Cleber Mitchell – Gestor de Riscos no Núcleo do Centro de Defesa Cibernética da Aeronáutica – Centro de Computação da Aeronáutica de Brasília. Professor Universitário em TI. Mestre em Gestão de Riscos. Certificado ISF ISO IEC 27001.
1.Você fez uma transição de carreira de servidor público da Força Aérea Brasileira para a área de TI. Como foi essa transição?
A transição ocorreu ainda como servidor público. Comecei na FAB como mecânico de aeronaves e antes de conhecer a TI, fui aprovado em um vestibular para a graduação em Psicologia, sem, no entanto, terminá-lo. Esta experiência me permitiu desenvolver um perfil um tanto menos comprometido com as ciências exatas. Em 1991, eu tive meu primeiro contato com um computador e então o “vírus” da TI entrou no meu sangue. As notas baixas na área de Filosofia no curso de Psicologia deram lugar às novas e altas notas durante a nova graduação em TI, que iniciei e terminei sem percalços. Na FAB, isto coincidiu com o boom da microinformática e no crescimento das redes internas. Participei de inúmeros projetos e atividades de implantação, treinamento, manutenção e suporte em Tecnologias da Informação e Comunicação (TIC) na FAB. Agradeço a oportunidade que tive, pois os mecânicos de aeronaves na FAB formam a espinha dorsal do suporte da aviação e abrir mão desses profissionais capacitados para aproveitá-los em outras áreas estratégicas demonstra que tive bons líderes, com visões de longo prazo. A carreira de TI na FAB, para profissionais especializados de forma permanente, surgiu bem depois. Hoje é pouco provável alguém de outras áreas ser absorvido pela TI de forma tão simples.
2. Você se apresenta como Gestor de Riscos. O que é a Gestão de Riscos?
A Gestão de Riscos é uma área muito ampla, que abriga desde a análise de como se pode adicionar tijolos em uma parede, sem que haja risco de desmoronamento, passando pelas atividades de extração de petróleo, análise da confiabilidade de um ser humano em sua área de ação, como na medicina, aviação etc. Quando pedimos orientação para investimentos, estamos fazendo uma Gestão de Riscos. A área em que me especializei foi a Gestão de Riscos em Segurança Cibernética. É uma subárea da Segurança da Informação. Logo, para mim, a Gestão de Riscos Cibernéticos compõe a atividade de estudar as variáveis de um ambiente cibernético (espaço cibernético) que podem incorrer em prejuízos ao ambiente. Neste caso, as variáveis mais comuns são: os ativos de informação e seus valores intrínsecos (monetários) e seus valores de criticidade ao negócio; as vulnerabilidades inerentes aos ativos; as ameaças reais e potenciais que podem explorar as vulnerabilidades e causar impacto ao ativo (prejuízo); e finalmente desenhar e implantar controles que possam reduzir os valores de vulnerabilidade ou de ameaça aos ativos (superfície de ataque) ou que possam reduzir os impactos.
3. Qual é o trabalho do Gestor de Riscos?
Fazer o levantamento inicial e recorrente dos ativos e seus valores, suas vulnerabilidades, ameaças, as probabilidades de possíveis impactos decorrentes da exploração de vulnerabilidades. No dia a dia, o Gestor de Riscos cibernéticos age em estreita colaboração com os setores de gestão de vulnerabilidades e de ameaças (Blue Teams, Red Teams), os quais, normalmente, trabalham em áreas operacionais das organizações, na frente de combate aos incidentes cibernéticos. Para estas equipes, o tempo de resposta aos incidentes é fundamental e, normalmente, estas equipes nem sempre tratam os riscos encontrados, pois a resposta a um evento como um ataque de sequestro de dados (ramsonware) em curso, pode ser a paralização da rede para evitar o contágio e a efetivação do impacto. Porém, o risco precisa ser tratado, sob demanda, com análise aprofundada das causas e consequências e sobretudo das opções de tratamento. Esta é a especialidade das equipes de Gestão de Riscos, pelo menos a parte mais visível destas. Podemos também trabalhar no planejamento das ações de segurança, com o objetivo de aumentar a resiliência cibernética da organização, que inclui organização e planejamento de atividades de identificação, análise a avaliação de riscos, gestão de incidentes cibernéticos, gestão de continuidade dos negócios, entre outras ações afins.
