Você deveria mandar sua equipe de segurança para uma conferência de hackers?

Com uma vasta gama de conferências tecnológicas disponíveis, pode ser um desafio, como gerente de TI, selecionar quais são as melhores para atender ou enviar seus funcionários. Algumas das mais importantes conferências técnicas são aquelas que lidam com computadores, segurança física e hacking social. Entre as maiores à nível internacional estão a Black Hat e a DEF CON.

Alguns gerentes de TI entram em conflito com suas equipes de segurança que participam desses tipos de conferências. Afinal de contas, estas são as pessoas que você contrata para impedir o hacking, e não aprender suas técnicas. Devido a esse pensamento, tenho conhecimento de muitas solicitações de funcionários para participar do DEF CON que foram negadas. No entanto, a maioria dos ex-participantes do DEF CON insiste que as conferências de hackers são muito mais do que hacking – e podem ser altamente educativas para a equipe de segurança de TI corporativa.

Dado esse amplo contraste de opiniões, assumi a responsabilidade de participar do DEF CON 27 em Las Vegas. Meu objetivo era ver se o conteúdo apresentado poderia se traduzir em valor de uma perspectiva corporativa de segurança de TI. Veja o que eu aprendi…

Para lhe dar uma ideia de como o DEF CON é diferente da maioria das outras conferências de TI, ofereço algumas observações do meu primeiro dia de presença. Primeiro, você não pode fazer um pré-cadastro para o DEF CON online. Em vez disso, você simplesmente aparece em Vegas e paga a taxa de US $ 300 – apenas em dinheiro. Dinheiro porque, você sabe, eles são um bando de hackers. Em segundo lugar, fui rápido ao observar que o traje casual corporativo ou comercial que é comum em outras conferências de TI era praticamente inexistente. No lugar, você encontrará muitos shorts, camisetas e penteados malucos. Por fim, se você der uma olhada rápida nos títulos de muitas palestras e as ilhas de especialização na DEF CON, é fácil entender porque alguns gerentes de TI podem dispensar rapidamente este evento. Títulos de sessão do tipo “Como você pode comprar dados de localização em tempo real da AT&T, T-Mobile e Sprint no Mercado Ilegal” – ou o “Como Abrir Fechadura de Portas” podem parecer como se a conferência de hackers fosse voltada mais para black-hats do que white.

Mas aqui o foco da questão, uma vez que você passa pelo fina camada de contra-cultura em que os promotores da conferência se envolvem, você descobre que as informações e habilidades que podem ser adquiridas são facilmente transferíveis para o mundo da segurança corporativa. Apesar da probabilidade de alguns “maus atores” participarem, encontrei muito mais white-hats representando os setores público e privado. Além disso, muitos dos palestrantes e funcionários da conferência (conhecidos como “goons”) são bem conhecidos, bem respeitados e trabalham ou consultam em TI corporativa como seu trabalho oficial. Até mesmo um senador dos EUA participou da conferência este ano.

É a onda não-corporativa que eu acho que torna o DEF CON tão bem-sucedido. Os participantes veem isso como uma forma de adotar uma cultura de computação única e, ao mesmo tempo, aprender habilidades úteis de segurança que podem ajudá-los a entender o que estão enfrentando em casa. Se você tiver a chance de ir, encontrará muitas informações de segurança sendo ensinadas por algumas das maiores mentes de segurança do mundo. Você também descobrirá que os participantes estão realmente interessados ​​em aprender habilidades de hackers, métodos e táticas que não encontrariam em nenhuma outra conferência. Ele dá a novatos em segurança de TI e profissionais experientes a chance de assumir o papel de um moderno hacker mal-intencionado para ver como eles se aproximam de um alvo. Isso permite que os white-hats permaneçam um passo à frente.

Acredito que minha participação no DEF CON 27 consistiu em tempo e dinheiro bem gastos. Minha esperança é que este artigo convença os gerentes de TI de uma vez por todas que as conferências de hackers podem ser altamente educativas e benéficas do ponto de vista corporativo. O principal é que, se você puder confiar em sua equipe de segurança para proteger sua infraestrutura empresarial, você pode, sem dúvida, confiar nela para aprender algo de valor em uma conferência de hackers como o DEF CON.

No Brasil, a maioria dos eventos na área se concentram em São Paulo. Porém, eventualmente alguns passam por diversas cidades como o Roadsec. Vale a pena conferir!

 

Traduzido e adaptado de Information Week. FROEHLICH, Andrew. Disponível em: <https://www.informationweek.com/strategic-cio/security-and-risk-strategy/should-you-send-your-security-staff-to-a-hacker-conference/a/d-id/1335508?utm_source=The+Hack&utm_campaign=af10079614-THE_HACK_0149&utm_medium=email&utm_term=0_060634743e-af10079614-206979693>. Acesso em: 21 de Agosto de 2019.

 

Posts relacionados