Attention / Atenção


This blog represents my own view points and not of my employer, Amazon Web Services

Este blog representa meus próprios pontos de vista e não do meu empregador, Amazon Web Services

segunda-feira, novembro 05, 2007

A doença do Gestor de Segurança – Falsa Sensação de Segurança

O corpo humano é uma máquina fantástica. Tanto é verdade que, quando ela pára de funcionar, simplesmente não entendemos por que isso acontece. Simplesmente somos desafiados em relação a toda a nossa capacidade e inteligência, a aceitar algo incompreensível.
Sendo assim, toda pessoa que se preza e ama a sua vida, mais cedo ou mais tarde se dá conta de que precisa investir tempo para “cuidar da máquina”. Atividade física e equilíbrio na alimentação são fatores primordiais para a pessoa que pretende levar uma vida saudável.
Entretanto, normalmente não nos contentamos com estas duas ações. Procuramos especialistas nas diversas modalidades de tratamento do corpo, sempre procurando ouvir orientações peritas sobre o nosso próprio corpo e sobre as decisões que devemos tomar para manter o equilíbrio e o bom funcionamento.
O mesmo se dá com o profissional que assume o perfil de Gestor de Segurança da Informação. Embora este profissional tenha bons conhecimentos em segurança, ou, em muitos casos seja oriundo da área técnica, com bons conhecimentos de rede, conectividade, soluções técnicas de segurança para desenvolvimento de sistemas, etc., na posição de Gestor de Segurança, ele passa a DEPENDER da orientação perita de especialistas em assuntos técnicos e até de gestão.
A razão disso é simples: A tomada de decisão (capacidade que deve ser bem desenvolvida num gestor) muitas vezes depende do conhecimento técnico como ferramenta de trabalho. Neste contexto, um ex-técnico pode seguir por basicamente dois caminhos:
Assumir definitivamente a posição de gestor. Embora tenha conhecimento técnico e invista para se manter atualizado nos assuntos tecnológicos, ele ainda assim assume a posição de depender da orientação de especialistas, profissionais focados nos diversos segmentos ou “domínios” da segurança da informação.
Investir fortemente nas duas grandes vertentes desejáveis na segurança da informação: conhecimento técnico profundo em tecnologias de base e em soluções de segurança, e conhecimento técnico profundo em administração, finanças, relacionamento interpessoal, gestão de pessoas, gestão de projetos...a lista é quase interminável.
Conheci poucos profissionais “completos” durante toda a minha atuação na área de Segurança da Informação.
Tomar esta decisão na carreira é difícil. Na maior parte dos casos, os bons profissionais são apaixonados pelo que fazem, e normalmente se amedrontam diante da possibilidade de “ficarem pra trás” em termos de conhecimento técnico, ou se tornarem incapazes de falar sobre detalhes técnicos com seus amigos no almoço ou num happy hour. Esta mudança significa “sair da sua zona de conforto” e se não for algo muito bem planejado, pode dar errado, tornando o profissional menos competitivo, ou até inaceitável para os desafios na empresa onde trabalha.
Porém, considero tal decisão imprescindível. Não deixar de ser técnico é uma medida perigosa para um Gestor, especialmente pelo potencial de formação da doença, chamada aqui a de “Falsa Sensação de Segurança”.
Lembro muito bem da atuação de muitos gestores de segurança, que outrora haviam sido excelentes técnicos. Um deles viveu um dos maiores horrores da vida, quando teve que administrar as ansiedades e necessidades de uma equipe de competentes técnicos que passaram a estar sob o seu comando.
Outro caso interessante foi de um amigo, oriundo de área técnica, com formação acadêmica em Tecnologia da Informação, que foi indicado para ser Gestor de Segurança da Informação numa Companhia de abrangência nacional. Por muito tempo, este amigo continuou a se envolver em reuniões de cunho técnico, oferecendo com propriedade soluções de viabilidade técnica para vários processos de negócio.
Porém, sair da sua zona de conforto significava deixar a sua equipe trabalhar, enquanto ele mesmo deveria pensar, planejar e articular. Com o tempo, tivemos a oportunidade de observar os efeitos de decisões erradas tomadas por este gestor, por achar que possuía entendimento técnico pleno do assunto. Lamentavelmente, ele não havia se dado conta de que o tempo havia passado e o seu conhecimento técnico já não era suficiente para uma tomada de decisão correta. Foi contaminado pela “falsa sensação de segurança” e por fim, essa atitude gerencial errada lhe custou a permanência no cargo.
Poderíamos continuar contando casos similares por várias páginas. Mas o ponto em questão é: O amigo almeja alcançar uma posição como gestor de segurança da informação não deve achar que o fará por ser um grande conhecedor de tecnologia. Este conhecimento certamente o servirá como ferramenta para tomada de decisão. Porém, evitar a doença da Falsa Sensação de Segurança depende de adotar a estratégia de focar no desenvolvimento das suas capacidades gerenciais, e contar sempre com especialistas nas diversas vertentes de conhecimento, sobre os quais a sua gestão se desenvolverá.
Sugiro então que o amigo analise e decida: Qual é a orientação estratégica que você dará a sua carreia?

Novidades

Srs. é com grande prazer que anuncio que esse humilde espaço agora será compartilhado com alguns outros amigos da área de segurança, ou seja, outros profissionais de gabarito incontestável serão convidados a escrever periodicamente no blog comigo.

Não percam em breve. Posso garantir que os artigos serão FANTÁSTICOS.

Marcos Julião e Alexandre Domingos Sejam bem vindos.