O Blog da CCM tem acompanhado o trabalho da Pollyana e claro, pedimos uma entrevista. Entre todos os temas abordados (desafios da segurança da informação no mercado imobiliário, futuras ameaças, dicas sobre carreira em Cybersecurity), ela fala sobre o desafio que as mulheres ainda encontram no setor de tecnologia. Agora, conheça quem é Pollyana e como foi sua trajetória na área da cibersegurança.
Boa leitura!
Breve histórico profissional
Diferente da maioria dos profissionais de segurança, não venho da área de Tecnologia.
Me formei em Finanças, trabalhando em bancos por um tempo, mas foi a área de auditoria, que me trouxe até a área de Segurança da Informação. Atuei como Auditora por sete anos, parte em consultoria externa e parte na indústria, atuando principalmente com gestão de riscos, controles internos e processos de auditoria focados em auditoria de T.I., gestão de acessos e GRC (Gestão de Riscos e Compliance de TI) - nesta época pude participar do projeto de implementação do sistema SAP.
Esta experiência me aproximou da área de tecnologia e foi neste momento que acabei entrando para a área de Segurança da Informação. Hoje, atuo como Coordenadora da área de Segurança da Informação na empresa Bild Desenvolvimento Imobiliário, com MBA em Gestão em Tecnologia e Segurança da Informação.
Às vésperas de obter minha primeira certificação na área, tenho o desafio de estruturar do zero uma área de segurança, que consiga compreender os desafios, desejos e estratégia do negócio e consiga transformá-los em realidades seguras, contribuindo principalmente com a perenidade e continuidade dos negócios.
Quais os desafios da segurança da informação no mercado imobiliário?
Pollyana: Apesar de vermos uma onda crescente e muito veloz de startups e de inovações focadas no setor imobiliário, de construção e incorporação, no dia-a-dia das empresas algumas situações ainda estão em fase de discussão e podem levar um tempo até virar realidade. Este cenário se repete quando falamos de segurança da informação, poucas empresas do setor, possuem uma área estruturada e pessoas dedicadas a segurança.
É comum que o assunto “segurança da informação” chegue às estruturas administrativas da empresa, mas o desafio é maior quando atuamos nas unidades comerciais espalhadas em diferentes localidades, ou ainda, nos canteiros de obra, que são estruturas provisórias, que tem tempo determinado para existir e, em seguida, são substituídas por empreendimentos, mas que precisam de proteção tanto quanto outras áreas da companhia. Todos estes fatores somados a velocidade e dinamismo dos negócios neste setor, criam um ambiente desafiador para a área de Segurança.
Fazer com que a empresa entenda a importância de ter seus dados e informações protegidas e direcionar investimentos para isso, sem dúvidas, é um bom resumo dos principais desafios de qualquer líder de segurança. Não esquecendo claro, da questão de educação e conscientização das pessoas, que exigem mais criatividade a cada dia, pois os velhos métodos de treinamento não funcionam mais. Estamos inovando inclusive neste aspecto.
Na sua visão, existem desafios adicionais que as mulheres encontram na carreira de TI? Principalmente em posições de gestão?
Pollyana: A área de TI ainda tem predominância masculina, segundo estudo recente da KPMG, apenas 20% da força de trabalho é composta por mulheres. Na área de segurança, a participação feminina é ainda menor, correspondendo a apenas 11% dos profissionais.
Sem dúvidas é um ambiente que gera grandes desafios para mulheres, mas percebo que este cenário tem mudado de alguns anos para cá. Aqui no CSC da Bild, por exemplo, das sete posições de liderança dentro da área de TI, três são ocupadas por mulheres. Isso já é um reflexo das mudanças que a área de tecnologia vem passando.
Falando sobre futuro, na sua opinião, quais são as projeções para o mercado em nível de tecnologia e inovação?
Pollyana: Em 2020, estima-se que o custo médio de uma violação de dados será de US$ 150 milhões. Projeções como estas somadas as recentes leis de proteção de dados GDPR e LGPD nos alertam para necessidade e tendência de inovação na área de segurança.
Novas tecnologias precisarão ter capacidade de atuar preventivamente, analisando comportamentos e tendências, por exemplo, notificando possíveis vazamento de dados, utilizando análises de comportamentos anormais. Neste contexto, a integração de ferramentas de gestão de segurança, somadas a inteligência artificial, machine learning e data security analytics embarcadas, monitoramento real time, serão importantes para suportar a área de SI na proteção dos negócios.
Ainda falando sobre futuro, em nível de ameaças, o que vem por aí?
Pollyana: Não demorará para vivenciarmos ameaças avançadas que farão uso de inteligência artificial e machine learning para encontrar brechas específicas em sistemas e principalmente nos comportamentos humanos. Isso exigirá uma atuação mais direcionada da equipe de cibersegurança, em que as pessoas e tudo que relacionarmos ao seu comportamento, como trabalho home office, BYOD etc., continuarão sendo um dos principais vetores de preocupação.
Mas prefiro reforçar que ainda vejo muitos impactos e prejuízos sendo contabilizados pela falta de ações básicas nos ambientes de tecnologia, atualizações e patches de segurança, por exemplo. Estas, continuam sendo a lição de casa mais simples e básica, mas que frequentemente falham e tornam as empresas vulneráveis - tanto as velhas quanto as novas ameaças.
