Insight fundamental do Estudo da Força de Trabalho Global em Segurança da Informação 2011 (GISWS)

Transcrição

1 INTRODUÇÃO EVOLUINDO NA COMPLEXA PAISAGEM DE SEGURANÇA ATUAL Com a rápida evolução do cenário global de segurança da informação, empresas e agências do governo passaram a adotar novas tecnologias que pouquíssimos usuários realmente entendem. M E M B E R BENEFITS Isto é um grande problema. Embora a influência de mídias sociais, o maior uso de tecnologia móvel e a transição para novos modelos de negócio, como computação em nuvem, possam ser positivos, o nível de exposição que isso traz ao seu negócio representa um risco considerável. Um número cada vez maior de clientes, fornecedores, parceiros e funcionários está acessando as suas informações e, dessas novas formas, modificando o modo como a empresa protege seus ativos. Em poucas palavras, entender a nova dinâmica minimiza os perigos potenciais. É, basicamente, uma questão de compreender, prever e prevenir ameaças futuras à segurança. Felizmente, existe uma solução. Membros do (ISC) 2 A Força-Motriz em Segurança A segurança da informação transcende a tecnologia e toca no próprio cerne da sua empresa, através das pessoas que operam no seu ambiente. Como a maioria das violações de segurança é decorrente de erros humanos, nenhum software ou hardware pode se comparar a um indivíduo com as credenciais (ISC) 2. Nossos membros credenciados têm o conhecimento, as habilidades e os talentos necessários para desenvolver, projetar e implementar políticas e procedimentos de segurança inteligente. Em resumo, os atributos que você precisa para ter sucesso. Insight fundamental do Estudo da Força de Trabalho Global em Segurança da Informação 2011 (GISWS) - Vulnerabilidades de aplicativos, serviços para dispositivos móveis e em nuvem estão entre as maiores ameaças do momento para os profissionais de SI (segurança da informação). - Em 2010, existiam 2,2 milhões de profissionais em segurança da informação no mundo inteiro e o número deverá praticamente duplicar até 2015, de acordo com as projeções. - Membros do (ISC) 2 informam que recebem salários 25% mais altos que aqueles de não são membros. UMA VISÃO GERAL DE O (ISC) 2 - International Information Systems Security Certification Consortium, que anteriormente consistia em diversas associações individuais que uniram forças em 1989, é um grupo global, sem fins lucrativos, conhecido por uma formação internacional de primeira linha e certificações Padrão da Indústria. Nosso foco principal está em desenvolver um padrão aceito no setor para a prática de segurança da informação em todas as suas formas. Os membros do (ISC) 2 protegem os ativos de informação, a arquitetura de segurança da informação e os processos de tecnologia e comerciais das empresas, para que elas operem sem falha. Atualmente, o (ISC) 2 continua fornecendo produtos, serviços e credenciais Padrão da Indústria com neutralidade em relação a fornecedores em mais de 135 países. Temos grande orgulho de nossa reputação imaculada, baseada na confiança, integridade e profissionalismo que conquistamos ao longo dos anos. De fato, a credibilidade do (ISC) 2 supera todas as outras certificações do setor. Nosso forte núcleo de especialistas do setor apaixonados pelo que fazem, combinado com mais de membros credenciados, cria uma frente sólida para a inovação e a visão na área de segurança da informação. Administrado por um Conselho de Diretores eleito por seus membros, o (ISC) 2 é composto por uma equipe global dos principais profissionais de segurança da informação e é gerenciado por uma equipe profissional que trabalha junto com os Conselhos Consultivos regionais e locais para abordar todos os novos problemas de segurança da informação com todo o zelo possível. Esta abordagem multifacetada permite que os membros do (ISC) 2 conquistem os mais elevados níveis de Profissionalismo e mérito em suas respectivas áreas de especialização em segurança da informação. 1

