Entrevista: Rodrigo Amaral | S.O. do Grupo São Francisco

A primeira entrevista do Blog de Cibersegurança é com Rodrigo Amaral, security officer do Grupo São Francisco. Ele fala sobre sua carreira, desafios da profissão, projeções, habilidades mais desejadas pelo mercado de segurança da informação e muito mais.

Tivemos a oportunidade de entrevistar um profissional da área de segurança, o Rodrigo Amaral. Atualmente, ele é security officer do Grupo São Francisco.  Foi uma conversa muito rica e que nos trouxe algumas percepções sobre sua visão referente a cibersegurança . 
Nessa entrevista, o Rodrigo falou sobre sua carreira, desafios da segurança da informação, projeções, habilidades mais desejadas pelo mercado de segurança da informação e suas percepções quanto gestor. 


Boa leitura!


Como você começou a sua carreira na área de TI?

RodrigoComecei a trabalhar com TI do meio para o fim dos anos 1990. Naquela época, tinha um pouco de reserva de mercado, onde computador era artigo de luxo. Eu estudava engenharia elétrica e precisava de um pouco mais de dinheiro, então, comecei a montar computadores. Eu conhecia um pessoal que importava materiais, então, comprava e vendia. Comecei a tomar gosto pela área da computação. Nunca exerci a carreira de engenheiro, acabei nem me formando. No meio da faculdade de engenharia, eu troquei o curso e fui para área de informática. Foi quando percebi que era isso que eu queria.
Os anos 1990 eram muito diferentes. Havia uma reserva de mercado no Brasil, em que pouquíssimas empresas tinham computadores. Existiam muito mais máquinas de escrever nessa época. Poucas pessoas sabiam usar computadores. Quem fosse da área, tinha que saber tudo. 
Hoje, as funções são muito mais especializadas: segurança, hardware, antivírus etc. Com esse trabalho de montagem de computador, apareceu uma oportunidade de estágio e, nessa época, eu morava em Fortaleza - CE. Era uma grande empresa de cartão de crédito, que atendia só a região nordeste do País. Entrei com a função de montagem de computadores, o básico para quem trabalhava com isso. Nessa época, a companhia estava começando a se automatizar. Após seis meses montando computador, perceberam que eu tinha potencial então, me promoveram para analista pleno. O cargo do analista de TI nos anos 1990 tinha somente duas funções: desenvolvimento e infraestrutura.
O mercado de cartão de crédito era muito visado, e começamos a identificar problemas com segurança. Meu diretor, na época, tinha um amigo que era consultor do FBI em segurança. Esse profissional morava nos EUA, era professor da Georgia Tech - uma das melhores instituições de tecnologia do mundo - e a empresa em que trabalhava o contratou para ir à Fortaleza para uma consultoria. Foi aí que pensei: “É com esse cara que eu vou aprender’’. 
A partir de então, comecei a migrar para a área de segurança. Numa época em que algumas empresas estavam começando a comprar computadores e, aos poucos, investir em segurança, os fabricantes que existiam eram muito poucos e, os produtos, muito caros, era impensável falar em comprar equipamento de firewall. Existiam apenas dois fabricantes: Cisco e Nokia. 
Com a ascensão do Linux, descobriu-se que, com aquele sistema operacional (SO) de código aberto, você podia fazer praticamente tudo, logo esse SO passou a fazer parte dos meus aprendizados para entrar na área de segurança.
Tudo o que tínhamos que fazer de segurança nos anos 1990 era: colocar uma caixinha Linux na frente, colocar um software de firewall, um IDS, e começar a fazer “na unha’’ a configuração de políticas de segurança, já que as coisas não eram automatizadas.
Me casei e fui morar em Salvador, mas minha esposa não se adaptou à cidade. Por conta disso, nos mudamos para Natal, que era sua cidade de origem.
Após dois meses lá, um colega meu ofereceu uma vaga de analista de segurança. Era para trabalhar na ISS que, na época, era a maior empresa de segurança do mundo. Em 2005, fui trabalhar na área de segurança dentro da Petrobrás como analista de segurança da ISS. Eu estava acostumado com um mercado local, onde tudo era feito “na unha’’ e fui parar na maior empresa de segurança do mundo, dentro da maior empresa do Brasil.
Aprendi a trabalhar de vez na área quando entrei na ISS. Pouco tempo depois de entrar, meu gestor me fez uma proposta. Eu não ganharia nada mais do que já estava ganhando, mas seria responsável por toda a abertura de chamado e tracking de ticket na Petrobras. Passei a interagir com equipes fora do Brasil, já que o suporte era todo em Atlanta. Após isso, a ISS foi comprada pela IBM e, nesse período, parti para outra oportunidade no Governo do Estado do Rio Grande do Norte. Após dois anos, meu antigo gestor da ISS me fez uma excelente proposta para entrar na IBM.
Foi então que fui parar em São Paulo, e minha percepção foi que de “o mundo abriu as portas”. Os clientes que eu tinha que atender já não eram mais do mercado local. Quando se entra numa empresa desse porte, seus clientes são bancos e multinacionais. Por incrível que pareça, as pessoas não são muito abertas quando você está numa empresa dessa. Muitos clientes com os quais eu trabalhava, mantinham uma conversa bem enxuta e queriam apenas que resolvêssemos os problemas. Isso me chocou muito.
Sempre trabalhei muito tecnicamente, “matando hacker na unha’’, você vai envelhecendo e vê que não tem mais aquele ânimo para trabalhar com isso. Chega a hora de mudar de área.
Em 2014, saí da empresa e fui trabalhar em distribuição, representando empresas importantes como: Checkpoint, McAffe, Kaspersky, Forescout. Experiência fantástica em trabalhar no comercial. Aproveitei meu conhecimento em ferramentas para aprender de mercado. Conheci muita gente, fiz muito networking. Em 2016, um amigo meu me ligou e falou de uma vaga para alguém que conhecesse muito de infraestrutura e eu aceitei. Foi quando entrei no Grupo São Francisco, em Ribeirão Preto – SP.
Quando cheguei, senti que o Grupo estava recrutando lideranças fortes para garantir que que o back office crescesse junto com o front end. Imediatamente, realizamos uma atualização da infraestrutura para entregar a disponibilidade necessária para o crescimento previsto.

