Existem coisas bem interessante em criar uma áurea de Segurança em uma empresa. Em geral CIOs
tentam de todo modo comprar grifes para suas redes, gerando com isto uma falsa idéia de que aquela pequena solução irá fazer com que sua estrutura esteja segura.
Além disto, ele coloca técnicos que ele enxerga serem "extremamente competentes" por conseguirem operar com "maestria" soluções de mercado.
Este é um cenário comum em 90% das grandes e médias empresas do Brasil, piorando ainda mais quando falamos das pequenas ( que nem soluções de nome no mercado se dão ao trabalho de adquirir ).
A primeira coisa que se deve ter em mente é: nem sempre, o grande técnico, é um cara que tem boa visão de Segurança da Informação.
Isto acontece porque o cara que é certificado, por exemplo, em um Firewall-1, da CheckPoint, é um ninja em como liberar a porta XPTO no produto específico. Mas, ao mesmo tempo, ele nem sempre terá o discernimento necessário para entender que, se a porta XPTO for aberta, ela pode causar um problema muito maior, ou até capacidade de argumentar com gerentes sobre um possível problema.
Voltando ao exemplo acima, por exemplo, ao abrir uma porta específica para aquele gerente ou diretor que conhece o presidente da empresa, o técnico para por exemplo, pode causar prejuízos enormes a empresa. Um exemplo seria uma parceira de uns 30 mil reais virarem um prejuízo enorme de milhões de reais, simplesmente porque a rede do cliente ou parceiro está com problemas.
Se há um entendimento sobre Risco X Impacto, o profissional tem pelo menos alguma condição de tentar argumentar com o gerente que a abertura da porta XPTO poderia causar este impacto.
E como o técnico, tal qual eu sou, pode tentar minimizar esta tendência a ver somente o umbigo técnico ao invés de ver a periculosidade ou o poder de uma solução dentro da empresa.
Faça um exercício diário de entendimento de sua estrutura. Se o seu CIO lhe mandou uma solução maluca de fundo de quintal para substituir uma solução já fundamentada no mercado, apresente para ele os riscos.
Mostre através de gráficos de sua estrutura, a importância daquela coisa para o funcionamento e o quanto uma troca como aquela pode causar um impacto terrível na estrutura.
Quando aquele fornecedor totalmente despreparado é remetido pela empresa que está tentando implementar algo para você, mostre ao seu chefe imediato que aquele cara não tem a mínima noção do que está fazendo, e assim, aquela estrutura implementada pode causar riscos enormes quando colocada em funcionamento.
E, por último, tente sempre argumentar quando receber uma demanda que não concorde. Sei que isto é difícil porque 90% dos chefes quer agradar outros gerentes e/ou chefias e se explode para os riscos que algo pode causar em sua estrutura, mas, tente. Se sua opinião for embasada ele pode até vestir a camisa e tentar achar um outro modo melhor para a coisa funcionar.
Pelo menos caso ele bata o pé e obrigue você a implementar, o processo será feito com o conhecimento dos riscos. E caso eles venham a acontecer, você poderá mostar que não foi irresponsável o bastante para aceitar e implementar aquilo sem argumentar.
Temos que ter em mente que informática na maioria das empresas é um meio para o produto final chegar às mãos do cliente. Portanto, este meio tem que ser altamente disponível e seguro para que a missã do mesmo seja cumprida.
Se o seu CIO ou chefe normalmente lhe apresenta as soluções sem levar em conta todo o processo, tenha certeza que vocẽ se tornará relevante ao processo sempre que conseguir argumentar e mostrar que aquelas coisas realmente não são boas.
Se isto não vai lhe servir no seu emprego atual, lhe garanto que os ganhos serão enormes na sua visão profissional quando chegar a outros empregos.
O maior problema, eu sei, da maioria de nós profissionais é: ninguém nos ouve, até que o problema acontece. Mas, garanto, o nosso maior erro, sempre será se calar diante de todo o processo.
E aos CIOs, um conselho: não comprem um profissional somente pela sopinha de letras do seu currículo. Analise-o como um todo.
Nenhuma certificação do mundo, mede uma coisa: o bom senso. E é neste quesito que os grandes profissionais de Segurança da Informação tem que estar ligados.