O perfil do profissional em segurança da informação   2007
Upcoming SlideShare
Loading in...5
×
 

O perfil do profissional em segurança da informação 2007

on

  • 1,306 views

Artigo escrito em 2007 como resposta a falta de critério observada em processos de seleção e contratação dos profissionais em Segurança da Informação. Passados cinco anos, não parece ter ...

Artigo escrito em 2007 como resposta a falta de critério observada em processos de seleção e contratação dos profissionais em Segurança da Informação. Passados cinco anos, não parece ter mudado tanto assim ...

Statistics

Views

Total Views
1,306
Views on SlideShare
1,229
Embed Views
77

Actions

Likes
0
Downloads
28
Comments
0

1 Embed 77

http://camargoneves.com 77

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

O perfil do profissional em segurança da informação   2007 O perfil do profissional em segurança da informação 2007 Document Transcript

  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesQuando comecei minha carreira profissional em 1990, eu trabalhava como desktop publishing que era uma área restrita a quem tinhacomputadores voltados a este fim e um mínimo de conhecimento de design gráfico. Com o passar dos anos, o desenvolvimento do MS-Windows e a primeira geração de aplicações gráficas para esta plataforma – tais como o Corel Draw e o Page Maker – surgirambureaus de edição em cada esquina, e verdadeiras monstruosidades do design nasceram. Conceitos básicos de tipografia e uso de coresnão eram utilizados e a poluição visual tomou conta de flyers, panfletos, cartazes, revistas, jornais e todo o tipo de mídia impressa.Depois de algum tempo o mercado foi se ajeitando, e os profissionais de design tiveram o seu espaço garantido pela competência emsuas atividades e o conhecimento teórico necessário para fazer um trabalho que equilibrasse forma e função, como deve ser qualquerpeça de design. Eu acabei entrando em Tecnologia da Informação em 1995 e me aprofundando em Segurança da Informação a partirde 1997, e por menos que esperasse estou vendo novamente essa nervosa confusão de conceitos acontecer; mas agora é no mercado queemprega profissionais em Segurança da Informação.Depois de reclamar muito em listas de discussões e papos com amigos que trabalham com Recursos Humanos, decidi escrever este artigocom um ambicioso objetivo; servir de referência para os profissionais de ambos os lados da negociação de emprego entenderem comouma carreira em Segurança da Informação pode ser construída; que requisitos podem ser feitos para cada uma das etapas e como umjob description pode ser criado para as funções existentes. Note que este artigo é uma tentativa pessoal de fomentar esta discussão epassar da fase de reclamações para uma contribuição aos colegas da área e aqueles que querem juntar-se a este clube não tão fechadoquanto parece.Tenha uma boa leitura, e não esqueça de contribuir com suas críticas, sugestões e experiências para o e-maileduardo@camargoneves.com.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 1
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesDefinindo os Perfis ProfissionaisO que é afinal, Segurança da Informação?Não se preocupe, não vou de forma alguma entrar em discussões teóricas para tentar definir um conceito tão bemapresentado pelo (ISC)2 e um sem número de autores com muito mais credenciais do que eu. Meu objetivo é definir o que éSegurança da Informação dentro do conceito de mercado de trabalho, uma vez que alguns colegas observaram muito bemem listas de discussão onde participo, que parece que todos os profissionais de TI agora trabalham com isso. Talvez sejaverdade, e isso é muito bom!Antes de me crucificar por esta exclamação, note que há algum tempo os conceitos de Segurança da Informação têm sidoinseridos em diversas disciplinas, o que antes não acontecia e nem parecia ser algo à vista mesmo em um horizonte remoto.Atualmente, empresas de software que nada tinham a ver com segurança até alguns anos– e até mesmo tinham sériosproblemas com ela - estão trabalhando forte em iniciativas voltadas a disseminar o uso de conceitos de segurança em quasetodas as disciplinas utilizadas em TI.Iniciativas como a Academia Latino Americana de Segurança da Informação e a disseminação no mercado da certificação100% brasileira Modulo Certified Security Officer, têm contribuído para aos poucos desconstruir a imagem misteriosa danossa prática e mostrar a sua verdadeira cara; uma disciplina que tem como função equilibrar o desempenho no uso dasinformações exigido pelo negócio com a segurança entendida como adequada por uma Organização ou um órgão/conjuntode normas que regulamentem como ela deva ser tratada.Isto posto, vamos deixar claro que toda pessoa que trabalha com TI hoje em dia tem, como que como parte de suascompetências profissionais, conhecer um mínimo de Segurança da Informação e aplicar os conceitos na sua área deespecialização. Escrever um código que minimize o impacto de possíveis falhas, montar uma rede estruturada com previsãode crescimento visando disponibilidade, aplicar mudanças em um software com controle de versões, tudo isso é segurança.