2 TRAJETÓRIA DE CARREIRA: PROGREDINDO NA SUA CARREIRA EM SEGURANÇA O (ISC) 2 fornece uma trajetória de carreira para profissionais de segurança, desde o início de suas carreiras até a aposentadoria. Oferta de uma combinação única de certificados, educação avançada, testes rigorosos e concentrações especializadas. A trajetória de carreira foi projetada para cobrir um amplo leque de cargos em segurança da informação. Se você é do tipo que gosta de aprender na prática, as credenciais sugeridas para seu aperfeiçoamento profissional serão muito diferentes daquelas sugeridas para um candidato que pretenda buscar um cargo de gestão ou governança. A figura abaixo foi criada para ajudá-lo a determinar a certificação mais adequada para você. Profissional certificado de ciclo de vida de software seguro Os membros do (ISC) 2 estão na linha de frente do dinâmico setor de segurança da informação atual. Pessoas interessadas em buscar uma carreira em segurança da informação e empregadores que procuram funcionários capacitados devem entrar em contato com o (ISC) 2. Para mais informações, visite REQUISITOS DA NORMA ISO/IEC O (ISC) 2 foi a primeira entidade certificadora em segurança da informação a atender aos requisitos da Norma ISO/IEC 17024, um padrão global para avaliação e credenciamento de pessoal. Até hoje, todas as credenciais (ISC) 2 foram emitidas de acordo com este padrão, tornando o programa de credenciamento do (ISC) 2 uma obrigatoriedade na comunidade de negócios internacional. 2

3 COMPÊNDIO DE TÓPICOS DE SEGURANÇA DA INFORMAÇÃO O (ISC) 2 CBK é um resumo de tópicos relevantes para profissionais de segurança de aplicativos e informação do mundo inteiro. O (ISC) 2 CBK é o padrão aceito no setor, tema de muitos livros escritos sobre segurança da informação e o centro de programas universitários de segurança da informação em vários países. O CBK continua sendo atualizado anualmente pelos Comitês de CBK do (ISC) 2, formado por membros de diversos setores e regiões do mundo inteiro, para refletir os tópicos mais atuais e relevantes requeridos para a prática na área. O (ISC) 2 usa os Domínios CBK para avaliar o nível de domínio em segurança da informação de um candidato. Domínios de credenciais do (ISC) 2 são extraídos de vários tópicos do (ISC) 2 CBK. Cada credencial contém os seguintes domínios: Domínios do CBK do SSCP (Profissional de Certificação em Segurança de Sistemas) 1. Controles de acesso 2. Operações de segurança e administração 3. Monitoramento e análise 4. Risco, resposta e recuperação Domínios do CBK do CAP (Profissional de Autorização Certificado) 1. Entender a autorização de segurança dos sistemas de informação 2. Categorizar sistemas de informação 3. Estabelecer os parâmetros de controle da segurança Domínios do CBK do CISSP (Profissional Certificado em Segurança de Sistemas de Informação) Os Domínios do CBK de Concentrações de CISSP consistem nos seguintes: 5. Criptografia 6. Redes e comunicações 7. Códigos e atividades maliciosas 4. Aplicar controles de segurança 5. Avaliar controles de segurança 6. Autorizar sistemas de informação 7. Monitorar controles de segurança Domínios do CBK do CSSLP (Profissional Certificado de Ciclo de Vida de Software Seguro) 1. Conceitos de software seguro 5. Testes de software seguro 2. Requisitos de software seguro 6. Aceitação de software 3. Design de software seguro 7. Implantação, operações manutenção 4. Implementação/codificação de software seguro e descarte de software 1. Controles de acesso 2. Segurança de telecomunicações e rede 3. Governança de segurança da informação e gerenciamento de riscos 4. Segurança de desenvolvimento de software 5. Criptografia CISSP-ISSAP (Profissional em Arquitetura de Segurança em Sistemas da Informação) 1. Sistemas e metodologia de controle de acesso 2. Segurança de telecomunicações e rede 5. Criptografia 4. Análise de arquitetura