Segurança da Informação

Certificações e o mercado profissional

A segurança da informação é uma área extremamente mutável em que os profissionais atuam buscando os melhores processos e ferramentas para garantir um nível adequado de segurança da informação. Em uma empresa devem constantemente se atualizar para estarem bem preparados e saberem responder positivamente não somente às ameças existentes, como também para se ajustar às novas que surgem a cada dia.

Do mesmo modo, os gestores responsáveis pela tecnologia da informação estão entre os principais responsáveis por monitorar e adequar o nível de segurança da informação, para que a empresa ou órgão não figure nas tristes estatísticas de ataques ou de vazamentos da informação. Para isso, é imperativo que sejam observados aspectos que envolvam a contratação e valorização de competentes peritos, analistas e técnicos, a utilização de bons processos e melhores práticas, a aquisição de ferramentas de segurança da informação que deem o suporte necessário para proteger a empresa e os seus dados, além de observar questões que envolvem a segurança física.

Ademais, é importante ressaltar que em função das inúmeras nuances existentes na segurança da informação é essencial que grandes e médias empresas e órgãos possuam uma equipe com conhecimentos múltiplos e distintos, que vão desde a gestão da segurança da informação, passando por toda uma parte de segurança de infraestrutura a até a resposta à incidentes e forense digital, entre várias outras áreas de conhecimento.

Para ilustrar melhor algumas das principais área de conhecimento na segurança da informação, vale mencionar a National Initiative for Cybersecurity Education (NICE), do Laboratório de Tecnologia da Informação do Instituto Nacional de Padrões e Tecnologia dos EUA (do inglês NIST – National Institute of Standards and Technology), que na publicação NIST Special Publication 800-1811 apresenta um ótimo framework que mapeia a força de trabalho de segurança cibernética:

Vale a pena ler o documento na íntegra2, pois ele oferece uma excelente visão de diversas categorias e áreas de especialidade de profissionais de segurança da informação necessárias, com as suas respectivas descrições de atividades.

Ademais, observa-se que o emprego de soluções de TIC nas empresas surgiu há apenas poucas décadas, mas ocorreu de forma bastante acelerada, sem a devida e necessária contrapartida de entrada de profissionais capacitados no mercado de trabalho. Infelizmente, as universidades não conseguiram acompanhar essa demanda e como agora vimos que existe uma grande necessidade de mão de obra qualificada. Tal situação é dramática na TIC de um modo geral, mas em algumas áreas a escassez é ainda mais crítica, como é o caso da segurança da informação.

Assim, vimos que surgiram várias opções que buscam qualificar mais rapidamente um profissional para que ele possa atuar com autonomia em um ramo que não dominava, ou até mesmo para poder se aprofundar e se tornar um verdadeiro especialista em uma área que já conhecia.

Na segurança da informação existem várias certificações, que podem ser divididas de forma geral em três grandes grupos, a saber: certificações generalistas, certificações especializadas sem vínculo com fabricantes (vendor neutral) e certificações de fabricantes. Outras divisões também podem ser empregadas, onde áreas de conhecimento específicas são agrupadas, como é o caso nos cursos do SANS Institute3 que são divididos entre: Segurança, Resposta à Incidentes e Forense, Gerenciamento, Desenvolvimento, Auditoria, Jurídico, Sistemas Industriais, e cursos especiais. Observa-se que grande parte dos cursos SANS são focados em certificações bastante especializadas.

Entre as certificações generalistas temos aquelas que abrangem diversos temas diferentes da segurança da informação e normalmente apresentam seus conteúdos de formas que possam ser conhecidas e assimiladas, mas sem aprofundar muito em detalhes técnicos. Entre as principais existentes nessa categoria destacamos: CISSP4, CCISO5 e Security+6. Cumpre ressaltar que as três aqui elencadas não são exaustivas entre as certificações generalistas de seginfo, assim como, cada uma delas possui características específicas, sendo que os seus conteúdos e focos também são distintos.

Pelo enfoque de certificações especializadas sem vínculo a fabricantes, a abordagem usual é a de apresentar ao aluno o máximo de informações para que ele possa desempenhar uma função específica identificando quais ferramentas e processos são os melhores e devem ser utilizados em uma dada situação. Entre as que se destacam temos várias do SANS Institute, como GCIH7 e GCFA8; do EC-Council, como CEH9 e CHFI10; do (ISC)2, como CCSP e ISSAP; e da CompTIA, como PentTest+11.

As certificações de fabricantes são, geralmente, focadas na utilização da solução que está sendo comercializada, e têm por propósito apresentar ao aluno as melhores formas de utilizar a solução, bem como, o máximo da capacidade e as suas possibilidades que a solução apresenta. Praticamente todo grande fabricante disponibiliza uma certificação equivalente e os cursos, geralmente, são de um ótimo nível, sendo que uma das ideias principais do fabricante é que um bom profissional certificado em que sua ferramenta termina por se tornar um multiplicador e um vendedor indireto da solução. Certificações de fabricantes da área de segurança da informação são, por exemplo, disponibilizadas pela TrendMicro, pela Fortinet, pela Cellebrite e pela Guidance Software/EnCase.

No âmbito governamental, o Departamento de Segurança da Informação e Comunicações (DSIC), do Gabinete de Segurança Institucional (GSI) da Presidência da República, editou a Norma Complementar nº 17/IN01/DSIC/GSIPR12 , em 9 de abril de 2013, onde estabelece diretrizes estratégicas, competências e responsabilidades para o profissional e a gestão de segurança da informação nos órgãos públicos, inclusive indicando várias certificações como recomendadas no anexo A e recomendando diversos conteúdos no anexo B.

Ademais, uma vez que o profissional seja certificado é necessário cumprir alguns requisitos para manter a certificação, sendo que esses variam conforme o fornecedor da certificação, mas no geral incluem uma taxa de renovação da certificação, além de unidades ou horas de estudo.

Assim, a certificação é um ótimo recurso enquanto processo de aprendizagem para o profissional e como um caminho para o seu aperfeiçoamento, que deverá sempre que possível buscá-la entre as mais reconhecidas do mercado. De tal forma, ele pode diminuir o risco e a frustração de investir tempo, energia e dinheiro em um projeto que não lhe trará o resultado desejado.

Por fim, em alguns casos específicos as certificações podem ser uma exigência formal, como em processos seletivos e contratações de serviços pelo poder público, ou podem ser facilitadoras na definição de uma escolha de um profissional, como no caso de especialistas para atuarem como peritos oficiais em tribunais. Mas, conforme já exposto, deve-se sempre buscar a certificação como um dos elementos de crescimento profissional, e não como um fim em si mesma.

1https://www.nist.gov/itl/applied-cybersecurity/nice/resources/nice-cybersecurity-workforce-framework

2https://doi.org/10.6028/NIST.SP.800-181

3https://www.sans.org/courses

4https://www.isc2.org/Certifications/CISSP

5https://ciso.eccouncil.org/

6https://certification.comptia.org/certifications/security

7https://www.giac.org/certification/certified-incident-handler-gcih

8https://www.giac.org/certification/certified-forensic-analyst-gcfa

9https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/

10https://www.eccouncil.org/programs/computer-hacking-forensic-investigator-chfi/

11https://certification.comptia.org/certifications/pentest

12 http://dsic.planalto.gov.br/legislacao/nc_17_profissionais_sic.pdf