É importante saber diferenciar, que pra que estes controles sejam administrados, essencialmente existem duas funções quetrabalham juntas nas Organizações, o profissional de Segurança da Informação que desenvolve e mantém os controles, e oauditor de sistemas que verifica a qualidade destes controles em termo de eficiência, rentabilidade e alinhamento às práticasadotadas pelo mercado (ex. SOX ou ISO/IEC 17799).Para efeitos deste artigo, vamos falar somente sobre o profissional de Segurança da Informação, e defini-lo como uma pessoavoltada a conhecer, pesquisar e aplicar as teorias de segurança em atividades destinadas exclusivamente para proteger àsinformações de uma Organização. E estas funções podem ser divididas em pelo menos duas linhas de trabalho diferentes ena maioria das vezes complementares que estão resumidas nas próximas Seções: redes de dados e processos.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 2
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesO Profissional de Segurança em Redes de DadosMuitos que trabalham em Segurança da Informação começam por esta porta de entrada, talvez por ser onde asvulnerabilidades existentes são mais conhecidas e as contramedidas mais vendidas pelos fornecedores de soluções.Normalmente oriundos das funções de analista ou administrador de redes de dados, os profissionais focados nesta linha detrabalho optam por conhecer profundamente os protocolos de redes, os conceitos de telecomunicações e o funcionamentonão só do software utilizado para administrar uma rede de dados, mas cada vez mais se os conhecimentos sobre o hardwarede apoio. (ex. firewalls, switches, roteadores, etc.).O Profissional de Segurança em ProcessosNormalmente são oriundos das áreas de Organização & Métodos, Auditoria ou ciências voltadas ao estudo de processos edesenvolvimento de melhorias, como é comum em equipes de Help Desk ou prestadores de serviços que têm que manter umService Level Agreement (SLA) com seus clientes. Atua em ações de análises de risco, relacionamento das vulnerabilidadesidentificadas com o impacto e custos estimados e no desenho geral das soluções propostas pelos demais profissionais(quando técnicas) ou desenho específico quando processuais. Normalmente é ele que faz a interface entre TI, Segurança daInformação (quando existe como área independente) e as áreas de negócio.As Competências em Segurança da InformaçãoO Nascimento do EnganoO primeiro problema que identifiquei nos recrutamentos feitos pelas empresas de Recursos Humanos, é que os perfis dosprofissionais de Segurança da Informação não são respeitados nas vagas ou requerimentos para preenchimento destas.Anúncios exigindo da mesma pessoa certificações de segurança em redes (ex. Security+), gerenciamento de projetos (ex.PMP) e Melhores Práticas (ex. COBIT ou ITIL) comprovam claramente a teoria de que as áreas de Recursos Humanosbuscam informações em várias fontes e as colocam de forma desconexa no mercado, ou ainda, os gestores que pedem asvagas agem desta forma, o que me parece ainda mais provável uma vez que o consultor de Recursos Humanos dificilmenteteria a competência para conhecer estas certificações.O segundo problema é a dificuldade de definir os critérios que podem diferenciar os níveis de senioridade, e aí vemos osmesmos anúncios pedindo que o candidato tenha quatro anos de experiência – e algumas certificações – para uma vaga deAnalista Júnior. Alguns colegas me falam que isso acontece porque o mercado está achatado e as pessoas estão aceitandoqualquer oportunidade, o que eu discordo completamente, até porque a Segurança da Informação é uma área crescente quenão tem profissionais suficientes para atender a demanda.Entendo que a origem deste segundo problema, é a dificuldade em se determinar o que cada profissional da área deve fazerde acordo com o seu nível de senioridade e conhecimento técnico. Fazendo uma analogia muito simplista, pedir as mesmasPUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 3
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. Nevescertificações – ou um bando delas – experiências similares e tempo de estrada bem parecido para um analista de segurançaem redes júnior e um analista de processos de segurança pleno (sim, estou falando de um exemplo real) equivale a pedirexperiência em combate aéreo para um piloto de teco-teco, afinal tudo é avião, não é mesmo?A minha contribuição para esta discussão entra neste aspecto, mostrar que as duas linhas de profissionais que apresenteicomo modelos são preenchidas por pessoas com competências diferentes, perfis específicos em cada uma das linhas e tarefase responsabilidades que mudam bastante em cada uma das etapas de crescimento profissional.Definição de CompetênciasCompetências são características que cada ser humano tem e que são utilizadas de forma mais ou menos intensa em cadatipo de função profissional exercida (e ao misturar tudo isso no mesmo saco, nasce o modo errado com o qual os diversostipos de funções em Segurança da Informação são tratados). Normalmente os estudos de comportamento organizacionaldividem-nas em três categorias: • Individuais: