Nota: O seguinte artigo irá ajudá-lo com: Um dia na vida de um gerente de auditoria de segurança
Quando estava na faculdade na Rider University, em Nova Jersey, Bryan Hornung queria se tornar contador. Mas depois de um estágio de quatro meses, ele mudou de direção. “Decidi que não é isso que me vejo fazendo nos próximos 40 anos”, disse ele. Ele aplicou seu interesse em números para se formar em TI.
Em seu primeiro emprego, desenvolvendo web para um empreiteiro de defesa da Marinha dos EUA, Hornung trabalhou em aplicativos internos, abordando coisas como alterações de navios. Ele ajudou a empresa a ar de planilhas para aplicativos da web.
Mas ele estava vivendo com um arrependimento. Durante a faculdade, quando trabalhava em um restaurante e um cliente perguntou se ele estava interessado em istrar TI, Hornung sentiu que não estava preparado. “Mas eu simplesmente não tinha confiança”, disse ele. “Eu disse a mim mesmo um monte de lixo de cabeça e recusei a oferta.” Hornung prometeu a si mesmo nunca mais dizer não a uma oportunidade como essa. Cerca de seis anos depois, em 2002, quando um cara entrou em seu escritório no Navy Yard na Filadélfia e disse que a empresa de sua esposa estava tendo problemas com seu e de TI, imediatamente, meu cérebro disse: “É isso. Esta é uma oportunidade para você que você não pode recusar.”
VEJO: Como construir uma carreira de sucesso em segurança cibernética (PDF grátis) (TechRepublic)
“Sempre soube que queria ser meu próprio chefe e istrar minha própria empresa”, disse Hornung. A mulher acabou sendo sua primeira cliente, e ele foi encarregado de coisas como garantir que os computadores funcionassem, trocar peças, comprar novos computadores e instalá-los.
Em 2007, ou a ser um provedor de serviços gerenciados, “onde acabamos de interromper o trabalho de reparo e qualquer tipo de trabalho residencial, realmente focado em negócios, gerenciando nossa TI com o objetivo de impulsionar a eficiência, mostrando a eles como podem usar tecnologia para aumentar o lucro, para torná-lo uma vantagem competitiva”, disse Hornung. Isso levou a novas oportunidades com empresas maiores, “mais verificações de conformidade orientadas para o setor”, disse ele.
Agora, Hornung é CEO da Xact IT Solutions e tem 15 anos de auditoria de segurança e outros serviços de TI em seu currículo. Sua posição atual envolve supervisionar os processos de auditoria para seus clientes, coisas como SOC2, auditorias do setor e Certificação de Modelo de Maturidade de Segurança Cibernética (CMMC).
Na indústria farmacêutica, disse Hornung, há um incentivo para lidar com regulamentações – além da FDA – para evitar “lidar com o pesadelo de relações públicas de uma violação em sua empresa”.
Como resultado, eles têm sido bons em autorregulação, mas “você não vê isso tanto em outros setores que não têm alguém dizendo o que eles precisam fazer em relação à segurança cibernética”, disse ele. Assim, a Hornung começou ajudando grandes empresas como Pfizer, Merck e Bristol Myers Squibb, fazendo auditorias. As empresas que estavam fazendo auditorias, disse ele, podem não estar revisando ou verificando os dados que foram enviados de volta a elas. “Foi um exercício de checagem de caixa de 2007 até cerca de 2012, 2013, quando o ransomware realmente começou a entrar em cena e se tornar um problema para as empresas”, disse Hornung.
Mas logo, as empresas foram forçadas a apresentar um plano abrangente de segurança cibernética e ter uma estrutura em vigor. “E, como você audita isso? Como você compara isso?”
“Desde o início adotamos essa estrutura de segurança cibernética em nossos negócios e constantemente auditamos nosso próprio negócio em relação a isso”, disse Hornung. “E então implantamos isso nos negócios de nossos clientes também.”
Hornung disse que eles começaram como uma “típica empresa de TI que evoluiu para um MSP, com oportunidades para fazer coisas mais focadas em segurança”. A empresa fez a transição em 2012 para um MSP líder em segurança e agora está se tornando uma empresa de segurança cibernética. “Não sei por quanto tempo nossa empresa vai realmente fazer esse e de e mais tradicional, tipo de trabalho de TI”, disse ele.
Algumas empresas hesitam em contratar uma empresa como a de Hornung, se tiverem um relacionamento anterior com um provedor de TI. Mas Hornung disse que a empresa pode trabalhar com a TI atual como parte de um esforço mais amplo. Em outras palavras, pode ser uma colaboração, em vez de uma substituição.
“De uma perspectiva técnica, é trabalho de um avaliador de segurança ou auditor encontrar a agulha no palheiro e então determinar se a agulha é algo que pode ser acionado ou não. Dependendo do que você está monitorando, e o que você está tentando determinar tem um problema, se é um computador ou máquina em execução, uma peça de hardware, essa coisa vai gerar centenas e centenas de logs a cada minuto, se não milhares, dependendo do tamanho da empresa”, disse Hornung.
É muito para percorrer. No início, apenas as empresas da Fortune 500 podiam pagar. Agora, a automação está facilitando o trabalho, de modo que até mesmo as pequenas empresas podem pagar.
Quando um problema é localizado, o auditor é responsável pela trilha de papel, por identificar o problema e ver qual ação foi tomada. “No nosso negócio, a comunicação entre nós e o cliente em uma situação em que uma empresa tem um TI interno significa que nós (o auditor) queremos ver a comunicação entre o pessoal interno de TI e quem quer que seja o diretor ou gerente de segurança”, explicou. . “O auditor precisa ver que houve ação tomada e, em seguida, precisa ser capaz de ver qual ação foi tomada.”
VEJO: 3 principais razões pelas quais os profissionais de segurança cibernética estão mudando de emprego (TechRepublic)
“Estamos analisando as políticas e procedimentos e dizendo: ‘OK, a ação que essas pessoas tomaram em relação a este evento corresponde ao que a empresa colocou em seu processo e procedimento?’ E se isso acontecer, eles atendem às qualificações do controle de auditoria. Se isso não acontecer, um auditor escreverá um relatório sobre a deficiência para isso.”
Como gerente, Hornung poderia trabalhar com o cliente para “dar a eles esse roteiro para que eles possam dedicar o orçamento certo no prazo certo para lidar com o que descobrimos”, disse ele. “Eu diria que cerca de 40% do tempo é gasto conversando com os clientes e trabalhando com eles nesses roteiros e garantindo que eles estejam reservando os fundos certos para permanecer alinhados com sua estrutura de segurança cibernética.” Seu outro tempo é gasto trabalhando com técnicos executando as auditorias e trabalhando na melhor forma de apresentar as informações ao cliente.
Hornung não pode auditar o CMMC—”ninguém está certificado para fazer isso agora”—mas pode ajudar com avaliações em torno dele.
A parte mais gratificante de seu trabalho é quando os clientes levam as avaliações a sério. E o mais frustrante é quando fazem o contrário e “escolhem não fazer nada”.
“Você não pode fazer as pessoas verem as coisas”, disse Hornung. “Eles têm que ver por si mesmos.”
“Os caras nas trincheiras são os heróis desconhecidos”, disse Hornung. “Esses são os que estão encontrando as vulnerabilidades e trazendo-as à atenção da istração. Se eles não puderem fazer isso e não usarem as ferramentas corretamente e não aprenderem a encontrar vulnerabilidades diferentes, então é tudo em vão, porque você está dando ao cliente uma falsa sensação de segurança.”
