[Segurança] O SecOps InfoSec Army

No início do ano, o Alberto J Azevedo lançou a iniciativa do "SecOps — InfoSec Army", uma idéia para facilitar a contratação de serviços de segurança e otimizar a alocação de horas trabalhadas através de uma plataforma capaz de gerenciar um pool de profissionais atuando de maneira "free lance".

Em poucas palavras, "um Uber da área de Infosec". O post anunciando o projeto é confuso, cheio de blá blá blá, mas isso não é por mal. Quem conhece pessoalmente o Alberto percebe facilmente que ele é verborrágico e fala demais quando se empolga. Em todo o artigo do Medium apresentando a idéia, basta ler o décimo terceiro parágrafo, em que ele descreve a iniciativa:

"A SecOps — InfoSec Army é uma iniciativa global que visa unificar em um único ecossistema totalmente integrado, todos os recursos humanos disponíveis na área de segurança da informação. Profissionais liberais, empresas de segurança, empresas de TI e até mesmo empresas de desenvolvimento. Do profissional Júnior ao especialista mais renomado. Alocados em projetos de acordo com a necessidade e orçamento disponíveis, coordenados de forma centralizada, oferecendo uma solução única, 100% personalizada de acordo com as peculiaridades de cada empresa ou organização. As mais variadas competências da área de segurança da informação, alocadas sob demanda, de forma dinâmica e otimizada para clientes em todo o mundo."

Nós nos encontramos no início do ano na Campus Party, quando conversamos e ele me explicou a iniciativa (daí tirei a idéia do "uber da 'rea de segurança"). A idéia me pareceu boa, em teoria: permite que diversos profissionais atuem como free lance em um projeto, cada um alocado conforme sua especialidade e sua disponibilidade de tempo, com profissionais atuando na linha de frente e outros coordenando ou fazendo o QA do projeto. E os profissionais se auto-avaliando de acordo com a qualidade do trabalho realizado. Esse modelo permite um sistema de ranqueamento dos profissionais, igual no Uber, aonde você dá uma nota e assim todos podem escolher os melhores profissionais e evitar os piores.

Até aí tudo lindo, e relativamente poucos profissionais deram atenção a iniciativa. Fast Forward.

De repente, em Julho o Alberto lança um concurso para eleger profissionais de destaque na área de segurança, o InfoSec Competence Leader Brasil. E assim, agitando os egos inflados do pessoal, ele chamou a atenção.

O concurso tem uma primeira fase baseada em indicação popular (qualquer um podia preencher um formulário online com a sua indicação de profissional ou empresa de destaque), seguida por entrevistas e avaliações dos indicados pela equipe do Infosec Army (!?), resultando em cinco finalistas para cada competência. Ao final, esses 5 voltam para a votação popular. Um processo meio confuso, aparentemente burocrático, não é? Mas, se vale um título ou um diploma, é suficiente para movimentar a galera de segurança. Assim que anunciou os resultados parciais com os primeiros indicados, seguiu-se uma chuva de agradecimentos nas redes sociais, posts com pedidos de votos para os amigos e, claro, mensagens raivosas (ou invejosas, em alguns casos) em algumas comunidades!

Tudo isso para ganhar um "prêmio": a oportunidade de assinar um contrato com a SecOps – InfoSec Army.

No grupo do Telegram da H2HC, que tem cerca de 400 participantes, a iniciativa foi duramente criticada por algumas poucas pessoas. Em cerca de 24h, circularam aproximadamente 2 mil mensagens! Alguns dos principais críticos, na verdade, tinham tretas anteriores com o Alberto (algo do tipo "estou de mal porque você me baniu de um outro grupo no telegram") e, mesmo com o Alberto tentando explicar a iniciativa, as críticas se extendiam indefinidamente e, invariavelmente, começaram a aparecer os memes! E surgiu até um suposto leak.

Enquanto a treta rolava solta, eu descobri que estava fazendo parte formalmente do "Advisory Board" do InfoSec Army, e uma das pessoas trollando a iniciativa no grupo da H2HC estava me criticando gratuitamente como forma de desmerecer o projeto do Alberto. Como até então a minha participação no projeto era nula (limitou-se aquela conversa durante a Campus Party) e eu não tenho disponibilidade de tempo para colaborar, eu pedi ao Alberto que me retirasse do board. Isso não significa que eu não acredite na iniciativa, apenas não tenho disponibilidade para colaborar.

Em minha opinião, por trás das críticas estava uma pitada de inveja (afinal, como foi possível indicar um monte de "engravatado" e nenhum "hackudão do underground"?) alinhado a um problema sério que temos: a grande dificuldade de medir e comparar o conhecimento na área de segurança. Diplomas, certificações, curriculos no Linkedin, CVEs publicados - são várias métricas possíveis, mas nenhuma delas consegue representar precisamente os profissionais de nossa área.

Isso não impede que surjam iniciativas para premiar os profissionais da área. Os profissionas mais antigos devem se lembrar do prêmio "A Nata dos Profissionais de Segurança da Informação" (sim, o nome do prêmio já era piada na época) e o SecMaster2005, oferecido pelo falecido evento Security Week. Até hoje temos o Prêmio Security Leaders, a única premiação nacional que resiste ao tempo.