de segurança CISSP-ISSEP (Profissional em Engenharia de Segurança em Sistemas de Informação) 1. Engenharia de segurança de sistemas 2. Estrutura de certificação e credenciamento (C&A)/Gerenciamento de riscos (RMF) CISSP-ISSMP (Profissional em Gestão de Segurança em Sistemas de Informação) 1. Práticas de gerenciamento de segurança 2. Segurança no desenvolvimento de sistemas 3. Gerenciamento de conformidade de segurança 6. Arquitetura e design de segurança 7. Segurança de operações 8. Planejamento de continuidade dos negócios e recuperação de desastres 9. Legislação, regulamentos, investigações e conformidade 10. Segurança física (ambiental) 5. Planejamento da continuidade de negócios baseada em tecnologia (BCP) e planejamento para recuperação de desastres (DRP) 6. Considerações sobre segurança física 3. Gerenciamento técnico 4. Políticas e provisões relacionadas à segurança da informação do Governo dos EUA 4. Entender o Planejamento da Continuidade de Negócios (BCP) e Planejamento de Recuperação de Desastres (DRP) 5. Legislação, investigações, técnicas forenses e ética Para mais informações sobre os tópicos de CBK exigidos para cada programa de certificação, faça o download de um Boletim de Informações do Candidato de 3

4 CÓDIGO DE ÉTICA Todos os profissionais de segurança da informação certificados pelo (ISC) 2 reconhecem que tal certificação é um privilégio que deve ser conquistado e mantido. Em apoio a este princípio, todos os membros devem se comprometer a apoiar totalmente o Código de Ética do (ISC) 2. Os membros que violarem qualquer disposição do Código de Ética estarão sujeitos a medidas adotadas por um painel de análise por colegas, que podem resultar na revogação de um certificado. O Código de Ética fornece confiança sobre o caráter, a capacidade, as qualidades ou a confiança de um membro do (ISC) 2, e oferece um alto nível de confiança, durante as tratativas com um membro. M E M B E R BENEFITS Quatro princípios fundamentais formam o Código de Ética, e diretrizes adicionais são fornecidas para cada um deles. Embora esta diretriz possa ser considerada pelo Conselho ao julgar um comportamento, ela é aconselhável, mas não obrigatória. Seu objetivo é ajudar os profissionais a identificar e resolver dilemas éticos inevitáveis vivenciados durante suas carreiras em segurança da informação. Por necessidade, esta diretriz de alto nível não visa substituir o julgamento ético do profissional. Introdução do Código de Ética A segurança da sociedade, dever para com nossos principais (empregadores, fornecedores, pessoas para as quais trabalhamos) e uns com os outros requer que adotemos e demonstremos ter adotado os mais altos padrões éticos de comportamento. Portanto, a estrita adoção deste Código é uma condição para a certificação. Princípios do Código de Ética Proteger a solução, a nação e a infra-estrutura. Agir com honra, honestidade, justiça, responsabilidade e em conformidade com as leis. Fornecer serviços diligentes e competentes aos nossos principais. Avançar e proteger a profissão. Objetivos para as Diretrizes O Comitê está ciente de sua responsabilidade em: Fornecer orientação para a resolução de dilemas do tipo bom x bom e ruim x ruim. Incentivar o comportamento correto, como pesquisas, ensino, identificação, aconselhamento e suporte a candidatos à profissão e valorização do certificado. Desencorajar comportamentos como dar margem a incertezas desnecessárias, oferecer conforto inapropriado ou garantias, consentir com práticas condenáveis, conectar sistemas fracos à rede pública e associação profissional com não-profissionais, amadores ou criminosos. Esses objetivos são fornecidos apenas para fins de informação; os profissionais não são obrigados a concordar com eles, nem se espera que o façam. Ao fazer as opções com as quais for confrontado, o profissional deve ter em mente que a diretriz é apenas um conselho. A conformidade com a diretriz não