Carreiras e certificações de segurança da informação, uma área que cresce acelerada!
Sem sombra de dúvidas e inegavelmente, esta é a área que mais cresce no Brasil e no mundo. Decerto, o que abre um leque imenso de possibilidades de carreiras e certificações de segurança da informação.
Em outros artigos, eu certamente partiria da ITIL para falar das áreas de gestão de serviços de TI; do CobiT para falar da governança; mas, para segurança de TI, não há como me ater apenas a um framework, modelo ou norma. E mesmo com a ISO/IEC 27000, né?
Pois bem, neste texto vou explorar as principais carreiras e certificações de segurança da informação, partindo das áreas gerenciais, com a ajuda da ISO/IEC 27001 Foundation e descrever as mais técnicas, como por exemplo, as de Programação Segura e Ethical Hacking.
E por que vou utilizar a norma ISO/IEC 27000 para fazer isso? Simples! Porque, em torno deste ano, ela é a mais ampla norma ISO que trata de um modo específico e amplo o Sistema de Gestão de Segurança da Informação.
A partir dela, é possível traçar várias carreiras, como as de Continuidade de Negócio, LGPD, Segurança Cibernética, Governança. Depois disso, busco listar as principais áreas mais técnicas.
E como há muitas ramificações, como por exemplo, o Pentest, a Investigação Forense, a Recuperação de Desastre, etc; que a cada dia aparece, tentarei manter este artigo vivo e sempre atualizado! Então, bora começar?
Índice
- 1. Contextualização da Segurança da Informação
- 2. Formação Básica e Gratuita
- 3. Carreiras e Certificações na Área de Segurança da Informação
- 4. Carreiras e Certificações na Área de Cloud
- 5. Programação Segura
- 6. Ethical Hacking
- 7. Continuidade de Negócios
- 8. Risco, Compliance e Governança de TI
- 9. Proteção de Dados (GDPR)
- 10. Conclusão
1. Contextualização da segurança da informação
A área de Segurança da Informação é vasta. Por isso, há grandes chances de especialização em vários níveis. Não só nas áreas gerenciais, como também nas mais técnicas. Algumas irão exigir conhecimentos técnicos prévios, como por exemplo, as de Hacking e Programação Segura.
Mas, todas tem um repleto programa de treinamento e certificação por grandes e representativos Institutos. E devido ao crescente número de ameaças cibernéticas, as empresas estão buscando novas maneiras de proteger dados vitais.
Como resultado, o desejo de analistas de segurança da informação aumentou bastante, assim como a oferta de certificações profissionais. Então vamos lá conhecê-las?!
2. Formação básica e gratuita
ISO 27001 Essentials
Eu tenho um curso gratuito que é fantástico! Pois, se você não conhece nada sobre Segurança da Informação no aspecto da ISO/IEC 27001, seus problemas acabaram. Nesse treinamento, eu dou uma pincelada nos principais tópicos da norma.
Portanto, ele pode ajudar absolutamente qualquer profissional de TI, seja de governança, GSTI, projetos, desenvolvimento, enfim, todos os profissionais de tecnologia.
Aliás, nem preciso mencionar que essa é a área que mais cresce no mundo, uma vez que se trata de questões, anteriormente não obrigatórias, mas agora essenciais, devido em especial ao LGPD (GDPO).
3. Carreiras e certificações na área de segurança da informação
Formações fundamentais são importantes para todos os profissionais que trabalham com informações confidenciais, devido o valor da segurança da informação, bem como as ameaças e os riscos.
Acima de tudo, é ideal que todos os profissionais que desejam lidar com a Segurança da Informação, comecem por aqui, porque obterão uma base sólida para outras certificações de nível superior no assunto.
ISO 27001 Foundation
Sem dúvidas, é a certificação ponto de partida para todos os possíveis analistas, gerentes e auditores de projetos ISO 27001. Assim sendo, com essa certificação, você poderá provar a conformidade com as leis de segurança de dados como o GDPR (LGPD), obterá as habilidades para implementar e auditar um ISMS ISO 27001.
Além disso, terá também embasamento em todos os termos a respeito da Segurança da Informação, etc. Dessa forma, ela é a primeira e mais importante certificação desse curso.
Security +
Outra certificação de segurança bem respeitada e numa posição neutra relativa ao fornecedor. Aqui, temos o Security +, da CompTIA. Ela já contempla um conteúdo um pouco superior as demais, de nível fundamentos, pois é mais ampla e aborda várias disciplinas relacionadas à segurança.
Só para ilustrar: gerenciamento de ameaças; criptografia; gerenciamento de identidades; sistemas de segurança; identificação e mitigação de riscos de segurança; controle de acesso à rede e infraestrutura de segurança.
