Formação de

Gestores e Especialistasem Segurança da Informação

Alex FeleolPós-GraduandoMBA em Gestão de Segurança da Informação

Formação de

Gestores e Especialistasem Segurança da Informação

3

Agenda

ConceitoDesafios do Profissional de SegurançaPerfil do Profissional de Segurança

ConhecimentosValoresRedes Sociais

Como obter conhecimentoFormação e CertificaçõesEntidades de classeNetworking

segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção.

seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio]

ConceitoO que é Segurança?

5

Desafios do Profissional

Associar segurança ao negócio

Segurança deve permitir a adoção de novas tecnologias que sejam úteis ao negócioUso de tecnologias de segurançaLegislação e ComplianceAuditoriaSegurança FísicaLevar segurança ao usuário final

6

Desafios do Profissional

Segurança para os usuários finaisNormalmente, são considerados o “elo mais fraco”

Alvos de Engenharia Social, SPAM eMalwares (vírus, vermes e phishing scam)

“Ataque interno” é uma preocupação constanteEnvolve treinamento e atividadesde conscientizaçãoExige capacidade de comunicação

7

Desafios: Carreira em Y

CSO

Gerente

Analista

Administrador

Consultor

Exp

eri

ên

cia

8

Desafios: Perfis principais

Gestor• Foco no Negócio• Gestão de Equipes• Normas e Processos

Especialista• Foco na Tecnologia• Gestão de

Ferramentas• Procedimentos

9

Desafios: Títulos e Cargos

Alguns cargos, títulos e funções comuns no mercado:

Security specialistSecurity auditorSecurity consultantSecurity administratorSecurity analystSecurity engineerWeb security managerDirector of securityManager of securityChief privacy officerChief risk officerChief Security Officer (CSO)Chief Information Security Officer (CISO)

10

Desafios: Títulos e Cargos

Média salarial dos profissionais de segurança da informação

CargoSalário (R$)

Júnior Pleno Sênior

Analista de segurança de informações 4.406,00 4.588,00 6.488,33

Analista segurança de sistemas 4.500,00 6.000,00 7.000,00

Gerente de segurança de sistemas sr. 11.060,00 12.192,00 14.333,00

Fonte: http://info.abril.com.br/professional/salarios/

11

Desafios: Vagas em aberto…

Exemplo (Lista SecurityGuys)Analista de Segurança da Informação Sr ou Pl.

O profissional deve ter no mínimo 3 anos de experiência na área de Segurança em TI, preferencialmente conhecimento profundo em ambiente Windows, fundamental conhecimentos em ferramentas de segurança como: Firewall, VPN, IDS, AV entre outrosLocal de trabalho: Rio de Janeiro - CapitalForma de contratação: PJ ou CLTInteressados favor enviar CV para (...)

12

Exemplo (Lista SecurityGuys - http://securityguys.com.br/)Especialista em segurança da informação pleno

Pleno conhecimento de TCP/IP;Pleno conhecimento de redes virtuais (VPN);Pleno conhecimento de firewalls iptables, CheckPoint e pf.Certificação CCSA ou CCSE desejável;Pleno conhecimento de proxies squid, NetCache e BlueCoat;Pleno conhecimento de redes Microsoft, Active Directory, Domain Controler, LDAP, NTLM;Pleno conhecimento de Linux, Unix. Certificação LPI ou CompTIA desejável;Plena capacidade de redigir documentos técnicos do mais alto padrão para superar as expectativas dos clientes;Capacidade de trabalhar em equipe de forma colaborativa;Buscar obter e compartilhar conhecimento mutuo entre integrantes da equipe;Prioridade em ser comprometido, participando de todas as atividades com outras equipes de infraestrutura;Pleno conhecimento de Gerencia de Projeto, utilizando praticas PMI;Conhecimento de Cobit e ITIL;Inglês avançado.Regime CLT.

