maio 15, 2019

[Segurança] Mais uma lista de profissionais de segurança

Novamente alguém teve a "brilhante idéia" de fazer uma lista de profissionais de segurança (uma lista que foi publicada originalmente em setembro do ano passado e reciclada num post do LinkedIn).


Já temos atualmente a iniciativa "Infosec Competence Leaders" do "SecOps — InfoSec Army" criada há cerca de um ano atrás, que se propôs a "premiar" os melhores profissionais do mercado em várias categorias e, por isso, acabou criticado e ridicularizado dentro de alguns grupos e comunidades de profissionais nas redes sociais.

Mas essa mania de criar premiações não é de hoje. No início dos anos 2000 havia o prêmio "A Nata dos Profissionais de Segurança da Informação", realizado pelo evento Security Week, que não existe mais (nem o evento, nem o prêmio). Seguindo essa mesma linha, há muitos anos o evento Security Leaders mantém uma premiação para executivos de segurança, que é utilizada para atrair executivos para o evento e, consequentemente, atrair patrocinadores (mas, na verdade, a grande maioria dos executivos aparece 10 minutos antes da cerimônia de premiação e vai embora logo que ela acaba).


Por que as pessoas insistem em ficar tentando criar suas próprias listas e rankings com os "profissionais mais topper de mercado"? Mais uma vez alguém decidiu criar a sua lista dos topzera, e já está pagando mico em alguns grupos e rodinhas de conversa.

Esse tipo de iniciativa não tem como dar certo, na minha opinião, e por diversos motivos...

Você não conhece todo mundo!

Lamento te informar, mas você não conhece todo mundo que atua no mercado de segurança! Não faz mal se você já trabalha há 10, 20, ou 30 anos dedicados a segurança. Não interessa se você trabalhou nas principais empresas do mercado. Você não conhece todo mundo, e é impossível conhecer todo mundo. Portanto, qualquer lista que você faça vai deixar muita gente de fora, inclusive gente extremamente competente, que você nem sabe que existe!

Da mesma forma, assim como existem vários profissionais que são conhecidos por que palestram em eventos ou escrevem artigos, existem muitos outros que são extremamente competentes mas que não são muito conhecidos fora do seu círculo de amizade pois não tem o hábito, desenvoltura ou interesse de se expor. Pela minha experiência, eu me arrisco a dizer que o pessoal que palestra e se expõem para o mercado é a grande minoria dos profissionais existentes. Você pode até conhecer algumas pessoas que estão na ponta do iceberg, mas dificilmente vai conhecer uma parcela significativa de quem se esconde abaixo da linha da água.

Pegue, por exemplo, esta lista com perfis de profissionais de segurança no Twitter que eu criei em 2010. No período em que eu a atualizava periodicamente, até 2015, a lista cresceu de 72 para 491 perfis de pessoas, conforme eu ia encontrando ou conhecendo novos perfis, e atualmente já chegou a 548 pessoas e 166 entidades. Mesmo com o Twitter sendo pouco usado atualmente, tenho certeza absoluta de que tem muita gente fora dessa lista. Mais um exemplo: a BSidesSP no ano passado teve 2.051 inscritos e 1.245 pessoas presentes, então basta fazer uma conta de padeiro para ver que a quantidade de pessoas na minha lista de perfis no twitter não condiz com a realidade.

Não basta saber que a pessoa existe!

Mesmo que você conheça ou saiba o nome de vários profissionais da área, isso não atesta a competência dela. Uma coisa é você conversar com alguém numa roda de bar, assistir uma palestra ou ler um Tweet dessa pessoa, e outra coisa é conviver com alguém no dia-a-dia de uma empresa, onde você realmente consegue perceber a competência técnica e também como essa pessoa se comporta no trabalho.

Ao criar uma lista com nomes de profissionais que você ouviu por aí, corre facilmente o risco de incluir alguma pessoa com pouca competência, o que vai causar o descrédito imediato da sua iniciativa. E sua lista vira motivo de piada.

Não existe unanimidade!

Além do mais, é muito difícil encontrar uma unanimidade - sobre qualquer assunto. Aquele profissional que você julga competente, talvez outros considerem incapaz ou inadequado provavelmente porque conheceram outra faceta dessa pessoa ou tiveram outro tipo de experiência com esta pessoa. Eu mesmo conheço várias pessoas que são admiradas e, ao mesmo tempo, conheço quem desmereça a competência desses profissionais. Alguém que você considera um "digital influenciar" pode ser desprezado por outras pessoas. Como já dizia aquele velho ditado, "opinião é como bunda: cada um tem a sua".

Ninguém é 100% bom ou competente em tudo!

Como eu já disse antes, é muito difícil medir a competência de um profissional de segurança. Lembre-se que a nossa área tem várias especializações bem diferentes, então um profissional que atua em uma determinada especialização pode não conseguir avaliar a competência de um colega que atua em área diferente. Por exemplo, uma empresa vai ter profissionais de Pentest convivendo com especialistas de GRC, "cada um no seu quadrado". Um profissional de AppSec pode não ser a melhor pessoa para avaliar o trabalho do time de GRC, nem mesmo recomendável para configurar o seu Firewall de rede.

Falta de critéirios objetivos

Esse é um erro constante nessas iniciativas de criar listas e premiações: não há um critério para avaliar os competidores, nem os vencedores. Nunca vi uma premiação no mercado de segurança ser seguida de uma justificativa do porque a pessoa foi vencedora: que projeto foi escolhido, como se comprovou o sucesso da iniciativa, qual foi diferencial com o mercado. Um pequeno e raro exemplo aconteceu na breve explicativa que o Infosec Competence Leaders deu para os dois escolhidos como menção honrosa em 2019.

Na prática? São escolhidos os competidores e vencedores baseado nos títulos e cargos que possuem. E, infelizmente, por conta desse critério, já vi várias vezes profissionais incompetentes serem premiados. Porque ninguém avalia verdadeiramente qual é o trabalho realizado.

Um desfile de Egos

Aqui vem o maior problema... O nosso pequeno mercado nacional de segurança é uma grande aglomeração de egos inflados, que acabam alimentando e sendo alimentados por tretas. Tenho amigos que trabalham em outras áreas de TI e me dizem que nossa área é hostil, só tem louco e disputas de egos. E eles estão certos! E essas iniciativas de criar listas, rankings e prêmios só alimenta a disputa de egos: quem está na lista (mesmo que não saiba o porquê) fica com o ego inflado, e quem não está fica com dor de cotovelo.

Por isso tudo, eu não vejo como uma lista ou premiação contribui positivamente para o mercado, a longo prazo. A curto prazo, vemos meia dúzia de profissionais que tem a oportunidade de adicionar uma linha em seu perfil no Linkedin - mas, que se fossem bom profissionais mesmo, essa linha não faria a menor diferença em sua trajetória.

PS: Post atualizado em 06/02/2020.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.