Busca
Mídias Sociais
Navegação
Novidades

Entries in Malware (6)

Terça-feira
Jul152008

O melhor dos livros ficou melhor ainda

engineering.jpg

Há 7 anos um livro capturou as atenções do mercado de segurança da informação. O livro recebeu diversas premiações e caiu até nos gostos do Rob Slade, um famoso revisor de livros que só gostou de uns 5 livros em toda a sua vida, dos 500 que ele já leu ;-) O material em questão é o Security Engineering, escrito por Ross Anderson, muitas vezes chamado de "Bruce Schneier" inglês. Ross é considerado a maior autoridade no assunto, além de ser um profissional de reconhecimento internacional. Ele é professor na Universidade de Cambridge e foi responsável pelo desenvolvimento do Serpent, um algorítimo criptográfico que ficou em segundo lugar no concurso internacional que escolheu o Rijndael como sucessor do DES.

Passado todo esse tempo, eu recebi nesta semana a segunda edição, que está disponível também em encadernação de capa dura. Eu teria tantas coisas importantes para falar que vou me resumir a mais importante de todas: LEIA! Todo profissional de segurança que tem um compromisso com seu próprio conhecimento deveria fazê-lo.

As informações que ele possui têm valor inestimável e eu posso lhe garantir que não existe nenhum outro livro ou sítio onde você vai encontrá-las de maneira tão precisa e concisa. O material é porta de entrada para um verdadeiro mundo de informações, contendo referências para mais de 1000 outros livros e trabalhos acadêmicos que servem de referência para um estudo mais profundo.

Para aqueles que estão se preparando para o CISSP, eu costumo recomendar este livro como leitura obrigatória. Porém, o conteúdo é muito mais abrangente do que é demandado no exame, então é necessário por um pouco de foco. Entretanto, se você tiver tempo para ler tudo, cada linha de conhecimento lhe será útil, seja no exame ou no trabalho. A princípio, o material pode assustar um pouco por sua notação científica mas, passado o período de adaptação para aqueles que não estão familiarizados, a leitura flui bem.

Confira você mesmo, alguns capítulos estão disponíveis gratuitamente no sítio do autor, além de toda a primeira edição, agora já um pouco desatualizada, mas ainda de grande valia.

Click to read more ...

Terça-feira
Abr012008

Artigos mais acessados de 2008

Compact Card Calendar por Joe Lanman

Hoje faz exatamente três meses que este blog está no ar. Certamente um período curto de tempo, mas que me deixa muito feliz por conta do resultado alcançado. Para compartilhar um pouco dessa realização com os leitores, resolvi fazer aqui um resumo de quais foram os artigos, posts e seções que foram os campeões de audiência do trimestre. Os três artigos mais acessados (e comentados) foram: Guia de Certificações em Segurança da Informação - Parte 1 - Essa série, que ainda está sendo publicada, junta em uma única fonte a maior quantidade possível de informações sobre as certificações profissionais existentes na área de segurança da informação (SI), além de fornecer dicas de preparação. A Parte 2A deste artigo também foi publicada e está disponível aqui. Resoluções de Ano Novo - Como Fazer o que Você Ama - O segundo colocado é um texto que não é de minha autoria. Ele foi traduzido a partir de um original do Paul Graham (autor do livro Hackers and Painters) e é o texto mais inspirador que eu já li sobre como dar um rumo a sua carreira profissional. Como não implementar medidas de segurança - Parte 1 - Essa série também está em publicação. Nela eu comentei alguns aspectos sobre a postura dos profissionais de SI que podem influenciar na resistência que ele enfrentará dentro da organização onde trabalha. A Parte 2 já está disponível e explica na prática como proceder com as negociações durante o processo de definição controles, também com o objetivo de diminuir resistências. Na última parte eu falarei sobre como conscientizar os usuários a respeito dos controles mas, enquanto ela não sai, há também um artigo disponível aqui sobre o assunto. Já os três posts mais acessados, com títulos auto-explicativos, foram: Explicando um deadlock com imagens de trânsito (ISC)² publica guia sobre como contratar profissionais de SI Como se preparar para o CISM Por fim, as seções mais acessadas do blog são: Livros publicados - Trabalhei como autor e organizador de três livros sobre segurança da informação, mas infelizmente os dois mais populares estão esgotados. Há planos para a publicação de uma nova edição mas, por hora, a única forma de conseguir os dois volumes do Security Officer - Guia Oficial para Formação de Gestores em Segurança da Informação é comprando de segunda mão. Uma boa dica é tentar em listas de discussão especializadas como a CISSP BR. O outro livro no qual eu trabalhei (Information Security Management Handbook) foi publicado nos EUA e pode ser encontrada nas livrarias de lá, ou em qualquer livraria especializada por aqui, como a Livraria Cultura. Artigos - Todos os artigos disponíveis no blog estão nesta seção. Você também pode usar a barra de categorias lateral para filtrar tanto artigos como posts de acordo com o tema de sua preferência. Palestras - Aqui estão todas as principais palestras que eu ministrei nos últimos dez anos. Se você gostaria de ter visto algum e perdeu, ela provavelmente deve estar aqui. Aproveito esta mensagem para agradecer as mensagens e os comentários freqüentes dos leitores e colegas que têm contribuído para enriquecer todo o conteúdo que eu publico por aqui. Grande abraço!

