Panorama da Segurança da Informação no Brasil

Nesta semana tive a oportunidade de jantar com uma equipe da iDefense, divisão de inteligência da VeriSign, que veio ao Brasil fazer um levantamento da situação do nosso mercado de Segurança da Informação (SI), especialmente nos aspectos relacionados à criminalidade digital. Aproveito para agradecer ao colega Anchises de Paula, Latin America Technical Regional Manager da VeriSign, pelo convite.

Estavam presentes Eli Jellenc (Manager, Threat Intelligence), a socióloga Kristen Dennesen (Threat Intelligence Analyst) e engenheiro Blake Hartstein (Rapid Response Team). A iDefense se tornou mundialmente reconhecida por ter sido uma das primeiras empresas a pagar prêmios para pesquisadores que lhe enviassem vulnerabilidades que ainda não tivessem sido divulgadas. Embora a iniciativa seja considerada por muitos polêmica, diversas outras empresas e fabricantes têm adotado posturas similares. Em 2005, a empresa foi comprada pela VeriSign por 40 milhões de dólares em dinheiro.

O executivo Eli Jellenc e sua equipe estavam no Brasil conversando com os principais especialistas do mercado com o objetivo de produzir um relatório de inteligência para seus clientes, que incluem diversos órgão de governo e empresas de grande porte nos EUA. Ao longo da conversa, algumas idéias amplamente aceitas sobre o cenário do mercado de SI no Brasil foram discutidas. Vou resumir quais são as que eu contesto por não terem mais a mesma validade.

O mercado de SI no Brasil se resume ao segmentos financeiro e telecom

Talvez essa informação fosse verdadeira há dez anos atrás, mas hoje certamente está equivocada. Embora esses sejam, sem sombra de dúvidas, os maiores compradores e empregadores, o mercado hoje está muito fragmentado e a maioria dos alunos que eu recebo hoje vem de outros setores. Um dos principais fatores que estão influenciando esta mudança é o fenômeno da abertura de capital. As empresas brasileiras descobriram que a Bolsa de Valores é uma fonte abundante de crédito, uma vez que com a queda dos juros, os investidores estão procurando diversificar suas aplicações em alternativas mais lucrativas. Esse é um fenômeno que eu previ em um artigo sobre o mercado econômico e a SI escrito em 2004.

Porém, para abrir capital, o quantidade de ajustes internos que precisam ser feitas é enorme. Para poder ser vista como uma empresa de gestão responsável e de fundamentos sólidos, a gestão dos principais riscos, entre várias outras coisas, é um fator fundamental, e é aí que os departamentos de SI ganham força e independência, junto com iniciativas relacionadas à Governança de TI e profissionalização do ambiente de tecnologia. Em uma matéria do jornal Valor Econônico do final do ano passado, Oracle e SAP informaram que cerca de 60% das suas vendas hoje são para empresas que pretendem abrir capital nos próximos 12 meses.

A comunidade black hat no Brasil é minúscula e os script kiddies são uma multidão

Isso ainda é verdade. O Brasil no final dos anos 90 obteve uma má fama internacional de ser um celeiro black hat através de uma jogada de marketing. Durante muitos anos, grupos brasileiros lideraram (e ainda hoje lideram) os rankings internacionais sobre pichação de páginas. Isso fez o mundo pensar que tínhamos também uma forte comunidade black hat ligada à pesquisa de vulnerabilidades ou à espionagem industrial e governamental, sendo que isso nunca foi verdade.

Entretanto, o que eu tenho percebido é que, provavelmente em virtude do crescimento econômico e da geração de empregos pela qual o país vem passando nos últimos anos, há sim um crescimento significativa na comunidade white hat, usem eles este nome ou não (a maioria dos white hats no Brasil, por uma questão de preconceito, prefere ser chamada apenas de profissional de SI). Todo evento internacional de grande porte tem pelo menos um brasileiro de destaque presente, são nomes como Augusto Paes de Barros, Domingo Montanaro, Luiz Eduardo, Rodrigo Rubira Branco e por aí vai (desculpas antecipadas, pois eu sei que esqueci de uma série de nomes ;-)

Os profissionais de SI brasileiros estão entre os melhores do mundo

Isso continua sendo verdade. Já tive alunos de mais de 20 nacionalidades diferentes em minhas aulas e sempre fui um defensor desta idéia. Porém, recentemente, eu começo a perceber certa mudança em alguns padrões que eu acho que vale a pena mencionar. Do ponto de vista técnico, os profissionais de SI europeus estão sendo "forçados" a levar a profissão para um outro patamar. Nenhuma outra região do mundo tem sofrido tanto com o crime digital como a Europa. Isso é fruto de uma combinação de fluxo livre de capitais entre os países, sem a correspondente colaboração entre as forças policiais, e uma proximidade com a Rússia, que é o celeiro black hat número um no mundo junto com os EUA.

Entretanto, o Brasil continua tendo os melhores gestores de SI do mundo. Pergunte a qualquer pessoa que visita algum evento de caráter mais gerencial nos EUA, como o RSA Conference e o CSI, e você vai ouvir sempre a mesma coisa: "eles estão pelo menos cinco anos atrás de nós". Este fenômeno já não têm fatores tão claros a serem identificados, mas certamente tem a influência do nosso poderoso e avançado segmento financeiro, que têm demandado profissionais de SI há mais de uma década, com a combinação de uma cultura empreendedora, que cobra cada vez mais dos profissionais a tal "visão de negócio".

Comentários

E você, qual a sua opinião?