Há 7 anos um livro capturou as atenções do mercado de segurança da informação. O livro recebeu diversas premiações e caiu até nos gostos do Rob Slade, um famoso revisor de livros que só gostou de uns 5 livros em toda a sua vida, dos 500 que ele já leu ;-) O material em questão é o Security Engineering, escrito por Ross Anderson, muitas vezes chamado de "Bruce Schneier" inglês. Ross é considerado a maior autoridade no assunto, além de ser um profissional de reconhecimento internacional. Ele é professor na Universidade de Cambridge e foi responsável pelo desenvolvimento do Serpent, um algorítimo criptográfico que ficou em segundo lugar no concurso internacional que escolheu o Rijndael como sucessor do DES.
Passado todo esse tempo, eu recebi nesta semana a segunda edição, que está disponível também em encadernação de capa dura. Eu teria tantas coisas importantes para falar que vou me resumir a mais importante de todas: LEIA! Todo profissional de segurança que tem um compromisso com seu próprio conhecimento deveria fazê-lo.
As informações que ele possui têm valor inestimável e eu posso lhe garantir que não existe nenhum outro livro ou sítio onde você vai encontrá-las de maneira tão precisa e concisa. O material é porta de entrada para um verdadeiro mundo de informações, contendo referências para mais de 1000 outros livros e trabalhos acadêmicos que servem de referência para um estudo mais profundo.
Para aqueles que estão se preparando para o CISSP, eu costumo recomendar este livro como leitura obrigatória. Porém, o conteúdo é muito mais abrangente do que é demandado no exame, então é necessário por um pouco de foco. Entretanto, se você tiver tempo para ler tudo, cada linha de conhecimento lhe será útil, seja no exame ou no trabalho. A princípio, o material pode assustar um pouco por sua notação científica mas, passado o período de adaptação para aqueles que não estão familiarizados, a leitura flui bem.
Confira você mesmo, alguns capítulos estão disponíveis gratuitamente no sítio do autor, além de toda a primeira edição, agora já um pouco desatualizada, mas ainda de grande valia.
O WikiCrimes é um projeto de pesquisa da Célula de Engenharia do Conhecimento da Universidade de Fortaleza, sob a coordenação do Professor Vasco Furtado. O sítio é um mashup onde os usuários podem cadastrar crimes que tenham sofrido, gerando estatísticas que podem ser visualizadas de diversas maneiras, incluindo uma visão geo-referenciada através do Google Maps.
Como os índices de notificação de crimes para as autoridades competentes nem sempre representam a realidade por uma série de fatores, a idéia do sítio é criar uma base alternativa que possa ser contrastada com os dados oficiais.
Todos os dias recebo o contato de pessoas interessadas em adquirir o Guia Oficial para a Formação de Gestores em Segurança da Informação - Security Officer 1 e 2. Não me sinto à vontade para falar que os livros são bons, mas você há de convir que não há livro com um nome maior que esse no mercado nacional ;-) Falando sério agora: trabalhei como organizador e co-autor destes livros e fico muito feliz de saber que ambos estão esgotados. A Módulo, empresa que bancou a sua produção, continua entregando os livros para os alunos dos cursos da formação MCSO. Por hora, essa é a única forma de obter os livros hoje, em um pacote junto com o curso de formação. Há uma reimpressão sendo planejada para este ano ainda. Até lá, sobre a opção é tentar adquiri-los de segunda mão, em listas como a cisspBR@yahoogroups.com.
