Posts in Artigos
Tudo sobre o consagrado evento da Flipside

No dia 18 de Maio de 2017 aconteceu o Mind The Sec pela primeira vez no Rio de Janeiro -, que teve recorde de público e tratou sobre os mais variados assuntos voltados à Área de Segurança da Informação. Clique para saber mais.

Read More
Brazil is everywhere (ou seria em todo lugar?)
Se você acompanha alguns canais internacionais de notícias a respeito do mercado de segurança, já deve ter percebido que o Brasil entrou no radar de muita gente. Seja uma notícia do threat post da Kaspersky sobre um caso de spear phishing envolvendo o uso de CPFs (que aliás foi noticiado primeiro pela mídia internacional), seja o OpenDNS entrevistando um cliente brazuca, de repente todo mundo está olhando pra terra do samba, suor e cerveja.
Read More
Dan Kaminsky fez certo

dan2.jpg

Não seria um exagero dizer que a Internet inteira (ou pelo menos a parte que consegue entender o problema a seguir) não fala de outra coisa desde que Dan Kaminsky divulgou que havia descoberto uma séria vulnerabilidade estrutural no serviço de DNS. Na ocasião, ele informou que vinha trabalhando numa solução com os fabricantes de software e a comunidade DNS há meses e implorou para que todos atualizassem seus servidores em caráter de urgência. Em virtude da criticidade do problema, ele decidiu só revelar detalhes durante uma palestra que faria no próximo Black Hat. Ele queria que os administradores tivessem um prazo adequado para aplicar a correção. Além disso, escolheu o próximo evento de destaque onde falaria para colher a merecida publicidade como retorno pelo seu trabalho. Apesar da boataria que começou a rolar especulando sobre qual seria o problema, apenas ontem, por conta de um vazamento teoricamente acidental pelo pessoal da Matasano, é que ele se tornou oficialmente público. Os detalhes técnicos apenas enaltecem a conduta de Dan. O caso é uma séria vulnerabilidade estrutural que permite ataques de DNS cache poisoning, afetando a maioria dos servidores existentes. Fica difícil imaginar a quantidade de dinheiro que seria possível roubar com uma vulnerabilidade dessas, mas uma coisa é fato: seria possível vendê-la por muito, muito dinheiro. O próprio blog que vazou os detalhes estimava centenas de milhares de dólares. Após o comunicado oficial sobre o assunto, Dan foi atacado de todos os lados. Alguns o acusavam de estar tendo este tipo de conduta apenas para se promover. Outros argumentavam que gostariam de conhecer os detalhes do problema antes de aplicar a correção. Muitos tentaram desqualificar a descoberta, argumentando que ela não passava de problemas estruturais conhecidos há pelo menos uma década. Ao descobrir a vulnerabilidade, Dan entrou em contato de maneira extremamente reservada com os fabricantes e a comunidade que, desde então, vinham trabalhando na surdina para resolver o problema o mais rapidamente possível. Após o lançamento dos patches, Dan recusou-se a se vangloriar dos detalhes técnicos em primeira mão, priorizando o benefício de muitas pessoas que sequer o conhecem. Para vencer o ceticismo e angariar mais vozes na campanha do "atualize já", ele explicou pessoalmente os detalhes do problema para alguns especialistas, e foi justamente um deles que publicou "sem querer" os detalhes em seu blog (uma cópia do descritivo do problema está aqui), numa história difícil de colar, que lembra o e-mail enviado por engano por um funcionário da Casa Civil ao senador Álvaro Dias. Em épocas de democracia digital, onde a Internet permite que todos tenham voz, as discussões freqüentemente caminham para o relativismo, onde fica difícil defender qualquer tipo de posição em virtude de todas as perspectivas possíveis pelas quais podemos olhar para uma dada questão. E é precisamente por este motivo que o que Dan fez será lembrando por muitos anos, pois ele fez o certo. A pesquisa de vulnerabilidades tem uma importância inestimável para nossa indústria. Muitos a fazem, e pelas mais diversas razões, sejam elas nobres ou não. Alguns fazem porque gostam, outros porque, além de gostar, precisam da publicidade que as descobertas geram. Em outras palavras, gastam dinheiro em pesquisa ao invés de gastá-lo em marketing ou publicidade. Outros fazem por pura vaidade, e quando a publicidade espontânea não é compatível com o tamanho do ego e do sentimento de inferioridade do pesquisador, eles divulgam o problema antes que haja patches disponíveis, normalmente reclamando que "o fabricante foi notificado há dois dias e até agora não tinha feito nada". Alguns outros pesquisam as vulnerabilidades para vendê-las, seja para aqueles que as utilizam na produção de ferramentas destinadas ao crime em geral, seja para empresas idôneas que pagam por elas para notificar seus clientes em primeira mão. Neste ano eu jantei com Eli Jellenc da i-Defense, que é um dos maiores defensores, e foi um dos precursores, da política de pagar por vulnerabilidades. Eu sou favorável a este tipo de iniciativa, mas ela possui um componente perverso. Pode-se considerar, implicitamente, que a pessoa que pesquisa vulnerabilidades não se importa com uso que será feito delas e apenas com o dinheiro que ela vai receber. É quase a mesma suposição por trás da idéia de que pobreza leva a criminalidade, sem que o pobre tenha o livre arbítrio para decidir o que fazer, por mais que haja forças sociais que o empurrem para a marginalidade. Acho que os fabricantes devem pagar por vulnerabilidades descobertas por terceiros simplesmente porque é economicamente eficiente e saudável para nosso mercado. É muito barato eliminar vulnerabilidades através de um outsourcing da pesquisa. Faço, entretanto uma ressalva, pois essa abordagem pode sujeitar os fabricantes à chantagem e à extorsão: "se vocês não pagarem 10 mil dólares pela minha vulnerabilidade eu vou entregá-la para a quadrilha X, pois eles me pagam 8 mil". E aí é que está o cerne da questão. Dan poderia ter vendido a vulnerabilidade, poderia ter publicado os detalhes técnicos antes que um patch estivesse pronto, obtendo milhares de vezes mais atenção do que vem obtendo agora, e mesmo assim ele não o fez. Aos que argumentavam que queriam conhecer os detalhes antes da aplicação, sintam-se realizados, eles estão disponíveis e, neste exato, momento muitos servidores DNS já foram comprometidos e muitos ainda serão. O argumento de que a comunidade underground já tinha matado a charada poucos dias depois que os primeiros patches foram publicados, pois fizeram engenharia reversa, não se sustenta. Não temos que (e talvez nem mesmo devamos) evitar que a comunidade faça engenharia reversa dos patchs ou analise as mudanças no código fonte de aplicações abertas para entender o problema, mas o sujeito precisa ter um QI muito baixo para argumentar que o impacto trazido por isso é o mesmo que o que virá agora que o problema é amplamente conhecido e ferramentas vão permitir que até minha mãe consiga redirecionar usuários desatentos para um site falso de banco. Em épocas onde todo mundo pode falar qualquer coisa e ser atacado e acusado por todos os lados, nunca foi tão importante agir de maneira coerente com os valores nos quais você acredita. Questionado pelo Threat Level da Wired se ele estava puto com o vazamento teoricamente acidental (e, conseqüentemente, com a traição daqueles nos quais ele confiou detalhes do problema), Dan teve uma postura simples e correta: disse que isso não era importante, e que o importante mesmo era que tudo isso sirva como um alerta para que as pessoas atualizem os seus servidores DNS. Ou seja, ele foi coerente do começo ao fim. Enquanto muitos estão apenas preocupados em aparecer e matar a charada, entrando para a história como o cara que divulgou a falha, Dan está preocupado com o impacto que a Internet possivelmente vai sofrer. E ele estava desde o começo quando resolveu não divulgar a falha e trabalhar por meses junto aos fabricantes para que o problema fosse corrigido. Em tempo, você pode testar se o servidor DNS que você está usando está vulnerável no próprio site do Dan Kaminsky. Na dúvida (ou em caráter de emergência), é uma ótima oportunidade para você conhecer o OpenDNS e apontar sua estação pra lá.
Read More
Certificações Profissionais em Segurança da Informação - Parte 2B

certificates.jpg

Este é o segundo post da segunda parte do Guia de Certificações em Segurança da Informação (SI). Os artigos estão sendo escritos para leitura seqüencial. Se você não encontrar a informação que procura aqui, leia antes a Parte 1, onde eu falei sobre o valor das certificações e sobre os institutos por trás dos principais títulos disponíveis no mercado, e a Parte 2A, onde as certificações de foco técnico foram analisadas. A Parte 2 do guia é destinada a detalhar as certificações. Nesse segundo post (2B), eu falarei sobre o CISSP, o MCSO e o CISM, que são as principais certificações de nível gerencial e consultivo.

CISSP

Não é exagero dizer que o CISSP (Certified Information Systems Security Professional) é a mais importante, e provavelmente uma das mais cobiçadas, certificações em SI. Principal título do (ISC)², o CISSP possui excelente reconhecimento internacional, sendo muitas vezes mencionado como um diferencial em programas de emissão de vistos de diversos países. Por isso, é a principal certificação para quem quer reconhecimento tanto no Brasil como no exterior, sendo que muitos a vêem como um passaporte internacional de trabalho. Com exceção dos EUA, onde o número de profissionais certificados beira os 40 mil, o CISSP é um título relativamente escasso na maioria dos países. No Brasil, apenas 200 profissionais possuem o título, havendo muito mais demanda do que oferta. Direcionado para profissionais de nível consultivo e gerencial, o CISSP é procurado tanto por técnicos como por gestores/consultores, embora o foco maior seja o último grupo. Se você quer um título de foco mais técnico que o CISSP, você deve procurar o SSCP, mantido também pelo (ISC)², ou o GIAC, mantido pelo SANS.

Exame

O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no site do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 499 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel (uma justificativa está disponível no artigo que fala sobre o SSCP). O exame possui 250 perguntas que devem ser respondidas em 6 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Apenas 225 perguntas entram na pontuação, sendo que as 25 restantes fazem parte de um processo de pesquisa de dificuldade e qualidade, mas o candidato não sabe quais são pontuadas ou não e deve tentar responder todas da melhor forma possível. O (ISC)² autoriza o uso de dicionários de tradução caso o exame seja aplicado em um idioma que não seja o nativo do candidato. O exame está disponível em inglês e em mais alguns idiomas que não incluem o português. Não existe período de carência em caso de reprovação. Os domínios que compõe o CISSP CBK (Common Body of Knowledge) são:
  • Access Control
  • Application Security
  • Business Continuity and Disaster Recovery Planning
  • Cryptography
  • Information Security and Risk Management
  • Legal, Regulations, Compliance and Investigations
  • Operations Security
  • Physical (Environmental) Security
  • Security Architecture and Design
  • Telecommunications and Network Security
O (ISC)² não informa o percentual de questões por domínio que você encontrará na prova, pois essa distribuição é baseada em um estudo feito a cada dois anos, onde profissionais atuantes na área pontuam a relevância de cada um dos assuntos para a profissão, além da profundidade na qual o candidato deve dominar cada um deles.

Requisitos

O CISSP demanda requisitos prévios de experiência profissional. O candidato deve comprovar cinco anos de experiência em dois ou mais domínios de conhecimento dos que compõe o CBK. Como muitas vezes esse requisito gera dúvidas em relação a sua interpretação, há uma página especificando exatamente o que é aceito como experiência “direta em tempo integral”. Os candidatos que possuem diploma de mestrado ou graduação (curso de quatro anos) podem abater um ano de experiência. Esse desconto de um ano também é válido caso a pessoa possua uma certificação profissional aprovada pelo (ISC)². Dessa forma, ainda que utilize os descontos, o candidato tem que comprovar pelo menos quatro anos de experiência. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde é possível prestar o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do CISSP. Desta forma, o candidato comprova que possui conhecimentos, faltando apenas os requisitos de experiência para obter o certificado completo. Assim que experiência tiver sido acumulada, o diploma de Associate pode ser convertido no CISSP. Como no SSCP, todos os profissionais certificados pelo (ISC)² devem se comprometer com o Código de Ética do instituto e ter o seu formulário de registro endossado por outro profissional certificado. Todos os requisitos aqui apresentados são auditados por amostragem. Quem cai na malha fina deve prover documentação comprovando as informações apresentadas.

Validade

O CISSP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional e o título vai sendo renovado a cada período de 3 anos. Verifique no site do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o CISSP, a anuidade custa 85 dólares.

Preparação

Existem muitos livros disponíveis que podem ser usados na preparação para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the CISSP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros sugeridos caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Outro livro bastante utilizado em virtude da sua didática é o CISSP All-in-one Exam Guide, 4th Ed., escrito pela autora Shon Harris. Se você puder comprar os dois, eu recomendo. Se você quiser comprar apenas um, a literatura oficial é a melhor opção. Porém, encare o livro como uma literatura de referência ao invés de tentar lê-lo de capa a capa. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de cinco dias e inclui um simulado oficial de 100 perguntas ao final.

Veredicto

O CISSP é de longe o título mais reconhecido e demandado na área de SI, tanto no Brasil como no exterior. Ele é procurado por consultores e gerentes, além de técnicos querendo direcionar sua carreira para gerência/consultoria. Se você quer um título puramente técnico, o Security+, o SSCP e o GIAC são as opções mais adequadas em ordem de dificuldade e reconhecimento. A opção Associate do CISSP permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. A prova está disponível apenas em inglês. Se isso for um problema para você, a única opção é o MCSO, pois esta é a única certificação cujo exame está disponível em português.

Maiores informações

CISSP® - The International Gold Standard

MCSO

O MCSO (Módulo Certified Security Officer) é a mais popular certificação em SI do mercado brasileiro, contando hoje com 800 profissionais certificados. Criada em 2000, usando como inspiração outros títulos disponíveis no mercado, incluindo o próprio CISSP, o MCSO é uma certificação gerencial, voltada para o Gestor de Segurança da Informação. De todas as certificações aqui apresentadas, essa é a única que se encontra em português, o que acaba sendo um fator determinante para muitas pessoas. Embora a dificuldade de obter a certificação não seja tão grande quanto a do CISSP ou do CISM, sua penetração é maior, havendo profissionais certificados em vários estados brasileiros, enquanto que no CISSP há uma forte concentração no eixo São Paulo, Rio e Brasília.

