Posts in Blog
Como se preparar para o CISM

cism.jpg

Eu sei que você já não deve mais agüentar me ouvir falar sobre algo que feito por um ex-aluno meu, mas lá vou eu de novo (eu treinei um monte de gente, que eu posso fazer? ;-) O Otto Pereira Aulicino foi meu aluno quando ele estava se preparando para a certificação CISSP. Recentemente, recebi a agradável notícia de que ele é o primeiro colocado no ranking brasileiro do exame CISM (Certified Information Security Manager). Infelizmente, não dá pra saber a colocação dele do CISSP, pois o (ISC)², diferente do ISACA, não divulga as notas de aprovação dos candidatos que passam no exame.

Não é a primeira vez que um brasileiro alcança um resultado desses. Alexandre Sieira e Demetrio Carrión já conseguiram o mesmo feito, em época diferentes, com a prova do CISA.

Pois bem, o Otto aproveitou pra organizar algumas dicas sobre como se preparar para o exame e publicou tudo em um artigo que se encontra disponível no sítio da ISACA Brasil, que por sinal este ano se encontra de diretoria nova, contando com o Marcelo Melro, da Siemens, como novo presidente (não vou contar que eu já tive a honra de ser o instrutor dele também, senão vai parecer que eu não falo de mais nada nesse blog ;-)

Aproveitando, gostaria de lembrar que eu devo publicar nesta semana a Parte 2 do artigo Guia de Certificações em Segurança da Informação, que vai falar sobre as diversas certificações disponíveis no mercado, e a Parte 3 deve vir semana que vem, falando justamente sobre técnicas de estudo. Há vários outros artigos que podem ser de seu interesse na seção pertinente.

Read More
BlogAnderson RamosCarreira, GestãoComment
Autenticação baseada em Cubo Mágico

cubo.jpg

A complexidade das senhas é uma das maiores fontes de atrito entre os profissionais de segurança e os usuários. É impossível chegar em um nível que atenda as necessidades de segurança de um lado e as expectativas de simplicidade dos usuários do outro. Mas seus problemas acabaram! Um designer chinês elaborou um protótipo de cubo mágico que pode ser usado para autenticação. Ao invés de memorizar senhas complexas, os usuários precisarão "apenas" memorizar e executar uma combinação de cores em seu cubo (que funcionaria como um token de autenticação) para acessarem os sistemas. Felizmente é apenas um produto conceito e toda a comunidade certamente está torcendo para que ele nunca saia do papel ;-) Via Yanko Design.
Read More
BlogAnderson RamosCriptografia, Gestão, Sistemas Operacionais Comment
Faltam profissionais de TI no mundo todo

economist.jpg

As pessoas que tiveram a oportunidade assistir alguma palestra minha nos últimos anos já devem estar cansadas de me ver batendo nessa mesma tecla, mas lá vou eu tocar no assunto de novo. O mundo vive um problema generalizado de escassez de mão de obra especializada em TI (Tecnologia da Informação). O documento mais consistente que eu vi sobre o assunto, e que não falava especificamente apenas de TI (falta gente qualificada em muitos setores), foi um relatório especial publicado na revista The Economist, em Outubro de 2006. Dentre as razões apontadas pela revista estavam o ressurgimento do fenômeno .com (Google, Yahoo! e Microsoft andam disputando os melhores cérebros no tapa, através de contratos cada vez mais restritos de não competição), a diminuição substancial da quantidade de alunos nos cursos relacionados à tecnologia (acredite, eles já não são considerados mais cool entre os adolescentes ;-) e o crescimento econômico dos países em desenvolvimento que têm feito com que alguns deles (Cingapura, por exemplo) dêem até isenção de imposto de renda para profissionais altamente capacitados que estejam vivendo fora do país e queiram ser repatriados. Semana passada estive em um encontro mundial do (ISC)² e ouvi a mesma coisa novamente, não importa se o mercado seja o norte-americano, europeu ou asiático. Recentemente, mais uma pesquisa de um instituto importante vem fazer coro com todas essas outras. O ITGI (IT Governance Institute) soltou um relatório sobre o status global da Governança de TI para 2008 onde 58% dos pesquisados afirmaram ter um número insuficiente de pessoal capacitado na área de tecnologia, comparado a 35% no mesmo período do ano anterior. Faltam profissionais até nos níveis mais básicos, mas o problema é sério mesmo quando falamos de profissionais com alto nível de capacitação, e imagino que a maioria dos profissionais de segurança deveria se enquadrar dentro deste nível. Qual a sua opinião? Tá faltando ou sobrando gente na sua área de atuação? Lembre-se também que quando a gente fala “profissional de TI” não estamos necessariamente nos referindo a instaladores de Windows ;-)
Read More
BlogAnderson RamosCarreira, Gestão Comments
Novo livro sobre segurança em Linux

Segurança em Linux

O Gilson Marques da Silva, autor do recém lançado Segurança em Sistemas Linux, é um profissional de sólida formação acadêmica e conhecimento enciclopédico sobre segurança em redes e sistemas operacionais. Tive a oportunidade de tê-lo como aluno na sua preparação para a formação CISSP, e agora tenho o prazer de divulgar seu livro. Já participei da produção de três livros sobre Segurança da Informação, e sei reconhecer o trabalho que dá.

Ainda não tive a oportunidade de ver o material, mas pelo autor, recomendo a publicação de olhos fechados. Segue a tabela de conteúdo:

1. Introdução 1 2. Cuidados na Instalação do Sistema Operacional 5 3. Atualização 11 4. Algumas Melhorias no Processo de boot no /etc/inittab 17 5. Acesso Direto pelo Usuário root 25 6. Aplicativo SUDO 31 7. Restrição para Uso do Comando su 37 8. Proteção para o Gerenciador de Início GRUB 41 9. Confi gurações de Relógio e Zona de Tempo 49 10. Sistema de Logs 57 11. Aplicativo LogWatch 63 12. Serviços 71 13. Mensagens de Advertência 81 14. Proteção para Dispositivos e Arquivos SUID/SGID em Partições Não Autorizadas 87 15. Permissões nos Arquivos passwd, shadow e group 91 16. Aplicativo AIDE 95 17. Arquivos com Permissões SUID/SGID Não Autorizados no Sistema 105 18. Permissões em Arquivos de Log do Sistema 109 19. Arquivos Não Autorizados com Permissão de Gravação para Todos 113 20. Arquivos com Proprietário ou Grupo Inexistentes 117 21. Marcação “.” ou Arquivos com Permissão de Gravação Liberada para o Grupo ou Outros no PATH de root 121 X # SEGURANÇA EM SISTEMAS LINUX 22. Permissões dos Diretórios home 125 23. Serviços r*: rsh, rlogin, rexec, rcp e o Arquivo .netrc 129 24. Umask Padrão para Usuários 135 25. Contas de Sistema 141 26. Privilégio de root e Contas sem Senhas 145 27. Gerência de Senhas e Acessos 149 28. Garantir que Não Existam Entradas “+” 157 29. Acesso ao cron e ao at 161 30. Habilitando o System Accounting 167 31. Confi guração Segura do SSH 171 32. Ajuste em Parâmetros de Rede 175 33. Desabilitando a Geração de Core Dump 181 34. SELinux 185 35. Firewall de host: IPTables/NetFilter 199 36. Checklist de Segurança da Informação para Sistemas Linux 217 Sobre o Autor 223

 

