0
0
Galões de tinta digital e literal foram derramados na última década sobre a lacuna de habilidades e os problemas de diversidade no mundo da segurança cibernética que a discussão pode parecer monotonamente improdutiva. Muito da conversa tende a fazer peças de consciência onduladas e de bem-estar que são redutoras e não tão úteis para fazer mudanças significativas. Há muita “lacuna de habilidades de segurança cibernética, ruim; diversidade, boa”, mas não muito por trás disso.
Então, quando as pessoas começam a oferecer conselhos práticos, práticos do mundo real sobre como mudar intencionalmente as práticas de contratação, como mover a agulha no trabalho colaborativo das equipes de segurança e como ampliar a rede para talentos no mundo da segurança, nos sentamos e tomamos nota.
Isso é exatamente o que o e-book recém-publicado Reinventing Security da JupiterOne Press faz. O livro é o produto de uma colaboração entre 17 líderes de segurança cibernética – todos os quais também são mulheres, não binárias, neurodivergentes e/ou minorias sub-representadas. Eles oferecem conselhos estratégicos e táticos significativos sobre liderança, colaboração e formação de equipes que são extraídos de suas próprias experiências consideráveis na linha de frente.
Para esta apresentação de slides, vasculhámos o texto para extrair e resumir vários desses especialistas. Mas vale a pena ler o livro inteiro. É um guia carnudo que vai muito além de apenas declarar desafios de segurança. Na verdade, fornece respostas sobre como encontrá-los.
Latha Maripuri: Fonte de Talentos de Locais Criativos
“É imensamente importante que o CISO seja criativo na forma como eles pensam sobre o talento, o que também inclui considerar indivíduos de origens não tradicionais. Empresas de fornecedores, entidades governamentais, equipes de auditoria e conformidade, como exemplo, também podem ser uma grande fonte de talentos.
“Ser criativo sobre talento também pode significar um esforço consciente para otimizar seu equilíbrio de in-sourcing, co-sourcing e terceirização. Os serviços gerenciados são uma maneira valiosa de aumentar os principais recursos de segurança, assim como compromissos bem gerenciados com pesquisadores independentes, como programas de recompensa de bugs.”
O Uber CISO Latha Maripuri acredita que, para resolver os maiores problemas de segurança de hoje, os líderes de segurança devem promover a diversidade. Diferentes origens, diferentes mentalidades, diferentes habilidades e diferentes maneiras de abordar problemas contribuem para a construção de organizações curiosas que são capazes de atender a esses problemas de segurança de frente. Ela acredita que os CISOs têm a responsabilidade de promover esse tipo de diversidade, o que raramente acontece sem querer.
“Acredito que a diversidade é o produto de esforços intencionais em direção à equidade e inclusão, e que melhorar a diversidade de talentos e habilidades é outra área em que os CISOs devem pensar de forma criativa”, escreveu Maripuri, que ocupou cargos de liderança na IBM e na NewsCorp.
Além das sugestões extraídas acima, ela também acredita que a ação intencional dos CISOs deve incluir o investimento em programas de divulgação comunitária para estudantes e indivíduos de origens sub-representadas para preencher o pipeline de talentos. Da mesma forma, ela sugeriu aumentar o talento interno e construir CISOs crescentes com “um conjunto diversificado de rotações em funções de tecnologia e negócios o mais cedo possível”.
Jasmine Henry: Saia da Torre do Marfim
“Eu participei de um jantar do CISO onde um colega admitiu que nunca havia considerado a ideia de que a IA poderia ser tendenciosa. Eu estava sentada no canto com várias outras mulheres líderes de segurança; todos nós suspiros ousamente e começamos a sussurrar horror sobre como não se pode simplesmente confiar na IA. Para usar a tecnologia de segurança de maneira segura e ética, precisamos considerar uma diversidade de perspectivas e considerar como anos de privilégio sistêmico podem criar pontos cegos. Devemos nos tornar muito eficazes na escuta, considerando novas perspectivas e facilitando o diálogo aberto.”
