Uma Breve História do SABSA | Parte 3 – Nasce o Instituto SABSA
A Curta História da SABSA chegou ao ano de 2005 no meu último blog. Agora é hora de terminar a história e trazê-la atualizada. Primeiro preciso refazer meus passos de volta para 2003 por um momento. David Lynas e eu trabalhamos para a QinetiQ de 2001 a 2002. Foi um curto período de emprego em tempo integral durante o qual a SABSA definhou um pouco porque a QinetiQ não queria adotar o quadro. A relação não deu certo, e no final de 2002 estávamos de volta às ruas, planejando nosso próximo passo para o desenvolvimento de negócios e carreira. Procuramos a SABSA como âncora para esses planos.
Durante a década de 1990, eu vinha fazendo muito treinamento de gestão de segurança na Europa, no Extremo Oriente e na Austrália. Meu contato australiano era uma empresa de treinamento chamada ALC, dirigida por Zika Milenkovic e Matt Whelan. Por razões familiares pessoais eu decidi que em 1999 eu não poderia mais servir os cursos de segurança a uma distância tão grande e por isso recomendei ao Zika e Matt que eles deveriam adotar David Lynas para tomar o meu lugar. Isso provou ser uma parceria vencedora para todos os envolvidos. Entre eles, Zika, Matt e David cresceram o negócio de treinamento de segurança na Austrália, Nova Zelândia e Sudeste Asiático. David vinha promovendo a SABSA como uma estrutura de arquitetura de segurança em plataformas de conferências em todo o mundo desde 1997 (primeiro na conferência do Computer Security Institute nos EUA). Eu também tinha sido incluindo ideias e conceitos da SABSA no meu material de treinamento e nas minhas apresentações de conferência. Devo reconhecer que foi a evangelização de Davi da SABSA que o tornou conhecido em todo o mundo de língua inglesa.
Ficou claro que a SABSA era capaz de consumo popular e assim David e eu desenvolvemos o primeiro curso oficial sabsa. Ele apresentou isso na Austrália em 2007. O uso da Taxonomia de Níveis Cognitivos da Bloom para mapear competências foi baseado em um projeto de consultoria que fizemos, liderado por David, em 2005/6 para a Associação dos Profissionais de Segurança da Informação (AINSEP) em Cingapura. Eles queriam uma estrutura para desenvolvimento de carreira e certificação de profissionais de segurança da informação. Foi um precursor do que construímos para o programa SABSA. O principal motor para o desenvolvimento do programa de certificação SABSA veio do Ministério da Defesa do Reino Unido (MoD), que estava procurando adotar a SABSA para sua arquitetura de garantia de informações. A questão veio de um nível de oficial muito sênior: como a Defesa poderia determinar a competência de potenciais provedores para o Programa de Garantia de Informações do MoD se a SABSA fosse incorporada a isso como padrão. Isso significava não apenas treinamento, mas um quadro de competência estruturado contra o qual avaliar os candidatos.
O lançamento do programa de treinamento SABSA na Austrália não foi apenas um curso de treinamento autônomo. Tinha por trás disso o conceito do Instituto™ SABSA e um programa de certificação para profissionais de Arquitetura de Segurança, baseado até certo ponto em nossa experiência com Cingapura. Os fundadores do Instituto eram David, Zika, Matt e eu. Foi um momento emocionante para nós. Estávamos vendo um grande entusiasmo no mercado australiano para a SABSA e por isso assumimos alguns riscos de negócios. Foi zika e Matt quem assumiu o maior risco financeiro investindo em um amplo programa de marketing para os cursos e o programa de certificação. David e eu desenvolvemos os materiais de treinamento e exame e Matt também desenvolveu o software de administração e o primeiro site. A atividade empreendedora é cheia de risco – em termos SABSA, tanto oportunidade quanto ameaça. Também é muito emocionante. Procurei uma referência para ‘empreendedor’ e achei isso:
“A busca de oportunidades além dos recursos controlados”. [Professor Howard Stephenson, Harvard Business School].
Outras referências se expandem um pouco sobre isso definindo as características de um empreendedor:
- Não tenho medo de correr riscos
- Auto-crença, trabalho duro e dedicação disciplinada
- Apaixonado
- Inovador – desenvolvendo algo novo que o mercado precisa
- Persistente – não aceita não como resposta
- Recursos – porque há poucos recursos disponíveis para apoiar o projeto
Posso dizer que podemos colocar nossas mãos em todas essas características. Por que estou te contando tudo isso sobre empreendedorismo? Porque esse projeto tem sido assim. Persistimos em nossa auto-crença de que poderíamos fazer isso sem nenhum recurso real e mudar o mercado em educação e treinamento em arquitetura de segurança. Não só isso, acreditamos que poderíamos mudar a maneira como o mundo pensa sobre a arquitetura de segurança como uma disciplina – o que chamamos de PENSAMENTO™ SABSA. Somos apaixonados por isso e persistimos contra todos os obstáculos.