Read More
BlogAnderson RamosCarreira, Segurança em Redes, Sistemas Operacionais Comment
Panorama da Segurança da Informação no Brasil

iDefense

Nesta semana tive a oportunidade de jantar com uma equipe da iDefense, divisão de inteligência da VeriSign, que veio ao Brasil fazer um levantamento da situação do nosso mercado de Segurança da Informação (SI), especialmente nos aspectos relacionados à criminalidade digital. Aproveito para agradecer ao colega Anchises de Paula, Latin America Technical Regional Manager da VeriSign, pelo convite. Estavam presentes Eli Jellenc (Manager, Threat Intelligence), a socióloga Kristen Dennesen (Threat Intelligence Analyst) e engenheiro Blake Hartstein (Rapid Response Team). A iDefense se tornou mundialmente reconhecida por ter sido uma das primeiras empresas a pagar prêmios para pesquisadores que lhe enviassem vulnerabilidades que ainda não tivessem sido divulgadas. Embora a iniciativa seja considerada por muitos polêmica, diversas outras empresas e fabricantes têm adotado posturas similares. Em 2005, a empresa foi comprada pela VeriSign por 40 milhões de dólares em dinheiro. O executivo Eli Jellenc e sua equipe estavam no Brasil conversando com os principais especialistas do mercado com o objetivo de produzir um relatório de inteligência para seus clientes, que incluem diversos órgão de governo e empresas de grande porte nos EUA. Ao longo da conversa, algumas idéias amplamente aceitas sobre o cenário do mercado de SI no Brasil foram discutidas. Vou resumir quais são as que eu contesto por não terem mais a mesma validade.

O mercado de SI no Brasil se resume ao segmentos financeiro e telecom

Talvez essa informação fosse verdadeira há dez anos atrás, mas hoje certamente está equivocada. Embora esses sejam, sem sombra de dúvidas, os maiores compradores e empregadores, o mercado hoje está muito fragmentado e a maioria dos alunos que eu recebo hoje vem de outros setores. Um dos principais fatores que estão influenciando esta mudança é o fenômeno da abertura de capital. As empresas brasileiras descobriram que a Bolsa de Valores é uma fonte abundante de crédito, uma vez que com a queda dos juros, os investidores estão procurando diversificar suas aplicações em alternativas mais lucrativas. Esse é um fenômeno que eu previ em um artigo sobre o mercado econômico e a SI escrito em 2004. Porém, para abrir capital, o quantidade de ajustes internos que precisam ser feitas é enorme. Para poder ser vista como uma empresa de gestão responsável e de fundamentos sólidos, a gestão dos principais riscos, entre várias outras coisas, é um fator fundamental, e é aí que os departamentos de SI ganham força e independência, junto com iniciativas relacionadas à Governança de TI e profissionalização do ambiente de tecnologia. Em uma matéria do jornal Valor Econônico do final do ano passado, Oracle e SAP informaram que cerca de 60% das suas vendas hoje são para empresas que pretendem abrir capital nos próximos 12 meses.

A comunidade black hat no Brasil é minúscula e os script kiddies são uma multidão

Isso ainda é verdade. O Brasil no final dos anos 90 obteve uma má fama internacional de ser um celeiro black hat através de uma jogada de marketing. Durante muitos anos, grupos brasileiros lideraram (e ainda hoje lideram) os rankings internacionais sobre pichação de páginas. Isso fez o mundo pensar que tínhamos também uma forte comunidade black hat ligada à pesquisa de vulnerabilidades ou à espionagem industrial e governamental, sendo que isso nunca foi verdade. Entretanto, o que eu tenho percebido é que, provavelmente em virtude do crescimento econômico e da geração de empregos pela qual o país vem passando nos últimos anos, há sim um crescimento significativa na comunidade white hat, usem eles este nome ou não (a maioria dos white hats no Brasil, por uma questão de preconceito, prefere ser chamada apenas de profissional de SI). Todo evento internacional de grande porte tem pelo menos um brasileiro de destaque presente, são nomes como Augusto Paes de Barros, Domingo Montanaro, Luiz Eduardo, Rodrigo Rubira Branco e por aí vai (desculpas antecipadas, pois eu sei que esqueci de uma série de nomes ;-)

Os profissionais de SI brasileiros estão entre os melhores do mundo

Isso continua sendo verdade. Já tive alunos de mais de 20 nacionalidades diferentes em minhas aulas e sempre fui um defensor desta idéia. Porém, recentemente, eu começo a perceber certa mudança em alguns padrões que eu acho que vale a pena mencionar. Do ponto de vista técnico, os profissionais de SI europeus estão sendo "forçados" a levar a profissão para um outro patamar. Nenhuma outra região do mundo tem sofrido tanto com o crime digital como a Europa. Isso é fruto de uma combinação de fluxo livre de capitais entre os países, sem a correspondente colaboração entre as forças policiais, e uma proximidade com a Rússia, que é o celeiro black hat número um no mundo junto com os EUA. Entretanto, o Brasil continua tendo os melhores gestores de SI do mundo. Pergunte a qualquer pessoa que visita algum evento de caráter mais gerencial nos EUA, como o RSA Conference e o CSI, e você vai ouvir sempre a mesma coisa: "eles estão pelo menos cinco anos atrás de nós". Este fenômeno já não têm fatores tão claros a serem identificados, mas certamente tem a influência do nosso poderoso e avançado segmento financeiro, que têm demandado profissionais de SI há mais de uma década, com a combinação de uma cultura empreendedora, que cobra cada vez mais dos profissionais a tal "visão de negócio".

Comentários

E você, qual a sua opinião?
Read More
Artigos, BlogAnderson RamosCarreira, Crime, Gestão Comments
Adolescente de 16 anos obtém o Certified Ethical Hacker

Little genius

Shane Kelly, um adolescente inglês de 16 anos, é o mais jovem profissional que se têm notícia a obter a certificação Certified Ethical Hacker (CEH). Segundo a notícia dada pelo The Register, o adolescente gastou 10 meses na preparação, além de ter feito um treinamento em formato bootcamp (geralmente com uma semana de duração, onde os alunos estudam 12 horas por dia e fazem a prova de certificação no sábado). Vou passar longe da polêmica sobre a questão do treinamento bootcamp e da própria certificação, pois esses assuntos já foram extensivamente discutidos em listas de discussão de destaque como a cisspBR. Vou me focar na questão idade X certificação. Sempre que um profissional muito jovem obtém uma certificação reconhecida pelo mercado, surge uma discussão em torno da dificuldade em se obter o título. Quando eu passei na prova do CISSP, eu tinha 21 anos e fui o mais jovem profissional a obter o título até então. Alguns meses depois, Namit Merchant, um indiano de 16 anos, passou no mesmo exame, gerando grande polêmica em torno do assunto. O (ISC)², por essas e outras, aumentou os requisitos de experiência profissional da certificação. Tanto na Índia como no Brasil, não é raro que as pessoas comecem a trabalhar muito cedo, dependendo de sua origem social e econômica. Foi o que aconteceu comigo. Sempre lembro da cara de espanto que os meus colegas fizeram na primeira vez que eu cheguei para fazer o treinamento preparatório de instrutores no (ISC)². Até o ano passado, eu tinha o improvável título de instrutor mais jovem do mundo, combinado com o fato que eu fazia parte do grupo de instrutores mais experientes, pois trabalho lá há quase 8 anos. Todas as regras possuem exceções que muitas vezes são válidas. Em resumo, não acho que deva haver nenhum tipo de corte baseado em idade, desde que, obviamente, todos os requisitos para a obtenção do título sejam observados, incluindo experiência profissional. O mesmo tipo de fenômeno acontece no ensino formal, onde existem centenas de casos de adolescentes que obtém diplomas muito antes daqueles que seguem a rota padrão.
Read More
BlogAnderson RamosCarreira, Gestão Comments
OpenID é a bola da vez

