Páginas

fevereiro 28, 2007

[segurança] Carreira em Segurança - como começar?

Essa é uma pergunta que sempre aparece: "como começar uma carreira em segurança?" Não dá para negar que Segurança é a "carreira da moda". Já apareceram diversas reportagens sobre os "caçadores de hackers" que ganham salários milhonários, sobre os tão idolatrados CSO (Chief Security Officers - ou, em português, os diretores de segurança - o topo da carreira).

Até hoje uma reportagem de capa sobre Hacker faz a revista vender mais. Livro de Hacker? ídem... (as vezes parece que basta ter a palavra "hacker" no meio do título) CD de hacker, então, deve vender como água...

Na minha opinião essa "bolha" vai acabar logo e o profissional de segurança será só mais um no mundo corporativo. Independente disso, o interese pela área existe e é justo: eui considero esta uma área de atuação muito excitante: estamos trabalhando sempre no limiar da tecnologia, combatendo os ataques que ainda não existem, e talvez nem todos tenham percebido que hoje estamos cumprindo um papel muito importante: proteger a sociedade dos ladrões digitais. O crime virtual já é realidade e movimenta o submundo.

Assim como a maioria dos empregos existentes, o glamour de trabalhar na área de segurança não condiz com a realidade do dia-a-dia (todo mundo quer ser astronauta, mas pouca gente aguenta os treinamentos e pressão p/ chegar lá... p/ ficar plantando feijão no espaço). Existem muitos desafios técnicos e humanos, problemas a serem resolvidos, projetos mirabolantes, ataques novos, novos softwares e patches, novos vírus, etc, etc, etc.

Mas é uma carreira excelente para quem gosta de desafios, adrenalina, trabalhar sobre pressão, se manter atualizado constantemente, etc. O trabalho possui uma certa rotina massante, porém de vez em quando temos q sair correndo desesperados por aí.

Ser um profissional de segurança vai muito além de ser um "hacker". Ser um "hacker", do jeito que a mídia divulga e a maioria dos livros com título "*hacker*" contam, significa você saber o suficiente para realizar algumas invasões triviais e, no módulo avançado, rodar algumas ferramentas mais avançadas.

Citando um comentário muito pertinente do meu amigo Fernando Fonseca na lista CISSP-BR:
"Um cracker (respeite os verdadeiros Hackers) é apenas parte do problema, maior parte das ameaças são coisas do dia a dia e ataques não direcionados (como vírus e worms). Para fazer um ataque basta achar uma brecha (vulnerabilidade), para proteger você precisa cobrir todas as brechas (toda a superfície de ataque), inclusive contra acidentes. Quando você protege uma casa, por exemplo, você protege não só contra ladrões, mas sim contra cupins, incêndios, infiltrações, integridade dos moradores, etc.
Se você pensar como o ladrão (cracker) a casa cai sozinha antes que alguém tente roubá-la."

Um profissional de segurança tem que defender a empresa de qualquer problema que possa afetar seu negócio e suas informações. É o que definimos como sendo proteger a Confidencialidade, Integridade e Disponibilidade das informações. Assim, o profissional de segurança tem que saber como proteger a empresa contra todos os riscos possíveis. Ele tem que ser, ao mesmo tempo, um especialista em TI, um especialista em Direito, em Forense (TI + Direito), um Auditor e um Gestor.

Como disse meu colega de profissão Eduardo V. C. Neves certa vez na lista CISSP-BR:
"Isso inclui não só conhecer segurança de redes e aplicações, mas também domínios que não são abordados nestes livros que você cita; change management, business continuity, disaster recovery, segurança física, ROI, TCO, metodologia de gerenciamento de projetos e por aí vai.
Para ser um Security Officer, você terá que saber isso tudo e ainda ter algumas competências que não estão em livros, mas a experiência profissional vai te dar; negociação, coaching, visão e estratégia, saber recuar e avançar nos momentos certos, não usar FUD e sim ferramentas de convencimento com itens palpáveis, etc."