Relacionadas ao comportamento das pessoas e diretamente relacionadas às suas características pessoais constantes e que podem ser trabalhadas para atender às necessidades organizacionais, mas dificilmente poderão ser totalmente alteradas. (ex. Atuação estratégica, Capacidade de decisão, Criatividade, etc.). • Específicas: Relacionadas às áreas de conhecimento dos empregados, portanto, são adquiridas a partir da interação entre pessoas ou pela aquisição por informação disponível. (ex. Controle de Acesso, Criptografia, Gestão de Riscos, etc.). • Organizacionais: Relacionadas às competências que a organização reconhecidamente possui e, portanto, depende não somente das pessoas, mas também da gestão que utiliza e da tecnologia que a suporta. (ex. exploração de petróleo em águas profundas na Petrobrás, sistema de logística do Wal-Mart, modelo de VoIp do Skype, etc.).Os profissionais das três linhas de trabalho apresentadas, devem ter competências das três categorias dentre suas habilidades,porém o quando cada uma destas será exigida nas atividades, é o que irá determinar quais são os requerimentos para cadauma das linhas e para os níveis de experiência exigidos que determinam se um analista ou coordenador, ou gerente – serájúnior, pleno ou sênior.Na aplicação sugerida nas próximas Seções, tive que definir alguns critérios para poder expor minhas idéias de aplicaçãodeste modelo, então foram usadas algumas das competências individuais propostas pelo Behavioural CompetencyDictionary, as competências específicas definidas no Common Body of Knowledge do (ISC)2, e como as competênciasorganizacionais variam de acordo com cada Organização, coloquei um nível genérico de conhecimento específico.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 4
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesAs Competências IndividuaisO Behavioural Competency Dictionary apresenta uma série de competências individuais que são utilizadas em váriosmodelos utilizados por estudos e consultorias focadas em Recursos Humanos. Busquei sintetizar algumas na listagem abaixo,mas recomendo que o link para o dicionário seja seguido e o material apresentado estudado como informaçãocomplementar. • Orientação para Resultados: desenvolve suas atividades de forma eficaz e precisa, buscando melhoria contínua nos processos sem perder o foco do objetivo requisitado. (ex. define metas arrojadas, porém realistas; toma riscos calculados para atingir e superar as metas e toma iniciativas para eliminar a burocracia). • Criatividade: Incrementa seu desempenho através de inovação e pro atividade. (ex. considera as mudanças como oportunidades e não como ameaças; dedica tempo e recursos para desenvolver e experimentar novas idéias e busca continuamente oportunidades de melhorar o que está estabelecido). • Foco no Cliente: Age como um parceiro dos clientes externos e internos da Organização. (ex. busca todas as informações necessárias para entender as necessidades de seus clientes; implementa iniciativas para melhorar os resultados dos serviços aos seus clientes e age como um parceiro de negócio interessado em prover as melhores soluções para ambas as partes). • Capacidade de Análise e Aprendizado: Aprende com suas experiências acertadas e erradas e tem a capacidade de tomas decisões com base em informações limitadas. (ex. seleciona informações relevantes de forma rápida; entende os motivos de sucessos e erros e aprende com esta experiência e entende a essência de assuntos complexos e consegue usa-la em suas atividades). Trabalho em Equipe: Consegue trabalhar de forma eficaz como membro ou líder de uma equipe em sua área ou multifuncional. (ex. escuta e entende as idéias e perspectivas de seus colegas; compartilha conhecimento, informação e aprendizados e promove a cooperação como método de trabalho).As Competências EspecíficasDefinir as competências específicas de um profissional de Segurança da Informação é uma tarefa ingrata, pelo motivo queapresentei na discussão das Seções I.A e I.B deste artigo, entendo então que uma boa forma de dividi-las é usando oCommon Body of Knowledge do (ISC)2 . De acordo com este documento, um profissional da área deve ter conhecimentoem 10 domínios que podem ser aprofundados de acordo com sua área de atuação e/ou especialização, conforme simplificadona Tabela A.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 5
