À medida que as ameaças cibernéticas aumentam, a segurança se torna mais importante para todos os setores e organizações. Como resultado, a demanda por talentos em segurança de aplicações também vem crescendo: profissionais de segurança, pessoas que criam e gerenciam tecnologias que protegem outras pessoas e organizações.
Ferramentas ajudam e apoiam os processos de AppSec, no entanto, são as pessoas que, em última análise, tomam as decisões críticas de segurança. Times diversos e plurais que trabalham para encontrar vulnerabilidades ou gerenciar incidentes, e que, também, buscam corrigir essas falhas no código.
Assim como em outros contextos corporativos, os ambientes de trabalho em equipes de segurança também sofrem com a falta de diversidade e inclusão. É importante levar em consideração que se todo um time pensa da mesma forma ou vive em condições similares, a organização perde a oportunidade de obter a diversidade de perspectivas para resolver problemas.
Empresas com um equilíbrio saudável entre homens e mulheres são 21% mais propensas a superarem seus concorrentes. Se houver uma boa mistura de raças e etnias, esse número vai para 33%. E equipes com diversidade de gênero, idade e etnia tomam melhores decisões 87% das vezes. Nesse sentido, é cada vez mais importante enfatizar que as equipes de segurança precisam ser tão diversas quanto os problemas que estão tentando resolver, pois é através da diversidade que alcançamos a segurança ideal.
Conectado a esses dados e outros que vamos falar a seguir, destacamos a importância da diversidade nas equipes de segurança e como sua ausência pode impactar a resiliência dos sistemas de segurança de aplicações.
Contexto atual em times de segurança
De acordo com o relatório do National Cyber Security Centre de 2021, mais de 85% dos profissionais de segurança cibernética são brancos, em comparação com menos de 15% de grupos éticos negros, asiáticos ou mistos. Dois terços dos entrevistados se identificavam como homens, em comparação com 31% que se identificavam como mulheres.
É importante observar que 15% das equipes de segurança das organizações participantes não tinham mulheres. Poucas mulheres ocupam cargos de liderança em segurança e quase dois terços das mulheres recebem menos do que os homens.
Outros grupos minoritários estão igualmente sub-representados na segurança cibernética. Mais de 84% dos entrevistados se identificam como heterossexuais, em comparação com 10% que se identificam como parte da comunidade da LGBTQ+.
A diversidade abre um mundo de possibilidades
Se todos em sua equipe pensarem da mesma maneira e fizerem o mesmo, você ainda assumirá que o usuário irá interagir com o sistema de um certo conjunto de maneiras, o que é uma forma limitada de se pensar. Com efeito, a falta de diferentes perspectivas e criatividade para lidar com o comportamento do usuário no sistema pode levar à perda de vetores de ameaças.
Nesse caso, podemos exemplificar com uma pessoa que faz Pentest (Penetration Testing) e que precisa pensar na mentalidade de um atacante para encontrar uma vulnerabilidade de aplicação. Percebe-se que a ausência de diversidade cria processos mais limitados, além de tornar mais difícil a identificação e tratamento de ameaças e inovação de processos.
Segundo a tese de Bodin (2021), um time homogêneo dificulta a construção de uma cultura de segurança para todos os envolvidos no processo de desenvolvimento de software, sendo a diversidade um fator essencial a contribuir com esse processo.
Fortaleça sua equipe de segurança por meio da diversidade
Dessa forma, etnia, orientação sexual, gênero e origem socioeconômica desempenham papéis cruciais na criação de um ambiente de trabalho mais diversificado, inovador, colaborativo e eficaz. Esta regra se aplica a todos os setores de tecnologia.
Sabendo disso, como podemos fazer a diferença?
Os esforços nesse sentido não devem se limitar apenas ao recrutamento, embora seja importante. Precisamos considerar como podemos incentivar grupos minoritários da área de tecnologia a considerar trabalhar em segurança também!
Isso requer pensar em diferentes formas para que essas pessoas possam entrar e se aproximar dessa área, bem como a construção de treinamentos e capacitações inclusivas. Além disso, é preciso mostrar caminhos no setor de segurança de aceitação de todos e de todas que queiram entrar, contratando por habilidade e paixão, e não apenas por certificações específicas. Isso é responsabilidade não somente de empresas, mas também de profissionais da área.
Educação e conscientização sobre Gênero e Diversidade Sexual
Ademais, é imperativo identificar preconceitos inconscientes, um problema que muitas vezes está embutido em nossa cultura. A chave é reconhecê-lo e desenvolver novas formas de pensar.
Em muitas organizações ou processos de seleção, é fácil ignorar pessoas de diferentes origens ou representantes de grupos minoritários. Muitas vezes recrutadores são tendenciosos e não reconhecem isso. As suposições culturais influenciam nossa tomada de decisões de maneiras que muitas vezes não reconhecemos.
Portanto, educar e conscientizar gestores e recrutadores de segurança sobre questões de diversidade pode ser de grande importância, gerando resultados não apenas na contratação, mas também na retenção dessas pessoas.
Uma forma de lidar com isso é conhecer organizações que buscam atrair grupos sub-representados no setor de segurança. Temos também o exemplo da Microsoft, que patrocina o Blackhoodie Workshop, um evento anual de segurança Bluehat voltado para mulheres. A Conviso também tem uma série de vagas com ações afirmativas para diferentes grupos minoritários.
Aumentar a diversidade no setor de segurança de aplicações, investindo na contratação de pessoas LGBTQ+ e de outros grupos minoritários, pode ajudar a melhorar a segurança para todos e todas. A busca pela diversidade incrementará novos pensamentos defensivos, bem como conceitos e técnicas de ataque não considerados anteriormente.
Diversidade traz riqueza e inovação para toda organização
Ficou evidente até aqui que melhorar a diversidade das equipes de segurança deve ser um objetivo fundamental para as organizações de todo o setor, visto que ajuda a proteger indivíduos e empresas de uma ampla variedade de ameaças cibernéticas.
Vale lembrar que a diversidade favorece e potencializa a conexão de equipes de diferentes setores. Pessoas LGBTQ+, de diferentes origens culturais, socioeconômicas e/ou linguísticas têm uma influência enriquecedora em um ambiente de trabalho diversificado ao apresentar diferentes abordagens e perspectivas para um determinado problema.
Além disso, essas pessoas também podem ajudar a entender melhor como funciona o hacking malicioso por meio de outras experiências e perspectivas. Por isso, precisamos evitar o risco do pensamento homogêneo de grupo. Equipes heterogêneas ajudam a encontrar novas respostas para perguntas e trazer ainda mais questionamentos.
Por meio da diversidade, podemos construir uma equipe de segurança apaixonada pelo que fala, aponta problemas e traz uma ampla gama de experiência e compreensão para lidar com eles.
Autores:
Gabriel Galdino – Developer Advocate
Estela Faust – Communication Analyst
