Posts in Blog
O melhor dos livros ficou melhor ainda

engineering.jpg

Há 7 anos um livro capturou as atenções do mercado de segurança da informação. O livro recebeu diversas premiações e caiu até nos gostos do Rob Slade, um famoso revisor de livros que só gostou de uns 5 livros em toda a sua vida, dos 500 que ele já leu ;-) O material em questão é o Security Engineering, escrito por Ross Anderson, muitas vezes chamado de "Bruce Schneier" inglês. Ross é considerado a maior autoridade no assunto, além de ser um profissional de reconhecimento internacional. Ele é professor na Universidade de Cambridge e foi responsável pelo desenvolvimento do Serpent, um algorítimo criptográfico que ficou em segundo lugar no concurso internacional que escolheu o Rijndael como sucessor do DES.

Passado todo esse tempo, eu recebi nesta semana a segunda edição, que está disponível também em encadernação de capa dura. Eu teria tantas coisas importantes para falar que vou me resumir a mais importante de todas: LEIA! Todo profissional de segurança que tem um compromisso com seu próprio conhecimento deveria fazê-lo.

As informações que ele possui têm valor inestimável e eu posso lhe garantir que não existe nenhum outro livro ou sítio onde você vai encontrá-las de maneira tão precisa e concisa. O material é porta de entrada para um verdadeiro mundo de informações, contendo referências para mais de 1000 outros livros e trabalhos acadêmicos que servem de referência para um estudo mais profundo.

Para aqueles que estão se preparando para o CISSP, eu costumo recomendar este livro como leitura obrigatória. Porém, o conteúdo é muito mais abrangente do que é demandado no exame, então é necessário por um pouco de foco. Entretanto, se você tiver tempo para ler tudo, cada linha de conhecimento lhe será útil, seja no exame ou no trabalho. A princípio, o material pode assustar um pouco por sua notação científica mas, passado o período de adaptação para aqueles que não estão familiarizados, a leitura flui bem.

Confira você mesmo, alguns capítulos estão disponíveis gratuitamente no sítio do autor, além de toda a primeira edição, agora já um pouco desatualizada, mas ainda de grande valia.

Read More
BlogAnderson RamosCarreira, Criptografia, Malware, Segurança em Redes, Sistemas Operacionais Comment
Cofre com chupa cabra

cofrecabra2.jpg

Os espanhóis inventaram as tapas e os cofres com uma propensão a clonagem de cartões de crédito. Eu já tinha visto essa engenhoca aí em hotéis de diversos países. Essa semana foi num hotel que eu estou aqui no Panamá. O princípio é bem intencionado: para simplificar o fechamento do cofre, sem criar com problemas de esquecimento de senhas, a porta abre e fecha com o cartão de crédito do hóspede. O avanço científico é fabricado por uma empresa de Zaragoza chamada BVT. A idéia é, obviamente, idiota. Um funcionário da manutenção pode colocar um clonador no cofre, contando ainda com a opção de selecionar os quartos mais luxuosos, pegando assim os cartões com os limites mais gordos. O dispositivo passaria despercebido pela operadora do cartão, já que o sistema do cofre é off-line e (provavelmente) não autorizado por ela
Read More
BlogAnderson RamosPerícia, Segurança Física Comments
20 equipamentos criptográficos pra tua lista de compras

Camargoneves.com

As histórias da criptografia e da computação nos últimos cem anos se confundem e se mesclam de uma forma muito interessante. Curiosamente, a maioria dos profissionais de tecnologia (e até mesmo muitos de segurança) desconhece essa relação. Se você nem sabia que havia relação entre essas duas coisas e ficou curioso, segue uma lista bem interessante de 20 dispositivos criptográficos, incluindo exemplares famosos e curiosos. Para quem tiver a oportunidade de um dia viajar para Londres ou Washington, ambas as cidades possuem museus interessantíssimos sobre o assunto. A uma hora e meia de Londres fica o famoso Bletchey Park, onde funcionou durante a segunda guerra o escritório do serviço de inteligência britânico que quebrou o Enigma nazista e muitos outros códigos. Trabalharam ali pessoas ilustres como Alan Turing, um dos pais da computação moderna. Já perto de Washington, com um acervo mais amplo e significativo, mas sem o mesmo apelo de Bletchey Park, fica o National Cryptologic Museum, mantido pela NSA, a agência nacional de segurança dos EUA.
Read More
BlogAnderson RamosCriptografia Comment
Guia gratuito de gerenciamento de segurança em português

ca2.jpg

A CA disponibilizou para o público brasileiro uma versão traduzida de um documento bastante popular, chamado de O Guia Definitivo para o Gerenciamento de Segurança. Embora o "definitivo", neste caso, possa soar um pouco pretensioso, o material cobre muitos aspectos, principalmente os básicos, a respeito do Gerenciamento de Segurança. O material é bastante focado na segurança em TI, embora muitos aspectos de segurança da informação em geral também sejam abordados. A parte de gestão de identidades também é muito boa e imparcial, considerando as circunstâncias. Por enquanto, apenas o primeiro capítulo foi publicado em português. Os capítulos seguintes serão lançados semanalmente. Para aqueles que não quiserem esperar a tradução, pode-se buscar na Internet os guias originais em inglês.
Read More
BlogAnderson RamosGestão Comments
Wiki para mapeamento de crimes

wikicrimes.gif

O WikiCrimes é um projeto de pesquisa da Célula de Engenharia do Conhecimento da Universidade de Fortaleza, sob a coordenação do Professor Vasco Furtado. O sítio é um mashup onde os usuários podem cadastrar crimes que tenham sofrido,  gerando estatísticas que podem ser visualizadas de diversas maneiras, incluindo uma visão geo-referenciada através do Google Maps.

Como os índices de notificação de crimes para as autoridades competentes nem sempre representam a realidade por uma série de fatores, a idéia do sítio é criar uma base alternativa que possa ser contrastada com os dados oficiais.

Read More
BlogAnderson RamosCrime, Gestão, Segurança FísicaComment
[OFF-TOPIC] Nerds no dia dos namorados
Evito ao máximo escrever coisas não relacionadas à segurança. Desde que o blog entrou no ar, essa é provavelmente a primeira vez. Mas é que eu vi algo realmente divertido e achei que seria legal abrir uma exceção nesse dia dos namorados. De toda forma, espero que você tenha algo melhor para fazer no dia dos namorados do que ler esta tirinha ;-) Olha só: Os nerds também amam.
Read More
BlogAnderson Ramos Comments
Sobre os livros Security Officer 1 e 2

