A segurança dos sistemas de informações é algo de importância vital para as organizações. Atualmente, com normas e regras de mercado cada vez mais exigentes, onde cada vez mais operações são efetuadas por via eletrônica e através da Internet, a busca por profissionais de segurança se torna dia após dia mais importante.
O problema fundamental é que existem poucos profissionais de TI na área de segurança, e principalmente, existem poucos profissionais de TI experientes nessa área. Não é novidade então que várias organizações utilizam ou já utilizaram hackers para efetuar a segurança de seus sistemas informáticos e canais de comunicação.
Neste artigo, iremos retratar o hacker conforme visto pelo público em geral e pelos mídia. O hacker aqui terá a conotação de alguém que ilícitamente invade ou quebra a segurança de sistemas, enquanto que um “Especialista em Segurança” é o profissional que realiza testes, auditorias e invasões de sistema, devidamente autorizado pelo detentor desses sistemas e com o intuíto de efetuar melhoramentos, verificar vulnerabilidades e/ou adequação a normas (Veja meu artigo anterior, para mais informações sobre o que é um hacker).
O que está acontecendo é que as organizações estão contratando antigos hackers, ou hackers “aposentados” para fazer a segurança de suas empresas. Eu pergunto, será que isso não é contra-senso? Por analogia, não seria o mesmo que contratar um antigo assaltante para segurar e proteger o cofre de valores de um banco?
Como todos sabemos, a segurança das informações é uma das coisas mais vitais e importantes para uma organização, e deve ser levada muito a sério. A empresa não pode ficar nas mãos de um empregado descontente ou de um funcionário de TI chantageador. Sabemos também que o hacker é especialista em deixar “backdoors” para “futuras” entradas, ou “rootkits” que lhe permitem deter acesso a um sistema. Será que ele não poderá se aproveitar de seu conhecimento para fazer algo mais do que simplesmente deixar a organização segura?
Por outro lado, o hacker pela natureza intríseca de suas atividades possui um conhecimento vasto e sólido em segurança informática e pode trazer uma mais valia em termos de avaliar e consolidar a defesa informática existente, sendo um experiente especialista nessa matéria.
Existem já diversas empresas de consultoria em segurança formadas por antigos hackers, até agora sem nenhum registro negativo a apontar. Um caso de sucesso é o do famoso hacker Kevin Mitnick, que formou a empresa de consultoria Mitnick Consulting após ter saído da prisão, e hoje dá palestras em todo o mundo e escreveu 2 livros sobre segurança.