Artigo do MVP de segurança - julho de 2006
Progresso na carreira de assessoria à segurança: como "entrar" no mercado de segurança em apenas 92 etapas fáceis
por Karl Levinson, CISSP, Looking Glass Systems
Ver outras colunas do artigo do mês do MVP de segurança.
Então você pretende conseguir um emprego na área de segurança de informações? Ou talvez você já esteja trabalhando nesse setor (infosec), mas queira progredir ou mudar para outra disciplina na mesma área?
A seguir encontram-se as respostas às perguntas mais freqüentes sobre o progresso em segurança de informações. Eu mesmo usei com êxito essas informações para aprender e progredir em vários estágios da minha carreira. Gostaria que alguém tivesse me dado essas dicas mais cedo, pois agora eu poderia estar aposentado e vivendo em uma ilha qualquer, em vez de estar escrevendo um artigo sobre como você pode roubar o meu emprego! Vamos ao que interessa.
Certificações
O tempo e o dinheiro investidos na obtenção de determinadas certificações de segurança podem ser compensados posteriormente com salários mais altos e melhores possibilidades de colocação. No entanto, as certificações não fazem mágica para facilitar as coisas. Elas podem ajudá-lo a conseguir entrevistas de trabalho, mas não o emprego. Você precisará comprovar o seu nível real de conhecimento e experiência durante as entrevistas, e a certificação não dá a você esse conhecimento e essa experiência.
Certificação CISSP
Uma das mais valiosas certificações de segurança ainda é a certificação CISSP oferecida pelo (ISC)2, o International Information Systems Security Certification Consortium. Eu recomendo à maioria dos profissionais de segurança que procurem obter essa certificação antes de quaisquer outras credenciais semelhantes. Ao contrário das outras certificações, a CISSP requer a aprovação em apenas um exame. Para aqueles que não têm condições de fazer treinamentos caros, existem vários manuais de estudo para a CISSP a preços acessíveis e amplamente disponíveis. Outra opção é perguntar ao seu empregador se ele poderia cobrir as suas despesas.
Para obter a certificação CISSP, é necessário que um gerente seu, atual ou anterior, concorde em confirmar que você possui quatro anos de experiência de trabalho remunerado em tempo integral relacionado à segurança. (Subtraia um ano se você tiver uma certificação aprovada, como Microsoft Certified Systems Administrator (MCSA) ou CompTIA Security+. Subtraia um ano se você tiver um curso universitário na área de segurança de informações.) Devido a esse requisito, a CISSP não o ajudará a conseguir o seu primeiro emprego na área de segurança, mas poderá ajudá-lo a conseguir o segundo ou o terceiro. O (ISC)2 oferece algumas certificações de nível iniciante menos conhecidas, como Systems Security Certified Practitioner (SSCP), que exige apenas um ano de experiência, e "Associate of (ISC)2", para a qual não é necessário ter experiência. Essas certificações não são bem conhecidas como a CISSP e, portanto, não ajudarão muito em sua carreira. Minha recomendação é ir direto para a CISSP, se você puder.
O exame da CISSP custa de US$ 499 a US$ 599 (EUA) e, em geral, precisa ser marcado com um mês de antecedência ou mais. Você precisará fazer uma previsão de quando estará preparado para fazer o exame e então ter certeza de que estará pronto nessa data. Em outras palavras, não é possível se preparar intensivamente até se achar em condições, e só então marcar o exame para o dia seguinte. Os exames são oferecidos em um número relativamente pequeno de locais, geralmente em cidades grandes. É possível que você tenha que fazer uma longa viagem ou mesmo encontrar um local para se hospedar na noite anterior, pois o exame sempre começa às 8h.
Durante o exame, você terá até 6 horas para responder 250 perguntas do tipo múltipla escolha, algumas das quais podem ter um enunciado confuso. Dizem que os exames são divididos em níveis em uma curva do sino (ou curva de Gauss); portanto, a nota de aprovação varia. Cerca de cinco semanas depois, você recebe a nota de aprovação ou reprovação por correio e nunca é informado sobre a sua pontuação exata.
Se você ler um manual de estudo de 400 páginas ao se preparar para o exame de 250 perguntas, deverá ler e compreender cada página, ou então se arriscar a responder incorretamente as perguntas. Sugiro que você leia pelo menos um guia de estudo, além do material gratuito disponível no site do CCCure.org. Em seguida, deverá avaliar a sua capacidade para fazer o exame fazendo o teste do CCCure.org. Examine também o Candidate Information Bulletin gratuito do (ISC)2, que contém uma lista dos tópicos que podem estar incluídos no teste. Caso não se sinta suficientemente preparado para um ou mais itens da lista após avaliar esse material, você saberá que precisa ler mais sobre esses tópicos.