Em 2003, David, Andy Clark e eu decidimos formar uma empresa para explorar a SABSA como uma proposta comercial. Essa empresa se chamava SABSA Limited e foi registrada no Reino Unido como uma empresa privada limitada. Havia muita ênfase no desenvolvimento de treinamento e certificação, mas também consultoria. Começamos a fazer planos. No entanto, quanto mais o considerávamos, mais percebemos que precisávamos colocar o IP sabsa em domínio público para que ele tivesse sucesso como padrão global. Nosso plano de empresa privada não era o veículo certo para isso. Nós nunca usamos essa empresa e ela foi mais tarde acabou. Nosso pensamento mudou em relação ao que temos hoje – o Instituto SABSA CIC, de propriedade da associação.
Tenho um documento escrito por David datado de fevereiro de 2003 no qual ele descreve em detalhes, ao longo de cinco páginas, sua visão para o programa de treinamento e certificação. Quando olho para o que temos agora, há apenas algumas pequenas diferenças em relação à visão original de David. Entre esse período e 2007 trabalhamos no plano do Instituto SABSA e desenvolvemos a infraestrutura e documentação. Ainda estamos preenchendo lacunas nos processos de governança, mas lançamos com processo suficiente para fazê-lo funcionar. Se você está lendo isso, você provavelmente vai concordar que nós fizemos isso.
Aqui estão algumas estatísticas:
- Primeiros cursos Austrália, Reino Unido e América do Norte 2007
- Primeiros cursos European Mainland (NL) & Asia 2008
- Primeiro SabSA Master (fora autores originais) 2009
- Primeiro SabSA World Congress 2009 (ao lado do COSAC na Irlanda)
- Primeiro curso África 2011
- Ultrapassou 1000 certificados em 2011
- Ultrapassou 2000 certificados 2013
- Excedido 50 países 2014
- Prêmio Dos Fundadores de Matt Whelan lançado em 2014
- Ultrapassou 5000 certificados em 2016
- Reino Unido ultrapassou 500 certificados em 2017
- Austrália ultrapassou 1000 certificados em 2017
- Ultrapassou 70 países em 2018 (atualmente 71)
- Ultrapassou 6000 certificados em 2018
Esses números continuam a crescer. A pegada SABSA está agora estabelecida em escala global. Estamos confiantes de que nossa paixão, auto-crença, trabalho duro, dedicação, persistência, apetite ao risco e crença no crescente corpo de profissionais certificados pela SABSA valeram a pena. Não, no entanto, sem alguns obstáculos a serem superados. Foi o Zika que, em 2009, viu o fato de que no Reino Unido o uso da palavra “Instituto” em um nome empresarial é protegido pela lei da empresa. Você só pode usá-lo se tiver permissão do Secretário de Estado para negócios. Naquela época, o departamento governamental relevante se chamava Negócios, Inovação e Habilidades. Agora se chama Business, Energy and Industrial Strategy. A regra é que a organização deve cumprir as seguintes condições:
Instituto ou Instituição: A aprovação para usar essa palavra normalmente só é dada a organizações estabelecidas em pleno funcionamento que já estão funcionando como um instituto, mas operam com um nome diferente. A gama de atividades pode variar, mas os institutos são organizações que normalmente realizam pesquisas no mais alto nível ou são órgãos profissionais de mais alto nível.
Os fatores que levamos em conta incluem:
- se há uma boa razão para estabelecer o instituto
- se as atividades são regulamentadas ou não regulamentadas
- se a organização já existe de alguma forma
- a natureza de qualquer trabalho que fornece para outras organizações
- a relevância e a natureza do apoio das organizações existentes
- se o instituto oferece treinamento levando a suas próprias qualificações
- se o instituto oferece treinamento ou atividades que apoiem qualificações fornecidas por outros órgãos, como universidades ou faculdades
- se as atividades do instituto são apoiadas ou associadas a atividades realizadas por um órgão governamental, uma organização independente estabelecida no campo ou uma organização de financiamento
Para apoiar sua aplicação, obtenha as opiniões de um ou mais órgãos relevantes e inclua uma cópia de sua resposta com seu aplicativo. Todas as aplicações são consideradas por seus méritos. Mas, se você não é um órgão estabelecido, você pode querer considerar a opção de se registrar com um nome diferente e se candidatar mais tarde.
Pensamos que poderíamos atender às condições, mas a questão era como demonstrar conformidade. Como sempre, estar em conformidade é uma coisa, demonstrar conformidade é outra. Éramos uma organização estabelecida, mas já usamos a palavra em nosso nome. No entanto, não éramos uma empresa registrada em qualquer jurisdição. O Instituto SABSA era um conceito, não uma entidade registrada. Analisamos a possibilidade de registro em outras jurisdições, mas no final decidimos que o registro no Reino Unido forneceria a marca mais forte. Também decidimos fazer o registro como Empresa de Interesse Comunitário, para demonstrar nosso compromisso de ser exatamente isso – uma empresa de propriedade da Comunidade SABSA em benefício da comunidade. As características de uma CIC são que não pode haver propriedade privada de ações, nem dividendos pagos aos proprietários e que os ativos da empresa estão bloqueados de modo que não possam ser transferidos para ganho privado. Existe um regulador de CICs que impõe essas regras além dos requisitos normais de conformidade da empresa. Foi perfeito para perceber nossas intenções.
