Formação de

Gestores e Especialistas

em Segurança da Informação

Alex FeleolPós-GraduandoMBA em Gestão de Segurança da Informação

Formação de

Gestores e Especialistas

em Segurança da Informação

Autor: Sérgio Dias

3

Agenda

Conceito

Desafios do Profissional de Segurança

Perfil do Profissional de SegurançaConhecimentos

Valores

Redes Sociais

Como obter conhecimentoFormação e Certificações

Entidades de classe

Networking

segurança. S. f. 2. Estado, qualidade ou

condição de seguro. 3. Condição daquele ou

daquilo em que se pode . 4. Certeza,

firmeza, convicção.

seguro. [Do lat. securu.] Adj. 1. Livre de perigo.

2. Livre de ; , acautelado,

garantido. 8. Em quem se pode . 9.

Certo, indubitável, incontestável. 10. Eficaz,

eficiente. [Dicionário Aurélio]

Conceito

O que é Segurança?

5

Desafios do Profissional

Associar segurança ao negócio

Segurança deve permitir a adoção de novas tecnologias que sejam úteis ao negócio

Uso de tecnologias de segurança

Legislação e Compliance

Auditoria

Segurança Física

Levar segurança ao usuário final

6

Desafios do Profissional

Segurança para os usuários finaisNormalmente, são considerados o “elo mais fraco”

Alvos de Engenharia Social, SPAM eMalwares (vírus, vermes e phishing scam)

“Ataque interno” é uma preocupação constante

Envolve treinamento e atividadesde conscientização

Exige capacidade de comunicação

7

Desafios: Carreira em Y

CSO

Gerente

Analista

Administrador

Consultor

8

Desafios: Perfis principais

Gestor

• Foco no Negócio• Gestão de Equipes• Normas e Processos

Especialista

• Foco na Tecnologia• Gestão de Ferramentas• Procedimentos

9

Desafios: Títulos e Cargos

Alguns cargos, títulos e funções comuns no mercado:

Security specialist

Security auditor

Security consultant

Security administrator

Security analyst

Security engineer

Web security manager

Director of security

Manager of security

Chief privacy officer

Chief risk officer

Chief Security Officer (CSO)

Chief Information Security Officer (CISO)

10

Desafios: Títulos e Cargos

Média salarial dos profissionais de segurança da informação

CargoSalário (R$)

Júnior Pleno Sênior

Analista de segurança de informações 4.406,00 4.588,00 6.488,33

Analista segurança de sistemas 4.500,00 6.000,00 7.000,00

Gerente de segurança de sistemas sr. 11.060,00 12.192,00 14.333,00

Fonte: http://info.abril.com.br/professional/salarios/

11

Desafios: Vagas em aberto…

Exemplo (Lista SecurityGuys)Analista de Segurança da Informação Sr ou Pl.

O profissional deve ter no mínimo 3 anos de experiência na área de Segurança em TI, preferencialmente conhecimento profundo em ambiente Windows, fundamental conhecimentos em ferramentas de segurança como: Firewall, VPN, IDS, AV entre outros

Local de trabalho: Rio de Janeiro - Capital

Forma de contratação: PJ ou CLT

Interessados favor enviar CV para (...)

12

Exemplo (Lista SecurityGuys - http://securityguys.com.br/)Especialista em segurança da informação pleno

Pleno conhecimento de TCP/IP;Pleno conhecimento de redes virtuais (VPN);Pleno conhecimento de firewalls iptables, CheckPoint e pf.Certificação CCSA ou CCSE desejável;Pleno conhecimento de proxies squid, NetCache e BlueCoat;Pleno conhecimento de redes Microsoft, Active Directory, Domain Controler, LDAP, NTLM;Pleno conhecimento de Linux, Unix. Certificação LPI ou CompTIA desejável;Plena capacidade de redigir documentos técnicos do mais alto padrão para superar as expectativas dos clientes;Capacidade de trabalhar em equipe de forma colaborativa;Buscar obter e compartilhar conhecimento mutuo entre integrantes da equipe;Prioridade em ser comprometido, participando de todas as atividades com outras equipes de infraestrutura;Pleno conhecimento de Gerencia de Projeto, utilizando praticas PMI;Conhecimento de Cobit e ITIL;Inglês avançado.Regime CLT.

