[Segurança] O Futuro do Mercado de Segurança

Nota: Este artigo é o primeiro de uma série sobre o futuro do mercado de segurança.

Na semana passada eu tive a feliz oportunidade de participar de um painel no IV Congresso sobre Crimes Eletronicos e Formas de Proteção da FECOMERCIO sobre "O futuro do mercado de infosec", junto com o Willian Caprino, Fernando Mercês, o Luiz Eduardo dos Santos (Le) e o Domingo Montanaro.

O debate fluiu muito bem, com várias discussões interessantes e alguns pontos de vista divergentes. Na ocasião, eu aproveitei para compartihar uma opinião bem polêmica que eu tenho sobre o nosso mercado, e que certamente deixou algumas pessoas incomodadas ou com a pulga atrás da orelha:

Os usuários e executivos não tem que se preocupar com segurança e a tendência é que o nosso mercado deve perder importância na medida que as tecnologias amadurecem e as práticas de segurança são incorporadas pelas demais áreas.

Para explicar melhor esta minha opinião, eu decidi escrever uma série de posts sobre este assunto, que serão divididos em alguns posts justamente para que eu evite escrever um texto muito grande e massante.

Em resumo, eu tenho a seguinte opinião sobre o futuro do nosso mercado de Segurança da Informação, que será detalhada em alguns posts separadamente:

• Antes de pensarmos no Futuro, temos que entender o Presente. E o Presente é simples: estamos vivendo a "pré-história" da Era da Informação. E, consequentemente, o nosso mercado também está engatinhando, totalmente imaturo, e ainda vai sofrer muitas mudanças radicais com o passar dos anos.
• Os incidentes de segurança já viraram "carne de vaca", e o impacto para a imagem das empresas é minimo. Salvo raras excessões, os clientes não se assustam mais com as histórias de invasões e roubos de dados e não trocariam de fornecedor porque ele sofreu um ataque.
• Os usuários finais não entendem nada de tecnologia, não entendem nada de segurança e não precisam nem querem entender. A segurança tem que fazer parte das tecnologias que os usuários tem acesso, e não devem ser algo que eles são obrigados a entender e saber usar.
• Exceto em alguns segmentos de mercado específicos, os executivos também não tem que se preocupar com segurança. A segurança deveria fazer parte da infra-estrutura que faz a empresa funcionar, e não algo que tem que ser contratada a parte. Por isto, o cargo de CSO não terá razão de existir no futuro na maioria das empresas.
• A indústria de segurança não consegue acompanhar a evolução das ameaças e está dominada por buzzwords e FUD. Por isso, os usuários e as empresas tem dificuldade de identificar as soluções mais adequadas, os melhores fornecedores e nem mesmo os consultores capazes de ajudá-los.
• A área de segurança tem uma certa importância hoje em dia justamente porque as tecnologias ainda estão imaturas e, por isso, ficamos apagando incêndio o tempo todo.
• No futuro, segurança deve fazer parte natural do processo e da infra-estrutura. No futuro ela será transparente, algo que vem junto com a infra-estrutura da sua empresa, e não algo que você é obrigado a contratar a parte.

Nota: Este post ainda será atualizado algumas vezes, na medida em que eu escrever os demais textos relacionados a este assunto.