Security+
O Security+ é uma certificação mantida pelo CompTIA, um dos maiores institutos de certificação profissional em tecnologia. Essa certificação é focada em segurança computacional, o que não faz dela exatamente uma certificação em SI. Seu reconhecimento no mercado brasileiro é limitado e, mesmo internacionalmente, não é dos maiores. Ela é vista como um título introdutório, similar a visão que o mercado possui de outros títulos da CompTIA. Porém, muitos profissionais buscam o Security+ como uma forma de preparação intermediária para exames mais difíceis como o SSCP, o CISSP ou mesmo o GIAC.Exame
A prova é aplicada em centros VUE e Prometric, o que torna o exame bastante acessível do ponto de vista geográfico, já que existem muitos centros deste tipo espalhados pelo Brasil. Como o exame é aplicado eletronicamente, o candidato já fica sabendo o resultado na hora. O valor do exame é 251 dólares, o que representa metade do preço de outras certificações como o CISSP e o CISM e aproximadamente o mesmo preço do MCSO. A prova possui 100 questões e tem 90 minutos de duração. A nota de aprovação é 764 em uma escala de 100 a 900. O exame está disponível apenas em inglês e, caso o candidato não consiga passar, pode fazer o segundo teste sem nenhum período de espera, mas se repetir novamente, deverá esperar pelo menos 30 dias para as tentativas subseqüentes. O conteúdo dos exames está distribuído conforme a listagem a seguir:- General Security Concepts - 30%
- Communication Security - 20%
- Infrastructure Security - 20%
- Basics of Cryptography - 15%
- Operational / Organizational Security - 15%
Requisitos
O exame não possui requisitos de experiência prévia, embora o instituto recomende um mínimo de dois anos de atuação na área. Isso faz com que as barreiras de entrada para o título sejam praticamente inexistentes em comparação ao CISSP ou CISM, que exigem vários anos de experiência comprovada atuando na área, embora tanto o CISSP quanto o SSCP possuam uma opção para obtenção parcial do título para candidatos sem experiência. Falarei dela nas seções correspondentes.Validade
A princípio, a certificação não possui validade, mas o exame possui versões. Ele ainda está na versão 1.0, mas pode ser que venha ocasionalmente a ser atualizado no futuro.Preparação
Existe uma infinidade de livros preparatórios disponíveis para a certificação. Eles podem ser adquiridos em livrarias especializadas no Brasil e no exterior. Certamente a melhor forma de adquirir livros técnicos hoje é diretamente com a Amazon. Se você não se sente confortável ou não possui um cartão de crédito internacional, a Tempo Real e a Livraria Cultura são sua melhor opção. Segundo o sítio da CompTIA, porém, não existem provedores de treinamento oficial para esta certificação no Brasil.Veredicto
Se você não tem experiência e seu conhecimento é eminentemente técnico, o Security+ pode ser um bom título inicial, mas não espere muito reconhecimento. Outras opções mais difíceis (e caras) para quem não tem experiência são o MCSO (que dispensa a comprovação de experiência apenas se você fizer os cursos de formação) e a versão Associate dos títulos SSCP e CISSP, que dispensam a comprovação de experiência, porém não te entregam um título “completo”.Maiores informações
CompTIA Security+ CertificationSSCP
O SSCP é mantido pelo (ISC)², mas não desfruta da mesma popularidade do CISSP, o título mais conhecido do instituto e um dos mais cobiçados pelo mercado. Seu foco é técnico, sendo que o público-alvo são os profissionais de SI cujo trabalho está mais voltado para a administração e a implementação de tecnologias. O SSCP não é muito reconhecido internacionalmente, apesar da ampla presença do (ISC)². Há cerca de dois anos, entretanto, o instituto tem feito um trabalho massivo de comunicar ao mercado suas opções em termos de carreira, deixando claro que muitos profissionais que sonham em ter o CISSP, que é uma certificação de foco gerencial/consultivo, deveriam na realidade buscar o SSCP. Isso tem feito com que a quantidade de profissionais certificados cresça em um ritmo grande. Pode ser obtido como um título intermediário para outros mais difíceis, como o próprio CISSP. Esse seria um caminho natural quando a pessoa quer se reposicionar na carreira para assumir uma posição gerencial/consultiva mas o seu perfil hoje é eminentemente técnico. O SSCP, porém, não é o principal título na sua área. As certificações GIAC, mantidas pelo SANS, desfrutam de mais reconhecimento, pois são muito mais difíceis de se obter.Exame
O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no sítio do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 369 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel, uma alternativa escolhida pelo (ISC)² e alguns outros institutos, como o ISACA, para diminuir o cansaço visual dos candidatos e aumentar os controles contra vazamento de questões. O lado negativo é que o candidato não fica sabendo do resultado ao final do exame, e deve esperar de 4 a 6 semanas pelo resultado. O exame possui 125 perguntas que devem ser respondidas em 3 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Não existe período de carência caso o candidato não passe no exame, podendo este fazê-lo novamente já na semana seguinte, embora o (ISC)² mantenha provas no Brasil apenas a cada 3 meses. Os assuntos que caem na prova são chamados pelo (ISC)² de CBK (Common Body of Knowledge). Para o SSCP ele é chamado SSCP CBK e inclui os seguintes domínios:- Access Controls