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. Neves Tabela A: Resumo das Competências Específicas com base no CBK do (ISC)2 Competência Descrição Exemplos Arquitetura Segura Conhecimento dos conceitos, princípios, Desenho de uma rede de dados que possa estruturas e padrões utilizados para desenhar, equilibrar a manutenção dos níveis de segurança programar e gerenciar um sistema adequados e o nível de desempenho exigido pelo computacional de forma segura. negócio da Organização Controle de Acesso Conhecimento do conjunto de mecanismos Aplicação do Princípio do Menor Privilégio no destinados a gerenciar o modo como as modo como as pessoas utilizam um Sistema pessoas podem acessar e utilizar informações. Operacional, Rede de Dados ou Aplicação Corporativa. Criptografia Conhecimento dos princípios, meios e Aplicar um modelo criptográfico como camada métodos utilizados para implementar de proteção em um sistema de pagamento que modelos criptográficos como ferramenta de utilize a Internet como meio de transmissão de proteção para a segurança das informações dados. de uma Organização. Gestão de Riscos Conhecimento das metodologias para Analisar os riscos existentes em um sistema de e- identificar os riscos à segurança das commerce, dimensionar o custo dos impactos da informações de uma Organização, concretização de uma possível ameaça e trabalhar dimensionamento do risco relacionado e o em conjunto com especialistas de outras áreas desenvolvimento e administração das para desenvolver, implementar e administrar as medidas de redução de risco. medidas de segurança para redução dos riscos possíveis. Legislação e Conhecimento das leis e normas que estão Conhecer o necessário do Código Tributário Investigação relacionadas à Segurança da Informação e Nacional para determinar o nível de como devem ser utilizadas de forma agregada disponibilidade necessário para um sistema de à Gestão da Segurança da Informação. pagamento de impostos e desenvolver as medidas necessárias para garantir a manutenção desta disponibilidade.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 6
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. Neves Tabela A: Resumo das Competências Específicas com base no CBK do (ISC)2 Competência Descrição Exemplos Segurança em Conhecimento do que é necessário fazer para Desenvolvimento de um modelo de segurança Aplicações criar ou administrar uma Aplicação aplicado a todo o ciclo de desenvolvimento de Corporativa de modo a respeitar os conceitos uma Aplicação Corporativa (desenho, de confidencialidade, integridade e desenvolvimento, implementação e disponibilidade exigidos pela Organização. administração). Segurança em Conhecimento dos procedimentos que Conhecer e saber aplicar princípios de segurança Processos devem ser utilizados para administrar os no ciclo de vida de uma informação e distribuir Operacionais níveis de segurança em processos procedimentos operacionais que suportem este operacionais que sejam utilizados no controle em todas as áreas de uma Organização manuseio das informações. que interajam com este ciclo. Segurança em Conhecimento dos modelos de segurança Desenvolver um modelo de acesso remoto que Telecomunicações e que devem ser aplicados a uma rede de dados utilize a Internet como canal de comunicação e Redes de Dados para garantir a manutenção dos níveis de mantenha o nível de segurança esperado, tal segurança esperados por uma Organização. como uma Virtual Private Network (VPN). Segurança Física e Conhecimento dos conceitos de segurança Saber desenhar os controles de segurança física Ambiental física e ambiental que devem ser utilizados adequados a um data center de acordo com o seu como camada de proteção às informações de nível de criticidade para uma Organização. uma OrganizaçãoPUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 7
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesAs Competências OrganizacionaisComo são as competências que diferem de acordo com cada Organização, mas estão baseadas no conhecimento que umprofissional tem sobre uma ou mais tecnologias/processos/estratégias particulares de uma Organização. Pela dificuldade delimitar estas em um modelo simplificado, optei por categorizar em três níveis: • Pouco Conhecimento: conhece superficialmente o modo como a Organização funciona e não tem a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções. • Conhecimento Mediano: conhece razoavelmente o modo como a Organização funciona e tem a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções com forte suporte externo. • Conhecimento Profundo: conhece bem o modo como a Organização funciona e tem a capacidade de entender o suficiente dos negócios para aplicar este conhecimento em suas funções com pouco ou nenhum suporte externo.Aplicação das CompetênciasRelembrando o que escrevi no início deste artigo sobre as diferentes linhas seguidas pelos profissionais de Segurança daInformação, o meu entendimento de como as competências devem ser cobradas nas funções existentes está diretamenterelacionado com os tipos de tarefas que serão exigidas do profissional e isso novamente deve ser utilizado quando se define onível de maturidade profissional requerido.Nesta Seção, fiz uma análise de como as competências individuais e específicas devem ser cobradas das diferentes linhas, eao final de cada exposição coloquei um modelo de perfil profissional onde a profundidade de conhecimento dascompetências organizacionais entra como um dos diferenciadores para posicionamento da função de acordo com asenioridade exigida.As competências do Profissional de Segurança em Redes de DadosA pessoa que trabalha com Segurança em Redes de Dados, essencialmente é um técnico com uma especialização que setorna mais profunda com o passar dos anos e a obtenção de maturidade profissional proveniente do trabalho com pessoas deoutras áreas e vivência em projetos com diferentes objetivos.No início ele usualmente fica responsável por tarefas menos nobres como a análise de logs, que se por um lado é chatíssimo,no futuro irá dar a base de conhecimento para projetar um sistema de monitoramento de segurança em redes e dimensionaro tamanho de um equipamento que será utilizado para a análise destes logs, por exemplo. Com o avanço na carreira, estapessoa começa a se envolver em atividades que exigem interação com outros profissionais e o uso de competências adicionaisque podem ser obtidas, mas não necessariamente devem fazer parte de seu perfil profissional desde o início.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 8