ISO 27001 Professional
Se acaso você queira avançar na norma, minha sugestão é buscar a versão avançada da ISO 27001, com a ISO 27001 Professional, a tão sonhada ISMP da EXIN. Com ela, você já está a um passo de obter o título de Security Officer.
CISSP
Essa é outra certificação de nível avançada bem respeitada, salvo a sua complexidade no exame e abrangência. Nesse ínterim, Um profissional com esta certificação tem habilidades técnicas necessárias para desenvolver, orientar e gerir padrões, políticas e procedimentos de segurança em qualquer organização.
ISO 27001 Lead Auditor
Já essa certificação é para quem quer elevar o nível da sua carreira. Quem a busca está mais interessado em obter um entendimento completo da Norma ISO/IEC 27001 e de seus procedimentos de auditoria. Além disso, qualificações que são certificadas por empresas independentes, credenciadas e respeitadas no mundo todo.
4. Carreiras e certificações na área de cloud
A computação em nuvem está mudando a maneira como os serviços de TI são criados, adquiridos e entregues. De fato, novas oportunidades surgirão para profissionais com experiência em negócios; profissionais que combinam um amplo entendimento dos desenvolvimentos de TI e as habilidades para integrar especializações.
Isto é, a TI precisa de integradores de nuvem, que trabalhem também com segurança. Ou seja, algo que não fuja do Gerenciamento de Serviços, Computação em Nuvem e Segurança de TI.
Cloud Computing Foundation
Se você deseja adentrar na nuvem e crimes cibernéticos, então sem dúvida o próximo curso, que complementa essa área em eterna expansão, se trata do Cloud Computing da EXIN. Inclusive, ela é uma das obrigatórias para se obter o título Certified Integrator Secure Cloud Services.
Pois como sabemos, se a nossa tecnologia está longe do alcance dos nossos olhos, então precisamos estar atentos à segurança na nuvem!
5. Programação segura
Houve um tempo em que o desenvolvedor ou o analista falava que Segurança de TI era coisa do suporte e da Infraestrutura. Mas isso, é coisa do passado!
Nos dias atuais, sabemos que um código mal feito pode abrir brechas para ataques cibernéticos. Portanto, se você trabalha na área de Desenvolvimento de Software, já conseguiu identificar a importância, não é mesmo?
Secure Programming Foundation
Caso você deseja se especializar tecnicamente na área de Programação Segura, muito fácil, vá de olhos fechados no Secure Programming Foundation da EXIN também.
Com ela, você será capaz de lidar com o Gerenciamento de Sessão e Autenticação; Manejo de Entrada de Usuário; Autorização; Configuração, Manejo e Registro de Erros; Criptografia; e Engenharia Segura de Software. Uma boa pedida!
Certified Application Security Engineer (CASE)
A CASE da EC-Concil é focada no desenvolvimento de aplicativos e software. O foco dela abrange as atividades de segurança envolvidas em todas as fases do ciclo de vida de criação de software, bem como planejamento, criação, teste e implantação de um aplicativo.
6. Ethical hacking
Há um povo mais inovador do que os Hackers? Hahaha! Toda hora eles encontram novos modos de atacar sistemas de informação e explorar suas fraquesas.
Dessa maneira, as empresas para se protegem de forma proativa, contratam os serviços e a experiência de profissionais de TI especializados em derrotar hackers “maus”. Esses profissionais são conhecidos como chapéus brancos (White Hat), ou seja, os Hackers Éticos!
Ethical Hacking Foundation
Esta certificação da EXIN visa instruir os hackers éticos a usarem as habilidades e técnicas que os hackers comuns usam para identificar vulnerabilidades do sistema e pontos de acesso para penetração, a fim de impedir o acesso indesejado de intrusos à rede e aos sistemas de informação.
Então, quer aprender a proteger sem atacar e de forma ética? Uma das certificações que mais cresce no mundo é de Ethical Hacking Foundation. E apesar de ser um curso que demanda uma dose de conhecimentos prévios e técnicos, ela é muito TOP!
ECH
A ilustre ECH da EC-Concil se faz essencial para os profissionais de TI que buscam carreiras como hackers éticos. Os detentores de credenciais da CEH possuem aptidões e conhecimentos sobre práticas de hackers em áreas distintas. De fato, são muitas!
Por exemplo: footprinting e reconhecimento; redes de varredura; enumeração; hackers de sistema; Trojans, worms e vírus; sniffers; ataques de negação de serviço; engenharia social; sequestro de sessões; servidores da Web de hackers; redes sem fio e aplicativos da web; injeção de SQL; criptografia; teste de penetração; fuga de IDS; firewalls e honeypots. Completo, não?