- Analysis and Monitoring
- Cryptography
- Malicious Code
- Networks and Telecommunications
- Risk, Response, and Recovery
- Security Operations and Administration
Requisitos
O SSCP, como muitas outras certificações em SI, demanda requisitos prévios de experiência profissional. Para o SSCP, entretanto, este requisito é baixo, devendo o candidato comprovar pelo menos um ano de experiência atuando em tempo integral em atividades de segurança em pelo menos um dos sete domínios que compõe o SSCP CBK. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde o candidato presta o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do SSCP. Desta forma, comprova que possui conhecimentos, mas que ainda não atende aos requisitos de experiência. Tão logo tenha pelo menos um ano de experiência trabalhando na área, poderá converter seu diploma de Associate em um SSCP. Todos os profissionais certificados pelo (ISC)² devem também se comprometer com o código de ética do instituto, o que abre o precedente para que as certificações sejam cassadas em caso de comportamento inadequado. Finalmente, todos os profissionais certificados pelo (ISC)² devem ter o seu formulário de registro endossado por outro profissional certificado pelo instituto. O objetivo desta medida é evitar que os candidatos mintam em relação a sua experiência profissional. Ninguém mais interessado em garantir que as informações de novos candidatos sejam verdadeiras do que as pessoas já certificadas. Desta forma, o endosse serve como uma espécie de trabalho voluntário feito por quem já é certificado. Caso o candidato minta em sua experiência profissional e isso seja descoberto, tanto o candidato como quem endossa perdem seu título. Se você não conhecer pessoalmente ninguém que possua um título do (ISC)², pode ficar tranqüilo. O instituto ajuda você a entrar em contato com alguém para que o endosso possa ser feito. Ao final, existe ainda um processo de auditoria por amostragem. Se você cair na malha fina, deverá prover documentação vinda do seu empregador, comprovando sua experiência profissional.Validade
O SSCP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional, e o título vai sendo renovado a cada período de 3 anos. Verifique no sítio do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o SSCP, o valor desta anualidade é de 65 dólares.Preparação
Existem muitos livros disponíveis para que o candidato possa se preparar para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the SSCP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros recomendados caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de três dias e, caso você tenha condições de fazê-lo, é certamente a melhor ferramenta preparatória para obter a certificação.Veredicto
O SSCP é uma certificação para profissionais de nível técnico e serve tanto para aqueles que querem se manter nessa área de atuação, como para os que queiram usar o SSCP como uma ferramenta intermediária para chegar ao CISSP (ou outras de dificuldade similar) e se reposicionar na carreira. A opção Associate, permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. Embora o título em si não seja tão reconhecido como o CISSP, o (ISC)² tem feito esforços pesados para comunicar ao mercado o seu foco. A prova está disponível apenas em inglês. Se isso representa um empecilho para você, a única opção que sobra é o MCSO, pois esta é a única certificação cujo exame está em português, embora o foco deste título não seja técnico e sim gerencial. Se você é um profissional com larga experiência técnica e gostaria de um título com mais prestígio, dificuldade e reconhecimento, deve avaliar o GIAC do SANS.Maiores informações
SSCP - International Respect for TacticiansPróximos passos
Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre o CISSP, CISM, CISA e o GIAC, entre outros. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.
Eu sei que você já não deve mais agüentar me ouvir falar sobre algo que feito por um ex-aluno meu, mas lá vou eu de novo (eu treinei um monte de gente, que eu posso fazer? ;-) O Otto Pereira Aulicino foi meu aluno quando ele estava se preparando para a certificação CISSP. Recentemente, recebi a agradável notícia de que ele é o primeiro colocado no ranking brasileiro do exame CISM (Certified Information Security Manager). Infelizmente, não dá pra saber a colocação dele do CISSP, pois o (ISC)², diferente do ISACA, não divulga as notas de aprovação dos candidatos que passam no exame.
Não é a primeira vez que um brasileiro alcança um resultado desses. Alexandre Sieira e Demetrio Carrión já conseguiram o mesmo feito, em época diferentes, com a prova do CISA.