 Capa - Security Officer 1

Todos os dias recebo o contato de pessoas interessadas em adquirir o Guia Oficial para a Formação de Gestores em Segurança da Informação - Security Officer 1 e 2. Não me sinto à vontade para falar que os livros são bons, mas você há de convir que não há livro com um nome maior que esse no mercado nacional ;-) Falando sério agora: trabalhei como organizador e co-autor destes livros e fico muito feliz de saber que ambos estão esgotados. A Módulo, empresa que bancou a sua produção, continua entregando os livros para os alunos dos cursos da formação MCSO. Por hora, essa é a única forma de obter os livros hoje, em um pacote junto com o curso de formação. Há uma reimpressão sendo planejada para este ano ainda. Até lá, sobre a opção é tentar adquiri-los de segunda mão, em listas como a cisspBR@yahoogroups.com.
Read More
BlogAnderson RamosCarreira, Gestão Comments
Certificações Profissionais em Segurança da Informação - Parte 2B

certificates.jpg

Este é o segundo post da segunda parte do Guia de Certificações em Segurança da Informação (SI). Os artigos estão sendo escritos para leitura seqüencial. Se você não encontrar a informação que procura aqui, leia antes a Parte 1, onde eu falei sobre o valor das certificações e sobre os institutos por trás dos principais títulos disponíveis no mercado, e a Parte 2A, onde as certificações de foco técnico foram analisadas. A Parte 2 do guia é destinada a detalhar as certificações. Nesse segundo post (2B), eu falarei sobre o CISSP, o MCSO e o CISM, que são as principais certificações de nível gerencial e consultivo.

CISSP

Não é exagero dizer que o CISSP (Certified Information Systems Security Professional) é a mais importante, e provavelmente uma das mais cobiçadas, certificações em SI. Principal título do (ISC)², o CISSP possui excelente reconhecimento internacional, sendo muitas vezes mencionado como um diferencial em programas de emissão de vistos de diversos países. Por isso, é a principal certificação para quem quer reconhecimento tanto no Brasil como no exterior, sendo que muitos a vêem como um passaporte internacional de trabalho. Com exceção dos EUA, onde o número de profissionais certificados beira os 40 mil, o CISSP é um título relativamente escasso na maioria dos países. No Brasil, apenas 200 profissionais possuem o título, havendo muito mais demanda do que oferta. Direcionado para profissionais de nível consultivo e gerencial, o CISSP é procurado tanto por técnicos como por gestores/consultores, embora o foco maior seja o último grupo. Se você quer um título de foco mais técnico que o CISSP, você deve procurar o SSCP, mantido também pelo (ISC)², ou o GIAC, mantido pelo SANS.

Exame

O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no site do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 499 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel (uma justificativa está disponível no artigo que fala sobre o SSCP). O exame possui 250 perguntas que devem ser respondidas em 6 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Apenas 225 perguntas entram na pontuação, sendo que as 25 restantes fazem parte de um processo de pesquisa de dificuldade e qualidade, mas o candidato não sabe quais são pontuadas ou não e deve tentar responder todas da melhor forma possível. O (ISC)² autoriza o uso de dicionários de tradução caso o exame seja aplicado em um idioma que não seja o nativo do candidato. O exame está disponível em inglês e em mais alguns idiomas que não incluem o português. Não existe período de carência em caso de reprovação. Os domínios que compõe o CISSP CBK (Common Body of Knowledge) são:
  • Access Control
  • Application Security
  • Business Continuity and Disaster Recovery Planning
  • Cryptography
  • Information Security and Risk Management
  • Legal, Regulations, Compliance and Investigations
  • Operations Security
  • Physical (Environmental) Security
  • Security Architecture and Design
  • Telecommunications and Network Security
O (ISC)² não informa o percentual de questões por domínio que você encontrará na prova, pois essa distribuição é baseada em um estudo feito a cada dois anos, onde profissionais atuantes na área pontuam a relevância de cada um dos assuntos para a profissão, além da profundidade na qual o candidato deve dominar cada um deles.

Requisitos

O CISSP demanda requisitos prévios de experiência profissional. O candidato deve comprovar cinco anos de experiência em dois ou mais domínios de conhecimento dos que compõe o CBK. Como muitas vezes esse requisito gera dúvidas em relação a sua interpretação, há uma página especificando exatamente o que é aceito como experiência “direta em tempo integral”. Os candidatos que possuem diploma de mestrado ou graduação (curso de quatro anos) podem abater um ano de experiência. Esse desconto de um ano também é válido caso a pessoa possua uma certificação profissional aprovada pelo (ISC)². Dessa forma, ainda que utilize os descontos, o candidato tem que comprovar pelo menos quatro anos de experiência. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde é possível prestar o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do CISSP. Desta forma, o candidato comprova que possui conhecimentos, faltando apenas os requisitos de experiência para obter o certificado completo. Assim que experiência tiver sido acumulada, o diploma de Associate pode ser convertido no CISSP. Como no SSCP, todos os profissionais certificados pelo (ISC)² devem se comprometer com o Código de Ética do instituto e ter o seu formulário de registro endossado por outro profissional certificado. Todos os requisitos aqui apresentados são auditados por amostragem. Quem cai na malha fina deve prover documentação comprovando as informações apresentadas.

Validade

O CISSP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional e o título vai sendo renovado a cada período de 3 anos. Verifique no site do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o CISSP, a anuidade custa 85 dólares.

Preparação

Existem muitos livros disponíveis que podem ser usados na preparação para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the CISSP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros sugeridos caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Outro livro bastante utilizado em virtude da sua didática é o CISSP All-in-one Exam Guide, 4th Ed., escrito pela autora Shon Harris. Se você puder comprar os dois, eu recomendo. Se você quiser comprar apenas um, a literatura oficial é a melhor opção. Porém, encare o livro como uma literatura de referência ao invés de tentar lê-lo de capa a capa. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de cinco dias e inclui um simulado oficial de 100 perguntas ao final.

Veredicto

O CISSP é de longe o título mais reconhecido e demandado na área de SI, tanto no Brasil como no exterior. Ele é procurado por consultores e gerentes, além de técnicos querendo direcionar sua carreira para gerência/consultoria. Se você quer um título puramente técnico, o Security+, o SSCP e o GIAC são as opções mais adequadas em ordem de dificuldade e reconhecimento. A opção Associate do CISSP permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. A prova está disponível apenas em inglês. Se isso for um problema para você, a única opção é o MCSO, pois esta é a única certificação cujo exame está disponível em português.

Maiores informações

CISSP® - The International Gold Standard

MCSO

O MCSO (Módulo Certified Security Officer) é a mais popular certificação em SI do mercado brasileiro, contando hoje com 800 profissionais certificados. Criada em 2000, usando como inspiração outros títulos disponíveis no mercado, incluindo o próprio CISSP, o MCSO é uma certificação gerencial, voltada para o Gestor de Segurança da Informação. De todas as certificações aqui apresentadas, essa é a única que se encontra em português, o que acaba sendo um fator determinante para muitas pessoas. Embora a dificuldade de obter a certificação não seja tão grande quanto a do CISSP ou do CISM, sua penetração é maior, havendo profissionais certificados em vários estados brasileiros, enquanto que no CISSP há uma forte concentração no eixo São Paulo, Rio e Brasília.

