EPSEC – Governança da Segurança da Informação Blog sobre nível de maturidade, benchmarking, plano de crescimento e auditoria do SGSI.

Nelson Corrêa fala em entrevista sobre sua carreira e os desafios na área de segurança da informação

A CFSEC Security Architects, uma das principais empresas brasileiras que busca e desenvolve novos pontos de vista sobre Segurança da Informação, tem à sua frente, desde sua fundação em 2001, Nelson Corrêa. Desde 2005, o executivo tem conscientizado as empresas sobre como as inovações biométricas podem aumentar a segurança ou agregar valor aos softwares desenvolvidos. Ele também comenta, nesta entrevista exclusiva a EPSEC, suas experiências sobre a criação de uma escala de maturidade para a gestão da segurança, o crescimento do uso da biometria no Brasil e os desafios para estruturar uma área de segurança da informação. Conversamos com Nelson Corrêa sobre sua brilhante carreira e o perfil do profissional que atua na área de segurança da informação. Acompanhe a entrevista completa.

Voce é considerado um dos primeiros profissionais a desenvolver assuntos relacionados a segurança da informação no Brasil. Como você ingressou e conseguiu evoluir na área de segurança da informação?

Meu primeiro computador foi comprado em 1983. Sempre fui autodidata, li muito e aprendi muito sozinho. Nessa época eu trabalhava com aviões e desenvolvi vários programas que me auxiliavam no dia-a-dia das minhas atividades profissionais. A segurança foi uma consequência natural. No finzinho de 1995 recebi um convite para participar do time que desenvolvia a primeira metodologia brasileira de consultoria em segurança da informação, na Módulo Security Solutions. A partir daí, a Internet foi a grande biblioteca que consumi vorazmente para aprender tudo que precisava. Fiz muitos cursos nos Estados Unidos e me presenteava anualmente, sempre, com pelo menos um, às vezes dois, congressos e/ou cursos fora do Brasil. Obviamente, o crescimento muito acelerado da Módulo naquela época, me proporcionou um volume gigantescos de projetos que me deram uma base prática muito interessante. Simplificando: estudo e trabalho.

Voce desenvolveu uma metodologia para avaliação do nível de amadurecimento na gestão de segurança da informação, o I.C.G.S.A. – Índice de Conformidade na Gestão da Segurança da Informação. Como funciona essa metodologia e quais foram os principais benefícios para as empresas que adotaram o I.C.G.S.A.?

Na época a BS7799 era o único padrão internacional de segurança da informação. A ISO17799 estava em processo final de aprovação. Saí da Módulo em 2001 e fui o co-fundador da CFSEC Security Architects. Como nosso foco era assessorar os gerentes de segurança, trabalhamos no desenvolvimento de um questionário que buscava comparar as práticas de gestão de segurança das organizações com os padrões internacionais da época, apoiados pela nossa experiência no mercado. O I.C.G.S.I era aplicado em uma entrevista que durava, em média, uma hora. Ao final dela, tínhamos um relatório que posicionava a gestão de segurança da organização dentro de uma escala de maturidade. O grande benefício era que à partir daquele momento, o gestor de segurança tinha indicadores para a criação de um plano de segurança corporativo com seus projetos individuais. Ao invés de mostrar quantos ataques sofreram, quantos tipos de vírus diferentes foram detectados no parque ou outros indicadores negativos, o gerente de segurança mostrava indicadores relacionados ao negócio, que todos os demais gestores poderiam entender a importância. Mais de duzentas empresas, públicas e privadas, usaram o I.C.G.S.I. entre 2001 e 2003.

Alguns bancos brasileiros estão expandido o uso da biometria nos seus caixas eletrônicos para reforçar a segurança. Em sua opinião, as instituições financeiras brasileiras estão sendo pioneiras na adoção deste tipo de tecnologia em relação aos demais países? Quais são os benefícios para os clientes dos bancos que aderirem ao uso da biometria no caixa eletrônico?

Apesar do Sistema Financeiro brasileiro ser um dos que mais investe em tecnologia da informação no mundo, já existem outros bancos no mundo que já usam a biometria como elemento no processo de autenticação do correntista e dos funcionários. Nem no Brasil, nossos bancos saíram na frente na adoção de tecnologias biométricas em larga escala. Os grandes pioneiros foram empresas de call center. O grande benefício para os bancos quando adotam a biometria, além de reforçar a segurança no processo de autenticação, é a garantia de não repúdio. Tenho certeza absoluta que a biometria será a tecnologia com o maior crescimento, no mercado de segurança, na década de dez.

A profissão de segurança da informação cresceu rapidamente no mundo todo. Na maior parte do casos, o crescimento foi impulsionado pela conformidade legal e pelo surgimento de novas regulamentações. Apesar do Brasil estar atrasado em relação as leis sobre os crimes na internet, os profissionais brasileiros tem ganhado destaque internacional. No seu ponto de vista, quais são as principais diferenças do perfil entre os profissionais que atuam no Brasil e no exterior?

Vamos tentar sintetizar. É fato e absoluta verdade que a regulamentação (conformidade legal) foi e continua sendo o principal fator para o crescimento da profissão de segurança da informação nos países desenvolvidos. Quanto à legislação brasileira sobre Internet, o Código Civil é suficiente para atender à nova tecnologia. Há necessidade de preparar magistrados quanto as características particulares desse mundo que eles não estão acostumados. Na área criminal, realmente alguma coisa precisa ser feita, mas muitos crimes de Internet, a maioria eu garanto, já podem ser tipificados e garantir que o criminosos, quando pegos, sejam punidos. Quanto às diferenças entre os profissionais brasileiros e os que atuam no exterior, vejo três grandes diferenças, são elas: (1) aqui no Brasil paga-se muito menos que nos principais centros do planeta; (2) os profissionais brasileiros, na média, acham que a segurança da informação é mais importante que o próprio negócio onde trabalham; e (3) Aqui ainda somos mais imaturos que fora do Brasil. Nosso foco ainda é a tecnologia.

Quais são os principais desafios para as empresas brasileiras que pretendem estruturar uma área de segurança da informação na organização? O que essas empresas devem priorizar no momento da escolha dos profissionais que serão parte da equipe de segurança da informação?

Há uns seis anos atrás escrevi um artigo que mostrava que erravam mais os security officers que só se preocupavam com a segurança do ambiente de TI e não olhavam para a organização.Há uns três anos atrás eu falei em um grupo de profissionais que a segurança da informação é somente a operacionalização da gestão de risco. Todos se calaram. Ou me acharam muito estúpido ou se surpreenderam ao olharem o que faziam por um ângulo nunca antes experimentado. Portanto, baseado nestes princípios, o profissional ideal é aquele que olha para a organização como um todo, com processos de negócio que são sustentados por tecnologias de informação, que faz da gestão de risco seu mantra diário e, principalmente, seja capaz de trazer seus pares de gestão fora da tecnologia, para a tomada de decisão quanto ao nível de segurança aceitável. O resto, é a operacionalização da gestão de risco.

Nelson Corrêa é consultor independente, atua com segurança da informação desde 1996 e é responsável por mais de 120 projetos de segurança. Trabalha com tecnologias biométricas desde 2006, é autor de vários artigos em publicações especializadas e em jornais de grande circulação no Brasil e palestrante no Brasil e no exterior (México, Porto Rico, Venezuela, Colômbia, Argentina, Costa Rica e Estados Unidos).

Visite o blog de Nelson Corrêa, acesse http://pomeu.com/

Equipe EPSEC
info@epsec.com.br