 OpenID

Depois do Google e do Yahoo! anunciarem publicamente suporte a arquitetura OpenID, agora é a vez da, quem diria, Microsoft. Dessa forma, finalmente parece que a Internet está prestes a ganhar uma arquitetura única, integrada, independente e descentralizada para autenticação. Dúvidas pairam no ar sobre as iniciativas similares que a gigante do software mantém, como o Passport. O Yahoo! já havia anunciado que a tecnologia estará integrada ao seu portal e ao Flickr até o fim deste mês. Se você é responsável por administrar um site onde autenticação de usuários é um problema, parece que finalmente há uma opção interessante e promissora para o futuro que vale a pena ser analisada. Aguardem para breve um artigo aqui neste blog sobre a segurança da tecnologia.
Read More
BlogAnderson RamosCrime, Criptografia, Gestão, Segurança em Redes Comments
Kit espionagem baseado em um celular 3G

Colete de espionagem 3G

Uma coisa que sempre desperta a minha curiosidade é a popularização de aparelhos de espionagem utilizando tecnologias simples e baratas que foram originalmente projetadas para uso pessoal. Uma empresa na Inglaterra lançou um colete com câmera e microfone embutidos, que permite o monitoramento remoto em tempo real de vídeo e som. O kit ainda permite o acoplamento de um dispositivo GPS, completando o pacote com a coleta das coordenadas do sujeito que estiver usando o colete. Nada que não possa ser feito em casa por um adolecente de 12 anos aspirante a James Bond. Embedding a 3g Video Camera into clothing
Read More
BlogAnderson RamosCrime, Segurança Física Comment
Blog recomendado - Camargoneves.com

Camargoneves.com

O Eduardo Vianna de Camargo Neves é um dos meus alunos mais ilustres. Tive a oportunidade de ajudá-lo na sua preparação quando ele obteve a certificação CISSP. Já na blogosfera, sou seu discípulo ;-) Ele mantém já há algum tempo um dos meus blogs preferidos em língua portuguesa. Totalmente focado em conteúdo original, eu recomendo principalmente o Projeto Scriptum, onde você encontrará bastante informação sobre Políticas de Segurança da Informação. Nesta semana, ele publicou um excelente artigo sobre como sobreviver a auditorias. Se você já teve ou terá que lidar com uma auditoria, o conteúdo certamente lhe será útil.
Read More
BlogAnderson RamosCarreira, GestãoComment
Como não implementar medidas de segurança - Parte 1

Dr. Gregory House, M.D.

Um assunto com pouca teoria formal que eu gosto bastante de discutir com os meus alunos e nas campanhas de conscientização que eu faço é a questão da resistência coletiva que existe dentro das organizações para com as medidas de segurança. Admita: por mais safo e habilidoso que você seja, não existe um único profissional de segurança que não tenha passado por esta situação. Após ler esse artigo, espero que você possa a ver o problema com outros olhos e aprenda a tomar alguns cuidados simples que fazem toda a diferença. Em uma parcela significativa dos casos, o problema começa com o próprio profissional de Segurança da Informação (SI). Mesmo depois de muitos anos de existência, a área de SI ainda é considerada coisa para poucos do ponto de vista técnico. Ela seria algo como o “fronteira final” em termos de aprendizado. Para poder compreender a segurança de uma tecnologia, você precisava dominá-la totalmente. Por conta disso, ela sempre atraiu muitos profissionais de alta capacidade técnica. Quando a empresa se deu conta que precisava de alguém para cuidar do assunto, lembrou que havia um técnico que sabia tudo sobre ele. Contratar alguém no mercado seria caro. Além disso, como confiar algo tão crítico a um desconhecido? Logo, por que não promover o técnico a gestor ou coordenador de SI? O problema é que nem sempre esses profissionais têm um perfil exatamente adequado para a posição. Eu costumo brincar que muitos profissionais de Tecnologia da Informação (TI) escolheram esta área justamente para não precisar lidar com pessoas ;-) É um paradoxo curioso que eu chamaria de Complexo de House. Para quem não conhece, House é um seriado médico de grande sucesso, com um personagem principal homônimo, que goza de uma incrível popularidade entre os profissionais de TI. O melhor resumo sobre a personalidade do Dr. House que eu já vi ouvi veio de um colega: ele é um médico que não gosta de pacientes. Na hora a ficha caiu e eu entendi porque tantos colegas amam o seriado. Na grande maioria, eles são profissionais de TI que, em maior ou menor grau, não gostam de usuários. Não existe nada mais perigoso que colocar alguém que não gosta de usuários para definir medidas de segurança. Se trabalhando em TI ele já foi responsável por bloquear até a troca do papel de parede das estações, imagine o que ele pode fazer em escala empresarial! Profissionais com esse perfil não costumam possuir sensibilidade para perceber o quanto é delicada e incômoda a mera existência de um departamento de segurança. Não observam o quanto o contexto é capaz de mudar o comportamento das pessoas que nele atuam. Para elucidar, eu gosto bastante de mencionar um famoso estudo de sociologia feito na Alemanha na década de 70 em um presídio desativado. Voluntários foram chamados a fazer o papel de policiais e presidiários em uma espécie de brincadeira de “faz de conta”. Os pesquisadores observaram que, independente do perfil, aqueles que se passavam por policiais desenvolviam uma tendência ao autoritarismo. Já os presidiários se dividiam entre os resignados (que fingiam cooperar, mas não aceitavam a situação) e os rebelados. O estudo é bastante famoso, foi transformado em documentário, e não pôde ser acabado, porque a influência que o ambiente exercia sobre os atores era tamanha que as coisas começaram a fugir do controle. Nas organizações ocorre uma situação bastante similar. Alguém é promovido a “policial” e, a partir de então, passa a ser exorcizado (ou tratado com falsidade) pelos “presidiários” (se nunca mais te chamaram para um happy hour depois da sua promoção, você sabe bem do que eu estou falando ;-). Numa tentativa de mostrar poder e exercer a sua autoridade, o profissional passa a entrar em embates e tomar medidas de eficácia duvidosa ou de prioridade questionável. Ou seja, ao invés de trabalhar para azeitar uma relação que é inerentemente conflitante, trabalha no sentido oposto. Não é difícil imaginar o resultado disso. Alguém na empresa deverá tomar a decisão de demiti-lo, independente de sua capacidade profissional. O trabalho de um gestor de SI é servir como um agente de mudanças. É impossível fazer isso brigando com toda a empresa. Entre demitir todos os empregados e demitir o gestor de SI, não é difícil imaginar qual a melhor decisão a ser tomada. Existe uma verdade que precisa ser aceita. Ninguém gosta de medidas de segurança, a não ser aqueles que estão na posição de defini-las e cobrá-las dos outros. Talvez a evidência mais clara esteja em uma situação muito freqüente. Muitos profissionais de segurança começam na área de tecnologia. Quando ambas as áreas estão sob a mesma responsabilidade, em geral, as medidas tomadas têm como objetivo atormentar a vida dos usuários: senhas complexas, restrições para acesso a Internet e uso do e-mail, cerceamento dos recursos da estação de trabalho e por aí vai. Num belo dia, a área de segurança é “promovida”, ganhando independência. Pode apostar que as primeiras medidas de segurança terão como objetivo atormentar a vida dos técnicos: restrição de uso das contas dos administradores, geração excessiva de logs, controle de mudanças, etc. Estoura o conflito: os técnicos alegam que os profissionais de segurança, agora que são independentes, sugerem controles que jamais recomendariam se fossem responsáveis por sua implementação. Aí é que reside toda a eficácia da separação. Medidas de segurança geram trabalho e desconforto e ninguém gera isso para si mesmo. Se assim o fizer, não estará recomendando aquilo que é necessário, e sim aquilo que dará menos trabalho. Para alguns, essa sutilezas podem parecer óbvias, mas eu conheço profissionais com anos de experiência que ainda não se tocaram. Colocar um técnico com o perfil do Dr. House para escolher medidas de segurança é uma estupidez administrativa, pois esse tipo de profissional não trabalhará para diminuir essas arestas, e sim para acentuá-las. Além disso, ele não possui uma das características básicas para amenizar os problemas que é a capacidade de dar o exemplo. É muito comum ver profissionais de segurança dando sermão nos usuários em campanhas de conscientização, recomendando uma série de procedimentos que eles mesmos não seguem. Se você questioná-los, ouvirá algo do tipo “eles não podem usar o MSN porque não sabem amenizar os riscos, mas eu sei”. Essa postura até encontra embasamento técnico, mas não há nada mais ineficaz, além de arrogante, em termos de postura. Técnicos que não gostam de usuários costumam pensar que são seres superiores. Seguem um estereótipo muitas vezes atribuído a padres: “faça como eu digo, mas não como eu faço”. Quando o padre diz “vivam juntos para sempre” soa meio caricato, pois ele nunca casou com ninguém! Você jamais vai ter moral para pedir aos usuários para interromper o uso do MSN se você continuar usando a ferramenta todos dias. Se você conseguiu visualizar claramente o problema, fique atento para a próxima parte deste artigo, onde eu darei conselhos práticos e um método simples para diminuir a resistência da empresa. Mas eles de nada vão adiantar se você não conseguir fazer uma auto-crítica e avaliar o seu comportamento dentro do seu ambiente de trabalho. Você está mais para Dr. House ou para Dr. Wilson? O primeiro sem dúvida é mais brilhante, mas só não foi demitido porque tem o segundo para segurar a barra quando a coisa estoura de verdade. E se você pensar bem, eles têm muito mais semelhanças do que diferenças, o que significa que não é tão difícil assim ter uma postura correta e equilibrada, mesmo que você tenha algumas excentricidades ;-) A segunda parte deste artigo está disponível aqui.
Read More
Artigos, BlogAnderson RamosCarreira, Gestão Comments
Guia de Certificações em Segurança da Informação - Parte 1