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesAs Competências IndividuaisEste profissional sempre será confrontado com pedidos de resolução de problemas em prazos impossíveis, uma vez que umarede de dados é a camada que relaciona os demais serviços de TI de uma Organização e, portanto é considerada umelemento crítico. Isso exige que ele saiba estabelecer prazos que satisfaçam a ansiedade de seus clientes, mas que sejamfactíveis, e tome riscos calculados com frequência e sob pressão.Outros pontos em comum são a capacidades de decisão necessária para separar informações relevantes de uma massa dedados constante e aprender com seus próprios erros, uma vez que a literatura sobre este assunto é sempre incrementada comexperiências inusitadas. Estes fatores fazem com que as competências individuais de Orientação para Resultados eCapacidade de Análise e Aprendizado sejam as mais exigidas e devam ser privilegiadas em relação às demais.Em outras palavras, não entenda que as demais não sejam necessárias em alguns casos, mas não cobre de formaindiscriminada comportamentos relacionados ao Foco no Cliente ou Trabalho em Equipe, exceto em situações onde o usodestas seja realmente relevante para a vaga ou exigidos pela senioridade.As Competências EspecíficasQuando fiz a prova para obter a certificação CISSP, tive dificuldades nas questões relacionadas a Criptografia, Segurançaem Aplicações e Segurança em Telecomunicações e Redes de Dados, e mesmo assim passei, provavelmente por ter idomuito bem nos demais domínios. Isso não me faz um profissional de Segurança da Informação menos competente, mas quedeixa claro que assuntos de nível técnico não são a minha especialidade e requerem a ajuda de gente com diferentesespecializações.O mesmo se aplica ao profissional de segurança em redes de dados, o que ele precisa ter conhecimento – e usar comfrequência no seu dia-a-dia – são os domínios mais voltados para as suas atividades: Arquitetura Segura, Segurança emProcessos Operacionais e Segurança em Telecomunicações e Redes de Dados. Cabe ressaltar que este profissional poderáainda ter necessidade de usar parcialmente os conceitos de Controle de Acesso e Criptografia, mas que possivelmente serãousados somente em ocasiões particulares.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 9
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesModelo de Perfil Profissional Tabela B: Proposta de Modelo para Analista Júnior em Segurança em Redes de Dados Descrição Geral Suporte aos analistas plenos nas atividades básicas de segurança em redes de dados com concentração em atividades de análise de informações e produção de relatórios e administração de serviços críticos. Atividades Comuns Monitoramento e correlação de logs de servidores e hardware de rede relacionado, criação de usuários, controle de acesso em diretórios e demais funções de administração de redes de dados relacionadas à segurança sob supervisão. Experiência Não é exigida experiência Formação Acadêmica e • Formação Acadêmica: Cursando faculdade de disciplina relacionada à Tecnologia da Profissional Informação (ex. Informática ou Redes de Computadores). • Formação Profissional: Não são exigidos cursos de especialização ou certificações. Competências • Individuais: Deve ser exigida alta Capacidade de Análise e Aprendizado e média Orientação para Resultados. • Específicas: Conhecimento mediano de Arquitetura Segura e Segurança em Telecomunicações e Redes de Dados. • Organizacionais: É necessário ter noção do conhecimento dos negócios e cultura organizacional necessários para serem aplicados em suas atividades.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 10
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. Neves Tabela C: Proposta de Modelo para Analista Pleno em Segurança em Redes de Dados Descrição Geral Gestão de analistas juniores nas atividades básicas de segurança em redes de dados, administração e desenvolvimento de controles de segurança, interação com demais profissionais para manutenção de segurança efetiva em todo o ambiente da Organização, processo decisório em atividades de baixa e média responsabilidade, suporte aos analistas seniores nas atividades avançadas de segurança em redes de dados. Atividades Análise de resultados do monitoramento de segurança das redes de dados com definição de ações Comuns corretivas, delegação de atividades e supervisão de implementação; administração de sistemas de segurança em redes de dados (ex. firewall e