De Eagle Scouts a refugiados de Wall Street, o setor de cibersegurança está repleto de pessoas de origens muito diversas. Até profissionais da área florestal como Sunil Mallik encontraram o seu caminho para o setor.

Como responsável por Segurança de Dados, Aplicações e Plataforma na Discover, a jornada de Sunil até à cibersegurança percorreu o mundo, das duras florestas da África Ocidental aos corredores da Deloitte. Mas como exatamente um formado em química e ex-especialista em madeira entrou na cibersegurança? E como a sua visão sobre o setor mudou desde que se juntou pela primeira vez à cibersegurança? 

Saiba mais abaixo na nossa conversa com Sunil.

Da Floresta ao Primeiro Emprego em Cibersegurança

Embora alguns profissionais de cibersegurança sigam um percurso direto, da formação em cibersegurança para uma carreira em cibersegurança, existe um grande segmento da força de trabalho de cibersegurança que entrou na área a partir de outros campos. Alguns, como Sunil, até encontram o caminho para a área de cibersegurança quase sem querer.

Sunil com os seus filhos na sua alma mater, Pamplin School of Business, Virginia Tech.

“Eu sempre gostei de coisas ligadas à cibersegurança – como tecnologia e jogos – mas, no início, o cyber não era o caminho inicial que escolhi seguir”, disse Sunil. “Em vez disso, fiz a licenciatura em química e depois o mestrado em silvicultura. A partir daí, passei um ano na Libéria e trabalhei para uma empresa de exploração madeireira na África Ocidental, mas sabia que, eventualmente, queria transitar para um percurso profissional diferente. Por isso, para prosseguir os meus estudos, vim para os EUA e frequentei a Virginia Tech, onde concluí o meu MBA e também o meu mestrado em contabilidade e sistemas de informação. Com essa formação, entrei numa das quatro grandes empresas de contabilidade, a Deloitte. Foi aí que comecei a fazer a transição para a cibersegurança.”

“Na Deloitte, comecei a minha carreira na área de risco tecnológico e depois passei para a cibersegurança, dado que o risco cibernético é uma parte integrante do risco tecnológico. Por exemplo, no risco tecnológico, analisa-se como uma organização gere o risco relacionado com a confidencialidade, integridade e disponibilidade dos dados. Depois, a maior parte do trabalho de consultoria está ligada a quão bem as organizações aplicam os controlos gerais de TI para gerir o risco. Para dar alguma relevância à cibersegurança, os profissionais de risco avaliam quão bem a entidade gere os seus riscos de cibersegurança relacionados com a segurança da rede, disponibilidade, segurança de aplicações e assim por diante. Tudo isto aconteceu naturalmente e era algo que realmente me interessava.”

Tornar-se Executivo de Cibersegurança e Crescer como Líder

Após a sua incursão inicial no trabalho de cibersegurança, Sunil desempenhou uma variedade de funções e cargos na Deloitte, incluindo vários anos da sua permanência de uma década a conceber programas e controlos de cibersegurança e a implementar tecnologias relacionadas com cibersegurança para agências federais e civis, como parte da equipa de serviços de risco cibernético da Deloitte. No entanto, após 10 anos na Deloitte, Sunil deixou a empresa para assumir uma função de maior responsabilidade na Freddie Mac.

“Na Deloitte, tive realmente a oportunidade de fazer muitas coisas diferentes e desenvolver competências diferentes”, disse Sunil. “Mas, após 10 anos, decidi sair da Deloitte para fazer crescer a minha carreira e vim para a Freddie Mac, onde fui Business Information Security Officer (BISO). Tornar-se BISO é uma ótima forma de assumir mais responsabilidades porque um BISO é uma espécie de mini-CISO para uma determinada linha de negócio, fazendo muitas das mesmas coisas que um CISO faz, apenas sem algumas das tarefas voltadas para o exterior. Por exemplo, como BISO, está basicamente a traduzir o risco de segurança para o negócio, a dizer-lhes onde precisam de se concentrar e a ajudá-los a resolver fragilidades no seu ambiente. Assim, isso dá-lhe a capacidade de adquirir novas competências práticas, ao mesmo tempo que assume responsabilidades em todos os Domínios de Cibersegurança.”

Além das responsabilidades acrescidas no trabalho do dia a dia, a função de Sunil como BISO deu-lhe a primeira verdadeira oportunidade de liderar uma equipa de profissionais de cibersegurança – algo que ele sempre aguardou com expectativa.

