Category Archives: gestão

“Por que os talentos deixam as empresas” aplicado a profissionais de SegInfo

Depois de algum tempo de marasmo no blog, resolvi voltar com um artigo um pouco menos tecnológico e mais sociológico. O foco aqui é no lado profissional de quem trabalha com afinco e dedicação no ramo de SegInfo.

Recentemente li um artigo da Forbes, intitulado “Why Top Talent Leaves: Top 10 Reasons Boiled Down to 1″. O artigo resume de forma direta o principal motivo dos talentos abandonarem empresas. Traduzindo livremente, da forma mais fiel possível: “Os melhores talentos saem de uma organização quando são mal gerenciados e a organização é confusa e não inspiradora”.

Meu objetivo nesse artigo de hoje é trazer isso para o mundo dos departamentos e empresas de SegInfo. Para adaptar melhor ao contexto, vamos mudar a conclusão acima para: “Bons profissionais de SegInfo vão embora quando há má gestão, confusão e consequentemente falta de motivação”. Assim, vou tentar responder à seguinte pergunta: quais seriam os indícios de má-gestão e confusão?

Na minha opinião, considero os fatores abaixo como os principais indícios de má gestão e confusão em SegInfo, que invariavelmente levam à desmotivação de profissionais que eventualmente passam por estas situações:

  • CSOs ao invés de Security Leaders: a liderança nata cada vez mais escassa abre margem ao surgimento de “ocupantes de cargos com siglas”. O que se espera de um verdadeiro gestor de SegInfo é a liderança de sua equipe, mostrando claramente quais são os objetivos da área, porque e como todos devem atuar para atingí-los. Sim, o verdadeiro líder convence sua equipe da importância de objetivos plausíveis por ele definidos e defendidos, sem precisar se basear unicamente em metas “top-down”.
  • “Casa de ferreiro, espeto de pau”: esse indício pode ser mais comum em empresas de consultoria de SegInfo. Vendem uma parafernalha tecnológica de ponta, mas nem mesmo o mais simples anti-vírus esta instalado nas estações. Claro que nem preciso dizer o risco disso (não que anti-vírus seja a solução para todos os males, nós bem sabemos…). E profissional de SegInfo se irrita demais com esse tipo de situação! Pior ainda é quando não estão disponíveis as ferramentas necessárias para o trabalho, aquelas que apoiam os processos (quando estes existem).
  • “Síndrome da barata-tonta”: em SegInfo é mais conhecida como “Oh meu Deus, fomos invadidos, e agora!”. A confusão impera por não existirem processos e procedimentos definidos formalmente, nem muito menos divulgação e treinamentos sobre os mesmos.
  • “Complexo de bombeiro”: muito comum em áreas mal estruturadas ou com pouca mão-de-obra qualificada (talentos!). Nestas, o dia-a-dia da equipe de SegInfo é apagar incêndios. Nunca há tempo ou incentivo para planos de adequação, prevenção ou preparação.
  • Relatórios “para-inglês-ver”: auto explicativo. Já se depararam com isso?

Essa lista certamente é não exaustiva. Vocês que trabalham na área devem estar imaginando várias outras situações e indícios de má gestão e confusão. Algum comentário?

Como ser um idiota em segurança da informação

Devo admitir que sou fã de artigos que ressaltam os erros de certas “iniciativas” de segurança da informação em empresas. Naturalmente, é muito fácil seguir recomendações ou previsões de outros sobre aquilo que “deve” ser feito, mas sem dúvida nenhuma é muito mais proveitoso confiar em “lessons learned”, pois, como já dizia o ditado: é errando que se aprende.

Muito tempo depois do memorável artigo de Marcus J. Ranum, entitulado The Six Dumbest Ideas in Comupter Security, Lenny Zeltser publica mais uma grande contribuição: How to Suck at Information Security. Continue reading