Aqui no Nubank, a Segurança da Informação é uma das principais prioridades. É por isso que a nossa Unidade de Negócios de Segurança da Informação tem mais de 120 profissionais organizados em grupos defensivos e ofensivos. Eles têm o mesmo objetivo: proteger mais de 70 milhões de clientes na América Latina.

O fator humano na segurança da informação se tornou a principal forma para cibercriminosos conseguirem invadir e violar dados. Portanto, neste artigo, eu irei abordar a profissão de Conscientização de Segurança, uma das carreiras na equipe Infosec do Nubank, e explicar por que ela é essencial em qualquer empresa. Continue lendo!

Imagem grande da Cyber Security

Uma pesquisa recente da Cyber Security Ventures observou que 90% dos ataques cibernéticos são iniciados por e-mail, o que significa que a estratégia mais popular e eficaz é tentar enganar as pessoas usando o phishing.

Mesmo tendo as melhores e mais avançadas proteções tecnológicas, a engenharia social normalmente é uma fraude que pode contorná-las. A outra forma que temos para nos proteger é garantir a conscientização. Isso também se aplica quando verificamos que a estrutura PPT (Pessoas, Processos, Tecnologia), criada na década de 1960 e popularizada por Bruce Schneier, é usada. 

Os amadores invadem sistemas, os profissionais invadem pessoas. (Bruce Schneier)

Conheça nossas oportunidades

Cultura e estratégia de segurança 

Portanto, se a segurança da informação depende de Pessoas, Processos e Tecnologia, aqui não é diferente. Temos uma área dentro da equipe de Capacitação de Segurança que é responsável por desenvolver a estratégia de treinamento do pessoal e por espalhar a cultura da segurança.

Sim! Isso é uma questão de cultura. Normalmente, não falamos sobre segurança da informação na escola ou na faculdade. Normalmente, não falamos sobre isso em geral, mas todos os dias vemos fraudes ou pessoas prejudicadas pedindo ajuda porque perderam uma senha ou acesso ou sofreram uma violação de dados. Às vezes, um treinamento, um teste de phishing aplicado para fins de conscientização, ou um simples comunicado e um vídeo são suficientes para capacitar e instruir as pessoas sobre a segurança. 

O que um Engenheiro de Conscientização de Segurança da Informação faz no Nubank?

Escopo do trabalho

Os profissionais de Conscientização de Segurança são responsáveis por treinar, testar e se comunicar com os funcionários, terceirizados e clientes sobre a segurança cibernética por meio de canais externos e internos e da organização de eventos (como a Semana da Segurança da Informação). Eles também são responsáveis por criar e manter a estratégia de acordo com estruturas, políticas e regulamentações. 

Habilidades necessárias

Ser um Profissional de Conscientização de Segurança significa ter conhecimentos de segurança, educação e marketing. É uma profissão multidisciplinar. Afinal, é muito comum ver profissionais trabalhando com muitas coisas ao mesmo tempo, por exemplo, liderando programas de GRC, criando sistemas e também cuidando da Conscientização de Segurança. 

Responsabilidade compartilhada

A Conscientização de Segurança não é só uma tarefa, é uma profissão! A Conscientização de Segurança não é só um assunto, é uma prioridade da empresa. Criar a cultura de segurança cibernética é como criar um firewall humano, e somos todos responsáveis pela construção dessa muralha forte. O profissional de Conscientização de Segurança apenas aponta o caminho, ensina e facilita esse processo, mas todos o constroem juntos.

O que dizem os nossos Engenheiros de Conscientização de Segurança da Informação:

“Ser um Engenheiro de Conscientização da Informação é entender que as pessoas podem ter comportamentos que oferecem riscos a elas mesmas e às empresas para as quais trabalham, sem perceber que estão cometendo um erro. Cabe ao Engenheiro de Conscientização mostrar (mais de uma vez, em alguns casos) o caminho correto para criar uma cultura mais eficiente e segura, que aprimore todos os aspectos da vida de uma pessoa.

Robert Gomes

“A conscientização tem a ver com as pessoas, e quando falamos sobre elas, falamos sobre diversidade. É um desafio constante entender e estudar o ser humano, como transmitir mensagens de forma assertiva e ensinar, moldando uma cultura de segurança em cada indivíduo.”

Beatriz Zardo

“Trabalhar com a conscientização de segurança da informação é um desafio diário, afetando a vida das pessoas não só no lado profissional, mas também com a preocupação de incluir o lado pessoal. Quando chegamos a esse nível, em que a pessoa leva os ensinamentos aprendidos no trabalho para casa, para sua vida diária, é que alcançamos o ponto principal: tornando o indivíduo consciente das consequências de suas ações inseguras na internet. Afinal, é isso que determina quando estamos conscientes de alguma coisa, é quando sabemos exatamente quais serão as consequências das nossas ações.”

Felipe Rodrigues

Conheça nossas oportunidades