GUIA DAS CERTIFICAÇÕES DE SEGURANÇA DA INFORMAÇÃO

Transcrição

1 GUIA DAS CERTIFICAÇÕES DE SEGURANÇA DA INFORMAÇÃO

2 Introdução...3 O que é uma Certificação de Segurança de Informação?...6 Por que são tão valorizadas pelo mercado brasileiro?...8 Principais certificações Conclusão Sobre a Alerta Security... 27

3 INTRODUÇÃO

4 INTRODUÇÃO O profissional de TI especializado em segurança digital tornou-se um dos mais procurados do mercado. Ele é aquele capaz de criar normas para manter infraestruturas digitais eficientes, disponíveis e com um baixo nível de vulnerabilidade. Além disso, a sua rotina inclui testes regulares para avaliar a capacidade de sistemas em bloquear ataques e impedir o acesso não autorizado a recursos internos. 4

5 INTRODUÇÃO Nesse cenário, destacar-se é crucial. Para isso, o especialista da área deve investir em estratégias como a participação em cursos, fóruns de conhecimento e a leitura de trabalhos acadêmicos. Mas, para validar o seu conhecimento em alguma atividade ou tecnologia, a melhor abordagem é o investimento em uma certificação de segurança da informação. Para te auxiliar a passar por esse processo e se informar sobre as mais importantes certificações do mercado, preparamos este e-book. Nele, damos informações valiosas sobre as principais certificações de segurança da informação que o mercado procura. Boa leitura! 5

6 O QUE É UMA CERTIFICAÇÃO DE SEGURANÇA DE INFORMAÇÃO?

7 O QUE É UMA CERTIFICAÇÃO DE SEGURANÇA DE INFORMAÇÃO? O Certificado de Segurança da Informação é um documento que valida os conhecimentos de um profissional em uma determinada área de atuação. Ele é emitido por uma empresa especializada no ramo por meio de uma prova que avalia a capacidade que o especialista em TI possui para lidar com os desafios diários do setor. Cada certificação possui um conjunto de regras para ser obtida. Além da prova, o órgão emissor pode exigir outras certificações e até mesmo experiência comprovada na área, o que restringe a emissão apenas para os profissionais mais qualificados do ramo. 7

8 POR QUE SÃO TÃO VALORIZADAS PELO MERCADO BRASILEIRO?

9 POR QUE SÃO TÃO VALORIZADAS PELO MERCADO BRASILEIRO? O setor de segurança da informação está entre as principais áreas da tecnologia em que certificações são vistas como um diferencial para o profissional que busca uma vaga de emprego. Elas não só valorizam o currículo do especialista, mas também servem como um atestado de conhecimento e experiência em uma área especifica. 9

10 POR QUE SÃO TÃO VALORIZADAS PELO MERCADO BRASILEIRO? No mercado brasileiro, a certificação em segurança digital é um fator decisivo para vários negócios. A norma 17/IN01/DSIC/GSIPR (Atuação e adequações para profissionais da área de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal), que foi criada e publicada pelo Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GIS/PR), deu a todos os servidores públicos que atuam na área o dever de se empenhar em obter certificações profissionais. A norma 17/IN01/DSIC/GSIPR serve como um documento de referência para quem pretende trabalhar no setor público. Ela direciona a escolha por certificações na área de Segurança da Informação, classificando cada certificado de acordo com o seu conteúdo e a reputação da organização responsável pela emissão do documento. Seguindo essa norma, o profissional da área conseguirá uma classificação melhor em concursos públicos. 10