IDS); suporte técnico a testes de penetração; análise de segurança e definição de controles corretivos em componentes e arquitetura de redes de dados. Experiência Experiência de 2-3 anos em administração de segurança de redes de dados. Formação • Formação Acadêmica: Faculdade de disciplina relacionada à Tecnologia da Informação (ex. Acadêmica e Informática ou Redes de Computadores). Profissional • Formação Profissional: Cursos de especialização de fornecedores (ex. Microsoft, Symantec e Cisco) e certificações técnicas relacionadas à gestão de redes ou básicas em segurança da informação (ex. GIAC GISF ou CompTIA Network+). Competências • Individuais: Devem ser exigidas alta Capacidade de Análise e Aprendizado e Orientação para Resultados e média Criatividade, Foco no Cliente e Trabalho em Equipe. • Específicas: Extenso conhecimento de Arquitetura Segura e Segurança em Telecomunicações e Redes de Dados, e médio conhecimento de Controle de Acesso, Gestão de Riscos, Segurança em Aplicações e Segurança em Processos Operacionais. • Organizacionais: Deve conhecer razoavelmente o modo como a Organização funciona e ter a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções com forte suporte externo.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 11
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. Neves Tabela D: Proposta de Modelo para Analista Sênior em Segurança em Redes de Dados Descrição Geral Gestão de analistas plenos nas atividades intermediárias de segurança em redes de dados e delegação de tarefas para distribuição junto às equipes de juniores, definição de controles de segurança, interação e negociação com demais profissionais para manutenção de segurança efetiva em todo o ambiente da Organização, processo decisório em atividades de média e alta responsabilidade, suporte aos gestores nas atividades avançadas de segurança em redes de dados. Atividades Comuns Definição de controles de segurança em redes com base em administração de protocolos, definição da configuração de equipamentos, desenho da estrutura de redes, dimensionamento de tecnologias e gestão dos processos de monitoramento; execução de testes de penetração e análises de segurança com definição e implementação de controles corretivos em componentes e arquitetura de redes de dados, assim como suporte aos demais profissionais para a extensão da proteção nos demais componentes de segurança da Organização. Experiência Experiência de 3-4 anos em administração de segurança de redes de dados e gestão de equipes. Formação • Formação Acadêmica: Faculdade de disciplina relacionada à Tecnologia da Informação (ex. Acadêmica e Informática ou Redes de Computadores) e pós-graduação em especialização relacionada (ex. Profissional Segurança em Redes de Computadores ou Sistemas Operacionais). • Formação Profissional: Cursos de especialização de fornecedores (ex. Microsoft, Symantec e Cisco), certificações técnicas relacionadas à gestão de redes (ex. GIAC GISF, CompTIA Security+) ou vendor neutral (ex. SSCP, CISSP e MCSO) Competências • Individuais: Devem ser exigidas alta Orientação para Resultados, Criatividade, Foco no Cliente, Capacidade de Análise e Aprendizado e Trabalho em Equipe. • Específicas: Extenso conhecimento de Arquitetura Segura, Controle de Acesso e Segurança em Telecomunicações e Redes de Dados, e médio conhecimento de Criptografia, Gestão de Riscos, Segurança em Aplicações e Segurança em Processos Operacionais. • Organizacionais: Deve conhecer profundamente o modo como a Organização funciona e ter a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 12
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesAs competências do Profissional de Segurança em ProcessosSe a função de segurança em redes de dados atrai profissionais de outras especializações em TI, o trabalho de segurança emprocessos ainda é uma grande incógnita para quem está começando na área. Um dos motivos para isso, é que a área deSegurança da Informação está na maioria das empresas, subordinada ao Departamento de TI e com um foco extremo emtecnologia, o que entendo ser um erro.No Modelo de Gestão de Segurança Integrada que defendo, esta área deve ser independente e tratar de seus própriosobjetivos, que incluem muitos aspectos que pouco ou nada tem a ver com tecnologia. Com este cenário, a pessoa que atuaem Segurança de Processos normalmente vem das áreas de auditoria, consultoria, O&M ou ainda de áreas técnicas e temque adaptar suas habilidades, privilegiando as análises processuais. No início, ele atua com levantamentos de processos,suporte a entrevistas, revisão de documentação e demais atividades que não exijam amplo conhecimento, mas a exemplo doprofissional da outra linha apresentada, possibilitem agregar novas experiências e vivência para suportar o crescimento de suacarreira.As Competências IndividuaisÉ comum que este profissional tenha que analisar processos, identificar vulnerabilidades e propor ações corretivas emconjunto com as áreas de negócio e equilibrando os requisitos de segurança e desempenho para a Organização. Isso exigeque todas as informações sejam coletadas de fontes diversas para