4. Em seu currículo, no LinkedIN, você informa que trabalhou na área de suporte de TI, realizando diversas atividades nas áreas de desenvolvimento e manutenção de sistemas web, suporte ao usuário, gerência de servidores e serviços em plataforma Linux, operação e manutenção de sistemas de videoconferência, monitoramento de redes e serviços, diagramação de sistemas e serviços em redes de computadores, instalação, configuração e manutenção de sistemas gerenciadores de conteúdo (CMS), dentre outros. De todas essas atividades quais contribuíram para a formação do Gestor de Riscos?
Na verdade, todas, pois ser Gestor de Riscos é observar as ações de segurança, como até mesmo ao atravessar a rua. Logo, quanto mais generalista for a visão do gestor, mais ele poderá encontrar subsídios para suas análises específicas. O elo central da Gestão de Riscos é a aquisição de consciência situacional, formada por processos que identificam e analisam os dados coletados e promovem a observação do panorama ou padrão comportamental em relação aos objetivos da Gestão de Riscos em curso.
Apesar de ser uma atividade específica, os conhecimentos gerais na grande área de atividade (TI), permitem uma contextualização ampla dos riscos, para então, na fase de avaliação, aprofundar e especificar as buscas.
5. Você foi professor de Sistemas Operacionais, Redes de Computadores, Segurança e Auditoria de Software e Políticas e Gestão de Segurança da Informação. Conte sua experiência como docente do ensino superior. Quais foram as maiores dificuldades?
As maiores dificuldades de um docente estão em como atingir o aluno em sua motivação. As gerações de sucedem e cada uma delas enxerga o mundo sob sua ótica e seus paradigmas. As Tecnologias de Informação e Comunicação (TIC) evoluem sob um ritmo alucinante e oferecem a todos um portfólio de interações e potenciais imensos. Os alunos crescem sob a influência dessas tecnologias e hoje são conhecidos como nativos digitais. Ensinar a esta turma não é fácil, mas é possível. Os professores precisam acompanhar a evolução das TIC e, também, a evolução das tecnologias de sua área meio, ou seja, as tecnologias educacionais. Fala-se que os professores têm que compreender cada um de seus alunos e responder a cada uma de suas necessidades. Vemos que isso é uma falácia, pois seria humanamente impossível, com professores com 10 turmas de 100 alunos, tendo que atender 1000 necessidades diferentes. Eu sei que exagerei nos números, mas serve de alerta, pelo menos, para que possamos estabelecer parâmetros de satisfaçam à grande maioria dos alunos. Tenho lido sobre tecnologias educacionais e designinstrucional, os quais me deixaram um pouco mais tranquilo sobre as ansiedades geradas pelas necessidades a cumprir. Podemos usar diversas tecnologias educacionais, como a Educação a Distância (EAD), a sala de aula invertida, uso de diagramas, infográficos, tabelas, vídeos, estudos de caso práticos, entre outras, para criar lições com cargas cognitivas reduzidas, mas com amplitude de portfólios de opções de aprendizados, de acordo com as características individuais de cada aluno, sob escolha deles.
6. A pandemia da COVID-19 trouxe muitas dificuldades na continuidade dos estudos para as Instituições de Ensino Superior e para os alunos. Atualmente, a Educação a Distância (EAD) já é uma realidade no país. Na sua ótica de docente, como os jovens podem explorar as oportunidades de desenvolvimento profissional na área de TI por meio da EAD?