CISSP
Não é exagero dizer que o CISSP (Certified Information Systems Security Professional) é a mais importante, e provavelmente uma das mais cobiçadas, certificações em SI. Principal título do (ISC)², o CISSP possui excelente reconhecimento internacional, sendo muitas vezes mencionado como um diferencial em programas de emissão de vistos de diversos países. Por isso, é a principal certificação para quem quer reconhecimento tanto no Brasil como no exterior, sendo que muitos a vêem como um passaporte internacional de trabalho. Com exceção dos EUA, onde o número de profissionais certificados beira os 40 mil, o CISSP é um título relativamente escasso na maioria dos países. No Brasil, apenas 200 profissionais possuem o título, havendo muito mais demanda do que oferta. Direcionado para profissionais de nível consultivo e gerencial, o CISSP é procurado tanto por técnicos como por gestores/consultores, embora o foco maior seja o último grupo. Se você quer um título de foco mais técnico que o CISSP, você deve procurar o SSCP, mantido também pelo (ISC)², ou o GIAC, mantido pelo SANS.Exame
O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no site do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 499 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel (uma justificativa está disponível no artigo que fala sobre o SSCP). O exame possui 250 perguntas que devem ser respondidas em 6 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Apenas 225 perguntas entram na pontuação, sendo que as 25 restantes fazem parte de um processo de pesquisa de dificuldade e qualidade, mas o candidato não sabe quais são pontuadas ou não e deve tentar responder todas da melhor forma possível. O (ISC)² autoriza o uso de dicionários de tradução caso o exame seja aplicado em um idioma que não seja o nativo do candidato. O exame está disponível em inglês e em mais alguns idiomas que não incluem o português. Não existe período de carência em caso de reprovação. Os domínios que compõe o CISSP CBK (Common Body of Knowledge) são:- Access Control
- Application Security
- Business Continuity and Disaster Recovery Planning
- Cryptography
- Information Security and Risk Management
- Legal, Regulations, Compliance and Investigations
- Operations Security
- Physical (Environmental) Security
- Security Architecture and Design
- Telecommunications and Network Security
Requisitos
O CISSP demanda requisitos prévios de experiência profissional. O candidato deve comprovar cinco anos de experiência em dois ou mais domínios de conhecimento dos que compõe o CBK. Como muitas vezes esse requisito gera dúvidas em relação a sua interpretação, há uma página especificando exatamente o que é aceito como experiência “direta em tempo integral”. Os candidatos que possuem diploma de mestrado ou graduação (curso de quatro anos) podem abater um ano de experiência. Esse desconto de um ano também é válido caso a pessoa possua uma certificação profissional aprovada pelo (ISC)². Dessa forma, ainda que utilize os descontos, o candidato tem que comprovar pelo menos quatro anos de experiência. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde é possível prestar o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do CISSP. Desta forma, o candidato comprova que possui conhecimentos, faltando apenas os requisitos de experiência para obter o certificado completo. Assim que experiência tiver sido acumulada, o diploma de Associate pode ser convertido no CISSP. Como no SSCP, todos os profissionais certificados pelo (ISC)² devem se comprometer com o Código de Ética do instituto e ter o seu formulário de registro endossado por outro profissional certificado. Todos os requisitos aqui apresentados são auditados por amostragem. Quem cai na malha fina deve prover documentação comprovando as informações apresentadas.Validade
O CISSP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional e o título vai sendo renovado a cada período de 3 anos. Verifique no site do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o CISSP, a anuidade custa 85 dólares.Preparação
