O que mais vejo em listas de discussões da área de segurança, ouço de meus alunos e pessoas que assistem às minhas palestras, é a seguinte pergunta: qual é a melhor certificação na Área de Segurança da Informação?
Há outras variantes sobre o mesmo tema, mas é sempre alguém querendo saber qual é a melhor certificação para se obter, tanto para quem está entrando nessa área, quanto para quem quer crescer ainda mais.
Por conta de tantas dúvidas sobre o mesmo assunto, ainda mais na área de S.I., pensei em escrever este artigo para clarear um pouco mais a questão.
Primeiro vou tentar elencar as certificações mais importantes para o mercado neste momento, tanto para quem pensa em enfrentar o mercado tupiniquim, quanto para quem pensa em buscar outras oportunidades ao redor do mundo. Afinal, certificação reconhecida apenas nacionalmente em plena era da Globalização, é pura perda de tempo.
A maioria das certificações que procurarei abordar, são vendor neutral, mas algumas fugirão dessa regra, por mais que eu me esforce.
Um exemplo disso, são as certificações da CISCO. Por mais que queiramos fugir, a CISCO ainda detém uma imensa fatia do mercado de equipamentos de redes e infraestrutura. E este fabricante, por saber o quanto a segurança de uma infraestrutura é importante para uma organização, desenvolveu um currículo bem interessante para os profissionais que já trabalham com CISCO e possuem pelo menos o CCNA.
Partindo da certificação básica desse vendor, o profissional pode decidir por especializar-se em segurança de infraestrutura de redes, seguindo o padrão
CISCO com as certificações
CCNA Security,
CCNP Security e
CCIE Security.
Estas certificações são bem interessantes quando pensamos no profissional que atua como analista de infraestrutura e deseja migrar para a área de segurança. Mas, e para o profissional que administra redes? As certificações LPI, voltadas para
Linux são muito boas, principalmente quando culminam na
LPI 303, cujo foco é segurança em servidores Linux.
A LPI 303 aborda temas que possibilitam ao profissional que atua com Linux, realizar o 'hardening' e proteger seus servidores de acessos indevidos e de ataques remotos e locais. Os temas abordados englobam desde criptografia de disco, à VPN e monitoramento com Nagios.
Eu costumo inclusive brincar, que se alguma empresa quer um profissional com conhecimento de infra e administração de redes, é só ver se o profissional tem o conhecimento prático e vivencial que é pedido para uma certificação LPI e CISCO conjugadas.
Mas vamos em frente, pois o nosso foco aqui é segurança... E só falamos de quatro certificações até agora.
Quando alguém me pergunta qual a melhor certificação para conseguir entrar no mercado de SI, prontamente digo:
ISO 27002. Essa é bem básica, fácil de tirar e precisa constar no currículo de todo profissional de segurança da informação.
Mas deve-se ficar bem claro, que junto dessa certificação, o profissional deve ter um conhecimento extenso sobre a norma
ISO 27001, para saber o
porque de muita coisa da 27002. Mas ainda assim, estas certificações ainda são para níveis de gestão e consultoria apenas, sem conhecimento técnico muito forte como pré-requisito.
Outra certificação para quem já tem um pé em segurança, atuando com alguns controles como administrador de redes ou analista de infra (onde em muitas empresas, é esse o profissional que faz tudo), é a
Security+ da CompTIA, que aborda diversos temas sobre segurança e precisa da comprovação de dois anos de atuação na área. Considero essa certificação como um nível intermediário, preparatório para outras mais complexas.
Continuando ainda no nível de gestão, temos a
CISM (Certified Information Security Manager) criada pela ISACA, que tem como foco os profissionais que atuarão como gerentes de SI, tomando as decisões mais burocráticas e de nível de gestão que envolvem a segurança numa organização.
Da ISACA também, com um bom nível de importância no mercado, temos a
CISA (Certified Information Systems Auditor), possui um foco em auditoria, controles e segurança. Se o profissional pretende seguir o rumo da auditoria em TI e SI em geral, esta é uma certificação obrigatória.
