Alguns profissionais de cibersegurança entram diretamente na indústria depois de concluírem a escola. Outros entram através do trabalho em áreas adjacentes, como engenharia de software e compliance. E outros, como Tracy Z. Maleeff, também conhecida como a InfoSecSherpa, encontram o seu caminho na indústria da cibersegurança depois de passarem anos a trabalhar em empregos que normalmente não estão associados à cibersegurança – como a biblioteconomia.

Investigadora de segurança no Krebs Stamos Group, Maleeff não só fez a transição com sucesso para uma carreira em cibersegurança, como também se afirmou como um dos nomes de referência em conselhos de carreira em cibersegurança e em análises sobre temas polémicos.

Saiba mais abaixo sobre a fascinante trajetória de Maleeff, de bibliotecária de um escritório de advogados a profissional de cibersegurança e líder de opinião.

Deixar uma área que ela amava e mudar para a tecnologia

Tracy Maleeff ainda estava profundamente apaixonada pela biblioteconomia quando começou a considerar uma mudança. Ainda assim, após anos a trabalhar como bibliotecária num escritório de advogados, Maleeff sentiu que era altura de avançar e experimentar coisas novas.

Tracy descobriu o gosto pela segurança física ainda jovem ao aprender como abrir uma fechadura usando um cartão de biblioteca.[/caption]

“O meu percurso para a cibersegurança começa, na verdade, com uma nota um pouco triste”, disse Maleeff. “Eu fazia o trajeto entre Center City, Filadélfia, e os subúrbios onde vivia, e sentia-me muito confusa em relação à minha carreira. Tinha trabalhado tanto para me tornar bibliotecária. Tenho um mestrado em Biblioteconomia e Ciência da Informação da Universidade de Pittsburgh, e já estava em bibliotecas havia cerca de 15 anos, mas simplesmente não via para mim um futuro nessa área. Os níveis seguintes eram diretorias, o que é sobretudo mais gestão de pessoas e não tanto gestão da biblioteca, e também nessa altura, em 2014, houve muitas fusões de escritórios de advogados e despedimentos.

“Por isso, estava realmente preocupada com o meu futuro profissional. Não queria ser uma entre muitas bibliotecárias de escritórios de advogados a lutar pelos empregos que restavam na Filadélfia. Isso entristecia-me imenso. Para passar o tempo, lia para tentar abstrair-me disso e encontrei este artigo na Entrepreneur Magazine intitulado ‘Como Tornar a Sua Carreira à Prova do Futuro em 2015.’ Li-o, e a coisa que realmente me chamou a atenção foi que dizia que, para perceber o que se deve fazer numa carreira, é preciso identificar os diferentes momentos dos empregos anteriores que realmente nos entusiasmaram, revigoraram e desafiaram de uma forma que nos fizesse sentir entusiasmados. Aconselhava a encontrar um fio condutor. Pensei nisso e percebi que a tecnologia era esse fio condutor para mim.”

Tracy na DEF CON 2016 com Tarah Wheeler e Keren Elazari.

Tracy a trabalhar no stand da Women’s Society of Cyberjutsu na conferência BlackHat, em encontro com Marina Krotofil.

A Decidir-se pela Cibersegurança

Embora Maleeff já tivesse clareza quanto a uma nova área geral que queria integrar, não sabia em que área da tecnologia queria mergulhar. Depois de participar em vários encontros e eventos de tecnologia, o conselho de um amigo acabou por ajudá-la a concentrar-se na cibersegurança.

“Estava muito entusiasmada com a perspetiva de entrar no mundo da tecnologia, mas percebi rapidamente que, embora gostasse de tecnologia, a atmosfera nos eventos de tecnologia simplesmente me parecia pouco acolhedora”, disse Maleeff. “Por isso, estava frustrada, e um amigo reparou na minha frustração. Ele trabalhava em tecnologia havia muito tempo, na área de backend em segurança, mas eu não sabia isso porque esses termos me eram desconhecidos.”

