Profissão do futuro: o que faz um especialista em gestão de segurança da informação
26 de agosto de 2022Você sabe a diferença entre a cibersegurança e a gestão da segurança da informação (GSI)?
Segundo o relatório do World Economic Forum, denominado Global Cybersecurity Outlook 2022, “Há um desequilíbrio distinto entre proteger uma rede e atacá-la, e esse desequilíbrio continua crescendo à medida que recursos de hackers mais eficazes se tornam disponíveis a um custo significativamente menor. Porém, sem investimento contínuo e compromisso com a resiliência cibernética, as organizações serão mais vulneráveis a ataques cibernéticos e, portanto, mais propensos a suportar impactos reputacionais, financeiros, operacionais e de segurança“.
A cibersegurança e a resiliência cibernética tornaram-se desafios para os empresários e conselhos de administração. Porém, você sabe a diferença entre a cibersegurança e a gestão da segurança da informação (GSI)?
A cibersegurança pesquisa, estuda, educa e prepara as proteções para qualquer ameaça externa provinda de meios cibernéticos, como ataques hackers, ransomware, IoT ataque, hackitivismo, espionagem, DDoS entre outras ameaças.
Marshall McLuhan, escritor canadense, um dos precursores da teoria da comunicação, formulou, há mais de trinta anos, o conceito de aldeia global.
Ao perceber a agilidade e rapidez com que os meios de comunicação desenvolviam novas tecnologias, McLuhan previu um novo conceito de sociedade: completamente interconectada e tomada pelas mídias eletrônicas.
Essas novas mídias, ao aproximar as pessoas de toda parte, permitiriam a elas conhecer-se e comunicar-se, como em uma aldeia.
O surgimento da internet como uma rede mundial de computadores, veio confirmar essas expectativas ao criar um espaço para a expressão, conhecimento e comunicação humana.
Porém trata-se de um espaço que não existe fisicamente, mas virtualmente: o ciberespaço.
Termo que foi idealizado por William Gibson, em 1984, no livro Neuromancer, referindo-se a um espaço virtual composto por cada computador e usuário conectados em uma rede mundial.
Já a gestão da segurança da informação, é “A proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”, segundo a ISO 17799, predecessora da ISO 27001, norma mais utilizada para apoio e ajuda as empresas para implementar a gestão de segurança da informação (GSI).
A GSI pesquisa, estuda, educa e prepara as proteções para pessoas, processos e tecnologias no dia a dia do negócio, como vazamento de dados e informações, mal uso de senhas, negligencias em relação a classificação da informação, não gerenciamento de riscos de segurança da informação, diretrizes, governança e políticas.
Ou seja, a cibersegurança observa fontes de risco externas e a gestão da segurança da informação observa fontes de riscos internas.
São semelhantes e precisam estar bem implementadas por meio de processos e/ou sistemas de gestão, com equipes especializadas e sinérgicas.
Ainda podemos estruturar a governança de segurança da informação em: Cibersegurança, Gestão da Segurança da Informação (GSI), Administração da GSI e Segurança em TI – Tecnologia da Informação.
Existem algumas profissões e funções em segurança da informação, como gestor, estrategista, evangelista, analistas e consultores, todas tem o objetivo de tornar a gestão da segurança da informação parte da governança e gestão empresarial, congruente a gestão de RH, da qualidade, de TI adicionando valor ao negócio, apoiando todas as partes e processos como parte de uma segunda linha de proteção (ref. IIA – Instituto de Auditores Internos), auxiliando todas as partes do negócio a analisar, avaliar e tratar os riscos de segurança da informação internos e melhorar eficiência sem correr riscos desnecessários.
A GSI ajuda a entender os riscos dentro da organização e a implementar adequações como a Lei Geral de Proteção de Dados (LGPD), por exemplo.
A GSI é dividida em três camadas importantes: Camada Executiva, Camada de Monitoramento e Camada de Controles, sendo:
Camada Executiva – contém atividades como início do programa de GSI, política e normas para GSI, educação global em GSI, formação de comitê executivo de GSI e/ou educação dos líderes, ajustes de governança, análise-avaliação e tratamento de riscos de SI, análise de impactos no negócio, implementação do processo de GSI;
Camada de Monitoramento – contém atividades como criptografia, monitoramento por indicadores e métricas de gestão de SI e auditoria de GSI;
Camada de Controles – contém atividades como segurança em redes de computadores (físicas e sem fio), segurança em desenvolvimento de software e bancos de dados, segurança física e do ambiente, segurança em telecomunicações, segurança em novas tecnologias e tendências (IoT, I.A, machine learning etc).
