maio 15, 2019

[Segurança] Mais uma lista de profissionais de segurança

Novamente alguém teve a "brilhante idéia" de fazer uma lista de profissionais de segurança (uma lista que foi publicada originalmente em setembro do ano passado e reciclada num post do LinkedIn).


Já não bastava a iniciativa do "SecOps — InfoSec Army" há cerca de um ano atrás, que se propôs a "premiar" os melhores profissionais do mercado em várias categorias e foi criticado e ridicularizado em alguns grupinhos em redes sociais.

Por que as pessoas insistem em ficar tentando criar suas próprias listas com os "profissionais mais topper de mercado"? Mais uma vez alguém decidiu criar a sua lista dos topzera, e já está pagando mico em alguns grupos e rodinhas de conversa.

Esse tipo de coisa não tem como dar certo, e por diversos motivos...

Você não conhece todo mundo!

Lamento te informar, mas você não conhece todo mundo que atua no mercado de segurança! Não faz mal se você já trabalha há 10, 20, ou 30 anos dedicados a segurança. Não interessa se você trabalhou nas principais empresas do mercado. Você não conhece todo mundo, e é impossível conhecer todo mundo. Portanto, qualquer lista que você faça vai deixar muita gente de fora, inclusive gente extremamente competente, que você nem sabe que existe!

Da mesma forma, assim como existem vários profissionais que são conhecidos por que palestram em eventos ou escrevem artigos, existem muitos outros que são extremamente competentes mas que não são muito conhecidos fora do seu círculo de amizade pois não tem o hábito, desenvoltura ou interesse de se expor. Pela minha experiência, eu me arrisco a dizer que o pessoal que palestra e se expõem para o mercado é a minoria dos profissionais existentes. Você pode até conhecer algumas pessoas que estão na ponta do iceberg, mas dificilmente vai conhecer quem se esconde abaixo da linha da água.

Pegue, por exemplo, esta lista com perfis de profissionais de segurança no Twitter que eu criei em 2010. No período em que eu a atualizava periodicamente, até 2015, a lista cresceu de 72 para 491 perfis de pessoas, conforme eu ia encontrando ou conhecendo novos perfis, e atualmente já chegou a 548 pessoas e 166 entidades. Mesmo com o Twitter sendo pouco usado atualmente, tenho certeza absoluta de que tem muita gente fora dessa lista. Mais um exemplo: a BSidesSP no ano passado teve 2.051 inscritos e .245 pessoas, basta fazer uma conta de padeiro para ver que tem um gap aí.

Não basta saber que a pessoa existe!

Mesmo que você conheça ou saiba o nome de vários profissionais da área, isso não atesta a competência dela. Uma coisa é você conversar com alguém numa roda de bar, assistir uma palestra ou ler um Tweet dessa pessoa, e outra coisa é conviver com alguém no dia-a-dia de uma empresa, onde você realmente consegue perceber a competência técnica e também como essa pessoa se comporta no trabalho.

Ao criar uma lista com nomes de profissionais que você ouviu por aí, corre facilmente o risco de incluir alguma pessoa com pouca competência, o que vai causar o descrédito imediato da sua iniciativa. E sua lista vira motivo de piada.

Não existe unanimidade!

Além do mais, é muito difícil encontrar uma unanimidade - sobre qualquer assunto. Aquele profissional que você julga competente, talvez outros considerem incapaz ou inadequado provavelmente porque conheceram outra faceta dessa pessoa ou tiveram outro tipo de experiência com esta pessoa. Eu mesmo conheço várias pessoas que são admiradas e, ao mesmo tempo, conheço quem desmereça a competência desses profissionais. Alguém que você considera um "digital influenciar" pode ser desprezado por outras pessoas. Como já dizia aquele velho ditado, "opinião é como bunda: cada um tem a sua".

Ninguém é 100% bom ou competente em tudo!

Como eu já disse antes, é muito difícil medir a competência de um profissional de segurança. Lembre-se que a nossa área tem várias especializações bem diferentes, então um profissional que atua em uma determinada especialização pode não conseguir avaliar a competência de um colega que atua em área diferente. Por exemplo, uma empresa vai ter profissionais de Pentest convivendo com especialistas de GRC, "cada um no seu quadrado". Um profissional de AppSec pode não ser a melhor pessoa para configurar seu Firewall de rede.

Um desfile de Egos

O nosso pequeno mercado nacional de segurança é uma grande aglomeração de egos inflados, que acabam alimentando e sendo alimentados por tretas.Tenho amigos que trabalham em outras áreas de TI e me dizem que nossa área é hostil, só tem louco e disputas de egos. E eles estão certos! Esse tio de lista de profissionais só alimenta a disputa de egos: quem está na lista (mesmo que não saiba o porquê) fica com o ego inflado, e quem não está fica com dor de cotovelo.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.