Exame

A prova é composta de cerca de 200 questões de múltipla escolha, sendo que 60% são relacionadas à gestão e 40% relacionadas à tecnologia. As perguntas de gestão têm peso 2 e as de tecnologia têm peso 1. A nota de aprovação é 70% dos pontos possíveis. Os exames são aplicados pela Módulo, em geral, duas vezes por ano (cerca de Julho e Dezembro). O exame custa 499 reais, porém é gratuito para aqueles que fazem os dois cursos de formação da empresa. Existe um curso para a parte gerencial e outro para a parte técnica do exame. Caso o candidato não consiga passar, não existe período de carência para tentar novamente. Na prática, porém, ele terá que esperar cerca de seis meses, que é o tempo que normalmente transcorre entre um exame e outro. O conteúdo da prova está dividido entre assuntos gerenciais e tecnológicos:
  • Gestão
    • Conceitos Gerais de Segurança da Informação
    • Gestão de Riscos
    • Legislação, Regulamentação, Normas, Investigação e Ética
    • Política de Segurança da Informação
    • Classificação de Informações
    • Gestão de Continuidade de Negócios
    • Gestão de Pessoas em Segurança da Informação
    • Segurança Física e Operacional
    • Organização da Segurança da Informação
  • Tecnologia
    • Criptografia
    • Controle de Acesso
    • Segurança em Redes e Telecomunicações
    • Segurança em Hosts
    • Arquitetura e Modelos de Segurança

Requisitos

O MCSO possui requisitos de experiência profissional mais baixos que certificações similares como o CISSP e o CISM. Apenas dois anos de experiência profissional são demandados. Se o candidato participa de um curso de formação da Módulo, não há a necessidade de se comprovar experiência. Isso torna o MCSO um título atrativo para quem não tem muita vivência profissional, embora o custo se torne mais elevado, já que o profissional será obrigado a fazer os cursos preparatórios nesse caso.

Validade

O certificado MCSO é válido por 4 anos e renovável por períodos de quatro anos adicionais desde que o profissional participe de um programa de educação continuada similar ao do (ISC)². No geral, 160 horas de atividades são demandadas para cada ciclo. Um detalhamento completo do funcionamento do programa pode ser encontrado aqui.

Preparação

A melhor forma de se preparar para o MCSO é fazendo os cursos oficiais da Módulo. São dois curso de uma semana, cobrindo assuntos de gestão e tecnologias. Uma alternativa é tentar adquirir os livros e prestar a prova por conta própria. O problema é que os livros neste exato momento estão esgotados, havendo apenas a possibilidade de compra de segunda mão. Uma nova edição está sendo planejada para breve.

Veredicto

O MCSO é um título bastante reconhecido no mercado brasileiro, embora não conte com o mesmo prestígio de certificações como o CISSP ou o CISM. Entretanto, seu exame é o único aplicado em português, o que o torna a única opção para aqueles que têm dificuldade com outros idiomas. Seus requisitos de experiência profissional são mais baixos e podem ser descontados caso o candidato faça os cursos oficiais de formação da Módulo, embora os custos envolvidos devam ser avaliados. Seu foco é gerencial, portanto, se você procura uma certificação de nível técnico, você deve avaliar o Security+, o SSCP ou o GIAC em seu lugar (em ordem de dificuldade e reconhecimento).

Mais informações

Certificação MCSO

CISM

O CISM (Certified Information Security Manager) é um título mantido pela ISACA, instituição mundialmente reconhecida por ser a principal associação profissional voltada para o mercado de auditoria de sistemas. Entretanto, seu título de maior prestígio é o CISA (Certified Information Systems Auditor). O CISM foi criado para ser um título exclusivamente destinado a gestores de segurança da informação, ou seja, os profissionais que possuem o título devem, obrigatoriamente, possuir experiência gerencial. Isso não implica necessariamente que a pessoa deva ter coordenado equipes, mas que ela tenha trabalhado em uma posição administrativa responsável por gerir a SI dentro de uma organização. O lançamento do CISM em 2003 gerou reclamações por parte do (ISC)², que não via na certificação, segundo notas de imprensa publicadas, nada de novo sendo trazido. Argumentava que o efeito prático de uma nova certificação tão similar ao CISSP seria forçar os profissionais a longo prazo a tirarem mais de um título, o que traria custos sem muito valor agregado. A ISACA refutou essas alegações, dizendo que o título é focado apenas em gerentes, enquanto que o CISSP, apesar de ter esse foco, era muito procurado também por técnicos querendo mudar a carreira. Comparado ao CISSP, o CISM contém um escopo um pouco menor, por priorizar assuntos relacionados à gestão, enquanto que o CISSP busca prover uma formação mais abrangente. Há cerca de 50 profissionais no Brasil que possuem a certificação CISM, um número quatro vezes menor que o de CISSPs e quinze vezes menor que o de MCSOs.

Exame

A prova é feita duas vezes por ano, de maneira sincronizada, em diversas cidades do mundo, incluindo São Paulo, Rio de Janeiro e Brasília. O exame possui 200 questões e é feito em papel. O valor do exame é 505 dólares. Candidatos que se registram com antecedência recebem desconto de 50 dólares. O ISACA divulga anualmente os calendários com as datas e prazos limite para inscrição. Membros da associação também recebem desconto nas inscrições e é uma boa opção associar-se caso você pretenda fazer a prova. Caso o candidato não passe no exame ele pode fazê-lo novamente na data seguinte, embora normalmente esse espaço de tempo seja de pelo menos seis meses. A escala de nota da prova vai de 200 a 800 pontos, sendo que o candidato necessita de pelo menos 450 para ser aprovado. O exame está disponível em diversas línguas, sendo que a mais próxima do português é o espanhol. Entretanto os candidatos não podem usar dicionário de tradução como acontece no CISSP. Diferente do (ISC)², a ISACA divulga quais os percentuais de questões que são extraídos de cada um dos assuntos exigidos, o que facilita os estudos e a preparação dos candidatos:
  • Information Security Governance (23%)
  • Information Risk Management (22%)
  • Information Security Program Development (17%)
  • Information Security Program Management (24%)
  • Incident Management and Response (14%)

Requisitos

O CISM demanda pelo menos cinco anos de experiência profissional em tempo integral em pelo menos três das cinco áreas de conhecimento avaliadas no exame. Três destes anos devem ser obtidos ocupando uma posição de nível gerencial. Essa experiência deve ter sido obtida dentro do período de dez anos que antecede o exame, ou em até cinco anos após ter sido obtida a aprovação. A ISACA permite que os candidatos sentem para o exame sem ter toda a experiência necessária, mas apenas emite certificados para aqueles que fazem as comprovações necessárias. Há dois descontos possíveis para esses requisitos de experiência. Caso o candidato já possua o CISSP, o CISA ou uma pós-graduação em SI ou áreas correlatas (incluindo TI) é possível obter um desconto de dois anos. Se, além disso, o candidato possuir uma certificação técnica, como as da Microsoft ou do CompTIA, ou tiver pelo menos um ano de experiência em gestão de TI, mais um ano pode ser descontado. Combinando os dois descontos, fica necessário apenas comprovar dois anos de experiência. Porém, há um detalhe importante: nenhum dos dois descontos acima reduz a necessidade de comprovar experiência em gestão de SI. Além dos requisitos de experiência profissional, os candidatos que obtém o CISM devem aderir ao Código de Ética Profissional da ISACA.

