Está em busca de certificações de segurança da informação? Você está mais do que certo(a). Com a chegada da Lei Geral de Proteção de Dados e a implementação de um modelo híbrido de trabalho, a demanda profissionais da área é cada vez maior.
Além disso, de acordo com o Bureau of Labor Statistics dos Estados Unidos, o crescimento do setor vem se mostrando superior quando comparado aos demais. E apesar desse reconhecimento ser relativamente recente, o mundo está cheio de oportunidades para os profissionais da área se especializarem.
E para falar mais sobre o assunto, batemos um papo com o André Frutuoso, Head de Segurança da Informação aqui no Grupo Cosan. Ele dá dicas para quem acabou de começar a carreira e também para quem já tem mais experiência. Confira!
Mas antes de tudo, um disclaimer
Logo no começo do nosso bate papo, André já traz uma informação divisora de águas: “Antes de falarmos sobre as certificações, é importante dizer que temos duas grandes torres de atuação dentro desta área, pois esse reconhecimento traz um direcionamento melhor para o tipo de certificação que você deve buscar”.
Uma delas é a segurança da informação, conhecida pelo mercado como GRC ou Governança, Riscos e Conformidade — e do outro lado temos a cibersegurança, que de cinco anos para cá começou a se tornar mais comum, até por conta do skill dos profissionais. “A separação é mais clara em empresas maiores”, acrescenta André.
E não para por aí. Ele também faz um lembrete importante: “ Muita gente busca a certificação antes de ter o conhecimento, a vivência e a prática do dia a dia das áreas de segurança e cyber. No entanto, ela deve ser o fim, o momento em que você comprova tudo o que sabe”.
Dito isso, veja quais foram as certificações mais indicadas pelo nosso querido colaborador!
Para profissionais recém formados
André recomenda atuar nos frameworks, referentes às boas práticas de segurança. “Existe ISO 271001, numerada conforme o tipo de prática, e a ISO 271002: um conjunto de práticas de segurança com 15 capítulos que apoia a construção de um Sistema de Gestão de Segurança de Informação (SGSI) em uma empresa, de qualquer porte ou segmento”.
Complementando a ISO 271002, temos a CompTIA Security+, uma das entidades mais antigas do mundo quando falamos de certificação na área. Nela, você deverá saber quais os controles mais adequados em um ambiente de segurança computacional. E André ainda dá um bônus: “Quando você faz essa certificação, ela já recomenda quais são as próximas que você deve tirar”.
O Head também cita a Certificate of Cloud Security Knowledge (CCSK), que habilita os profissionais em Cloud. Ela é muito importante para termos maior controle dos dados em uma infraestrutura em nuvem.
Além disso, você provavelmente precisará tirar certificações específicas de fabricantes, como a Microsoft, dependendo da empresa em que trabalha. Então não existe uma regra ou uma ordem nesse quesito, beleza?
Para profissionais de Segurança da Informação
A CISM, Certificação em Gestão de Segurança da Informação, é uma das mais importantes e desafiadoras da área e é indicada para profissionais de GRC, como o André: “Ela é o topo para quem atinge uma posição de gestão dentro da área de segurança da informação. Para fazer a prova de certificação eles exigem pelo menos 5 anos de experiência comprovando as práticas.”
Não se esqueça de que seu raciocínio tem que ser levado pela prática e não pela teoria: durante a prova, você se deparará com mais de uma alternativa correta e deverá escolher aquela que melhor responde a questão. Por isso, batemos tanto na tecla da experiência e da performance. Os estudos só darão uma base para o que você já sabe.
Para profissionais de Cyber Security
Em cibersegurança, para simplificar o direcionamento, temos duas frentes de atuação principais chamadas de red team (ataque) e blue team (defesa). Ambos atuam de forma distinta para o mesmo objetivo: proteger os sistemas da uma empresa contra cibercriminosos. “Esses profissionais têm certificações totalmente distintas entre si.”, fala o Head.
Mas nada te impede de experimentar um pouco desses dois mundos para ter certeza do caminho que você deseja seguir. Aliás, André destaca que “quanto mais conhecimento para atuar em cyber security, melhor. O profissional precisa saber de defesa (blue) para poder fazer uma segurança ofensiva (red)”.
Então, vamos lá:
- Certified Information System Security Professional (CISSP): “essa talvez seja a certificação mais buscada no mundo, porque ela permeia tudo que é praticado nesta área”, fala o Head. Por esse motivo, a maioria dos profissionais costumam começar com ela antes de partir para provas mais específicas.
- Offensive Security Professional (OSCP): já a OSCP é voltada para testes de intrusão e o uso das ferramentas Kali Linux. “O profissional que tirar essa certificação aqui no Brasil é muito valorizado, pois ela é muito difícil”, conta André;
- Certified Ethical Hacker (CEH): muito procurada pelos profissionais que atuam tanto com defesa como segurança ofensiva, já que essa certificação abre portas em grandes empresas no mundo inteiro;
“Conforme você vai adquirindo conhecimento e experiência, fica mais fácil identificar quais outras certificações ou conteúdos você precisa entender para evoluir em sua carreira”, finaliza André.
Menos é mais!
No fim dessa conversa, concluímos que você não deve atirar para todos lados. Muito pelo contrário: foque em ganhar prática antes de fazer qualquer certificação, pois isso será exigido durante a prova. E quando chegar o momento de escolher alguma, analise se ela realmente faz sentido para a sua carreira, combinado?
Aproveite que está por aqui para conferir quais competências são importantes para se tornar um hacker ético.
Bom dia Gostei das informações gostaria de receber artigos tenho muito interesse