Tecnologia

Negócios

Desafios: Vagas em aberto…

13

Perfil

Em sua maioria, os profissionais tem origem e formação de duas formas distintas:

TécnicaProfissionais de TI

SuporteDesenvolvimento

Ex-HackersAdministrativa

Processos / Auditoria / LegislaçãoElaboração de Políticas e ProcessosAnálise de Riscos

14

Perfil

Principais características do profissional

Formação acadêmicaGraduação e Pós-Graduação

Conhecimentos técnicosS.O., Hardware, Rede, Ferramentas, Tecnologias e Normas

Certificações ProfissionaisEntidades de Classe e Fabricantes de Tecnologia

Domínio da Língua InglesaE de preferência de um terceiro idioma

Características pessoais

15

Perfil

Principais características pessoaisÉticaTrabalhar sob pressãoAceitar desafiosCapacidade de negociação

3a Pesquisa Módulo-PUC:“Dentre as características pessoais de maior importância estão o discernimento para lidar com informações conforme o seu grau de sigilo (41,18%), a integração com diversos grupos de trabalho (31%) e a rigidez no cumprimento de normas (14,15%)”

16

Perfil: Ética Profissional

Comportamento ético é muito importante na profissão

Cargos de confiançaAcesso a informações sigilosasParticipação de investigações e sindicâncias internas

Cuidado com a imagem Atuar eticamentePostura ética: mensagens em listas de discussão, Orkut, etc.

17

Perfil: Códigos de Ética

Netiqueta (RFC1855) http://www.faqs.org/rfcs/rfc1855.html

Código de ética do ISC2https://www.isc2.org/cgi/content.cgi?category=12 Protect society, the commonwealth, and the infrastructure. Act honorably, honestly, justly, responsibly, and legally. Provide diligent and competent service to principals. Advance and protect the profession.

18

Perfil: Redes Sociais

Como se relacionar no mundo online?

Sem o devido cuidado, qualquer texto ou mensagem pode ser armazenado indefinidamente e interpretado de diversas formas no futuro.

19

Perfil: Redes Sociais

O seu perfil pode ser avaliado a qualquer momento

20

Perfil: Redes Sociais

O seu perfil pode ser avaliado a qualquer momento

21

Perfil: Redes Sociais

O seu perfil pode ser avaliado a qualquer momento

22

Obtendo conhecimentoComo começar?

No início, busque conhecimentoCentenas de sites e milhares de artigos de qualidade na InternetLivros especializados em segurançaParticipe de Associações e Grupos de discussão

Aplique segurança no seu negócio e no seu dia-a-dia

Trabalhe como voluntárioInteraja com a área de segurança da sua empresa

23

GraduaçãoFornece a base para entender segurança

Tecnologia da informaçãoMatemáticaAdministraçãoDireito

Pós-Graduação em SegurançaFoco em Gestão

MBA em Gestão de Segurança da informaçãoFoco em Tecnologia

Pós-Graduação em Segurança em Redes GNU-Linux e Software Livre

Obtendo conhecimentoFormação acadêmica

24

Auto-EstudoPortais de Segurança www.cert.org Cursos e eventos de Segurança www.sans.org Academia de Segurança Microsoft www.technetbrasil.com.br/academia

• Intel Next Generation Centerwww.nextgenerationcenter.com

• Grupos de Estudo (SP, BH e DF)www.yahoogroups.com/group/cisspbr-sp

• Fóruns de Discussão especializados

www.yahoogroups.com/group/cisspbr

Obtendo conhecimentoOutras formas?

25

Vendors: Certificações em que os fabricantes (vendors) atestam o conhecimento específico em sua tecnologia ou produto.

Vendor-Neutral: Certificações em que associações atestam o conhecimento em conceitos ou habilidades, sem relacionar tecnologias ou produtos.