Existem muitos livros disponíveis que podem ser usados na preparação para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the CISSP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros sugeridos caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Outro livro bastante utilizado em virtude da sua didática é o CISSP All-in-one Exam Guide, 4th Ed., escrito pela autora Shon Harris. Se você puder comprar os dois, eu recomendo. Se você quiser comprar apenas um, a literatura oficial é a melhor opção. Porém, encare o livro como uma literatura de referência ao invés de tentar lê-lo de capa a capa. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de cinco dias e inclui um simulado oficial de 100 perguntas ao final.Veredicto
O CISSP é de longe o título mais reconhecido e demandado na área de SI, tanto no Brasil como no exterior. Ele é procurado por consultores e gerentes, além de técnicos querendo direcionar sua carreira para gerência/consultoria. Se você quer um título puramente técnico, o Security+, o SSCP e o GIAC são as opções mais adequadas em ordem de dificuldade e reconhecimento. A opção Associate do CISSP permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. A prova está disponível apenas em inglês. Se isso for um problema para você, a única opção é o MCSO, pois esta é a única certificação cujo exame está disponível em português.Maiores informações
CISSP® - The International Gold StandardMCSO
O MCSO (Módulo Certified Security Officer) é a mais popular certificação em SI do mercado brasileiro, contando hoje com 800 profissionais certificados. Criada em 2000, usando como inspiração outros títulos disponíveis no mercado, incluindo o próprio CISSP, o MCSO é uma certificação gerencial, voltada para o Gestor de Segurança da Informação. De todas as certificações aqui apresentadas, essa é a única que se encontra em português, o que acaba sendo um fator determinante para muitas pessoas. Embora a dificuldade de obter a certificação não seja tão grande quanto a do CISSP ou do CISM, sua penetração é maior, havendo profissionais certificados em vários estados brasileiros, enquanto que no CISSP há uma forte concentração no eixo São Paulo, Rio e Brasília.Exame
A prova é composta de cerca de 200 questões de múltipla escolha, sendo que 60% são relacionadas à gestão e 40% relacionadas à tecnologia. As perguntas de gestão têm peso 2 e as de tecnologia têm peso 1. A nota de aprovação é 70% dos pontos possíveis. Os exames são aplicados pela Módulo, em geral, duas vezes por ano (cerca de Julho e Dezembro). O exame custa 499 reais, porém é gratuito para aqueles que fazem os dois cursos de formação da empresa. Existe um curso para a parte gerencial e outro para a parte técnica do exame. Caso o candidato não consiga passar, não existe período de carência para tentar novamente. Na prática, porém, ele terá que esperar cerca de seis meses, que é o tempo que normalmente transcorre entre um exame e outro. O conteúdo da prova está dividido entre assuntos gerenciais e tecnológicos:- Gestão
- Conceitos Gerais de Segurança da Informação
- Gestão de Riscos
- Legislação, Regulamentação, Normas, Investigação e Ética
- Política de Segurança da Informação
- Classificação de Informações
- Gestão de Continuidade de Negócios
- Gestão de Pessoas em Segurança da Informação
- Segurança Física e Operacional
- Organização da Segurança da Informação
- Tecnologia
- Criptografia
- Controle de Acesso
- Segurança em Redes e Telecomunicações
- Segurança em Hosts
- Arquitetura e Modelos de Segurança
Requisitos
O MCSO possui requisitos de experiência profissional mais baixos que certificações similares como o CISSP e o CISM. Apenas dois anos de experiência profissional são demandados. Se o candidato participa de um curso de formação da Módulo, não há a necessidade de se comprovar experiência. Isso torna o MCSO um título atrativo para quem não tem muita vivência profissional, embora o custo se torne mais elevado, já que o profissional será obrigado a fazer os cursos preparatórios nesse caso.Validade
O certificado MCSO é válido por 4 anos e renovável por períodos de quatro anos adicionais desde que o profissional participe de um programa de educação continuada similar ao do (ISC)². No geral, 160 horas de atividades são demandadas para cada ciclo. Um detalhamento completo do funcionamento do programa pode ser encontrado aqui.Preparação
A melhor forma de se preparar para o MCSO é fazendo os cursos oficiais da Módulo. São dois curso de uma semana, cobrindo assuntos de gestão e tecnologias. Uma alternativa é tentar adquirir os livros e prestar a prova por conta própria. O problema é que os livros neste exato momento estão esgotados, havendo apenas a possibilidade de compra de segunda mão. Uma nova edição está sendo planejada para breve.Veredicto