11 POR QUE SÃO TÃO VALORIZADAS PELO MERCADO BRASILEIRO? O desenvolvimento de soluções de computação na nuvem e o crescimento da internet como parte fundamental para vários negócios contribuíram para o aumento da pressão por políticas de segurança sólidas e confiáveis. Como consequência, o mercado de trabalho para quem atua na área ganhou força, atraindo novas pessoas e cargos com maiores salários. Mas, para destacar-se entre os outros profissionais do mercado, as certificações são de grande importância. Como a segurança digital possui um papel crítico dentro do ambiente corporativo, companhias aumentaram as exigências para a contratação de especialistas na área. Nesse sentido, a certificação tem um papel-chave. Ela auxilia o profissional a demonstrar o seu conhecimento em uma área e valida sua capacidade de trabalhar com certas rotinas de segurança digital. Para as empresas, ela facilita a contratação de um especialista com conhecimentos aliados aos objetivos do negócio. 11

12 PRINCIPAIS CERTIFICAÇÕES

13 PRINCIPAIS CERTIFICAÇÕES Obter uma certificação de segurança é um grande passo na carreira de um profissional de TI. O ideal é que o especialista foque nos principais certificados do mercado, dos quais se destacam: CISSP (CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL) A CISSP é uma certificação para profissionais que trabalham com segurança da informação que tem como foco reconhecer a capacidade técnica e administrativa de planejar, construir, implementar e gerenciar uma política de segurança digital sólida e confiável. Ela abrange 10 domínios de conhecimento: 13

14 PRINCIPAIS CERTIFICAÇÕES segurança física; desenvolvimento seguro de software; sistemas de controle de acesso; arquitetura de segurança e design; segurança de redes e telecomunicações; segurança de operações; governança de segurança da informação e gestão de redes; criptografia; plano de continuidade de negócios; leis, regulamentos, investigação e recuperação de desastres. 14

15 PRINCIPAIS CERTIFICAÇÕES Apoiada pela (ISC)², uma das principais organizações sem fins lucrativos voltadas para a melhoria da segurança digital no ambiente corporativo, a CISSP foi uma das primeiras certificações da área a atingir os requerimentos da norma ISO/IEC Além de ser um certificado que demonstra a alta capacidade do profissional de TI, esse documento é reconhecido internacionalmente pelo mercado. O exame para obter a CISSP tem duração de 6 horas, com 250 questões de múltipla escolha, que simulam desafios enfrentados diariamente pelo profissional da área. Disponível em português, é necessário acertar pelo menos 70% da prova para obter a certificação. SSCP (SYSTEMS SECURITY CERTIFIED PRACTITIONER) A SSCP é outra certificação de segurança digital apoiada pela (ISC)². Ela tem foco nos profissionais que buscam validar o seu conhecimento prático em operações diárias de segurança digital. Assim, é possível garantir a capacidade de implementar, monitorar e administrar uma infraestrutura de TI robusta com o suporte de uma política de segurança da informação e procedimentos que garantam ao usuário enviar e receber informações com segurança, integridade e disponibilidade. 15

16 PRINCIPAIS CERTIFICAÇÕES Para obtê-la, o profissional de TI deve demonstra a sua capacidade técnica de atender a demandas operacionais e executar rotinas como: testes de segurança; validação da capacidade dos sistemas em responder a tentativas de invasão; criação e implementação de políticas de autenticação robustas; detecção e prevenção de invasões; resposta a incidentes de segurança; implementação de criptografia em ambientes digitais; bloqueio de execução de códigos maliciosos. 16

17 PRINCIPAIS CERTIFICAÇÕES A SSCP também possui reconhecimento internacional. A sua prova, que dura 3 horas e tem 125 questões de múltipla escolha, exige 70% de acerto para a aprovação do profissional de TI. Ela aborda conhecimentos relacionados a: controle de acesso; administração e operação de políticas de segurança digital; identificação, monitoramento e análise de riscos; recuperação e resposta a incidentes de segurança; criptografia; segurança em redes e sistemas de comunicação digital; segurança em sistemas e aplicativos. 17

