Você está procurando alguém para liderar seu programa de segurança. Quais são as qualificações esperadas?

  • Competência técnica em todas as plataformas de segurança;
  • Habilidade de criar, executar e acompanhar a conformidade com políticas que se alinham às necessidades de sua empresa;
  • Competência para liderar o monitoramento de ameaças 24x7x365, de forma eficaz;
  • Experiência com resposta a incidentes;
  • Experiência com caça de ameaças;
  • Experiência em executar e gerenciar detecção e correção de vulnerabilidades;
  • Experiência em gerenciamento de projetos;
  • Experiência na coordenação de programas de treinamento de segurança;
  • Experiência em assegurar a conformidade regulamentar;
  • Capacidade de criar e apresentar reportes sobre a postura de segurança para avaliação dos acionistas da sua empresa;

 

Se você espera que todos os requisitos acima sejam ofertados por apenas um profissional, você está procurando o equivalente a um unicórnio.

A realidade é que profissionais que reúnem todas as habilidades que você está procura são muito raros. Aqui estão apenas algumas das habilidades que eles precisarão:

  • Gerenciamento de Vulnerabilidades e Configurações
    • Realizar varreduras de vulnerabilidades do tipo caixa preta
    • Realizar varreduras autenticadas de configurações do tipo caixa cinza
    • Gerenciar projetos para correção de falhas de vulnerabilidade e configurações
  • Teste de Penetração
    • Simular e executar técnicas de ataque
    • Manter habilidades atualizadas, já que o cenário de ataques evolui constantemente
    • Conhecer e estar atualizado com OWASP (Open Web Application Security Project)
  • Engenharia de segurança
    • Capaz de escolher, configurar e manter plataformas de controle de segurança
  • Auditoria e Conformidade
    • Conhecer as técnicas de medição de conformidade
    • Conhecer os requisitos atuais de políticas, estrutura de segurança e requisitos regulamentares
  • Gerenciamento de Projetos
    • Logística
    • Despesas
    • Delegação de tarefas
    • Gerenciamento de prazos
  • Gestão
    • Supervisionar estratégias e implementações do programa de segurança
  • Executiva
    • Alinhar estratégia de segurança com as necessidades do negócio
    • Reportar para acionistas de forma eficaz os resultados de eficácia do programa de segurança

Dificilmente um profissional terá habilidades em todas as áreas ou horas suficientes para coordenar todas essas demandas. Por isso, você terá que trabalhar para essas funções individualmente. Encontrar uma pessoa com experiência ampla e sólida para efetivamente gerenciar todas essas operações não é muito realista. Você precisa de um plano de longo prazo.

Entendendo os Custos
 Agora, vamos avaliar os custos associados[1] a algumas das habilidades que procuramos no unicórnio de segurança.

Gerenciamento de Vulnerabilidades e Configurações
Salário de R$195-285K ao ano, mais licenciamento de hardware/software

Engenharia de segurança
Salário de R$120-235K ao ano

Auditoria e Conformidade
Salário de R$50-260K ao ano, mais licenciamento de software

Gerenciamento de Projetos
Salário de R$120-220K ao ano, mais licenciamento de software

Gerencia
Salário de R$195-325K ao ano

Caso você consiga encontrar o profissional com toda a experiência acima, o segundo desafio será conseguir cobrir todos os custos para manter essa posição, sem contar os benefícios. Além disso, incluindo os custos de construção de seu próprio SOC, sua folha de pagamento 24×7 irá aumentar exponencialmente. Mas os custos não param por aí, pois será necessário também investir em instalações.

Com este cenário, você ainda está procurando um unicórnio de segurança?

Como reunir as qualificações necessárias para o seu programa de segurança

 A terceirização de serviços de segurança pode ser uma ótima alternativa para contornar o desafio do unicórnio da segurança. Algumas áreas são óbvias candidatas para terceirização, outras nem tanto:

Monitoramento de rede: terceirizando essa área, você consegue cortar pela metade os custos com sua folha de pagamento. Se você escolher um bom MSSP (Managed Security Services Provider), você terá a certeza de que as habilidades dos analistas são mantidas atualizadas.

Gerenciamento de Vulnerabilidade: a redução de custos pode ser ainda mais agressiva, com a vantagem de que um MSSP pode gerenciar vulnerabilidades de forma mais efetiva, pois esse serviço é a oferta básica. Além disso, a experiência de um MSSP bem qualificado vale a pena.

Segurança de aplicações: os pentesters de um MSSP aplicam suas técnicas em múltiplos ambientes. Dessa forma, estão continuamente atualizados e desenvolvem grande riqueza de conhecimento. Testadores internos, focados em seus próprios DevOps e DevSecOps, não têm a mesma experiência.

Governança de Identidade: Gerenciar identidades pode ser um problema, especialmente se o time de segurança fizer parte da TI. As necessidades operacionais os desviarão do foco, e a avaliação de IAM (Identity and access management) deixará de ser prioridade.

Auditoria e Conformidade: MSSPs trazer sua experiência para você em vez de tentar contratá-lo você mesmo.

Gerenciamento de controles de segurança: usando MSSP para gerenciar a proteção de firewall e endpoints, você reduz a folha de pagamento, ao mesmo tempo que alavanca a segurança com a experiência ampla e sólida de um MSSP.

Para todas as funções terceirizadas, você não terá que gerir a reciclagem e treinamento de equipe, providenciar instalações de trabalho ou alocar folha de pagamento. Por fim, você precisará apenas dos executivos de Gerenciamento de Projetos e do Gerente/Diretor para suporte interno.

O valor em termos de ROI é aparente. O uso do MSSP para lidar com todos os esforços táticos ajuda seu roadmap de segurança, especialmente em termos de previsão do orçamento.

Não vá procurar um unicórnio de segurança.

Entre em contato com CIPHER. Nós podemos ajudar a lidar com os seus desafios de segurança.

[1] Estudo da Robert Half mostra a remuneração para áreas como desenvolvimento de software, big data e telecomunicações.