Pois bem, o Otto aproveitou pra organizar algumas dicas sobre como se preparar para o exame e publicou tudo em um artigo que se encontra disponível no sítio da ISACA Brasil, que por sinal este ano se encontra de diretoria nova, contando com o Marcelo Melro, da Siemens, como novo presidente (não vou contar que eu já tive a honra de ser o instrutor dele também, senão vai parecer que eu não falo de mais nada nesse blog ;-)
Aproveitando, gostaria de lembrar que eu devo publicar nesta semana a Parte 2 do artigo Guia de Certificações em Segurança da Informação, que vai falar sobre as diversas certificações disponíveis no mercado, e a Parte 3 deve vir semana que vem, falando justamente sobre técnicas de estudo. Há vários outros artigos que podem ser de seu interesse na seção pertinente.
O Gilson Marques da Silva, autor do recém lançado Segurança em Sistemas Linux, é um profissional de sólida formação acadêmica e conhecimento enciclopédico sobre segurança em redes e sistemas operacionais. Tive a oportunidade de tê-lo como aluno na sua preparação para a formação CISSP, e agora tenho o prazer de divulgar seu livro. Já participei da produção de três livros sobre Segurança da Informação, e sei reconhecer o trabalho que dá.
Ainda não tive a oportunidade de ver o material, mas pelo autor, recomendo a publicação de olhos fechados. Segue a tabela de conteúdo:
1. Introdução 1 2. Cuidados na Instalação do Sistema Operacional 5 3. Atualização 11 4. Algumas Melhorias no Processo de boot no /etc/inittab 17 5. Acesso Direto pelo Usuário root 25 6. Aplicativo SUDO 31 7. Restrição para Uso do Comando su 37 8. Proteção para o Gerenciador de Início GRUB 41 9. Confi gurações de Relógio e Zona de Tempo 49 10. Sistema de Logs 57 11. Aplicativo LogWatch 63 12. Serviços 71 13. Mensagens de Advertência 81 14. Proteção para Dispositivos e Arquivos SUID/SGID em Partições Não Autorizadas 87 15. Permissões nos Arquivos passwd, shadow e group 91 16. Aplicativo AIDE 95 17. Arquivos com Permissões SUID/SGID Não Autorizados no Sistema 105 18. Permissões em Arquivos de Log do Sistema 109 19. Arquivos Não Autorizados com Permissão de Gravação para Todos 113 20. Arquivos com Proprietário ou Grupo Inexistentes 117 21. Marcação “.” ou Arquivos com Permissão de Gravação Liberada para o Grupo ou Outros no PATH de root 121 X # SEGURANÇA EM SISTEMAS LINUX 22. Permissões dos Diretórios home 125 23. Serviços r*: rsh, rlogin, rexec, rcp e o Arquivo .netrc 129 24. Umask Padrão para Usuários 135 25. Contas de Sistema 141 26. Privilégio de root e Contas sem Senhas 145 27. Gerência de Senhas e Acessos 149 28. Garantir que Não Existam Entradas “+” 157 29. Acesso ao cron e ao at 161 30. Habilitando o System Accounting 167 31. Confi guração Segura do SSH 171 32. Ajuste em Parâmetros de Rede 175 33. Desabilitando a Geração de Core Dump 181 34. SELinux 185 35. Firewall de host: IPTables/NetFilter 199 36. Checklist de Segurança da Informação para Sistemas Linux 217 Sobre o Autor 223
O mercado de SI no Brasil se resume ao segmentos financeiro e telecom
Talvez essa informação fosse verdadeira há dez anos atrás, mas hoje certamente está equivocada. Embora esses sejam, sem sombra de dúvidas, os maiores compradores e empregadores, o mercado hoje está muito fragmentado e a maioria dos alunos que eu recebo hoje vem de outros setores. Um dos principais fatores que estão influenciando esta mudança é o fenômeno da abertura de capital. As empresas brasileiras descobriram que a Bolsa de Valores é uma fonte abundante de crédito, uma vez que com a queda dos juros, os investidores estão procurando diversificar suas aplicações em alternativas mais lucrativas. Esse é um fenômeno que eu previ em um artigo sobre o mercado econômico e a SI escrito em 2004. Porém, para abrir capital, o quantidade de ajustes internos que precisam ser feitas é enorme. Para poder ser vista como uma empresa de gestão responsável e de fundamentos sólidos, a gestão dos principais riscos, entre várias outras coisas, é um fator fundamental, e é aí que os departamentos de SI ganham força e independência, junto com iniciativas relacionadas à Governança de TI e profissionalização do ambiente de tecnologia. Em uma matéria do jornal Valor Econônico do final do ano passado, Oracle e SAP informaram que cerca de 60% das suas vendas hoje são para empresas que pretendem abrir capital nos próximos 12 meses.A comunidade black hat no Brasil é minúscula e os script kiddies são uma multidão