Certificação GIAC do SANS
A família GIAC de certificações de segurança do SANS Institute também tem seu valor. A maioria das certificações e do treinamento oferecidos pelo SANS destina-se aos profissionais técnicos de segurança de computadores, que decidiram se especializar em nichos como detecção de intrusões, resposta a incidentes, etc. Algumas das ofertas da GIAC são para auditores ou gerentes.
O treinamento de certificação do SANS é informativo e pode ser útil como treinamento para o trabalho. Também é caro, custando de US$ 2.000 a US$ 3.500 (EUA) ou mais, mesmo que você opte pelo estudo individual. Para a maioria dos exames, não há disponibilidade de manuais de estudo mais baratos oferecidos por terceiros. Portanto, o SANS é a principal (se não a única) fonte de treinamento de GIAC disponível.
As certificações GIAC são de dois tipos, "Silver" e "Gold". A certificação Gold requer a apresentação de um trabalho por escrito após a aprovação no exame. Se você adquirir o pacote de treinamento e exame do GIAC, deverá agendar o exame para, no máximo, quatro meses após concluir o treinamento.
Se o dinheiro estiver curto, será possível conseguir a certificação GIAC por meio de estudo individual: lendo vários livros de boa qualidade, fazendo um dos testes práticos online do GIAC, ao custo de US$ 50, para aumentar a sua confiança, e depois fazendo um dos exames de certificação. Ainda assim, os exames do GIAC sem treinamento custam US$ 800, mesmo que você seja reprovado. Considere a obtenção de um "certificado" GIAC menor, fazendo um exame de US$ 100.
Você também pode procurar obter um mestrado em ciências (Master of Science) do SANS Technology Institute. Para isso, é necessário passar em oito exames de certificação GIAC, enviar vários trabalhos para certificação "Gold", concluir três "Community Projects" residenciais designados a você, além de ter três anos de experiência até a graduação. O custo total estimado é em torno de US$ 29.000 (EUA), semelhante aos programas Masters de segurança de informações de outras escolas da sua área. O mestrado pode ser concluído em um período mínimo de dois anos. O SANS é licenciado para conceder esse título, mas ainda não está autorizado.
Outras certificações
Embora CISSP e GIAC sejam duas das certificações de maior valor para a maioria das disciplinas técnicas de segurança, algumas das outras certificações relacionadas à segurança também podem ajudar.
Alguns fornecedores oferecem certificações relacionadas à segurança de seus produtos, como os exames de Microsoft Certified Professional (MCP) relacionados à segurança, o Microsoft Certified Systems Engineer (MCSE) com especialização em segurança e as certificações CCSP (Cisco Certified Security Professional) da Cisco. Essas certificações são valiosas quando você deseja ou espera usar, gerenciar ou criar a arquitetura desses produtos no futuro. Se você não pretende trabalhar com dispositivos da Cisco, a obtenção dessa certificação terá pouco valor.
Os profissionais de segurança que ocupam determinados cargos podem precisar conhecer e dar suporte a produtos de vários fornecedores. Se esse for o seu caso, você poderá lucrar mais obtendo primeiro uma certificação de "fornecedor neutro" como a CISSP, em vez de obter muitas certificações de qualquer fornecedor individual. A menos que você já esteja interessado em se especializar, minha recomendação é que você se semiqualifique em dois ou mais sistemas operacionais ou dispositivos, em vez de gastar o seu tempo para se tornar altamente certificado em apenas um.
Se o seu currículo mencionar quatro ou mais certificações, alguns empregadores poderão suspeitar que você passa o tempo todo se preparando intensivamente para exames de certificação, e poderão duvidar do seu conhecimento real. É correto obter mais de três certificações diferentes, mas eu recomendo não mencionar mais de três delas de cada vez após o seu nome.
Considere remover do seu currículo as certificações que não sejam relevantes para o trabalho que está sendo considerado, ou para as áreas em que você se acha menos capacitado. Considere também a remoção das certificações menos desejáveis. Por exemplo, se você tiver a certificação MCSE, minha recomendação é remover o MCP do seu currículo. Se estiver buscando uma certificação, deverá listar esse fato no currículo.
A CompTIA oferece pelo menos duas certificações de nível iniciante (Linux+ e Security+) que podem ser valiosas, especialmente se você não estiver em condições de obter a certificação (ISC)2. A certificação A+ da CompTIA não é relevante para a segurança, e minha recomendação é removê-la ao se candidatar a posições de segurança.