O MCSO é um título bastante reconhecido no mercado brasileiro, embora não conte com o mesmo prestígio de certificações como o CISSP ou o CISM. Entretanto, seu exame é o único aplicado em português, o que o torna a única opção para aqueles que têm dificuldade com outros idiomas. Seus requisitos de experiência profissional são mais baixos e podem ser descontados caso o candidato faça os cursos oficiais de formação da Módulo, embora os custos envolvidos devam ser avaliados. Seu foco é gerencial, portanto, se você procura uma certificação de nível técnico, você deve avaliar o Security+, o SSCP ou o GIAC em seu lugar (em ordem de dificuldade e reconhecimento).Mais informações
Certificação MCSOCISM
O CISM (Certified Information Security Manager) é um título mantido pela ISACA, instituição mundialmente reconhecida por ser a principal associação profissional voltada para o mercado de auditoria de sistemas. Entretanto, seu título de maior prestígio é o CISA (Certified Information Systems Auditor). O CISM foi criado para ser um título exclusivamente destinado a gestores de segurança da informação, ou seja, os profissionais que possuem o título devem, obrigatoriamente, possuir experiência gerencial. Isso não implica necessariamente que a pessoa deva ter coordenado equipes, mas que ela tenha trabalhado em uma posição administrativa responsável por gerir a SI dentro de uma organização. O lançamento do CISM em 2003 gerou reclamações por parte do (ISC)², que não via na certificação, segundo notas de imprensa publicadas, nada de novo sendo trazido. Argumentava que o efeito prático de uma nova certificação tão similar ao CISSP seria forçar os profissionais a longo prazo a tirarem mais de um título, o que traria custos sem muito valor agregado. A ISACA refutou essas alegações, dizendo que o título é focado apenas em gerentes, enquanto que o CISSP, apesar de ter esse foco, era muito procurado também por técnicos querendo mudar a carreira. Comparado ao CISSP, o CISM contém um escopo um pouco menor, por priorizar assuntos relacionados à gestão, enquanto que o CISSP busca prover uma formação mais abrangente. Há cerca de 50 profissionais no Brasil que possuem a certificação CISM, um número quatro vezes menor que o de CISSPs e quinze vezes menor que o de MCSOs.Exame
A prova é feita duas vezes por ano, de maneira sincronizada, em diversas cidades do mundo, incluindo São Paulo, Rio de Janeiro e Brasília. O exame possui 200 questões e é feito em papel. O valor do exame é 505 dólares. Candidatos que se registram com antecedência recebem desconto de 50 dólares. O ISACA divulga anualmente os calendários com as datas e prazos limite para inscrição. Membros da associação também recebem desconto nas inscrições e é uma boa opção associar-se caso você pretenda fazer a prova. Caso o candidato não passe no exame ele pode fazê-lo novamente na data seguinte, embora normalmente esse espaço de tempo seja de pelo menos seis meses. A escala de nota da prova vai de 200 a 800 pontos, sendo que o candidato necessita de pelo menos 450 para ser aprovado. O exame está disponível em diversas línguas, sendo que a mais próxima do português é o espanhol. Entretanto os candidatos não podem usar dicionário de tradução como acontece no CISSP. Diferente do (ISC)², a ISACA divulga quais os percentuais de questões que são extraídos de cada um dos assuntos exigidos, o que facilita os estudos e a preparação dos candidatos:- Information Security Governance (23%)
- Information Risk Management (22%)
- Information Security Program Development (17%)
- Information Security Program Management (24%)
- Incident Management and Response (14%)
Requisitos