Isso ainda é verdade. O Brasil no final dos anos 90 obteve uma má fama internacional de ser um celeiro black hat através de uma jogada de marketing. Durante muitos anos, grupos brasileiros lideraram (e ainda hoje lideram) os rankings internacionais sobre pichação de páginas. Isso fez o mundo pensar que tínhamos também uma forte comunidade black hat ligada à pesquisa de vulnerabilidades ou à espionagem industrial e governamental, sendo que isso nunca foi verdade. Entretanto, o que eu tenho percebido é que, provavelmente em virtude do crescimento econômico e da geração de empregos pela qual o país vem passando nos últimos anos, há sim um crescimento significativa na comunidade white hat, usem eles este nome ou não (a maioria dos white hats no Brasil, por uma questão de preconceito, prefere ser chamada apenas de profissional de SI). Todo evento internacional de grande porte tem pelo menos um brasileiro de destaque presente, são nomes como Augusto Paes de Barros, Domingo Montanaro, Luiz Eduardo, Rodrigo Rubira Branco e por aí vai (desculpas antecipadas, pois eu sei que esqueci de uma série de nomes ;-)Os profissionais de SI brasileiros estão entre os melhores do mundo
Isso continua sendo verdade. Já tive alunos de mais de 20 nacionalidades diferentes em minhas aulas e sempre fui um defensor desta idéia. Porém, recentemente, eu começo a perceber certa mudança em alguns padrões que eu acho que vale a pena mencionar. Do ponto de vista técnico, os profissionais de SI europeus estão sendo "forçados" a levar a profissão para um outro patamar. Nenhuma outra região do mundo tem sofrido tanto com o crime digital como a Europa. Isso é fruto de uma combinação de fluxo livre de capitais entre os países, sem a correspondente colaboração entre as forças policiais, e uma proximidade com a Rússia, que é o celeiro black hat número um no mundo junto com os EUA. Entretanto, o Brasil continua tendo os melhores gestores de SI do mundo. Pergunte a qualquer pessoa que visita algum evento de caráter mais gerencial nos EUA, como o RSA Conference e o CSI, e você vai ouvir sempre a mesma coisa: "eles estão pelo menos cinco anos atrás de nós". Este fenômeno já não têm fatores tão claros a serem identificados, mas certamente tem a influência do nosso poderoso e avançado segmento financeiro, que têm demandado profissionais de SI há mais de uma década, com a combinação de uma cultura empreendedora, que cobra cada vez mais dos profissionais a tal "visão de negócio".Comentários
E você, qual a sua opinião?
- Aquele que já está inserido no mercado de trabalho, possui reconhecimento e está cheio de contatos: se você já tem uma rede de conhecidos e longa experiência no currículo em empresas de ponta, parte dos benefícios da certificação deixa de ser relevante. O filtro do RH já foi furado, provavelmente por um diploma universitário ou pela indicação de um colega.
- Aquele que já sabe tudo: se a pessoa tem amplos conhecimentos, a idéia de usar a certificação como ferramenta de preparação perde a força.
- Aquele que não gosta de estudar ou tem medo de fazer exames: essa é uma deficiência séria. Não gostar de absorver novos conhecimentos e não se sentir confortável para colocá-los a prova é um tipo de postura que me parece incompatível com a área de tecnologia, embora eu tenha ciência que existe muita gente nessa categoria.
De onde vem o valor da certificação?