Livros
Independentemente de você estar interessado em certificações, há várias opções para melhorar suas habilidades e a sua experiência. Se não tiver dinheiro para gastar em treinamentos caros, o estudo individual pode ser a saída. Os vários livros Hacking Exposed são uma excelente introdução a uma ampla gama de disciplinas. Também gosto muito destes livros: Incident Response and Computer Forensics, Second Edition; Writing Secure Code, Second Edition; e TCP/IP Illustrated, Volume 1. Se você tem preferência por firewalls empresariais, considere o livro Building Internet Firewalls, Second Edition. Para o monitoramento de detecção de intrusões na rede, tente o livro Network Intrusion Detection, Third Edition. O (ISC)2 possui uma lista de bons livros sobre segurança que também são importantes para o estudo da CISSP.
Para aqueles que têm um orçamento apertado, cópias usadas de muitos desses livros, inclusive dos guias de estudo da CISSP, estão disponíveis no Amazon a preços reduzidos. A sua biblioteca local pode ter alguns livros importantes, ou você pode retirar eBooks grátis na NetLibrary ou em sites citados na seção a seguir.
Sites
O site da Central de Segurança TechNet contém uma grande quantidade de informações grátis sobre treinamento e referência de segurança, uma cortesia da Microsoft. Também existem webcasts grátis para aqueles que preferem ouvir, em vez de ler. Por exemplo, não deixe de dar uma olhada nos tópicos sobre: Orientações de segurança, Trilhas do aprendizado para segurança, Ameaças e medidas defensivas, Compreendendo a segurança, IT Pro Security Community, Segurança para pequenas empresas e Artigo do mês do MVP de segurança (as páginas podem estar em inglês). Já é suficiente, não é?
As Special Publications do National Institute of Standards and Technology (NIST) são como manuais de treinamento gratuitos sobre vários tópicos, principalmente sobre como a segurança no mundo real é implementada em grandes empresas. Você também pode ler os artigos breves sobre segurança (escritos por candidatos à certificação GIAC) na SANS Reading Room. O site BuildSecurityIn do Departamento de segurança interna dos EUA possui alguns bons artigos sobre a Web e a segurança na programação, assim como o site do Open Web Application Security Project (OWASP). Verifique também os trabalhos e as apresentações do CERT/CC. Há muitas informações sobre segurança no meu próprio site, SecurityAdmin.Info FAQ, além de uma longa lista de links para outros artigos, sites e ferramentas úteis que não foram listados neste artigo.
Fóruns de suporte técnico
A postagem em fóruns de suporte da Internet nos sites e grupos de notícias da Usenet é uma maneira relativamente fácil de obter experiência no mundo real. Embora o trabalho não seja pago, ele mostra o seu talento e compromisso na área de segurança, a sua ética no trabalho e a sua habilidade para escrever. Além disso, é uma excelente forma de o recém-chegado aprender sobre os problemas mais comuns do mundo real (e as soluções para esses problemas). Essas informações podem ajudá-lo a dar respostas inteligentes nas entrevistas de trabalho. Por si só, as certificações geralmente não informam exatamente como resolver os problemas mais comuns da atualidade.
Encontre um fórum de suporte técnico relacionado a um campo de segurança de TI do seu interesse. Não poste a princípio. Apenas "espione" e leia os problemas e as sugestões. Mas não tire conclusões precipitadas. Suspeite das declarações abrangentes sobre segurança, do tipo "sempre" e "nunca". Depois de algum tempo, você provavelmente aprenderá e se lembrará de respostas que, de outro modo, não teria conhecido. Então poderá começar a responder com autoridade a cada vez mais perguntas.
Quando já estiver conhecido no fórum, avance mais um passo. Responder as mesmas perguntas repetidamente não é interessante para ninguém. Se o fórum tiver um site de perguntas freqüentes, você poderá se oferecer para ajudar a manter a página. Se não tiver, escreva uma página você mesmo e poste-a na Usenet, ou crie o seu próprio site de perguntas freqüentes sobre esse tópico (as perguntas freqüentes do meu site constituem apenas um dos muitos sites de perguntas freqüentes de exemplo existentes). Você também pode adicionar um blog ao seu site e incluir comentários e artigos sobre eventos atuais, novos tópicos de interesse, etc. Faça o que fizer, não deixe de mencionar esse fato no seu currículo e nas entrevistas de trabalho.
Alguns fóruns de suporte de segurança populares são:
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |
Alguns fóruns de discussão baseados na Web também estão disponíveis via email ou por meio de grupos de notícias da Usenet. No caso desse último, você pode achar mais fácil usar um software de leitura de notícias (como o Microsoft Outlook Express ou o Forte Free Agent) para acessar os servidores news:// diretamente, em vez de usar uma página da Web para ler as postagens.
