Páginas

fevereiro 28, 2007

[segurança] Carreira em Segurança - como começar?

Essa é uma pergunta que sempre aparece: "como começar uma carreira em segurança?" Não dá para negar que Segurança é a "carreira da moda". Já apareceram diversas reportagens sobre os "caçadores de hackers" que ganham salários milhonários, sobre os tão idolatrados CSO (Chief Security Officers - ou, em português, os diretores de segurança - o topo da carreira).

Até hoje uma reportagem de capa sobre Hacker faz a revista vender mais. Livro de Hacker? ídem... (as vezes parece que basta ter a palavra "hacker" no meio do título) CD de hacker, então, deve vender como água...

Na minha opinião essa "bolha" vai acabar logo e o profissional de segurança será só mais um no mundo corporativo. Independente disso, o interese pela área existe e é justo: eui considero esta uma área de atuação muito excitante: estamos trabalhando sempre no limiar da tecnologia, combatendo os ataques que ainda não existem, e talvez nem todos tenham percebido que hoje estamos cumprindo um papel muito importante: proteger a sociedade dos ladrões digitais. O crime virtual já é realidade e movimenta o submundo.

Assim como a maioria dos empregos existentes, o glamour de trabalhar na área de segurança não condiz com a realidade do dia-a-dia (todo mundo quer ser astronauta, mas pouca gente aguenta os treinamentos e pressão p/ chegar lá... p/ ficar plantando feijão no espaço). Existem muitos desafios técnicos e humanos, problemas a serem resolvidos, projetos mirabolantes, ataques novos, novos softwares e patches, novos vírus, etc, etc, etc.

Mas é uma carreira excelente para quem gosta de desafios, adrenalina, trabalhar sobre pressão, se manter atualizado constantemente, etc. O trabalho possui uma certa rotina massante, porém de vez em quando temos q sair correndo desesperados por aí.

Ser um profissional de segurança vai muito além de ser um "hacker". Ser um "hacker", do jeito que a mídia divulga e a maioria dos livros com título "*hacker*" contam, significa você saber o suficiente para realizar algumas invasões triviais e, no módulo avançado, rodar algumas ferramentas mais avançadas.

Citando um comentário muito pertinente do meu amigo Fernando Fonseca na lista CISSP-BR:
"Um cracker (respeite os verdadeiros Hackers) é apenas parte do problema, maior parte das ameaças são coisas do dia a dia e ataques não direcionados (como vírus e worms). Para fazer um ataque basta achar uma brecha (vulnerabilidade), para proteger você precisa cobrir todas as brechas (toda a superfície de ataque), inclusive contra acidentes. Quando você protege uma casa, por exemplo, você protege não só contra ladrões, mas sim contra cupins, incêndios, infiltrações, integridade dos moradores, etc.
Se você pensar como o ladrão (cracker) a casa cai sozinha antes que alguém tente roubá-la."

Um profissional de segurança tem que defender a empresa de qualquer problema que possa afetar seu negócio e suas informações. É o que definimos como sendo proteger a Confidencialidade, Integridade e Disponibilidade das informações. Assim, o profissional de segurança tem que saber como proteger a empresa contra todos os riscos possíveis. Ele tem que ser, ao mesmo tempo, um especialista em TI, um especialista em Direito, em Forense (TI + Direito), um Auditor e um Gestor.

Como disse meu colega de profissão Eduardo V. C. Neves certa vez na lista CISSP-BR:
"Isso inclui não só conhecer segurança de redes e aplicações, mas também domínios que não são abordados nestes livros que você cita; change management, business continuity, disaster recovery, segurança física, ROI, TCO, metodologia de gerenciamento de projetos e por aí vai.
Para ser um Security Officer, você terá que saber isso tudo e ainda ter algumas competências que não estão em livros, mas a experiência profissional vai te dar; negociação, coaching, visão e estratégia, saber recuar e avançar nos momentos certos, não usar FUD e sim ferramentas de convencimento com itens palpáveis, etc."

No final das contas, segurança significa saber como fazer tudo certinho para que a empresa não tenha problemas depois.

