De Escoteiros a refugiados de Wall Street, o espaço de cibersegurança está repleto de pessoas de todos os tipos de origens. Até mesmo profissionais de silvicultura como Sunil Mallik encontraram seu caminho no espaço.

Chefe de Dados, Aplicações e Segurança de Plataforma na Discover, a jornada de Sunil para a cibersegurança atravessou o mundo, desde as florestas ásperas da África Ocidental até os corredores da Deloitte. Mas como exatamente um graduado em química e ex-especialista em madeira entrou na cibersegurança? E como sua perspectiva sobre a indústria mudou desde que ele entrou pela primeira vez na cibersegurança? 

Descubra abaixo em nossa conversa com Sunil.

Da Floresta ao Primeiro Emprego em Ciber

Embora alguns profissionais de cibersegurança sigam uma linha reta da educação em cibersegurança diretamente para uma carreira em cibersegurança, há um grande segmento da força de trabalho de cibersegurança que entrou na área vindo de outros campos. Alguns, como Sunil, encontram seu caminho para o ciber quase sem querer.

Sunil com seus filhos na sua Alma Mater, Pamplin School of Business, Virginia Tech.

“Sempre gostei de coisas que estão ligadas à cibersegurança – como tecnologia e jogos – mas no começo ciber não era o caminho inicial que escolhi seguir,” disse Sunil. “Em vez disso, me formei em química, depois fiz meu mestrado em silvicultura. A partir daí, passei um ano na Libéria e trabalhei para uma empresa de exploração de madeira na África Ocidental, mas sabia que queria eventualmente me mudar para um caminho de carreira diferente. Então, para continuar meus estudos, vim para os EUA e frequentei a Virginia Tech, onde obtive meu MBA e também meu mestrado em contabilidade e sistemas de informação. Com esse histórico, entrei em uma das quatro grandes empresas de contabilidade, Deloitte. Foi lá que comecei a transitar um pouco para a cibersegurança.”

“Na Deloitte, comecei minha carreira na área de risco tecnológico e depois segui para cibersegurança, dado que o risco cibernético é uma parte integral do risco tecnológico. Por exemplo, no risco tecnológico, você está observando como uma organização está gerenciando o risco relacionado à confidencialidade, integridade e disponibilidade dos dados. Então, a maior parte do trabalho de consultoria está vinculada a quão bem as organizações aplicam os controles gerais de TI para gerenciar o risco. Para dar alguma relevância à cibersegurança, os profissionais de risco avaliam como bem a entidade gerencia seus riscos de cibersegurança relacionados à segurança de rede, disponibilidade, segurança de aplicativos e assim por diante. Isso simplesmente aconteceu naturalmente e era algo que eu estava realmente interessado.”

Tornando-se um Executivo de Ciber e Crescendo como Líder

Após sua incursão inicial no trabalho em cibersegurança, Sunil trabalhou em uma variedade de papéis e funções na Deloitte, incluindo passar vários anos de sua década de trabalho projetando programas de cibersegurança, controles e implementando tecnologias relacionadas à cibersegurança para agências federais e civis como parte da equipe de serviços de risco cibernético da Deloitte. No entanto, após 10 anos na Deloitte, Sunil deixou a empresa para assumir um papel mais sênior na Freddie Mac.

“Na Deloitte, eu realmente pude fazer muitas coisas diferentes e construir habilidades diferentes,” disse Sunil. “Mas depois de 10 anos, decidi deixar a Deloitte para crescer minha carreira e vim para a Freddie Mac, onde fui o Diretor de Segurança da Informação Empresarial (BISO). Tornar-se BISO é uma ótima maneira de assumir mais responsabilidades porque um BISO é meio que um mini-CISO para uma linha de negócios específica que faz muitas das mesmas coisas que um CISO faz, apenas sem algumas das tarefas voltadas para o exterior. Por exemplo, como BISO, você está basicamente traduzindo o risco de segurança para os negócios, dizendo-lhes onde precisam focar e ajudando-os a resolver fraquezas em seu ambiente. Assim, isso lhe dá a capacidade de adquirir novas habilidades práticas ao mesmo tempo que assume responsabilidades em todos os Domínios Cibernéticos.”

Além de responsabilidades adicionais no que diz respeito ao trabalho diário, o papel de Sunil como BISO deu a ele sua primeira verdadeira oportunidade de liderar uma equipe de profissionais de cibersegurança – algo que ele sempre esperou.