Desafios: Vagas em aberto…

13

Perfil

Em sua maioria, os profissionais tem origem e formação de duas formas distintas:

TécnicaProfissionais de TI

Suporte

Desenvolvimento

Ex-Hackers

AdministrativaProcessos / Auditoria / Legislação

Elaboração de Políticas e Processos

Análise de Riscos

14

Perfil

Principais características do profissional

Formação acadêmicaGraduação e Pós-Graduação

Conhecimentos técnicosS.O., Hardware, Rede, Ferramentas, Tecnologias e Normas

Certificações ProfissionaisEntidades de Classe e Fabricantes de Tecnologia

Domínio da Língua InglesaE de preferência de um terceiro idioma

Características pessoais

15

Perfil

Principais características pessoaisÉticaTrabalhar sob pressãoAceitar desafiosCapacidade de negociação

3a Pesquisa Módulo-PUC:“Dentre as características pessoais de maior importância estão o discernimento para lidar com informações conforme o seu grau de sigilo (41,18%), a integração com diversos grupos de trabalho (31%) e a rigidez no cumprimento de normas (14,15%)”

16

Perfil: Ética Profissional

Comportamento ético é muito importante na profissão

Cargos de confiança

Acesso a informações sigilosas

Participação de investigações e sindicâncias internas

Cuidado com a imagem Atuar eticamente

Postura ética: mensagens em listas de discussão, Orkut, etc.

17

Perfil: Códigos de Ética

Netiqueta (RFC1855) http://www.faqs.org/rfcs/rfc1855.html

Código de ética do ISC2https://www.isc2.org/cgi/content.cgi?category=12

Protect society, the commonwealth, and the infrastructure.

Act honorably, honestly, justly, responsibly, and legally.

Provide diligent and competent service to principals.

Advance and protect the profession.

18

Perfil: Redes Sociais

Como se relacionar no mundo online?

Sem o devido cuidado, qualquer texto ou mensagem pode ser armazenado indefinidamente e interpretado de diversas formas no futuro.

19

Perfil: Redes Sociais

O seu perfil pode ser avaliado a qualquer momento

20

Perfil: Redes Sociais

O seu perfil pode ser avaliado a qualquer momento

21

Perfil: Redes Sociais

O seu perfil pode ser avaliado a qualquer momento

22

Obtendo conhecimentoComo começar?

No início, busque conhecimentoCentenas de sites e milhares de artigos de qualidade na Internet

Livros especializados em segurança

Participe de Associações e Grupos de discussão

Aplique segurança no seu negócio e no seu dia-a-dia

Trabalhe como voluntário

Interaja com a área de segurança da sua empresa

23

GraduaçãoFornece a base para entender segurança

Tecnologia da informaçãoMatemáticaAdministraçãoDireito

Pós-Graduação em SegurançaFoco em Gestão

MBA em Gestão de Segurança da informação

Foco em TecnologiaPós-Graduação em Segurança em Redes GNU-Linux e Software Livre

Obtendo conhecimentoFormação acadêmica

24

Auto-EstudoPortais de Segurança

www.cert.org

Cursos e eventos de Segurançawww.sans.org

Academia de Segurança Microsoft www.technetbrasil.com.br/academia

• Intel Next Generation Center

www.nextgenerationcenter.com

• Grupos de Estudo (SP, BH e DF)www.yahoogroups.com/group/cisspbr-sp

• Fóruns de Discussão especializadoswww.yahoogroups.com/group/cisspbr

Obtendo conhecimentoOutras formas?

25

Vendors: Certificações em que os fabricantes (vendors) atestam o conhecimento específico em sua tecnologia ou produto.

Vendor-Neutral: Certificações em que associações atestam o conhecimento em conceitos ou habilidades, sem relacionar tecnologias ou produtos.