A área de SI (Segurança da Informação) é carente de cursos de graduação universitária. Esse não é um fenômeno regionalizado; pode-se verificar a mesma situação em diversos países. Durante o processo de contratação é procedimento padrão avaliar a formação universitária do candidato. Dependendo da instituição onde ele estudou e do curso que ele fez, diversas suposições serão feitas a respeito de sua capacidade, mas a empresa pouco saberá sobre o conhecimento e a experiência que ele possui em SI. As certificações profissionais tentam ocupar essa lacuna. Elas formam uma ponte entre o empregador e o profissional. Vale sempre lembrar que o “empregador” é na maioria das vezes um departamento de RH (Recursos Humanos) que pouco conhece sobre o assunto, pelo menos na fase inicial do processo de contratação. Usar certificações como um filtro para a escolha dos candidatos é um caminho natural. Muitos consideram essa postura preguiçosa, ou mesmo incompetente, e afirmam que os profissionais de RH deveriam se inteirar mais sobre o assunto, evitando atitudes que possam ser consideradas discriminatórias. Porém, parafraseando o Dr. Gregory House, esperar que isso vá acontecer um dia é a mesma coisa que esperar que os cachorros parem de se lamber. Simplesmente não vai acontecer. A razão é muito simples: os profissionais de RH têm perfil generalista e são diretamente responsáveis pelo acerto ou erro da contratação. Eles sempre buscarão posturas que diminuam o risco de serem culpados por um erro no processo. Suponha que você recebeu a incumbência de comprar uma moto para sua empresa. Você não entende muito de motos, pois na realidade sua especialidade é comprar. A empresa o escolheu para a posição de comprador, pois sabe que você vai adquirir produtos de boa qualidade com custo baixo. Após uma busca na Internet, você encontra diversas opções. Se você ficar indeciso entre uma Honda e uma moto chinesa, a probabilidade de você comprar a primeira é maior. Você vê essa marca na rua, pessoas trabalhando com ela, concessionárias autorizadas e assim por diante. Você vai comprar uma Honda por pura segurança: se você comprou a marca mais conhecida do mercado e ela deu problemas, você não terá medo de ter a sua decisão questionada. Agora, se ao invés da Honda você comprou a Xing-ling 125 cilindradas, certamente te pedirão uma boa explicação. Essa é a situação pela qual passam os profissionais de RH todos os dias e essa é a razão pela qual eles utilizam mecanismos considerados preguiçosos, mas que, na realidade, são eficientes. Se ao invés de entrevistar 50 candidatos o RH entrevistar apenas 10 e conseguir um profissional que se encaixa no perfil, ele economizou uma quantia significativa e poupou muito trabalho. Existem dois estímulos importantíssimos aqui. O primeiro é a pressão por redução de custos versus entrega de resultados e o segundo é a lei do menor esforço. As pessoas sempre buscam o ponto de equilíbrio entre a melhor relação esforço/benefício. Isso vale tanto para uma tarefa como para toda uma vida. Muitos esportistas escolhem essa profissão, pois conseguem trazer e obter pra si próprios muito mais resultados do que se eles tivessem que fazer aula de cálculo num curso de ciência da computação, e vice-versa. No final, certificação profissional tem a ver com oportunidades. Existem excelentes profissionais que não possuem certificação alguma e existem profissionais certificados que são ruins. A quantidade de gente ruim vai depender da forma como a certificação é obtida e do que alguém considera eventualmente ruim. Conhecimento e experiência são apenas dois requisitos que um profissional precisa atender para arrumar um trabalho. Vários outros, como postura profissional ou habilidade de gerenciar equipes, simplesmente não são avaliados nas certificações. Se você conheceu um profissional que julgou arrogante e concluiu que ele era desse jeito por ser certificado, talvez você esteja equivocado. Pessoas com esse perfil não necessitam de títulos para apresentar esse tipo de deficiência de caráter, embora ela possa ser agravada pela obtenção de um título que o mercado considera difícil. Em resumo, se você é um bom profissional, as certificações vão te trazer mais oportunidades para mostrar isso, e se você for um profissional ruim, não há certificação que te segure em um emprego. Oportunidades são especialmente importantes quando você está em desvantagem em relação ao resto do mercado. Pode ser que você não tenha um diploma universitário, assunto que eu vou discutir abaixo, ou que você esteja em um país onde as pessoas têm idéias pré-concebidas da sua capacidade ou postura em virtude da sua nacionalidade. Algumas certificações são consideradas valiosas não só no Brasil, mas em muitos outros países. Muitos profissionais que resolvem trocar de país não iniciam sua jornada sem antes obter títulos internacionalmente reconhecidos. Algumas certificações já foram explicitamente citadas em programas de concessão de vistos para estrangeiros. O CISSP (Certified Information Systems Security Professional), por exemplo, já apareceu como desejável nos programas de imigração do Canadá e da Austrália. Mesmo que você esteja trabalhando no Brasil, pode ser que você esteja em uma multinacional e suas oportunidades estarão diretamente relacionadas à visão que seus superiores, que podem estar em outros países, têm de você. Metade dos alunos que eu recebo nos treinamentos preparatórios para o CISSP está nessa situação. Eles buscam o título para que seus pares nos outros países reconheçam sua capacidade. Adicionalmente, certificações são uma forma prática de obter conhecimento. Você põe a mão no bolso para se inscrever em uma prova e se não passar, fica com todo o prejuízo. Para muitos, isso é um ótimo estímulo para se dedicar aos estudos. Além disso, os exames costumam exigir conhecimentos importantes que nem sempre são usados freqüentemente no dia-a-dia, mas que são essências para uma formação completa. Praticamente todas as certificações em SI, com exceção do MCSO (Módulo Certified Security Officer), só estão disponíveis em inglês. Isso aumenta o nível de dificuldade para obter os títulos, mas força o candidato a obter um nível de proficiência maior no idioma de Shakespeare, item praticamente obrigatório para quem quer arrumar um bom emprego no mercado de tecnologia. Muitos acham que eu defendo certificações profissionais por prestar serviços diretamente para duas empresas que atuam nesse segmento. Quem me conhece desde o começo da carreira, porém, sabe que não é bem assim. Sempre fui um entusiasta do assunto desde sempre e hoje me sinto bastante realizado de fazer parte de instituições cujas certificações me ajudaram a chegar onde estou. Eu não tinha tempo, nem recursos, mas sabia que tinha uma capacidade boa de aprendizado e absorção de conhecimento, requisitos fundamentais para trabalhar na área de tecnologia, especialmente com consultoria e suporte, outra paixão antiga minha. As certificações me ajudaram a mostrar isso. Os profissionais que eram contratados para trabalhar nas empresas por onde passei tinham títulos universitários de renome, de instituições como a USP e a FEI. Eu simplesmente não tinha como obtê-los. Isso não significa que, em termos de formação, eu pense que uma certificação substitua um diploma universitário. Longe disso. Tanto é que na primeira oportunidade que tive me engajei na obtenção de um, em uma universidade fora do Brasil. Porém, as certificações me ajudaram a “furar” o filtro do RH num prazo mais curto e com um custo baixo. Sem isso eu jamais teria obtido o dinheiro necessário para bancar uma faculdade. Depois que eu arrumei meu primeiro emprego para trabalhar com consultoria, as certificações me permitiram ganhar espaço. Consultorias precisam de profissionais certificados para ganhar licitações ou manter o status de revenda autorizada dos fabricantes. Na prática, eu nunca desembolsei um tostão para pagar as provas. Nessas empresas costuma imperar a seguinte regra: elas pagam o valor das provas, desde que você não tenha repetido. Muitas pessoas são contra as certificações profissionais. Embora eu seja aberto a outros pontos de vista, tenho a impressão que a maioria dos contrários se encaixa em uma (ou mais) das seguintes categorias:
  • Aquele que já está inserido no mercado de trabalho, possui reconhecimento e está cheio de contatos: se você já tem uma rede de conhecidos e longa experiência no currículo em empresas de ponta, parte dos benefícios da certificação deixa de ser relevante. O filtro do RH já foi furado, provavelmente por um diploma universitário ou pela indicação de um colega.
  • Aquele que já sabe tudo: se a pessoa tem amplos conhecimentos, a idéia de usar a certificação como ferramenta de preparação perde a força.
  • Aquele que não gosta de estudar ou tem medo de fazer exames: essa é uma deficiência séria. Não gostar de absorver novos conhecimentos e não se sentir confortável para colocá-los a prova é um tipo de postura que me parece incompatível com a área de tecnologia, embora eu tenha ciência que existe muita gente nessa categoria.
Se você está lendo esse artigo, é bem provável que você nem precise ser convencido de que as certificações profissionais são algo interessante. Mas é sempre bom encontrar argumentação favorável que ajude a embasar aquilo no qual você acredita e te leve a ver a coisa por outros pontos de vista.