Exame

A prova é composta de cerca de 200 questões de múltipla escolha, sendo que 60% são relacionadas à gestão e 40% relacionadas à tecnologia. As perguntas de gestão têm peso 2 e as de tecnologia têm peso 1. A nota de aprovação é 70% dos pontos possíveis. Os exames são aplicados pela Módulo, em geral, duas vezes por ano (cerca de Julho e Dezembro). O exame custa 499 reais, porém é gratuito para aqueles que fazem os dois cursos de formação da empresa. Existe um curso para a parte gerencial e outro para a parte técnica do exame. Caso o candidato não consiga passar, não existe período de carência para tentar novamente. Na prática, porém, ele terá que esperar cerca de seis meses, que é o tempo que normalmente transcorre entre um exame e outro. O conteúdo da prova está dividido entre assuntos gerenciais e tecnológicos:
  • Gestão
    • Conceitos Gerais de Segurança da Informação
    • Gestão de Riscos
    • Legislação, Regulamentação, Normas, Investigação e Ética
    • Política de Segurança da Informação
    • Classificação de Informações
    • Gestão de Continuidade de Negócios
    • Gestão de Pessoas em Segurança da Informação
    • Segurança Física e Operacional
    • Organização da Segurança da Informação
  • Tecnologia
    • Criptografia
    • Controle de Acesso
    • Segurança em Redes e Telecomunicações
    • Segurança em Hosts
    • Arquitetura e Modelos de Segurança

Requisitos

O MCSO possui requisitos de experiência profissional mais baixos que certificações similares como o CISSP e o CISM. Apenas dois anos de experiência profissional são demandados. Se o candidato participa de um curso de formação da Módulo, não há a necessidade de se comprovar experiência. Isso torna o MCSO um título atrativo para quem não tem muita vivência profissional, embora o custo se torne mais elevado, já que o profissional será obrigado a fazer os cursos preparatórios nesse caso.

Validade

O certificado MCSO é válido por 4 anos e renovável por períodos de quatro anos adicionais desde que o profissional participe de um programa de educação continuada similar ao do (ISC)². No geral, 160 horas de atividades são demandadas para cada ciclo. Um detalhamento completo do funcionamento do programa pode ser encontrado aqui.

Preparação

A melhor forma de se preparar para o MCSO é fazendo os cursos oficiais da Módulo. São dois curso de uma semana, cobrindo assuntos de gestão e tecnologias. Uma alternativa é tentar adquirir os livros e prestar a prova por conta própria. O problema é que os livros neste exato momento estão esgotados, havendo apenas a possibilidade de compra de segunda mão. Uma nova edição está sendo planejada para breve.

Veredicto

O MCSO é um título bastante reconhecido no mercado brasileiro, embora não conte com o mesmo prestígio de certificações como o CISSP ou o CISM. Entretanto, seu exame é o único aplicado em português, o que o torna a única opção para aqueles que têm dificuldade com outros idiomas. Seus requisitos de experiência profissional são mais baixos e podem ser descontados caso o candidato faça os cursos oficiais de formação da Módulo, embora os custos envolvidos devam ser avaliados. Seu foco é gerencial, portanto, se você procura uma certificação de nível técnico, você deve avaliar o Security+, o SSCP ou o GIAC em seu lugar (em ordem de dificuldade e reconhecimento).

Mais informações

Certificação MCSO

CISM

O CISM (Certified Information Security Manager) é um título mantido pela ISACA, instituição mundialmente reconhecida por ser a principal associação profissional voltada para o mercado de auditoria de sistemas. Entretanto, seu título de maior prestígio é o CISA (Certified Information Systems Auditor). O CISM foi criado para ser um título exclusivamente destinado a gestores de segurança da informação, ou seja, os profissionais que possuem o título devem, obrigatoriamente, possuir experiência gerencial. Isso não implica necessariamente que a pessoa deva ter coordenado equipes, mas que ela tenha trabalhado em uma posição administrativa responsável por gerir a SI dentro de uma organização. O lançamento do CISM em 2003 gerou reclamações por parte do (ISC)², que não via na certificação, segundo notas de imprensa publicadas, nada de novo sendo trazido. Argumentava que o efeito prático de uma nova certificação tão similar ao CISSP seria forçar os profissionais a longo prazo a tirarem mais de um título, o que traria custos sem muito valor agregado. A ISACA refutou essas alegações, dizendo que o título é focado apenas em gerentes, enquanto que o CISSP, apesar de ter esse foco, era muito procurado também por técnicos querendo mudar a carreira. Comparado ao CISSP, o CISM contém um escopo um pouco menor, por priorizar assuntos relacionados à gestão, enquanto que o CISSP busca prover uma formação mais abrangente. Há cerca de 50 profissionais no Brasil que possuem a certificação CISM, um número quatro vezes menor que o de CISSPs e quinze vezes menor que o de MCSOs.

Exame

A prova é feita duas vezes por ano, de maneira sincronizada, em diversas cidades do mundo, incluindo São Paulo, Rio de Janeiro e Brasília. O exame possui 200 questões e é feito em papel. O valor do exame é 505 dólares. Candidatos que se registram com antecedência recebem desconto de 50 dólares. O ISACA divulga anualmente os calendários com as datas e prazos limite para inscrição. Membros da associação também recebem desconto nas inscrições e é uma boa opção associar-se caso você pretenda fazer a prova. Caso o candidato não passe no exame ele pode fazê-lo novamente na data seguinte, embora normalmente esse espaço de tempo seja de pelo menos seis meses. A escala de nota da prova vai de 200 a 800 pontos, sendo que o candidato necessita de pelo menos 450 para ser aprovado. O exame está disponível em diversas línguas, sendo que a mais próxima do português é o espanhol. Entretanto os candidatos não podem usar dicionário de tradução como acontece no CISSP. Diferente do (ISC)², a ISACA divulga quais os percentuais de questões que são extraídos de cada um dos assuntos exigidos, o que facilita os estudos e a preparação dos candidatos:
  • Information Security Governance (23%)
  • Information Risk Management (22%)
  • Information Security Program Development (17%)
  • Information Security Program Management (24%)
  • Incident Management and Response (14%)

Requisitos

O CISM demanda pelo menos cinco anos de experiência profissional em tempo integral em pelo menos três das cinco áreas de conhecimento avaliadas no exame. Três destes anos devem ser obtidos ocupando uma posição de nível gerencial. Essa experiência deve ter sido obtida dentro do período de dez anos que antecede o exame, ou em até cinco anos após ter sido obtida a aprovação. A ISACA permite que os candidatos sentem para o exame sem ter toda a experiência necessária, mas apenas emite certificados para aqueles que fazem as comprovações necessárias. Há dois descontos possíveis para esses requisitos de experiência. Caso o candidato já possua o CISSP, o CISA ou uma pós-graduação em SI ou áreas correlatas (incluindo TI) é possível obter um desconto de dois anos. Se, além disso, o candidato possuir uma certificação técnica, como as da Microsoft ou do CompTIA, ou tiver pelo menos um ano de experiência em gestão de TI, mais um ano pode ser descontado. Combinando os dois descontos, fica necessário apenas comprovar dois anos de experiência. Porém, há um detalhe importante: nenhum dos dois descontos acima reduz a necessidade de comprovar experiência em gestão de SI. Além dos requisitos de experiência profissional, os candidatos que obtém o CISM devem aderir ao Código de Ética Profissional da ISACA.

Validade

Para manter o seu título válido, os profissionais devem participar de um programa de educação continuada, similar ao do CISSP, onde seu título é renovado a cada período de três anos. Além disso, uma anualidade para sustentar os benefícios aos profissionais certificados é cobrada, custando 75 dólares, sendo que membros filiados ao ISACA pagam apenas 40.

Preparação

A ISACA publica todos os anos um manual de revisão para as suas certificações. O CISM Review Manual é um material de extrema importância para os candidatos, porém não pode ser considerado um guia definitivo em virtude da sua superficialidade. Fora este texto básico, faltam livros de qualidade que possam ser utilizados. Uma busca na Amazon retorna apenas dois títulos específicos, com notas de avaliação vergonhosas. Outra alternativa de qualidade questionável são os livros produzidos pela SRV Books, publicados independentemente pelo próprio autor. Eventualmente, cursos preparatórios, oficiais ou não, são oferecidos no Brasil pelos capítulos locais da ISACA. O site do capítulo paulista da ISACA é o melhor local para começar as buscas.

Veredicto

O CISM é uma certificação que compete de maneira direta com um concorrente muito forte, mas que é amparada por uma associação profissional muito forte e tradicional. A quantidade de profissionais certificados no Brasil é ainda muito baixa, o que a torna menos reconhecida que o CISSP e o MCSO. A idéia da ISACA de diferenciá-la do CISSP, focando em um público mais gerencial, ainda necessita trazer resultados mais consistentes para que o CISM receba o destaque que merece, uma vez que o programa é muito bem elaborado e gerenciado. Se o seu foco é técnico, fuja do CISM completamente. Se o inglês é um problema, corra para o MCSO.

Mais informações

CISM Certification

Próximos passos

Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre certificações mais específicas, como o CISA e o GIAC. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.
Read More
Como não implementar medidas de segurança - Parte 2

Manufactured Security by Kris Krüg

Na primeira parte desta série eu falei sobre como a postura do profissional de segurança pode influenciar na resistência que ele enfrentará durante a implementação de políticas e controles. Nesta segunda parte, darei um foco maior nos aspectos práticos deste processo. Toda discussão sobre redução de resistências a medidas de segurança deve, na realidade, começar por uma avaliação da autoridade que as medidas inspiram. Você até pode, eventualmente, com muita capacidade de persuasão e liderança conseguir resultados interessantes em termos de cooperação sem ter o apoio da alta administração da organização onde você atua, mas certamente terá muito mais trabalho. As medidas de segurança são inerentemente impopulares, pois, na grande maioria dos casos, elas se parecem com desperdício de tempo e recursos. Pense numa trava de carro. Você poderia simplesmente estacionar o carro, desligá-lo e trancá-lo, sem colocar a trava. Se você fizer isso, as chances de furto são maiores. Se você colocar a trava, serão menores. Entretanto é perfeitamente possível que vários anos se passem até que você possa ver a trava apresentando eficiência, ou pode ser que você nunca veja. Mas o que você vê todos os dias é que, se você perder 3 minutos por dia colocando e tirando a trava, você perde um dia útil inteiro por ano apenas fazendo isso. Algo que certamente se parece com puro desperdício de vida. A grande falta de visão aqui é achar que, porque nunca ninguém tentou roubar seu carro, a trava é algo desnecessário. Certamente uma das principais razões pelas quais seu veículo nunca sofreu uma tentativa de furto é justamente a trava. Ela também funciona desencorajando tentativas de furto. É por isso que muitas pessoas colocam as travas. No geral, elas são eficazes. Vale a pena gastar um dia útil por ano para prevenir uma perda centenas de vezes superior. Mas alguém que tem a autoridade para tal deve definir isso, pois nem todos conseguem perceber voluntariamente. Pense em 10 minutos de desperdício diários de um vendedor em uma equipe de 30 pessoas com um salário de 1000 reais. Se considerarmos que o custo real do funcionário em virtude dos encargos é o dobro disso, chegamos a um desperdício anual de cerca de R$21.500,00, o que representa cerca de 3% da folha de pagamento. Um diretor comercial jamais vai aceitar pacificamente tamanho impacto em termos de custos e resultados. Você pode até tentar convencê-lo de que no longo prazo é melhor ter os controles, pois eles estarão prevenindo perdas. Mas ele está sendo cobrado por um resultado de curto prazo, normalmente uma meta mensal de vendas, e não vai te dar ouvidos por razões óbvias. Logo, alguém acima dele deve apoiar e exigir as medidas de segurança, senão seus esforços vão custar a trazer resultados. Dependendo do tamanho da empresa, essa pessoa pode ser o próprio presidente, mas o ideal é que haja um grupo de pessoas na alta administração apoiando as iniciativas de segurança. Essa recomendação está explícita na NBR ISO/IEC 27002 (antiga 17799). As responsabilidades principais deste grupo são exigir compromisso dos colaboradores e prover recursos adequados. Em uma grande empresa de capital aberto, o ideal é que este grupo seja um comitê executivo multidisciplinar, representando os principais departamentos. Um de seus primeiros trabalhos será aprovar um conjunto de diretrizes básicas que formariam o primeiro documento de uma Política de Segurança da Informação. Essas diretrizes devem definir o escopo da SI e as responsabilidades das pessoas envolvidas. Por terem sido aprovadas pelo comitê, sua publicação é uma manifestação clara de apoio às iniciativas de segurança. Todas as normas e procedimentos que serão posteriormente definidos buscarão respaldo nessas diretrizes. Dessa forma, elas se tornam uma espécie de carta branca formal que dá poderes ao gestor de SI para definir e implementar as medidas necessárias. Porém, isso funciona apenas na teoria. Na prática, por mais que o departamento de segurança tenha crédito, ele vai enfrentar todos os tipos de resistências possíveis e imagináveis que ainda demandarão muito esforço para serem reduzidas. O passo seguinte seria buscar compreender como funcionam os departamentos da empresa de forma a sugerir controles que reduzam riscos inaceitáveis, mas que ao mesmo tempo não sejam um empecilho injustificável aos processos de negócio. Nem sempre é possível buscar este equilíbrio. Mas se você não se aproximar dos departamentos para entender como estes funcionam, sofrerá uma resistência a priori. Qualquer tentativa de elaborar procedimentos de segurança para um departamento cujo funcionamento você não conhece será julgada autoritária e prepotente. Envolver os gestores dos departamentos tem também outra vantagem importante. Uma vez que eles tenham participado do processo de elaboração, a probabilidade de haver cobrança para com os seus respectivos subordinados é maior. Dessa forma, o que faremos é preparar multiplicadores para a fase posterior ao desenvolvimento das políticas, que envolverá a conscientização a respeito delas. Nessa interação, você encontrará pelo menos três tipos de situação em termos de acordo entre a área de SI e o departamento: SI quer e o departamento concorda: Esse tipo de situação não é das mais freqüentes. Entretanto, incluímos aqui também os controles que foram aceitos a contragosto, mas que não geraram forte reação, seja porque os departamentos afetados não se importam ou porque a uma postura contrária seria injustificável. SI quer e o departamento não concorda: Essa é aquela situação que gerará discórdia e brigas políticas. Embora caiba a SI determinar os controles, isso não significa que todos serão aprovados, pois eles normalmente passam pelo crivo do comitê executivo como veremos mais à frente. Existem batalhas que não valem a pela. Outras, entretanto, têm validade, por isso você não vai querer perdê-las. Deixe para lutar por elas onde você tem mais chances de ganhar. Geralmente essa batalha seria travada dentro do comitê executivo, no momento da aprovação do conjunto completo de controles, onde você estará cheio de argumentos válidos e o seu adversário nem tanto, pois ele não poderá manifestar uma postura radicalmente contra a segurança da informação em um comitê cuja responsabilidade é justamente prezar pela proteção. Os departamentos não concordam, mas a lei exige: Esse seria uma subcategoria da situação anterior, com uma diferença importante. Se a legislação exige um controle, a sua implementação não está aberta a questionamento, pelo menos em teoria, então jogue a responsabilidade para o comitê executivo. Documente que o controle foi recomendado conforme exigência legal e traga os argumentos necessários. Caso ele não seja aprovado, você está pessoalmente protegido contra futuros questionamentos, ou mesmo problemas jurídicos. Não é possível, nem é desejável, vencer todas as batalhas. Escolha corretamente quais são aquelas que você vai querer travar. Em todas elas, acho que vale bastante um provérbio africano que se popularizou por descrever a política externa americana durante a presidência de Theodore Roosevelt: “quando visitar seu adversário, fale em voz baixa, mas leve um grande porrete nas mãos”. O porrete da área de SI é o apoio da alta administração para com as medidas de segurança. A fala mansa é a propensão ao diálogo com aqueles que serão afetados pelas medidas. Para ter sucesso durante esse processo de elaboração, é importante não perder nenhuma das duas coisas. Perdemos o apoio da alta administração quando temos dificuldade de manter a visão do negócio, ou seja, a capacidade de ter argumentos plausíveis de que aqueles controles têm uma boa relação custo/benefício. Para isso é de fundamental importância a execução de uma análise de riscos, mostrando de maneira impessoal que a ausência dos controles que você está sugerindo submetem a empresa a riscos que ela própria considera inaceitáveis. Para não perder a fala mansa, é importante ter paciência para compreender e negociar previamente os controles com as áreas de negócio. Se você perder este apoio de base, vai chegar desgastado ao comitê para aprovar os controles. Não esqueça que todos aqueles gestores têm um superior imediato, cuja probabilidade do mesmo estar no comitê é grande. Embora essa pessoa apóie a segurança, seu compromisso com os subordinados é muito mais crítico para seu trabalho. Dessa forma, nunca se esqueça de ter sensibilidade e observar os detalhes. Até aqui, eu procurei mostrar que para diminuir a resistência aos controles de segurança, o trabalho começa como uma avaliação prévia da sua própria postura profissional. Esses aspectos foram detalhados na primeira parte desta série. Aqui, eu discuti, na prática, como deve ser o ciclo de negociações e como obter o apoio necessário para conduzir este processo de maneira favorável à segurança. Por fim, mesmo a aprovação dos controles pelo comitê executivo de SI não encerra seus problemas. A última, e talvez a mais importante, de todas as fases será conscientizar os usuários a respeito da importância dessas medidas e conseguir colocar os estímulos necessários para obter os resultados esperados. Esse último assunto será tratado na última parte desta série. Por hora, você pode ler este artigo que eu escrevi há alguns anos, sobre conscientização de usuários.
Read More
Certificações Profissionais em Segurança da Informação - Parte 2A