O valor da certificação vem, principalmente, da sua relação custo/benefício. Como os custos de obtenção das certificações são conhecidos, o valor vai depender bastante dos benefícios. Estes, por sua vez, dependem de uma série de fatores. Em resumo:Reconhecimento e propósito da entidade
Há 15 anos a coqueluche do mercado de certificações técnicas eram os títulos da Novell. Depois passaram a ser os da Microsoft e, hoje em dia, a percepção de valor de ambas é bastante reduzida se comparadas ao momento de sua introdução no mercado. O problema da Novell é diferente do da Microsoft. As certificações Novell perderam espaço junto com a própria empresa. Quando um fabricante está por trás de uma certificação, o valor desta depende diretamente do tamanho da base instalada. Já a Microsoft não parou de ganhar mercado nos últimos 15 anos e mesmo assim seus títulos foram perdendo valor, demandando uma reestruturação bastante ampla com o objetivo de reverter o processo. Há um conflito de interesses inerente a todas as certificações de fabricantes que é muito difícil de resolver. O programa de certificação da Microsoft (ou da Cisco, Novell, CheckPoint, etc.) é algo irrelevante para a empresa em termos de geração de receita. Seu objetivo principal é disseminar o conhecimento sobre suas tecnologias para a maior quantidade possível de pessoas. Essa disseminação tem dois efeitos importantes. Em primeiro lugar, forma “vendedores”, pois profissionais que tenham gasto tempo e dinheiro aprendendo uma tecnologia são os maiores interessados em estimular seu uso. Em segundo lugar, quanto mais gente supostamente conhecer a tecnologia, mais barato fica para os clientes adotá-la. Porém, isso é totalmente conflitante com os interesses dos profissionais que tiram as certificações. Para a Microsoft (ou qualquer outro fabricante) e para os empregadores, quanto mais gente certificada, melhor. Já para os profissionais, mais gente certificada significa salários mais baixos. Por isso, já há muito tempo eu tenho priorizado as certificações chamadas vendor-neutral, que são mantidas por institutos cuja missão é certificar profissionais. O zelo que este tipo de instituição precisa ter com seus programas de certificação é muito maior, pois esse é, muitas vezes, seu único ganha-pão. Mencionarei nessa série de artigos algumas certificações de fabricantes, mas o foco principal serão as vendor-neutral. Além disso, as certificações de fabricantes quase sempre te obrigam a obter novos títulos toda vez que uma tecnologia fica obsoleta. Já certificações vendor-neutral possuem programas de certificação continuada, onde os certificados são renovados automaticamente, desde que os profissionais comprovem que estão atuando de maneira engajada no mercado e se reciclando. Apesar de tudo, é importante frisar também que a maioria dos fabricantes hoje tenta equilibrar ambas as necessidades através de títulos distintos. As certificações mais básicas atendem a necessidade dos fabricantes de disseminar conhecimento e as mais avançadas servem para aqueles com capacidade superior que querem se destacar das “massas”. É o caso do CCIE (Cisco Certified Internetwork Expert) ou da Architect Series da Microsoft.Quantidade de profissionais certificados
A lei da oferta e da procura é tão clara e óbvia que deveria ser considerada uma lei da natureza. Quanto mais profissionais certificados, menor o salário pago para uma certificação. Simples assim. Obviamente, esse não é o único fator que vai determinar o salário que você vai receber, mas vai determinar o peso da certificação nesse cálculo. Dessa forma, avalie se a instituição responsável pela obtenção da certificação está preocupada com isso. Existem instituições que, para estimular a adoção de um título pelo mercado, se valem de processos conhecidos por grandfathering, onde os certificados são distribuídos através da avaliação de currículos, sem necessidade de prova, mediante o pagamento de taxas. Sou contra esse tipo de processo por diversas razões, embora tenha ciência de que algumas vezes ele pode ser feito de forma mais séria (quando a instituição, por exemplo, não aplica uma prova, mas exige uma monografia ou artigo para que o candidato mostre proficiência). A razão principal é uma questão de justiça. Nem todo mundo tem facilidade para estudar e aprender. Muitas pessoas chegam a estudar centenas de horas para obter certos títulos. Você não pode simplesmente entregar um título igual para quem não fez prova, por mais experiente que a pessoa seja. Além disso, existe outro conflito de interesses claro. Se a instituição faz um grandfathering é porque ela tem como objetivo disseminar a certificação, fazendo com que a maior quantidade possível de profissionais certificados a obtenham. Isso faz com que haja uma tendência de afrouxar a rigidez da análise dos currículos. Esse fenômeno aconteceu há alguns anos com o CISM (Certified Information Security Manager), uma certificação criada para gestores de SI. Mediante o pagamento de 500 dólares e o envio de um formulário de aplicação onde o candidato descrevia sua própria experiência, a pessoa recebia o certificado. O problema é que essa verificação deixou muito a desejar. No mercado brasileiro existem vários profissionais que possuem esse título (sem possuir nenhum outro) e que não atendem aos requisitos da certificação, que incluíam, entre outras coisas, 9 anos de experiência profissional atuando em uma posição gerencial. É de conhecimento geral que existem até mesmo técnicos que possuem esse título, o que além de caracterizar um comportamento antiético por parte do sujeito, mostra deficiências no processo de avaliação. Quando você escolher uma certificação profissional para si, verifique se a entidade responsável está preocupada em diminuir a quantidade e aumentar a qualidade das pessoas certificadas, e não o inverso.Eficácia da avaliação