Obtendo conhecimentoCertificações em Segurança

26

CISSP - Certified Information System Security Professionalhttp://www.isc2.org/

SSCP - Systems Security Certified Practitionerhttp://www.isc2.org/

CIW - Security Professionalhttp://www.ciwcertified.com/

GSEC - GIAC Security Engineerhttp://www.giac.org/

RSA Certified Security Professional (CSE/CA/CI)http://www.rsa.com/

CompTIA Security+http://www.comptia.org/

CCSA - Check Point Certified Security Administratorhttp://www.checkpoint.com/

CCSE - Check Point Certified Security Engineerhttp://www.checkpoint.com/

MCSE - Microsoft Certified Systems Engineer: Securityhttp://www.microsoft.com/brasil/certifique

CISA - Certified Information Systems Auditorhttp://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=9

Obtendo conhecimentoCertificações em Segurança

27

CCSP - Cisco Certified Security Professionalhttp://www.cisco.com/

NSCP - Network Security Certified Professionalhttp://www.nscpcertification.org/

SCNA - Security Certified Network Architecthttp://www.securitycertified.net/

SCNP - Security Certified Network Professionalhttp://www.securitycertified.net/

TICSA - TruSecure ICSA Certified Security Associatehttp://ticsa.trusecure.com/

ISFS (Information Security Foundation Based on ISO/IEC 27002)http://www.exin-exams.com/Exams/Exam%20program/ISO%20IEC%2027000/ISFS.aspx

CISM – Certified Information Security Managerhttp://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=10

LPIC – Linux Professional Institute Certifiedhttp://www.lpibrasil.com.br/

RHCSS - Red Hat Certified Security Specialisthttp://www.redhat.com/certification/

CEH - Certified Ethical Hackerhttp://www.eccouncil.org/ceh.htm

Obtendo conhecimentoCertificações em Segurança

28

Referências diversasISSA: www.issa.org e www.issabrasil.orgISACA: www.isaca.org SANS Institute: www.sans.org ISC2:www.isc2.orgCERT/CC: www.cert.org cert.br, Cartilha do CERT.BR: cartilha.cert.brAcademia Latino-Americana de Segurança da Informação:www.technetbrasil.com.br/academia Módulo Security: www.modulo.com.br CSO Online: www.csoonline.comcompTIA: www.comptia.org Grupo de Estudos para a certificação CISSP: br.groups.yahoo.com/group/cisspbr-sp/Lista SecurityGuys: http://www.yahoogroups.com/group/securityguys Lockabit: http://www.lockabit.coppe.ufrj.br/Securenet: http://www.securenet.com.brSpecial Publication 800-100: Information Security Handbook: A Guide for Managershttp://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf (ISC)2’s Career Guide: https://www.isc2.org/careerguide/default.aspx Principais ferramentas de segurança de rede : http://www.insecure.org/tools.html(ISC)2’s Resource Guide for Today’s Information Security Professional : www.isc2.org/resourceguide

29

Novo Desafio: Segurança na Nuvem

Cloud Security Alliance: “Security Guidance for Critical Areas of Focus in Cloud Computing”

Section I. Cloud Architecture Domain 1: Cloud Computing Architectural Framework

Section II. Governing in the CloudDomain 2: Governance and Enterprise Risk ManagementDomain 3: Legal and Electronic DiscoveryDomain 4: Compliance and Audit Domain 5: Information Lifecycle Management Domain 6: Portability and Interoperability

Section III. Operating in the CloudDomain 7: Traditional Security, Business Continuity, and Disaster RecoveryDomain 8: Data Center OperationsDomain 9: Incident Response, Notification, and Remediation Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity and Access Management Domain 13: Virtualization

(http://www.cloudsecurityalliance.org/)

30

31

Agradecimentos

Sérgio Dias, CISSP, Security+, MCSE: SecurityAccount Technology StrategistSymantec

César Borges, EspecialistaProfessorMBA em Gestão de Segurança da Informação

VocêsParticipantesCurso de Segurança da Informação