100 dias, 2 lições e 5 dicas de Cybersecurity

Eu achava que 100 dias — comparado com um ciclo de 17 anos trabalhando em empresas de Pesquisa e Desenvolvimento (P&D) — eram totalmente irrelevantes, mas eu estava redondamente enganado, sabe o porquê?

Muito simples, porque pude empenhar, em cada um desses cem dias, todo um arsenal de quase duas décadas de conhecimento e repertórios construídos a partir de uma variedade imensa de produtos, projetos e serviços desenvolvidos para clientes ao redor do mundo.

Só que dessa vez minhas energias estavam absolutamente focadas para o mundo de cyber segurança, em uma empresa com uma vertical de atuação no mercado muito bem definida e, diga-se de passagem, a maior do Brasil quando o assunto são produtos e serviços de segurança digital: Tempest Security Intelligence.

DIA ZERO: Sei que Nada Sei

Uma das coisas que me deixou confortável em assumir os desafios para o qual fui contratado foi entender que segurança da informação não era, necessariamente, um requisito para a vaga.

Mas, obviamente, eu deveria correr atrás do pseudo-prejuízo. E essa corrida deveria ser feita em dois momentos que acredito ser duas lições para a carreira de todo profissional:

1. Antes da entrevista: assumir para mim mesmo que, mesmo sabendo alguma coisa, não entendia daquele assunto na profundidade que pudesse me vender na entrevista; e
2. Durante a entrevista: eu deveria (sim!) me expor verbalizando que não tinha um background em segurança da informação, mas que (1) aprender rápido, (2) contribuir muito e (3) trazer resultados era algo inerente à minha carreira.

Sócrates. Foto: Pixabay.

“Só sei que nada sei”, Sócrates

Saber o que não se sabe ou, em outras palavras, estar a par do que precisa aprender foi fundamental no dia zero de Tempest.

DIA UM: Ponto de Partida

Como aprendiz dedicado e organizado que tento ser, depois de ter passado pela fase de assumir que “não sabia de nada”, o primeiro grande passo foi incorporar um novo assunto, o mundo da segurança da informação, às minhas rotinas.

Foto: Pixabay.

Foi uma decisão muito simples de tomar que incorporei a esse processo de imersão:

• Adicionar um podcast sobre segurança à minha trilha de áudios;
• Incorporar, como parte da minha rotina matinal, uma escuta ativa do podcast no trajeto de ônibus até o trabalho. 1 hora bem aproveitada num percurso de 6 Km;
• Criar uma lista no meu Twitter/@maurojcs com empresas, notícias e assuntos de segurança em geral que vou descobrindo pela rede;
• Dedicar parte do dia para consumir as principais notícias do Twitter e ler com atenção plena 1 matéria completa por dia. Muitas dessas leituras, por sinal, foram bem lentas pelo fato de ser necessário ir atrás das definições para inúmeras expressões, termos, conceitos e siglas que apareciam, mas não faziam parte do meu repertório; e
• Escutar, perguntar, entender e usar. Nas reuniões, nas conversas de corredor, no cafezinho, no happy hour da sexta e em todo momento onde as pessoas estivesses falando ao meu lado sobre segurança, escutar com atenção, perguntar oportunamente algo, entender e aprender sobre o assunto e, por fim, usar no meu dia a dia fez parte de um “processo” decisivo para socializar e conseguir tocar o meu trabalho no mundo de cyber security.

DIA A DIA: Na Jornada dos 100

Um típico dia trabalhando numa empresa que lida com informações de clientes, naturalmente requer uma série de medidas para que todos os dados sensíveis e, por conseguinte, estratégicos fiquem mantidos em segurança.

Esses 100 dias, portanto, foram repletos de aprendizados diários de como tornar minha vida pessoal e profissional menos exposta.

