Certificações Profissionais em Segurança da Informação - Parte 2A

 

certificates.jpg


Este é o primeiro post da segunda parte do Guia de Certificações em Segurança da Informação (SI). Os artigos estão sendo escritos para leitura seqüencial. Se você não encontrar a informação que procura aqui, leia antes a Parte 1, onde eu falei sobre o valor das certificações e sobre os institutos por trás dos principais títulos disponíveis no mercado.

A Parte 2 do guia é destinada a detalhar as certificações. Nesse primeiro post (2A) eu falarei sobre o Security+ e o SSCP, que são os principais títulos para profissionais técnicos cuja experiência ainda é pequena ou intermediária.

Security+


O Security+ é uma certificação mantida pelo CompTIA, um dos maiores institutos de certificação profissional em tecnologia. Essa certificação é focada em segurança computacional, o que não faz dela exatamente uma certificação em SI. Seu reconhecimento no mercado brasileiro é limitado e, mesmo internacionalmente, não é dos maiores. Ela é vista como um título introdutório, similar a visão que o mercado possui de outros títulos da CompTIA. Porém, muitos profissionais buscam o Security+ como uma forma de preparação intermediária para exames mais difíceis como o SSCP, o CISSP ou mesmo o GIAC.

Exame


A prova é aplicada em centros VUE e Prometric, o que torna o exame bastante acessível do ponto de vista geográfico, já que existem muitos centros deste tipo espalhados pelo Brasil. Como o exame é aplicado eletronicamente, o candidato já fica sabendo o resultado na hora. O valor do exame é 251 dólares, o que representa metade do preço de outras certificações como o CISSP e o CISM e aproximadamente o mesmo preço do MCSO.

A prova possui 100 questões e tem 90 minutos de duração. A nota de aprovação é 764 em uma escala de 100 a 900. O exame está disponível apenas em inglês e, caso o candidato não consiga passar, pode fazer o segundo teste sem nenhum período de espera, mas se repetir novamente, deverá esperar pelo menos 30 dias para as tentativas subseqüentes. O conteúdo dos exames está distribuído conforme a listagem a seguir:


  1. General Security Concepts - 30%

  2. Communication Security - 20%

  3. Infrastructure Security - 20%

  4. Basics of Cryptography - 15%

  5. Operational / Organizational Security - 15%

 

Requisitos


O exame não possui requisitos de experiência prévia, embora o instituto recomende um mínimo de dois anos de atuação na área. Isso faz com que as barreiras de entrada para o título sejam praticamente inexistentes em comparação ao CISSP ou CISM, que exigem vários anos de experiência comprovada atuando na área, embora tanto o CISSP quanto o SSCP possuam uma opção para obtenção parcial do título para candidatos sem experiência. Falarei dela nas seções correspondentes.

Validade


A princípio, a certificação não possui validade, mas o exame possui versões. Ele ainda está na versão 1.0, mas pode ser que venha ocasionalmente a ser atualizado no futuro.

Preparação


Existe uma infinidade de livros preparatórios disponíveis para a certificação. Eles podem ser adquiridos em livrarias especializadas no Brasil e no exterior. Certamente a melhor forma de adquirir livros técnicos hoje é diretamente com a Amazon. Se você não se sente confortável ou não possui um cartão de crédito internacional, a Tempo Real e a Livraria Cultura são sua melhor opção. Segundo o sítio da CompTIA, porém, não existem provedores de treinamento oficial para esta certificação no Brasil.

Veredicto


Se você não tem experiência e seu conhecimento é eminentemente técnico, o Security+ pode ser um bom título inicial, mas não espere muito reconhecimento. Outras opções mais difíceis (e caras) para quem não tem experiência são o MCSO (que dispensa a comprovação de experiência apenas se você fizer os cursos de formação) e a versão Associate dos títulos SSCP e CISSP, que dispensam a comprovação de experiência, porém não te entregam um título “completo”.

Maiores informações


CompTIA Security+ Certification

SSCP


O SSCP é mantido pelo (ISC)², mas não desfruta da mesma popularidade do CISSP, o título mais conhecido do instituto e um dos mais cobiçados pelo mercado. Seu foco é técnico, sendo que o público-alvo são os profissionais de SI cujo trabalho está mais voltado para a administração e a implementação de tecnologias. O SSCP não é muito reconhecido internacionalmente, apesar da ampla presença do (ISC)². Há cerca de dois anos, entretanto, o instituto tem feito um trabalho massivo de comunicar ao mercado suas opções em termos de carreira, deixando claro que muitos profissionais que sonham em ter o CISSP, que é uma certificação de foco gerencial/consultivo, deveriam na realidade buscar o SSCP. Isso tem feito com que a quantidade de profissionais certificados cresça em um ritmo grande.