Prêmio Microsoft MVP
Como um incentivo adicional, se você postar com freqüência orientações confiáveis nos fóruns de suporte técnico gratuitos da Microsoft, poderá ser indicado para um prêmio Microsoft MVP (Most Valuable Professional). Isso é definitivamente um ponto positivo no seu currículo. Outros benefícios do prêmio Microsoft MVP incluem oportunidades educacionais, oportunidades de contato com profissionais de segurança dentro e fora da Microsoft, além de alguns brindes interessantes. Os MVPs da Microsoft também podem conseguir oportunidades de escrever e publicar artigos que serão lidos por milhares de pessoas (como este artigo que você está lendo agora).
O prêmio MS MVP é concedido por realizações passadas em suporte à comunidade de usuários. A Microsoft utiliza esse programa para incentivar a comunidade de usuários a continuar fazendo um bom trabalho. Não se preocupe, os MVPs não têm obrigação de dizer ou fazer nada diferente após receber o prêmio. Eles não são obrigados a se transformar em incentivadores dos produtos da Microsoft; e ser um incentivador não o ajudará a ser indicado como MVP (caso não acredite em mim, verifique a próxima seção, na qual incluí links para CDs de inicialização do Linux).
A postagem nos grupos de notícias da Microsoft não é a única maneira de ser indicado para um prêmio MS MVP. Às vezes, as pessoas recebem indicações para o MS MVP por terem feito contribuições bem fundadas a outras comunidades não Microsoft, como aquelas mencionadas anteriormente, ou através de seu próprio site ou software também. Outros fornecedores além da Microsoft também podem ter programas de reconhecimento semelhantes.
Ferramentas de software
Em muitos campos técnicos de segurança, é muito vantajoso ter conhecimentos sobre TCP/IP e pelo menos um (ou dois, preferencialmente) sistemas operacionais (como o Microsoft Windows, o Linux, o BSD ou o Solaris da Sun Microsystems). Usar o sniffer (farejador) Wireshark [Ethereal], o scanner de vulnerabilidades Nessus, o software de IDS (sistema de detecção de intrusões) Snort ou uma ou mais das outras 75 principais ferramentas de segurança de rede já é um bom começo. O uso de algumas dessas ferramentas pode violar a política do seu empregador ou do provedor de serviços de Internet, podendo resultar em demissão ou desconexão. Portanto, seja cuidadoso e procure obter aprovação antes de mais nada. Conhecer pelo menos uma linguagem de programação ou de script (como C, C++, Assembly, Perl, VBScript, JavaScript e/ou HTML) ajuda, mas não é essencial.
Se você estiver familiarizado somente com o Windows, uma boa maneira de se familiarizar com os outros sistemas operacionais e com as ferramentas de segurança fora do Windows é usar um CD grátis de live boot do Linux. Baixe, grave e insira um CD de inicialização, e logo o seu computador estará executando o Linux, juntamente com todos os utilitários relacionados, sem que você precise instalar ou solucionar nenhum problema. Helix e Knoppix-STD são dois live CDs populares relacionados à segurança, e outros são listados nos sites do Darknet e do KNOPPIX. Alguns desses discos são até mesmo direcionados especificamente para testes de penetração ou forenses. Outros discos do Linux transformam um computador reserva lento em um firewall. Se você não tiver acesso a uma conexão rápida com a Internet, poderá adquirir esses CDs pelo correio. Também estão disponíveis distribuições menores do Linux que cabem em disquetes de inicialização.
A vantagem dos discos de live boot é que você pode carregá-los e executá-los em quase todos os computadores, sem muitos problemas. Porém, a menos que você seja disciplinado e tenha definido tarefas a serem executadas, poderá ter dificuldades em ultrapassar a fase de "pequenas alterações" ao usar somente um CD de inicialização. Provavelmente, você aprenderia mais se estivesse dando suporte ou usando esse software diariamente. Responder às intrusões ou monitorar o tráfego da rede com o software de IDS em casa não é a mesma coisa que fazer isso no trabalho, com sistemas e dados ativos.
Especialização
Talvez você queira considerar a especialização em um determinado nicho de segurança. Há muitas especializações de segurança diferentes, e não é possível tornar-se um especialista em todas elas.
Algumas disciplinas podem ser mais fáceis para pessoas pouco experientes. Por exemplo, o monitoramento do IDS é um campo de segurança que precisa de pessoas iniciantes que forneçam cobertura economicamente viável 24 horas por dia. A especialização em IDS pode ajudar um novato na área de segurança de informações a entrar nesse campo (considerando-se que na sua área existam empresas que estejam fazendo o monitoramento do IDS). Dispor-se a trabalhar à noite durante algum tempo pode ajudá-lo a dar o primeiro passo, embora o aprendizado e o progresso possam ser mais desafiadores durante o dia.