 

Falando de segurança

Rodrigo: Um problema de todas as empresas PMEs quando se fala em segurança, é que o gestor pensa que é só “coisa para banco” ninguém conhece. 
O que eu percebi, ao longo da minha trajetória é que você pode comprar os melhores equipamentos de softwares do mundo, mas também precisa de gente capacitada administrando, como uma consultoria especializada em ciber segurança. Muitas vezes as empresas falam que compraram serviços de tecnologia de ponta, mas se não for bem administrado, pode ter tantos problemas quanto se não tivessem comprado.
As empresas precisam se profissionalizar, trazer pessoas competentes de cada área para que elas consigam investir de maneira uniforme e ter um crescimento homogêneo. Quando se olha somente para seu core business, e esquece que para crescer você precisa que toda a sua base cresça junto, senão você acaba tendo problemas.
Podemos citar grandes empresas de varejo que cresceram desordenadamente e, de repente, implodiram. Há dois anos, tivemos o caso da Target, empresa dos Estados Unidos, em que houve um vazamento crítico de informação, com consequente crise de imagem e prejuízo. E assim acontece também pode acontecer no Brasil por falta de cultura preventiva.


Os desafios que o gestor de segurança enfrenta no cotidiano.

Rodrigo: O grande desafio é sempre convencer os gestores administrativos que as empresas precisam investir em segurança, ainda que o retorno não haja ganho financeiro. Quando falo em investimento, não falo em apenas aquisição de tecnologia, mas em abertura de headcount, contratação, especialização, treinamento, consultoria etc.


Os desafios da segurança da informação no mercado de saúde.