Pode ser obtido como um título intermediário para outros mais difíceis, como o próprio CISSP. Esse seria um caminho natural quando a pessoa quer se reposicionar na carreira para assumir uma posição gerencial/consultiva mas o seu perfil hoje é eminentemente técnico. O SSCP, porém, não é o principal título na sua área. As certificações GIAC, mantidas pelo SANS, desfrutam de mais reconhecimento, pois são muito mais difíceis de se obter.

Exame


O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no sítio do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 369 dólares. Após esse período, o candidato paga 100 dólares adicionais.

As provas são aplicadas em papel, uma alternativa escolhida pelo (ISC)² e alguns outros institutos, como o ISACA, para diminuir o cansaço visual dos candidatos e aumentar os controles contra vazamento de questões. O lado negativo é que o candidato não fica sabendo do resultado ao final do exame, e deve esperar de 4 a 6 semanas pelo resultado. O exame possui 125 perguntas que devem ser respondidas em 3 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Não existe período de carência caso o candidato não passe no exame, podendo este fazê-lo novamente já na semana seguinte, embora o (ISC)² mantenha provas no Brasil apenas a cada 3 meses.

Os assuntos que caem na prova são chamados pelo (ISC)² de CBK (Common Body of Knowledge). Para o SSCP ele é chamado SSCP CBK e inclui os seguintes domínios:


  • Access Controls

  • Analysis and Monitoring

  • Cryptography

  • Malicious Code

  • Networks and Telecommunications

  • Risk, Response, and Recovery

  • Security Operations and Administration


O (ISC)² não informa o percentual de questões por domínio que você encontrará na prova, pois essa distribuição é baseada em um estudo feito aproximadamente a cada dois anos, onde os profissionais atuantes na área pontuam a relevância de cada um dos assuntos para a profissão, além da profundidade na qual o candidato deve dominar cada um deles.

Requisitos


O SSCP, como muitas outras certificações em SI, demanda requisitos prévios de experiência profissional. Para o SSCP, entretanto, este requisito é baixo, devendo o candidato comprovar pelo menos um ano de experiência atuando em tempo integral em atividades de segurança em pelo menos um dos sete domínios que compõe o SSCP CBK. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde o candidato presta o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do SSCP. Desta forma, comprova que possui conhecimentos, mas que ainda não atende aos requisitos de experiência. Tão logo tenha pelo menos um ano de experiência trabalhando na área, poderá converter seu diploma de Associate em um SSCP.

Todos os profissionais certificados pelo (ISC)² devem também se comprometer com o código de ética do instituto, o que abre o precedente para que as certificações sejam cassadas em caso de comportamento inadequado. Finalmente, todos os profissionais certificados pelo (ISC)² devem ter o seu formulário de registro endossado por outro profissional certificado pelo instituto. O objetivo desta medida é evitar que os candidatos mintam em relação a sua experiência profissional. Ninguém mais interessado em garantir que as informações de novos candidatos sejam verdadeiras do que as pessoas já certificadas. Desta forma, o endosse serve como uma espécie de trabalho voluntário feito por quem já é certificado. Caso o candidato minta em sua experiência profissional e isso seja descoberto, tanto o candidato como quem endossa perdem seu título. Se você não conhecer pessoalmente ninguém que possua um título do (ISC)², pode ficar tranqüilo. O instituto ajuda você a entrar em contato com alguém para que o endosso possa ser feito. Ao final, existe ainda um processo de auditoria por amostragem. Se você cair na malha fina, deverá prover documentação vinda do seu empregador, comprovando sua experiência profissional.

Validade


O SSCP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional, e o título vai sendo renovado a cada período de 3 anos. Verifique no sítio do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o SSCP, o valor desta anualidade é de 65 dólares.

Preparação


Existem muitos livros disponíveis para que o candidato possa se preparar para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the SSCP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros recomendados caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos.

Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de três dias e, caso você tenha condições de fazê-lo, é certamente a melhor ferramenta preparatória para obter a certificação.

Veredicto


O SSCP é uma certificação para profissionais de nível técnico e serve tanto para aqueles que querem se manter nessa área de atuação, como para os que queiram usar o SSCP como uma ferramenta intermediária para chegar ao CISSP (ou outras de dificuldade similar) e se reposicionar na carreira. A opção Associate, permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. Embora o título em si não seja tão reconhecido como o CISSP, o (ISC)² tem feito esforços pesados para comunicar ao mercado o seu foco. A prova está disponível apenas em inglês. Se isso representa um empecilho para você, a única opção que sobra é o MCSO, pois esta é a única certificação cujo exame está em português, embora o foco deste título não seja técnico e sim gerencial. Se você é um profissional com larga experiência técnica e gostaria de um título com mais prestígio, dificuldade e reconhecimento, deve avaliar o GIAC do SANS.

Maiores informações


SSCP - International Respect for Tacticians

Próximos passos


Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre o CISSP, CISM, CISA e o GIAC, entre outros. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.

Artigos, BlogAnderson RamosCarreira13 Comments