Click to read more ...

Terça-feira
Jan222008

Guia de Certificações em Segurança da Informação - Parte 1

A área de SI (Segurança da Informação) é carente de cursos de graduação universitária. Esse não é um fenômeno regionalizado; pode-se verificar a mesma situação em diversos países. Durante o processo de contratação é procedimento padrão avaliar a formação universitária do candidato. Dependendo da instituição onde ele estudou e do curso que ele fez, diversas suposições serão feitas a respeito de sua capacidade, mas a empresa pouco saberá sobre o conhecimento e a experiência que ele possui em SI. As certificações profissionais tentam ocupar essa lacuna. Elas formam uma ponte entre o empregador e o profissional. Vale sempre lembrar que o “empregador” é na maioria das vezes um departamento de RH (Recursos Humanos) que pouco conhece sobre o assunto, pelo menos na fase inicial do processo de contratação. Usar certificações como um filtro para a escolha dos candidatos é um caminho natural. Muitos consideram essa postura preguiçosa, ou mesmo incompetente, e afirmam que os profissionais de RH deveriam se inteirar mais sobre o assunto, evitando atitudes que possam ser consideradas discriminatórias. Porém, parafraseando o Dr. Gregory House, esperar que isso vá acontecer um dia é a mesma coisa que esperar que os cachorros parem de se lamber. Simplesmente não vai acontecer. A razão é muito simples: os profissionais de RH têm perfil generalista e são diretamente responsáveis pelo acerto ou erro da contratação. Eles sempre buscarão posturas que diminuam o risco de serem culpados por um erro no processo. Suponha que você recebeu a incumbência de comprar uma moto para sua empresa. Você não entende muito de motos, pois na realidade sua especialidade é comprar. A empresa o escolheu para a posição de comprador, pois sabe que você vai adquirir produtos de boa qualidade com custo baixo. Após uma busca na Internet, você encontra diversas opções. Se você ficar indeciso entre uma Honda e uma moto chinesa, a probabilidade de você comprar a primeira é maior. Você vê essa marca na rua, pessoas trabalhando com ela, concessionárias autorizadas e assim por diante. Você vai comprar uma Honda por pura segurança: se você comprou a marca mais conhecida do mercado e ela deu problemas, você não terá medo de ter a sua decisão questionada. Agora, se ao invés da Honda você comprou a Xing-ling 125 cilindradas, certamente te pedirão uma boa explicação. Essa é a situação pela qual passam os profissionais de RH todos os dias e essa é a razão pela qual eles utilizam mecanismos considerados preguiçosos, mas que, na realidade, são eficientes. Se ao invés de entrevistar 50 candidatos o RH entrevistar apenas 10 e conseguir um profissional que se encaixa no perfil, ele economizou uma quantia significativa e poupou muito trabalho. Existem dois estímulos importantíssimos aqui. O primeiro é a pressão por redução de custos versus entrega de resultados e o segundo é a lei do menor esforço. As pessoas sempre buscam o ponto de equilíbrio entre a melhor relação esforço/benefício. Isso vale tanto para uma tarefa como para toda uma vida. Muitos esportistas escolhem essa profissão, pois conseguem trazer e obter pra si próprios muito mais resultados do que se eles tivessem que fazer aula de cálculo num curso de ciência da computação, e vice-versa. No final, certificação profissional tem a ver com oportunidades. Existem excelentes profissionais que não possuem certificação alguma e existem profissionais certificados que são ruins. A quantidade de gente ruim vai depender da forma como a certificação é obtida e do que alguém considera eventualmente ruim. Conhecimento e experiência são apenas dois requisitos que um profissional precisa atender para arrumar um trabalho. Vários outros, como postura profissional ou habilidade de gerenciar equipes, simplesmente não são avaliados nas certificações. Se você conheceu um profissional que julgou arrogante e concluiu que ele era desse jeito por ser certificado, talvez você esteja equivocado. Pessoas com esse perfil não necessitam de títulos para apresentar esse tipo de deficiência de caráter, embora ela possa ser agravada pela obtenção de um título que o mercado considera difícil. Em resumo, se você é um bom profissional, as certificações vão te trazer mais oportunidades para mostrar isso, e se você for um profissional ruim, não há certificação que te segure em um emprego. Oportunidades são especialmente importantes quando você está em desvantagem em relação ao resto do mercado. Pode ser que você não tenha um diploma universitário, assunto que eu vou discutir abaixo, ou que você esteja em um país onde as pessoas têm idéias pré-concebidas da sua capacidade ou postura em virtude da sua