Recentemente, falei sobre uma metodologia que, ao longo dos anos, acabei aprendendo no mercado de trabalho em Segurança da Informação. São tantas siglas às quais somos expostos diariamente, algumas com sentido evidente, outras com fundamentos que nunca tínhamos conhecido antes.
Mas, afinal, qual é o verdadeiro propósito dessa metodologia dos 3Ps? Marcus Lemonis, criador do modelo, buscava soluções para evitar a falência de negócios, estruturando a gestão nesses três pilares fundamentais. Para mim, essa abordagem é, simplesmente, uma das formas mais eficazes de usar uma metodologia como instrumento de profissionalização e modernização empresarial.
O primeiro P (Pessoas) sempre foi o meu maior interesse. Gosto de lidar com pessoas. Gosto de perceber a complexidade de cada uma delas. No entanto, no mundo da Segurança da Informação, é comum vermos as pessoas como o elo mais fraco. Entenda: nós, brasileiros, somos simpáticos, acreditamos facilmente no que vemos, ouvimos e sentimos. Assim, somos frequentemente pegos desprevenidos por indivíduos de índole duvidosa, que se aproveitam de situações prováveis e improváveis.
Em algumas empresas em que prestei serviços de segurança defensiva, era evidente que não havia um treinamento adequado para os colaboradores. E, quando havia, era algo rápido e superficial, apenas para cumprir alguma exigência que, aparentemente, ninguém sabia ao certo qual era.
Os funcionários estavam ali, de corpo presente, mas sem saber como aplicar suas habilidades reais em benefício da empresa. Não havia estratégia de alocação de talentos. A eficiência de cada um era medida pelo tempo em que permaneciam na empresa após as 18h.
Perspectiva de futuro e crescimento profissional? Geralmente, tornavam-se apenas vislumbres nos corações ansiosos pela chegada do fim de semana. Eram como árvores com raízes fincadas por obrigação, com a certeza de que permaneceriam sempre no mesmo lugar, mesmo quando o vento mudava de direção ou as estações do ano passavam. Tudo continuava imóvel, inclusive o cargo e o salário.
Mesmo que essa árvore-semente pudesse germinar em outro solo, a esperança não acompanhava. Não havia perspectiva de futuro. Tornar-se sócio da empresa, produzir e gerar riqueza para seu povo, nunca faria parte dos seus melhores planos. Era uma luta vã.
Eu te entendo: uma empresa não é ONG, tampouco casa de recuperação, concordo com você. Mas deveria ser um ambiente reconhecido por atrair os melhores talentos, transformar o mercado local e influenciar outros. Cuidar de pessoas, capacitá-las, oferecer treinamento adequado, esclarecer com firmeza os papéis e responsabilidades, isso deveria ser a marca registrada de uma empresa que leva a sério o primeiro P.
E quanto ao Processo? Esse, sim, é um outro ponto interessante. Esse segundo P me lembra uma conversa com um empresário do ramo de hambúrgueres aqui da capital paraibana. Ele contava como otimizou os processos da sua cozinha para torná-la mais ágil, sem perder qualidade. Descreveu, passo a passo, como pensou em cada detalhe.
Era impressionante: cada colaborador sabia exatamente o seu lugar e suas funções. Entendiam seus papéis e responsabilidades. Todos agiam de maneira estruturada.
Ao registrar cada processo, ele conseguiu identificar falhas, corrigir fluxos e aperfeiçoar entregas. Otimizou etapas, reduziu custos operacionais, tudo isso apenas por criar um processo.
Não se trata apenas de seguir regras ou cumprir ordens. Trata-se de garantir organização, previsibilidade e resposta ágil diante de problemas.
E, quando falamos de Segurança da Informação, isso se torna ainda mais urgente. Processos bem desenhados são a garantia de que lacunas estão sendo observadas. São o sinal de que há evolução na análise de vulnerabilidades em sistemas, softwares e redes de computadores.
São também o sinal de que os profissionais terão acesso ao “coração” da empresa, cada um em seu papel, com sua responsabilidade, aplicando suas habilidades no lugar certo e com o melhor aproveitamento possível.
Chegamos, enfim, ao terceiro P: Produto.
Certa vez, um cliente me procurou. Queria fazer um teste de intrusão (Pentest) em sua empresa. Ele passaria por uma auditoria e precisava comprovar que realizava esse processo semestralmente.
Fiz a pergunta óbvia: “O que vamos testar? Que defesas foram implementadas pelo seu time de segurança?” Ele, surpreso, respondeu: “Nenhuma. É que vou passar por uma auditoria e preciso comprovar que fazemos o Pentest.”
Perceba: ele não havia aplicado nenhum conceito, framework ou solução prévia de segurança, mas queria contratar meu produto. Ora, para mim, como fornecedor, seria maravilhoso, é como juntar a fome com a vontade de comer. Mas… é isso que espero do meu produto? Definitivamente, não.
O que ele queria era testar se a cerca elétrica da casa dele estava funcionando… com a energia desligada. Não fazia o menor sentido.
Nosso produto atende ao mercado de forma correta? Entendemos as reais necessidades dos nossos clientes? Nesse caso, percebi que ele precisava de outro serviço, um serviço anterior ao Pentest. Expliquei que o trabalho de defesa deveria ser feito primeiro, e, só depois, testado. Aí, sim, o Pentest faria sentido. E não seria apenas como um documento vazio para fins de auditoria.
Sim, eu sei, é complexo, não é? Mas pensar nossos produtos com responsabilidade sobre o que entregamos também pode ser uma ótima estratégia de mercado. O mercado não precisa apenas de produtos caros de grandes fornecedores. Ele precisa de soluções que gerem valor ao negócio. Como está o seu produto hoje?