Em geral, as certificações voltadas para SI buscam avaliar os conhecimentos do candidato. A grande maioria delas faz isso através de uma prova de múltipla escolha. Uma exceção importante a essa regra são as certificações Gold e Platinum do SANS (SysAdmin, Audit, Network, Security), onde o candidato tem que entregar uma pequena monografia escrita e fazer um teste prático, respectivamente. A dificuldade das provas é uma preocupação fundamental dos institutos de certificação. Por conta disso, uma série de mecanismos de psicometria são utilizados para garantir que ela se mantenha constante ao longo dos anos. Uma abordagem comum a maioria das certificações é a utilização de provas muito longas, diminuindo a probabilidade de uma pessoa conseguir passar através da memorização pura e simples de conceitos. No caso do CISSP, são 250 perguntas em 6 horas, praticamente um vestibular. Provas deste tamanho não costumam ser aplicadas eletronicamente, pois o cansaço visual é muito grande. Além disso, manter as provas em papel facilita a proteção do sigilo das questões. Se você buscar simulados para uma certificação de um fabricante qualquer, perceberá que as questões são praticamente as mesmas que caem na prova verdadeira. É praticamente impossível controlar o vazamento das questões dos exames quando eles são aplicados em milhares de instituições diferentes ao redor do mundo. Isso não acontece com a mesma freqüência no CISA (Certified Information Systems Auditor), por exemplo. A ISACA (Information Systems Audit and Control Association), responsável pelo título, adota um processo extremamente eficaz, aplicando provas apenas uma vez por ano, em horários sincronizados, em várias cidades simultaneamente. A melhor avaliação de todas certamente é a do GSE (Global Information Assurance Certification Security Expert), certificação nível Platinum mantida pelo SANS, onde a aplicação dos conhecimentos é avaliada através de testes práticos. Isso ajuda a aumentar significativamente o prestígio do título, mas encarece bastante o processo de avaliação, conta que no final acaba sendo paga pelo candidato. O reconhecimento, porém, é imenso. Existem menos de 20 profissionais certificados em todo o mundo.Requisitos de experiência
Muitas certificações em SI possuem requisitos de experiência profissional. Isso significa que não basta o aluno passar na prova, ele deve também ter experiência comprovada atuando em tempo integral na área durante um período específico de tempo, que para algumas certificações pode chegar a 5 anos. Essa verificação é feita através de amostragem, pelos próprios institutos ou por empresas terceirizadas. Em alguns casos, profissionais já certificados, que são os maiores interessados em evitar que um novo candidato minta a respeito da sua experiência, podem ser chamados para ajudar no processo. Você encontrará profissionais no mercado que não possuem o tempo de experiência necessário, pois mentiram em seus formulários e tiverem a sorte de não serem pegos pela auditoria. Porém, quase todos os institutos possuem um canal para denúncias, e essas pessoas podem perder a certificação a qualquer momento caso irregularidades sejam constatadas.Códigos de Ética
Na grande maioria dos países não existe uma entidade de representação de classe responsável por regulamentar o mercado profissional de SI. Por conta disso, os institutos de certificação tentam, mesmo que de maneira tímida, estabelecer códigos básicos de conduta cujo cumprimento é obrigatório. Os chamados Códigos de Ética tentam também resolver um problema de ordem prática muito comum. Como as funções relacionadas a SI são críticas e seus profissionais têm acesso a informações de caráter confidencial, muitas empresas ficam receosas de buscar gente no mercado. Eu costumo treinar pelo menos 300 profissionais por ano. Por conta disso, recebo muitos pedidos para preencher vagas de trabalho de empresas que estão em busca de profissionais bons (e baratos). Entretanto, na grande maioria das vezes, as empresas querem alguém de “confiança”, que eu conheça e possa recomendar, e não me autorizam a divulgar a vaga. Obviamente, eu não tenho como "confiar" em todos os meus alunos. Posso atestar sua capacidade intelectual e dar algumas impressões a respeito da sua postura, e só. Na prática, isso acaba criando uma barreira muito grande ao primeiro emprego na área. Muitos querem trabalhar com segurança, muitas empresas precisam de gente, mas esses dois anseios não se encaixam por uma preocupação excessiva (e compreensível) por parte dos empregadores. Elas acabam sendo preenchidas por profissionais que já trabalham nas empresas, mas em outras áreas, ou por indicações que nunca chegam aos classificados de emprego dos jornais. A situação já melhorou bastante se analisarmos o cenário de 5 anos atrás, mas o problema ainda existe. Os Códigos de Ética são uma tentativa de fazer essa interface. Eles comunicam aos empregadores que os profissionais certificados estão sujeitos a um código de conduta, cujo principal efeito prático é tentar dar mais segurança na contratação.Tipos de certificações disponíveis