Validade

Para manter o seu título válido, os profissionais devem participar de um programa de educação continuada, similar ao do CISSP, onde seu título é renovado a cada período de três anos. Além disso, uma anualidade para sustentar os benefícios aos profissionais certificados é cobrada, custando 75 dólares, sendo que membros filiados ao ISACA pagam apenas 40.

Preparação

A ISACA publica todos os anos um manual de revisão para as suas certificações. O CISM Review Manual é um material de extrema importância para os candidatos, porém não pode ser considerado um guia definitivo em virtude da sua superficialidade. Fora este texto básico, faltam livros de qualidade que possam ser utilizados. Uma busca na Amazon retorna apenas dois títulos específicos, com notas de avaliação vergonhosas. Outra alternativa de qualidade questionável são os livros produzidos pela SRV Books, publicados independentemente pelo próprio autor. Eventualmente, cursos preparatórios, oficiais ou não, são oferecidos no Brasil pelos capítulos locais da ISACA. O site do capítulo paulista da ISACA é o melhor local para começar as buscas.

Veredicto

O CISM é uma certificação que compete de maneira direta com um concorrente muito forte, mas que é amparada por uma associação profissional muito forte e tradicional. A quantidade de profissionais certificados no Brasil é ainda muito baixa, o que a torna menos reconhecida que o CISSP e o MCSO. A idéia da ISACA de diferenciá-la do CISSP, focando em um público mais gerencial, ainda necessita trazer resultados mais consistentes para que o CISM receba o destaque que merece, uma vez que o programa é muito bem elaborado e gerenciado. Se o seu foco é técnico, fuja do CISM completamente. Se o inglês é um problema, corra para o MCSO.

Mais informações

CISM Certification

Próximos passos

Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre certificações mais específicas, como o CISA e o GIAC. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.
Read More
Artigos, BlogAnderson RamosCarreira, Gestão Comments
As Artes do Risco e os Riscos da Arte

arte2.png

O Instituto Internacional de Ciências Sociais e a Livraria Cultura organizarão um ciclo de palestras denominado As Artes do Risco e os Riscos da Arte, reunindo profissionais de diferentes perfis para discutir a temática do risco sobre diversas perspectivas. Filósofos, escritores e empresários farão um papo-cabeça sobre temas variados como O risco da informação (Bernardo Ajzenberg) ou O sentido do risco na modernidade (Rafael Ruiz). As palestras acontecerão na Livraria Cultura do Shopping Market Place em São Paulo, próximo a Av. Eng. Luis Carlos Berrini, a capital brasileira do congestionamento. Está trabalhando na região e pretende esperar o trânsito diminuir expandindo os conhecimentos sobre o risco para fora da nossa caixinha de Segurança da Informação? Aproveite a oportunidade, pois são dez datas diferentes a um preço camarada de R$25,00. De quebra, aproveite o acervo de livros de tecnologia da loja, um dos melhores do país. O local já virou ponto turístico para os profissionais do Brasil inteiro que visitam a região à trabalho. O Shopping Market Place também é facilmente acessado pela estação Morumbi da Linha 9 - Esmeralda da CPTM.
Read More
BlogAnderson RamosCarreiraComment
Lan house é punida por falta de identificação de usuários

Cyber Café na Noruega por Anderson Ramos

Uma decisão inédita na justiça mostra que é possível responsabilizar legalmente aqueles que não são capazes de proteger e controlar adequadamente sua estrutura de acesso à Internet. A Justiça de São Paulo determinou que uma lan house pague 10 mil reais de indenização a uma vítima de difamação. Tudo ocorreu porque a lan house foi incapaz de fornecer informações que ajudassem a identificar o originador de uma mensagem de caráter difamatório. Desde 2006 há uma lei no Estado de São Paulo que obriga as lan houses a identificarem seus usuários. Entretanto, a advogada responsável pelo caso, Camilla Jimene, informou que baseando-se apenas no Código Civil brasileiro é possível abrir processos similares por qualquer pessoa que se sinta vítima de uma mensagem que contenha teor que constitua calúnia, injúria ou difamação. Esse é mais um caso ganho em primeira instância pelo escritório Opice Blum Advogados, que já há algum tempo se firmou como o principal escritório do país especializado em direito eletrônico.
Read More
BlogAnderson Ramos Comments
Atravessar a rua falando no celular pode gerar multa

Crossing the streets by Jonathan Irwin

Um político dos EUA está em campanha para aprovar uma lei que multará pedestres que atravessarem a rua falando ao telefone celular. O legislador Kenneth Dunkin do estado de Illinois acredita que a sua lei ajudará a reduzir a mortalidade de pedestres. Um exemplo típico de lei polêmica, a iniciativa já está dando o que falar. Notícias satirizando ou apoiando a iniciativa têm aparecido em alguns sites e blogs por aí. E você, o que acha? Pura maluquice exagerada ou uma medida importante para conscientizar as pessoas sobre os riscos envolvidos? Fonte: The Register.
Read More
BlogAnderson RamosSegurança FísicaComment
IBM desenvolve algoritmo de resposta a desastres

ibm2.jpg

A IBM patenteou nos EUA um algoritmo cujo objetivo é aumentar a eficiência na resposta a catástrofes naturais. A técnica é chamada de Programação Estocástica, podendo ser usada para uma ampla gama de aplicações.

Na resposta aos desastres, as técnicas ajudariam a aumentar a velocidade do processo de tomada de decisões em momentos de crise. Segundo a notícia, quase 200 milhões de pessoas são afetadas todos os anos por esse tipo de incidente. Entretanto, as iniciativas governamentais estão normalmente baseadas em sistemas desconexos, sem inteligência específica para lidar com este tipo de problema.

Maiores informações na fonte original: IBM touts complex math to help handle natural disasters.

