A questão foi abordada durante o encontro hackers to CSO, promovido pela TV Decision, neste sábado, 28/12. O evento reuniu empresas como Andrade Gutierrez, Friboi, Deutsche Bank, além de hackers nacionais e internacionais, a exemplo do Andrew Cushman, diretor sênior da Unidade de Negócios de Segurança da Microsoft. A discussão abordou temas como definir o que é um hacker, contratar ou não um profissional com características peculiares, custo/benefício de mantê-lo em uma organização e o seu papel enquanto elemento que protege as informações corporativas.

“No passado, os hackers trabalhavam no anonimato. Mas, com o crescimento de ataques virtuais e vulnerabilidade de dados, isso virou um negócio. Entretanto, a sua atuação não tem a ver com o crime digital”, opina Nicolas Waisman, pesquisador sênior da Immuntity. Para Rodrigo Branco, Security Expert da CheckPoint, um hacker é um especialista, muito esperto e apaixonado pelo assunto. “Eles estão focados nos principais problemas computacionais hoje”, completa Branco.

Na Alemanha, por exemplo, o hacker possui uma função mais política e estratégica, aconselhando políticos e empresas. “No Brasil isso ainda precisa mudar”, reflete Sebastian Porst, BinNavi Lead Developer da Zynamics. “O risco de marginalizar essas pessoas é o risco deles começarem a trabalhar com o crime organizado”, destaca Anderson Ramos, instrutor líder sênior da FLIPSIDE / (ISC)² para América Latina e Europa.

Marlon Borba, CSO do Tribunal Regional Federal 3ª Região, conclui que o uso da informação para o bem ou para o mau sempre será responsabilidade do indivíduo. “A chave para a contratação de um hacker é saber se ele tem ética e cumpre valores de comportamento morais. O criminoso virtual além de não ter interesse de conhecimento como um hacker não tem nenhum comprometimento com ética ou moralidade”. 

Sérgio Ricupero, CSO da Editora Abril, acredita que o importante é aonde possa haver uma convergência entre a linguagem de um pesquisador de segurança e a gestão, uma vez que um é técnico e o outro lado visa lucro, resultado. “Se abordarmos um ponto de vista extremamente técnico, essa linguagem pode não ser tangível para um executivo nem seja suficiente para canalizar um investimento”, reflete.

Dilema
Contratar ou não um hacker é bom para o negócio? Essa foi uma questão abordada durante o encontro. Enquanto o hacker é um profissional que vive a prática do dia-a-dia e sua experiência não é de formação acadêmica, possui um estilo de vida diferente do mundo dos negócios, as empresas possuem as suas políticas, regras de conduta e visam lucro. Portanto, o custo de um pesquisador em segurança é visto como um investimento alto e com retorno de investimento imensurável. “Ainda não conseguimos traduzir a importância da segurança em termos conceituais, assim como não traduzimos isso para o comitê executivo que assegurar e proteger os dados gera valor agregado”, diz Antônio Vinhas Rodrigues, diretor de infraestrutura do Deustche Bank.

“Onde eu contrato um hacker do bem?”, indaga Cibele Andréa Tessari, gerente de Tecnologia da Informação da Andrade Gutierrez, quando lembra que a sua equipe possui várias certificações e não viu um hacker que tenha alguma referência como as melhores práticas em gestão. “Não contrato hacker contrato especialista de segurança”, responde Fernando Santos, gerente de área para o Cone Sul da CheckPoint.

Philipe Langlois, presidente da P1 Security, explica que é difícil contratar um hacker porque o pensamento deles é não linear e vivem de forma independente. “Não olhe para o currículo dele porque o Andrew falou não da escola que estudou. A metade deles não tem nenhum tipo de educação. Quando empregar alguém dê o tempo de pesquisa porque as pessoas podem fazer um bom projeto e trazer as suas próprias ideias para as empresas. A segurança tem muito a ver com aprender de você com você, não a respeito de certificação”, diz Nicolas Waisman.

Outra dica importante: se não contratar um hacker tenha parceria com ele. É a recomendação feita por Julio Moreira, CSO da Porto Seguro. “Ter um hacker dentro da empresa não é uma boa prática, mas mantenha parceiras que te ajudam. Ao contrário do que acreditamos, as pessoas que roubam informações usam o funcionário como isca. Softwares são implementados em suas estações de trabalho sem que saibam”, completa.

O perfil de um profissional que está o tempo inteiro antenado com os desafios do universo da Segurança da Informação é bastante diferente do mundo empresarial. Por isso, Anchises de Paula, analista de inteligência da Idefense, prega: “é difícil manter um talento. O mundo corporativo não é desafiador para um hacker”.

Desafios
Na visão de Andrew Cushman, da Microsoft, existem dois desafios para as organizações manterem pesquisadores de segurança em seus ambientes: do lado do hacker é traduzir a linguagem técnica para o CSO, que transcreve o problema na forma de comunicação do CIO e CEO. Ricupero concorda. “Acredito que tanto o perfil quanto a certificação do profissional tenham  um papel relevante para as empresas. Entretanto, ele deve ser um facilitador. O CSO tem que ser um elemento de tradução simultânea, unindo a técnica com a linguagem de negócio”.
 
“Trabalhei como especialista de segurança por dois anos na Porto Seguro. Mas só conseguiram que eu ficasse porque era envolvido em novos projetos e muitas vezes a empresa estava tentando resolver um problema e não sabia como resolver uma questão e contavam com a minha experiência”, declara Rodrigo Branco quando lembra que o hacker é alguém inquieto.

Além disso, o custo de manter alguém que faz pesquisa é alto para as empresas. Essa também é a visão de Daniel Sobra, gerente de Segurança da Informação da Friboi. “É melhor contratar esse profissional para fazer um trabalho específico. O nosso negócio, por exemplo, é vender proteína”.

César Cerrudo, CEO da Argeniss Information Security, concorda com Moreira. “É uma boa ideia encontrar recursos fora da empresa. Já fiz isso para grandes empresas nos Estados Unidos. As organizações querem ter a certeza que estão trabalhando com pessoas bem habilitadas para resolver o problema”. É o que pensa Marcelo Figueiredo, Coordenador de Segurança da Informação das Lojas Marisa. Para ele, quem é bom em ataque também é bom na defesa. “O tempo de um ataque ocorrer para um especialista pesquisar algo dura semanas, para o ataque ocorrer entre dias, para a empresa detectar levam meses”.