é necessária ou suficiente para a conduta ética. A conformidade com a introdução e os princípios é obrigatória. Conflitos entre os princípios devem ser resolvidos de acordo com a sua ordem. Os princípios não são iguais, e os conflitos entre eles não visam estabelecer obrigações éticas. Para mais informações sobre o Código de Ética do (ISC) 2, visite No (ISC) 2, temos o compromisso de ajudar na promoção da formação de profissionais de segurança da informação em todas as áreas de sua profissão. Após a conquista do seu credenciamento (ISC) 2, é necessário seguir um programa de educação continuada para garantir a manutenção da sua credencial. Para manter uma credencial (ISC) 2, todos os membros devem acumular créditos em Educação Profissional Continuada (CPE), anualmente. O número de CPEs necessário tem como base o tipo de credenciais do profissional. Os créditos de CPE dividem-se em categorias, como créditos de Grupo A ou créditos de Grupo B, dependendo de como as atividades associadas relacionam-se ao domínio para cada certificado. Créditos do Grupo A servem para atividades diretamente ligadas ao domínio. Os Créditos do Grupo B são para atividades fora do domínio, mas ainda assim melhoram as habilidades e competências profissionais gerais do membro. 4

5 EDUCAÇÃO PROFISSIONAL CONTINUADA No (ISC) 2, temos o compromisso de ajudar na promoção da formação de profissionais de segurança em todas as áreas de sua profissão. Após a conquista do seu credenciamento (ISC) 2, é necessário seguir um programa de educação continuada para garantir a manutenção da sua credencial. M E M B E R BENEFITS Para manter uma credencial (ISC) 2, todos os membros devem acumular créditos em Educação Profissional Continuada (CPE), anualmente. O número de CPEs necessário tem como base o tipo de credenciais do profissional. Os créditos de CPE dividem-se em categorias, como créditos de Grupo A ou créditos de Grupo B, dependendo de como as atividades associadas relacionam-se ao domínio para cada certificado. Créditos do Grupo A servem para atividades diretamente ligadas ao domínio. Os Créditos do Grupo B são para atividades fora do domínio, mas ainda assim melhoram as habilidades e competências profissionais gerais do membro. Credencial Período de certificação de três anos Mínimo anual (obrigatório) Apenas Grupo A Grupo A (mínimo para período de certificação de três anos) Grupo B Opcional (para máximo, ver abaixo) Total requerido (por período de certificação de três anos) SSCP CAP CSSLP CISSP ISSAP ISSEP ISSMP Durante seus períodos completos de certificação de três anos subsequentes para essas concentrações, 20 dos 120 CPEs já exigidos para o certificado subjacente de CISSP devem ser na área específica de concentração. Por exemplo, se um CISSP prestou o exame de concentração de ISSEP e foi aprovado, ele deverá solicitar que pelo menos 20 das 120 horas totais requeridas para se candidatar ao certificado de CISSP estejam na área específica de engenharia. Requisitos de indicação para CPE Associado indicado pelo (ISC) 2 Grupo A Total (por ano) Associado do (ISC) 2 trabalhando para o SSCP Associado do (ISC) 2 trabalhando para o CAP Associado do (ISC) 2 trabalhando para o CSSLP Associado do (ISC) 2 trabalhando para o CISSP

6 EDUCAÇÃO PROFISSIONAL CONTINUADA Os créditos de CPE têm peso por atividade. Abaixo, apresentamos categorias comuns de atividades e o número de créditos conquistados com cada uma. Tipicamente, você conquistará um crédito de CPE para cada hora de investimento em uma atividade educacional. Contudo, algumas atividades valem mais créditos, devido à profundidade do estudo ou ao nível de dedicação que ela exige. Em geral, não são atribuídos créditos de CPE para atividades realizadas no local de trabalho. Comparecimento a cursos e seminários didáticos/de treinamento Comparecimento a congressos do setor - Eventos do Security Leadership Series Events do (ISC) 2 são oferecidos sem