certificates.jpg

Este é o primeiro post da segunda parte do Guia de Certificações em Segurança da Informação (SI). Os artigos estão sendo escritos para leitura seqüencial. Se você não encontrar a informação que procura aqui, leia antes a Parte 1, onde eu falei sobre o valor das certificações e sobre os institutos por trás dos principais títulos disponíveis no mercado. A Parte 2 do guia é destinada a detalhar as certificações. Nesse primeiro post (2A) eu falarei sobre o Security+ e o SSCP, que são os principais títulos para profissionais técnicos cuja experiência ainda é pequena ou intermediária.

Security+

O Security+ é uma certificação mantida pelo CompTIA, um dos maiores institutos de certificação profissional em tecnologia. Essa certificação é focada em segurança computacional, o que não faz dela exatamente uma certificação em SI. Seu reconhecimento no mercado brasileiro é limitado e, mesmo internacionalmente, não é dos maiores. Ela é vista como um título introdutório, similar a visão que o mercado possui de outros títulos da CompTIA. Porém, muitos profissionais buscam o Security+ como uma forma de preparação intermediária para exames mais difíceis como o SSCP, o CISSP ou mesmo o GIAC.

Exame

A prova é aplicada em centros VUE e Prometric, o que torna o exame bastante acessível do ponto de vista geográfico, já que existem muitos centros deste tipo espalhados pelo Brasil. Como o exame é aplicado eletronicamente, o candidato já fica sabendo o resultado na hora. O valor do exame é 251 dólares, o que representa metade do preço de outras certificações como o CISSP e o CISM e aproximadamente o mesmo preço do MCSO. A prova possui 100 questões e tem 90 minutos de duração. A nota de aprovação é 764 em uma escala de 100 a 900. O exame está disponível apenas em inglês e, caso o candidato não consiga passar, pode fazer o segundo teste sem nenhum período de espera, mas se repetir novamente, deverá esperar pelo menos 30 dias para as tentativas subseqüentes. O conteúdo dos exames está distribuído conforme a listagem a seguir:
  1. General Security Concepts - 30%
  2. Communication Security - 20%
  3. Infrastructure Security - 20%
  4. Basics of Cryptography - 15%
  5. Operational / Organizational Security - 15%

Requisitos

O exame não possui requisitos de experiência prévia, embora o instituto recomende um mínimo de dois anos de atuação na área. Isso faz com que as barreiras de entrada para o título sejam praticamente inexistentes em comparação ao CISSP ou CISM, que exigem vários anos de experiência comprovada atuando na área, embora tanto o CISSP quanto o SSCP possuam uma opção para obtenção parcial do título para candidatos sem experiência. Falarei dela nas seções correspondentes.

Validade

A princípio, a certificação não possui validade, mas o exame possui versões. Ele ainda está na versão 1.0, mas pode ser que venha ocasionalmente a ser atualizado no futuro.

Preparação

Existe uma infinidade de livros preparatórios disponíveis para a certificação. Eles podem ser adquiridos em livrarias especializadas no Brasil e no exterior. Certamente a melhor forma de adquirir livros técnicos hoje é diretamente com a Amazon. Se você não se sente confortável ou não possui um cartão de crédito internacional, a Tempo Real e a Livraria Cultura são sua melhor opção. Segundo o sítio da CompTIA, porém, não existem provedores de treinamento oficial para esta certificação no Brasil.

Veredicto

Se você não tem experiência e seu conhecimento é eminentemente técnico, o Security+ pode ser um bom título inicial, mas não espere muito reconhecimento. Outras opções mais difíceis (e caras) para quem não tem experiência são o MCSO (que dispensa a comprovação de experiência apenas se você fizer os cursos de formação) e a versão Associate dos títulos SSCP e CISSP, que dispensam a comprovação de experiência, porém não te entregam um título “completo”.

Maiores informações

CompTIA Security+ Certification

SSCP

O SSCP é mantido pelo (ISC)², mas não desfruta da mesma popularidade do CISSP, o título mais conhecido do instituto e um dos mais cobiçados pelo mercado. Seu foco é técnico, sendo que o público-alvo são os profissionais de SI cujo trabalho está mais voltado para a administração e a implementação de tecnologias. O SSCP não é muito reconhecido internacionalmente, apesar da ampla presença do (ISC)². Há cerca de dois anos, entretanto, o instituto tem feito um trabalho massivo de comunicar ao mercado suas opções em termos de carreira, deixando claro que muitos profissionais que sonham em ter o CISSP, que é uma certificação de foco gerencial/consultivo, deveriam na realidade buscar o SSCP. Isso tem feito com que a quantidade de profissionais certificados cresça em um ritmo grande. Pode ser obtido como um título intermediário para outros mais difíceis, como o próprio CISSP. Esse seria um caminho natural quando a pessoa quer se reposicionar na carreira para assumir uma posição gerencial/consultiva mas o seu perfil hoje é eminentemente técnico. O SSCP, porém, não é o principal título na sua área. As certificações GIAC, mantidas pelo SANS, desfrutam de mais reconhecimento, pois são muito mais difíceis de se obter.

Exame

O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no sítio do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 369 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel, uma alternativa escolhida pelo (ISC)² e alguns outros institutos, como o ISACA, para diminuir o cansaço visual dos candidatos e aumentar os controles contra vazamento de questões. O lado negativo é que o candidato não fica sabendo do resultado ao final do exame, e deve esperar de 4 a 6 semanas pelo resultado. O exame possui 125 perguntas que devem ser respondidas em 3 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Não existe período de carência caso o candidato não passe no exame, podendo este fazê-lo novamente já na semana seguinte, embora o (ISC)² mantenha provas no Brasil apenas a cada 3 meses. Os assuntos que caem na prova são chamados pelo (ISC)² de CBK (Common Body of Knowledge). Para o SSCP ele é chamado SSCP CBK e inclui os seguintes domínios:
  • Access Controls
  • Analysis and Monitoring
  • Cryptography
  • Malicious Code
  • Networks and Telecommunications
  • Risk, Response, and Recovery
  • Security Operations and Administration
O (ISC)² não informa o percentual de questões por domínio que você encontrará na prova, pois essa distribuição é baseada em um estudo feito aproximadamente a cada dois anos, onde os profissionais atuantes na área pontuam a relevância de cada um dos assuntos para a profissão, além da profundidade na qual o candidato deve dominar cada um deles.

Requisitos

O SSCP, como muitas outras certificações em SI, demanda requisitos prévios de experiência profissional. Para o SSCP, entretanto, este requisito é baixo, devendo o candidato comprovar pelo menos um ano de experiência atuando em tempo integral em atividades de segurança em pelo menos um dos sete domínios que compõe o SSCP CBK. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde o candidato presta o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do SSCP. Desta forma, comprova que possui conhecimentos, mas que ainda não atende aos requisitos de experiência. Tão logo tenha pelo menos um ano de experiência trabalhando na área, poderá converter seu diploma de Associate em um SSCP. Todos os profissionais certificados pelo (ISC)² devem também se comprometer com o código de ética do instituto, o que abre o precedente para que as certificações sejam cassadas em caso de comportamento inadequado. Finalmente, todos os profissionais certificados pelo (ISC)² devem ter o seu formulário de registro endossado por outro profissional certificado pelo instituto. O objetivo desta medida é evitar que os candidatos mintam em relação a sua experiência profissional. Ninguém mais interessado em garantir que as informações de novos candidatos sejam verdadeiras do que as pessoas já certificadas. Desta forma, o endosse serve como uma espécie de trabalho voluntário feito por quem já é certificado. Caso o candidato minta em sua experiência profissional e isso seja descoberto, tanto o candidato como quem endossa perdem seu título. Se você não conhecer pessoalmente ninguém que possua um título do (ISC)², pode ficar tranqüilo. O instituto ajuda você a entrar em contato com alguém para que o endosso possa ser feito. Ao final, existe ainda um processo de auditoria por amostragem. Se você cair na malha fina, deverá prover documentação vinda do seu empregador, comprovando sua experiência profissional.

Validade

O SSCP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional, e o título vai sendo renovado a cada período de 3 anos. Verifique no sítio do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o SSCP, o valor desta anualidade é de 65 dólares.

Preparação

Existem muitos livros disponíveis para que o candidato possa se preparar para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the SSCP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros recomendados caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de três dias e, caso você tenha condições de fazê-lo, é certamente a melhor ferramenta preparatória para obter a certificação.

Veredicto

O SSCP é uma certificação para profissionais de nível técnico e serve tanto para aqueles que querem se manter nessa área de atuação, como para os que queiram usar o SSCP como uma ferramenta intermediária para chegar ao CISSP (ou outras de dificuldade similar) e se reposicionar na carreira. A opção Associate, permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. Embora o título em si não seja tão reconhecido como o CISSP, o (ISC)² tem feito esforços pesados para comunicar ao mercado o seu foco. A prova está disponível apenas em inglês. Se isso representa um empecilho para você, a única opção que sobra é o MCSO, pois esta é a única certificação cujo exame está em português, embora o foco deste título não seja técnico e sim gerencial. Se você é um profissional com larga experiência técnica e gostaria de um título com mais prestígio, dificuldade e reconhecimento, deve avaliar o GIAC do SANS.

Maiores informações

SSCP - International Respect for Tacticians

Próximos passos

Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre o CISSP, CISM, CISA e o GIAC, entre outros. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.
Read More
Panorama da Segurança da Informação no Brasil

iDefense

Nesta semana tive a oportunidade de jantar com uma equipe da iDefense, divisão de inteligência da VeriSign, que veio ao Brasil fazer um levantamento da situação do nosso mercado de Segurança da Informação (SI), especialmente nos aspectos relacionados à criminalidade digital. Aproveito para agradecer ao colega Anchises de Paula, Latin America Technical Regional Manager da VeriSign, pelo convite. Estavam presentes Eli Jellenc (Manager, Threat Intelligence), a socióloga Kristen Dennesen (Threat Intelligence Analyst) e engenheiro Blake Hartstein (Rapid Response Team). A iDefense se tornou mundialmente reconhecida por ter sido uma das primeiras empresas a pagar prêmios para pesquisadores que lhe enviassem vulnerabilidades que ainda não tivessem sido divulgadas. Embora a iniciativa seja considerada por muitos polêmica, diversas outras empresas e fabricantes têm adotado posturas similares. Em 2005, a empresa foi comprada pela VeriSign por 40 milhões de dólares em dinheiro. O executivo Eli Jellenc e sua equipe estavam no Brasil conversando com os principais especialistas do mercado com o objetivo de produzir um relatório de inteligência para seus clientes, que incluem diversos órgão de governo e empresas de grande porte nos EUA. Ao longo da conversa, algumas idéias amplamente aceitas sobre o cenário do mercado de SI no Brasil foram discutidas. Vou resumir quais são as que eu contesto por não terem mais a mesma validade.