Esta anedota ilustra a crença de Jasmine Henry de que, à medida que tecnologias como aprendizado de máquina e tecnologia artificial (IA) descem, o papel consultivo da segurança na avaliação de riscos e na resolução de problemas futuros continuará a acelerar. E para pensar em todas as dimensões do risco, as equipes de segurança precisarão de uma ampla gama de fundos para cobrir todos os ângulos. Henry, diretor de segurança de campo da JupiterOne, relatou a história de uma mulher em uma cadeira de rodas que ficou presa em uma calçada por um robô automatizado de entrega de supermercado porque a tecnologia não foi programada para explicar os desafios de acessibilidade.
“A tecnologia segura e acessível não pode ocorrer no vácuo”, escreveu Henry, que liderou a segurança em terras iniciais antes de sua função atual. “Isso pode, no entanto, ocorrer quando a tecnologia é projetada e usada por equipes com um amplo conjunto de experiências.”
Ela acredita que é o trabalho de todos no setor de segurança, não apenas de líderes e gerentes de contratação, promover a diversidade. Isso pode ser feito com algo tão simples quanto impulsionar e ouvir as perspectivas de outras pessoas através das mídias sociais ou gastar tempo revisando trabalhos de pesquisa. Também vem saindo de uma torre de marfim. Seguindo o conselho de seu CISO, ela está planejando fazer isso através de trabalho voluntário prático para ajudar a garantir uma organização sem fins lucrativos.
Lonye Ford: Incline-se na Singularidade
“Há um valor real em se inclinar para você e o que você pode trazer para a mesa. Devo muito aos líderes masculinos com quem aprendi, que me deram oportunidades abrindo espaço à mesa. Mas como líder ou empreendedora, não tente liderar como o homem lidera. Você lidera como lidera; isso pode significar ser mais suave, mais um colaborador ou um cuidador. O sucesso se resume a saber o que você está fazendo e construir a equipe certa.”
Lonye Nicole Ford preferiria ser reconhecida por suas habilidades e experiência em segurança cibernética do que seus marcadores de identidade.
“Não é natural para mim falar sobre mim mesmo nesses termos. Quando você entra no governo, você não fala necessariamente sobre suas diferenças”, escreveu Ford, que é cofundador e CEO da Arlo Solutions, uma empresa de segurança cibernética, serviços de inteligência e gerenciamento de programas focada no setor de defesa e governo federal. “Você não fala sobre sexo, raça, religião ou cor. Você fala sobre seu conhecimento, habilidades e habilidade.”
No entanto, como empreendedora de sucesso em segurança cibernética, ela acredita que é importante reconhecer as implicações da identidade no campo. As pessoas que não se encaixavam no perfil tradicional da profissão precisavam se conformar para se encaixar por um longo tempo, disse ela. Seu conselho para os recém-chegados é que, quando se trata de se relacionar com a equipe, a melhor aposta é se apoiar em seus talentos e estilos de liderança únicos — é por isso que eles receberam um assento na mesa para falar.
Com isso vem a implicação de que aqueles que convidam membros talentosos e diversos da equipe devem encontrar uma maneira de ouvir perspectivas alternativas e abraçar diferentes estilos de liderança e colaboração. O ingrediente secreto para fazê-lo funcionar sem conflitos pode ser criar a segurança de processos repetíveis para que a equipe esteja trabalhando a partir da mesma cartilha para realizar seu trabalho. Isso se aplica não apenas à equipe de segurança, mas a toda a organização.
A Ford é especializada na criação de estruturas de gerenciamento de riscos de segurança cibernética para organizações do setor de defesa — ela é coautora do Air Force Fast Track Risk Management Framework (RMF), entre outros. As estruturas são o terreno sólido que uma organização pode usar para tomar as melhores decisões, levando em conta as perspectivas não apenas da segurança, mas também de outras partes da TI e dos negócios em geral.
“Integrar desenvolvedores, pessoal de operações e tomadores de decisão para criar políticas e limiares é um cenário complicado”, escreveu ela. “As estruturas ajudam, fornecendo um contexto para navegar por essas escolhas com uma compreensão completa de suas implicações.”
