Alguns profissionais de cibersegurança entram diretamente na indústria após concluir a escola. Outros ingressam por meio de trabalhos em áreas adjacentes, como engenharia de software e compliance. E outros, como Tracy Z. Maleeff, também conhecida como InfoSecSherpa, encontram seu caminho na indústria de cibersegurança após passarem anos trabalhando em empregos que normalmente não são associados à cibersegurança – como a ciência da biblioteca.

Uma pesquisadora de segurança no Krebs Stamos Group, Maleeff não só fez uma transição bem-sucedida para uma carreira em cibersegurança, mas também se destacou como um dos principais nomes para conselhos de carreira em cibersegurança e insights sobre questões polêmicas.

Descubra mais abaixo sobre a fascinante jornada de Maleeff de bibliotecária de escritório de advocacia a profissional de cibersegurança e líder de opinião.

Deixando uma Área que Amava e Mudando para a Tecnologia

Tracy Maleeff ainda era muito apaixonada pela ciência da biblioteca quando começou a considerar uma mudança. Mesmo assim, após anos trabalhando como bibliotecária em um escritório de advocacia, Maleeff percebeu que era hora de seguir em frente para tentar coisas novas.

Tracy descobriu um gosto pela segurança física desde jovem ao aprender como abrir uma fechadura usando um cartão de biblioteca.[/caption]

“Minha jornada na cibersegurança na verdade começa numa nota um pouco triste”, disse Maleeff. “Eu estava me deslocando entre o Center City, na Filadélfia, e os subúrbios onde morava, e simplesmente sentia que estava muito confusa com minha carreira. Trabalhei arduamente para me tornar uma bibliotecária. Tenho um Mestrado em Ciência da Biblioteca e Informação pela Universidade de Pittsburgh, e estive em bibliotecas por cerca de 15 anos, mas simplesmente não vi um futuro nisso para mim. Os próximos níveis eram diretores onde realmente se trata mais de gestão de pessoas e não tanta gestão de bibliotecas, e também nessa época, em 2014, houve muitas fusões e demissões em escritórios de advocacia.

“Então, eu estava realmente preocupada com ter uma carreira no futuro. Eu não queria ser uma entre muitas bibliotecárias de escritórios de advocacia competindo pelos empregos restantes na Filadélfia. Isso me deixou muito triste. Para passar o tempo, li para tentar tirar minha mente disso e encontrei este artigo na Entrepreneur Magazine que se intitulava ‘Como Tornar Sua Carreira à Prova de Futuro em 2015.’ Eu li, e a coisa que realmente me chamou a atenção foi que dizia para descobrir o que você deveria estar fazendo em sua carreira, encontrar os diferentes pontos em seus trabalhos anteriores que realmente o entusiasmaram, revigoraram e desafiara em um jeito que te deixou animada. Aconselhava a encontrar um ponto em comum. Eu pensei sobre isso e percebi que a tecnologia era esse ponto em comum para mim.”

Tracy na DEF CON 2016 com Tarah Wheeler e Keren Elazari.

Tracy trabalhando no estande da Women's Society of Cyberjutsu na conferência BlackHat, encontrando-se com Marina Krotofil.

Decidindo por Cyber

Embora Maleeff agora tivesse clareza em termos de um novo campo geral que queria ingressar, ela não tinha certeza de qual área da tecnologia queria se aprofundar. Depois de participar de várias reuniões e eventos tecnológicos, o conselho de um amigo a ajudou a se concentrar em cibersegurança.

“Eu estava muito empolgada com a perspectiva de entrar no mundo da tecnologia, mas rapidamente percebi que, embora eu gostasse de tecnologia, a atmosfera em torno dos eventos de tecnologia simplesmente parecia pouco acolhedora”, disse Maleeff. “Então, eu estava ficando frustrada, e um amigo percebeu minha frustração. Ele estava em tecnologia há um longo tempo, no backend de segurança, mas eu não sabia disso porque esses termos eram desconhecidos para mim.”

