Upload
vanhanh
View
221
Download
1
Embed Size (px)
Citation preview
Alex FeleolPós-GraduandoMBA em Gestão de Segurança da Informação
Formação de
Gestores e Especialistas
em Segurança da Informação
Autor: Sérgio Dias
3
Agenda
Conceito
Desafios do Profissional de Segurança
Perfil do Profissional de SegurançaConhecimentos
Valores
Redes Sociais
Como obter conhecimentoFormação e Certificações
Entidades de classe
Networking
segurança. S. f. 2. Estado, qualidade ou
condição de seguro. 3. Condição daquele ou
daquilo em que se pode . 4. Certeza,
firmeza, convicção.
seguro. [Do lat. securu.] Adj. 1. Livre de perigo.
2. Livre de ; , acautelado,
garantido. 8. Em quem se pode . 9.
Certo, indubitável, incontestável. 10. Eficaz,
eficiente. [Dicionário Aurélio]
Conceito
O que é Segurança?
5
Desafios do Profissional
Associar segurança ao negócio
Segurança deve permitir a adoção de novas tecnologias que sejam úteis ao negócio
Uso de tecnologias de segurança
Legislação e Compliance
Auditoria
Segurança Física
Levar segurança ao usuário final
6
Desafios do Profissional
Segurança para os usuários finaisNormalmente, são considerados o “elo mais fraco”
Alvos de Engenharia Social, SPAM eMalwares (vírus, vermes e phishing scam)
“Ataque interno” é uma preocupação constante
Envolve treinamento e atividadesde conscientização
Exige capacidade de comunicação
8
Desafios: Perfis principais
Gestor
• Foco no Negócio• Gestão de Equipes• Normas e Processos
Especialista
• Foco na Tecnologia• Gestão de Ferramentas• Procedimentos
9
Desafios: Títulos e Cargos
Alguns cargos, títulos e funções comuns no mercado:
Security specialist
Security auditor
Security consultant
Security administrator
Security analyst
Security engineer
Web security manager
Director of security
Manager of security
Chief privacy officer
Chief risk officer
Chief Security Officer (CSO)
Chief Information Security Officer (CISO)
10
Desafios: Títulos e Cargos
Média salarial dos profissionais de segurança da informação
CargoSalário (R$)
Júnior Pleno Sênior
Analista de segurança de informações 4.406,00 4.588,00 6.488,33
Analista segurança de sistemas 4.500,00 6.000,00 7.000,00
Gerente de segurança de sistemas sr. 11.060,00 12.192,00 14.333,00
Fonte: http://info.abril.com.br/professional/salarios/
11
Desafios: Vagas em aberto…
Exemplo (Lista SecurityGuys)Analista de Segurança da Informação Sr ou Pl.
O profissional deve ter no mínimo 3 anos de experiência na área de Segurança em TI, preferencialmente conhecimento profundo em ambiente Windows, fundamental conhecimentos em ferramentas de segurança como: Firewall, VPN, IDS, AV entre outros
Local de trabalho: Rio de Janeiro - Capital
Forma de contratação: PJ ou CLT
Interessados favor enviar CV para (...)
12
Exemplo (Lista SecurityGuys - http://securityguys.com.br/)Especialista em segurança da informação pleno
Pleno conhecimento de TCP/IP;Pleno conhecimento de redes virtuais (VPN);Pleno conhecimento de firewalls iptables, CheckPoint e pf.Certificação CCSA ou CCSE desejável;Pleno conhecimento de proxies squid, NetCache e BlueCoat;Pleno conhecimento de redes Microsoft, Active Directory, Domain Controler, LDAP, NTLM;Pleno conhecimento de Linux, Unix. Certificação LPI ou CompTIA desejável;Plena capacidade de redigir documentos técnicos do mais alto padrão para superar as expectativas dos clientes;Capacidade de trabalhar em equipe de forma colaborativa;Buscar obter e compartilhar conhecimento mutuo entre integrantes da equipe;Prioridade em ser comprometido, participando de todas as atividades com outras equipes de infraestrutura;Pleno conhecimento de Gerencia de Projeto, utilizando praticas PMI;Conhecimento de Cobit e ITIL;Inglês avançado.Regime CLT.
Desafios: Vagas em aberto…
13
Perfil
Em sua maioria, os profissionais tem origem e formação de duas formas distintas:
TécnicaProfissionais de TI
Suporte
Desenvolvimento
Ex-Hackers
AdministrativaProcessos / Auditoria / Legislação
Elaboração de Políticas e Processos
Análise de Riscos
14
Perfil
Principais características do profissional
Formação acadêmicaGraduação e Pós-Graduação
Conhecimentos técnicosS.O., Hardware, Rede, Ferramentas, Tecnologias e Normas
Certificações ProfissionaisEntidades de Classe e Fabricantes de Tecnologia
Domínio da Língua InglesaE de preferência de um terceiro idioma
Características pessoais
15
Perfil
Principais características pessoaisÉticaTrabalhar sob pressãoAceitar desafiosCapacidade de negociação
3a Pesquisa Módulo-PUC:“Dentre as características pessoais de maior importância estão o discernimento para lidar com informações conforme o seu grau de sigilo (41,18%), a integração com diversos grupos de trabalho (31%) e a rigidez no cumprimento de normas (14,15%)”
16
Perfil: Ética Profissional
Comportamento ético é muito importante na profissão
Cargos de confiança
Acesso a informações sigilosas
Participação de investigações e sindicâncias internas
Cuidado com a imagem Atuar eticamente
Postura ética: mensagens em listas de discussão, Orkut, etc.