“Depois de me ver a andar às voltas, ele disse: ‘Olha, deixa-me falar-te sobre backend e cibersegurança. Acho que vais gostar, acho que vais ser boa nisso’, e depois, por acaso do destino, ele foi à conferência BlackHat nesse ano e viu uma banca da Women's Society of Cyberjutsu. Começou a falar com elas, a falar-lhes sobre mim, e, no instante seguinte, eu estava de volta ao meu escritório em Filadélfia a receber no telemóvel mensagens com fotos do folheto delas, onde constavam as aulas que ofereciam para mulheres se atualizarem em cibersegurança, juntamente com mensagens de incentivo. No mês seguinte, frequentei o workshop de fundamentos de cibersegurança em duas partes da The Women's Society of Cyberjutsu e conquistaram-me logo com o varrimento de portas. Pensei: ‘Onde é que isto esteve toda a minha vida?’”

Enquanto se familiarizava com os aspetos técnicos da cibersegurança, Maleeff começou a assumir um papel ativo na promoção de boas práticas de cibersegurança, liderando a programação do Mês de Conscientização sobre Segurança Cibernética no escritório de advogados onde trabalhava.

“Assim que comecei a frequentar aulas, a cibersegurança passou realmente a fazer eco em mim”, disse Maleeff, “tornou-se o meu passatempo peculiar.” “Tanto assim que, em setembro de 2015, enviei um e-mail ao CIO do escritório de advogados onde ainda trabalhava como bibliotecária e perguntei: ‘o que é que a firma está a fazer pelo Mês de Conscientização sobre Segurança Cibernética em outubro e posso participar?’ E, quando a resposta dele foi ‘o que é o Cybersecurity Awareness Month’, eu já estava preparada. Tinha um plano em cinco pontos que tinha reunido, tinha slides, tinha uma explicação completa. Apresentei-lho e ele achou que era ótimo e colocou-me a cargo de um programa de sensibilização para a segurança com duração de cinco semanas. Foi uma experiência excelente, e fez-me querer ir ainda mais longe na cibersegurança.”

A Fazer a Transição para a Cibersegurança

Apesar de agora ter uma ideia clara sobre onde queria focar-se, Maleeff precisava de encontrar uma forma de passar efetivamente do campo da biblioteconomia jurídica para a cibersegurança.

“Depois de provar a cibersegurança, soube que era para ali que queria ir”, disse Maleeff. No entanto, sabia que não podia simplesmente fazer uma mudança lateral do mundo das bibliotecas para a InfoSec e que precisava de algum tempo de transição para estudar, atualizar-me, fazer networking com pessoas e compreender a indústria. Sem esquecer que ainda precisava de ter rendimentos. Aproveitei as minhas competências de bibliotecária como freelancer e fiz projetos de investigação e gestão de redes sociais para quaisquer empresas de tecnologia ou cibersegurança que me quisessem contratar. Avançando até fevereiro de 2016, saí do escritório de advogados e comecei a conseguir trabalho freelancer.”

“Poucas semanas depois de me ter demitido do escritório de advogados, estava num avião para São Francisco para participar na RSA, porque uma empresa me tinha contratado para fazer algum trabalho presencial para eles na área de investigação e gestão de redes sociais, e isso deu início a, basicamente, um ano e meio em que fui a muitas conferências, conheci muitas pessoas, frequentei aulas e aprendi e absorvi realmente a indústria, tentando descobrir qual era o meu papel nela. Usei as minhas competências de biblioteconomia como forma de me apresentar ao mundo da Segurança da Informação e o que podia oferecer.”

A partir daí, Maleeff usou as suas competências para ajudar a criar conteúdos e fazer investigação que ajudaram os seus clientes a articular melhor a sua proposta de valor, ao mesmo tempo que continuava a desenvolver as suas competências em cibersegurança e a fazer networking. Graças a estes esforços, conseguiu garantir o seu primeiro cargo.

“Através do networking, consegui chamar a atenção de uma empresa farmacêutica que procurava contratar um analista de SOC júnior e o que me disseram na entrevista foi que podemos ensinar-te a parte técnica. São todas estas outras competências que trazes que não conseguimos ensinar a alguém. É realmente importante que as pessoas saibam que as competências transferíveis também são extremamente importantes na cibersegurança.”

Tracy é uma grande fã dos eventos Security BSides. Esta foto é do evento BSides Northern Virginia.[/caption]

A Vida como Influenciadora nas Redes Sociais

Com a média de seguidores no Twitter a rondar os 700, ultrapassar os 1.000 é motivo de celebração para muitos utilizadores do Twitter. Mas, com quase 50.000 seguidores, Maleeff – também conhecida como InfoSecSherpa – já há muito que desfruta das alturas vertiginosas das redes sociais de cibersegurança, oferecendo orientação tanto a quem já trabalha na área como a quem quer entrar nela.

