Formação de
Gestores e Especialistas
em Segurança da Informação
Alex FeleolPós-GraduandoMBA em Gestão de Segurança da Informação
Formação de
Gestores e Especialistas
em Segurança da Informação
3
Agenda
ConceitoDesafios do Profissional de SegurançaPerfil do Profissional de Segurança
ConhecimentosValoresRedes Sociais
Como obter conhecimentoFormação e CertificaçõesEntidades de classeNetworking
segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção.
seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio]
ConceitoO que é Segurança?
5
Desafios do Profissional
Associar segurança ao negócio
Segurança deve permitir a adoção de novas tecnologias que sejam úteis ao negócioUso de tecnologias de segurançaLegislação e ComplianceAuditoriaSegurança FísicaLevar segurança ao usuário final
6
Desafios do Profissional
Segurança para os usuários finaisNormalmente, são considerados o “elo mais fraco”
Alvos de Engenharia Social, SPAM eMalwares (vírus, vermes e phishing scam)
“Ataque interno” é uma preocupação constanteEnvolve treinamento e atividadesde conscientizaçãoExige capacidade de comunicação
7
Desafios: Carreira em Y
CSO
Gerente
Analista
Administrador
Consultor
Ex
pe
riê
nc
ia
8
Desafios: Perfis principais
Gestor
• Foco no Negócio• Gestão de Equipes• Normas e Processos
Especialista
• Foco na Tecnologia• Gestão de
Ferramentas• Procedimentos
9
Desafios: Títulos e Cargos
Alguns cargos, títulos e funções comuns no mercado:
Security specialistSecurity auditorSecurity consultantSecurity administratorSecurity analystSecurity engineerWeb security managerDirector of securityManager of securityChief privacy officerChief risk officerChief Security Officer (CSO)Chief Information Security Officer (CISO)
10
Desafios: Títulos e Cargos
Média salarial dos profissionais de segurança da informação
CargoSalário (R$)
Júnior Pleno Sênior
Analista de segurança de informações 4.406,00 4.588,00 6.488,33
Analista segurança de sistemas 4.500,00 6.000,00 7.000,00
Gerente de segurança de sistemas sr. 11.060,00 12.192,00 14.333,00
Fonte: http://info.abril.com.br/professional/salarios/
11
Desafios: Vagas em aberto…
Exemplo (Lista SecurityGuys)Analista de Segurança da Informação Sr ou Pl.
O profissional deve ter no mínimo 3 anos de experiência na área de Segurança em TI, preferencialmente conhecimento profundo em ambiente Windows, fundamental conhecimentos em ferramentas de segurança como: Firewall, VPN, IDS, AV entre outrosLocal de trabalho: Rio de Janeiro - CapitalForma de contratação: PJ ou CLTInteressados favor enviar CV para (...)
12
Exemplo (Lista SecurityGuys - http://securityguys.com.br/)Especialista em segurança da informação pleno
Pleno conhecimento de TCP/IP;Pleno conhecimento de redes virtuais (VPN);Pleno conhecimento de firewalls iptables, CheckPoint e pf.Certificação CCSA ou CCSE desejável;Pleno conhecimento de proxies squid, NetCache e BlueCoat;Pleno conhecimento de redes Microsoft, Active Directory, Domain Controler, LDAP, NTLM;Pleno conhecimento de Linux, Unix. Certificação LPI ou CompTIA desejável;Plena capacidade de redigir documentos técnicos do mais alto padrão para superar as expectativas dos clientes;Capacidade de trabalhar em equipe de forma colaborativa;Buscar obter e compartilhar conhecimento mutuo entre integrantes da equipe;Prioridade em ser comprometido, participando de todas as atividades com outras equipes de infraestrutura;Pleno conhecimento de Gerencia de Projeto, utilizando praticas PMI;Conhecimento de Cobit e ITIL;Inglês avançado.Regime CLT.