Obtendo conhecimentoCertificações em Segurança

26

CISSP - Certified Information System Security Professionalhttp://www.isc2.org/

SSCP - Systems Security Certified Practitionerhttp://www.isc2.org/

CIW - Security Professionalhttp://www.ciwcertified.com/

GSEC - GIAC Security Engineerhttp://www.giac.org/

RSA Certified Security Professional (CSE/CA/CI)http://www.rsa.com/

CompTIA Security+http://www.comptia.org/

CCSA - Check Point Certified Security Administratorhttp://www.checkpoint.com/

CCSE - Check Point Certified Security Engineerhttp://www.checkpoint.com/

MCSE - Microsoft Certified Systems Engineer: Securityhttp://www.microsoft.com/brasil/certifique

CISA - Certified Information Systems Auditorhttp://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=9

Obtendo conhecimentoCertificações em Segurança

27

CCSP - Cisco Certified Security Professionalhttp://www.cisco.com/

NSCP - Network Security Certified Professionalhttp://www.nscpcertification.org/

SCNA - Security Certified Network Architecthttp://www.securitycertified.net/

SCNP - Security Certified Network Professionalhttp://www.securitycertified.net/

TICSA - TruSecure ICSA Certified Security Associatehttp://ticsa.trusecure.com/

ISFS (Information Security Foundation Based on ISO/IEC 27002)http://www.exin-exams.com/Exams/Exam%20program/ISO%20IEC%2027000/ISFS.aspx

CISM – Certified Information Security Managerhttp://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=10

LPIC – Linux Professional Institute Certifiedhttp://www.lpibrasil.com.br/

RHCSS - Red Hat Certified Security Specialisthttp://www.redhat.com/certification/

CEH - Certified Ethical Hackerhttp://www.eccouncil.org/ceh.htm

Obtendo conhecimentoCertificações em Segurança

28

Referências diversas

ISSA: www.issa.org e www.issabrasil.org

ISACA: www.isaca.org

SANS Institute: www.sans.org

ISC2:www.isc2.org

CERT/CC: www.cert.org

cert.br, Cartilha do CERT.BR: cartilha.cert.br

Academia Latino-Americana de Segurança da Informação:

www.technetbrasil.com.br/academia

Módulo Security: www.modulo.com.br

CSO Online: www.csoonline.com

compTIA: www.comptia.org

Grupo de Estudos para a certificação CISSP: br.groups.yahoo.com/group/cisspbr-sp/

Lista SecurityGuys: http://www.yahoogroups.com/group/securityguys

Lockabit: http://www.lockabit.coppe.ufrj.br/

Securenet: http://www.securenet.com.br

Special Publication 800-100: Information Security Handbook: A Guide for Managers

http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf

(ISC)2’s Career Guide: https://www.isc2.org/careerguide/default.aspx

Principais ferramentas de segurança de rede : http://www.insecure.org/tools.html

(ISC)2’s Resource Guide for Today’s Information Security Professional :

www.isc2.org/resourceguide

29

Novo Desafio: Segurança na Nuvem

Cloud Security Alliance: “Security Guidance for Critical Areas of Focus in Cloud Computing”

Section I. Cloud Architecture Domain 1: Cloud Computing Architectural Framework

Section II. Governing in the CloudDomain 2: Governance and Enterprise Risk ManagementDomain 3: Legal and Electronic DiscoveryDomain 4: Compliance and Audit Domain 5: Information Lifecycle Management Domain 6: Portability and Interoperability

Section III. Operating in the CloudDomain 7: Traditional Security, Business Continuity, and Disaster RecoveryDomain 8: Data Center OperationsDomain 9: Incident Response, Notification, and Remediation Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity and Access Management Domain 13: Virtualization

(http://www.cloudsecurityalliance.org/)

30

31

Agradecimentos

Sérgio Dias, CISSP, Security+, MCSE: SecurityAccount Technology StrategistSymantec

César Borges, EspecialistaProfessorMBA em Gestão de Segurança da Informação

VocêsParticipantesInteressados por Segurança da Informação