17
Perfil: Códigos de Ética
Netiqueta (RFC1855) http://www.faqs.org/rfcs/rfc1855.html
Código de ética do ISC2https://www.isc2.org/cgi/content.cgi?category=12
Protect society, the commonwealth, and the infrastructure.
Act honorably, honestly, justly, responsibly, and legally.
Provide diligent and competent service to principals.
Advance and protect the profession.
18
Perfil: Redes Sociais
Como se relacionar no mundo online?
Sem o devido cuidado, qualquer texto ou mensagem pode ser armazenado indefinidamente e interpretado de diversas formas no futuro.
22
Obtendo conhecimentoComo começar?
No início, busque conhecimentoCentenas de sites e milhares de artigos de qualidade na Internet
Livros especializados em segurança
Participe de Associações e Grupos de discussão
Aplique segurança no seu negócio e no seu dia-a-dia
Trabalhe como voluntário
Interaja com a área de segurança da sua empresa
23
GraduaçãoFornece a base para entender segurança
Tecnologia da informaçãoMatemáticaAdministraçãoDireito
Pós-Graduação em SegurançaFoco em Gestão
MBA em Gestão de Segurança da informação
Foco em TecnologiaPós-Graduação em Segurança em Redes GNU-Linux e Software Livre
Obtendo conhecimentoFormação acadêmica
24
Auto-EstudoPortais de Segurança
www.cert.org
Cursos e eventos de Segurançawww.sans.org
Academia de Segurança Microsoft www.technetbrasil.com.br/academia
• Intel Next Generation Center
www.nextgenerationcenter.com
• Grupos de Estudo (SP, BH e DF)www.yahoogroups.com/group/cisspbr-sp
• Fóruns de Discussão especializadoswww.yahoogroups.com/group/cisspbr
Obtendo conhecimentoOutras formas?
25
Vendors: Certificações em que os fabricantes (vendors) atestam o conhecimento específico em sua tecnologia ou produto.
Vendor-Neutral: Certificações em que associações atestam o conhecimento em conceitos ou habilidades, sem relacionar tecnologias ou produtos.
Obtendo conhecimentoCertificações em Segurança
26
CISSP - Certified Information System Security Professionalhttp://www.isc2.org/
SSCP - Systems Security Certified Practitionerhttp://www.isc2.org/
CIW - Security Professionalhttp://www.ciwcertified.com/
GSEC - GIAC Security Engineerhttp://www.giac.org/
RSA Certified Security Professional (CSE/CA/CI)http://www.rsa.com/
CompTIA Security+http://www.comptia.org/
CCSA - Check Point Certified Security Administratorhttp://www.checkpoint.com/
CCSE - Check Point Certified Security Engineerhttp://www.checkpoint.com/
MCSE - Microsoft Certified Systems Engineer: Securityhttp://www.microsoft.com/brasil/certifique
CISA - Certified Information Systems Auditorhttp://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=9
Obtendo conhecimentoCertificações em Segurança
27
CCSP - Cisco Certified Security Professionalhttp://www.cisco.com/
NSCP - Network Security Certified Professionalhttp://www.nscpcertification.org/
SCNA - Security Certified Network Architecthttp://www.securitycertified.net/
SCNP - Security Certified Network Professionalhttp://www.securitycertified.net/
TICSA - TruSecure ICSA Certified Security Associatehttp://ticsa.trusecure.com/
ISFS (Information Security Foundation Based on ISO/IEC 27002)http://www.exin-exams.com/Exams/Exam%20program/ISO%20IEC%2027000/ISFS.aspx
CISM – Certified Information Security Managerhttp://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=10
LPIC – Linux Professional Institute Certifiedhttp://www.lpibrasil.com.br/
RHCSS - Red Hat Certified Security Specialisthttp://www.redhat.com/certification/
CEH - Certified Ethical Hackerhttp://www.eccouncil.org/ceh.htm
Obtendo conhecimentoCertificações em Segurança
28
Referências diversas
ISSA: www.issa.org e www.issabrasil.org
ISACA: www.isaca.org
SANS Institute: www.sans.org
ISC2:www.isc2.org
CERT/CC: www.cert.org
cert.br, Cartilha do CERT.BR: cartilha.cert.br
Academia Latino-Americana de Segurança da Informação:
www.technetbrasil.com.br/academia
Módulo Security: www.modulo.com.br
CSO Online: www.csoonline.com
compTIA: www.comptia.org
Grupo de Estudos para a certificação CISSP: br.groups.yahoo.com/group/cisspbr-sp/
Lista SecurityGuys: http://www.yahoogroups.com/group/securityguys
Lockabit: http://www.lockabit.coppe.ufrj.br/
Securenet: http://www.securenet.com.br
Special Publication 800-100: Information Security Handbook: A Guide for Managers
http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf
(ISC)2’s Career Guide: https://www.isc2.org/careerguide/default.aspx
Principais ferramentas de segurança de rede : http://www.insecure.org/tools.html
(ISC)2’s Resource Guide for Today’s Information Security Professional :
www.isc2.org/resourceguide
29
Novo Desafio: Segurança na Nuvem
Cloud Security Alliance: “Security Guidance for Critical Areas of Focus in Cloud Computing”
Section I. Cloud Architecture Domain 1: Cloud Computing Architectural Framework
Section II. Governing in the CloudDomain 2: Governance and Enterprise Risk ManagementDomain 3: Legal and Electronic DiscoveryDomain 4: Compliance and Audit Domain 5: Information Lifecycle Management Domain 6: Portability and Interoperability
Section III. Operating in the CloudDomain 7: Traditional Security, Business Continuity, and Disaster RecoveryDomain 8: Data Center OperationsDomain 9: Incident Response, Notification, and Remediation Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity and Access Management Domain 13: Virtualization
(http://www.cloudsecurityalliance.org/)