O mercado de SI no Brasil se resume ao segmentos financeiro e telecom

Talvez essa informação fosse verdadeira há dez anos atrás, mas hoje certamente está equivocada. Embora esses sejam, sem sombra de dúvidas, os maiores compradores e empregadores, o mercado hoje está muito fragmentado e a maioria dos alunos que eu recebo hoje vem de outros setores. Um dos principais fatores que estão influenciando esta mudança é o fenômeno da abertura de capital. As empresas brasileiras descobriram que a Bolsa de Valores é uma fonte abundante de crédito, uma vez que com a queda dos juros, os investidores estão procurando diversificar suas aplicações em alternativas mais lucrativas. Esse é um fenômeno que eu previ em um artigo sobre o mercado econômico e a SI escrito em 2004. Porém, para abrir capital, o quantidade de ajustes internos que precisam ser feitas é enorme. Para poder ser vista como uma empresa de gestão responsável e de fundamentos sólidos, a gestão dos principais riscos, entre várias outras coisas, é um fator fundamental, e é aí que os departamentos de SI ganham força e independência, junto com iniciativas relacionadas à Governança de TI e profissionalização do ambiente de tecnologia. Em uma matéria do jornal Valor Econônico do final do ano passado, Oracle e SAP informaram que cerca de 60% das suas vendas hoje são para empresas que pretendem abrir capital nos próximos 12 meses.

A comunidade black hat no Brasil é minúscula e os script kiddies são uma multidão

Isso ainda é verdade. O Brasil no final dos anos 90 obteve uma má fama internacional de ser um celeiro black hat através de uma jogada de marketing. Durante muitos anos, grupos brasileiros lideraram (e ainda hoje lideram) os rankings internacionais sobre pichação de páginas. Isso fez o mundo pensar que tínhamos também uma forte comunidade black hat ligada à pesquisa de vulnerabilidades ou à espionagem industrial e governamental, sendo que isso nunca foi verdade. Entretanto, o que eu tenho percebido é que, provavelmente em virtude do crescimento econômico e da geração de empregos pela qual o país vem passando nos últimos anos, há sim um crescimento significativa na comunidade white hat, usem eles este nome ou não (a maioria dos white hats no Brasil, por uma questão de preconceito, prefere ser chamada apenas de profissional de SI). Todo evento internacional de grande porte tem pelo menos um brasileiro de destaque presente, são nomes como Augusto Paes de Barros, Domingo Montanaro, Luiz Eduardo, Rodrigo Rubira Branco e por aí vai (desculpas antecipadas, pois eu sei que esqueci de uma série de nomes ;-)

Os profissionais de SI brasileiros estão entre os melhores do mundo

Isso continua sendo verdade. Já tive alunos de mais de 20 nacionalidades diferentes em minhas aulas e sempre fui um defensor desta idéia. Porém, recentemente, eu começo a perceber certa mudança em alguns padrões que eu acho que vale a pena mencionar. Do ponto de vista técnico, os profissionais de SI europeus estão sendo "forçados" a levar a profissão para um outro patamar. Nenhuma outra região do mundo tem sofrido tanto com o crime digital como a Europa. Isso é fruto de uma combinação de fluxo livre de capitais entre os países, sem a correspondente colaboração entre as forças policiais, e uma proximidade com a Rússia, que é o celeiro black hat número um no mundo junto com os EUA. Entretanto, o Brasil continua tendo os melhores gestores de SI do mundo. Pergunte a qualquer pessoa que visita algum evento de caráter mais gerencial nos EUA, como o RSA Conference e o CSI, e você vai ouvir sempre a mesma coisa: "eles estão pelo menos cinco anos atrás de nós". Este fenômeno já não têm fatores tão claros a serem identificados, mas certamente tem a influência do nosso poderoso e avançado segmento financeiro, que têm demandado profissionais de SI há mais de uma década, com a combinação de uma cultura empreendedora, que cobra cada vez mais dos profissionais a tal "visão de negócio".

Comentários

E você, qual a sua opinião?
Read More
Como não implementar medidas de segurança - Parte 1

Dr. Gregory House, M.D.

Um assunto com pouca teoria formal que eu gosto bastante de discutir com os meus alunos e nas campanhas de conscientização que eu faço é a questão da resistência coletiva que existe dentro das organizações para com as medidas de segurança. Admita: por mais safo e habilidoso que você seja, não existe um único profissional de segurança que não tenha passado por esta situação. Após ler esse artigo, espero que você possa a ver o problema com outros olhos e aprenda a tomar alguns cuidados simples que fazem toda a diferença. Em uma parcela significativa dos casos, o problema começa com o próprio profissional de Segurança da Informação (SI). Mesmo depois de muitos anos de existência, a área de SI ainda é considerada coisa para poucos do ponto de vista técnico. Ela seria algo como o “fronteira final” em termos de aprendizado. Para poder compreender a segurança de uma tecnologia, você precisava dominá-la totalmente. Por conta disso, ela sempre atraiu muitos profissionais de alta capacidade técnica. Quando a empresa se deu conta que precisava de alguém para cuidar do assunto, lembrou que havia um técnico que sabia tudo sobre ele. Contratar alguém no mercado seria caro. Além disso, como confiar algo tão crítico a um desconhecido? Logo, por que não promover o técnico a gestor ou coordenador de SI? O problema é que nem sempre esses profissionais têm um perfil exatamente adequado para a posição. Eu costumo brincar que muitos profissionais de Tecnologia da Informação (TI) escolheram esta área justamente para não precisar lidar com pessoas ;-) É um paradoxo curioso que eu chamaria de Complexo de House. Para quem não conhece, House é um seriado médico de grande sucesso, com um personagem principal homônimo, que goza de uma incrível popularidade entre os profissionais de TI. O melhor resumo sobre a personalidade do Dr. House que eu já vi ouvi veio de um colega: ele é um médico que não gosta de pacientes. Na hora a ficha caiu e eu entendi porque tantos colegas amam o seriado. Na grande maioria, eles são profissionais de TI que, em maior ou menor grau, não gostam de usuários. Não existe nada mais perigoso que colocar alguém que não gosta de usuários para definir medidas de segurança. Se trabalhando em TI ele já foi responsável por bloquear até a troca do papel de parede das estações, imagine o que ele pode fazer em escala empresarial! Profissionais com esse perfil não costumam possuir sensibilidade para perceber o quanto é delicada e incômoda a mera existência de um departamento de segurança. Não observam o quanto o contexto é capaz de mudar o comportamento das pessoas que nele atuam. Para elucidar, eu gosto bastante de mencionar um famoso estudo de sociologia feito na Alemanha na década de 70 em um presídio desativado. Voluntários foram chamados a fazer o papel de policiais e presidiários em uma espécie de brincadeira de “faz de conta”. Os pesquisadores observaram que, independente do perfil, aqueles que se passavam por policiais desenvolviam uma tendência ao autoritarismo. Já os presidiários se dividiam entre os resignados (que fingiam cooperar, mas não aceitavam a situação) e os rebelados. O estudo é bastante famoso, foi transformado em documentário, e não pôde ser acabado, porque a influência que o ambiente exercia sobre os atores era tamanha que as coisas começaram a fugir do controle. Nas organizações ocorre uma situação bastante similar. Alguém é promovido a “policial” e, a partir de então, passa a ser exorcizado (ou tratado com falsidade) pelos “presidiários” (se nunca mais te chamaram para um happy hour depois da sua promoção, você sabe bem do que eu estou falando ;-). Numa tentativa de mostrar poder e exercer a sua autoridade, o profissional passa a entrar em embates e tomar medidas de eficácia duvidosa ou de prioridade questionável. Ou seja, ao invés de trabalhar para azeitar uma relação que é inerentemente conflitante, trabalha no sentido oposto. Não é difícil imaginar o resultado disso. Alguém na empresa deverá tomar a decisão de demiti-lo, independente de sua capacidade profissional. O trabalho de um gestor de SI é servir como um agente de mudanças. É impossível fazer isso brigando com toda a empresa. Entre demitir todos os empregados e demitir o gestor de SI, não é difícil imaginar qual a melhor decisão a ser tomada. Existe uma verdade que precisa ser aceita. Ninguém gosta de medidas de segurança, a não ser aqueles que estão na posição de defini-las e cobrá-las dos outros. Talvez a evidência mais clara esteja em uma situação muito freqüente. Muitos profissionais de segurança começam na área de tecnologia. Quando ambas as áreas estão sob a mesma responsabilidade, em geral, as medidas tomadas têm como objetivo atormentar a vida dos usuários: senhas complexas, restrições para acesso a Internet e uso do e-mail, cerceamento dos recursos da estação de trabalho e por aí vai. Num belo dia, a área de segurança é “promovida”, ganhando independência. Pode apostar que as primeiras medidas de segurança terão como objetivo atormentar a vida dos técnicos: restrição de uso das contas dos administradores, geração excessiva de logs, controle de mudanças, etc. Estoura o conflito: os técnicos alegam que os profissionais de segurança, agora que são independentes, sugerem controles que jamais recomendariam se fossem responsáveis por sua implementação. Aí é que reside toda a eficácia da separação. Medidas de segurança geram trabalho e desconforto e ninguém gera isso para si mesmo. Se assim o fizer, não estará recomendando aquilo que é necessário, e sim aquilo que dará menos trabalho. Para alguns, essa sutilezas podem parecer óbvias, mas eu conheço profissionais com anos de experiência que ainda não se tocaram. Colocar um técnico com o perfil do Dr. House para escolher medidas de segurança é uma estupidez administrativa, pois esse tipo de profissional não trabalhará para diminuir essas arestas, e sim para acentuá-las. Além disso, ele não possui uma das características básicas para amenizar os problemas que é a capacidade de dar o exemplo. É muito comum ver profissionais de segurança dando sermão nos usuários em campanhas de conscientização, recomendando uma série de procedimentos que eles mesmos não seguem. Se você questioná-los, ouvirá algo do tipo “eles não podem usar o MSN porque não sabem amenizar os riscos, mas eu sei”. Essa postura até encontra embasamento técnico, mas não há nada mais ineficaz, além de arrogante, em termos de postura. Técnicos que não gostam de usuários costumam pensar que são seres superiores. Seguem um estereótipo muitas vezes atribuído a padres: “faça como eu digo, mas não como eu faço”. Quando o padre diz “vivam juntos para sempre” soa meio caricato, pois ele nunca casou com ninguém! Você jamais vai ter moral para pedir aos usuários para interromper o uso do MSN se você continuar usando a ferramenta todos dias. Se você conseguiu visualizar claramente o problema, fique atento para a próxima parte deste artigo, onde eu darei conselhos práticos e um método simples para diminuir a resistência da empresa. Mas eles de nada vão adiantar se você não conseguir fazer uma auto-crítica e avaliar o seu comportamento dentro do seu ambiente de trabalho. Você está mais para Dr. House ou para Dr. Wilson? O primeiro sem dúvida é mais brilhante, mas só não foi demitido porque tem o segundo para segurar a barra quando a coisa estoura de verdade. E se você pensar bem, eles têm muito mais semelhanças do que diferenças, o que significa que não é tão difícil assim ter uma postura correta e equilibrada, mesmo que você tenha algumas excentricidades ;-) A segunda parte deste artigo está disponível aqui.
Read More
Guia de Certificações em Segurança da Informação - Parte 1