Poucos anos no papel de BISO, ele teve a responsabilidade adicional de liderar e gerenciar a Segurança de Arquitetura, Garantia e Consultoria, uma experiência única e agradável de gerenciar uma grande equipe cibernética,” disse Sunil. “Gerenciar uma equipe realmente mostra quantos tipos diferentes de conjuntos de habilidades e tipos de personalidade existem em cibersegurança. Assim, um dos maiores desafios como líder é encontrar maneiras de garantir que todos participem das discussões e superar qualquer barreira que exista para que todos possam compartilhar informações e se sintam confortáveis. Esta foi uma das melhores lições que tive até agora e que talvez não tivesse aprendido se não tivesse tido a chance de liderar uma equipe.”

Trabalhando para fechar o gap de talentos

À medida que Sunil se tornou mais enraizado na cibersegurança, ele trabalhou arduamente para mudar as percepções que existem sobre a indústria. Mais especificamente, ele tentou destacar as falhas atuais que existem no recrutamento de indivíduos para a área de cibersegurança, além de trabalhar para desmascarar mitos sobre o que é necessário para ser um profissional de cibersegurança.

“Há muitos equívocos sobre como é trabalhar em ciber e as habilidades que você precisa,” disse Sunil. “E, à medida que comecei a trabalhar no espaço, comecei a ter uma compreensão mais profunda de quais conjuntos de habilidades são realmente necessários e o que te faz realmente bem-sucedido em ciber versus qual é a percepção. Acho que realmente comecei a entender quando comecei a gerenciar equipes. Pude ver quem eram os melhores e quais atributos eles tinham e como isso correspondia ao que a percepção é.”

“Um dos maiores desses mitos é que você precisa ter um diploma em cibersegurança ou técnico. Por exemplo, se você olhar para isso, os diplomas em cibersegurança evoluíram, diria eu, nos últimos quatro a cinco anos. Antes disso, nem existia como uma área dedicada ou focada onde você poderia ir e obter um diploma universitário – mas ainda pedimos isso no recrutamento apenas por hábito.”

“Dentro de ciber, existe o domínio de governança risco e compliance, existe o domínio de gerenciamento de vulnerabilidades, existe o domínio de segurança de aplicativos. E nem todos eles exigem que você tenha um diploma técnico. Quero dizer, temos programas que apenas fazem divulgação e treinamento de conscientização. Para esses, você precisa entender os usuários mais do que as áreas técnicas. Então, você definitivamente não deve deixar que um diploma técnico o impeça de seguir uma carreira em cibersegurança.”

Sunil também observou que, enquanto certificações e outros benchmarks formalizados são úteis para aprendizado, eles não devem servir como o fim de tudo.

“Certificações certamente ajudam a dar confirmação e validação de que você tem conhecimento em uma determinada área de domínio, mas isso não deve parar você de se candidatar e não deve ser um requisito rigoroso para certas posições em ciber,” disse Sunil. “Buscar certificações pode ser muito demorado, e as pessoas têm vidas ocupadas. Portanto, apenas porque alguém não tem uma certa certificação não significa que não possui o conhecimento, habilidades ou dedicação para ser um profissional de cibersegurança.”

Olhando para o que vem a seguir em ciber

A cibersegurança é uma das indústrias que mais crescem e mais emocionantes hoje. E, apesar de algumas dores de crescimento em andamento, Sunil está ansioso para ver o que vem a seguir para o setor. 

“O ciber mudou de tantas maneiras nos últimos vários anos e continuará a fazê-lo,” disse Sunil. “Ciber é uma parte ativa das discussões de diretoria hoje em dia e está se entrelaçando mais com nossas vidas diárias.  Muitas das lições que usamos para proteger os negócios também se aplicam em nossas vidas pessoais. A comunidade de cibersegurança é jovem e entusiasmada, e o espaço é tão colaborativo como sempre. Portanto, se conseguirmos resolver algumas das dificuldades em termos de recrutamento, o futuro parece muito promissor. Eu encorajaria qualquer pessoa com interesse no espaço de cibersegurança a considerar se juntar a ele.” 

Uma das partes favoritas de Sunil sobre trabalhar em cibersegurança é a oportunidade de fazer parte de uma equipe. Aqui está ele com o Diretor de Segurança de Infraestrutura da Discover e membro do Conselho da NCA, Shaun Khalfan e o resto da equipe de Cibersegurança da Discover!