Acredito que existem dois caminhos para se entrar na área de segurança: o do "hacker" e o do "analista curioso":
  • A opção mais difundida é aquela do adolescente que se interessa por informática e começa a aprender técnicas de ataque. Muitos se especializam em realizar ataques pela Internet, algo relativamente fácil de fazer. Com o amadurecimento pessoal e profissional, esta pessoa passa a buscar formas de ganhar dinheiro lícito com esse conhecimento: aí surgem os consultores "ex-hacker" (também chamados de "white-hat hackers"), os pesquisadores de vulnerabilidade e os consultores especializados em testes de vulnerabilidade e testes de invasão de sistemas (os chamados "pen-test"). Normalmente esse pessoal tem uma visão muito técnica da segurança, e sob o ponto de vista de "ataque versus defesa".
  • Outra opção é o do profissional que começa a se preocupar com segurança no dia-a-dia de suas atividades. Por exemplo, é o caso do analista de suporte que começa a se preocupar com segurança dos sistemas que gerencia, busca informações sobre como protegê-lo, como monitorá-lo, aprende, se interessa pela área e vai aos poucos se especializando.

O profissional de TI, auditoria, advocacia ou alguam área correlata que se especializa em segurança traz uma bagagem maior de conhecimento e tem maior facilidade de tratar segurança atrelada ao dia-a-dia da empresa e ao negócio. Como citou certa vez o colega Ivo de Carvalho Peixinho na lista CISSP-BR:
(...) acho que o analista de segurança deve conhecer o máximo que ele puder da área de redes, programação (desenvolvimento) e banco de dados para ser um profissional completo. Ele é um analista, e não um técnico, então ele deve ser capaz de projetar soluções de segurança para diversas áreas distintas... não adianta colocar um firewall e um IDS para proteger a rede se as aplicações WWW e o banco de dados estiverem descuidados. Eu acredito que segurança é uma coisa abrangente, e qualquer elo fraco compromete o conjunto inteiro.
(...) Quanto mais conhecimento ele tiver, melhor profissional ele vai ser.
Eu acredito ainda que o analista de segurança deve ser um profissional que acumulou alguma experiência como analista de suporte, dba ou programador e depois se especializou em segurança.

Em ambos os casos, com o passar do tempo e com o acúmulo de experiência, esses profissionais vão partir para um emprego especializado em segurança - assim que estiverem aptos e, claro, assim que surgir uma oportunidade. Ou seja, mesmo que hoje o interessado não trabalhe diretamente com segurança, minha recomendação é que ele comece seus estudos - sempre ele poderá aplicar os conceitos que aprenderá em seu dia-a-dia. Isso também vai lhe dar tempo de adquirir uma bagagem de conhecimento suficiente para entrar na área. Há muito o que apreender.

Como bem lembrou o grande colega Marlon Borba na lista CISSP-BR:
"Adicionalmente gostaria de lembrar (...) que um profissional de segurança da informação lida com... INFORMAÇÃO. Embora o lado mais, digamos, "fashion" da área esteja na tecnologia (já que lidar com descarte de papéis, por exemplo, não é muito glamuroso), a informação tem um ciclo de vida que transcende a TI e passa, também, pela cabeça das pessoas. Portanto o profissional de InfoSec precisa, também, entender bem da natureza humana, que é complexa e às vezes (como o "pointy-haired boss" do Dilbert mostra) intratável."


Para começar na área, eu sugiro que o interessado inicie lendo todos os artigos e as notícias mais recentes sobre o assunto. Há centenas de sites nacionais e internacionais que nos disponibilizam muita informação, que é de grande valia para um iniciante. Aqui eu cito alguns poucos, mas que considero como sendo os principais e que já fornecem um belo conjunto de informações para quem está iniciando na profissão:
  • O site da Módulo Security, principal empresa brasileira de consultoria em segurança, possui muita informação e links. Eles também fazem eventos de alta qualidade, cursos e tem uma certificação nacional, chamada de MCSO ("Modulo Certified Security officer").
  • Dê uma navegada nos sites do Sans (e, principalmente, o Reading Room, uma grande coletânea de artigos).
  • Ídem para o site do CERT, parada obrigatória para todo profissional de segurança.
    Se você ainda não leu, abaixe agora a cartilha de segurança do CERT.BR.
  • Visite o site do ISC2 para saber mais sobre a certificação CISSP, a principal do mercado, e o conteúdo dos chamados 10 domínios (os principais campos de conhecimento que envolvem a profissão).
  • A Microsoft Brasil criou a Academia Latino-americana de Segurança, que disponibiliza um material completo e de alta qualidade sobre Segurança da Informação;
  • O artigo "How To Become A Hacker" do Eric Steven Raymond é antigo, mas ao mesmo tempo atual !
  • O programa Olhar Digital fez algumas reportagens sobre a carreira de Segurança. Veja o meu post sobre esse assunto;
  • O meu amigo Sérgio Dias publicou há um tempo atrás um texto muito completo em seu Blog sobre Carreira do Profissional de Segurança. Ele aborda o mercado brasileiro de segurança, comenta sobre as principais certificações existentes (e quais são mais valorizadas) e dá dicas de como se manter atualizado (sites, livros, etc). O texto está bem feito e consistente.