Read More
BlogAnderson RamosContinuidade, Gestão, Segurança FísicaComment
Hackers publicam impressões digitais de ministro

Fingerprint por sensesmaybenumbed

O CCC (Chaos Computer Club), um grupo de hackers alemães, resolveu publicar as impressões digitais de Wolfgang Schauble, Ministro do Interior da Alemanha, como forma de protesto contra as iniciativas do governo alemão de armazenar informações biométricas em passaportes eletrônicos. Um simpatizante do grupo capturou as impressões digitais a partir de um copo usado pelo ministro em um painel de discussões. A notícia, bem como uma explicação do método utilizado para a coleta, foram divulgadas na última edição da revista Die Datenschleuder, a principal publicação do CCC. Quatro mil edições da revista foram impressas contendo um filme plástico para ser colocado sobre os dedos dos leitores, para que estes possam se passar pelo ministro. O CCC é uma organização hacker fundada em Berlin no ano de 1981, o que a torna um dos mais antigos (e influentes) grupos da atualidade. Segundo o Wikipedia, a organização conta hoje com 1800 membros. O CCC é muitas vezes classificado com um grupo gray hat, tendo um comportamento que o coloca no limite entre o legal e o ilegal e que já lhes causou uma série de problemas. Eles são responsáveis pelo Chaos Communication Congress, um evento que seria o equivalente europeu da DEF CON, o maior evento hacker existente. A porta voz do primeiro ministro informou que nenhum tipo de ação legal será tomada contra o grupo, provavelmente por medo de dar visibilidade aos seus questionamentos que são totalmente pertinentes, embora o método possa ser condenável. A coleta indiscriminada de informações biométricas é uma prática que certamente gerará muitos problemas no futuro e os seus defensores e financiadores não estão dando a devida atenção ao problema. Via Gizmodo.
Read More
BlogAnderson RamosCrime, Criptografia, Gestão, Perícia, Segurança Física Comments
Artigos mais acessados de 2008

Compact Card Calendar por Joe Lanman

Hoje faz exatamente três meses que este blog está no ar. Certamente um período curto de tempo, mas que me deixa muito feliz por conta do resultado alcançado. Para compartilhar um pouco dessa realização com os leitores, resolvi fazer aqui um resumo de quais foram os artigos, posts e seções que foram os campeões de audiência do trimestre. Os três artigos mais acessados (e comentados) foram: Guia de Certificações em Segurança da Informação - Parte 1 - Essa série, que ainda está sendo publicada, junta em uma única fonte a maior quantidade possível de informações sobre as certificações profissionais existentes na área de segurança da informação (SI), além de fornecer dicas de preparação. A Parte 2A deste artigo também foi publicada e está disponível aqui. Resoluções de Ano Novo - Como Fazer o que Você Ama - O segundo colocado é um texto que não é de minha autoria. Ele foi traduzido a partir de um original do Paul Graham (autor do livro Hackers and Painters) e é o texto mais inspirador que eu já li sobre como dar um rumo a sua carreira profissional. Como não implementar medidas de segurança - Parte 1 - Essa série também está em publicação. Nela eu comentei alguns aspectos sobre a postura dos profissionais de SI que podem influenciar na resistência que ele enfrentará dentro da organização onde trabalha. A Parte 2 já está disponível e explica na prática como proceder com as negociações durante o processo de definição controles, também com o objetivo de diminuir resistências. Na última parte eu falarei sobre como conscientizar os usuários a respeito dos controles mas, enquanto ela não sai, há também um artigo disponível aqui sobre o assunto. Já os três posts mais acessados, com títulos auto-explicativos, foram: Explicando um deadlock com imagens de trânsito (ISC)² publica guia sobre como contratar profissionais de SI Como se preparar para o CISM Por fim, as seções mais acessadas do blog são: Livros publicados - Trabalhei como autor e organizador de três livros sobre segurança da informação, mas infelizmente os dois mais populares estão esgotados. Há planos para a publicação de uma nova edição mas, por hora, a única forma de conseguir os dois volumes do Security Officer - Guia Oficial para Formação de Gestores em Segurança da Informação é comprando de segunda mão. Uma boa dica é tentar em listas de discussão especializadas como a CISSP BR. O outro livro no qual eu trabalhei (Information Security Management Handbook) foi publicado nos EUA e pode ser encontrada nas livrarias de lá, ou em qualquer livraria especializada por aqui, como a Livraria Cultura. Artigos - Todos os artigos disponíveis no blog estão nesta seção. Você também pode usar a barra de categorias lateral para filtrar tanto artigos como posts de acordo com o tema de sua preferência. Palestras - Aqui estão todas as principais palestras que eu ministrei nos últimos dez anos. Se você gostaria de ter visto algum e perdeu, ela provavelmente deve estar aqui. Aproveito esta mensagem para agradecer as mensagens e os comentários freqüentes dos leitores e colegas que têm contribuído para enriquecer todo o conteúdo que eu publico por aqui. Grande abraço!
Read More
BlogAnderson RamosCarreira, Continuidade, Crime, Criptografia, Gestão, Malware, Perícia, Segurança Física, Segurança em Redes, Sistemas OperacionaisComment
Como não implementar medidas de segurança - Parte 2