“A minha história nas redes sociais também remonta aos meus tempos de bibliotecária”, disse Maleeff. “Muita gente pedia-me dicas e perspetivas sobre biblioteconomia, por isso criei o nome Library Sherpa porque estava a tentar pensar em algo relacionado com ajudar as pessoas. É assim que vejo o meu papel, como guia.

“Depois criei outra conta para espreitar o InfoSec Twitter, a InfoSecSherpa. Quando surgiam perguntas em que eu podia ajudar, entrava para ajudar e isso acabou por crescer a partir daí. Foi alucinante, porque decidi pôr a minha fotografia no perfil e depois ia a eventos e as pessoas reconheciam-me e diziam: ‘Espera, você não é a InfoSecSherpa?’ e isso dava início ao meu networking. Sentava-me, conversava com elas e ia conhecendo pessoas. Sabia que queria ser capaz de criar uma presença nesta comunidade e nesta indústria. Sabia que não existia um percurso já definido para mim, por isso tinha de abrir o meu próprio caminho e simplesmente criá-lo.”

Tracy a apoiar a sua equipa favorita da Premier League inglesa, o Everton, com o marido em Goodison Park, em Liverpool, Reino Unido.

Perspetivas sobre o Panorama da Cibersegurança

Maleeff acredita certamente que o panorama da cibersegurança tem um futuro promissor. No entanto, há algumas questões que ela sabe que a indústria tem de abordar e que ela quer destacar.

“Há um conjunto de equívocos sobre a cibersegurança, mas um dos maiores é que os humanos não estão no centro de toda a segurança. Algumas pessoas na indústria preferem pensar na segurança mais como uns e zeros e redes e coisas do género. Sim, há componentes muito técnicos na cibersegurança. Não o nego, mas no núcleo da segurança, seja física ou cibernética, são sempre pessoas. Os agentes de ameaça são humanos, as vítimas de phishing são humanos, nós somos humanos. Quando estava na empresa farmacêutica, respondi a um e-mail de uma utilizadora e ela ficou surpreendida por eu ser humana. Ela não achava que houvesse pessoas no departamento de segurança. Pensava que era tudo computadores e automatizado.”

“Acho que o equívoco dentro da indústria é que não somos realmente centrados no ser humano, mas somos. E, para quem quer entrar na indústria, acho que demasiadas pessoas assumem que é tudo técnico, mas isso não é verdade”, disse Maleeff. “Há tantas funções não técnicas ou de menor exigência técnica que não requerem certificações técnicas avançadas e que podem ser funções de GRC (Governance, Risk, and Compliance) ou formação em sensibilização para a segurança/risco humano. Há realmente algo para quase toda a gente na indústria da Segurança da Informação.”

Para ajudar a desfazer este mito, Maleeff referiu que é enormemente importante que a indústria colabore mais para atrair talento com as competências e a paixão certas, e não se limite a procurar um unicórnio.

“Há um enorme potencial para crescer profissionalmente na indústria da cibersegurança”, disse Maleeff. “Mas, para o concretizar, precisamos, enquanto indústria, de colaborar com o pessoal, os recursos humanos, os diretores de talento, para corrigir as descrições de funções. Algumas estão completamente desfasadas, exigindo um CISSP para uma posição de entrada, e coisas irrealistas desse género. É certo que o (ISC)² publicou mais recentemente declarações a reconhecer que esta certificação não é para alguém completamente novo na indústria, e isso é definitivamente um bom começo. Para colmatar verdadeiramente a lacuna de talento, as empresas precisam de estar dispostas a acolher pessoas como eu, pessoas que mudam de carreira e que trazem um enorme valor acrescentado, e integrá-las, porque podemos ajudar com diferentes pontos de vista, compreendendo diferentes modelos de ameaça. Há tantos conjuntos de competências diferentes de que precisamos na indústria da Segurança da Informação. A diversidade de pensamento resolve problemas e os modelos de ameaça variam imenso, então porque não ser mais seguro com mais representação de todos os modelos de ameaça? As empresas também precisam de ser mais proativas com iniciativas de DEI, bem como com formação, para ajudar o mundo a melhorar a sua postura de segurança.”

Tracy e a sua caneca da National Cybersecurity Alliance!

Saiba mais sobre Tracy Z. Maleeff aqui: https://linktr.ee/infosecsherpa