No final das contas, segurança significa saber como fazer tudo certinho para que a empresa não tenha problemas depois.

Acredito que existem dois caminhos para se entrar na área de segurança: o do "hacker" e o do "analista curioso":
  • A opção mais difundida é aquela do adolescente que se interessa por informática e começa a aprender técnicas de ataque. Muitos se especializam em realizar ataques pela Internet, algo relativamente fácil de fazer. Com o amadurecimento pessoal e profissional, esta pessoa passa a buscar formas de ganhar dinheiro lícito com esse conhecimento: aí surgem os consultores "ex-hacker" (também chamados de "white-hat hackers"), os pesquisadores de vulnerabilidade e os consultores especializados em testes de vulnerabilidade e testes de invasão de sistemas (os chamados "pen-test"). Normalmente esse pessoal tem uma visão muito técnica da segurança, e sob o ponto de vista de "ataque versus defesa".
  • Outra opção é o do profissional que começa a se preocupar com segurança no dia-a-dia de suas atividades. Por exemplo, é o caso do analista de suporte que começa a se preocupar com segurança dos sistemas que gerencia, busca informações sobre como protegê-lo, como monitorá-lo, aprende, se interessa pela área e vai aos poucos se especializando.

O profissional de TI, auditoria, advocacia ou alguam área correlata que se especializa em segurança traz uma bagagem maior de conhecimento e tem maior facilidade de tratar segurança atrelada ao dia-a-dia da empresa e ao negócio. Como citou certa vez o colega Ivo de Carvalho Peixinho na lista CISSP-BR:
(...) acho que o analista de segurança deve conhecer o máximo que ele puder da área de redes, programação (desenvolvimento) e banco de dados para ser um profissional completo. Ele é um analista, e não um técnico, então ele deve ser capaz de projetar soluções de segurança para diversas áreas distintas... não adianta colocar um firewall e um IDS para proteger a rede se as aplicações WWW e o banco de dados estiverem descuidados. Eu acredito que segurança é uma coisa abrangente, e qualquer elo fraco compromete o conjunto inteiro.
(...) Quanto mais conhecimento ele tiver, melhor profissional ele vai ser.
Eu acredito ainda que o analista de segurança deve ser um profissional que acumulou alguma experiência como analista de suporte, dba ou programador e depois se especializou em segurança.

Em ambos os casos, com o passar do tempo e com o acúmulo de experiência, esses profissionais vão partir para um emprego especializado em segurança - assim que estiverem aptos e, claro, assim que surgir uma oportunidade. Ou seja, mesmo que hoje o interessado não trabalhe diretamente com segurança, minha recomendação é que ele comece seus estudos - sempre ele poderá aplicar os conceitos que aprenderá em seu dia-a-dia. Isso também vai lhe dar tempo de adquirir uma bagagem de conhecimento suficiente para entrar na área. Há muito o que apreender.

Como bem lembrou o grande colega Marlon Borba na lista CISSP-BR:
"Adicionalmente gostaria de lembrar (...) que um profissional de segurança da informação lida com... INFORMAÇÃO. Embora o lado mais, digamos, "fashion" da área esteja na tecnologia (já que lidar com descarte de papéis, por exemplo, não é muito glamuroso), a informação tem um ciclo de vida que transcende a TI e passa, também, pela cabeça das pessoas. Portanto o profissional de InfoSec precisa, também, entender bem da natureza humana, que é complexa e às vezes (como o "pointy-haired boss" do Dilbert mostra) intratável."