A EAD chegou para ficar, como tem acontecido com as vagas de trabalho em home office. Porém algumas instituições estão se utilizando desta metodologia para reduzir custos e demitir professores. Seria esperado, mas é temerário, em virtude de uma precarização de possíveis conteúdos, relacionamento com alunos que preferem o contato pessoal. Não me refiro à uma reclamação de perda de empregos, mas de possível perda de qualidade, que nada tem a ver com a EAD em si. Há casos relatados de solicitação de criação de cursos para professores experientes, mas que são demitidos após a criação dos conteúdos, sendo substituídos por tutores inexperientes. Este relato pode não ter relação com a pergunta, mas levanta dúvidas para os alunos que podem investir em cursos que podem não oferecer o desejado desenvolvimento profissional. Há que se observar a estrutura do curso, se as aulas são pré-gravadas ou tele presenciais (ao vivo à distância), se há suficientes exercícios, simulações, práticas. O contato pessoal e profissional que um professor-tutor em atividades síncronas pode proporcionar em comparação com os conteúdos pré-definidos, excessivamente objetivos, despersonalizados e inadequados a alguns alunos. Vai de encontro ao que eu disse no início da entrevista, sobre os métodos e técnicas de ensino, com uma forma híbrida de ensino, ao vivo, mesmo que à distância, sanando dúvidas específicas, promovendo dicas profissionais, de forma adequada e personalizada. Acredito que haverá uma valorização destes tipos de conteúdo, pois tenho contato com jovens profissionais na FAB, que pretendem migrar de profissão, buscando maiores salários, mesmo perdendo a estabilidade, mas que desejam conteúdo com qualidade em seus cursos e sobretudo que possam estabelecer práticas profissionais aliada a saberes teóricos. Os jovens não são alienados como pensam muitos dos que promovem cursos no estilo fast food, com conteúdo raso, rápido e a baixo custo. O tempo mostrará os que deverão sobreviver e os que serão fadados ao desaparecimento como instituições de ensino, sejam virtuais ou mesmo as presenciais que não se atentarem ao desejo dos seus possíveis consumidores de cursos, mais conhecidos como alunos.
7. Como professor de graduação e de pós-graduação como você vê o perfil dos jovens que procuram os cursos de Tecnologia da Informação?
Durante a graduação eu os vejo ainda procurando objetivos a seguir. Alguns, poucos, possuem noção de futuro dentro de suas carreiras. Quando lecionei a disciplina de Segurança da Informação durante cursos de graduação, observei a influência que podemos, como docentes, possuir sobre alguns alunos. Durante o período em que estive envolvido com a disciplina, eu acabei orientando e participando de mais de uma dezena de Trabalhos de Conclusão de Cursos (TCC) e de bancas de apresentação de TCC sobre o tema. Quanto aos alunos de especialização, observei mais empatia sobre as disciplinas, em função dos alunos já possuírem uma escolha do tema do curso. Mas ainda faltava um pouco mais de dedicação, e, neste sentido eu sempre orientei que se engajassem mais em listas e sites de discussão sobre o tema, que fizessem cursos paralelos e certificações. Logo, resumindo, para a graduação eu vi um perfil ainda sem foco, e na especialização, um foco sem uma dedicação que leve a um profissionalismo de forma direta. Não são reclamações ou problemas, mas fazem parte de nossas atribuições como orientadores didáticos agirmos como mentores nestes aspectos.
8. Que dicas você poderia sugerir para o leitor da Revista Carreiras TI que deseja entrar para a área de Gestão de Riscos?
Permitam-se serem questionadores, busquem qualidade de conteúdo e variedade de métodos de ensino para os cursos que buscarem. A área de Gestão de Riscos é bem ampla e está na “crista da onda” em termos de mercado. O mundo está sempre em algum tipo de guerra e nem sempre se usam abordagens bélicas (ou de efeitos cinéticos) e hoje, mais do que nunca, as guerras estão migrando para o mundo virtual (travamento de guerras cibernéticas). Os riscos estão pouco a pouco evoluindo e os efeitos podem não ser somente cibernéticos, mas atingir o mundo físico com resultados cinéticos com origens cibernéticas (por exemplo, pesquisem por “ataque a estação de tratamento de águas nos EUA”). Leiam mídias especializadas, busquem grupos e canais de discussão sobre o assunto. A segurança cibernética é um tema dinâmico e perder tempo significa perder a onda perfeita e a preparação depende do esforço pessoal na busca da vanguarda dos acontecimentos.
Você pode ler a revista online aqui no site ou realizar o download. Para isto basta acessar o menu superior Edição Atual e Anteriores, escolher o ano, rolar a página para encontrar a edição desejada. Clicar no botão Ler Online ou Download.
Ew Sistemas TI.