nacionalidade. Algumas certificações são consideradas valiosas não só no Brasil, mas em muitos outros países. Muitos profissionais que resolvem trocar de país não iniciam sua jornada sem antes obter títulos internacionalmente reconhecidos. Algumas certificações já foram explicitamente citadas em programas de concessão de vistos para estrangeiros. O CISSP (Certified Information Systems Security Professional), por exemplo, já apareceu como desejável nos programas de imigração do Canadá e da Austrália. Mesmo que você esteja trabalhando no Brasil, pode ser que você esteja em uma multinacional e suas oportunidades estarão diretamente relacionadas à visão que seus superiores, que podem estar em outros países, têm de você. Metade dos alunos que eu recebo nos treinamentos preparatórios para o CISSP está nessa situação. Eles buscam o título para que seus pares nos outros países reconheçam sua capacidade. Adicionalmente, certificações são uma forma prática de obter conhecimento. Você põe a mão no bolso para se inscrever em uma prova e se não passar, fica com todo o prejuízo. Para muitos, isso é um ótimo estímulo para se dedicar aos estudos. Além disso, os exames costumam exigir conhecimentos importantes que nem sempre são usados freqüentemente no dia-a-dia, mas que são essências para uma formação completa. Praticamente todas as certificações em SI, com exceção do MCSO (Módulo Certified Security Officer), só estão disponíveis em inglês. Isso aumenta o nível de dificuldade para obter os títulos, mas força o candidato a obter um nível de proficiência maior no idioma de Shakespeare, item praticamente obrigatório para quem quer arrumar um bom emprego no mercado de tecnologia. Muitos acham que eu defendo certificações profissionais por prestar serviços diretamente para duas empresas que atuam nesse segmento. Quem me conhece desde o começo da carreira, porém, sabe que não é bem assim. Sempre fui um entusiasta do assunto desde sempre e hoje me sinto bastante realizado de fazer parte de instituições cujas certificações me ajudaram a chegar onde estou. Eu não tinha tempo, nem recursos, mas sabia que tinha uma capacidade boa de aprendizado e absorção de conhecimento, requisitos fundamentais para trabalhar na área de tecnologia, especialmente com consultoria e suporte, outra paixão antiga minha. As certificações me ajudaram a mostrar isso. Os profissionais que eram contratados para trabalhar nas empresas por onde passei tinham títulos universitários de renome, de instituições como a USP e a FEI. Eu simplesmente não tinha como obtê-los. Isso não significa que, em termos de formação, eu pense que uma certificação substitua um diploma universitário. Longe disso. Tanto é que na primeira oportunidade que tive me engajei na obtenção de um, em uma universidade fora do Brasil. Porém, as certificações me ajudaram a “furar” o filtro do RH num prazo mais curto e com um custo baixo. Sem isso eu jamais teria obtido o dinheiro necessário para bancar uma faculdade. Depois que eu arrumei meu primeiro emprego para trabalhar com consultoria, as certificações me permitiram ganhar espaço. Consultorias precisam de profissionais certificados para ganhar licitações ou manter o status de revenda autorizada dos fabricantes. Na prática, eu nunca desembolsei um tostão para pagar as provas. Nessas empresas costuma imperar a seguinte regra: elas pagam o valor das provas, desde que você não tenha repetido. Muitas pessoas são contra as certificações profissionais. Embora eu seja aberto a outros pontos de vista, tenho a impressão que a maioria dos contrários se encaixa em uma (ou mais) das seguintes categorias:
  • Aquele que já está inserido no mercado de trabalho, possui reconhecimento e está cheio de contatos: se você já tem uma rede de conhecidos e longa experiência no currículo em empresas de ponta, parte dos benefícios da certificação deixa de ser relevante. O filtro do RH já foi furado, provavelmente por um diploma universitário ou pela indicação de um colega.
  • Aquele que já sabe tudo: se a pessoa tem amplos conhecimentos, a idéia de usar a certificação como ferramenta de preparação perde a força.
  • Aquele que não gosta de estudar ou tem medo de fazer exames: essa é uma deficiência séria. Não gostar de absorver novos conhecimentos e não se sentir confortável para colocá-los a prova é um tipo de postura que me parece incompatível com a área de tecnologia, embora eu tenha ciência que existe muita gente nessa categoria.
Se você está lendo esse artigo, é bem provável que você nem precise ser convencido de que as certificações profissionais são algo interessante. Mas é sempre bom encontrar argumentação favorável que ajude a embasar aquilo no qual você acredita e te leve a ver a coisa por outros pontos de vista.