Acabou por ser uma colina íngreme para escalar. Os Fundadores desenvolveram nossa estratégia durante 2009/2010. Escrevi um plano de negócios detalhado que foi concluído e aprovado internamente em outubro de 2010. Então tivemos que ganhar apoio de “um ou mais órgãos relevantes”. Escrevi cartas para universidades onde tínhamos contatos, empresas de treinamento onde o treinamento sabsa estava sendo oferecido, e organizações corporativas usando SABSA. Submetemos nosso primeiro pedido em outubro de 2010, mas essa tentativa falhou. A peça que faltava era o apoio de um departamento do governo. Eu me aproximei da GCHQ porque sabíamos que eles estavam cientes da SABSA. Eles foram cautelosos, porque não podem ser vistos a favor publicamente de um método de segurança ou produto sobre outro. Após muitas trocas de e-mails durante um longo período de 2011/2012, finalmente recebemos carta de apoio para a formação do Instituto assinada por um vice-diretor. Essa era a chave. Desta vez, tivemos sucesso em nossa aplicação. O Instituto SABSA CIC foi registrado como empresa privada limitada por garantia sem capital social em 11 de março de 2013. Ufa! Sim, conseguimos. Agora, o trabalho duro começaria a construir o Instituto como uma entidade operacional.
Você deve ter notado que a lista de datas acima inclui o Prêmio Dos Fundadores de Matt Whelan. Matt foi um dos Fundadores do Instituto e um dos principais atores no desenvolvimento. Devemos muito a ele, mas nosso querido amigo infelizmente faleceu após uma longa doença em 2014. Comemoramos ele e sua contribuição com este prêmio para a melhor submissão do exame sabsa practitioner em cada ano. O prêmio é 500 libras. “Melhor” não significa necessariamente as notas mais altas. O julgamento inclui a contribuição da família Whelan e o prêmio vai para o exame que o painel acredita que Matt teria considerado “melhor” com fatores como: realização contra as probabilidades, inovação, criatividade e até possivelmente um senso de humor na adversidade. Os quatro vencedores do prêmio até agora foram distribuídos globalmente, o que também teria agradado Matt:
2014: MZ Omarjee, África do Sul
2015: Michael Kitsisa, Gana
2016: Andy Wall, Reino Unido
2017: Michael Price, Nova Zelândia
Em 2014, no congresso SABSA World na Irlanda, nomeamos um grupo de novos diretores para fortalecer a equipe de gestão e trazer novas ideias para o Instituto. Tínhamos conseguido a incorporação, tanto como CIC como com a palavra Instituto aprovado para o nosso nome empresarial. Tínhamos um plano de negócios desenvolvido para atingir esse objetivo de incorporação. Agora era hora de implementar o plano e precisávamos de mais recursos humanos. O Conselho de Curadores (como agora designamos o conselho de administração) foi recrutado por seleção pessoal por David e por mim. Escolhemos deliberadamente um grupo que representasse a natureza internacional do Instituto e a natureza diversificada dos setores industriais nos quais a SABSA é utilizada. Nem todos que convidamos aceitaram aceitaram, mas então terminamos com um Conselho de nove Curadores/Diretores cobrindo o mundo de língua inglesa.
Nos últimos anos, desenvolvemos uma estreita aliança de trabalho com o Grupo Aberto. Participamos de projetos conjuntos e trabalhamos juntos em direção a objetivos comuns. Este ano recebemos um prêmio deles pela organização que havia feito parceria efetiva com o Grupo Aberto. Continuamos buscando alianças com outras organizações com objetivos semelhantes, onde o trabalho conjunto pode agregar valor a ambas as partes.
Então aqui estamos em 2018. Este ano tem visto uma grande quantidade de novas atividades para promover os objetivos dos Fundadores. Recrutamos mais alguns diretores para o Conselho de Curadores. Cada membro do Conselho assume a responsabilidade de liderar uma ou mais áreas de desenvolvimento – tanto do SABSA IP quanto da capacidade operacional do Instituto. Nosso portal web recém-lançado fornece as capacidades técnicas para as pessoas se juntarem como membros oficiais e contribuir para este programa de desenvolvimento. Os cursos da Fundação SABSA agora incluem uma adesão paga do primeiro ano no Instituto. E as assinaturas de membros em andamento fornecerão um fluxo de receita para apoiar o desenvolvimento futuro. Nosso cronograma de publicações é agressivo, e prevemos crescimento contínuo e forte interesse internacional.
Isso lhe deu um breve histórico até agora. Continuamos a aventura, focada no engajamento com nossa comunidade, nosso futuro e o contínuo surgimento da SABSA como padrão global e estrutura para arquitetura de segurança.