: “Não tenho dados recentes confiáveis sobre a remuneração desses profissionais no Brasil, até porque essa aferição é dificultada pela pouca padronização de nomenclaturas nas funções relevantes para segurança em diferentes organizações. Suponho que essa remuneração seja, de modo geral, consistente com a qualificação e experiência, no quadro de profissionais de TI e de gestão, que varia largamente em função de fatores tais como o setor e o tamanho da organização”, explica Raul Colcher.
Oportunidades não faltam. Ainda mais em razão da entrada em vigor da LPDG: “Acho que essas novas oportunidades representam extensões naturais do trabalho executado por profissionais de segurança. No início do processo de aculturação e implementação da LGPD, no momento previsto para o segundo semestre de 2020, haverá possivelmente uma janela de oportunidade para escritórios de advocacia e de consultoria especializados, que, por sua vez, tendem a empregar profissionais de nível sênior com os talentos e experiências relevantes.”
Raul Colcher enfatiza que o Brasil está atrasado em muitas das áreas citadas e nos processos de transformação digital das organizações, que empregam tais tecnologias como insumos. “Em algumas delas, os profissionais brasileiros ressentem-se de uma formação básica deficiente, que aparece na forma de sérias carências e limitações em disciplinas essenciais, como matemática. Não é possível “dominar” tecnologias como ciência de dados e criptografia sem um conhecimento sólido de estatística e matemática em geral. Sem essa bagagem de conhecimentos, o profissional torna-se, no máximo, um técnico competente na aplicação de soluções padronizadas, com pouca profundidade. Em alguns casos, essa deficiência poderá ser suprida em cursos de graduação ou pós-graduação, mas não nas quantidades de profissionais que se pode estimar como necessárias, à luz da evolução que já está ocorrendo em sociedades mais avançadas.”
ATAQUE AO BRASIL
Para Raul Colcher, é difícil afirmar que o Brasil seja um dos países que mais correm riscos de um ataque cibernético. Mas pode-se supor que as organizações e os brasileiros estejam sujeitos a riscos cibernéticos graves e crescentes, em função do despreparo dos profissionais, da ausência de processos bem definidos e da entrada em operação de redes e sistemas maiores e mais complexos, envolvendo pessoas, dispositivos e processos, em que a possível variedade e sofisticação das ameaças e o impacto potencial dos ataques serão, sensivelmente, maiores. “No caso das questões de privacidade e acesso indevido a dados em geral, com o advento da LGPD, os riscos de ações judiciais, penalidades, prejuízos patrimoniais e humanos tendem a ser importantes. E para serem, convenientemente, tratados a tempo de cumprir o atual cronogramas de entrada em vigor da lei, impõem, para muitas organizações, sobretudo de grande e médio porte, um planejamento detalhado, que, a rigor, já deveria ter sido iniciado. Em outras palavras, quem ainda não está se planejando para a LGPD, já está atrasado!”
Professor do departamento de engenharia de computação e sistemas da Escola Politécnica da Universidade de São Paulo (Poli-USP), o engenheiro Marcos Simplício defende que haja profissionais cobrindo todo o ciclo e etapas de um sistema de segurança. “É importante ter um designer para criar um sistema robusto, um programador de segurança para evitar vulnerabilidades e um administrador de sistema para elaborar um ambiente seguro. Todas essas funções estão conectadas e a falha de uma delas pode prejudicar o sistema inteiro”, avisa.
OS DESAFIOS
Com a problemática escancarada, é natural se preocupar com os desafios da cibersegurança para os próximos cinco, 10 anos. Raul Colcher crê que “continuaremos a ver uma crescente sofisticação das ameaças de segurança e privacidade, requerendo, em consequência, igual nível de sofisticação dos processos e tecnologias de proteção. Com o aumento vertiginoso das potências computacionais tornadas disponíveis, é constantemente necessário subir o nível dos algoritmos empregados na proteção criptográfica de dados e tecnologias associadas, de maneira a tornar mais caras e demoradas as possíveis tentativas de rompimento dessas proteções."
Raul Colcher enfatiza ainda que "com o progresso e maturação das tecnologias e soluções de inteligência artificial, sua aplicação aos contextos de previsão e tratamento de ameaças de segurança tendem a tornar-se difundida e incorporada ao arsenal dos profissionais da área. Por outro lado, com a incorporação cada vez maior, por organizações militares e de inteligência, de “ciberarmamentos”, provavelmente veremos as tecnologias altamente sofisticadas desenvolvidas para esse ambiente migrarem, paulatinamente, para uso civil, levando a corrida entre atacantes e defensores de segurança corporativa e pessoal a um novo patamar. Finalmente, creio que veremos a incorporação de arquiteturas de segurança, de modo padronizado, às arquiteturas de negócios, contribuindo para um tratamento mais uniforme e consolidado das questões de segurança dentro das organizações, entre elas e delas com seus colaboradores, clientes e parceiros.”
SÓ HÁ UM CAMINHO: AVANÇAR. COMO?
- Fazer, com recursos internos ou externos, avaliação cuidadosa de requisitos
- Investir em dispositivos, softwares e soluções técnicas relevantes
- Adequar a estrutura organizacional de modo a dar ênfase e agilidade à identificação, previsão e tratamento de incidentes de segurança
- Investir em informação, conscientização e educação básica sobre os riscos associados a engenharia social, transversalmente à organização
- Promover a reformulação ou readequação de currículos e formações específicas da área de segurança e proteção de dados
- Aculturar as novas tecnologias emergentes que, ao mesmo tempo, serão objetos de ataques cibernéticos uma vez implantadas e, em muitos casos, serão incorporadas ao arsenal de soluções de antecipação e tratamento de ofensas de segurança
- Projetar arquiteturas de segurança, como parte de suas arquiteturas computacionais e de negócios.
REALIDADE NA NAS TELAS – MR. ROBOT
Mr. Robot é que a série americana criada por Sam Esmail e estrelada por Rami Malek (como Elliot Alderson), um engenheiro de cibersegurança e hacker — e que sofre de transtorno de ansiedade e depressão. Elliot se vê numa encruzilhada quando o líder Mr. Robot de um misterioso grupo de hackers (vivido por Christian Slater) o recruta para destruir a firma em que ele trabalha, em um dilema ético que envolve o mercado financeiro e a indústria da cibersegurança. A série é exibida no canal norte-americano USA e, no Brasil, pela emissora de TV por assinatura Space. Fora da TV, Mr. Robot é exclusividade do serviço de streaming Amazon Prime.