De onde vem o valor da certificação?

O valor da certificação vem, principalmente, da sua relação custo/benefício. Como os custos de obtenção das certificações são conhecidos, o valor vai depender bastante dos benefícios. Estes, por sua vez, dependem de uma série de fatores. Em resumo:

Reconhecimento e propósito da entidade

Há 15 anos a coqueluche do mercado de certificações técnicas eram os títulos da Novell. Depois passaram a ser os da Microsoft e, hoje em dia, a percepção de valor de ambas é bastante reduzida se comparadas ao momento de sua introdução no mercado. O problema da Novell é diferente do da Microsoft. As certificações Novell perderam espaço junto com a própria empresa. Quando um fabricante está por trás de uma certificação, o valor desta depende diretamente do tamanho da base instalada. Já a Microsoft não parou de ganhar mercado nos últimos 15 anos e mesmo assim seus títulos foram perdendo valor, demandando uma reestruturação bastante ampla com o objetivo de reverter o processo. Há um conflito de interesses inerente a todas as certificações de fabricantes que é muito difícil de resolver. O programa de certificação da Microsoft (ou da Cisco, Novell, CheckPoint, etc.) é algo irrelevante para a empresa em termos de geração de receita. Seu objetivo principal é disseminar o conhecimento sobre suas tecnologias para a maior quantidade possível de pessoas. Essa disseminação tem dois efeitos importantes. Em primeiro lugar, forma “vendedores”, pois profissionais que tenham gasto tempo e dinheiro aprendendo uma tecnologia são os maiores interessados em estimular seu uso. Em segundo lugar, quanto mais gente supostamente conhecer a tecnologia, mais barato fica para os clientes adotá-la. Porém, isso é totalmente conflitante com os interesses dos profissionais que tiram as certificações. Para a Microsoft (ou qualquer outro fabricante) e para os empregadores, quanto mais gente certificada, melhor. Já para os profissionais, mais gente certificada significa salários mais baixos. Por isso, já há muito tempo eu tenho priorizado as certificações chamadas vendor-neutral, que são mantidas por institutos cuja missão é certificar profissionais. O zelo que este tipo de instituição precisa ter com seus programas de certificação é muito maior, pois esse é, muitas vezes, seu único ganha-pão. Mencionarei nessa série de artigos algumas certificações de fabricantes, mas o foco principal serão as vendor-neutral. Além disso, as certificações de fabricantes quase sempre te obrigam a obter novos títulos toda vez que uma tecnologia fica obsoleta. Já certificações vendor-neutral possuem programas de certificação continuada, onde os certificados são renovados automaticamente, desde que os profissionais comprovem que estão atuando de maneira engajada no mercado e se reciclando. Apesar de tudo, é importante frisar também que a maioria dos fabricantes hoje tenta equilibrar ambas as necessidades através de títulos distintos. As certificações mais básicas atendem a necessidade dos fabricantes de disseminar conhecimento e as mais avançadas servem para aqueles com capacidade superior que querem se destacar das “massas”. É o caso do CCIE (Cisco Certified Internetwork Expert) ou da Architect Series da Microsoft.