De onde vem o valor da certificação?

O valor da certificação vem, principalmente, da sua relação custo/benefício. Como os custos de obtenção das certificações são conhecidos, o valor vai depender bastante dos benefícios. Estes, por sua vez, dependem de uma série de fatores. Em resumo:

Reconhecimento e propósito da entidade

Há 15 anos a coqueluche do mercado de certificações técnicas eram os títulos da Novell. Depois passaram a ser os da Microsoft e, hoje em dia, a percepção de valor de ambas é bastante reduzida se comparadas ao momento de sua introdução no mercado. O problema da Novell é diferente do da Microsoft. As certificações Novell perderam espaço junto com a própria empresa. Quando um fabricante está por trás de uma certificação, o valor desta depende diretamente do tamanho da base instalada. Já a Microsoft não parou de ganhar mercado nos últimos 15 anos e mesmo assim seus títulos foram perdendo valor, demandando uma reestruturação bastante ampla com o objetivo de reverter o processo. Há um conflito de interesses inerente a todas as certificações de fabricantes que é muito difícil de resolver. O programa de certificação da Microsoft (ou da Cisco, Novell, CheckPoint, etc.) é algo irrelevante para a empresa em termos de geração de receita. Seu objetivo principal é disseminar o conhecimento sobre suas tecnologias para a maior quantidade possível de pessoas. Essa disseminação tem dois efeitos importantes. Em primeiro lugar, forma “vendedores”, pois profissionais que tenham gasto tempo e dinheiro aprendendo uma tecnologia são os maiores interessados em estimular seu uso. Em segundo lugar, quanto mais gente supostamente conhecer a tecnologia, mais barato fica para os clientes adotá-la. Porém, isso é totalmente conflitante com os interesses dos profissionais que tiram as certificações. Para a Microsoft (ou qualquer outro fabricante) e para os empregadores, quanto mais gente certificada, melhor. Já para os profissionais, mais gente certificada significa salários mais baixos. Por isso, já há muito tempo eu tenho priorizado as certificações chamadas vendor-neutral, que são mantidas por institutos cuja missão é certificar profissionais. O zelo que este tipo de instituição precisa ter com seus programas de certificação é muito maior, pois esse é, muitas vezes, seu único ganha-pão. Mencionarei nessa série de artigos algumas certificações de fabricantes, mas o foco principal serão as vendor-neutral. Além disso, as certificações de fabricantes quase sempre te obrigam a obter novos títulos toda vez que uma tecnologia fica obsoleta. Já certificações vendor-neutral possuem programas de certificação continuada, onde os certificados são renovados automaticamente, desde que os profissionais comprovem que estão atuando de maneira engajada no mercado e se reciclando. Apesar de tudo, é importante frisar também que a maioria dos fabricantes hoje tenta equilibrar ambas as necessidades através de títulos distintos. As certificações mais básicas atendem a necessidade dos fabricantes de disseminar conhecimento e as mais avançadas servem para aqueles com capacidade superior que querem se destacar das “massas”. É o caso do CCIE (Cisco Certified Internetwork Expert) ou da Architect Series da Microsoft.

Quantidade de profissionais certificados

A lei da oferta e da procura é tão clara e óbvia que deveria ser considerada uma lei da natureza. Quanto mais profissionais certificados, menor o salário pago para uma certificação. Simples assim. Obviamente, esse não é o único fator que vai determinar o salário que você vai receber, mas vai determinar o peso da certificação nesse cálculo. Dessa forma, avalie se a instituição responsável pela obtenção da certificação está preocupada com isso. Existem instituições que, para estimular a adoção de um título pelo mercado, se valem de processos conhecidos por grandfathering, onde os certificados são distribuídos através da avaliação de currículos, sem necessidade de prova, mediante o pagamento de taxas. Sou contra esse tipo de processo por diversas razões, embora tenha ciência de que algumas vezes ele pode ser feito de forma mais séria (quando a instituição, por exemplo, não aplica uma prova, mas exige uma monografia ou artigo para que o candidato mostre proficiência). A razão principal é uma questão de justiça. Nem todo mundo tem facilidade para estudar e aprender. Muitas pessoas chegam a estudar centenas de horas para obter certos títulos. Você não pode simplesmente entregar um título igual para quem não fez prova, por mais experiente que a pessoa seja. Além disso, existe outro conflito de interesses claro. Se a instituição faz um grandfathering é porque ela tem como objetivo disseminar a certificação, fazendo com que a maior quantidade possível de profissionais certificados a obtenham. Isso faz com que haja uma tendência de afrouxar a rigidez da análise dos currículos. Esse fenômeno aconteceu há alguns anos com o CISM (Certified Information Security Manager), uma certificação criada para gestores de SI. Mediante o pagamento de 500 dólares e o envio de um formulário de aplicação onde o candidato descrevia sua própria experiência, a pessoa recebia o certificado. O problema é que essa verificação deixou muito a desejar. No mercado brasileiro existem vários profissionais que possuem esse título (sem possuir nenhum outro) e que não atendem aos requisitos da certificação, que incluíam, entre outras coisas, 9 anos de experiência profissional atuando em uma posição gerencial. É de conhecimento geral que existem até mesmo técnicos que possuem esse título, o que além de caracterizar um comportamento antiético por parte do sujeito, mostra deficiências no processo de avaliação. Quando você escolher uma certificação profissional para si, verifique se a entidade responsável está preocupada em diminuir a quantidade e aumentar a qualidade das pessoas certificadas, e não o inverso.