“Depois de me ver em dificuldades, ele disse, 'Ouça, deixe-me te contar sobre backend e cibersegurança. Acho que você gostaria, acho que você seria boa nisso', e então, como o destino quis, ele foi à conferência BlackHat naquele ano e viu uma mesa da Women's Society of Cyberjutsu. Ele começou a conversar com elas, contando sobre mim, e, na sequência, eu estava de volta ao meu escritório na Filadélfia, recebendo mensagens no meu telefone com fotos do panfleto delas com as aulas que ofereciam para mulheres se atualizarem sobre cibersegurança, junto com as notas de encorajamento. No mês seguinte, fiz o workshop introdutório de fundamentos da cibersegurança da The Women's Society of Cyberjutsu e eles me conquistaram no port scanning. Pensei: 'Onde isso esteve toda a minha vida?'”

Enquanto se familiarizava com os aspectos técnicos da cibersegurança, Maleeff começou a exercer um papel ativo na promoção de melhores práticas de cibersegurança, liderando a programação do Mês da Conscientização sobre Cibersegurança em seu escritório de advocacia.

“Uma vez que comecei a fazer as aulas, a cibersegurança realmente começou a ressoar comigo”, disse Maleeff, “tornou-se meu hobby peculiar.” “Tanto que, em setembro de 2015, enviei um e-mail para o CIO do escritório de advocacia onde ainda estava trabalhando como bibliotecária e perguntei: 'o que a empresa está fazendo para o Mês da Conscientização sobre Cibersegurança em outubro e posso me envolver?' E quando sua resposta foi 'o que é o Mês da Conscientização sobre Cibersegurança,' eu estava preparada. Eu tinha um plano de cinco pontos que reuni, tinha slides, tinha uma explicação completa. Apresentei para ele e ele achou ótimo e me colocou no comando de um programa de conscientização de segurança de cinco semanas. Foi uma grande experiência, e me fez querer ir ainda mais longe na cibersegurança.”

Transitão para Cyber

Apesar de ter agora uma ideia clara sobre onde queria focar, Maleeff precisava encontrar uma maneira de efetivamente sair do campo de bibliotecária jurídica para cibersegurança.

“Uma vez que provei a cibersegurança, soube que era para lá que queria ir”, disse Maleeff. No entanto, eu sabia que não poderia simplesmente fazer uma mudança lateral do mundo da biblioteca para o InfoSec e que precisava de algum tipo de tempo de transição para estudar e me atualizar e fazer networking com pessoas e entender a indústria. Sem mencionar que ainda precisava ter uma renda. Apliquei minhas habilidades de bibliotecária como freelancer e fiz projetos de pesquisa e gerenciamento de mídias sociais para qualquer empresa de tecnologia ou cibersegurança que me contratasse. Avançando para fevereiro de 2016, saí do escritório de advocacia e comecei a conseguir trabalhos freelance.”

“Apenas algumas semanas depois de eu ter saído do escritório de advocacia, eu estava em um avião para São Francisco para participar do RSA porque uma empresa me contratou para fazer algum trabalho para eles no local na área de pesquisa e gerenciamento de mídias sociais, e isso deu início basicamente a um ano e meio de eu ir a muitas conferências, conhecer muitas pessoas, fazer aulas, e realmente aprender e absorver a indústria e tentar descobrir meu papel nela. Usei minhas habilidades em ciência da biblioteca como uma maneira de me apresentar ao mundo da Segurança da Informação e ao que eu poderia oferecer.”

A partir daí, Maleeff usou suas habilidades para ajudar a criar conteúdos e fazer pesquisas que ajudaram seus clientes a articular melhor suas propostas de valor, enquanto continuava a construir suas habilidades em cibersegurança e networking. Através desses esforços, ela conseguiu garantir sua primeira posição.

“Através do networking, eu consegui entrar no radar de uma empresa farmacêutica que estava procurando contratar um analista de SOC nível iniciante e o que eles me disseram durante a entrevista foi que podiam me ensinar a tecnologia. São todas essas outras habilidades que você traz que não podemos ensinar a alguém. É realmente importante que as pessoas saibam que habilidades transferíveis são extremamente importantes em ciber também.”

Tracy é uma grande fã dos eventos Security BSides. Esta foto é do evento BSides Northern Virginia.[/caption]

Vida como Influenciadora de Mídias Sociais

Com o número médio de seguidores no Twitter em torno de 700, ultrapassar os 1.000 é motivo de celebração para muitos usuários do Twitter. Mas com quase 50.000 seguidores, Maleeff – também conhecida como, a InfoSecSherpa – tem desfrutado por muito tempo das alturas consideráveis da mídia social de cibersegurança, proporcionando orientação para aqueles que estão tanto no campo quanto procurando se juntar a ele.