Considerando todas as certificações vendor-neutral disponíveis, é possível classificá-las em dois grupos: genéricas ou específicas. Genéricas são aquelas que passam uma formação geral sobre SI para os candidatos. Específicas tratam de um tema de maneira mais aprofundada, como continuidade de negócios, auditoria ou perícia forense. Se você não possui certificação alguma, talvez seja melhor começar por títulos genéricos. Eles certamente vão abrir muito mais portas do que certificações específicas. O mercado de SI não é tão grande como gostaríamos e as certificações específicas às vezes estão voltadas para nichos bem delineados, onde costuma ser muito difícil arrumar emprego sem uma boa rede de contatos ou ampla experiência prévia. Porém, as certificações específicas cobrem os assuntos em maior profundidade. Se você tem uma paixão por determinada área e gostaria de aprender bastante sobre ela, talvez elas sejam a sua melhor escolha. Vale lembrar que as certificações genéricas são mais conhecidas. É comum ver vagas para continuidade de negócios ou perícia forense onde os empregadores pedem certificações genéricas como o MCSO ou o CISSP. Quem contrata, muitas vezes, sequer sabe que existem títulos específicos para cada uma dessas áreas.Os institutos de certificação
Conhecer um pouco do histórico do instituto responsável pela certificação que você quer obter ajuda a compreender quais são seus pontos fracos e fortes, além de seus nichos de atuação.(ISC)²
O International Information Systems Security Certification Consortium, ou simplesmente (ISC)² é, provavelmente, o instituto de certificação com o maior nome que existe ;-) Ele costuma ser chamado também de ISC2, com a pronúncia em inglês ou português, ou o nome mais correto, que seria ISC ao quadrado ou ISC squared, no equivalente em inglês. Fundado em 1989 por diversas outras entidades de peso, como a ISSA (Information Systems Security Association) e o CSI (Computer Security Institute), ele é o líder inquestionável no mercado de certificações profissionais voltadas para SI. Atualmente, existem mais de 45 mil profissionais certificados em mais de 120 países. Pergunte para qualquer profissional de SI em qualquer parte do mundo qual é a primeira certificação profissional que vem a sua cabeça e a pessoa dirá que é o CISSP, principal certificação do instituto. Os primeiros profissionais certificados no Brasil obtiveram seus títulos na segunda metade dos anos 90. O primeiro latino-americano certificado foi o Alberto Bastos, sócio-fundador da Módulo. Quando eu passei no exame, em 2000, apenas 13 pessoas possuíam o título por aqui. A partir de 2004, eu trouxe, enquanto trabalhava na Hitech/Etek, os primeiros seminários realizados para o continente latino-americano e desde então o título começou a se popularizar, se tornando a certificação mais cobiçada também no mercado brasileiro.ISACA
A ISACA (Information Systems Audit and Control Association) tem uma peculiaridade que a difere dos outros institutos de certificação para o mercado de SI, que é o fato dela ser um misto de associação profissional com instituto de certificação. Além de oferecer certificações para o mercado, oferece também serviços típicos de uma associação profissional, que podem ser desfrutados por aqueles que possuem ou não seus títulos. Bem mais antiga que o (ISC)², a ISACA foi fundada em 1967. Seus programas educacionais foram estabelecidos em 1976 e desde então ela alcançou a impressionante marca de 70 mil profissionais certificados em 140 países, presença essa existente também de maneira física através dos seus capítulos locais. A ISACA, historicamente, sempre foi uma associação focada na área de auditoria de sistemas de informação e acumula uma excelente imagem neste segmento, especialmente no setor bancário. Nos últimos anos, ela começou a enveredar por algumas outras áreas, notadamente SI e Governança de TI (Tecnologia da Informação). Essa postura chegou a gerar um mal estar entre a associação e o (ISC)², que já era líder no segmento quando a ISACA resolveu criar o CISM, uma certificação voltada para Gestores de SI. A contra argumentação foi justamente o fato do título estar focado unicamente em gestores, enquanto que o CISSP tinha um caráter mais abrangente, podendo ser obtido também por técnicos e consultores, embora esse não seja seu foco principal.SANS