A área de SI (Segurança da Informação) é carente de cursos de graduação universitária. Esse não é um fenômeno regionalizado; pode-se verificar a mesma situação em diversos países. Durante o processo de contratação é procedimento padrão avaliar a formação universitária do candidato. Dependendo da instituição onde ele estudou e do curso que ele fez, diversas suposições serão feitas a respeito de sua capacidade, mas a empresa pouco saberá sobre o conhecimento e a experiência que ele possui em SI. As certificações profissionais tentam ocupar essa lacuna. Elas formam uma ponte entre o empregador e o profissional. Vale sempre lembrar que o “empregador” é na maioria das vezes um departamento de RH (Recursos Humanos) que pouco conhece sobre o assunto, pelo menos na fase inicial do processo de contratação. Usar certificações como um filtro para a escolha dos candidatos é um caminho natural. Muitos consideram essa postura preguiçosa, ou mesmo incompetente, e afirmam que os profissionais de RH deveriam se inteirar mais sobre o assunto, evitando atitudes que possam ser consideradas discriminatórias. Porém, parafraseando o Dr. Gregory House, esperar que isso vá acontecer um dia é a mesma coisa que esperar que os cachorros parem de se lamber. Simplesmente não vai acontecer. A razão é muito simples: os profissionais de RH têm perfil generalista e são diretamente responsáveis pelo acerto ou erro da contratação. Eles sempre buscarão posturas que diminuam o risco de serem culpados por um erro no processo. Suponha que você recebeu a incumbência de comprar uma moto para sua empresa. Você não entende muito de motos, pois na realidade sua especialidade é comprar. A empresa o escolheu para a posição de comprador, pois sabe que você vai adquirir produtos de boa qualidade com custo baixo. Após uma busca na Internet, você encontra diversas opções. Se você ficar indeciso entre uma Honda e uma moto chinesa, a probabilidade de você comprar a primeira é maior. Você vê essa marca na rua, pessoas trabalhando com ela, concessionárias autorizadas e assim por diante. Você vai comprar uma Honda por pura segurança: se você comprou a marca mais conhecida do mercado e ela deu problemas, você não terá medo de ter a sua decisão questionada. Agora, se ao invés da Honda você comprou a Xing-ling 125 cilindradas, certamente te pedirão uma boa explicação. Essa é a situação pela qual passam os profissionais de RH todos os dias e essa é a razão pela qual eles utilizam mecanismos considerados preguiçosos, mas que, na realidade, são eficientes. Se ao invés de entrevistar 50 candidatos o RH entrevistar apenas 10 e conseguir um profissional que se encaixa no perfil, ele economizou uma quantia significativa e poupou muito trabalho. Existem dois estímulos importantíssimos aqui. O primeiro é a pressão por redução de custos versus entrega de resultados e o segundo é a lei do menor esforço. As pessoas sempre buscam o ponto de equilíbrio entre a melhor relação esforço/benefício. Isso vale tanto para uma tarefa como para toda uma vida. Muitos esportistas escolhem essa profissão, pois conseguem trazer e obter pra si próprios muito mais resultados do que se eles tivessem que fazer aula de cálculo num curso de ciência da computação, e vice-versa. No final, certificação profissional tem a ver com oportunidades. Existem excelentes profissionais que não possuem certificação alguma e existem profissionais certificados que são ruins. A quantidade de gente ruim vai depender da forma como a certificação é obtida e do que alguém considera eventualmente ruim. Conhecimento e experiência são apenas dois requisitos que um profissional precisa atender para arrumar um trabalho. Vários outros, como postura profissional ou habilidade de gerenciar equipes, simplesmente não são avaliados nas certificações. Se você conheceu um profissional que julgou arrogante e concluiu que ele era desse jeito por ser certificado, talvez você esteja equivocado. Pessoas com esse perfil não necessitam de títulos para apresentar esse tipo de deficiência de caráter, embora ela possa ser agravada pela obtenção de um título que o mercado considera difícil. Em resumo, se você é um bom profissional, as certificações vão te trazer mais oportunidades para mostrar isso, e se você for um profissional ruim, não há certificação que te segure em um emprego. Oportunidades são especialmente importantes quando você está em desvantagem em relação ao resto do mercado. Pode ser que você não tenha um diploma universitário, assunto que eu vou discutir abaixo, ou que você esteja em um país onde as pessoas têm idéias pré-concebidas da sua capacidade ou postura em virtude da sua nacionalidade. Algumas certificações são consideradas valiosas não só no Brasil, mas em muitos outros países. Muitos profissionais que resolvem trocar de país não iniciam sua jornada sem antes obter títulos internacionalmente reconhecidos. Algumas certificações já foram explicitamente citadas em programas de concessão de vistos para estrangeiros. O CISSP (Certified Information Systems Security Professional), por exemplo, já apareceu como desejável nos programas de imigração do Canadá e da Austrália. Mesmo que você esteja trabalhando no Brasil, pode ser que você esteja em uma multinacional e suas oportunidades estarão diretamente relacionadas à visão que seus superiores, que podem estar em outros países, têm de você. Metade dos alunos que eu recebo nos treinamentos preparatórios para o CISSP está nessa situação. Eles buscam o título para que seus pares nos outros países reconheçam sua capacidade. Adicionalmente, certificações são uma forma prática de obter conhecimento. Você põe a mão no bolso para se inscrever em uma prova e se não passar, fica com todo o prejuízo. Para muitos, isso é um ótimo estímulo para se dedicar aos estudos. Além disso, os exames costumam exigir conhecimentos importantes que nem sempre são usados freqüentemente no dia-a-dia, mas que são essências para uma formação completa. Praticamente todas as certificações em SI, com exceção do MCSO (Módulo Certified Security Officer), só estão disponíveis em inglês. Isso aumenta o nível de dificuldade para obter os títulos, mas força o candidato a obter um nível de proficiência maior no idioma de Shakespeare, item praticamente obrigatório para quem quer arrumar um bom emprego no mercado de tecnologia. Muitos acham que eu defendo certificações profissionais por prestar serviços diretamente para duas empresas que atuam nesse segmento. Quem me conhece desde o começo da carreira, porém, sabe que não é bem assim. Sempre fui um entusiasta do assunto desde sempre e hoje me sinto bastante realizado de fazer parte de instituições cujas certificações me ajudaram a chegar onde estou. Eu não tinha tempo, nem recursos, mas sabia que tinha uma capacidade boa de aprendizado e absorção de conhecimento, requisitos fundamentais para trabalhar na área de tecnologia, especialmente com consultoria e suporte, outra paixão antiga minha. As certificações me ajudaram a mostrar isso. Os profissionais que eram contratados para trabalhar nas empresas por onde passei tinham títulos universitários de renome, de instituições como a USP e a FEI. Eu simplesmente não tinha como obtê-los. Isso não significa que, em termos de formação, eu pense que uma certificação substitua um diploma universitário. Longe disso. Tanto é que na primeira oportunidade que tive me engajei na obtenção de um, em uma universidade fora do Brasil. Porém, as certificações me ajudaram a “furar” o filtro do RH num prazo mais curto e com um custo baixo. Sem isso eu jamais teria obtido o dinheiro necessário para bancar uma faculdade. Depois que eu arrumei meu primeiro emprego para trabalhar com consultoria, as certificações me permitiram ganhar espaço. Consultorias precisam de profissionais certificados para ganhar licitações ou manter o status de revenda autorizada dos fabricantes. Na prática, eu nunca desembolsei um tostão para pagar as provas. Nessas empresas costuma imperar a seguinte regra: elas pagam o valor das provas, desde que você não tenha repetido. Muitas pessoas são contra as certificações profissionais. Embora eu seja aberto a outros pontos de vista, tenho a impressão que a maioria dos contrários se encaixa em uma (ou mais) das seguintes categorias:
  • Aquele que já está inserido no mercado de trabalho, possui reconhecimento e está cheio de contatos: se você já tem uma rede de conhecidos e longa experiência no currículo em empresas de ponta, parte dos benefícios da certificação deixa de ser relevante. O filtro do RH já foi furado, provavelmente por um diploma universitário ou pela indicação de um colega.
  • Aquele que já sabe tudo: se a pessoa tem amplos conhecimentos, a idéia de usar a certificação como ferramenta de preparação perde a força.
  • Aquele que não gosta de estudar ou tem medo de fazer exames: essa é uma deficiência séria. Não gostar de absorver novos conhecimentos e não se sentir confortável para colocá-los a prova é um tipo de postura que me parece incompatível com a área de tecnologia, embora eu tenha ciência que existe muita gente nessa categoria.
Se você está lendo esse artigo, é bem provável que você nem precise ser convencido de que as certificações profissionais são algo interessante. Mas é sempre bom encontrar argumentação favorável que ajude a embasar aquilo no qual você acredita e te leve a ver a coisa por outros pontos de vista.

De onde vem o valor da certificação?

O valor da certificação vem, principalmente, da sua relação custo/benefício. Como os custos de obtenção das certificações são conhecidos, o valor vai depender bastante dos benefícios. Estes, por sua vez, dependem de uma série de fatores. Em resumo:

Reconhecimento e propósito da entidade

Há 15 anos a coqueluche do mercado de certificações técnicas eram os títulos da Novell. Depois passaram a ser os da Microsoft e, hoje em dia, a percepção de valor de ambas é bastante reduzida se comparadas ao momento de sua introdução no mercado. O problema da Novell é diferente do da Microsoft. As certificações Novell perderam espaço junto com a própria empresa. Quando um fabricante está por trás de uma certificação, o valor desta depende diretamente do tamanho da base instalada. Já a Microsoft não parou de ganhar mercado nos últimos 15 anos e mesmo assim seus títulos foram perdendo valor, demandando uma reestruturação bastante ampla com o objetivo de reverter o processo. Há um conflito de interesses inerente a todas as certificações de fabricantes que é muito difícil de resolver. O programa de certificação da Microsoft (ou da Cisco, Novell, CheckPoint, etc.) é algo irrelevante para a empresa em termos de geração de receita. Seu objetivo principal é disseminar o conhecimento sobre suas tecnologias para a maior quantidade possível de pessoas. Essa disseminação tem dois efeitos importantes. Em primeiro lugar, forma “vendedores”, pois profissionais que tenham gasto tempo e dinheiro aprendendo uma tecnologia são os maiores interessados em estimular seu uso. Em segundo lugar, quanto mais gente supostamente conhecer a tecnologia, mais barato fica para os clientes adotá-la. Porém, isso é totalmente conflitante com os interesses dos profissionais que tiram as certificações. Para a Microsoft (ou qualquer outro fabricante) e para os empregadores, quanto mais gente certificada, melhor. Já para os profissionais, mais gente certificada significa salários mais baixos. Por isso, já há muito tempo eu tenho priorizado as certificações chamadas vendor-neutral, que são mantidas por institutos cuja missão é certificar profissionais. O zelo que este tipo de instituição precisa ter com seus programas de certificação é muito maior, pois esse é, muitas vezes, seu único ganha-pão. Mencionarei nessa série de artigos algumas certificações de fabricantes, mas o foco principal serão as vendor-neutral. Além disso, as certificações de fabricantes quase sempre te obrigam a obter novos títulos toda vez que uma tecnologia fica obsoleta. Já certificações vendor-neutral possuem programas de certificação continuada, onde os certificados são renovados automaticamente, desde que os profissionais comprovem que estão atuando de maneira engajada no mercado e se reciclando. Apesar de tudo, é importante frisar também que a maioria dos fabricantes hoje tenta equilibrar ambas as necessidades através de títulos distintos. As certificações mais básicas atendem a necessidade dos fabricantes de disseminar conhecimento e as mais avançadas servem para aqueles com capacidade superior que querem se destacar das “massas”. É o caso do CCIE (Cisco Certified Internetwork Expert) ou da Architect Series da Microsoft.

Quantidade de profissionais certificados

A lei da oferta e da procura é tão clara e óbvia que deveria ser considerada uma lei da natureza. Quanto mais profissionais certificados, menor o salário pago para uma certificação. Simples assim. Obviamente, esse não é o único fator que vai determinar o salário que você vai receber, mas vai determinar o peso da certificação nesse cálculo. Dessa forma, avalie se a instituição responsável pela obtenção da certificação está preocupada com isso. Existem instituições que, para estimular a adoção de um título pelo mercado, se valem de processos conhecidos por grandfathering, onde os certificados são distribuídos através da avaliação de currículos, sem necessidade de prova, mediante o pagamento de taxas. Sou contra esse tipo de processo por diversas razões, embora tenha ciência de que algumas vezes ele pode ser feito de forma mais séria (quando a instituição, por exemplo, não aplica uma prova, mas exige uma monografia ou artigo para que o candidato mostre proficiência). A razão principal é uma questão de justiça. Nem todo mundo tem facilidade para estudar e aprender. Muitas pessoas chegam a estudar centenas de horas para obter certos títulos. Você não pode simplesmente entregar um título igual para quem não fez prova, por mais experiente que a pessoa seja. Além disso, existe outro conflito de interesses claro. Se a instituição faz um grandfathering é porque ela tem como objetivo disseminar a certificação, fazendo com que a maior quantidade possível de profissionais certificados a obtenham. Isso faz com que haja uma tendência de afrouxar a rigidez da análise dos currículos. Esse fenômeno aconteceu há alguns anos com o CISM (Certified Information Security Manager), uma certificação criada para gestores de SI. Mediante o pagamento de 500 dólares e o envio de um formulário de aplicação onde o candidato descrevia sua própria experiência, a pessoa recebia o certificado. O problema é que essa verificação deixou muito a desejar. No mercado brasileiro existem vários profissionais que possuem esse título (sem possuir nenhum outro) e que não atendem aos requisitos da certificação, que incluíam, entre outras coisas, 9 anos de experiência profissional atuando em uma posição gerencial. É de conhecimento geral que existem até mesmo técnicos que possuem esse título, o que além de caracterizar um comportamento antiético por parte do sujeito, mostra deficiências no processo de avaliação. Quando você escolher uma certificação profissional para si, verifique se a entidade responsável está preocupada em diminuir a quantidade e aumentar a qualidade das pessoas certificadas, e não o inverso.

Eficácia da avaliação

Em geral, as certificações voltadas para SI buscam avaliar os conhecimentos do candidato. A grande maioria delas faz isso através de uma prova de múltipla escolha. Uma exceção importante a essa regra são as certificações Gold e Platinum do SANS (SysAdmin, Audit, Network, Security), onde o candidato tem que entregar uma pequena monografia escrita e fazer um teste prático, respectivamente. A dificuldade das provas é uma preocupação fundamental dos institutos de certificação. Por conta disso, uma série de mecanismos de psicometria são utilizados para garantir que ela se mantenha constante ao longo dos anos. Uma abordagem comum a maioria das certificações é a utilização de provas muito longas, diminuindo a probabilidade de uma pessoa conseguir passar através da memorização pura e simples de conceitos. No caso do CISSP, são 250 perguntas em 6 horas, praticamente um vestibular. Provas deste tamanho não costumam ser aplicadas eletronicamente, pois o cansaço visual é muito grande. Além disso, manter as provas em papel facilita a proteção do sigilo das questões. Se você buscar simulados para uma certificação de um fabricante qualquer, perceberá que as questões são praticamente as mesmas que caem na prova verdadeira. É praticamente impossível controlar o vazamento das questões dos exames quando eles são aplicados em milhares de instituições diferentes ao redor do mundo. Isso não acontece com a mesma freqüência no CISA (Certified Information Systems Auditor), por exemplo. A ISACA (Information Systems Audit and Control Association), responsável pelo título, adota um processo extremamente eficaz, aplicando provas apenas uma vez por ano, em horários sincronizados, em várias cidades simultaneamente. A melhor avaliação de todas certamente é a do GSE (Global Information Assurance Certification Security Expert), certificação nível Platinum mantida pelo SANS, onde a aplicação dos conhecimentos é avaliada através de testes práticos. Isso ajuda a aumentar significativamente o prestígio do título, mas encarece bastante o processo de avaliação, conta que no final acaba sendo paga pelo candidato. O reconhecimento, porém, é imenso. Existem menos de 20 profissionais certificados em todo o mundo.

Requisitos de experiência

Muitas certificações em SI possuem requisitos de experiência profissional. Isso significa que não basta o aluno passar na prova, ele deve também ter experiência comprovada atuando em tempo integral na área durante um período específico de tempo, que para algumas certificações pode chegar a 5 anos. Essa verificação é feita através de amostragem, pelos próprios institutos ou por empresas terceirizadas. Em alguns casos, profissionais já certificados, que são os maiores interessados em evitar que um novo candidato minta a respeito da sua experiência, podem ser chamados para ajudar no processo. Você encontrará profissionais no mercado que não possuem o tempo de experiência necessário, pois mentiram em seus formulários e tiverem a sorte de não serem pegos pela auditoria. Porém, quase todos os institutos possuem um canal para denúncias, e essas pessoas podem perder a certificação a qualquer momento caso irregularidades sejam constatadas.