“Minha história nas mídias sociais na verdade remonta aos meus dias de biblioteca também”, disse Maleeff. “Muitas pessoas me pediam dicas e insights sobre ciência da biblioteca, então eu inventei o nome de Library Sherpa porque estava tentando pensar em algo sobre ajudar as pessoas. É assim que vejo meu papel, como um guia.

“Então criei outra conta para acompanhar o Twitter de InfoSec, InfoSecSherpa. Quando surgiam perguntas que estavam no meu leque de competências para ajudar, eu intervinha para ajudar e isso meio que cresceu a partir daí. Foi selvagem porque decidi colocar minha foto no perfil e então eu ia a eventos e as pessoas me reconheciam e diziam, ‘Espera, você não é a InfoSecSherpa,’ e então isso começava meu networking. Eu me sentava, conversava com elas e conhecia as pessoas. Sabia que queria ser capaz de criar uma entidade nessa comunidade e nessa indústria. Sabia que não havia um caminho existente para mim, então sabia que tinha que cortar meu próprio caminho e simplesmente criá-lo.”

Tracy torcendo pelo seu time favorito da Premier League inglesa, Everton, com seu marido no Goodison Park em Liverpool, Reino Unido.

Perspectivas sobre o Espaço de Cibersegurança

Maleeff certamente acredita que o espaço de cibersegurança tem um futuro promissor. No entanto, há algumas coisas que ela sabe que a indústria precisa abordar e ela está procurando destacar.

“Existem várias concepções errôneas sobre cibersegurança, mas uma das maiores é que os humanos não estão no centro de toda segurança. Algumas pessoas na indústria preferem pensar em segurança mais como uns e zeros e redes e coisas assim. Sim, existem componentes muito técnicos em cibersegurança. Eu não nego isso, mas no cerne da segurança, seja física ou cibersegurança, somos todos humanos. Os atores maliciosos são humanos, as vítimas de phishing são humanas, somos humanos. Quando eu estava na empresa farmacêutica, eu respondia a um e-mail de um usuário e ela ficou surpresa de eu ser humana. Ela não achava que havia pessoas no departamento de segurança. Ela achava que eram todos computadores e automatizados.”

“Acho que a concepção errônea entre a indústria é que realmente não somos centrados em humanos, mas somos. E então, para pessoas que querem entrar na indústria, acho que muitas pessoas assumem que é tudo técnico, mas isso não é verdade”, disse Maleeff. “Há tantos papéis não técnicos ou papéis de menor nível técnico que não exigem certificações técnicas avançadas, e isso pode ser seus papéis de GRC (Governança, Risco e Conformidade) ou treinamento de conscientização de segurança/risco humano. Realmente há algo para praticamente todos na indústria de Segurança da Informação.”

Para ajudar a desfazer esse mito, Maleeff observou que é extremamente importante para a indústria colaborar mais para atrair talentos com as habilidades certas e paixão, não apenas procurar por um unicórnio.

“Há muito potencial para crescer profissionalmente na indústria de cibersegurança”, disse Maleeff. “Mas para realizá-lo, precisamos, como indústria, colaborar com pessoal, recursos humanos, diretores de talentos para corrigir descrições de cargos. Algumas estão muito fora do alvo, exigindo um CISSP para uma posição de entrada, e coisas irreais assim. Admitidamente, a (ISC)² emitiu declarações mais recentemente reconhecendo que essa certificação não é para alguém novo na indústria e isso definitivamente é um bom começo. Para realmente fechar a lacuna de talentos, as empresas precisam estar dispostas a aceitar pessoas como eu, mudadores de carreira que têm um grande valor agregado e trazê-los porque podemos ajudar com diferentes pontos de vista, entendendo diferentes modelos de ameaça. Existem tantos conjuntos de habilidades diferentes que precisamos na indústria de Segurança da Informação. Diversidade de pensamento resolve problemas e os modelos de ameaça variam muito, então por que não ser mais seguro com mais representação de todos os modelos de ameaça? As empresas precisam ser mais proativas com iniciativas DEI, bem como treinamento, a fim de ajudar o mundo a melhorar sua postura de segurança.”

Tracy e sua caneca da National Cybersecurity Alliance!

Saiba mais sobre Tracy Z. Maleeff aqui: https://linktr.ee/infosecsherpa