Partindo agora para outra empresa certificadora, onde se encontram atualmente as certificações mais requisitadas pelo mercado de segurança, a (ISC)², cito três certificações como as mais interessantes para os profissionais que já atuam na área, mas precisam de um respaldo maior para ascenderem em suas carreiras:
SSCP,
CSSLP e
CISSP.
A primeira destas certificações,
SSCP (Systems Security Certified Practitioner) tem como foco, profissionais que atuam como analistas de segurança, administradores de rede e sistemas. A prova engloba parte dos domínios existentes no CBK (Common Body Knowledge), e que também fazem parte dos domínios cobrados na prova para a CISSP.
É interessante para os profissionais que
estão iniciando em segurança, que não se sentem seguros para realizar a prova para CISSP já de início, mas querem uma certificação respeitada internacionalmente na área.
Já a
CSSLP (Certified Secure Software Lifecycle Professional) é uma das primeiras certificações no mundo a abordar o tema desenvolvimento seguro. Não há foco na codificação ou limitação no que diz respeito às linguagens que suporta, pois é mais global; focando em todo o ciclo de produção de um software e validando em cada ponto os princípios de segurança existentes.
Há pouquíssimos profissionais dessa área no mercado atualmente, e é uma excelente oportunidade para quem trabalha com desenvolvimento e quer migrar para segurança da informação, pois permitirá coadunar sua experiência prévia com os novos conceitos aprendidos sobre segurança, e de uma maneira que está de acordo com as necessidades atuais do mercado.
Agora, chegamos na certificação mais importante para o mercado de segurança, a
CISSP. Devemos ter em mente que ela não é uma certificação técnica e nem tem este objetivo. No entanto, ela requer um conhecimento bem amplo quanto às soluções existentes nos diversos domínios do CBK desenvolvido pela (ISC)². Tais domínios abordados na prova são:
- Access Control;
- Application Development Security;
- Business Continuity and Disaster Recovery Planning;
- Cryptography;
- Information Security Governance and Risk Management;
- Legal, Regulations, Investigations and Compliance;
- Operations Security;
- Physical (Environmental) Security;
- Security Architecture and Design;
- Telecommunications and Network Security.
A prova, até ano passado, era aplicada apenas em papel, e em inglês. No entanto, do final do ano passado pra cá, tivemos ótimas notícias, inclusive uma que deixou à todos felizes esse mês (setembro/2011): as provas desde o final do ano passado já são aplicadas em português. E partir de outubro de 2011, elas também poderão ser realizadas em alguns centros credenciados pela VUE e Prometric.
Estas duas decisões são importantes para, em primeiro lugar, focar a avaliação nos domínios, e não no nível de proficiência que o profissional tem da língua inglesa. E em segundo, porque antes haviam poucas vagas nas poucas vezes em que a prova era aplicada aqui no Brasil; inclusive forçando para que os profissionais se deslocassem para São Paulo, gastando com deslocamento e hospedagem para realizar a prova, e ainda assim corriam o risco de não conseguir vagas para a prova, já que sempre eram poucas.
E uma das coisas interessantes, é que antes era necessário aguardar algumas semanas, e agora com a prova no formato eletrônico, o resultado sai assim que o candidato finaliza a prova.
Agora, quem quiser realizar essa prova, prepare-se para a maratona, pois são em média 250 perguntas, mas sem uma solução muito definida do tipo:
"Qual a flag de resposta quando é enviado uma pacote com a flag null ativa para uma porta aberta?".
Na prova da CISSP, as questões são sempre contextualizadas, cobrando uma solução que melhor se encaixe naquele cenário específico.
Por isso, alguns anos de experiência na área de segurança, além de ser um dos pré-requisitos para obter a certificação, também auxiliará o profissional à responder as questões de forma mais concisa e coerente.
Essa certificação, CISSP, é pré-requisito para quem quer sair do Brasil e conseguir uma vaga lá fora na área de segurança da informação. E aqui no Brasil, como ainda são poucos os profissionais com esse certificado, ainda é possível conseguir bons salários comparados com outras áreas de atuação em nosso país (faixa salarial de R$10.000,00 à R$20.000,00 dependendo do nível de gestão em que o profissional atue).
Para quem quiser saber um pouco mais sobre os domínios abordados nas provas das certificações da (ISC)², é interessante acessar o seguinte link: