1 / 31

Formação de Gestores e Especialistas em Segurança da Informação

Formação de Gestores e Especialistas em Segurança da Informação. Formação de Gestores e Especialistas em Segurança da Informação. Alex Feleol Pós-Graduando MBA em Gestão de Segurança da Informação. Agenda. Conceito Desafios do Profissional de Segurança

renee
Download Presentation

Formação de Gestores e Especialistas em Segurança da Informação

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Formação de Gestores e Especialistas em Segurança da Informação

  2. Formação de Gestores e Especialistas em Segurança da Informação Alex Feleol Pós-Graduando MBA em Gestão de Segurança da Informação

  3. Agenda • Conceito • Desafios do Profissional de Segurança • Perfil do Profissional de Segurança • Conhecimentos • Valores • Redes Sociais • Como obter conhecimento • Formação e Certificações • Entidades de classe • Networking

  4. Conceito O que é Segurança? segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio]

  5. Desafios do Profissional • Associarsegurançaaonegócio • Segurançadevepermitir a adoção de novas tecnologiasquesejamúteisaonegócio • Uso de tecnologias de segurança • Legislação e Compliance • Auditoria • SegurançaFísica • Levarsegurançaaousuário final

  6. Desafios do Profissional • Segurança para os usuários finais • Normalmente, são considerados o “elo mais fraco” • Alvos de Engenharia Social, SPAM eMalwares (vírus, vermes e phishing scam) • “Ataque interno” é uma preocupação constante • Envolve treinamento e atividadesde conscientização • Exige capacidade de comunicação

  7. Desafios: Carreiraem Y CSO Gerente Consultor Experiência Analista Administrador

  8. Desafios: Perfisprincipais • Gestor • Foco no Negócio • Gestão de Equipes • Normas e Processos • Especialista • Foco na Tecnologia • Gestão de Ferramentas • Procedimentos

  9. Desafios: Títulos e Cargos • Alguns cargos, títulos e funções comuns no mercado: • Securityspecialist • Security auditor • Securityconsultant • Securityadministrator • Securityanalyst • Securityengineer • Web security manager • Directorofsecurity • Manager ofsecurity • Chiefprivacyofficer • Chiefriskofficer • ChiefSecurityOfficer (CSO) • ChiefInformationSecurityOfficer (CISO)

  10. Desafios: Títulos e Cargos • Média salarial dos profissionais de segurança da informação Fonte: http://info.abril.com.br/professional/salarios/

  11. Desafios: Vagasemaberto… • Exemplo (ListaSecurityGuys) • Analista de Segurança da Informação Sr ou Pl. • O profissional deve ter no mínimo 3 anos de experiência na área de Segurança em TI, preferencialmente conhecimento profundo em ambiente Windows, fundamental conhecimentos em ferramentas de segurança como: Firewall, VPN, IDS, AV entre outros • Local de trabalho: Rio de Janeiro - Capital • Forma de contratação: PJ ou CLT • Interessados favor enviar CV para (...)

  12. Tecnologia Negócios Desafios: Vagasemaberto… • Exemplo (Lista SecurityGuys - http://securityguys.com.br/) • Especialista em segurança da informação pleno • Pleno conhecimento de TCP/IP; • Pleno conhecimento de redes virtuais (VPN); • Pleno conhecimento de firewalls iptables, CheckPoint e pf. • Certificação CCSA ou CCSE desejável; • Pleno conhecimento de proxies squid, NetCache e BlueCoat; • Pleno conhecimento de redes Microsoft, Active Directory, Domain Controler, LDAP, NTLM; • Pleno conhecimento de Linux, Unix. Certificação LPI ou CompTIA desejável; • Plena capacidade de redigir documentos técnicos do mais alto padrão para superar as expectativas dos clientes; • Capacidade de trabalhar em equipe de forma colaborativa; • Buscar obter e compartilhar conhecimento mutuo entre integrantes da equipe; • Prioridade em ser comprometido, participando de todas as atividades com outras equipes de infraestrutura; • Pleno conhecimento de Gerencia de Projeto, utilizando praticas PMI; • Conhecimento de Cobit e ITIL; • Inglês avançado. • Regime CLT.

  13. Perfil • Em sua maioria, os profissionais tem origem e formação de duas formas distintas: • Técnica • Profissionais de TI • Suporte • Desenvolvimento • Ex-Hackers • Administrativa • Processos / Auditoria / Legislação • Elaboração de Políticas e Processos • Análise de Riscos

  14. Perfil • Principaiscaracterísticas do profissional • Formaçãoacadêmica • Graduação e Pós-Graduação • Conhecimentostécnicos • S.O., Hardware, Rede, Ferramentas, Tecnologias e Normas • CertificaçõesProfissionais • Entidades de Classe e Fabricantes de Tecnologia • DomíniodaLínguaInglesa • E de preferência de um terceiroidioma • Característicaspessoais

  15. Perfil • Principais características pessoais • Ética • Trabalhar sob pressão • Aceitar desafios • Capacidade de negociação • 3a Pesquisa Módulo-PUC: • “Dentre as características pessoais de maior importância estão o discernimento para lidar com informações conforme o seu grau de sigilo (41,18%), a integração com diversos grupos de trabalho (31%) e a rigidez no cumprimento de normas (14,15%)”

  16. Perfil: Ética Profissional • Comportamento ético é muito importante na profissão • Cargos de confiança • Acesso a informações sigilosas • Participação de investigações e sindicâncias internas • Cuidado com a imagem • Atuar eticamente • Postura ética: mensagens em listas de discussão, Orkut, etc.