Quantidade de profissionais certificados

A lei da oferta e da procura é tão clara e óbvia que deveria ser considerada uma lei da natureza. Quanto mais profissionais certificados, menor o salário pago para uma certificação. Simples assim. Obviamente, esse não é o único fator que vai determinar o salário que você vai receber, mas vai determinar o peso da certificação nesse cálculo. Dessa forma, avalie se a instituição responsável pela obtenção da certificação está preocupada com isso. Existem instituições que, para estimular a adoção de um título pelo mercado, se valem de processos conhecidos por grandfathering, onde os certificados são distribuídos através da avaliação de currículos, sem necessidade de prova, mediante o pagamento de taxas. Sou contra esse tipo de processo por diversas razões, embora tenha ciência de que algumas vezes ele pode ser feito de forma mais séria (quando a instituição, por exemplo, não aplica uma prova, mas exige uma monografia ou artigo para que o candidato mostre proficiência). A razão principal é uma questão de justiça. Nem todo mundo tem facilidade para estudar e aprender. Muitas pessoas chegam a estudar centenas de horas para obter certos títulos. Você não pode simplesmente entregar um título igual para quem não fez prova, por mais experiente que a pessoa seja. Além disso, existe outro conflito de interesses claro. Se a instituição faz um grandfathering é porque ela tem como objetivo disseminar a certificação, fazendo com que a maior quantidade possível de profissionais certificados a obtenham. Isso faz com que haja uma tendência de afrouxar a rigidez da análise dos currículos. Esse fenômeno aconteceu há alguns anos com o CISM (Certified Information Security Manager), uma certificação criada para gestores de SI. Mediante o pagamento de 500 dólares e o envio de um formulário de aplicação onde o candidato descrevia sua própria experiência, a pessoa recebia o certificado. O problema é que essa verificação deixou muito a desejar. No mercado brasileiro existem vários profissionais que possuem esse título (sem possuir nenhum outro) e que não atendem aos requisitos da certificação, que incluíam, entre outras coisas, 9 anos de experiência profissional atuando em uma posição gerencial. É de conhecimento geral que existem até mesmo técnicos que possuem esse título, o que além de caracterizar um comportamento antiético por parte do sujeito, mostra deficiências no processo de avaliação. Quando você escolher uma certificação profissional para si, verifique se a entidade responsável está preocupada em diminuir a quantidade e aumentar a qualidade das pessoas certificadas, e não o inverso.

Eficácia da avaliação

Em geral, as certificações voltadas para SI buscam avaliar os conhecimentos do candidato. A grande maioria delas faz isso através de uma prova de múltipla escolha. Uma exceção importante a essa regra são as certificações Gold e Platinum do SANS (SysAdmin, Audit, Network, Security), onde o candidato tem que entregar uma pequena monografia escrita e fazer um teste prático, respectivamente. A dificuldade das provas é uma preocupação fundamental dos institutos de certificação. Por conta disso, uma série de mecanismos de psicometria são utilizados para garantir que ela se mantenha constante ao longo dos anos. Uma abordagem comum a maioria das certificações é a utilização de provas muito longas, diminuindo a probabilidade de uma pessoa conseguir passar através da memorização pura e simples de conceitos. No caso do CISSP, são 250 perguntas em 6 horas, praticamente um vestibular. Provas deste tamanho não costumam ser aplicadas eletronicamente, pois o cansaço visual é muito grande. Além disso, manter as provas em papel facilita a proteção do sigilo das questões. Se você buscar simulados para uma certificação de um fabricante qualquer, perceberá que as questões são praticamente as mesmas que caem na prova verdadeira. É praticamente impossível controlar o vazamento das questões dos exames quando eles são aplicados em milhares de instituições diferentes ao redor do mundo. Isso não acontece com a mesma freqüência no CISA (Certified Information Systems Auditor), por exemplo. A ISACA (Information Systems Audit and Control Association), responsável pelo título, adota um processo extremamente eficaz, aplicando provas apenas uma vez por ano, em horários sincronizados, em várias cidades simultaneamente. A melhor avaliação de todas certamente é a do GSE (Global Information Assurance Certification Security Expert), certificação nível Platinum mantida pelo SANS, onde a aplicação dos conhecimentos é avaliada através de testes práticos. Isso ajuda a aumentar significativamente o prestígio do título, mas encarece bastante o processo de avaliação, conta que no final acaba sendo paga pelo candidato. O reconhecimento, porém, é imenso. Existem menos de 20 profissionais certificados em todo o mundo.