Manufactured Security by Kris Krüg

Na primeira parte desta série eu falei sobre como a postura do profissional de segurança pode influenciar na resistência que ele enfrentará durante a implementação de políticas e controles. Nesta segunda parte, darei um foco maior nos aspectos práticos deste processo. Toda discussão sobre redução de resistências a medidas de segurança deve, na realidade, começar por uma avaliação da autoridade que as medidas inspiram. Você até pode, eventualmente, com muita capacidade de persuasão e liderança conseguir resultados interessantes em termos de cooperação sem ter o apoio da alta administração da organização onde você atua, mas certamente terá muito mais trabalho. As medidas de segurança são inerentemente impopulares, pois, na grande maioria dos casos, elas se parecem com desperdício de tempo e recursos. Pense numa trava de carro. Você poderia simplesmente estacionar o carro, desligá-lo e trancá-lo, sem colocar a trava. Se você fizer isso, as chances de furto são maiores. Se você colocar a trava, serão menores. Entretanto é perfeitamente possível que vários anos se passem até que você possa ver a trava apresentando eficiência, ou pode ser que você nunca veja. Mas o que você vê todos os dias é que, se você perder 3 minutos por dia colocando e tirando a trava, você perde um dia útil inteiro por ano apenas fazendo isso. Algo que certamente se parece com puro desperdício de vida. A grande falta de visão aqui é achar que, porque nunca ninguém tentou roubar seu carro, a trava é algo desnecessário. Certamente uma das principais razões pelas quais seu veículo nunca sofreu uma tentativa de furto é justamente a trava. Ela também funciona desencorajando tentativas de furto. É por isso que muitas pessoas colocam as travas. No geral, elas são eficazes. Vale a pena gastar um dia útil por ano para prevenir uma perda centenas de vezes superior. Mas alguém que tem a autoridade para tal deve definir isso, pois nem todos conseguem perceber voluntariamente. Pense em 10 minutos de desperdício diários de um vendedor em uma equipe de 30 pessoas com um salário de 1000 reais. Se considerarmos que o custo real do funcionário em virtude dos encargos é o dobro disso, chegamos a um desperdício anual de cerca de R$21.500,00, o que representa cerca de 3% da folha de pagamento. Um diretor comercial jamais vai aceitar pacificamente tamanho impacto em termos de custos e resultados. Você pode até tentar convencê-lo de que no longo prazo é melhor ter os controles, pois eles estarão prevenindo perdas. Mas ele está sendo cobrado por um resultado de curto prazo, normalmente uma meta mensal de vendas, e não vai te dar ouvidos por razões óbvias. Logo, alguém acima dele deve apoiar e exigir as medidas de segurança, senão seus esforços vão custar a trazer resultados. Dependendo do tamanho da empresa, essa pessoa pode ser o próprio presidente, mas o ideal é que haja um grupo de pessoas na alta administração apoiando as iniciativas de segurança. Essa recomendação está explícita na NBR ISO/IEC 27002 (antiga 17799). As responsabilidades principais deste grupo são exigir compromisso dos colaboradores e prover recursos adequados. Em uma grande empresa de capital aberto, o ideal é que este grupo seja um comitê executivo multidisciplinar, representando os principais departamentos. Um de seus primeiros trabalhos será aprovar um conjunto de diretrizes básicas que formariam o primeiro documento de uma Política de Segurança da Informação. Essas diretrizes devem definir o escopo da SI e as responsabilidades das pessoas envolvidas. Por terem sido aprovadas pelo comitê, sua publicação é uma manifestação clara de apoio às iniciativas de segurança. Todas as normas e procedimentos que serão posteriormente definidos buscarão respaldo nessas diretrizes. Dessa forma, elas se tornam uma espécie de carta branca formal que dá poderes ao gestor de SI para definir e implementar as medidas necessárias. Porém, isso funciona apenas na teoria. Na prática, por mais que o departamento de segurança tenha crédito, ele vai enfrentar todos os tipos de resistências possíveis e imagináveis que ainda demandarão muito esforço para serem reduzidas. O passo seguinte seria buscar compreender como funcionam os departamentos da empresa de forma a sugerir controles que reduzam riscos inaceitáveis, mas que ao mesmo tempo não sejam um empecilho injustificável aos processos de negócio. Nem sempre é possível buscar este equilíbrio. Mas se você não se aproximar dos departamentos para entender como estes funcionam, sofrerá uma resistência a priori. Qualquer tentativa de elaborar procedimentos de segurança para um departamento cujo funcionamento você não conhece será julgada autoritária e prepotente. Envolver os gestores dos departamentos tem também outra vantagem importante. Uma vez que eles tenham participado do processo de elaboração, a probabilidade de haver cobrança para com os seus respectivos subordinados é maior. Dessa forma, o que faremos é preparar multiplicadores para a fase posterior ao desenvolvimento das políticas, que envolverá a conscientização a respeito delas. Nessa interação, você encontrará pelo menos três tipos de situação em termos de acordo entre a área de SI e o departamento: SI quer e o departamento concorda: Esse tipo de situação não é das mais freqüentes. Entretanto, incluímos aqui também os controles que foram aceitos a contragosto, mas que não geraram forte reação, seja porque os departamentos afetados não se importam ou porque a uma postura contrária seria injustificável. SI quer e o departamento não concorda: Essa é aquela situação que gerará discórdia e brigas políticas. Embora caiba a SI determinar os controles, isso não significa que todos serão aprovados, pois eles normalmente passam pelo crivo do comitê executivo como veremos mais à frente. Existem batalhas que não valem a pela. Outras, entretanto, têm validade, por isso você não vai querer perdê-las. Deixe para lutar por elas onde você tem mais chances de ganhar. Geralmente essa batalha seria travada dentro do comitê executivo, no momento da aprovação do conjunto completo de controles, onde você estará cheio de argumentos válidos e o seu adversário nem tanto, pois ele não poderá manifestar uma postura radicalmente contra a segurança da informação em um comitê cuja responsabilidade é justamente prezar pela proteção. Os departamentos não concordam, mas a lei exige: Esse seria uma subcategoria da situação anterior, com uma diferença importante. Se a legislação exige um controle, a sua implementação não está aberta a questionamento, pelo menos em teoria, então jogue a responsabilidade para o comitê executivo. Documente que o controle foi recomendado conforme exigência legal e traga os argumentos necessários. Caso ele não seja aprovado, você está pessoalmente protegido contra futuros questionamentos, ou mesmo problemas jurídicos. Não é possível, nem é desejável, vencer todas as batalhas. Escolha corretamente quais são aquelas que você vai querer travar. Em todas elas, acho que vale bastante um provérbio africano que se popularizou por descrever a política externa americana durante a presidência de Theodore Roosevelt: “quando visitar seu adversário, fale em voz baixa, mas leve um grande porrete nas mãos”. O porrete da área de SI é o apoio da alta administração para com as medidas de segurança. A fala mansa é a propensão ao diálogo com aqueles que serão afetados pelas medidas. Para ter sucesso durante esse processo de elaboração, é importante não perder nenhuma das duas coisas. Perdemos o apoio da alta administração quando temos dificuldade de manter a visão do negócio, ou seja, a capacidade de ter argumentos plausíveis de que aqueles controles têm uma boa relação custo/benefício. Para isso é de fundamental importância a execução de uma análise de riscos, mostrando de maneira impessoal que a ausência dos controles que você está sugerindo submetem a empresa a riscos que ela própria considera inaceitáveis. Para não perder a fala mansa, é importante ter paciência para compreender e negociar previamente os controles com as áreas de negócio. Se você perder este apoio de base, vai chegar desgastado ao comitê para aprovar os controles. Não esqueça que todos aqueles gestores têm um superior imediato, cuja probabilidade do mesmo estar no comitê é grande. Embora essa pessoa apóie a segurança, seu compromisso com os subordinados é muito mais crítico para seu trabalho. Dessa forma, nunca se esqueça de ter sensibilidade e observar os detalhes. Até aqui, eu procurei mostrar que para diminuir a resistência aos controles de segurança, o trabalho começa como uma avaliação prévia da sua própria postura profissional. Esses aspectos foram detalhados na primeira parte desta série. Aqui, eu discuti, na prática, como deve ser o ciclo de negociações e como obter o apoio necessário para conduzir este processo de maneira favorável à segurança. Por fim, mesmo a aprovação dos controles pelo comitê executivo de SI não encerra seus problemas. A última, e talvez a mais importante, de todas as fases será conscientizar os usuários a respeito da importância dessas medidas e conseguir colocar os estímulos necessários para obter os resultados esperados. Esse último assunto será tratado na última parte desta série. Por hora, você pode ler este artigo que eu escrevi há alguns anos, sobre conscientização de usuários.
Read More
Artigos, BlogAnderson RamosCarreira, Gestão Comments
Governo prioriza proteção da infra-estrutura crítica