Tecnologia
Negócios
Desafios: Vagas em aberto…
13
Perfil
Em sua maioria, os profissionais tem origem e formação de duas formas distintas:
TécnicaProfissionais de TI
SuporteDesenvolvimento
Ex-HackersAdministrativa
Processos / Auditoria / LegislaçãoElaboração de Políticas e ProcessosAnálise de Riscos
14
Perfil
Principais características do profissional
Formação acadêmicaGraduação e Pós-Graduação
Conhecimentos técnicosS.O., Hardware, Rede, Ferramentas, Tecnologias e Normas
Certificações ProfissionaisEntidades de Classe e Fabricantes de Tecnologia
Domínio da Língua InglesaE de preferência de um terceiro idioma
Características pessoais
15
Perfil
Principais características pessoaisÉticaTrabalhar sob pressãoAceitar desafiosCapacidade de negociação
3a Pesquisa Módulo-PUC:“Dentre as características pessoais de maior importância estão o discernimento para lidar com informações conforme o seu grau de sigilo (41,18%), a integração com diversos grupos de trabalho (31%) e a rigidez no cumprimento de normas (14,15%)”
16
Perfil: Ética Profissional
Comportamento ético é muito importante na profissão
Cargos de confiançaAcesso a informações sigilosasParticipação de investigações e sindicâncias internas
Cuidado com a imagem Atuar eticamentePostura ética: mensagens em listas de discussão, Orkut, etc.
17
Perfil: Códigos de Ética
Netiqueta (RFC1855) http://www.faqs.org/rfcs/rfc1855.html
Código de ética do ISC2https://www.isc2.org/cgi/content.cgi?category=12 Protect society, the commonwealth, and the infrastructure. Act honorably, honestly, justly, responsibly, and legally. Provide diligent and competent service to principals. Advance and protect the profession.
18
Perfil: Redes Sociais
Como se relacionar no mundo online?
Sem o devido cuidado, qualquer texto ou mensagem pode ser armazenado indefinidamente e interpretado de diversas formas no futuro.
19
Perfil: Redes Sociais
O seu perfil pode ser avaliado a qualquer momento
20
Perfil: Redes Sociais
O seu perfil pode ser avaliado a qualquer momento
21
Perfil: Redes Sociais
O seu perfil pode ser avaliado a qualquer momento
22
Obtendo conhecimentoComo começar?
No início, busque conhecimentoCentenas de sites e milhares de artigos de qualidade na InternetLivros especializados em segurançaParticipe de Associações e Grupos de discussão
Aplique segurança no seu negócio e no seu dia-a-dia
Trabalhe como voluntárioInteraja com a área de segurança da sua empresa
23
GraduaçãoFornece a base para entender segurança
Tecnologia da informaçãoMatemáticaAdministraçãoDireito
Pós-Graduação em SegurançaFoco em Gestão
MBA em Gestão de Segurança da informaçãoFoco em Tecnologia
Pós-Graduação em Segurança em Redes GNU-Linux e Software Livre
Obtendo conhecimentoFormação acadêmica
24
Auto-EstudoPortais de Segurança www.cert.org Cursos e eventos de Segurança www.sans.org Academia de Segurança Microsoft www.technetbrasil.com.br/academia
• Intel Next Generation Centerwww.nextgenerationcenter.com
• Grupos de Estudo (SP, BH e DF)www.yahoogroups.com/group/cisspbr-sp
• Fóruns de Discussão especializados
www.yahoogroups.com/group/cisspbr
Obtendo conhecimentoOutras formas?
25
Vendors: Certificações em que os fabricantes (vendors) atestam o conhecimento específico em sua tecnologia ou produto.
Vendor-Neutral: Certificações em que associações atestam o conhecimento em conceitos ou habilidades, sem relacionar tecnologias ou produtos.