Códigos de Ética

Na grande maioria dos países não existe uma entidade de representação de classe responsável por regulamentar o mercado profissional de SI. Por conta disso, os institutos de certificação tentam, mesmo que de maneira tímida, estabelecer códigos básicos de conduta cujo cumprimento é obrigatório. Os chamados Códigos de Ética tentam também resolver um problema de ordem prática muito comum. Como as funções relacionadas a SI são críticas e seus profissionais têm acesso a informações de caráter confidencial, muitas empresas ficam receosas de buscar gente no mercado. Eu costumo treinar pelo menos 300 profissionais por ano. Por conta disso, recebo muitos pedidos para preencher vagas de trabalho de empresas que estão em busca de profissionais bons (e baratos). Entretanto, na grande maioria das vezes, as empresas querem alguém de “confiança”, que eu conheça e possa recomendar, e não me autorizam a divulgar a vaga. Obviamente, eu não tenho como "confiar" em todos os meus alunos. Posso atestar sua capacidade intelectual e dar algumas impressões a respeito da sua postura, e só. Na prática, isso acaba criando uma barreira muito grande ao primeiro emprego na área. Muitos querem trabalhar com segurança, muitas empresas precisam de gente, mas esses dois anseios não se encaixam por uma preocupação excessiva (e compreensível) por parte dos empregadores. Elas acabam sendo preenchidas por profissionais que já trabalham nas empresas, mas em outras áreas, ou por indicações que nunca chegam aos classificados de emprego dos jornais. A situação já melhorou bastante se analisarmos o cenário de 5 anos atrás, mas o problema ainda existe. Os Códigos de Ética são uma tentativa de fazer essa interface. Eles comunicam aos empregadores que os profissionais certificados estão sujeitos a um código de conduta, cujo principal efeito prático é tentar dar mais segurança na contratação.

Tipos de certificações disponíveis

Considerando todas as certificações vendor-neutral disponíveis, é possível classificá-las em dois grupos: genéricas ou específicas. Genéricas são aquelas que passam uma formação geral sobre SI para os candidatos. Específicas tratam de um tema de maneira mais aprofundada, como continuidade de negócios, auditoria ou perícia forense. Se você não possui certificação alguma, talvez seja melhor começar por títulos genéricos. Eles certamente vão abrir muito mais portas do que certificações específicas. O mercado de SI não é tão grande como gostaríamos e as certificações específicas às vezes estão voltadas para nichos bem delineados, onde costuma ser muito difícil arrumar emprego sem uma boa rede de contatos ou ampla experiência prévia. Porém, as certificações específicas cobrem os assuntos em maior profundidade. Se você tem uma paixão por determinada área e gostaria de aprender bastante sobre ela, talvez elas sejam a sua melhor escolha. Vale lembrar que as certificações genéricas são mais conhecidas. É comum ver vagas para continuidade de negócios ou perícia forense onde os empregadores pedem certificações genéricas como o MCSO ou o CISSP. Quem contrata, muitas vezes, sequer sabe que existem títulos específicos para cada uma dessas áreas.

Os institutos de certificação

Conhecer um pouco do histórico do instituto responsável pela certificação que você quer obter ajuda a compreender quais são seus pontos fracos e fortes, além de seus nichos de atuação.

(ISC)²

O International Information Systems Security Certification Consortium, ou simplesmente (ISC)² é, provavelmente, o instituto de certificação com o maior nome que existe ;-) Ele costuma ser chamado também de ISC2, com a pronúncia em inglês ou português, ou o nome mais correto, que seria ISC ao quadrado ou ISC squared, no equivalente em inglês. Fundado em 1989 por diversas outras entidades de peso, como a ISSA (Information Systems Security Association) e o CSI (Computer Security Institute), ele é o líder inquestionável no mercado de certificações profissionais voltadas para SI. Atualmente, existem mais de 45 mil profissionais certificados em mais de 120 países. Pergunte para qualquer profissional de SI em qualquer parte do mundo qual é a primeira certificação profissional que vem a sua cabeça e a pessoa dirá que é o CISSP, principal certificação do instituto. Os primeiros profissionais certificados no Brasil obtiveram seus títulos na segunda metade dos anos 90. O primeiro latino-americano certificado foi o Alberto Bastos, sócio-fundador da Módulo. Quando eu passei no exame, em 2000, apenas 13 pessoas possuíam o título por aqui. A partir de 2004, eu trouxe, enquanto trabalhava na Hitech/Etek, os primeiros seminários realizados para o continente latino-americano e desde então o título começou a se popularizar, se tornando a certificação mais cobiçada também no mercado brasileiro.

ISACA

A ISACA (Information Systems Audit and Control Association) tem uma peculiaridade que a difere dos outros institutos de certificação para o mercado de SI, que é o fato dela ser um misto de associação profissional com instituto de certificação. Além de oferecer certificações para o mercado, oferece também serviços típicos de uma associação profissional, que podem ser desfrutados por aqueles que possuem ou não seus títulos. Bem mais antiga que o (ISC)², a ISACA foi fundada em 1967. Seus programas educacionais foram estabelecidos em 1976 e desde então ela alcançou a impressionante marca de 70 mil profissionais certificados em 140 países, presença essa existente também de maneira física através dos seus capítulos locais. A ISACA, historicamente, sempre foi uma associação focada na área de auditoria de sistemas de informação e acumula uma excelente imagem neste segmento, especialmente no setor bancário. Nos últimos anos, ela começou a enveredar por algumas outras áreas, notadamente SI e Governança de TI (Tecnologia da Informação). Essa postura chegou a gerar um mal estar entre a associação e o (ISC)², que já era líder no segmento quando a ISACA resolveu criar o CISM, uma certificação voltada para Gestores de SI. A contra argumentação foi justamente o fato do título estar focado unicamente em gestores, enquanto que o CISSP tinha um caráter mais abrangente, podendo ser obtido também por técnicos e consultores, embora esse não seja seu foco principal.

SANS

Pela própria definição do nome (SysAdmin, Audit, Network, Security) já é possível perceber que o SANS possui um foco mais técnico. Embora o escopo de atuação da organização hoje seja significativamente mais amplo, é entre o pessoal “mão na massa” que o título desfruta de maior respeito e reconhecimento. O SANS possui mais de uma dezena de certificações profissionais, o que chega a gerar certa confusão nos candidatos que planejam obtê-los. Além disso, recentemente, eles implantaram dois caminhos possíveis para cada uma das certificações, com o objetivo de aumentar a quantidade de profissionais certificados. Profissionais que apenas fazem os exames e passam, recebem títulos Silver. Já aqueles que enviam uma monografia sobre o tema para avaliação, recebem o título Gold. O SANS possui um número de profissionais certificados bem inferior ao do (ISC)² ou da ISACA, embora tenha sido fundado em 1989. Cerca de 20 mil profissionais possuem as certificações do SANS, menos da metade do número do (ISC)². Há uma razão para isso: obter certificações do SANS é mais difícil que obter certificações do (ISC)² ou da ISACA. A necessidade da monografia sempre foi uma barreira muito grande. Candidatos que não têm o domínio necessário para escrever em inglês ficavam arrepiados só de pensar no assunto. Ciente disso, o SANS decidiu eliminar a monografia, o que gerou uma onda imensa de protestos, cujo resultado foi a divisão dos títulos entre Gold (com a tradicional monografia) e Silver (apenas com exame). Desde então, o número de profissionais certificados vem crescendo de maneira mais expressiva. O SANS é o líder mundial de treinamentos na área. Cerca de 12 mil profissionais passam pelos seus cursos todos os anos, o que faz dele não só um instituto de certificação, mas uma grande fonte de pesquisa para a área.

CompTIA

A CompTIA é a maior fornecedora de certificações vendor-neutral para o mercado de TI. Fundada em 1993, já certificou mais de 1 milhão de profissionais em mais de 100 países. Sua oferta de certificações em TI é bastante ampla, mas para a área de SI há apenas um título disponível, chamado Security+. Tecnicamente, entretanto, o título é muito mais focado em segurança computacional do que SI em geral. As certificações da CompTIA contam com grande reconhecimento internacional, nem sempre equivalente ao reconhecimento provido pelo mercado brasileiro. O Security+, além de ser pouco conhecido, é amplamente considerado pelo mercado como um título para iniciantes, tanto aqui quanto no exterior. Porém, é uma excelente opção para aqueles que não possuem experiência profissional, pois o título não possui este tipo de exigência. Muitos o escolhem como uma caminho de entrada.

Módulo

A Módulo é a líder incontestável do mercado de SI brasileiro. Em seus mais de 25 anos de atuação, a empresa se estabeleceu como um dos principais provedores de serviços e soluções, o que lhe permitiu expandir sua atuação para outros países e nichos de mercado relacionados, como Governança, Gestão de Riscos e Compliance. No ano 2000, a empresa introduziu no mercado a certificação MCSO, usando como referência as principais certificações de SI disponíveis no mercado internacional. Desde então, a certificação sofreu diversas atualizações e se consolidou como sendo o título em SI mais popular do Brasil, com mais de 600 pessoas certificadas. Ainda hoje, o MCSO é a única opção disponível para quem quiser fazer uma prova de certificação em português. Essa característica ajudou bastante na disseminação do título nas mais diversas regiões brasileiras, além de contar com a simpatia dos profissionais que trabalham na administração pública. Recentemente, o colega Gilberto Netto escreveu em uma recomendação feita no meu perfil do LinkedIn que, somente no Serpro, mais de 40 pessoas possuem a certificação. Além disso, a iniciativa nacional é recebida com simpatia em licitações governamentais. É comum o título aparecer como requisito para prestadores de serviço, equiparado a outros de reconhecimento internacional, como o CISSP e o CISA.

Próximos artigos

Essa série contará com mais dois artigos que serão lançados nas próximas semanas. A Parte 2 cobrirá de maneira mais específica quais são as certificações disponíveis no mercado brasileiro, quais os requisitos de cada uma delas, custos, formas de preparação disponíveis e opções de carreira. A Parte 3, que será o artigo final, falará sobre técnicas de estudo. Vejo entre o pessoal que eu treino que muitos simplesmente não conhecem nenhum método eficaz de estudos. Começam a estudar super motivados mas, depois de um tempo, o volume de informações passa a ser muito grande, a capacidade de reter conhecimentos vai caindo, eles começam a estudar de novo coisas que viram duas semanas atrás, até que vão reduzindo o ritmo e param, com uma sensação velada de frustração ou mesmo de incapacidade. Se você quer saber como as técnicas de estudo podem mudar definitivamente essa história, acompanhem as atualizações deste blog via RSS ou e-mail (usando a caixa newsletter na barra de navegação). Caso você tenha perguntas para este ou para os próximos artigos, coloque-as na seção de comentários e eu tentarei incluir o máximo possível de informações nas próximas revisões.
Read More
Resoluções de Ano Novo - Como Fazer o que Você Ama