custo ou com desconto para os membros. Visite para localizar um evento perto de você. Comparecimento em Reuniões de Associação Profissional Comparecimento em Apresentações Educacionais de Fornecedores Conclusão de curso acadêmico de nível superior Oferta de treinamento em segurança Publicação de um artigo ou livro sobre segurança Trabalho voluntário no Conselho de uma Organização Profissional de Segurança Estudo autônomo por treinamento via computador, Webcasts ou Podcasts - O (ISC) 2 oferece as seguintes oportunidades de CPE gratuitas aos seus membros: Webinars de Mesa Redonda sobre Liderança em Segurança ThinkTanks( Série de Seminários e-simpósios ( SecurityTALK ( Leitura de um livro/revista sobre segurança da informação, como - O periódico do (ISC) 2 - Revista InfoSecurity Professional Resenha de livro de aplicativo ou segurança da informação Trabalho voluntário para governo, setor público e outras organizações de caridade Redigir questões de teste para um exame do (ISC) 2 elaboração de itens Abrir uma Seção do (ISC) 2 Controlar livros de registro e auditorias de horas de CPE O auditor de CPE do (ISC) 2 executa auditorias aleatórias de créditos de CPE reivindicados. Se você for selecionado para uma auditoria, receberá instruções por relativas à documentação necessária para comprovar suas atividades. É preciso responder a esta solicitação e fornecer essas informações com a maior exatidão, conforme instruções, no prazo de 90 dias. Seus créditos de CPE serão publicados no prazo de 30 dias da aprovação da documentação. Não é preciso fornecer prova das atividades de crédito de CPE ao (ISC) 2 no ato da entrega. Contudo, você deve reter as provas dos créditos conquistados durante um período mínimo de 12 meses após o término de seu ciclo anterior de certificação. A prova dos créditos conquistados pode ser na forma de transcrições do curso, diplomas recebidos, certificados ou recibos de comparecimento, anotações de pesquisas/preparatórias para pronunciamentos ou aulas ministradas, cópias de atas oficiais de reuniões ou listas de chamada ou documentação de inscrição. Para cursos on-line que não fornecem nenhum dos itens acima, uma imagem de tela é suficiente. Para créditos de CPE por livros e/ou revistas, você deverá reter a prova de posse, como o próprio livro ou revista, um recibo de compra, fatura ou registro da biblioteca. No mínimo, sua prova deverá incluir o título e, no caso de livros, o autor e número ISBN; no caso de revistas, a editora. A aceitação de uma resenha de livro pelo (ISC) 2 também se constituirá em prova suficiente, mesmo na ausência de outra prova. Para mais informações sobre CPEs e orientações detalhadas, visite O (ISC) 2 é a maior entidade de afiliação sem fins lucrativos de profissionais credenciados em segurança da informação do mundo, com mais de membros em mais de 135 países. Com reconhecimento global como Padrão da Indústria, o (ISC) 2 emite a certificação CISSP (Certified Information Systems Security Professional - Profissional Certificado em Segurança de Sistemas de Informação) e concentrações relacionadas, assim como os credenciamentos de CSSLP (Certified Secure Software Lifecycle Professional Profissional Certificado de Ciclo de Vida de Software Seguro), CAP (Certified Authorization Professional Profissional Certificado em Autorização) e SSCP (Systems Security Certified Practitioner - Profissional Certificado de Segurança de Sistemas). As credenciais do (ISC) 2 foram uma das primeiras credenciais em segurança da informação a atender aos rígidos requisitos da Norma ISO/IEC 17024, um padrão global para avaliação e credenciamento de pessoal. O (ISC) 2 também oferece programas de formação e serviços baseados em seu CBK, um compêndio de tópicos em segurança da informação. Informações adicionais estão disponíveis em International Information Systems Security Certification Consortium, Inc. Todos os direitos reservados. 6 ISC.1 (03/12)