18 PRINCIPAIS CERTIFICAÇÕES CSSLP (CERTIFIED SECURE SOFTWARE LIFECYCLE PROFESSIONAL) A certificação CSSLP valida a capacidade de profissionais de TI de incorporarem boas práticas de segurança nas etapas do ciclo de desenvolvimento de software. Em outras palavras, ela garante que o desenvolvedor consiga criar ferramentas seguras e confiáveis a partir de habilidades como: criar e implementar um programa de desenvolvimento de software seguro na empresa; reduzir custos de produção de software, vulnerabilidades e atrasos na distribuição de sistemas e atualizações de segurança; aumentar a credibilidade do negócio e do seu time de desenvolvimento de software; reduzir a perda financeira e os danos de imagem caso ocorra um vazamento causado por uma falha de software. A prova da CSSLP possui 175 questões de múltipla escolha e dura quatro horas. Para ser aprovado, é necessário atingir pelo menos 700 dos 1000 pontos distribuídos em questões que envolvem temas como: 18

19 PRINCIPAIS CERTIFICAÇÕES conceitos de segurança de software; testes de segurança de software; requisições de segurança digital; design de softwares seguros; implementação e criação de um código seguro; distribuição, operação e manutenção de softwares; aquisição e gerenciamento de um software. CERTIFIED CLOUD SECURITY PROFESSIONAL (CCSP) A computação na nuvem já é uma realidade para empresas de vários setores. Para garantir que as companhias possam contratar profissionais capazes de gerenciar soluções da área com eficiência, a CCSP foi desenvolvida com o apoio da (ISC)² e a CSA (Cloud Secutiry Alliance). Essa certificação garante que o profissional de TI possui os conhecimentos necessários para manter uma infraestrutura de serviços de cloud computing confiável e robusta. Ela é adequada a pessoas cujo dia a dia envolve a gestão, o planejamento e a manutenção de soluções baseadas na nuvem. 19

20 PRINCIPAIS CERTIFICAÇÕES A prova de obtenção, que possui 125 questões de múltipla escolha e dura 4 horas, também exige 70% de acerto para aprovação. Assim como as certificações citadas anteriormente, para que o profissional possa fazer a prova é necessário comprovar ao menos cinco anos de trabalho em tempo integral em um dos campos de conhecimento contemplados pelo teste. Ela aborda temas como: requerimentos, conceitos, e design de arquiteturas de computação na nuvem; segurança de dados em computação na nuvem; segurança digital de aplicativos na nuvem; operação de serviços de cloud computing; compliance e obrigações legais. 20

21 PRINCIPAIS CERTIFICAÇÕES NSBA (NETWORK SECURITY BASIC ADMINISTRATION) A internet já desempenha um papel-chave no ambiente corporativo. Por meio dela, negócios conseguem comunicar-se com clientes e parceiros comerciais, além de criar ambientes de trabalho colaborativos e eficazes. Para que a empresa consiga contratar profissionais capazes de manter infraestruturas de comunicação eficazes, a NSBA foi criada. Para obter essa certificação, o profissional de TI deve passar por um teste de 180 minutos de duração e 60 perguntas. Para ser aprovado, é preciso acertar pelo menos 80% das questões, que envolvem áreas como: infraestrutura e topologia de redes; modelo OSI e pilhas de protocolos de comunicação e segurança digital; inglês técnico avançado; conhecimentos de TCP/IP como NetWork Address Translation, subnet, masks e endereçamento de redes; habilidades com protocolos de roteamento; familiaridade com IPSec. 21

22 PRINCIPAIS CERTIFICAÇÕES NSAA (NETWORK SECURITY ADVANCED ADMINISTRATION) Essa certificação é uma evolução da NSBA. Ela envolve conhecimentos como controle de ambientes digitais, gerenciamento de rede e resolução de problemas avançados em conexões de rede. Para obter uma certificação NSAA, é necessário ser certificado na NSBA ou uma certificação semelhante. Ela demonstra a capacidade do profissional de TI em manter uma infraestrutura de rede eficiente e trabalhar com desafios complexos. O exame para obter a certificação possui 60 questões e deve ser finalizado em até 180 minutos. A aprovação é obtida acertando pelo menos 80% das questões. Nesse caso, é necessário ter conhecimentos em temas como: filtros de conteúdo; gerenciamento de logs de uso; backup e restauração de sistemas; controle de aplicações; sistemas VoIP; NAT; testes de segurança. 22