Resolutions - Por Robert Terrell

Há quase dois anos eu recebi em umas das listas que eu assino, a excelente SecurityGuys, um texto belíssimo, escrito pelo Paul Graham, um programador que escreve ensaios excelentes sobre tecnologia e, às vezes, sobre assuntos diversos. Eu gostei tanto do texto que decidi, em um momento futuro, traduzi-lo para o português. Paul é um excelente escritor, o que me fez, logo no começo, tomar a decisão de fazer uma tradução de qualidade, para que os leitores da versão traduzida pudessem ver todas as sutilezas e provocações de seu texto original. Durante o Réveillon 2008, estava eu pensando na vida, vasculhando meu cesto de idéias, quando eu reencontrei o ensaio. Não haveria melhor época para a tarefa. Gastei umas boas horas no trabalho e espero que você goste. O texto fala sobre como escolher uma profissão e direcionar a carreira. A primeira reação que tive ao lê-lo foi o desejo de ter encontrado algo parecido anos atrás, pois suas observações são fortes, marcantes, polêmicas e desencadeiam um fluxo de pensamentos que todo mundo deve experimentar em algum momento da vida. O autor chega a proporcionar um método simples, mas poderoso, para dar aquela guinada na carreira com a qual muitos sonham. Como essa é a época das grandes resoluções de ano novo, espero que gostem do que vão encontrar aqui. Certamente é longo, mas vale cada parágrafo. Como Fazer o que Você Ama, por Paul Graham Janeiro de 2006 Tradução por Anderson Ramos Você precisa gostar do que faz para fazer direito. Essa idéia não é exatamente nova. A gente entende isso por cinco palavras: “Faça o que você ama”. Mas falar isso para as pessoas não basta. Fazer o que você ama é algo complicado. A própria idéia não bate com aquilo que a maioria de nós aprende quando somos crianças. Quando eu era uma criança, parecia que trabalho e diversão eram opostos por definição. A vida possuía dois estados: parte do tempo os adultos te forçavam a fazer coisas, e isso era chamado trabalho; o resto do tempo você podia fazer o que queria, e isso era chamado diversão. Ocasionalmente as coisas que os adultos te forçavam a fazer eram divertidas, da mesma forma que, ocasionalmente, se divertir poderia não ser, por exemplo, se você caísse e se machucasse. Mas exceto por estes poucos casos fora do padrão, o trabalho era quase que definido como não-diversão. E não parecia ser por acidente. Estava implícito que a escola era tediosa porque se tratava de uma preparação para o trabalho adulto. Naquele tempo o mundo era dividido em dois grupos: adultos e crianças. Os adultos, como se fossem algum tipo de raça amaldiçoada, tinham que trabalhar. As crianças não precisavam, mas tinham que ir para a escola, que era uma versão simplificada do trabalho, cujo propósito era nos preparar para o trabalho de verdade. Independente do quanto nós não gostássemos da escola, todos os adultos concordavam que trabalhar era pior, e que nossa vida de criança era moleza. Todos os professores, em especial, pareciam acreditar implicitamente que o trabalho não era divertido. O que não é uma surpresa: o trabalho não era divertido para a maioria deles. Por que tínhamos que memorizar as capitais dos estados ao invés de jogar queimada? [NT1] Pela mesma razão que eles tinham que ficar vigiando um bando de crianças ao invés de ficarem estirados na praia. As pessoas não podiam simplesmente fazer aquilo que quisessem. Não estou dizendo que nós deveríamos simplesmente permitir que as crianças fizessem qualquer coisa que lhes viesse à cabeça. Podemos estimulá-las a fazerem certas coisas. Mas se nós fizermos com que elas trabalhem em coisas chatas, talvez seja prudente dizer a elas que a chatice não é a característica que define o trabalho, e que na verdade a razão pela qual elas têm que fazer coisas chatas hoje é para que elas possam trabalhar em coisas mais interessantes no futuro. [1] Certa vez, quando eu tinha uns nove ou dez anos, meu pai me disse que eu podia fazer qualquer coisa que quisesse quando eu crescesse – desde que eu gostasse. Eu me lembro como se fosse hoje porque me pareceu muito estranho. Era como se ele estivesse me dizendo para beber água seca. Seja lá o que for que eu tenha entendido do que ele disse, eu não pensei que ele quisesse dizer que o trabalho poderia ser literalmente divertido – divertido como brincar. Eu levei anos para entender isso. Empregos Durante o ensino médio, a perspectiva de arrumar um trabalho de verdade apareceu no horizonte. Os adultos às vezes vinham falar conosco sobre o trabalho deles, ou íamos vê-los trabalhando. Estava sempre implícito que eles gostavam do que faziam. Olhando para trás, eu lembro que um deles talvez gostasse: o piloto de avião. Mas eu não achava que o gerente do banco realmente gostava do que fazia. A principal razão pela qual todos agiam como se gostassem do trabalho era uma convenção de classe média-alta de que todos devemos ser desse jeito. Não só é ruim para sua carreira dizer que você despreza o seu trabalho, como também é uma gafe social. Por que é tão convencional fingir que você gosta do que faz? A primeira sentença deste texto explica isso. Se você precisa gostar do que faz para fazer direito, logo todas as pessoas bem sucedidas gostam do que fazem. É daí que vêm as tradições da classe média-alta. Da mesma forma que por toda a América existem casas cheias de cadeiras que são imitações de outras desenhadas há 250 anos para reis franceses, ainda que os donos não saibam, atitudes convencionais sobre o trabalho são imitações das atitudes de grandes pessoas, ainda que os donos dessas atitudes não se dêem conta disso. Que receita para alienação! Quando atingem a idade de pensar sobre o que realmente gostariam de fazer, a maioria dos garotos foi amplamente iludida sobre a idéia de amar o próprio trabalho. A escola os treinou a considerar o trabalho uma atividade desagradável. Dizem que arrumar um emprego é algo ainda mais trabalhoso que a lição de casa. Contudo, todos os adultos dizem que gostam do que fazem. Você não pode culpar as crianças por pensarem “eu não sou como essas pessoas; eu não sirvo para este mundo.” Na verdade, contaram para eles três mentiras: as coisas que lhes ensinaram a considerar trabalho na escola não é trabalho de verdade; o trabalho adulto não é (necessariamente) pior que a lição de casa; e muitos dos adultos ao redor deles estão mentindo quando dizem que gostam do que fazem. Os mentirosos mais perigosos podem ser os próprios pais das crianças. Se você aceita um trabalho tedioso para dar a sua família um alto padrão de vida (como muitos fazem) você corre o risco de infectar seus filhos com a idéia de que o trabalho é tedioso. [2] Talvez fosse melhor para as crianças, nesse caso, se os pais não fossem tão altruístas. Um pai que dá o exemplo de amar o que faz pode ser mais útil para seus filhos do que uma casa cara. [3] Somente quando eu fui para a faculdade foi que a idéia de trabalhar se separou da idéia de ganhar a vida. Então a pergunta mais importante não era como ganhar dinheiro, mas sim no que trabalhar. Em uma situação ideal ambos deveriam coincidir, mas alguns casos espetaculares (como o do Einstein no escritório de patentes) provaram que ambas as coisas não eram idênticas. Naquela época a definição de trabalho passou a ser contribuir com o mundo de maneira original, sem passar fome durante o processo. Mas depois de ter aquele hábito por tantos anos, minha idéia de trabalho ainda incluía grandes componentes de sofrimento. O trabalho ainda parecia demandar disciplina, pois apenas problemas difíceis trazem grandes resultados, e problemas difíceis não poderiam ser literalmente divertidos. Certamente as pessoas tinham que se forçar a trabalhar neles. Se você supõe que algo vai machucá-lo, é mais difícil perceber que você faz esse algo de maneira errada. Isso meio que resume minha experiência na faculdade. Limites O quanto você deve gostar do que faz? A não ser que você tenha esta resposta, você não saberá quando é a hora de parar de procurar. E se você for como a maioria das pessoas, você vai subestimar a importância disto, e vai parar de procurar muito cedo. Você vai acabar fazendo algo escolhido pelos seus pais, ou por desejo de ganhar dinheiro, ou por prestígio – ou por absoluta inércia. Aqui temos um limite superior: fazer o que você ama não significa faça aquilo que você mais gostaria de fazer neste exato segundo. Até mesmo o Einstein provavelmente teve momentos onde ele quis ir tomar um café, mas disse a si mesmo que deveria terminar o que estava fazendo primeiro. Eu costumava ficar perplexo quando eu lia sobre pessoas que gostavam tanto do que faziam que não havia mais nada que eles quisessem fazer que não fosse aquilo. Não parecia existir para mim nenhum tipo de trabalho que eu gostasse tanto de fazer. Se eu tivesse a opção de (a) gastar a próxima hora trabalhando em algo e (b) ser teleportado para Roma e gastar a próxima hora vagueando por lá, haveria algum tipo de trabalho que eu preferiria? Honestamente, não. Mas o fato é que quase todo mundo preferiria, num dado momento, flutuar sobre o Caribe, ou fazer sexo, ou comer algo delicioso, do que trabalhar em problemas difíceis. A regra sobre fazer o que você ama assume um determinado período de tempo. Ela não significa faça aquilo que vai te fazer mais feliz neste exato momento, mas faça aquilo que te fará feliz ao longo de um período mais longo, como uma semana ou um mês. Eventualmente, as pessoas se cansam de prazeres improdutivos. Depois de um tempo você se enche de ficar deitado na praia. Se você quiser se manter feliz, você precisa fazer algo. Como um limite inferior, você tem que gostar do seu trabalho mais do que qualquer outro prazer improdutivo. Você deve gostar do que faz o suficiente para que a idéia de “tempo livre” pareça equivocada. O que não significa dizer que você deve gastar todo o seu tempo trabalhando. Você pode trabalhar o quanto agüentar até que fique cansado e comece a fazer besteira. Então você vai querer fazer alguma outra coisa – mesmo que seja fútil. Mas você não deve achar que este período é o prêmio e que o tempo que você gasta trabalhando é o sofrimento que você precisa encarar para ganhá-lo. Eu defini esse limite inferior por razões práticas. Se o seu trabalho não for a coisa que você mais gosta de fazer, você terá problemas terríveis de procrastinação. Você terá que se forçar a trabalhar e, quando fazemos isso, os resultados são claramente inferiores. Para estar feliz eu acho que você não só tem que fazer algo que lhe agrade, mas também que você admire. Você tem que ser capaz de dizer, no final, uau, isso é bem legal. Isso não significa que você tem que construir algo. Se você aprende a operar um paraglider ou a falar um idioma estrangeiro fluentemente, isso será o suficiente para te fazer dizer, por um tempo pelo menos, uau, isso é bem legal. O que precisa haver é um teste. Uma coisa que por pouco fica de fora, em minha opinião, é a leitura de livros. Exceto por alguns livros de matemática e ciências exatas, não há como testar quão bem você leu um livro, e essa é a razão pela qual a mera leitura de livros não se parece exatamente com trabalho. Você tem que fazer algo com o que você leu para se sentir produtivo. Eu acho que o melhor teste é o que o Gino Lee me ensinou: tentar fazer coisas que façam seus amigos dizer uau. Mas esse teste provavelmente não vai funcionar muito bem até os 22 anos, porque a maioria das pessoas ainda não teve uma amostragem suficientemente grande para se basear. Sirenes O que você não deve fazer, em minha opinião, é se preocupar com a opinião de alguém que não seja seu amigo. Você não deve se preocupar com o prestígio. O prestígio é a opinião do resto do mundo. Se você pode pedir a opinião de pessoas cujo julgamento você respeita, o que acrescentaria considerar as opiniões de pessoas que você nem conhece? [4] Esse é um conselho fácil de dar e difícil de seguir, especialmente se você for jovem [5]. O prestígio é como um imã poderoso que distorce até mesmo suas próprias opiniões a respeito do que você gosta. Ele faz com que você trabalhe não naquilo que você gosta, mas naquilo que você gostaria de gostar. Isso é o que leva as pessoas a quererem escrever romances, por exemplo. As pessoas gostam de ler romances. Elas percebem que prêmios Nobel são dados a quem os escreve. O que poderia ser mais maravilhoso, elas pensam, que ser um escritor? Mas gostar da idéia de ser um escritor não é o suficiente; você tem que gostar do trabalho de escrever se você quiser ser bom nele; você tem que gostar de criar mentiras elaboradas. O prestígio é apenas inspiração fossilizada. Se você fizer qualquer coisa bem o suficiente, você fará com que ela tenha prestígio. Muitas coisas que têm prestígio hoje não representavam absolutamente nada no começo. O jazz me veio à mente – embora quase qualquer forma de arte estabelecida também venha. Então faça apenas aquilo que você gosta, e deixe o prestígio tomar conta dele mesmo. O prestígio é especialmente perigoso para os ambiciosos. Se você quiser fazer pessoas ambiciosas perderem tempo em roubadas, a melhor forma de fazer é pendurando prestígio na isca. Essa é a receita para fazer com que as pessoas dêem entrevistas, escrevam prefácios, trabalhem em comitês, sejam chefes de departamento e por aí vai. Pode ser uma boa regra simplesmente evitar qualquer tarefa que tenha prestígio. Se ela não fosse uma porcaria, não precisariam dar prestígio a ela. De maneira similar, se você admira dois tipos de trabalho de maneira parecida, mas um deles tem mais prestígio, você deve provavelmente escolher o outro. Suas opiniões sobre o que é admirável serão sempre ligeiramente influenciadas pelo prestígio. Então se ambas parecem iguais para você, é provável que você admire mais aquela que tem menos prestígio. Outra grande força que leva as pessoas para fora do caminho é o dinheiro. O dinheiro por si só não é perigoso. Quando alguma coisa paga bem, mas é tratada com desprezo, como telemarketing, ou prostituição, ou processos por lesões corporais, pessoas ambiciosas se sentem tentadas por elas. Este tipo de trabalho acaba sendo feito por pessoas que estão “apenas tentando ganhar a vida”. (Dica: evite qualquer área de atuação cujos praticantes costumem dizer isso). O perigo é quando o dinheiro é combinado com o prestígio como, por exemplo, no direito corporativo ou na medicina. Uma carreira comparativamente segura e próspera com algum prestígio inicial automático é perigosamente tentadora para alguém jovem, que ainda não conseguiu descobrir o que realmente gosta. O teste para saber se as pessoas realmente amam o que fazem é verificar se elas fariam aquilo mesmo que não fossem pagas para tal – mesmo que elas tivessem que ter outro emprego para ganhar a vida. Quantos advogados corporativos fariam o seu trabalho atual se eles tivessem que fazê-lo de graça, durante seu tempo livre, enquanto trabalham como garçons durante o dia para sobreviver? Esse teste é especialmente útil na hora de decidir entre diferentes tipos de trabalho acadêmico, porque as áreas de atuação variam imensamente em relação a isso. A maioria dos bons matemáticos trabalharia com matemática mesmo que não existissem empregos como professores de matemática, enquanto que nos departamentos (NT: em faculdades) na outra ponta do espectro, a disponibilidade de empregos como professores é o fator determinante: as pessoas preferem atuar como professor de inglês (NT: neste caso o autor se refere ao Inglês ensinado para os alunos americanos nos cursos universitários) do que trabalhar em agências de publicidade, e publicar trabalhos acadêmicos é o caminho para competir por uma dessas vagas. A matemática existiria sem os departamentos de matemática, mas é a existência de matérias preferências relacionadas ao ensino da língua inglesa e, por conseqüência, os empregos como professor para ensiná-las, que cria todos esse trabalhos acadêmicos sombrios sobre gênero e identidade nos romances de Conrad. Ninguém faz este tipo de coisa por diversão. O conselho dos pais tende a exagerar para o lado do dinheiro. Parece seguro dizer que existem mais estudantes universitários querendo ser escritores quando os pais querem que eles sejam médicos do que aspirantes a médico cujos pais querem que eles sejam escritores. Os garotos pensam que seus pais são “materialistas”. Não