Obtendo conhecimentoCertificações em Segurança
26
CISSP - Certified Information System Security Professionalhttp://www.isc2.org/
SSCP - Systems Security Certified Practitionerhttp://www.isc2.org/
CIW - Security Professionalhttp://www.ciwcertified.com/
GSEC - GIAC Security Engineerhttp://www.giac.org/
RSA Certified Security Professional (CSE/CA/CI)http://www.rsa.com/
CompTIA Security+http://www.comptia.org/
CCSA - Check Point Certified Security Administratorhttp://www.checkpoint.com/
CCSE - Check Point Certified Security Engineerhttp://www.checkpoint.com/
MCSE - Microsoft Certified Systems Engineer: Securityhttp://www.microsoft.com/brasil/certifique
CISA - Certified Information Systems Auditorhttp://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=9
Obtendo conhecimentoCertificações em Segurança
27
CCSP - Cisco Certified Security Professionalhttp://www.cisco.com/
NSCP - Network Security Certified Professionalhttp://www.nscpcertification.org/
SCNA - Security Certified Network Architecthttp://www.securitycertified.net/
SCNP - Security Certified Network Professionalhttp://www.securitycertified.net/
TICSA - TruSecure ICSA Certified Security Associatehttp://ticsa.trusecure.com/
ISFS (Information Security Foundation Based on ISO/IEC 27002)http://www.exin-exams.com/Exams/Exam%20program/ISO%20IEC%2027000/ISFS.aspx
CISM – Certified Information Security Managerhttp://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=10
LPIC – Linux Professional Institute Certifiedhttp://www.lpibrasil.com.br/
RHCSS - Red Hat Certified Security Specialisthttp://www.redhat.com/certification/
CEH - Certified Ethical Hackerhttp://www.eccouncil.org/ceh.htm
Obtendo conhecimentoCertificações em Segurança
28
Referências diversasISSA: www.issa.org e www.issabrasil.orgISACA: www.isaca.org SANS Institute: www.sans.org ISC2:www.isc2.orgCERT/CC: www.cert.org cert.br, Cartilha do CERT.BR: cartilha.cert.brAcademia Latino-Americana de Segurança da Informação:www.technetbrasil.com.br/academia Módulo Security: www.modulo.com.br CSO Online: www.csoonline.comcompTIA: www.comptia.org Grupo de Estudos para a certificação CISSP: br.groups.yahoo.com/group/cisspbr-sp/Lista SecurityGuys: http://www.yahoogroups.com/group/securityguys Lockabit: http://www.lockabit.coppe.ufrj.br/Securenet: http://www.securenet.com.brSpecial Publication 800-100: Information Security Handbook: A Guide for Managershttp://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf (ISC)2’s Career Guide: https://www.isc2.org/careerguide/default.aspx Principais ferramentas de segurança de rede : http://www.insecure.org/tools.html(ISC)2’s Resource Guide for Today’s Information Security Professional : www.isc2.org/resourceguide
29
Novo Desafio: Segurança na Nuvem
Cloud Security Alliance: “Security Guidance for Critical Areas of Focus in Cloud Computing”
Section I. Cloud Architecture Domain 1: Cloud Computing Architectural Framework
Section II. Governing in the CloudDomain 2: Governance and Enterprise Risk ManagementDomain 3: Legal and Electronic DiscoveryDomain 4: Compliance and Audit Domain 5: Information Lifecycle Management Domain 6: Portability and Interoperability
Section III. Operating in the CloudDomain 7: Traditional Security, Business Continuity, and Disaster RecoveryDomain 8: Data Center OperationsDomain 9: Incident Response, Notification, and Remediation Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity and Access Management Domain 13: Virtualization
(http://www.cloudsecurityalliance.org/)
30
31
Agradecimentos
Sérgio Dias, CISSP, Security+, MCSE: SecurityAccount Technology StrategistSymantec
César Borges, EspecialistaProfessorMBA em Gestão de Segurança da Informação
VocêsParticipantesCurso de Segurança da Informação
Top Related