Uma das lições mais importantes que aprendi trabalhando na Tempest foi:

“Não adianta usar ferramentas para se proteger quando você não faz nem o básico para se precaver” — Mauro Silva

Na prática, esse ensinamento, quase um mantra para mim, me conduziu a:

• Ficar atento aos links enviados (mesmo dos amigos!);
• Não clicar nos links com as “super ofertas”;
• Desconfiar de pedidos feitos por email que tipicamente não seriam feitos por aquela pessoa e/ou empresa;
• Saber que uma senha é a chave da minha casa. Senhas iguais, portanto, determinam acessos irrestritos para todas as portas de minha vida; e
• Bloquear a máquina sempre que se afastar dela.

Foto: Pixabay.

Veja que muitas das ações sequer envolveram usar softwares caros, soluções complexas ou criptografias mirabolantes. Nada disso!

Elas foram e estão sendo seguidas com muito afinco como boas práticas que minimizam, e muito, os riscos no dia a dia dentro e fora da Tempest.

Claro que otras cositas más vieram à reboque na escalada de se manter mais organizado e, no final das contas, mais seguro. Compartilho com você então cinco dicas importantíssimas nesse processo:

1. Desligar ou desabilitar a leitura dos conteúdos enviados nas notificações de SMS, Telegram, WhatsApp e outros que, eventualmente, podem mostrar códigos de liberação de serviços;
2. Habilitar o duplo fator de autenticação (2FA) para acesso ao e-mail e aqueles serviços na nuvem que você compra com a facilidade de 1-click.
3. Remover os cartões gravados na nuvem (Amazon, Mercado Livre, Americanas, etc) quando possível. Eu sei que é um saco (!), mas é muito mais seguro deixar para entrar com os dados do cartão no momento da compra;
4. Usar senhas fortes. E nada de usar data de nascimento, número da minha primeira casa, nome do cachorrinho, entre outras coisas que parecem ser aleatórias para você, mas que são facilmente “quebráveis” na internet; e
5. Usar um gerenciador de senhas (LastPass, 1Password, KeePass, entre outros) para ajudar no controle das senhas únicas, pois ele vai também ser útil na criação de senhas aleatórias fortes.

Conclusão

Certamente em algum momento do texto você se perguntou:

— Mas Mauro, não acredito que você não fazia essas coisas de segurança? Como assim?!!!

Na verdade, fazia boa parte delas, mas a questão não é se eu fazia, ou fazia muito ou pouco.

A questão, ou pergunta, mais importante para mim é:

— O porquê eu fazia ou deixava de fazer em alguns momentos?

Acho que a resposta mais honesta seria:

— Kara…dá muito trabalho se preocupar com essas coisas!

No entanto, hoje trabalhando numa empresa de segurança, entendo profundamente a importância de minha privacidade (em diferentes instâncias) e do quanto e como estamos vulneráveis no mundo digital e no físico.

Ter “trabalho”, diante do que tenho visto como resultado da negligência com segurança, não é mais opcional como achava. É um “trabalho” que, inclusive, possui um custo associado. Mas, acredite, é extremamente necessário e, no final das contas, sai barato.

Caso contrário, pode apostar (e não é praga minha não!), um dia a casa cai papai e você vai ficar se perguntando:

— Putz, era só fazer isso ou aquilo :(

Pois bem…

…sabe quando um mundo se abre à sua frente? Foi muito disso que aconteceu nesses 100 dias de muito trabalho na Tempest regado com algumas viagens para São Paulo, muitas reuniões, muitas novas amizades e, claro, muito chopp que ninguém é de ferro \o/ .

E se você tem alguma dica ou boa prática para compartilhar que eu não comentei aqui, escreve aí nos comentários pois vai certamente me ajudar e ajudar muita gente nessa jornada de ficar seguro, não só na internet, mas também na próxima vez que for colocar sua senha do cartão na fila da padaria.

*** Senta o dedo no teclado e compartilha conosco sua dica ou história.

Muito obrigado por passar por aqui!

…

#Tempest #CyberSegurança #Privacidade # Vulnerabilidade #Carreira

…