Dr. Meg Layton: Desmistificar a Segurança
“Quanto mais longe eu chegar na minha carreira de segurança, mais entendo que faz parte da minha responsabilidade garantir que os aprendizados de segurança sejam desmistificados e mais acessíveis para aqueles que desejam aprender mais, não importa em que estágio de sua carreira os alunos se encontraram. Quando eu encontrar algo especialmente inspirador, útil ou tiver uma história sobre o ensino, você descobrirá que uso a hashtag #NextgenInfoSec nas mídias sociais — convido você a se juntar a mim para compartilhar seus aprendizados com a comunidade e compartilhar a responsabilidade de trazer a próxima geração de profissionais de segurança — desmistificar o comércio e tornar a segurança para todos uma realidade.”
Remover o mistério em torno da segurança cibernética é crucial para torná-la mais acessível não apenas a outras pessoas em toda a empresa que poderiam usar a conscientização sobre as implicações de risco em tudo o que fazem, mas também para talentos em potencial que poderiam ser atraídos para a equipe. Este é o ethos do Dr. Meg Layton, chefe de arquitetura e engenharia de segurança do Hospital Nacional Infantil.
Layton é um defensor da filosofia de que a segurança é uma responsabilidade compartilhada. Ela acredita que o ensino e o treinamento desempenham um papel enorme em ajudar diferentes pessoas em uma empresa a entender suas funções e responsabilidades na proteção de código, segurança de contas, proteção de processos e assim por diante.
“Os educadores podem ajudar a garantir que as conexões sejam feitas além da lista de verificação técnica ‘aqui está como fazer isso’ e das habilidades para o lado humano da tecnologia e explorar a segurança com todos os quatro estilos dos modelos Kolb (aprendizagem) (experiência, observação, conceituação abstrata e experimentação ativa)”, escreveu Layton. “Com todos conectando e continuando as lições para permitir a aprendizagem ao longo da vida, a segurança cibernética pode realmente se tornar uma responsabilidade compartilhada por todos.”
Isso se aplica igualmente aos líderes de segurança que tentam construir um pipeline de talentos para suas organizações, bem como para a comunidade mais ampla de segurança cibernética. Como ela disse, uma comunidade é desenvolvida por experiências e valores compartilhados. Para que os especialistas em segurança cibernética sustentem sua comunidade, ela acredita que eles precisam participar plenamente. Se eles querem obter candidatos qualificados, eles também devem estar dispostos a compartilhar seus conhecimentos com a comunidade.
Tracy Bannon: Compartilhe Visão, Linguagem e Confiança
“Primeiro, estabeleça uma visão compartilhada. Se um já foi escrito, revisite como uma equipe, já que todos na organização e o esforço devem apoiar e acreditar na visão. Em segundo lugar, defina seu idioma juntos. Recalibrar e redefinir quando necessário, derrubando barreiras e forjando novos caminhos juntos. Olhe para a composição da equipe e pense como um treinador. Temos largura e profundidade com cruz? Se não, recrute! Finalmente, construa confiança usando a equação de confiança. Seja ousado em modelar seus comportamentos e, mais ainda, orientar os outros, levando-os de lado e ajudando-os a crescer.”
Transformar departamentos de TI para construir equipes multifuncionais e sensíveis ao risco requer quantidades incríveis de habilidades interpessoais e construção de relacionamentos de líderes de segurança cibernética e campeões de segurança em outras funções de liderança tecnológica. Como essas atividades são tão moles em comparação com o mundo muito concreto do design de sistemas, pode ser difícil para os líderes formular e explicar como isso é bem feito.
Como arquiteta-chefe e líder de engenharia de software com uma sólida compreensão e conscientização sobre segurança cibernética e resiliência cibernética, Tracy Bannon tenta tornar esses conceitos mais concretos quando ajuda as organizações a se transformarem. O diretor sênior do Centro Avançado de Inovação de Software da MITRE disse que tecelagem de atividades de segurança em toda uma equipe – quer se chamem adeptos do DevOps, DevSecOps, Agile – leva quatro ingredientes cruciais.
“A construção cultural deve equilibrar uma visão compartilhada, linguagem comum, equipes combinadas e confiança para permitir o sucesso”, escreveu Bannon.