A propósito, a carreira em segurança já existe. Prova disso é que ela já consta na pesquisa da INFO Online sobre Carreira e Salarios. Indo além, há várias especializações dentro da áres: temos os analistas de segurança voltados para ferramentas específicas, os peritos forenses, os consultores, os gestores, etc (para só citar algumas possibilidades).

Para finalizar, quero citar uma parte de outra mensagem muito interessante do Fernando Fonseca, grande amigo e colega de profissão, que foi enviada na lista CISSP-BR:
Não paute sua vida, nem sua carreira, pelo dinheiro. Ame seu ofício com todo o coração. Persiga fazer o melhor. Seja fascinado pelo realizar, que o dinheiro virá como conseqüência. Quem pensa só em dinheiro não consegue sequer ser nem um grande bandido, nem um grande canalha.
Napoleão não invadiu a Europa por dinheiro, Michelangelo não passou 16 anos pintando a Capela Sistina por dinheiro, e, geralmente, os que só pensam nele não o ganham. Porque são incapazes de sonhar. E tudo que fica pronto na vida foi construído antes, na alma.
A propósito disso, lembro-me de uma passagem extraordinária, que descreve o diálogo entre uma freira americana cuidando de leprosos no Pacífico e um milionário texano.
O milionário, vendo-a tratar daqueles leprosos, disse:
"Freira, eu não faria isso por dinheiro nenhum no mundo."
E ela responde:
"Eu também não, meu filho".

Não estou fazendo com isso nenhuma apologia à pobreza, muito pelo contrário. Digo apenas que pensar em realizar, tem trazido mais fortuna do que pensar em fortuna.

fevereiro 27, 2007

[Segurança] Brazucas arrasando mundo afora


Neste ano vários profissionais brasileiros estão conseguindo espaço em eventos internacionais. Isso é excelente, pois mostra ao mundo que temos uma comunidade de segurança formada por profissionais maduros, de primeira linha.

Até o momento, fiquei sabendo dos seguintes colegas e amigos que estão fazendo sucesso lá fora:

fevereiro 23, 2007

[Diversão] Travalínguas

O Rato roeu a roupa do Rei de Roma?

O site abaixo, indicado por um amigo, tem uma lista de frases que chamamos de "travalinguas", aquelas frases engraçadas que servem para a gente se engasgar todo.

http://www.angelfire.com/ut/henrikholm/bilingual/Tonguetwisters.html

Eu, particularmente, estou treinando o travalíngua em espanhol, pois não consigo falar o "erre" puchado do jeito que eles falam :o)

fevereiro 07, 2007

[Segurança] Bruce Schneier na RSA Conference 2007

O nosso guru Bruce Schneier fez uma apresentação muito interessante na RSA Conference sobre "The Psychology of Security", onde ele abordou como a percepção humana de risco pode variar facilmente, sem que haja necessariamente alguma mudança envolvida.

A nossa percepção pode ser influenciada por diversos fatores, e foram apresentados resultados de várias pesquisas. Por exemplo, se você tivesse que decidir entre duas ações que poderiam salvar a vida de 600 pessoas - na primeira provavelmente poderia salvar 400 pessoas, e a segunda poderia causar a morte de 200 pessoas. Qual você escolheria? Embora os número sejam idênticos, a maioria das pessoas opta pela opção onde se fala em salvamento de vidas.

A palestra foi baseada em um artigo recente dele, colocado em seu site, e que vale a pena ser lido para começarmos a entender como a nossa mente lida com esse tipo de percepção em segurança.

fevereiro 01, 2007

[Pessoal] New professional certificate: SANS GHTQ

Ontem eu obtive meu primeiro certificado do SANS / GIAC:

GHTQ - GIAC Cutting Edge Hacking Techniques Certificate.


Eu fiz este curso em Dezembro de 2006, quando ele foi oferecido durante a H2HC (Hackers to Hackers Conference), mas somente ontem consegui finalizar os estudos e fazer a prova. O SANS Institute organiza eventos e cursos há muitos anos, e através do GIAC (Global Information Assurance Certification), possui um calendário de cursos e certificações muito completo e de excelente qualidade.