Rodrigo: No mercado de saúde, existe uma grande movimentação financeira que por si só chama a atenção. No geral, a gestão desse mercado é feita por médicos ou profissionais de saúde que, naturalmente, por serem especialistas, acabam mantendo os investimentos restritos somente na área fim. É importante conhecer todos os pontos do negócio e, dentre eles, aqueles em que somos fortes e fracos. A partir disso é que podemos entender onde precisamos de pessoas capacitadas para nos auxiliar.

 

Quais as projeções para o mercado em nível de tecnologia e inovação.

Rodrigo: Acredito que a inteligência artificial (IA) seja um grande diferencial em médio e longo prazo. Isso porque, segundo projeções, ela será como a eletricidade, bastante difundida. Isso porque há grandes players trabalhando intensamente para oferecer soluções nesta linha, como IBM, Google e Microsoft. Isso tende a ser o futuro da segurança e da tecnologia. 
É muito difícil, com o fluxo de informação que temos trafegando em redes de alta velocidade, conseguir fazer uma análise na “unha’’ de um problema para entender o que está acontecendo e dar uma solução. 
E, neste caso, não estou falando somente de segurança. Vamos analisar em saúde: você começa a ter uma dor. Para encontrar a causa da sua dor, o médico solicita alguns exames, que logicamente tem um custo, que pode ser seu ou do seu plano de saúde. Até encontrar o motivo dela, você necessitará de exames e remédios para tratá-la. Imagine que seu médico descubra que era somente uma distensão muscular, o custo disso tudo. 
Com a inteligência artificial, o mesmo sintoma pode ser procurado em um banco de dados de pessoas do mesmo perfil, alegando os mesmos sintomas, na mesma posição dentre outras relações. O computador não substitui o médico, mas ele pode ajudar a encontrar um diagnóstico com muito mais rapidez, até mesmo em segundos, diminuindo filas e custos.
Temos que considerar também o lado negativo. No Gartner, as Fake News criadas por IA foram muito citadas e é um tópico a nos atentarmos. 


Em nível de ameaças, o que você acha que vem por aí?

Rodrigo:  Eu que sou Old School, estou acostumado a vírus que gosta de fazer barulho. Antigamente, ia ter o ataque do Michelangelo e saía no Jornal Nacional: “Atenção, usuários de computadores: amanhã, está programado o ataque do vírus Michelangelo”. 
Hoje em dia, os vírus não querem fazer barulho, eles querem informação, porque isso vale dinheiro. Pode ser uma monetização indireta, onde o criminoso não está atrás de hackear sua conta no banco: isso dá trabalho, ele coloca várias pessoas, “gente grande’’ atrás dele. O banco entra em contato com a Polícia Federal e ele não quer isso. A informação vale dinheiro. 


Qual o primeiro passo que você acha que o gestor de TI tem que se atentar ao que tange a segurança de informação? 

Rodrigo: Uma dica que poucas pessoas irão dar é que você tem que educar! Eu posso comprar excelentes notebooks, ótimas proteções, posso contratar excelentes profissionais de segurança da informação e bons firewalls, mas o meu usuário pode fazer alguma bobagem. O usuário sempre consegue fazer o errado. Se você pedir para executar um procedimento simples, ele não vai fazer, mas arrumar uma maneira de burlar o firewall da empresa para acessar o Facebook, ele consegue.
O maior desafio do gestor é educar os usuários. É preciso educar para que eles tenham um comportamento seguro.

 

O que você gostaria de deixar para aqueles que querem seguir carreira na área de segurança da informação?

Rodrigo: Dificuldades que eu encontro na hora da contratação: você separa a área da segurança da informação em duas vertentes: a técnica e a de políticas e compliance. A técnica é onde estão as pessoas que sabem operar segurança de bits e bytes, que vão trabalhar em firewall, spam, antivírus, e detecção de problemas. Essa é uma área importante. E na segunda vertente, de políticas e compliance, estão as questões relativas à governança em segurança, ou seja, é a pessoa que vai tratar de política de segurança, processo, educação corporativa. É necessário que o profissional saiba dizer em que ele é bom. 