entender profundamente os processos, seus impactos e asáreas que serão envolvidas, o que é parte da essência do Foco no Cliente.Como as atividades devem sempre incluir o uso da experiência e conhecimento de outros profissionais de Segurança daInformação, buscar oportunidades de melhoria em processos e ter o suporte para usar tempo e recursos na experimentaçãode novas idéias, a segunda competência individual mais exigida é o Trabalho em Equipe, desejável a maioria dosprofissionais e fundamental para este.As Competências EspecíficasApesar de não ser um técnico, este profissional tem que ter um embasamento mínimo em todos os domínios do CBK, queirão ser aprofundados e possivelmente especializados em dois ou três deles com o passar dos anos. Porém, é fundamental seaprofundar na Gestão de Riscos e Segurança em Processos Operacionais na maioria dos casos, e buscar um entendimentomais específico em Legislação e Investigação, Planejamento para Continuidade de Negócios e Recuperação de Desastres eSegurança Física e Ambiental em casos particulares.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 13
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesModelo de Perfil Profissional Tabela E: Proposta de Modelo para Analista Júnior em Segurança de Processos Descrição Geral Suporte aos analistas plenos nas atividades básicas de segurança em processos com concentração em atividades de recolhimento de informações, revisão de relatórios e suporte na administração de serviços críticos. Atividades Comuns Levantamento inicial dos processos em uma Organização, análise da eficácia de processos, revisão de relatórios de auditoria de sistemas ou análise de riscos e acompanhamento do trabalho de analistas plenos. Experiência Não é exigida experiência Formação Acadêmica e • Formação Acadêmica: Cursando faculdade de disciplina relacionada a Processos (ex. Profissional Administração e Engenharia de Produção). • Formação Profissional: Não são exigidos cursos de especialização ou certificações. Competências • Individuais: Deve ser exigido o Foco no Cliente e Trabalho em Equipe. • Específicas: Conhecimento mediano de Gestão de Riscos e Segurança em Processos Operacionais. • Organizacionais: É necessário ter noção do conhecimento dos negócios e cultura organizacional necessários para serem aplicados em suas atividades.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 14
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. Neves Tabela F: Proposta de Modelo para Analista Pleno em Segurança de Processos Descrição Geral Gestão de analistas juniores nas atividades básicas de segurança em processos, análise e identificação de vulnerabilidades em processos, interação com demais profissionais para manutenção de segurança efetiva em todo o ambiente da Organização, processo decisório em atividades de baixa e média responsabilidade, suporte aos analistas seniores nas atividades avançadas de segurança em processos. Atividades Comuns Levantamento específico dos processos em uma Organização, análise da eficácia de processos e proposta de melhorias, produção de relatórios de auditoria de sistemas ou análise de riscos, coaching aos analistas júniores e suporte ao trabalho dos analistas sêniores. Experiência Experiência de 2-3 anos em segurança de processos. Formação • Formação Acadêmica: Faculdade de disciplina relacionada a Processos (ex. Administração e Acadêmica e Engenharia de Produção). Profissional • Formação Profissional: Cursos de especialização em processos (ex. Auditor Líder ISO 27001:2005) e certificações “vendor neutral” (ex. SSCP e MCSO) Competências • Individuais: Deve ser exigido o alto Foco no Cliente e Trabalho em Equipe e médias Capacidade de Análise e Aprendizado e Orientação para Resultados. • Específicas: Extenso conhecimento de Gestão de Riscos e Segurança em Processos Operacionais e médio conhecimento em Legislação e Investigação, Planejamento para Continuidade de Negócios e Recuperação de Desastres e Segurança Física e Ambiental. • Organizacionais: Deve conhecer razoavelmente o modo como a Organização funciona e ter a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções com forte suporte externo.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 15
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. Neves Tabela G: Proposta de Modelo para Analista Sênior em Segurança de Processos Descrição Geral Gestão de analistas plenos nas atividades intermediárias de segurança em processos e delegação de tarefas para distribuição junto às equipes de juniores, definição de controles de segurança, interação e negociação com demais profissionais para manutenção de segurança efetiva em todo o ambiente da Organização, processo decisório em atividades de média e alta responsabilidade, suporte aos gestores nas atividades avançadas de segurança em processos e interação com as áreas de negócio. Atividades Comuns Capacidade de gerenciar o risco de uma Organização, interagindo com as equipes de segurança para obtenção de informações que possibilitem manter os níveis de segurança dentro do esperado. Análise dos resultados do levantamento de processos em uma Organização e da