Para começar na área, eu sugiro que o interessado inicie lendo todos os artigos e as notícias mais recentes sobre o assunto. Há centenas de sites nacionais e internacionais que nos disponibilizam muita informação, que é de grande valia para um iniciante. Aqui eu cito alguns poucos, mas que considero como sendo os principais e que já fornecem um belo conjunto de informações para quem está iniciando na profissão:
  • O site da Módulo Security, principal empresa brasileira de consultoria em segurança, possui muita informação e links. Eles também fazem eventos de alta qualidade, cursos e tem uma certificação nacional, chamada de MCSO ("Modulo Certified Security officer").
  • Dê uma navegada nos sites do Sans (e, principalmente, o Reading Room, uma grande coletânea de artigos).
  • Ídem para o site do CERT, parada obrigatória para todo profissional de segurança.
    Se você ainda não leu, abaixe agora a cartilha de segurança do CERT.BR.
  • Visite o site do ISC2 para saber mais sobre a certificação CISSP, a principal do mercado, e o conteúdo dos chamados 10 domínios (os principais campos de conhecimento que envolvem a profissão).
  • A Microsoft Brasil criou a Academia Latino-americana de Segurança, que disponibiliza um material completo e de alta qualidade sobre Segurança da Informação;
  • O artigo "How To Become A Hacker" do Eric Steven Raymond é antigo, mas ao mesmo tempo atual !
  • O programa Olhar Digital fez algumas reportagens sobre a carreira de Segurança. Veja o meu post sobre esse assunto;
  • O meu amigo Sérgio Dias publicou há um tempo atrás um texto muito completo em seu Blog sobre Carreira do Profissional de Segurança. Ele aborda o mercado brasileiro de segurança, comenta sobre as principais certificações existentes (e quais são mais valorizadas) e dá dicas de como se manter atualizado (sites, livros, etc). O texto está bem feito e consistente.


A propósito, a carreira em segurança já existe. Prova disso é que ela já consta na pesquisa da INFO Online sobre Carreira e Salarios. Indo além, há várias especializações dentro da áres: temos os analistas de segurança voltados para ferramentas específicas, os peritos forenses, os consultores, os gestores, etc (para só citar algumas possibilidades).

Para finalizar, quero citar uma parte de outra mensagem muito interessante do Fernando Fonseca, grande amigo e colega de profissão, que foi enviada na lista CISSP-BR:
Não paute sua vida, nem sua carreira, pelo dinheiro. Ame seu ofício com todo o coração. Persiga fazer o melhor. Seja fascinado pelo realizar, que o dinheiro virá como conseqüência. Quem pensa só em dinheiro não consegue sequer ser nem um grande bandido, nem um grande canalha.
Napoleão não invadiu a Europa por dinheiro, Michelangelo não passou 16 anos pintando a Capela Sistina por dinheiro, e, geralmente, os que só pensam nele não o ganham. Porque são incapazes de sonhar. E tudo que fica pronto na vida foi construído antes, na alma.
A propósito disso, lembro-me de uma passagem extraordinária, que descreve o diálogo entre uma freira americana cuidando de leprosos no Pacífico e um milionário texano.
O milionário, vendo-a tratar daqueles leprosos, disse:
"Freira, eu não faria isso por dinheiro nenhum no mundo."
E ela responde:
"Eu também não, meu filho".

Não estou fazendo com isso nenhuma apologia à pobreza, muito pelo contrário. Digo apenas que pensar em realizar, tem trazido mais fortuna do que pensar em fortuna.

2 comentários:

  1. Excelente. Além de bem estruturado, pegou otimas referências.

    ResponderExcluir
  2. Muito bom o artigo, sou Adm. de Sistemas e gosto muito do tema Segurança da Informação, e pretendo seguir nessa área.

    Gostei muito das referências, tira muitas dúvidas de iniciantes assim como eu.

    E na questão do retorno financeiro, penso exatamente como citado, faça o que gosto e fará bem feito, e como consequencia terá o retorno financeiro.

    Esses dias um video do Steve Jobs
    http://video.google.com/videoplay?docid=7459435141264492511&pr=goog-sl

    E ele diz exatamente isso.

    Ame sua profissão e o que faz, pois você passará o maior tempo da sua vida na sua profissão, então devemos ama-la como amamos nossa esposa e filhos.

    Falow abraços.

    E em busca, do trabalho que tanto admiro.

    ResponderExcluir