Pela própria definição do nome (SysAdmin, Audit, Network, Security) já é possível perceber que o SANS possui um foco mais técnico. Embora o escopo de atuação da organização hoje seja significativamente mais amplo, é entre o pessoal “mão na massa” que o título desfruta de maior respeito e reconhecimento. O SANS possui mais de uma dezena de certificações profissionais, o que chega a gerar certa confusão nos candidatos que planejam obtê-los. Além disso, recentemente, eles implantaram dois caminhos possíveis para cada uma das certificações, com o objetivo de aumentar a quantidade de profissionais certificados. Profissionais que apenas fazem os exames e passam, recebem títulos Silver. Já aqueles que enviam uma monografia sobre o tema para avaliação, recebem o título Gold. O SANS possui um número de profissionais certificados bem inferior ao do (ISC)² ou da ISACA, embora tenha sido fundado em 1989. Cerca de 20 mil profissionais possuem as certificações do SANS, menos da metade do número do (ISC)². Há uma razão para isso: obter certificações do SANS é mais difícil que obter certificações do (ISC)² ou da ISACA. A necessidade da monografia sempre foi uma barreira muito grande. Candidatos que não têm o domínio necessário para escrever em inglês ficavam arrepiados só de pensar no assunto. Ciente disso, o SANS decidiu eliminar a monografia, o que gerou uma onda imensa de protestos, cujo resultado foi a divisão dos títulos entre Gold (com a tradicional monografia) e Silver (apenas com exame). Desde então, o número de profissionais certificados vem crescendo de maneira mais expressiva. O SANS é o líder mundial de treinamentos na área. Cerca de 12 mil profissionais passam pelos seus cursos todos os anos, o que faz dele não só um instituto de certificação, mas uma grande fonte de pesquisa para a área.CompTIA
A CompTIA é a maior fornecedora de certificações vendor-neutral para o mercado de TI. Fundada em 1993, já certificou mais de 1 milhão de profissionais em mais de 100 países. Sua oferta de certificações em TI é bastante ampla, mas para a área de SI há apenas um título disponível, chamado Security+. Tecnicamente, entretanto, o título é muito mais focado em segurança computacional do que SI em geral. As certificações da CompTIA contam com grande reconhecimento internacional, nem sempre equivalente ao reconhecimento provido pelo mercado brasileiro. O Security+, além de ser pouco conhecido, é amplamente considerado pelo mercado como um título para iniciantes, tanto aqui quanto no exterior. Porém, é uma excelente opção para aqueles que não possuem experiência profissional, pois o título não possui este tipo de exigência. Muitos o escolhem como uma caminho de entrada.Módulo
A Módulo é a líder incontestável do mercado de SI brasileiro. Em seus mais de 25 anos de atuação, a empresa se estabeleceu como um dos principais provedores de serviços e soluções, o que lhe permitiu expandir sua atuação para outros países e nichos de mercado relacionados, como Governança, Gestão de Riscos e Compliance. No ano 2000, a empresa introduziu no mercado a certificação MCSO, usando como referência as principais certificações de SI disponíveis no mercado internacional. Desde então, a certificação sofreu diversas atualizações e se consolidou como sendo o título em SI mais popular do Brasil, com mais de 600 pessoas certificadas. Ainda hoje, o MCSO é a única opção disponível para quem quiser fazer uma prova de certificação em português. Essa característica ajudou bastante na disseminação do título nas mais diversas regiões brasileiras, além de contar com a simpatia dos profissionais que trabalham na administração pública. Recentemente, o colega Gilberto Netto escreveu em uma recomendação feita no meu perfil do LinkedIn que, somente no Serpro, mais de 40 pessoas possuem a certificação. Além disso, a iniciativa nacional é recebida com simpatia em licitações governamentais. É comum o título aparecer como requisito para prestadores de serviço, equiparado a outros de reconhecimento internacional, como o CISSP e o CISA.Próximos artigos
Essa série contará com mais dois artigos que serão lançados nas próximas semanas. A Parte 2 cobrirá de maneira mais específica quais são as certificações disponíveis no mercado brasileiro, quais os requisitos de cada uma delas, custos, formas de preparação disponíveis e opções de carreira. A Parte 3, que será o artigo final, falará sobre técnicas de estudo. Vejo entre o pessoal que eu treino que muitos simplesmente não conhecem nenhum método eficaz de estudos. Começam a estudar super motivados mas, depois de um tempo, o volume de informações passa a ser muito grande, a capacidade de reter conhecimentos vai caindo, eles começam a estudar de novo coisas que viram duas semanas atrás, até que vão reduzindo o ritmo e param, com uma sensação velada de frustração ou mesmo de incapacidade. Se você quer saber como as técnicas de estudo podem mudar definitivamente essa história, acompanhem as atualizações deste blog via RSS ou e-mail (usando a caixa newsletter na barra de navegação). Caso você tenha perguntas para este ou para os próximos artigos, coloque-as na seção de comentários e eu tentarei incluir o máximo possível de informações nas próximas revisões.
São Paulo é uma cidade com trânsito maluco, isso todo mundo sabe. O que algumas pessoas não sabem, é que deadlocks são possíveis também em cruzamentos. Olha só essa foto da esquina da Av. Faria Lima com a Juscelino Kubitschek ;-)
Read More
Além disso, é uma imagem belíssima da Teoria dos Jogos vista na prática. A vontade que as pessoas têm de levar vantagem sobre as outras é tamanha, que chega um momento em que todos começam a perder. Ou, em outras palavras, simplesmente falta de civilidade e educação, numa das esquinas mais sofisticadas do país.
Agradecimento: Weber Ress