Eficácia da avaliação

Em geral, as certificações voltadas para SI buscam avaliar os conhecimentos do candidato. A grande maioria delas faz isso através de uma prova de múltipla escolha. Uma exceção importante a essa regra são as certificações Gold e Platinum do SANS (SysAdmin, Audit, Network, Security), onde o candidato tem que entregar uma pequena monografia escrita e fazer um teste prático, respectivamente. A dificuldade das provas é uma preocupação fundamental dos institutos de certificação. Por conta disso, uma série de mecanismos de psicometria são utilizados para garantir que ela se mantenha constante ao longo dos anos. Uma abordagem comum a maioria das certificações é a utilização de provas muito longas, diminuindo a probabilidade de uma pessoa conseguir passar através da memorização pura e simples de conceitos. No caso do CISSP, são 250 perguntas em 6 horas, praticamente um vestibular. Provas deste tamanho não costumam ser aplicadas eletronicamente, pois o cansaço visual é muito grande. Além disso, manter as provas em papel facilita a proteção do sigilo das questões. Se você buscar simulados para uma certificação de um fabricante qualquer, perceberá que as questões são praticamente as mesmas que caem na prova verdadeira. É praticamente impossível controlar o vazamento das questões dos exames quando eles são aplicados em milhares de instituições diferentes ao redor do mundo. Isso não acontece com a mesma freqüência no CISA (Certified Information Systems Auditor), por exemplo. A ISACA (Information Systems Audit and Control Association), responsável pelo título, adota um processo extremamente eficaz, aplicando provas apenas uma vez por ano, em horários sincronizados, em várias cidades simultaneamente. A melhor avaliação de todas certamente é a do GSE (Global Information Assurance Certification Security Expert), certificação nível Platinum mantida pelo SANS, onde a aplicação dos conhecimentos é avaliada através de testes práticos. Isso ajuda a aumentar significativamente o prestígio do título, mas encarece bastante o processo de avaliação, conta que no final acaba sendo paga pelo candidato. O reconhecimento, porém, é imenso. Existem menos de 20 profissionais certificados em todo o mundo.

Requisitos de experiência

Muitas certificações em SI possuem requisitos de experiência profissional. Isso significa que não basta o aluno passar na prova, ele deve também ter experiência comprovada atuando em tempo integral na área durante um período específico de tempo, que para algumas certificações pode chegar a 5 anos. Essa verificação é feita através de amostragem, pelos próprios institutos ou por empresas terceirizadas. Em alguns casos, profissionais já certificados, que são os maiores interessados em evitar que um novo candidato minta a respeito da sua experiência, podem ser chamados para ajudar no processo. Você encontrará profissionais no mercado que não possuem o tempo de experiência necessário, pois mentiram em seus formulários e tiverem a sorte de não serem pegos pela auditoria. Porém, quase todos os institutos possuem um canal para denúncias, e essas pessoas podem perder a certificação a qualquer momento caso irregularidades sejam constatadas.

Códigos de Ética

Na grande maioria dos países não existe uma entidade de representação de classe responsável por regulamentar o mercado profissional de SI. Por conta disso, os institutos de certificação tentam, mesmo que de maneira tímida, estabelecer códigos básicos de conduta cujo cumprimento é obrigatório. Os chamados Códigos de Ética tentam também resolver um problema de ordem prática muito comum. Como as funções relacionadas a SI são críticas e seus profissionais têm acesso a informações de caráter confidencial, muitas empresas ficam receosas de buscar gente no mercado. Eu costumo treinar pelo menos 300 profissionais por ano. Por conta disso, recebo muitos pedidos para preencher vagas de trabalho de empresas que estão em busca de profissionais bons (e baratos). Entretanto, na grande maioria das vezes, as empresas querem alguém de “confiança”, que eu conheça e possa recomendar, e não me autorizam a divulgar a vaga. Obviamente, eu não tenho como "confiar" em todos os meus alunos. Posso atestar sua capacidade intelectual e dar algumas impressões a respeito da sua postura, e só. Na prática, isso acaba criando uma barreira muito grande ao primeiro emprego na área. Muitos querem trabalhar com segurança, muitas empresas precisam de gente, mas esses dois anseios não se encaixam por uma preocupação excessiva (e compreensível) por parte dos empregadores. Elas acabam sendo preenchidas por profissionais que já trabalham nas empresas, mas em outras áreas, ou por indicações que nunca chegam aos classificados de emprego dos jornais. A situação já melhorou bastante se analisarmos o cenário de 5 anos atrás, mas o problema ainda existe. Os Códigos de Ética são uma tentativa de fazer essa interface. Eles comunicam aos empregadores que os profissionais certificados estão sujeitos a um código de conduta, cujo principal efeito prático é tentar dar mais segurança na contratação.

Tipos de certificações disponíveis

Considerando todas as certificações vendor-neutral disponíveis, é possível classificá-las em dois grupos: genéricas ou específicas. Genéricas são aquelas que passam uma formação geral sobre SI para os candidatos. Específicas tratam de um tema de maneira mais aprofundada, como continuidade de negócios, auditoria ou perícia forense. Se você não possui certificação alguma, talvez seja melhor começar por títulos genéricos. Eles certamente vão abrir muito mais portas do que certificações específicas. O mercado de SI não é tão grande como gostaríamos e as certificações específicas às vezes estão voltadas para nichos bem delineados, onde costuma ser muito difícil arrumar emprego sem uma boa rede de contatos ou ampla experiência prévia. Porém, as certificações específicas cobrem os assuntos em maior profundidade. Se você tem uma paixão por determinada área e gostaria de aprender bastante sobre ela, talvez elas sejam a sua melhor escolha. Vale lembrar que as certificações genéricas são mais conhecidas. É comum ver vagas para continuidade de negócios ou perícia forense onde os empregadores pedem certificações genéricas como o MCSO ou o CISSP. Quem contrata, muitas vezes, sequer sabe que existem títulos específicos para cada uma dessas áreas.

Os institutos de certificação

Conhecer um pouco do histórico do instituto responsável pela certificação que você quer obter ajuda a compreender quais são seus pontos fracos e fortes, além de seus nichos de atuação.

(ISC)²

O International Information Systems Security Certification Consortium, ou simplesmente (ISC)² é, provavelmente, o instituto de certificação com o maior nome que existe ;-) Ele costuma ser chamado também de ISC2, com a pronúncia em inglês ou português, ou o nome mais correto, que seria ISC ao quadrado ou ISC squared, no equivalente em inglês. Fundado em 1989 por diversas outras entidades de peso, como a ISSA (Information Systems Security Association) e o CSI (Computer Security Institute), ele é o líder inquestionável no mercado de certificações profissionais voltadas para SI. Atualmente, existem mais de 45 mil profissionais certificados em mais de 120 países. Pergunte para qualquer profissional de SI em qualquer parte do mundo qual é a primeira certificação profissional que vem a sua cabeça e a pessoa dirá que é o CISSP, principal certificação do instituto. Os primeiros profissionais certificados no Brasil obtiveram seus títulos na segunda metade dos anos 90. O primeiro latino-americano certificado foi o Alberto Bastos, sócio-fundador da Módulo. Quando eu passei no exame, em 2000, apenas 13 pessoas possuíam o título por aqui. A partir de 2004, eu trouxe, enquanto trabalhava na Hitech/Etek, os primeiros seminários realizados para o continente latino-americano e desde então o título começou a se popularizar, se tornando a certificação mais cobiçada também no mercado brasileiro.

