quarta-feira, fevereiro 17, 2010

Generalismo versus Especialização




Estava lendo o (excelente) blog do Sandro Süffert, mais especificamente esse post: 7 (ou mais) Conceitos em Seguranca alem da Confidencialidade, Disponibilidade e Integridade e me deparei com um problema que eu sinto todos os dias: Desafio Intelectual e Generalismo versus Especialização:

"Dan Geer defende que a segurança seja uma das profissões que exigem um maior desafio intelectual no planeta. Segundo ele, o conhecimento basilar em segurança chegou a um ponto em que novos profissionais e/ou estudiosos não conseguirão ser generalistas verdadeiramente competentes - e por isto a unica opção que eles possuem é a especialização cada vez maior.

Sobre a classificação de informações e controle a aplicações e dados críticos:

* Se você não sabe nada, 'permit-all' é a única opção;
* Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
* Se você sabe tudo, somente aí o 'default-deny' se torna possível."


Realmente, com a quantidade de informações disponíveis hoje, está cada vez pior ser um generalista. O profissional da área de segurança tem que decidir mais cedo qual a especialização deve seguir. O post The 10 Coolest Information Security Careers poderá ajudar na sua decisão, caso esteja pensando em atuar na área.


O que eu recomendo:

- Aprenda inglês: a melhor e maior documentação (se ela existir) está em inglês. Se for para investir em algum curso, faça aulas de inglês;

- Goste de estudar: se você não gosta de ler e estudar, e estudar MUITO, repense se essa é a área que você quer seguir. Você terá que estudar e ler o tempo todo, e o que você aprendeu ontem pode mudar totalmente amanhã;

- Seja autoditada: você aprenderá mais por conta própria do que em cursos. Os cursos podem até te dar uma visão superficial sobre um determinado assunto, mas você terá que se aprofundar por conta própria;

- Participe do máximo de eventos da área que puder: eventos são ótimos para reciclagem, aprender coisas novas, descobrir algo que antes você nunca tinha ouvido falar;

- Assista a vídeos dos eventos: se não puder participar dos eventos, muitos publicam os vídeos e as apresentações. Já citei antes que você terá que estudar muito ?

- Tenha foco: você nunca irá conseguir saber tudo sobre tudo, é a questão do generalismo x especialização. Descubra o que você gosta de fazer e foque nisso: hoje a área de segurança da informação está dividida em muitas áreas distintas (thanks @ivocarvi):
1. Normativos e governança
2. Tratamento de incidentes
3. Pesquisa de vulnerabilidades em redes e sistemas
4. Implementação técnica de segurança em redes, sistemas e perímetros (firewalls, IDS/IPS, VPN, analisadores de conteúdo, HIDS, hardening, etc).
5. Pesquisas em novas tecnologias (ferramentas, produtos, etc)
6. Pesquisas diversas na área (tendências, novos ataques, honeypots, darknets, etc).


Alguém tem mais alguma dica? Por favor, use os comentários.

quarta-feira, fevereiro 10, 2010

CISSP

Demorei para postar, mas agora vai: passei na prova de certificação do CISSP - Certified Information Systems Security Professional.



Para quem não conhece, o CISSP é uma das mais cobiçadas certificações de segurança da informação, não só no Brasil mas também no mundo. Ele é emitido e mantido pelo consórcio ISC2 (International Information Systems Security Certification Consortium), fundado com o objetivo de estabelecer critérios para avaliar profissionais que trabalham com segurança da informação.

Apesar de eu ter feito a prova em dezembro de 2009, o resultado demorou em torno de um mês para sair, e após receber o e-mail com o resultado positivo, não basta apenas passar na prova, levou mais um mês para questões de envio de documentação. Existem
alguns requisitos para se tornar CISSP, como:

- Possuir um mínimo de 5 anos de experiência de trabalho em regime full-time na área de segurança em 2 ou mais dos 10 domínios do CBK (Common Body of Knowledge);

- Comprovar a experiência profissional e aceitar o código de ética CISSP;

- Responder algumas questões na inscrição sobre o seu histórico criminal;

- Passar no exame CISSP com uma pontuação de 700 pontos ou mais. O exame é de múltipla escolha, consistido de 250 questões com quatro alternativas cada, e deve ser concluída num período de até 6 horas (acredite, você vai precisar de todo esse tempo);

- Ter a sua qualificação endossada por outro profissional certificado.


O CBK (Common Body of Knowledge) é dividido em 10 dominios:

- Access Control
- Application Security
- Business Continuity and Disaster Recovery Planning
- Cryptography
- Information Security and Risk Management
- Legal, Regulations, Compliance and Investigations
- Operations Security
- Physical (Environmental) Security
- Security Architecture and Design
- Telecommunications and Network Security

O material é vasto, e demanda bastante tempo. O livro mais conhecido sobre o assunto é o All-in-One, da Shon Harris. Além do material oficial da ISC2, simulados na internet, forums, grupo de estudos, etc.




Em 2008 eu já havia pensado em realizar essa certificação, porém comecei a estudar mesmo no período de abril até dezembro de 2009.

Um bom resumo sobre a certificação CISSP pode ser vista aqui: http://www.cccure.org/flash/intro/player.html.

Como já disse o meu amigo Marcos, não acho que pessoas certificadas são melhores profissionais que pessoas não certificadas, mas as certificações ajudam muito na carreira profissional e o aprendizado durante o estudo pode ser mais válido do que a própria certificação. E eu encarei essa certificação como um desafio pra mim, visto que precisei estudar muito. E aprendi muito, estudo nunca é tempo perdido. E a certificação veio como recompensa dessa dedicação.