Lisa Hall: Não Contrate Idiotas Brilhantes
“Eu não acredito em contratar idiotas brilhantes porque o custo é sempre muito maior do que qualquer suposto benefício. Nos últimos anos, minha abordagem à entrevista passou a refletir isso. A melhor maneira de descobrir qualidades que não suportam o tipo de trabalho que tenho explicado é fazer perguntas que exigem vulnerabilidade ou reduzir as lacunas de conhecimento. Em questões técnicas, tento encontrar a vantagem do conhecimento do candidato de maneira não contradiária, o que significa enquadrar a entrevista desde o início como uma conversa divertida sobre interesses compartilhados no computador entre colegas. Isso significa que quando continuo pedindo mais explicações e encontro a vantagem do conhecimento do candidato, estou procurando curiosidade em vez de defensiva.”
O conselho cada vez mais repetido para criar uma cultura de segurança de “sim” é outra daquelas frases que muitas vezes recebem uma fala do outro lado sem muita substância sobre como realmente fazer isso acontecer. Quando as equipes de segurança têm a reputação e a memória muscular reflexiva de negar solicitações e esmagar novos recursos devido a problemas de segurança, como elas superam isso?
Lisa Hall, CISO da empresa de pesquisa em biotecnologia Color, tem algumas etapas e conselhos muito definidos sobre como chegar lá.
“Uma cultura de ‘sim’ não significa concordar com tudo o que as pessoas sugerem; todos nós sabemos que um produto, infraestrutura e cultura seguros são impossíveis de alcançar dessa maneira”, escreveu ela. “Mas temos que dizer sim aos nossos colegas.”
Isso significa dizer que sim, que a segurança pode trabalhar com as pessoas, ouvir suas opiniões, tentar entender seus problemas e mostrar uma vontade positiva de chegar a uma solução significativa e mitigada pelo risco que funcione melhor para todos.
“Especialmente quando você está transformando ativamente uma cultura, tente errar do lado muito positivo”, escreveu ela. “Sim, queremos que você nos diga o que observou. Sim, sabemos que você é a autoridade em sua área de trabalho dentro desta empresa. Sim, não podemos ver tudo, e precisamos de suas observações para fazer nosso trabalho. Sim, você é importante, e estamos aqui para atendê-lo.”
Estabelecer esse tipo de cultura não é uma façanha pequena, mas mantê-la chamará a atenção zelosa dos gerentes – especialmente porque eles estão contratando para sua equipe, disse ela. É por isso que ela se esforça tanto, conforme descrito acima, para entender a atitude com que os novos recrutas adotam para aprender coisas novas e resolver problemas que nunca viram antes.
Rin Oliver: Aprenda com Projetos de Código Aberto
“As equipes de segurança cibernética e DevSecOps nas organizações podem aprender muito sobre ser mais inclusivas com as comunidades de código aberto, incluindo como incluir melhor indivíduos neurodivergentes como eu. Uma maneira de ajudar indivíduos de origens sub-representados a ter sucesso em equipes técnicas globais é escrever documentação técnica mais forte e inclusiva, também conhecida como documentos do desenvolvedor, diretrizes contribuídas ou simplesmente documentos. Muitas pessoas neurodivergentes preferem instruções claras e podem lutar em um ambiente onde há pouca orientação sobre como começar. Documentos bem conservados podem ter benefícios especiais para origens sub-representadas, mas também beneficiam a todos.”
Pode nem sempre receber o melhor faturamento na discussão sobre diversidade, mas a neurodiversidade pode desempenhar um papel importante na construção das habilidades e capacidades de uma equipe de segurança de alto funcionamento.
“Precisamos de plena participação entre indivíduos de diversas origens para resolver os maiores desafios de segurança cibernética de amanhã, incluindo indivíduos com autismo, TDAH, Tourette, dispraxia, discalculia, condições específicas de fala e condições de processamento sensorial”, escreveu Rin Oliver, engenheiro de software do US Bank, que é uma pessoa neurodivergente com discalculia, di
Como Oliver explicou, indivíduos neurodivergentes podem ser grandes ativos para as equipes de segurança cibernética e DevSecOps, muitas vezes trazendo vantagens como resolução de problemas não lineares e hiperfoco.