ISACA

A ISACA (Information Systems Audit and Control Association) tem uma peculiaridade que a difere dos outros institutos de certificação para o mercado de SI, que é o fato dela ser um misto de associação profissional com instituto de certificação. Além de oferecer certificações para o mercado, oferece também serviços típicos de uma associação profissional, que podem ser desfrutados por aqueles que possuem ou não seus títulos. Bem mais antiga que o (ISC)², a ISACA foi fundada em 1967. Seus programas educacionais foram estabelecidos em 1976 e desde então ela alcançou a impressionante marca de 70 mil profissionais certificados em 140 países, presença essa existente também de maneira física através dos seus capítulos locais. A ISACA, historicamente, sempre foi uma associação focada na área de auditoria de sistemas de informação e acumula uma excelente imagem neste segmento, especialmente no setor bancário. Nos últimos anos, ela começou a enveredar por algumas outras áreas, notadamente SI e Governança de TI (Tecnologia da Informação). Essa postura chegou a gerar um mal estar entre a associação e o (ISC)², que já era líder no segmento quando a ISACA resolveu criar o CISM, uma certificação voltada para Gestores de SI. A contra argumentação foi justamente o fato do título estar focado unicamente em gestores, enquanto que o CISSP tinha um caráter mais abrangente, podendo ser obtido também por técnicos e consultores, embora esse não seja seu foco principal.

SANS

Pela própria definição do nome (SysAdmin, Audit, Network, Security) já é possível perceber que o SANS possui um foco mais técnico. Embora o escopo de atuação da organização hoje seja significativamente mais amplo, é entre o pessoal “mão na massa” que o título desfruta de maior respeito e reconhecimento. O SANS possui mais de uma dezena de certificações profissionais, o que chega a gerar certa confusão nos candidatos que planejam obtê-los. Além disso, recentemente, eles implantaram dois caminhos possíveis para cada uma das certificações, com o objetivo de aumentar a quantidade de profissionais certificados. Profissionais que apenas fazem os exames e passam, recebem títulos Silver. Já aqueles que enviam uma monografia sobre o tema para avaliação, recebem o título Gold. O SANS possui um número de profissionais certificados bem inferior ao do (ISC)² ou da ISACA, embora tenha sido fundado em 1989. Cerca de 20 mil profissionais possuem as certificações do SANS, menos da metade do número do (ISC)². Há uma razão para isso: obter certificações do SANS é mais difícil que obter certificações do (ISC)² ou da ISACA. A necessidade da monografia sempre foi uma barreira muito grande. Candidatos que não têm o domínio necessário para escrever em inglês ficavam arrepiados só de pensar no assunto. Ciente disso, o SANS decidiu eliminar a monografia, o que gerou uma onda imensa de protestos, cujo resultado foi a divisão dos títulos entre Gold (com a tradicional monografia) e Silver (apenas com exame). Desde então, o número de profissionais certificados vem crescendo de maneira mais expressiva. O SANS é o líder mundial de treinamentos na área. Cerca de 12 mil profissionais passam pelos seus cursos todos os anos, o que faz dele não só um instituto de certificação, mas uma grande fonte de pesquisa para a área.

CompTIA

A CompTIA é a maior fornecedora de certificações vendor-neutral para o mercado de TI. Fundada em 1993, já certificou mais de 1 milhão de profissionais em mais de 100 países. Sua oferta de certificações em TI é bastante ampla, mas para a área de SI há apenas um título disponível, chamado Security+. Tecnicamente, entretanto, o título é muito mais focado em segurança computacional do que SI em geral. As certificações da CompTIA contam com grande reconhecimento internacional, nem sempre equivalente ao reconhecimento provido pelo mercado brasileiro. O Security+, além de ser pouco conhecido, é amplamente considerado pelo mercado como um título para iniciantes, tanto aqui quanto no exterior. Porém, é uma excelente opção para aqueles que não possuem experiência profissional, pois o título não possui este tipo de exigência. Muitos o escolhem como uma caminho de entrada.

Módulo

A Módulo é a líder incontestável do mercado de SI brasileiro. Em seus mais de 25 anos de atuação, a empresa se estabeleceu como um dos principais provedores de serviços e soluções, o que lhe permitiu expandir sua atuação para outros países e nichos de mercado relacionados, como Governança, Gestão de Riscos e Compliance. No ano 2000, a empresa introduziu no mercado a certificação MCSO, usando como referência as principais certificações de SI disponíveis no mercado internacional. Desde então, a certificação sofreu diversas atualizações e se consolidou como sendo o título em SI mais popular do Brasil, com mais de 600 pessoas certificadas. Ainda hoje, o MCSO é a única opção disponível para quem quiser fazer uma prova de certificação em português. Essa característica ajudou bastante na disseminação do título nas mais diversas regiões brasileiras, além de contar com a simpatia dos profissionais que trabalham na administração pública. Recentemente, o colega Gilberto Netto escreveu em uma recomendação feita no meu perfil do LinkedIn que, somente no Serpro, mais de 40 pessoas possuem a certificação. Além disso, a iniciativa nacional é recebida com simpatia em licitações governamentais. É comum o título aparecer como requisito para prestadores de serviço, equiparado a outros de reconhecimento internacional, como o CISSP e o CISA.

Próximos artigos

Essa série contará com mais dois artigos que serão lançados nas próximas semanas. A Parte 2 cobrirá de maneira mais específica quais são as certificações disponíveis no mercado brasileiro, quais os requisitos de cada uma delas, custos, formas de preparação disponíveis e opções de carreira. A Parte 3, que será o artigo final, falará sobre técnicas de estudo. Vejo entre o pessoal que eu treino que muitos simplesmente não conhecem nenhum método eficaz de estudos. Começam a estudar super motivados mas, depois de um tempo, o volume de informações passa a ser muito grande, a capacidade de reter conhecimentos vai caindo, eles começam a estudar de novo coisas que viram duas semanas atrás, até que vão reduzindo o ritmo e param, com uma sensação velada de frustração ou mesmo de incapacidade. Se você quer saber como as técnicas de estudo podem mudar definitivamente essa história, acompanhem as atualizações deste blog via RSS ou e-mail (usando a caixa newsletter na barra de navegação). Caso você tenha perguntas para este ou para os próximos artigos, coloque-as na seção de comentários e eu tentarei incluir o máximo possível de informações nas próximas revisões.
Read More
Artigos, BlogAnderson RamosCarreira, Malware Comments
(ISC)² publica guia sobre como contratar profissionais de SI

Capa do Hiring Guide

O (ISC)² disponibilizou para download gratuito um guia destinado aos profissionais das áreas de recursos humanos e recrutamento, com o objetivo de auxiliá-los na contratação de profissionais de SI (Segurança da Informação). O material descreve as diferentes habilidades e características demandadas pelas diversas funções existentes no mercado de SI, e faz também um trabalho de divulgação das certificações do instituto. O guia contém também algumas dicas práticas sobre como montar descrições para vagas, entrevistar profissionais e checar as referências que possivelmente podem ser apresentadas, além de passar um histórico básico sobre a evolução da profissão e os principais desafios atuais. A Guide to Information Security Resources from a Hiring Perspective
Read More
BlogAnderson RamosCarreira, GestãoComment
Nova revista canadense sobre segurança

Security Matters - Fall 2007

Foi lançada no Canadá a revista Security Matters, focada em conteúdo para profissionais de segurança. Sua assinatura é gratuita para residentes nos EUA e Canadá. Se você quer receber este tipo de publicação no Brasil sem pagar fortunas pela assinatura, o melhor macete é usar um serviço como o SkyBox. Com ele, você ganha um endereço nos EUA e, tudo que for entregue lá, eles mandam pra tua casa, cobrando apenas o envio (e os impostos, claro ;-). Porém, livros, revistas e periódicos são isentos de tributação.
Read More
BlogAnderson RamosCarreira, Continuidade, Criptografia, Gestão, Malware, Perícia, Segurança Física, Segurança em Redes, Sistemas Operacionais Comments
Explicando um deadlock com imagens de trânsito
São Paulo é uma cidade com trânsito maluco, isso todo mundo sabe. O que algumas pessoas não sabem, é que deadlocks são possíveis também em cruzamentos. Olha só essa foto da esquina da Av. Faria Lima com a Juscelino Kubitschek ;-)

Além disso, é uma imagem belíssima da Teoria dos Jogos vista na prática. A vontade que as pessoas têm de levar vantagem sobre as outras é tamanha, que chega um momento em que todos começam a perder. Ou, em outras palavras, simplesmente falta de civilidade e educação, numa das esquinas mais sofisticadas do país.

