julho 19, 2010

[Segurança] Quando profissionais de SI jogam futebol

A copa do mundo já acabou, mas neste ano teremos a primeira Hack Cup, que vai acontecer no dia 30 de Julho, em Las Vegas, junto com a Defcon.

A pergunta natural que vem na mente de todos deve ser: "ué, desde quando geek sabe jogar bola?". Como a resposta é óbvia ("Não, só no Playstation e olha lá"), vamos para a próxima: como seria uma seleção formada por profissionais de segurança?

Esta é uma ótima oportunidade para fazer uma divertida associação entre os diferentes tipos de profissionais de segurança da informação e os jogadores que normalmente vemos em uma partida de futebol. Na minha opinião (e graças também a uns comentários do amigo Rodrigo Montoro(Sp0oKeR) em uma lista de discussão recentemente), a escalação seria mais ou menos a seguinte:
  • Security officers e CSOs (CISSPs): são os técnicos e os cartolas, eles são responsáveis por projetar as jogadas de ataque e as estratégias de defesa
  • Os Analistas de Firewall são os goleiros do time
  • Os Pesquisadodes de Vulnerabilidades ficam no meio campo procurando os pontos falhos e armando as jogadas
  • Os PenTesters são os atacantes
  • Os Auditores CISA seriam os juízes
  • Os Analistas de IDS trabalham como bandeirinhas, alertando quando algo de errado acontece
  • O pessoal que trabalha com análise de logs e forense vão fazer bico na TV para mostrar o tira-teima


O complicômetro nessa brincadeira toda é que "regulamento" vai ser chamado de "Política Corporativa de Segurança" e o CISSP só vai jogar se a bola for certificada :)

Esta brincadeira mostra a diversidade de papéis e funções diferentes que existem na carreira em segurança da informação. Assim como no futebol, um time não está completo nem conseguirá vencer seus adversários se não contar com uma equipe diversificada, equilibrada e que saiba trabalhar em conjunto. Para isso, a empresa deve contar com um gestor competente, que saiba fazer uma escalação apropriada e diversificada, motivando os seus "jogadores" e sabendo explorar o papel específico de cada um. Por exemplo, não dá para esperar que um bom atacante vá ser um bom goleiro, da mesma forma que um profissional que sabe criar exploits e descobrir vulnerabilidades não será, necessariamente, a melhor pessoa para definir como a empresa deve se defender.

E aí, o que você achou dessa escalação?

Um comentário:

Luiz Rabelo disse...

Tira teima na TV? Muito obrigado, amigo!

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.