A especialização em computação forense pode ser útil, pois a demanda por pessoas com habilidades forenses parece exceder a oferta. Porém, esses trabalhos podem não ser sempre tão interessantes quanto mostra a TV.
Provavelmente, você não encontrará uma posição de estagiário em teste de penetração ou invasão de sistemas. Esses cargos são difíceis de encontrar. É possível que você encontre alguns trabalhos de nível iniciante em certificação e autorização (C&A) que envolvam a avaliação de vulnerabilidades, especialmente se você morar próximo a órgãos federais ou outras entidades que façam esse tipo de trabalho.
Encontrando trabalho
Alguns trabalhos são postados somente no site do empregador. Para encontrar um trabalho na área de segurança, talvez você precise identificar e visitar sites de empregadores que façam trabalho de segurança na sua área. A tendência é que sejam organizações grandes (como empresas comerciais, e entidades federais e estaduais), e também empresas terceirizadas (como meu empregador, Looking Glass Systems) que fazem trabalho de segurança para essas organizações grandes. Grandes organizações, como as 25 primeiras desta lista das 100 principais empresas contratadas por órgãos federais, tendem a ter mais posições de segurança para iniciantes e mais oportunidades de progresso posterior. Além disso, muitos empregadores dão valor à experiência em segurança em grandes ambientes.
Você também pode considerar a obtenção de uma posição que não seja em segurança, em uma empresa que tenha cargos de segurança. Muitos empregadores hesitam em contratar alguém que não conhecem e que não tenha nenhuma experiência remunerada em segurança. No entanto, esses mesmos empregadores são capazes de transferir uma pessoa com sólido desempenho e um hobby em segurança, da equipe de atendimento ou de servidores para uma vaga na área de segurança, após conhecer o seu trabalho durante um ano. Porém, tenha cuidado: se você for entrevistado para um cargo em uma nova empresa e disser que preferiria trabalhar com segurança, talvez não seja escolhido para o cargo.
Entrevista
Muitas coisas que você precisa saber sobre como obter acesso ao campo de segurança de TI não têm nada a ver com TI ou com segurança. Os entrevistadores julgam não só o que você sabe e fala, mas também a maneira como você fala, para descobrir se a sua personalidade se adaptará à equipe deles.
Assim como muitas outras coisas na vida, as entrevistas de trabalho são um jogo. É preciso saber como jogar, o que significa aprender e praticar. Verifique um ou dois livros sobre currículos e entrevistas de trabalho na sua biblioteca local. Não espere mais de 4 retornos para cada 100 currículos enviados, e tenha em mente que as suas primeiras entrevistas serão amargamente malsucedidas. Se isso o preocupa, envie mais currículos e ensaie algumas entrevistas com alguém que tenha algum conhecimento e possa fazer comentários.
Nas entrevistas, falar demais pode ser ruim; falar muito pouco também. Seja honesto, mas saiba o que não deve ser dito. É preferível admitir que você não sabe uma resposta do que divagar e inventar coisas. Você pode tentar melhorar um pouco a sua experiência passada, mas se contar mentiras, a maioria das pessoas perceberá, e aqueles que não perceberem provavelmente não são empregadores ideais que fazem um trabalho sério em segurança. Se você entrar em uma dessas equipes, poderá encontrar pessoas pouco qualificadas contratadas, e acabar fazendo o trabalho extra delas, ou aprendendo pouco, ou sendo dispensado quando a empresa começar a falhar.
Tenha em mãos uma lista de perguntas sobre o trabalho, a equipe e a empresa. Saiba quando e como mencionar a parte financeira e evite ser o primeiro a mencionar uma quantia. Fico surpreso com a quantidade de pessoas que entrevisto e que parecem não conhecer essas diretrizes.
Confuso? Muito bom. Eu não conseguiria colocar tudo o que você precisa saber neste espaço tão pequeno. Espero que pelo menos eu o tenha alertado para a existência dos problemas aqui mencionados e que você tenha se interessado em procurar outros detalhes sobre o assunto.
Assim como muitas outras habilidades, a segurança das informações não é uma arte mágica secreta dominada por poucas pessoas habilitadas. Se você lê sobre segurança, faz segurança e gosta disso, poderá se capacitar nessa área e transformar essa capacidade em uma carreira.
A propósito, a leitura deste artigo foi a primeira etapa. As próximas 91 etapas dependem de você!