 

Quais os desafios você encontra para integrar as áreas de infra, desenvolvimento, governança, projetos e segurança da informação?

Rodrigo: Infraestrutura é responsável por manter o servidor funcionando, sistema operacional atualizado e o banco de dados funcionando. Segurança é responsável pela funcionalidade dos firewalls, por políticas bem aplicadas e aplicação das definições de como vão funcionar os acessos.
Governança é responsável em saber quem deve acessar o quê. Num site de B2C ela é responsável por dar todas as diretrizes de como aquele site vai funcionar. Escritório de projetos é responsável por todo desenvolvimento do projeto. Desenvolvimento é quem escreve a aplicação. Se o desenvolvimento não se preocupar com a segurança e seu código replicar sua falta de preocupação, ele pode ter backdoor de autenticação.
A segurança deve ser um assunto de importância para todas as áreas. Não é simplesmente cada um por si e vamos ver se no final vai dar certo. É impossível gerir um ambiente que não esteja conciso. É, porém, muito difícil chegar nesse grau de maturidade. Deve existir uma linha de raciocínio onde exceções são tratadas como tal e o que não pode é exceção virar padrão. Uma boa prática é adotar uma revisão semestral ou anual das suas políticas e ter uma auditoria interna e externa. Você tem que garantir que o processo seja seguro.


Carreira: muitos profissionais de TI têm se voltado para a área de segurança e diversos cursos estão surgindo pelo Brasil afora para suportar essa demanda. Gostaríamos de saber sua opinião a respeito disso tudo.

Rodrigo: Primeiro ponto: chegou uma época que segurança virou moda. O mercado está cheio de pessoas que se intitulam profissionais de segurança, mas não são. É importante ter uma formação sólida e boa experiência para lidar com um dos mais sensíveis fatores para as empresas. Para isso, o profissional deve escolher faculdades reconhecidas pela qualidade acadêmica.


Ainda falando sobre carreira, especificamente na área de segurança da informação, quais são os principais desafios?

Rodrigo: O desafio é ter pessoas capacitadas de verdade e interessadas em estudar e evoluir seus conhecimentos sempre, já que tecnologia é um mercado extremamente dinâmico.


Quais são valores que você transmite para sua equipe?

Rodrigo: Precisamos entender o trabalho de cada área e definir soluções individualizadas de maneira segura para empresa e para o colaborador. Acredito que o profissional de hoje, tem que ser muito mais integrado a empresa e às pessoas. É necessário entender como os processos funcionam para que se possa desenhá-los de forma segura. Tem um estudo que diz que qualquer problema é resolvido com 80% de empatia, 10% de análise e 10% de conhecimento técnico. No momento que você entende qual a necessidade da pessoa, você consegue uma solução para resolver.
O profissional de hoje precisa entender como funciona a dinâmica de trabalho das pessoas com as quais interage diretamente para realizar suas entregas. Temos que parar de rotular os profissionais, somos todas pessoas e cada um é de um jeito, com uma determinada personalidade.



Aproveite para ler

Entrevistas

Entrevista: Rodrigo Amaral | S.O. do Grupo São Francisco

Entrevistas

Entrevista: Pollyana Crivello | Bild

Entrevistas

Entrevista: Márcio Cots | LGPD

Entrevistas

Entrevista: Ilya Kostyulin da Infotecs

Separamos estes assuntos para você

Cibersegurança

Manipulação do comportamento do usuário: redação ENEM 2018

Monitoramento

Home office: desafios da segurança nesse modelo de trabalho

Monitoramento

Insider threat - boas práticas contra ameaças internas

Entrevistas

Entrevista: Rodrigo Amaral | S.O. do Grupo São Francisco

Entrevistas

Entrevista: Ilya Kostyulin da Infotecs

Análise e Planejamento

Você Já Tem Um Plano de Disaster Recovery?

Monitoramento

Phishing: como prevenir e conscientizar os colaboradores

Acessar os Materiais Ricos

Carreira: Segurança da Informação

Deixe seu comentário