brasao_brasil.gif

Uma matéria publicada na Folha de São Paulo, sobre o impacto dos movimentos sociais no Brasil, especificamente o MST e similares, informa que o GSI (Gabinete de Segurança Institucional) fará um mapeamento da infra-estrutura crítica do país de forma a minimizar possíveis impactos a essas instalações. Internacionalmente, essas ações costumam receber o nome de proteção à infra-estrutura crítica. Normalmente, estão incluídas nessas atividades o mapeamento de instalações, serviços ou processos tidos como críticos, cujo impacto em seu funcionamento pode trazer sérios problemas econômicos, sociais, políticos, diplomáticos ou de segurança nacional. No próximo mês de maio será o aniversário de dez anos do início deste tipo de iniciativa nos EUA, onde o programa se encontra em um estágio bem mais maduro que o brasileiro. O programa norte-americano foi posteriormente expandido por um decreto do presidente George W. Bush, em uma das muitas respostas aos atentados sofridos pelas torres gêmeas. Maiores informações estão disponíveis no Wikipedia. O GSI está vinculado diretamente à Presidência da República, e possui status de ministério. O ministro-chefe é o Gen. Jorge Armando Felix, cujo compromisso e apoio às iniciativas de Segurança da Informação no Brasil são notórias. Sob o comando do GSI encontram-se a ABIN (responsável pelo PNPC - Programa Nacional de Proteção ao Conhecimento) e a Secretaria-Executiva da Câmara de Relações Exteriores e Defesa Nacional, que trabalha em parceria com o CGSI (Comitê Gestor de Segurança da Informação). O CGSI é um comitê multidisciplinar que assessora a Secretaria-Executiva, sendo que sua iniciativa mais conhecida é a publicação da Política de Segurança da Informação para a Administração Pública Federal, feita em 2000, através do Decreto 3.505 Acabei por fazer um resumo das principais iniciativas de SI na esfera do Governo Federal. Todas elas estão alinhadas com a visão, que para mim é cada vez mais marcante, que o Brasil precisa se profissionalizar em vários aspectos, uma vez que estamos saindo da posição de "capital mundial da simpatia" (nome de uma matéria da Exame desta semana) para um país que tem cada vez mais destaque no cenário internacional (e incomoda cada vez mais).
Read More
BlogAnderson RamosContinuidade, Crime, Gestão, Segurança Física Comment
Guia de Implementação para um Sistema de Gestão de Continuidade

enisa.jpg

A ENISA (European Network and Information Security Agency) publicou mais um guia de excelente qualidade, e totalmente gratuito, sobre a implementação de um Sistema de Gestão de Continuidade de Negócios (BCMS - Business Contintuity Management System). Intitulado Business and IT Continuity: Overview and Implementation Principles, o guia contém 175 páginas de muita informação e está organizado em conformidade com a norma inglesa BS25999 e com a brasileira NBR 15999 (que foi inspirada na norma inglesa). Além disso, a elaboração do guia considerou ainda mais de uma dezena de outras normas, recomendações ou padrões no seu processo de elaboração, incluindo o ITIL v3 e o CobiT. Se você está em um projeto sobre continuidade, ou estará em um futuro próximo, essa é certamente uma literatura indispensável. Business and IT Continuity: Overview and Implementation Principles.
Read More
BlogAnderson RamosContinuidade, Gestão, Segurança Física Comment
Certificações Profissionais em Segurança da Informação - Parte 2A

certificates.jpg

Este é o primeiro post da segunda parte do Guia de Certificações em Segurança da Informação (SI). Os artigos estão sendo escritos para leitura seqüencial. Se você não encontrar a informação que procura aqui, leia antes a Parte 1, onde eu falei sobre o valor das certificações e sobre os institutos por trás dos principais títulos disponíveis no mercado. A Parte 2 do guia é destinada a detalhar as certificações. Nesse primeiro post (2A) eu falarei sobre o Security+ e o SSCP, que são os principais títulos para profissionais técnicos cuja experiência ainda é pequena ou intermediária.

Security+

O Security+ é uma certificação mantida pelo CompTIA, um dos maiores institutos de certificação profissional em tecnologia. Essa certificação é focada em segurança computacional, o que não faz dela exatamente uma certificação em SI. Seu reconhecimento no mercado brasileiro é limitado e, mesmo internacionalmente, não é dos maiores. Ela é vista como um título introdutório, similar a visão que o mercado possui de outros títulos da CompTIA. Porém, muitos profissionais buscam o Security+ como uma forma de preparação intermediária para exames mais difíceis como o SSCP, o CISSP ou mesmo o GIAC.

Exame

A prova é aplicada em centros VUE e Prometric, o que torna o exame bastante acessível do ponto de vista geográfico, já que existem muitos centros deste tipo espalhados pelo Brasil. Como o exame é aplicado eletronicamente, o candidato já fica sabendo o resultado na hora. O valor do exame é 251 dólares, o que representa metade do preço de outras certificações como o CISSP e o CISM e aproximadamente o mesmo preço do MCSO. A prova possui 100 questões e tem 90 minutos de duração. A nota de aprovação é 764 em uma escala de 100 a 900. O exame está disponível apenas em inglês e, caso o candidato não consiga passar, pode fazer o segundo teste sem nenhum período de espera, mas se repetir novamente, deverá esperar pelo menos 30 dias para as tentativas subseqüentes. O conteúdo dos exames está distribuído conforme a listagem a seguir:
  1. General Security Concepts - 30%
  2. Communication Security - 20%
  3. Infrastructure Security - 20%
  4. Basics of Cryptography - 15%
  5. Operational / Organizational Security - 15%

Requisitos

O exame não possui requisitos de experiência prévia, embora o instituto recomende um mínimo de dois anos de atuação na área. Isso faz com que as barreiras de entrada para o título sejam praticamente inexistentes em comparação ao CISSP ou CISM, que exigem vários anos de experiência comprovada atuando na área, embora tanto o CISSP quanto o SSCP possuam uma opção para obtenção parcial do título para candidatos sem experiência. Falarei dela nas seções correspondentes.

Validade

A princípio, a certificação não possui validade, mas o exame possui versões. Ele ainda está na versão 1.0, mas pode ser que venha ocasionalmente a ser atualizado no futuro.

Preparação

Existe uma infinidade de livros preparatórios disponíveis para a certificação. Eles podem ser adquiridos em livrarias especializadas no Brasil e no exterior. Certamente a melhor forma de adquirir livros técnicos hoje é diretamente com a Amazon. Se você não se sente confortável ou não possui um cartão de crédito internacional, a Tempo Real e a Livraria Cultura são sua melhor opção. Segundo o sítio da CompTIA, porém, não existem provedores de treinamento oficial para esta certificação no Brasil.

Veredicto

Se você não tem experiência e seu conhecimento é eminentemente técnico, o Security+ pode ser um bom título inicial, mas não espere muito reconhecimento. Outras opções mais difíceis (e caras) para quem não tem experiência são o MCSO (que dispensa a comprovação de experiência apenas se você fizer os cursos de formação) e a versão Associate dos títulos SSCP e CISSP, que dispensam a comprovação de experiência, porém não te entregam um título “completo”.