23 PRINCIPAIS CERTIFICAÇÕES CERTIFIED ETHICAL HACKING CERTIFICATION (CEHC) Essa certificação é voltada para profissionais de TI que conheçam as técnicas para invadir e detectar vulnerabilidades em sistemas utilizando soluções de hacking conhecidas pelo mercado. A CEHC valida os conhecimentos éticos e técnicos de um profissional de TI para penetrar sistemas sem ser rastreado e executar testes de segurança digital. Em um sentido mais abrangente, esse certificado foi criado com os seguintes objetivos: definir um padrão de governança, ética e segurança digital para profissionais da área; informar a empresas que o profissional de TI possui os conhecimentos necessários para atuar no setor; reforçar a importância do hacking ético como uma profissão de grande importância para o mercado. O exame possui 125 questões de múltipla escolha, que devem ser solucionadas em até 4 horas. Além disso, é necessário possuir dois anos de experiência comprovada na área. 23

24 CONCLUSÃO

25 CONCLUSÃO O investimento na formação do profissional de TI vale para a vida toda. A tecnologia muda constantemente e, diante disso, manter-se atualizado é fundamental para garantir as melhores vagas e os maiores salários. 25

26 CONCLUSÃO Mas, independentemente do rumo que a carreira de um especialista em tecnologia pode tomar, é importante que o profissional saiba como validar os seus conhecimentos. No caso da segurança da informação, uma área que não para de crescer, isso pode ser feito por meio das certificações. Obter certificações de segurança da informação coloca o profissional da área à frente de outros especialistas do mercado em processos seletivos. Além disso, essa é uma forma de garantir, durante a abordagem de novos clientes, que o trabalho será executado dentro de padrões internacionais, com alto nível de qualidade e eficiência. Cada vez mais, a certificação em segurança da informação tem se destacado como uma necessidade para aqueles que querem ser reconhecidos como grandes profissionais de TI. Ela é o ponto básico para que alguém consiga demonstrar o seu conhecimento em um conjunto de rotinas técnicas que garantem a manutenção de sistemas eficientes, disponíveis e com baixo nível de brechas de segurança. 26

27 Fundada em 2004, a Alerta Security presta soluções e serviços relativos à segurança da informação, sendo especializada em Controle de Acesso Lógico e Monitoramento Remoto. O principal modelo de negócios da instituição é baseado no MSP (Managed Service Provider), o provedor de segurança gerenciado para empresas de alto valor agregado. Oferecemos o nosso trabalho para mais de 100 grandes grandes clientes através de uma terceirização remota da segurança de internet e firewall gerenciado. Tudo alinhado com o conceito UTM (Unified Threat Management) da Dell que, atuando junto do monitoramento remoto da plataforma Zabbix, oferece uma ótima gestão para toda a infraestrutura da rede! Para oferecer esse tipo de serviço, temos um SOC (Security Operation Center) que funciona 24h por dia e está instalado em um dos maiores Data Center do mundo. Além disso, a Alerta Security tem uma metodologia que está de acordo com o treinamento recebido por meio de parcerias com líderes mundiais como a Dell e a Zabbix. Por fim, nosso trabalho principal é B2B, mas também atuamos com o ensino de algumas práticas para profissionais que queiram se especializar. Oferecemos aulas sobre direito eletrônico e certificações relativas ao Centro de Formação Dell SonicWall e Zabbix. Também oferecemos treinamentos customizados para a sua empresa, caso ela precise de algo especializado para algum setor.