7. Continuidade de negócios
BCM Foundation
Essa certificação da EXIN é totalmente baseada na ISO/IEC 2230. Ela está bem relacionada com a norma ISO/IEC 27000, pois aborda ameaças e impactos potenciais a uma organização. Em resumo, a considero importante para quem deseja atuar na área de Continuidade de Negócios.
Aliás, eu mesmo já atuei nesta área e conhecer as normas ISO 22301, os processos, práticas de negócio, fez-me avançar bastante até a área de Compliance e Governança de TI.
BC Certified Planner (BCCP)
Essa vai ser difícil! Porque a última vez que vi no site (29/03/2020) da BCM Institute, haviam 14 certificações somente na área de Continuidade de Negócios. O programa deles é extenso e completo ao extremo. Nem vou me alongar muito, busque as informações no site deles que você ficará de queixo caído.
8. Risco, compliance e governança de TI
Um dos pontos de partida do Board de uma empresa, principalmente com Governança de TI a ser seguida, é verificar a integridade da governança cibernética para identificar áreas nas quais o conselho deve agir para melhorar sua gestão de riscos cibernéticos.
Toda a diretoria deve estar ciente do cenário de ameaças cibernéticas e saber o que são ameaças persistentes avançadas. Isso deixou de ser algo que deve ser tratado apenas na TI. Até por isso, há as certificações de Governança de TI.
CobiT 5 Foundation
Tirando a versão 2019, que é a mais nova, porém pouco praticada ainda no Brasil, a versão 5 é a mais cobiçada e requisitada no mercado e no processo de seleção. E não se engane! Ela ainda é bem cotada e sem data de retirada. Então, se quer agregar na sua área de Compliance, Risco e Governança, não pense duas vezes! Parta para esta certificação.
CISM
O Certified Information Security Manager (CISM) da ISACA é uma das principais credenciais para profissionais de TI responsáveis por gerir, desenvolver e supervisionar sistemas de segurança da informação em aplicativos de nível corporativo ou por desenvolver as melhores práticas de segurança organizacional. Pois, é uma certificação de alto nível e essencial para profissionais de maior gabarito.
CRISC
Essa certificação é da ISACA. E ela é ideal para profissionais que buscam se especializar na identificação e gestão de riscos corporativos de TI e na inserção e manutenção de controles de sistemas de informação. Certificação TOP, mas difícil! Mas de fato, assim como todas as da ISACA.
CISA
Outra certificação da ISACA, a CISA. E atenção nela! Pois ela é direcionada aos profissionais que trabalham com auditoria, controle ou segurança de sistemas de informação. Ideal para os profissionais de TI que procuram carreiras com os aspectos do gestão de riscos.
9. Proteção de Dados (GDPR)
Dentro da União Europeia, os regulamentos e normas relacionados à proteção de dados são rigorosos. O General Data Protection Regulation (GDPR) entrou em vigor em maio de 2016 e as empresas tiveram até maio de 2018 para mudar suas políticas e processos, a fim de garantir a plena conformidade.
Nesse sentido, empresas fora da Europa também deverão estar de acordo com a norma ao fazerem negócios na Europa. Nesse sentido, uma das soluções para estar de acordo em tempo hábil é a qualificação das equipes. Ou seja, ter profissionais certificados com o nível certo de conhecimento.
Esse fato pode ajudar a preparar a sua empresa. E o programa EXIN Privacy & Data Protection abrange o conhecimento exigido da legislação e dos regulamentos relacionados à proteção de dados e a forma como eles devem ser repassados as empresas e pessoas.
PDPF
A formação da PDPF da EXIN, juntamente com a PDPE e PDPP, por certo, é uma das mais completas no mercado, em se tratando de Privacy & Data Protection (Proteção de Dados e Privacidade). Essa certificação abrange os principais assuntos ligados à proteção de dados pessoais. Por certo, se o seu desejo é se tornar um DPO (Data Protection Officer), essa é a formação correta para você.
10. Conclusão
Enfim, eu deixo aberto ao comentários sobre mais carreiras e certificações na área de segurança da informação. E lembre-se, este artigo é vivo! Vou alterá-lo sempre que necessário, para deixar bem atualizado e aderente à época e realidade conforme o combinado.
Antes de mais nada, se acaso você ficou com alguma questão sobre o tema, deixa aqui o seu ponto de vista.
Que logo após, nós, da PMG Academy, vamos te responder o mais breve. Até mais!
Artigos Relacionados