Alguns anos depois de assumir a função de BISO, recebeu a responsabilidade adicional de liderar e gerir a área de Arquitetura de Segurança, Garantia e Consultoria, e a experiência única e gratificante de gerir uma grande equipa de cibersegurança”, disse Sunil. “Gerir uma equipa realmente mostra-lhe quantos tipos diferentes de competências e de personalidades existem na cibersegurança. Assim, um dos maiores desafios como líder é encontrar formas de garantir que todos participam nas discussões e de derrubar quaisquer barreiras que existam para que todos possam partilhar informação e sentir-se confortáveis. Esta foi uma das melhores lições que aprendi até agora e talvez não a tivesse obtido se não tivesse tido a oportunidade de liderar uma equipa.”

Trabalhar para colmatar a lacuna de talento

À medida que Sunil se foi aprofundando na cibersegurança, trabalhou arduamente para mudar as perceções que existem em torno do setor. Mais especificamente, tentou destacar as lacunas atuais no recrutamento de pessoas para a área da cibersegurança, bem como ajudar a desfazer mitos sobre o que é necessário para ser um profissional de cibersegurança.

“Há muitas ideias erradas sobre como é trabalhar na área de cyber e sobre as competências de que precisa”, disse Sunil. “E, à medida que comecei a trabalhar neste espaço, comecei a compreender melhor quais são, de facto, os conjuntos de competências necessários e o que realmente o torna bem-sucedido em cyber, em comparação com a perceção. Acho que comecei mesmo a perceber isso quando comecei a gerir equipas. Consegui ver quem eram os colaboradores de melhor desempenho, que atributos tinham e como isso correspondia à perceção.”

“Um dos maiores destes mitos é que é preciso ter uma formação em cibersegurança ou uma formação técnica. Por exemplo, se olharmos para isso, as licenciaturas em cibersegurança evoluíram nos últimos, diria eu, quatro a cinco anos. Antes disso, nem sequer existiam como uma área dedicada ou focada onde se pudesse obter um diploma universitário – mas continuamos a pedi-lo no recrutamento apenas por hábito.”

“Na área de cyber, existe o domínio de governação, risco e conformidade, existe o domínio de gestão de vulnerabilidades, existe o domínio de segurança de aplicações. E nem todos exigem sequer uma formação técnica. Quero dizer, temos programas que se limitam a sensibilização e formação de consciencialização. Para esses, é preciso compreender mais os utilizadores do que as áreas técnicas. Portanto, sem dúvida, não deve deixar que uma formação técnica o impeça de seguir uma carreira em cibersegurança.”

Sunil também observou que, embora as certificações e outros referenciais formais sejam úteis na aprendizagem, não devem ser o fim de tudo.

“As certificações certamente ajudam a fornecer confirmação e validação de que tem conhecimentos numa determinada área de domínio, mas isso não o deve impedir de se candidatar e não deve ser um requisito obrigatório para certas posições em cyber”, disse Sunil. “Obter certificações pode consumir muito tempo, e as pessoas têm vidas ocupadas. Portanto, o facto de alguém não ter uma determinada certificação não significa que não tenha o conhecimento, as competências ou a dedicação para ser um profissional de cibersegurança.”

A olhar para o que vem a seguir em cibersegurança

A cibersegurança é um dos setores que mais crescem e mais entusiasmantes da atualidade. E, apesar de algumas dores de crescimento que ainda persistem, Sunil está ansioso por ver o que vem a seguir para o setor. 

“A cibersegurança mudou de tantas formas ao longo dos últimos anos, e continuará a mudar”, disse Sunil. “Hoje em dia, a cibersegurança faz parte ativa das discussões da sala de reuniões e está cada vez mais entrelaçada com a nossa vida quotidiana.  Muitas das lições que usamos para proteger as empresas também se aplicam à nossa vida pessoal. A comunidade de cibersegurança é jovem e entusiasta, e o setor é tão colaborativo como sempre. Por isso, se conseguirmos resolver alguns dos problemas em termos de recrutamento, o futuro parece muito promissor. Incentivaria qualquer pessoa com interesse na área da cibersegurança a considerar juntar-se a ela.” 

Uma das partes favoritas de Sunil em trabalhar na cibersegurança é a oportunidade de fazer parte de uma equipa. Aqui está ele com o Chief Infrastructure Security Officer da Discover e membro do conselho da NCA, Shaun Khalfan, e o resto da equipa de cibersegurança da Discover!