Maiores informações

CompTIA Security+ Certification

SSCP

O SSCP é mantido pelo (ISC)², mas não desfruta da mesma popularidade do CISSP, o título mais conhecido do instituto e um dos mais cobiçados pelo mercado. Seu foco é técnico, sendo que o público-alvo são os profissionais de SI cujo trabalho está mais voltado para a administração e a implementação de tecnologias. O SSCP não é muito reconhecido internacionalmente, apesar da ampla presença do (ISC)². Há cerca de dois anos, entretanto, o instituto tem feito um trabalho massivo de comunicar ao mercado suas opções em termos de carreira, deixando claro que muitos profissionais que sonham em ter o CISSP, que é uma certificação de foco gerencial/consultivo, deveriam na realidade buscar o SSCP. Isso tem feito com que a quantidade de profissionais certificados cresça em um ritmo grande. Pode ser obtido como um título intermediário para outros mais difíceis, como o próprio CISSP. Esse seria um caminho natural quando a pessoa quer se reposicionar na carreira para assumir uma posição gerencial/consultiva mas o seu perfil hoje é eminentemente técnico. O SSCP, porém, não é o principal título na sua área. As certificações GIAC, mantidas pelo SANS, desfrutam de mais reconhecimento, pois são muito mais difíceis de se obter.

Exame

O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no sítio do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 369 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel, uma alternativa escolhida pelo (ISC)² e alguns outros institutos, como o ISACA, para diminuir o cansaço visual dos candidatos e aumentar os controles contra vazamento de questões. O lado negativo é que o candidato não fica sabendo do resultado ao final do exame, e deve esperar de 4 a 6 semanas pelo resultado. O exame possui 125 perguntas que devem ser respondidas em 3 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Não existe período de carência caso o candidato não passe no exame, podendo este fazê-lo novamente já na semana seguinte, embora o (ISC)² mantenha provas no Brasil apenas a cada 3 meses. Os assuntos que caem na prova são chamados pelo (ISC)² de CBK (Common Body of Knowledge). Para o SSCP ele é chamado SSCP CBK e inclui os seguintes domínios:
  • Access Controls
  • Analysis and Monitoring
  • Cryptography
  • Malicious Code
  • Networks and Telecommunications
  • Risk, Response, and Recovery
  • Security Operations and Administration
O (ISC)² não informa o percentual de questões por domínio que você encontrará na prova, pois essa distribuição é baseada em um estudo feito aproximadamente a cada dois anos, onde os profissionais atuantes na área pontuam a relevância de cada um dos assuntos para a profissão, além da profundidade na qual o candidato deve dominar cada um deles.

Requisitos

O SSCP, como muitas outras certificações em SI, demanda requisitos prévios de experiência profissional. Para o SSCP, entretanto, este requisito é baixo, devendo o candidato comprovar pelo menos um ano de experiência atuando em tempo integral em atividades de segurança em pelo menos um dos sete domínios que compõe o SSCP CBK. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde o candidato presta o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do SSCP. Desta forma, comprova que possui conhecimentos, mas que ainda não atende aos requisitos de experiência. Tão logo tenha pelo menos um ano de experiência trabalhando na área, poderá converter seu diploma de Associate em um SSCP. Todos os profissionais certificados pelo (ISC)² devem também se comprometer com o código de ética do instituto, o que abre o precedente para que as certificações sejam cassadas em caso de comportamento inadequado. Finalmente, todos os profissionais certificados pelo (ISC)² devem ter o seu formulário de registro endossado por outro profissional certificado pelo instituto. O objetivo desta medida é evitar que os candidatos mintam em relação a sua experiência profissional. Ninguém mais interessado em garantir que as informações de novos candidatos sejam verdadeiras do que as pessoas já certificadas. Desta forma, o endosse serve como uma espécie de trabalho voluntário feito por quem já é certificado. Caso o candidato minta em sua experiência profissional e isso seja descoberto, tanto o candidato como quem endossa perdem seu título. Se você não conhecer pessoalmente ninguém que possua um título do (ISC)², pode ficar tranqüilo. O instituto ajuda você a entrar em contato com alguém para que o endosso possa ser feito. Ao final, existe ainda um processo de auditoria por amostragem. Se você cair na malha fina, deverá prover documentação vinda do seu empregador, comprovando sua experiência profissional.

Validade

O SSCP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional, e o título vai sendo renovado a cada período de 3 anos. Verifique no sítio do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o SSCP, o valor desta anualidade é de 65 dólares.

Preparação

Existem muitos livros disponíveis para que o candidato possa se preparar para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the SSCP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros recomendados caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de três dias e, caso você tenha condições de fazê-lo, é certamente a melhor ferramenta preparatória para obter a certificação.

Veredicto

O SSCP é uma certificação para profissionais de nível técnico e serve tanto para aqueles que querem se manter nessa área de atuação, como para os que queiram usar o SSCP como uma ferramenta intermediária para chegar ao CISSP (ou outras de dificuldade similar) e se reposicionar na carreira. A opção Associate, permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. Embora o título em si não seja tão reconhecido como o CISSP, o (ISC)² tem feito esforços pesados para comunicar ao mercado o seu foco. A prova está disponível apenas em inglês. Se isso representa um empecilho para você, a única opção que sobra é o MCSO, pois esta é a única certificação cujo exame está em português, embora o foco deste título não seja técnico e sim gerencial. Se você é um profissional com larga experiência técnica e gostaria de um título com mais prestígio, dificuldade e reconhecimento, deve avaliar o GIAC do SANS.

Maiores informações

SSCP - International Respect for Tacticians

Próximos passos

Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre o CISSP, CISM, CISA e o GIAC, entre outros. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.
Read More
Artigos, BlogAnderson RamosCarreira Comments
A cada quatrocentos telefones, um foi legalmente grampeado

This phone is tapped - por Sparky

O número te assustou? A mim também. O mais alarmante é que ele se refere apenas a telefones que foram legalmente interceptados através de ordens expedidas pela justiça apenas no ano de 2007. Se for colocado no bolo as interceptações clandestinas, não é difícil acreditar que existam mais de meio milhão de telefones grampeados no país enquanto você está lendo esta entrada. A notícia completa saiu na Folha de São Paulo.
Read More
BlogAnderson RamosCrime, Criptografia, Gestão, Perícia, Segurança FísicaComment
Relatório sobre aspectos econômicos da Segurança da Informação

enisa.jpg

A ENISA (European Network and Information Security Agency) publicou recentemente um excelente relatório preliminar, chamado Analysing Barriers and Incentives for Network and Information Security in the Internal Market for e-Communication, cujo objetivo foi estudar os incentivos e as barreiras econômicas que ajudam ou atrapalham o desenvolvimento da Segurança da Informação. O documento está disponível para consulta pública e a agência está aceitando sugestões de melhoria para a publicação da versão final. Ross Anderson, talvez um dos percursores da pesquisa econômica relacionada à Segurança da Informação (junto com o Bruce Schneier) participou da elaboração deste documento. Quem tiver interesse pelo tema e quiser ver um texto mais introdutório, eu sugiro o Information Security Economics – and Beyond, do próprio Ross Anderson. Leitura obrigatória para todo Security Officer, permite ao gestor visualizar o problema da falta de incentivos para SI de uma perspectiva muito mais ampla e prática.
Read More
BlogAnderson RamosGestãoComment