Levando em consideração ameaças e desafios, na sua opinião, quais os principais passos que o gestor de TI deve se atentar no que tange a segurança da informação?
Pollyana: É comum que a área de segurança seja criada dentro do guarda-chuva de TI e tenha o gestor de tecnologia como primeiro report. Neste caso, o primeiro, dos grandes desafios do Gestor de TI, é impulsionar o tema e ser o principal patrocinador junto à diretoria e ao board da empresa. Sem o apoio de cima, dificilmente o tema passará a ser visto como estratégico e receberá a atenção necessária. Para isso, é fundamental que o Gestor de TI esteja alinhado com as estratégias do negócio e tenha claro suas necessidades, conseguindo direcionar o tema de forma a atender o que o negócio precisa. É conseguir “enxergar necessidade futuras sem nunca tirar o pé no chão”.
Outro desafio é engajar o próprio time de tecnologia ao tema, normalmente dentro da própria área de TI. É aí onde vemos a maior resistência e dificuldade no estabelecimento de processos de segurança, por terem grande liberdade e autonomia. A implementação de boas práticas de segurança, por vezes, gera a sensação de que as pessoas não poderão mais ter a mesma liberdade de atuação, a comunicação precisa ser muito clara e transparente para evitar desconfortos ou gerar burocracia na área.
Quais são as dicas que você gostaria de deixar para aqueles que querem seguir carreira nessa área?
Pollyana: A área de segurança está borbulhando de oportunidades e há um grande leque de atuação. Passando pela atuação técnica, investigação/forense, Analytics, gestão, compliance e auditoria e até mesmo novas funções relacionadas a LGPD podem surgir em breve. Conhecimento técnico é importante: há muitos cursos bons sendo oferecidos no mercado.
Certificações também são importantes e bem avaliadas, mas não substituem a real necessidade que é saber aplicar no dia a dia o que aprendeu, afinal, teoria sem prática é só teoria, não funciona. Aos profissionais que estejam interessados em seguir carreira na área precisa dou três dicas:
- Buscar conhecimento e ser um eterno insatisfeito: nesta área não há espaço para o “perfil acomodado”, a busca constante por atualização e o conhecimento é imprescindível para conseguir uma atuação eficiente. Estudo, leitura, participação ativa em fórum de discussão ou grupos de WhatsApp específicos são indicados.
- Entender o cenário global de segurança e ter domínio sobre o negócio em que trabalha: por mais técnica que possa vir a ser sua atuação, é preciso saber o que acontece no cenário global de segurança, não há muros ou fronteiras que possam barrar uma ameaças de chegar na sua empresa hoje. Portanto esteja atento ao mercado! Conhecer a empresa em que trabalha também é importante para compreender e antecipar possíveis impactos de cada atividade da segurança no dia a dia das pessoas.
Embora haja um consenso sobre as principais atividades da segurança nas empresas, a realidade do profissional de cibersegurança de um banco, por exemplo, poderá ser muito diferente de profissional de cibersegurança em uma indústria, ou no varejo. Pesquise as diferentes atuações em cada mercado para alinhar suas expectativas. - Ética e confidencialidade acima de tudo: premissa de qualquer profissão, a ética é pré-requisito aos que querem seguir a carreira na área, tanto quanto a confidencialidade pois lidamos diariamente com informações relevantes para os negócios, que geralmente são restritas e sensíveis.
Quais os valores você tenta passar para o seu time?
Pollyana: Ética e confidencialidade, humildade e empatia, proatividade e “sentimento de dono”.
Segurança só existe se as pessoas acreditarem no que você diz, elas só comprarão a ideia se enxergarem valor no que você propõe e só colocarão em prática aquilo que trouxer algum benefício para elas. É importante mostrar isso a equipe.
Quais as dificuldades para contratar profissionais dessa área?
Pollyana: Converso com muitas pessoas que tem interesse na área de segurança, mas que não entendem a real atuação do profissional de Cybersecurity antes de se inscrevem em processos seletivos. Muitos acreditam que saber configurar o antivírus e o firewall já é suficiente e na verdade não é bem assim.
O profissional de segurança pode escolher entre a área técnica/cyber ou a de compliance/governança, mas tem que ter um conhecimento mínimo das duas áreas de atuação. Precisa entender um pouco de tudo na área de TI e ter um bom nível de comunicação, este último normalmente é mais difícil de se encontrar. Diariamente aqui na Bild somos envolvidos em projetos que podem demandar análises simples de acessos e infraestrutura segura, mas também somos envolvidos em projetos que envolvem novas tecnologias, Apps, Startups e que demandam desafios, análises profundas, scans de vulnerabilidade e até mesmo pentest de plataformas. Não há como ser especialista em um único aspecto e limitar a sua atuação.
Caso contrário, as equipes de segurança seriam enormes e isso, de fato, não é o que acontece hoje no mercado. Ao contratar profissionais para área busco o conhecimento técnico, mas se destacam os profissionais que demonstram ter uma boa comunicação, proatividade, capacidade de autogerenciamento e uma visão global do que é segurança da informação, sabendo aplicar os conhecimentos técnicos no dia a dia dos negócios.