necessariamente. Todos os pais tendem a ser mais conservadores com seus filhos do que foram consigo mesmos, simplesmente porque, como pais, eles compartilham mais riscos do que recompensas. Se o seu filho de oito anos decide escalar uma árvore, ou a sua filha adolescente decide sair com o bad boy da turma, você não vai obter nenhuma fração da excitação. Mas se seu filho cair, ou se sua filha ficar grávida, você terá que lidar com as conseqüências. Disciplina Com forças de tamanho poder nos levando para fora do caminho, não é surpresa que achemos tão difícil descobrir no que gostamos de trabalhar. A maioria das pessoas foi condenada na infância a aceitar o axioma trabalho = sofrimento. Aqueles que escapam são quase todos seduzidos pelo prestígio ou pelo dinheiro. Quantos sequer descobrem algo com o qual amam trabalhar? Algumas centenas de milhares, talvez, em bilhões. É difícil achar trabalho que você ame; tem que ser assim; se você admitir para si mesmo que está descontente, você estará um passo a frente da maioria das pessoas, que ainda estão na fase da negação. Se você está cercado por colegas que afirmam gostar de um trabalho que você considera desprezível, provavelmente eles estão mentindo para si mesmos. Não necessariamente, mas provavelmente. Embora um trabalho notável exija menos disciplina do que as pessoas imaginam – porque a forma de fazer um trabalho notável é encontrar algo que você goste tanto a ponto de não precisar se forçar para fazê-lo – encontrar um trabalho que você ama normalmente requer disciplina. Algumas pessoas têm a sorte de saber o que desejam fazer já aos 12 anos, e apenas deslizam ao longo do caminho como se estivessem em uma estrada férrea. Mas isso parece ser a exceção. É mais comum que as pessoas que têm um trabalho notável tenham carreiras que se parecem com uma bola de pingue-pongue. Elas vão para a escola para estudar A, desistem e conseguem um emprego para fazer B, e então se tornam famosas por C, depois que começam a se divertir com isso em paralelo. Às vezes, pular de um tipo de trabalho para outro é um sinal de energia e, às vezes, é um sinal de preguiça. Você está desistindo ou está corajosamente abrindo um novo caminho? Muitas vezes é impossível dizer. Muitas pessoas que farão coisas notáveis no futuro enfrentam muitos desapontamentos no começo, quando elas estão tentando encontrar o seu nicho. Há algum teste que você possa usar para se manter honesto consigo mesmo? Um deles seria tentar fazer um bom trabalho, não importa o que você esteja fazendo, mesmo que você não goste. Dessa forma, pelo menos, você saberá que não está usando a insatisfação como desculpa para não se esforçar. Quem sabe você se habitue a fazer as coisas direito, o que é ainda mais importante. Outro teste que você pode usar é: produzir sempre. Por exemplo, se você tem um emprego durante o dia que você não leva a sério porque você planeja ser um escritor, será que você está realmente escrevendo o restante do tempo? Você está escrevendo páginas de ficção, mesmo que ruins? Enquanto você estiver produzindo, você saberá que não está meramente usando a confusa visão do grande romance que você planeja escrever um dia como uma droga. A visão desse romance será obstruída por outra, mais tangível e falha, que é a do romance que você está escrevendo hoje. “Produza sempre” é também um método para encontrar o trabalho que você ama. Se você se sujeitar a essa restrição, ela vai automaticamente te afastar de coisas com as quais você supostamente gostaria de trabalhar e te aproximar das coisas que você gosta verdadeiramente. “Produza sempre” descobrirá o trabalho da sua vida da mesma forma que a água, com o auxílio da gravidade, encontra um buraco no seu teto. Obviamente, conseguir descobrir com o que você gosta de trabalhar não significa arrumar um emprego. Esse é outro problema. E se você for ambicioso você têm que manter ambos separados: você tem que fazer um esforço consciente para evitar que suas idéias sobre o que você quer sejam contaminas por aquelas que te mostram o que parece possível. [6] É doloroso mantê-las separadas, porque é doloroso observar a distância que existe entre as duas. Por conta disso, a maioria das pessoas reduz as próprias expectativas antecipadamente. Por exemplo, se você perguntar para pessoas aleatoriamente na rua se elas são capazes de desenhar como Leonardo, a coisa que você mais vai ouvir é algo como “Ah, eu não consigo desenhar”. Essa é mais uma declaração de intenção do que um fato; ela significa “eu não vou tentar”. Porque o fato é, se você pegasse pessoas aleatoriamente na rua e de alguma maneira conseguisse forçá-las a estudar o máximo que pudessem pelos próximos vinte anos, elas chegariam surpreendentemente longe. Mas isso demandaria um enorme esforço moral; significaria encarar o fracasso todos os dias durante anos. Por isso elas se protegem dizendo que “não conseguem”. Outro argumento relacionado que você vai ouvir freqüentemente é que nem todos podem fazer aquilo que amam – que alguém tem que fazer os trabalhos indesejáveis. Será mesmo? Como você força as pessoas a fazê-los? Nos EUA o único mecanismo para forçar as pessoas a fazer trabalhos indesejáveis é o alistamento militar, e esse recurso já não é utilizado há pelo menos 30 anos. Tudo que podemos fazer é encorajar as pessoas a fazerem trabalhos indesejáveis, usando dinheiro e prestígio. Se mesmo assim existir algo que as pessoas não queiram fazer, parece que a sociedade tem que aprender a se virar sem isso. Foi o que aconteceu com as empregadas domésticas nos países desenvolvidos. Por milênios este foi o canônico exemplo de um trabalho “que alguém tinha que fazer”. E ainda assim, na metade do século, elas praticamente desapareceram, e os ricos tiverem que aprender a se virar sem elas. Portanto, enquanto existirem coisas que “alguém tem que fazer”, provavelmente haverá pessoas questionando isso. A maioria dos trabalhos indesejáveis será automatizada ou ficará por fazer se ninguém estiver disposto a fazê-los. Duas rotas Há um significado em “nem todos podem fazer o que amam”, entretanto, que é verdadeiro. As pessoas precisam ganhar a vida, e é difícil ser pago para fazer o que você ama. Há duas rotas para este destino:
  • A rota orgânica: à medida que você se destaca, você pode gradualmente aumentar o trabalho naquilo que você gosta à custa do trabalho naquilo que você não gosta.
  • A rota dos dois empregos: trabalhar em coisas que você não gosta para conseguir dinheiro para poder trabalhar naquilo que você gosta.
A rota orgânica é a mais comum. Acontece naturalmente com qualquer um que é bom no que faz. Um jovem arquiteto tem que aceitar qualquer trabalho que apareça, mas se trabalhar direito ele pode gradualmente estar em uma posição que lhe permita ser mais exigente na escolha de projetos. A desvantagem deste tipo de rota é que ela é lenta e incerta. Mesmo a estabilidade não significa liberdade verdadeira. A rota dos dois empregos possui diversas versões dependendo de quanto tempo você gasta trabalhando por dinheiro. Em um extremo está o período integral, onde você trabalha durante o horário comercial em um emprego para fazer dinheiro, e trabalha naquilo que ama em seu tempo livre. A rota dos dois empregos é menos comum que a rota orgânica, porque ela requer uma escolha deliberada. Ela é também mais perigosa. A vida tende a ficar mais cara à medida que você envelhece, por isso é fácil ser engolido e acabar trabalhando mais do que você espera no emprego que te dá dinheiro. Pior ainda, tudo aquilo com o qual você trabalha te altera. Se você trabalhar por muito tempo em coisas tediosas, isso apodrecerá seu cérebro. E os empregos que pagam melhor são os mais perigosos, porque eles demandam sua dedicação total. A vantagem da rota dos dois empregos é que ela te ajuda a pular obstáculos. O panorama de empregos possíveis não é plano; existem paredes de tamanhos variados entre diferentes tipos de trabalho [7]. O truque de maximizar as partes do trabalho que te agradam pode fazer com que você mude de arquitetura para design de produtos, mas não, provavelmente, para música. Se você ganha dinheiro com uma coisa e então trabalha com outra, você tem mais liberdade de escolha. Qual rota você deve tomar? Isso depende de quão certo você está sobre o que quer fazer, do quanto você é bom em aceitar ordens, de quanto risco você pode tolerar, e das chances que alguém pague (ao longo da sua vida) por aquilo que você gostaria fazer. Se você está certo sobre a área geral na qual quer trabalhar e isso é algo que as pessoas provavelmente vão te pagar para fazer, então você provavelmente deve escolher a rota orgânica. Mas se você não sabe no que quer trabalhar, ou não gosta de aceitar ordens, talvez você deva escolher a rota dos dois empregos, caso você possa se sujeitar ao risco. Não decida muito cedo. As crianças que sabem logo cedo o que querem fazer parecem impressionantes, como se soubessem a resposta para uma pergunta de matemática antes das outras. Elas têm uma resposta, certamente, mas é provável que ela esteja errada. Tenho uma amiga médica, muito bem sucedida, que reclama o tempo todo de seu trabalho. Quando as pessoas que estão prestando para medicina lhe pedem aconselhamento, ela tem vontade de chacoalhar-los e gritar “não faça isso!” (mas ela nunca faz). Como ela se meteu nessa encrenca? Ela já queria ser médica durante o segundo grau. E ela é tão ambiciosa e determinada que superou cada obstáculo no meio do caminho – incluindo, infelizmente, o fato dela não gostar de medicina. Hoje ela tem uma vida que foi escolhida para ela por uma colegial. Quando você é jovem, te dão a impressão de que você terá informação suficiente para fazer cada escolha da sua vida antes do momento necessário. Mas certamente isso não funciona com o trabalho. Quando você está decidindo o que fazer, você tem que decidir com base em informações ridiculamente incompletas. Mesmo na faculdade você tem pouca idéia sobre como são os diversos tipos de emprego disponíveis. Na melhor das hipóteses, você terá passado por uns dois estágios, mas nem todos os empregos oferecem estágio, e aqueles que oferecem não te ensinam muito mais sobre o trabalho do que um rebatedor te ensina sobre como jogar baseball. Em projetos de vida, como na maioria dos projetos, você consegue melhores resultados se utilizar meios flexíveis. Então, a não ser que você esteja bem seguro sobre o que quer fazer, sua melhor aposta talvez seja escolher um tipo de trabalho que possa lhe permitir escolher ambas as rotas. Essa foi provavelmente a razão pela qual eu escolhi os computadores. Você pode ser professor, ou ganhar um monte de dinheiro, ou transformá-los em inúmeros outros tipos de trabalho. Também é prudente, logo cedo, procurar empregos que te permitam fazer muitas coisas diferentes. Assim você pode aprender mais rápido como são os diversos tipos de trabalho. Por outro lado, a versão extrema da rota dos dois empregos é perigosa porque ela te ensina muito pouco sobre o que você gosta. Se você der duro negociando títulos financeiros por dez anos, pensando que você vai largar o trabalho e escrever um romance quando tiver dinheiro suficiente, o que acontecerá quando você largar e então descobrir que você não gosta de escrever? A maioria das pessoas diria que esse é um problema bom. Dê-me um milhão de dólares e eu descubro o que fazer com ele. Mas isso é mais difícil do que parece. As restrições dão forma a sua vida. Remova as restrições e a maioria das pessoas não tem a menor idéia sobre o que fazer: olhe o que acontece com aqueles que ganham na loteria ou herdam dinheiro. Quase todo mundo pensa que deseja segurança financeira, mas as pessoas mais felizes não são aquelas que a tem, e sim aquelas que gostam do que fazem. Dessa forma, um plano que te prometa liberdade em troca de descobrir o que você gosta de fazer, pode não ser tão bom quanto parece. Independente da rota que você escolher, esteja preparado para as dificuldades. Encontrar o trabalho que você ama é muito difícil. A maioria das pessoas não consegue. Mesmo que você tenha sucesso, é muito raro conseguir a liberdade para trabalhar naquilo que gosta antes dos trinta ou quarenta anos. Mas se você tem um destino em vista, a probabilidade de chegar lá é maior. Se você sabe que é possível amar o trabalho, você está no trecho final do percurso, e se você sabe qual é o trabalho que você ama, você praticamente já chegou lá. Notas [nt1] No original, o termo usado foi dodgeball, um jogo parecido com a queimada, uma brincadeira praticada em muitas partes do Brasil, com alguma variação no nome. Mais informações no Wikipédia. [1] Na verdade nós fazemos o oposto: quando nós forçamos as crianças a fazerem um trabalho chato, como exercícios de aritmética, ao invés de admitir francamente que a coisa é chata, nós tentamos disfarçá-la com decorações superficiais. [2] Certa vez um pai me contou sobre um fenômeno parecido: ele descobriu que estava escondendo da sua família o quanto ele gostava do seu trabalho. Quando ele queria ir trabalhar no sábado, ele percebeu que era mais fácil dizer que estava indo porque “tinha que ir” por uma razão qualquer, do que admitir que preferia trabalhar do que ficar em casa com eles. [3] Algo similar acontece nos subúrbios. Os pais se mudam para os subúrbios para criar seus filhos em um ambiente mais seguro, mas os subúrbios são tão chatos e artificiais que quando as crianças têm cerca de quinze anos elas estão convencidas de que o mundo todo é chato. (NT: os subúrbios nos EUA são áreas afastadas dos centros das cidades onde moram, geralmente, as famílias de classe média e acima. Assemelham-se bastante aos condomínios de casas que existem em muitas cidades brasileiras, porém, sem os muros, já que não existe tal necessidade do ponto de vista da segurança). [4] Não estou dizendo que os amigos devem ser a única audiência para o seu trabalho. Quanto mais pessoas puderem te ajudar, melhor. Mas os amigos devem ser a sua bússola. [5] Donald Hall diz que os jovens aspirantes a poetas estão equivocados em sua obsessão de conseguirem a publicação de seus trabalhos. Mas você consegue imaginar o que a publicação de um poema na revista The New Yorker faz com uma pessoa de 24 anos. Quando ele for a uma festa poderá dizer que é um poeta de verdade. Na realidade, ele não é nem melhor nem pior do que era antes da publicação, mas para uma audiência ingênua como essa, a aprovação de uma autoridade oficial faz toda a diferença. Por isso, o problema é mais difícil do que Hall imagina. A razão pela qual os jovens se importam tanto com o prestígio é porque as pessoas que eles querem impressionar não possuem muito discernimento. [6] Isso é similar ao princípio de que você deve impedir que suas crenças sobre como o mundo deveria ser contaminem a visão do mundo como ele é. A maioria das pessoas permite que ambas se misturem de maneira bastante promíscua. O indício mais visível disso é a prolongada popularidade das religiões. [7] Uma metáfora mais precisa seria dizer que o gráfico dos empregos não está muito bem conectado. Meus agradecimentos a Trevor Blackwell, Dan Friedman, Sarah Harlin, Jessica Livingston, Peter Norvig, Robert Morris, e Aaron Swartz por terem lido o rascunho deste texto. O texto original está disponível em: http://www.paulgraham.com/love.html
Read More
O mercado econômico e a Segurança da Informação
Muito tem se feito nas organizações para eliminar o estigma que transforma Segurança da Informação (SI) em sinônimo de Segurança em TI, fazendo-a operar descolada da chamada Segurança Física ou Patrimonial. Pouco a pouco percebe-se que, a partir do momento que encaramos a segurança como uma garantia de que a empresa está protegida contra ameaças que possam causar impacto ao funcionamento normal dos negócios, deixamos de ter uma visão pontual e centralizada para adotarmos uma visão mais abrangente sobre o assunto.
Read More
Conscientização de usuários e Segurança da Informação
A tarefa de gerir a Segurança da Informação (SI) dentro de uma organização é complexa e abrangente. O assunto, até pouco tempo desconhecido fora das grandes empresas e do círculo de profissionais especializados, tem vindo a tona com maior freqüência, provavelmente impulsionado por uma mudança gradual e constante pela qual vem passando o universo da SI como um todo nos últimos anos.
Read More