Requisitos de experiência

Muitas certificações em SI possuem requisitos de experiência profissional. Isso significa que não basta o aluno passar na prova, ele deve também ter experiência comprovada atuando em tempo integral na área durante um período específico de tempo, que para algumas certificações pode chegar a 5 anos. Essa verificação é feita através de amostragem, pelos próprios institutos ou por empresas terceirizadas. Em alguns casos, profissionais já certificados, que são os maiores interessados em evitar que um novo candidato minta a respeito da sua experiência, podem ser chamados para ajudar no processo. Você encontrará profissionais no mercado que não possuem o tempo de experiência necessário, pois mentiram em seus formulários e tiverem a sorte de não serem pegos pela auditoria. Porém, quase todos os institutos possuem um canal para denúncias, e essas pessoas podem perder a certificação a qualquer momento caso irregularidades sejam constatadas.

Códigos de Ética

Na grande maioria dos países não existe uma entidade de representação de classe responsável por regulamentar o mercado profissional de SI. Por conta disso, os institutos de certificação tentam, mesmo que de maneira tímida, estabelecer códigos básicos de conduta cujo cumprimento é obrigatório. Os chamados Códigos de Ética tentam também resolver um problema de ordem prática muito comum. Como as funções relacionadas a SI são críticas e seus profissionais têm acesso a informações de caráter confidencial, muitas empresas ficam receosas de buscar gente no mercado. Eu costumo treinar pelo menos 300 profissionais por ano. Por conta disso, recebo muitos pedidos para preencher vagas de trabalho de empresas que estão em busca de profissionais bons (e baratos). Entretanto, na grande maioria das vezes, as empresas querem alguém de “confiança”, que eu conheça e possa recomendar, e não me autorizam a divulgar a vaga. Obviamente, eu não tenho como "confiar" em todos os meus alunos. Posso atestar sua capacidade intelectual e dar algumas impressões a respeito da sua postura, e só. Na prática, isso acaba criando uma barreira muito grande ao primeiro emprego na área. Muitos querem trabalhar com segurança, muitas empresas precisam de gente, mas esses dois anseios não se encaixam por uma preocupação excessiva (e compreensível) por parte dos empregadores. Elas acabam sendo preenchidas por profissionais que já trabalham nas empresas, mas em outras áreas, ou por indicações que nunca chegam aos classificados de emprego dos jornais. A situação já melhorou bastante se analisarmos o cenário de 5 anos atrás, mas o problema ainda existe. Os Códigos de Ética são uma tentativa de fazer essa interface. Eles comunicam aos empregadores que os profissionais certificados estão sujeitos a um código de conduta, cujo principal efeito prático é tentar dar mais segurança na contratação.

Tipos de certificações disponíveis

Considerando todas as certificações vendor-neutral disponíveis, é possível classificá-las em dois grupos: genéricas ou específicas. Genéricas são aquelas que passam uma formação geral sobre SI para os candidatos. Específicas tratam de um tema de maneira mais aprofundada, como continuidade de negócios, auditoria ou perícia forense. Se você não possui certificação alguma, talvez seja melhor começar por títulos genéricos. Eles certamente vão abrir muito mais portas do que certificações específicas. O mercado de SI não é tão grande como gostaríamos e as certificações específicas às vezes estão voltadas para nichos bem delineados, onde costuma ser muito difícil arrumar emprego sem uma boa rede de contatos ou ampla experiência prévia. Porém, as certificações específicas cobrem os assuntos em maior profundidade. Se você tem uma paixão por determinada área e gostaria de aprender bastante sobre ela, talvez elas sejam a sua melhor escolha. Vale lembrar que as certificações genéricas são mais conhecidas. É comum ver vagas para continuidade de negócios ou perícia forense onde os empregadores pedem certificações genéricas como o MCSO ou o CISSP. Quem contrata, muitas vezes, sequer sabe que existem títulos específicos para cada uma dessas áreas.

Os institutos de certificação

Conhecer um pouco do histórico do instituto responsável pela certificação que você quer obter ajuda a compreender quais são seus pontos fracos e fortes, além de seus nichos de atuação.