O CISM demanda pelo menos cinco anos de experiência profissional em tempo integral em pelo menos três das cinco áreas de conhecimento avaliadas no exame. Três destes anos devem ser obtidos ocupando uma posição de nível gerencial. Essa experiência deve ter sido obtida dentro do período de dez anos que antecede o exame, ou em até cinco anos após ter sido obtida a aprovação. A ISACA permite que os candidatos sentem para o exame sem ter toda a experiência necessária, mas apenas emite certificados para aqueles que fazem as comprovações necessárias. Há dois descontos possíveis para esses requisitos de experiência. Caso o candidato já possua o CISSP, o CISA ou uma pós-graduação em SI ou áreas correlatas (incluindo TI) é possível obter um desconto de dois anos. Se, além disso, o candidato possuir uma certificação técnica, como as da Microsoft ou do CompTIA, ou tiver pelo menos um ano de experiência em gestão de TI, mais um ano pode ser descontado. Combinando os dois descontos, fica necessário apenas comprovar dois anos de experiência. Porém, há um detalhe importante: nenhum dos dois descontos acima reduz a necessidade de comprovar experiência em gestão de SI. Além dos requisitos de experiência profissional, os candidatos que obtém o CISM devem aderir ao Código de Ética Profissional da ISACA.Validade
Para manter o seu título válido, os profissionais devem participar de um programa de educação continuada, similar ao do CISSP, onde seu título é renovado a cada período de três anos. Além disso, uma anualidade para sustentar os benefícios aos profissionais certificados é cobrada, custando 75 dólares, sendo que membros filiados ao ISACA pagam apenas 40.Preparação
A ISACA publica todos os anos um manual de revisão para as suas certificações. O CISM Review Manual é um material de extrema importância para os candidatos, porém não pode ser considerado um guia definitivo em virtude da sua superficialidade. Fora este texto básico, faltam livros de qualidade que possam ser utilizados. Uma busca na Amazon retorna apenas dois títulos específicos, com notas de avaliação vergonhosas. Outra alternativa de qualidade questionável são os livros produzidos pela SRV Books, publicados independentemente pelo próprio autor. Eventualmente, cursos preparatórios, oficiais ou não, são oferecidos no Brasil pelos capítulos locais da ISACA. O site do capítulo paulista da ISACA é o melhor local para começar as buscas.Veredicto
O CISM é uma certificação que compete de maneira direta com um concorrente muito forte, mas que é amparada por uma associação profissional muito forte e tradicional. A quantidade de profissionais certificados no Brasil é ainda muito baixa, o que a torna menos reconhecida que o CISSP e o MCSO. A idéia da ISACA de diferenciá-la do CISSP, focando em um público mais gerencial, ainda necessita trazer resultados mais consistentes para que o CISM receba o destaque que merece, uma vez que o programa é muito bem elaborado e gerenciado. Se o seu foco é técnico, fuja do CISM completamente. Se o inglês é um problema, corra para o MCSO.Mais informações
CISM CertificationPróximos passos
Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre certificações mais específicas, como o CISA e o GIAC. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.Uma decisão inédita na justiça mostra que é possível responsabilizar legalmente aqueles que não são capazes de proteger e controlar adequadamente sua estrutura de acesso à Internet. A Justiça de São Paulo determinou que uma lan house pague 10 mil reais de indenização a uma vítima de difamação. Tudo ocorreu porque a lan house foi incapaz de fornecer informações que ajudassem a identificar o originador de uma mensagem de caráter difamatório. Desde 2006 há uma lei no Estado de São Paulo que obriga as lan houses a identificarem seus usuários. Entretanto, a advogada responsável pelo caso, Camilla Jimene, informou que baseando-se apenas no Código Civil brasileiro é possível abrir processos similares por qualquer pessoa que se sinta vítima de uma mensagem que contenha teor que constitua calúnia, injúria ou difamação. Esse é mais um caso ganho em primeira instância pelo escritório Opice Blum Advogados, que já há algum tempo se firmou como o principal escritório do país especializado em direito eletrônico.
A IBM patenteou nos EUA um algoritmo cujo objetivo é aumentar a eficiência na resposta a catástrofes naturais. A técnica é chamada de Programação Estocástica, podendo ser usada para uma ampla gama de aplicações.
Na resposta aos desastres, as técnicas ajudariam a aumentar a velocidade do processo de tomada de decisões em momentos de crise. Segundo a notícia, quase 200 milhões de pessoas são afetadas todos os anos por esse tipo de incidente. Entretanto, as iniciativas governamentais estão normalmente baseadas em sistemas desconexos, sem inteligência específica para lidar com este tipo de problema.
Maiores informações na fonte original: IBM touts complex math to help handle natural disasters.