Agradecimento: Weber Ress

Read More
BlogAnderson RamosContinuidade, Gestão, Sistemas Operacionais Comments
Apple revoluciona o backup pessoal (de novo)

Apple Time Capsule

Primeiro foi o Time Machine, uma nova funcionalidade do Mac OS X Leopard que alcançou o limite máximo da simplicidade para a operação de backup em um computador pessoal. Basta conectar um disco externo e o sistema operacional vai automaticamente gravando todas as alterações que são feitas no disco da tua máquina de forma transparente. Não é óbvio? Apagou ou perdeu um arquivo? Quer voltar a máquina (ou uma pasta) para a situação na qual ela se encontrava há exatos 23 dias? Basta usar uma visualização que lembra um túnel do tempo, encontrar o dia em que as coisas estavam do jeito que você deseja, e clicar o mouse. Fez besteira? Volte pro jeito que estava com a mesma facilidade. Essa incrível inovação foi anunciada numa época em que os usuários do Vista começavam a pensar que finalmente haviam ganhado uma funcionalidade de backup civilizada. E ontem, na MacWorld, a Apple fez de novo. Anunciou o óbvio (novamente): um disco externo de 1 TB, que se comunica com o Mac (ou PC) via uma rede wireless padrão 802.11n (velocidade teórica máxima de 248 Mbps) e faz tudo isso descrito acima, só que sem fios (desde que você tenha um Mac com o Leopard, usuários de PC poderão usar o equipamento como um disco externo). O aparelhinho se chama Time Capsule e já está disponível para comercialização por 299 dólares na sua versão de 500 GB (a versão de 1 TB sai por 499). De quebra, o aparelhinho funciona como um roteador doméstico, contando também com 3 portas Gigabit Ethernet e um servidor de impressão. Funcionalidades de segurança padrão também foram incluídas, como suporte a WPA2, 802.11x e firewall interno.
Read More
BlogAnderson RamosContinuidade, Gestão, Segurança em Redes, Sistemas OperacionaisComment
Adolescente hackeia sistema de trens usando um controle remoto de TV

Tram

Sou contra títulos sensacionalistas para notícias, mas o que aconteceu neste caso foi exatamente o que você leu. Um adolescente polonês que vive em Lodz invadiu o sistema que gerencia os trens* da cidade usando um controle remoto de televisão adaptado. Resultado: confusão, quatro trens descarrilados e doze pessoas feridas. Esse é o conteúdo das acusações que estão sendo feitas contra ele. O adolescente foi descrito pelos seus professores como um estudante exemplar, fã de eletrônica. Ele vai responder pela acusação de por em perigo a ordem pública em uma corte juvenil da justiça polonesa. O que mais impressiona na notícia é a facilidade com a qual um sistema tão crítico foi comprometido. Embora a notícia informe que o adolescente supostamente estudou o alvo durante um longo período, o simples fato de ele ter conseguido deixa muito claro que elementos básicos de proteção não foram observados. * Mais precisamente, ele descarrilou um sistema de trams, que no Brasil são chamados de bondes, mas que na sua versão moderna se assemelha bastante a um trem de superfície. Eles são mostrados na foto deste artigo. Fonte: The Register
Read More
BlogAnderson RamosContinuidade, Crime, Gestão, Segurança Física, Segurança em RedesComment
Quer um emprego em Segurança da Informação? Venha para São Paulo!

Avenida Paulista

Já tive a oportunidade de viajar praticamente o Brasil inteiro à trabalho e, quando visito cidades fora do eixo Rio-Sampa, a reclamação é sempre a mesma: a dificuldade de se arrumar um trabalho 100% focado em Segurança da Informação. Se você ficou indignado com esta declaração, você provavelmente é de Brasília ;-) Juntas, estas três cidade devem, provavelmente, concentrar 85% de todas as vagas disponíveis para este campo de atuação. Brasília, nesse aspecto, talvez seja uma cidade mais promissora até mesmo que o Rio de Janeiro. O crescimento pela qual vem passando a capital federal, aliado ao mercado cada vez maior de empresas que prestam serviço para o governo, além do próprio governo, faz da cidade um destino atrativo. Agora, por mais que existam argumentações em contrário, por mais que o desenvolvimento do Brasil esteja cada vez mais descentralizado e por mais que os outros estados da federação tenham um papel cada vez mais importante na economia, São Paulo é, indiscutivelmente, a potência econômica mais amada e odiada do Brasil (e da América Latina). A notícia abaixo, sobre um estudo recente, mostra alguns números que impressionam até mesmo os paulistanos: PIB paulistano supera o de 22 Estados norte-americanos, diz pesquisa É isso aí mesmo que você leu: o PIB da cidade de São Paulo supera 22 estados americanos. Pra efeito de comparação dentro do Brasil, só a capital paulista tem um PIB maior que o estado do Rio de Janeiro inteiro, mesmo com toda a indústria brasileira de petróleo instalada lá. Se você está insatisfeito com as oportunidades no estado onde você mora e está considerando uma mudança de cidade (dentro da América Latina), São Paulo deve ser sua primeira opção. Se você quer melhores oportunidades, mas não quer viver na loucura, há muitas opções pelo interior do estado, onde um pólo industrial crescente não para de demandar mão-de-obra especializada. Se a tua praia é o emprego público e você não abre mão da qualidade de vida, Brasília é uma ótima opção, embora o custo de vida lá, que sempre foi alto, esteja alcançando níveis que beiram o absurdo, caso você planeje morar no plano-piloto. E você? Deixou sua cidade, pretende fazê-lo ou não vai fazer de jeito nenhum? Compartilhe sua história nos comentários.
Read More
BlogAnderson RamosCarreira Comments
Etiquetas RFID para roupas (ou como fazer jaquetas rastreáveis)
Que tal uma etiqueta para roupas, aquela onde são colocadas as informações sobre a temperatura do ferro de passar e outros cuidados, que possua dentro de si uma tag RFID? Imagine seu ferro regulando automaticamente a temperatura de acordo com as informações da etiqueta ou a lavadora decidindo se vai ou não colocar alvejante na lavagem. Imaginou? Agora imagine que suas roupas sendo rastreadas por onde passam, permitindo (por exemplo) que um motel saiba quantas vezes você foi lá no último mês. Não parece mais tão legal, né?

Via Yanko Design.

Read More
BlogAnderson RamosCriptografia, Perícia, Segurança Física Comments
Cuidado com os carros quando estiver ouvindo seu iPod!
A polícia do estado de New South Wales, na Austrália, iniciou uma campanha de mídia impressa de alto impacto, cujo objetivo é alertar os usuários de tocadores MP3 sobre os riscos de caminhar de maneira desatenta enquanto se está ouvindo sua música preferida ou seu podcast indispensável.

 

Segundo a fonte das imagens, o número de adolescentes mortos por atropelamento nessas condições está alcançando patamares alarmantes.

Via The Cool Hunter

Read More
BlogAnderson RamosCrime, Gestão, Segurança Física Comment