(ISC)²

O International Information Systems Security Certification Consortium, ou simplesmente (ISC)² é, provavelmente, o instituto de certificação com o maior nome que existe ;-) Ele costuma ser chamado também de ISC2, com a pronúncia em inglês ou português, ou o nome mais correto, que seria ISC ao quadrado ou ISC squared, no equivalente em inglês. Fundado em 1989 por diversas outras entidades de peso, como a ISSA (Information Systems Security Association) e o CSI (Computer Security Institute), ele é o líder inquestionável no mercado de certificações profissionais voltadas para SI. Atualmente, existem mais de 45 mil profissionais certificados em mais de 120 países. Pergunte para qualquer profissional de SI em qualquer parte do mundo qual é a primeira certificação profissional que vem a sua cabeça e a pessoa dirá que é o CISSP, principal certificação do instituto. Os primeiros profissionais certificados no Brasil obtiveram seus títulos na segunda metade dos anos 90. O primeiro latino-americano certificado foi o Alberto Bastos, sócio-fundador da Módulo. Quando eu passei no exame, em 2000, apenas 13 pessoas possuíam o título por aqui. A partir de 2004, eu trouxe, enquanto trabalhava na Hitech/Etek, os primeiros seminários realizados para o continente latino-americano e desde então o título começou a se popularizar, se tornando a certificação mais cobiçada também no mercado brasileiro.

ISACA

A ISACA (Information Systems Audit and Control Association) tem uma peculiaridade que a difere dos outros institutos de certificação para o mercado de SI, que é o fato dela ser um misto de associação profissional com instituto de certificação. Além de oferecer certificações para o mercado, oferece também serviços típicos de uma associação profissional, que podem ser desfrutados por aqueles que possuem ou não seus títulos. Bem mais antiga que o (ISC)², a ISACA foi fundada em 1967. Seus programas educacionais foram estabelecidos em 1976 e desde então ela alcançou a impressionante marca de 70 mil profissionais certificados em 140 países, presença essa existente também de maneira física através dos seus capítulos locais. A ISACA, historicamente, sempre foi uma associação focada na área de auditoria de sistemas de informação e acumula uma excelente imagem neste segmento, especialmente no setor bancário. Nos últimos anos, ela começou a enveredar por algumas outras áreas, notadamente SI e Governança de TI (Tecnologia da Informação). Essa postura chegou a gerar um mal estar entre a associação e o (ISC)², que já era líder no segmento quando a ISACA resolveu criar o CISM, uma certificação voltada para Gestores de SI. A contra argumentação foi justamente o fato do título estar focado unicamente em gestores, enquanto que o CISSP tinha um caráter mais abrangente, podendo ser obtido também por técnicos e consultores, embora esse não seja seu foco principal.

SANS

Pela própria definição do nome (SysAdmin, Audit, Network, Security) já é possível perceber que o SANS possui um foco mais técnico. Embora o escopo de atuação da organização hoje seja significativamente mais amplo, é entre o pessoal “mão na massa” que o título desfruta de maior respeito e reconhecimento. O SANS possui mais de uma dezena de certificações profissionais, o que chega a gerar certa confusão nos candidatos que planejam obtê-los. Além disso, recentemente, eles implantaram dois caminhos possíveis para cada uma das certificações, com o objetivo de aumentar a quantidade de profissionais certificados. Profissionais que apenas fazem os exames e passam, recebem títulos Silver. Já aqueles que enviam uma monografia sobre o tema para avaliação, recebem o título Gold. O SANS possui um número de profissionais certificados bem inferior ao do (ISC)² ou da ISACA, embora tenha sido fundado em 1989. Cerca de 20 mil profissionais possuem as certificações do SANS, menos da metade do número do (ISC)². Há uma razão para isso: obter certificações do SANS é mais difícil que obter certificações do (ISC)² ou da ISACA. A necessidade da monografia sempre foi uma barreira muito grande. Candidatos que não têm o domínio necessário para escrever em inglês ficavam arrepiados só de pensar no assunto. Ciente disso, o SANS decidiu eliminar a monografia, o que gerou uma onda imensa de protestos, cujo resultado foi a divisão dos títulos entre Gold (com a tradicional monografia) e Silver (apenas com exame). Desde então, o número de profissionais certificados vem crescendo de maneira mais expressiva. O SANS é o líder mundial de treinamentos na área. Cerca de 12 mil profissionais passam pelos seus cursos todos os anos, o que faz dele não só um instituto de certificação, mas uma grande fonte de pesquisa para a área.