Security+
O Security+ é uma certificação mantida pelo CompTIA, um dos maiores institutos de certificação profissional em tecnologia. Essa certificação é focada em segurança computacional, o que não faz dela exatamente uma certificação em SI. Seu reconhecimento no mercado brasileiro é limitado e, mesmo internacionalmente, não é dos maiores. Ela é vista como um título introdutório, similar a visão que o mercado possui de outros títulos da CompTIA. Porém, muitos profissionais buscam o Security+ como uma forma de preparação intermediária para exames mais difíceis como o SSCP, o CISSP ou mesmo o GIAC.Exame
A prova é aplicada em centros VUE e Prometric, o que torna o exame bastante acessível do ponto de vista geográfico, já que existem muitos centros deste tipo espalhados pelo Brasil. Como o exame é aplicado eletronicamente, o candidato já fica sabendo o resultado na hora. O valor do exame é 251 dólares, o que representa metade do preço de outras certificações como o CISSP e o CISM e aproximadamente o mesmo preço do MCSO. A prova possui 100 questões e tem 90 minutos de duração. A nota de aprovação é 764 em uma escala de 100 a 900. O exame está disponível apenas em inglês e, caso o candidato não consiga passar, pode fazer o segundo teste sem nenhum período de espera, mas se repetir novamente, deverá esperar pelo menos 30 dias para as tentativas subseqüentes. O conteúdo dos exames está distribuído conforme a listagem a seguir:- General Security Concepts - 30%
- Communication Security - 20%
- Infrastructure Security - 20%
- Basics of Cryptography - 15%
- Operational / Organizational Security - 15%
Requisitos
O exame não possui requisitos de experiência prévia, embora o instituto recomende um mínimo de dois anos de atuação na área. Isso faz com que as barreiras de entrada para o título sejam praticamente inexistentes em comparação ao CISSP ou CISM, que exigem vários anos de experiência comprovada atuando na área, embora tanto o CISSP quanto o SSCP possuam uma opção para obtenção parcial do título para candidatos sem experiência. Falarei dela nas seções correspondentes.Validade
A princípio, a certificação não possui validade, mas o exame possui versões. Ele ainda está na versão 1.0, mas pode ser que venha ocasionalmente a ser atualizado no futuro.Preparação
Existe uma infinidade de livros preparatórios disponíveis para a certificação. Eles podem ser adquiridos em livrarias especializadas no Brasil e no exterior. Certamente a melhor forma de adquirir livros técnicos hoje é diretamente com a Amazon. Se você não se sente confortável ou não possui um cartão de crédito internacional, a Tempo Real e a Livraria Cultura são sua melhor opção. Segundo o sítio da CompTIA, porém, não existem provedores de treinamento oficial para esta certificação no Brasil.Veredicto
Se você não tem experiência e seu conhecimento é eminentemente técnico, o Security+ pode ser um bom título inicial, mas não espere muito reconhecimento. Outras opções mais difíceis (e caras) para quem não tem experiência são o MCSO (que dispensa a comprovação de experiência apenas se você fizer os cursos de formação) e a versão Associate dos títulos SSCP e CISSP, que dispensam a comprovação de experiência, porém não te entregam um título “completo”.Maiores informações
CompTIA Security+ CertificationSSCP
O SSCP é mantido pelo (ISC)², mas não desfruta da mesma popularidade do CISSP, o título mais conhecido do instituto e um dos mais cobiçados pelo mercado. Seu foco é técnico, sendo que o público-alvo são os profissionais de SI cujo trabalho está mais voltado para a administração e a implementação de tecnologias. O SSCP não é muito reconhecido internacionalmente, apesar da ampla presença do (ISC)². Há cerca de dois anos, entretanto, o instituto tem feito um trabalho massivo de comunicar ao mercado suas opções em termos de carreira, deixando claro que muitos profissionais que sonham em ter o CISSP, que é uma certificação de foco gerencial/consultivo, deveriam na realidade buscar o SSCP. Isso tem feito com que a quantidade de profissionais certificados cresça em um ritmo grande. Pode ser obtido como um título intermediário para outros mais difíceis, como o próprio CISSP. Esse seria um caminho natural quando a pessoa quer se reposicionar na carreira para assumir uma posição gerencial/consultiva mas o seu perfil hoje é eminentemente técnico. O SSCP, porém, não é o principal título na sua área. As certificações GIAC, mantidas pelo SANS, desfrutam de mais reconhecimento, pois são muito mais difíceis de se obter.Exame
O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no sítio do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 369 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel, uma alternativa escolhida pelo (ISC)² e alguns outros institutos, como o ISACA, para diminuir o cansaço visual dos candidatos e aumentar os controles contra vazamento de questões. O lado negativo é que o candidato não fica sabendo do resultado ao final do exame, e deve esperar de 4 a 6 semanas pelo resultado. O exame possui 125 perguntas que devem ser respondidas em 3 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Não existe período de carência caso o candidato não passe no exame, podendo este fazê-lo novamente já na semana seguinte, embora o (ISC)² mantenha provas no Brasil apenas a cada 3 meses. Os assuntos que caem na prova são chamados pelo (ISC)² de CBK (Common Body of Knowledge). Para o SSCP ele é chamado SSCP CBK e inclui os seguintes domínios:- Access Controls
- Analysis and Monitoring
- Cryptography
- Malicious Code
- Networks and Telecommunications
- Risk, Response, and Recovery
- Security Operations and Administration