A comunicação tem tomado várias formas ao longo dos séculos, sendo a Internet apenas um dos meios mais recentes. Ameaças à redes e sistemas de informação em geral vêm de fontes internas e externas à organização, que se materializam sob forma de roubo de propriedade intelectual, negação de serviço, uso não autorizado de recursos críticos e códigos maliciosos que comprometem a disponibilidade, confiabilidade e integridade das informações.
A necessidade de proteger informações tem produzido uma alta demanda de profissionais de segurança da informação e traz consigo a necessidade da certeza que esses profissionais possuem os conhecimentos necessários para o exercício da função. Para atender a essa exigência, a certificação CISSP (Certified Information System Security Professional) foi criada, e garante que o profissional certificado possui o nível de conhecimento requerido e sua atualização contínua nas áreas da segurança da informação.
O objetivo deste artigo é dar uma visão geral sobre a certificação CISSP, seus domínios e como anda o mercado para o profissional certificado.
A certificação
A certificação CISSP é o resultado da cooperação entre profissionais na criação de uma organização sem fins lucrativos chamada Internation System Security Certification Consortium [(ISC)²], em 1989, cuja única função é desenvolver e administrar o programa de certificação.
É uma das mais importantes e desejadas certificações do mundo na área de segurança da informação, com foco principal na questão de gerenciamento e controles.
Recentemente foi designada com a certificação ANSI ISO/IEC padrão ISO/IEC 17024. Trata-se da primeira certificação profissional a receber esta designação em caráter mundial.
Para ser certificado CISSP, além de passar no exame, o candidato precisa comprovar uma experiência de, no mínimo, cinco anos (ou quatro anos para os profissionais com ensino superior completo) em dois ou mais domínios do CBK*.
A partir de Outubro de 2007, tornou-se necessário, também, que o candidato à credencial solicite a um profissional já certificado o endosso de sua experiência profissional.
A recertificação é requerida a cada três anos, efetuando um novo exame ou acumulando, no mínimo, 120 créditos de Educação Profissional Continuada (CPE) por ciclo, além de pagar a taxa anual, atualmente de US$ 85,00.
* Common Body of Knowledge - Coleção de informações coletadas internacionalmente que cobrem diversas áreas de conhecimento relacionadas a segurança da informação.
O exame
O exame cobre dez diferentes domínios de conhecimento da área de segurança da informação, divididos em 250 questões de múltipla escolha em língua inglesa, distribuídas aleatoriamente. Somente 225 delas são pontuadas, enquanto 25 são para fins de pesquisa. O tempo máximo para completá-lo é de seis horas.
Para passar no exame, é preciso atingir no mínimo 700 pontos de 1000. O peso das questões é baseado em sua dificuldade e, por isso, nem todas valem o mesmo número de pontos.
Segundo Krutz e Vines (2001), as perguntas não apresentam grandes dificuldades para uma pessoa experiente e não exigem profundo conhecimento dos domínios, pois é incomum um profissional estar envolvido em todas as dez áreas em seu trabalho.