CompTIA

A CompTIA é a maior fornecedora de certificações vendor-neutral para o mercado de TI. Fundada em 1993, já certificou mais de 1 milhão de profissionais em mais de 100 países. Sua oferta de certificações em TI é bastante ampla, mas para a área de SI há apenas um título disponível, chamado Security+. Tecnicamente, entretanto, o título é muito mais focado em segurança computacional do que SI em geral. As certificações da CompTIA contam com grande reconhecimento internacional, nem sempre equivalente ao reconhecimento provido pelo mercado brasileiro. O Security+, além de ser pouco conhecido, é amplamente considerado pelo mercado como um título para iniciantes, tanto aqui quanto no exterior. Porém, é uma excelente opção para aqueles que não possuem experiência profissional, pois o título não possui este tipo de exigência. Muitos o escolhem como uma caminho de entrada.

Módulo

A Módulo é a líder incontestável do mercado de SI brasileiro. Em seus mais de 25 anos de atuação, a empresa se estabeleceu como um dos principais provedores de serviços e soluções, o que lhe permitiu expandir sua atuação para outros países e nichos de mercado relacionados, como Governança, Gestão de Riscos e Compliance. No ano 2000, a empresa introduziu no mercado a certificação MCSO, usando como referência as principais certificações de SI disponíveis no mercado internacional. Desde então, a certificação sofreu diversas atualizações e se consolidou como sendo o título em SI mais popular do Brasil, com mais de 600 pessoas certificadas. Ainda hoje, o MCSO é a única opção disponível para quem quiser fazer uma prova de certificação em português. Essa característica ajudou bastante na disseminação do título nas mais diversas regiões brasileiras, além de contar com a simpatia dos profissionais que trabalham na administração pública. Recentemente, o colega Gilberto Netto escreveu em uma recomendação feita no meu perfil do LinkedIn que, somente no Serpro, mais de 40 pessoas possuem a certificação. Além disso, a iniciativa nacional é recebida com simpatia em licitações governamentais. É comum o título aparecer como requisito para prestadores de serviço, equiparado a outros de reconhecimento internacional, como o CISSP e o CISA.

Próximos artigos

Essa série contará com mais dois artigos que serão lançados nas próximas semanas. A Parte 2 cobrirá de maneira mais específica quais são as certificações disponíveis no mercado brasileiro, quais os requisitos de cada uma delas, custos, formas de preparação disponíveis e opções de carreira. A Parte 3, que será o artigo final, falará sobre técnicas de estudo. Vejo entre o pessoal que eu treino que muitos simplesmente não conhecem nenhum método eficaz de estudos. Começam a estudar super motivados mas, depois de um tempo, o volume de informações passa a ser muito grande, a capacidade de reter conhecimentos vai caindo, eles começam a estudar de novo coisas que viram duas semanas atrás, até que vão reduzindo o ritmo e param, com uma sensação velada de frustração ou mesmo de incapacidade. Se você quer saber como as técnicas de estudo podem mudar definitivamente essa história, acompanhem as atualizações deste blog via RSS ou e-mail (usando a caixa newsletter na barra de navegação). Caso você tenha perguntas para este ou para os próximos artigos, coloque-as na seção de comentários e eu tentarei incluir o máximo possível de informações nas próximas revisões.

Click to read more ...

Terça-feira
Jan222008

Nova revista canadense sobre segurança

Security Matters - Fall 2007

Foi lançada no Canadá a revista Security Matters, focada em conteúdo para profissionais de segurança. Sua assinatura é gratuita para residentes nos EUA e Canadá. Se você quer receber este tipo de publicação no Brasil sem pagar fortunas pela assinatura, o melhor macete é usar um serviço como o SkyBox. Com ele, você ganha um endereço nos EUA e, tudo que for entregue lá, eles mandam pra tua casa, cobrando apenas o envio (e os impostos, claro ;-). Porém, livros, revistas e periódicos são isentos de tributação.

Click to read more ...

Quinta-feira
Jan102008

Concurso para encontrar o menor worm XSS

As vulnerabilidades de cross-site scripting (XSS) são, provavelmente, a maior praga do desenvolvimento de aplicações web. Além de serem usadas para uma infinidade de ataques, elas permitem que o código malicioso se propague entre sites e clientes, gerando worms poderosos de difícil detecção. Com o objetivo de identificar as características mais fundamentais deste tipo de vulnerabilidade, um pesquisador de segurança iniciou um campeonato que premiará o menor worm XSS. Já existe um na base do concurso com "impressionantes" 292 bytes de tamanho. Qual será o tamanho do vencedor? Diminutive XSS Worm Replication Contest

Click to read more ...