“Tratar tudo como um único assunto é um equívoco e pode deixar as empresas com uma percepção errada em relação aos riscos de ciber e de segurança da informação. Não adianta ter as melhores tecnologias de detecção de ataques ou equipes de ciber, se a gestão empresarial não entender e implementar ajustes e práticas de gestão da segurança para todos na organização”, afirma Jeferson D’Addario, CEO do Grupo DARYUS e coordenador do MBA em Gestão e Tecnologia em Segurança da Informação (GTSI), do IDESP – Instituto DARYUS de Ensino Superior Paulista.
De acordo com dados da pesquisa Global Digital Trust Insights Survey 2022, realizada pela PwC, 83% das empresas brasileiras estimam um aumento com os investimentos em segurança cibernética.
Para atuação em segurança da informação é fundamental possuir algumas habilidades, como ter conhecimento sobre tecnologia, gestão de serviços, boa capacidade de resolver problemas, capacidade de entender negócios, lidar com pessoas, se comunicar bem, ser versátil e possuir bons conhecimentos em outros idiomas.
Os empregadores mais comuns são empresas que contratam para garantir ou melhorar a segurança corporativa, que querem manter as certificações como a ISO 27001, empresas que pretendem abrir capital (o que aumenta o valor da organização e previne riscos aos investidores), empresas de consultoria ou de serviços em tecnologia.
Os salários iniciam em R$ 5 mil e podem chegar a R$ 15 mil para os profissionais de nível pleno.
Para o profissional sênior, os valores poder chegar a R$ 20 mil.
“É uma profissão que está sendo relevante para as empresas nos últimos 10 anos e está em crescimento, pois garante a melhoria da gestão empresarial de forma segura. A preocupação com a segurança no fluxo das informações, sem dúvidas potencializou a importância desse profissional e protege a empresa de dentro para fora”, destaca D’Addario.
Para quem deseja saber mais sobre a área de gestão e tecnologia em segurança da informação, acesse: https://www.daryus.com.br/pos-graduacao/mba-gestao-e-tecnologia-em-seguranca-da-informacao
Sobre o IDESP
Fundado em 2005, o Grupo Daryus, de origem e capital 100% brasileiro, tornou-se referência na atuação de Consultoria e Educação em GRC.
Com mais de 15 anos de experiência a Daryus Educação promoveu a capacitação profissional para mais de 20 mil alunos, 60 cursos oferecidos, sendo 9 cursos de pós-graduação reconhecidos pelo Ministério da Educação e parcerias com faculdade e institutos renomados.
Atualmente, a empresa se reposiciona com o Instituto Daryus de Ensino Superior Paulista (IDESP) e continua a oferecer conhecimento em cursos voltados para educação executiva, treinamento e certificações internacionais nas áreas de continuidade de negócios, cibersegurança, segurança da informação, gestão de riscos, gestão de TI, projetos e processos, entre outros.
A empresa é pioneira na criação dos cursos de pós-graduação de segurança da informação, perícia forense digital, gestão riscos, continuidade de negócios e cibersegurança. Para mais informações, acesse: https://www.daryus.com.br/pos-graduacao.
Sobre o Grupo DARYUS
Desde 2005 com o propósito de iluminar mentes, proteger pessoas e negócios, por meio de educação e serviços em gestão de riscos, o grupo DARYUS tornou-se referência em consultoria, educação e eventos nos temas: Gestão de Riscos, Segurança de Informação, Cibersegurança, Proteção de Dados (LGPD) e Governança de Tecnologia da Informação (TI). O Grupo é composto por 4 unidades de negócios: 1) A DARYUS Consultoria – especializada em Gestão de Riscos e Cibersegurança, 2) O IDESP – Instituto DARYUS de Ensino Superior Paulista – que é líder na formação em GRC, com mais de 30 mil profissionais formados desde 2006, e pioneira na criação dos cursos de pós-graduação em segurança da informação, forense computacional, cibersegurança e continuidade de negócios, 3) A DARYUS Eventos, que tem foco em criar e gerenciar eventos que desenvolvam a comunidade de cibersegurança e gestão de riscos no Brasil, e 4) A DARYUS StartLab, aceleradora de startups focada em Riscos, TI e Cibersegurança. Para saber mais visite: https://www.daryus.com.br/
A Thales anuncia recrutamento para 160 vagas na América Latina
Falta de profissionais de tecnologia no mercado brasileiro: um desafio a ser superado
Carreira do Futuro na TI: especialização low-code acelera o desenvolvimento de software em 7x