De acordo com Oliver, não apenas os projetos de software de código aberto (OSS) fornecem um caminho importante para pessoas de origens sub-representadas adquirirem experiência prática e entrarem no trabalho remunerado em seu campo, mas a maneira como esses projetos são gerenciados também pode oferecer algumas informações táticas importantes sobre como incluir talentos neurodivergentes. Os projetos OSS geralmente são executados globalmente, descentralizados e trabalhados de forma assíncrona. O nível de detalhe na documentação é um enorme fator de sucesso nos melhores projetos de OSS, e pode servir como um exemplo brilhante para os líderes de segurança que gostariam de aproveitar de forma mais eficaz os talentos e habilidades dos membros da equipe neurodivergente.
Huggins Alegres: Habilidades Práticas Importam Mais Do Que Graus
“Precisamos reconsiderar seriamente nosso viés em relação a indivíduos com um diploma universitário como indústria. Há algumas políticas ocultas sobre as quais ninguém quer falar ou tocar, mas a realidade é que conseguir um diploma define uma faixa de renda mais do que estabelece seu conjunto de habilidades, técnicas ou não. As mentes mais brilhantes de segurança cibernética que encontrei durante o ensino muitas vezes podem lutar em uma sala de aula tradicional, mas brilhar em grupos ou aulas infundidas com aprendizado baseado em projetos.”
Ser criativo e intencional sobre a inclusão da segurança cibernética significa repensar os velhos paradigmas. Um dos maiores no que diz respeito à credenciamento é reconsiderar a exigência de um diploma para certas funções de segurança cibernética, de acordo com Joyous Huggins, fundador da Defender Academy e Hack Joyously.
“Consider novos caminhos para o treinamento em segurança cibernética pode nos ajudar a criar uma força de trabalho mais dinâmica e diversificada para amanhã e oferecer oportunidades para as crianças que lutam para se concentrar em um ambiente de sala de aula tradicional”, explicou ela no livro. “Estamos atrasados para conversas significativas sobre a criação de uma força de trabalho mais diversificada e dinâmica.”
Huggins sugeriu que, para preencher a lacuna de habilidades de segurança cibernética, os líderes de segurança precisam reavaliar quais empregos de segurança cibernética em sua organização são profissionais e quais são profissionais. Este último precisa de mais treinamento prático e baseado em habilidades do que um diploma de bacharel tradicional.
Angela Marafino: Não assuma a síndrome do impostor
“O termo síndrome do impostor, embora falho, deu às pessoas uma maneira socialmente aceitável de descrever as maneiras como elas sentiram dúvidas ou marginalização no local de trabalho. Compartilhar essas experiências e sentimentos é uma expressão saudável e pode ajudar a identificar problemas dentro de um ambiente de trabalho que podem estar contribuindo para os sentimentos de dúvida de um funcionário. Independentemente disso, precisamos parar de nos concentrar no indivíduo como a razão pela qual ele sente falta de confiança ou despreparo e começar a olhar mais profundamente para seu ambiente, acesso a recursos e aqueles com quem ele geralmente interage no local de trabalho.”
O termo “síndrome do impostor” ganhou destaque na última década para ajudar a fornecer uma abreviação vernácula para sentimentos de autodúvida em ambientes profissionais. Mas os gerentes de segurança e colegas de equipe não devem ser tão rápidos em afixar o rótulo em todas as preocupações ou sentimentos trazidos por pessoas talentosas sobre não se encaixar, de acordo com Angela Marafino, gerente de produto do cliente focada em produtos de segurança e conformidade da Microsoft.
Os líderes também devem examinar abertamente essas preocupações para procurar possíveis causas básicas dentro da cultura subjacente de uma equipe ou organização que também possam estar contribuindo para o desconforto dessa pessoa.
“Vamos parar de assumir que, como alguém expressa opiniões sobre dúvidas sobre si mesmo, estar nervoso em um novo papel ou ambiente, ou está questionando suas próprias habilidades, ele deve ter síndrome do impostor”, escreveu Marafino. “Esse tipo de loop de feedback não fornece nenhuma ação construtiva a ser tomada no nível gerencial ou individual para ajudar uma pessoa a entender sua situação com mais detalhes e determinar quem ou o que está falhando.”
FONTE: DARK READING