proposta de melhorias, interagindo com as demais áreas para fazer com que as correções sejam executadas respeitando as limitações de orçamento, equipe e cronograma, coaching aos analistas júniores e plenos e suporte ao trabalho dos analistas plenos. Experiência Experiência de 3-4 anos em administração de segurança de processos e gestão de equipes. Formação Acadêmica e • Formação Acadêmica: Faculdade de disciplina relacionada a Processos (ex. Administração Profissional e Engenharia de Produção) e pós-graduação em especialização relacionada (ex. Gestão de Segurança). • Formação Profissional: Cursos de especialização em processos (ex. Auditor Líder ISO 27001:2005), gerenciamento de projetos (ex. PMI) e certificações “vendor neutral” (ex. CISSP e CISM) Competências • Competências Individuais: Deve ser exigido o alto Foco no Cliente, Trabalho em Equipe, Capacidade de Análise e Aprendizado e Orientação para Resultados e Criatividade. • Específicas: Extenso conhecimento de Gestão de Riscos e Segurança em Processos Operacionais, Legislação e Investigação, Planejamento para Continuidade de Negócios e Recuperação de Desastres e Segurança Física e Ambiental e médio conhecimento em Arquitetura Segura, Controle de Acesso, Criptografia e Segurança em Telecomunicações e Redes de Dados. • Organizacionais: Deve conhecer profundamente o modo como a Organização funciona e ter a capacidade de entender o necessário dos negócios para aplicar este conhecimento em suas funções.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 16
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesConclusãoO profissional de Segurança da Informação está no mercado há alguns anos, e como é colocado em artigos que se repetem acada ano que passa, a tendência é que ele seja cada vez mais exigido e procurado por Organizações de todos os portes e áreasde atuação. É uma função de todos nós, profissionais ou iniciantes, divulgar o que fazemos, como fazemos e para quefazemos, inibindo os rumores e dúvidas que cercam todas as novas profissões (lembra-se como era difícil explicar o que faziaum web designer a cinco anos atrás?) e esclarecendo o que podemos fazer para gerar receita e valor a uma Organização.Cada um de nós deve estudar e conhecer os conceitos de todos os domínios, e buscar aprofundar o conhecimento em dois outrês com os quais tenhamos maior afinidade e prazer em trabalhar, até porque pela dimensão de nossas atividades e o nívelcada vez maior de especialização exigido, é impossível ser bom em todas as áreas da Segurança da Informação, algo que eraaté possível alguns anos atrás.Note que algo que não foi citado neste artigo é a especialização de profissionais focados em Segurança de Aplicações eCriptografia, áreas que em alguns países estão plenamente estabelecidas, mas que no Brasil ainda faltam especializações euma voz ativa que leve estas carreiras para frente e dentro do mercado com o valor que realmente têm. No andar da carreira,cada um destes profissionais pode buscar o crescimento horizontal ou mesmo vertical, e aprender conceitos de gestão derecursos e pessoas, gerenciamento de projetos e administração financeira, como as pessoas de outras áreas fazem há algumtempo.É tudo uma questão de amadurecimento do mercado e tempo para que os profissionais possam ganhar a bagagem necessáriapara estabelecer a Segurança da Informação como uma nova área de negócios dentro das Organizações. Para que issoaconteça, recomendo que os profissionais da nossa área comecem a pensar fora da sua zona de conforto, aprendamdisciplinas comuns a outras carreiras para enriquecer seu modo de aplicar os conhecimentos de segurança de forma eficazpara as Organizações e saibam usar as competências que pessoas que lidam com administração usam desde os tempos deTaylor e Fayol.Links Relacionados: • Are security certifications worth it? por Peter Gregory na Computerworld. • Competency Modeling: Mirror in to the 21st Century Workplace – or Just Smoke? por Kenneth Pearlman para a 26th Annyal IPMAAC Conference on Personnel Assessment, 2002. • Integrating Competencies Into HR Programs por HR Guide. • Mapa de Competências do SEBRAE • Skills Measurement for Effective Competency Modeling – Lessons from the Field por Brainbench Company.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 17
  • O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO por Eduardo V. C. NevesSobre o AutorEduardo V. C. Neves, CISSP, trabalha com Segurança da Informação desde 1998. Iniciou sua carreira profissional em umadas principais empresas de consultoria do mercado brasileiro, posteriormente trabalhando como executivo de uma empresaFortune 100 por quase 10 anos. Em 2008 fundou uma das primeiras empresas nacionais especializada em Segurança deAplicações e hoje se dedica a prestar serviços de consultoria nas práticas de Risk Management e Business Continuity. Serveainda como voluntário no OWASP e (ISC)2 e contribui para iniciativas de evangelização nas práticas de proteção dainformação para federações e associações no Brasil. Pode ser contatado pelo e-mail eduardo@camargoneves.com.PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 18