  17. Perfil: Códigos de Ética • Netiqueta(RFC1855) • http://www.faqs.org/rfcs/rfc1855.html • Código de ética do ISC2 • https://www.isc2.org/cgi/content.cgi?category=12 • Protectsociety, thecommonwealth, and theinfrastructure. • Acthonorably, honestly, justly, responsibly, and legally. • Providediligent and competentservicetoprincipals. • Advance and protecttheprofession.

  18. Perfil: Redes Sociais • Como se relacionar no mundo online? • Sem o devido cuidado, qualquer texto ou mensagem pode ser armazenado indefinidamente e interpretado de diversas formas no futuro.

  19. Perfil: Redes Sociais • O seu perfil pode ser avaliado a qualquer momento

  20. Perfil: Redes Sociais • O seu perfil pode ser avaliado a qualquer momento

  21. Perfil: Redes Sociais • O seu perfil pode ser avaliado a qualquer momento

  22. Obtendo conhecimento Como começar? • No início, busque conhecimento • Centenas de sites e milhares de artigos de qualidade na Internet • Livros especializados em segurança • Participe de Associações e Grupos de discussão • Aplique segurança no seu negócio e no seu dia-a-dia • Trabalhe como voluntário • Interaja com a área de segurança da sua empresa

  23. Obtendo conhecimento Formação acadêmica • Graduação • Fornece a base para entender segurança • Tecnologia da informação • Matemática • Administração • Direito • Pós-Graduação em Segurança • Foco em Gestão • MBA em Gestão de Segurança da informação • Foco em Tecnologia • Pós-Graduação em Segurança em Redes GNU-Linux e Software Livre

  24. Obtendo conhecimento Outras formas? • Auto-Estudo Portais de Segurançawww.cert.org Cursos e eventos de Segurançawww.sans.orgAcademia de Segurança Microsoft www.technetbrasil.com.br/academia • Intel Next Generation Center • www.nextgenerationcenter.com • Gruposde Estudo (SP, BH e DF)www.yahoogroups.com/group/cisspbr-sp • Fóruns de Discussãoespecializadoswww.yahoogroups.com/group/cisspbr

  25. Obtendo conhecimento Certificações em Segurança • Vendors: Certificações em que os fabricantes (vendors) atestam o conhecimento específico em sua tecnologia ou produto. • Vendor-Neutral: Certificações em que associações atestam o conhecimento em conceitos ou habilidades, sem relacionar tecnologias ou produtos.

  26. Obtendo conhecimento Certificações em Segurança • CISSP - Certified Information System Security Professional • http://www.isc2.org/ • SSCP - Systems Security Certified Practitioner • http://www.isc2.org/ • CIW - Security Professional • http://www.ciwcertified.com/ • GSEC - GIAC Security Engineer • http://www.giac.org/ • RSA Certified Security Professional (CSE/CA/CI) • http://www.rsa.com/ • CompTIA Security+ • http://www.comptia.org/ • CCSA - Check Point Certified Security Administrator • http://www.checkpoint.com/ • CCSE - Check Point Certified Security Engineer • http://www.checkpoint.com/ • MCSE - Microsoft Certified Systems Engineer: Security • http://www.microsoft.com/brasil/certifique • CISA - CertifiedInformation Systems Auditor • http://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=9

  27. Obtendo conhecimento Certificações em Segurança • CCSP - Cisco Certified Security Professional • http://www.cisco.com/ • NSCP - Network Security Certified Professional • http://www.nscpcertification.org/ • SCNA - Security Certified Network Architect • http://www.securitycertified.net/ • SCNP - Security Certified Network Professional • http://www.securitycertified.net/ • TICSA - TruSecure ICSA Certified Security Associate • http://ticsa.trusecure.com/ • ISFS (Information Security Foundation Based on ISO/IEC 27002) • http://www.exin-exams.com/Exams/Exam%20program/ISO%20IEC%2027000/ISFS.aspx • CISM – Certified Information Security Manager • http://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=10 • LPIC – Linux Professional InstituteCertified • http://www.lpibrasil.com.br/ • RHCSS - Red Hat Certified Security Specialist • http://www.redhat.com/certification/ • CEH - Certified Ethical Hacker • http://www.eccouncil.org/ceh.htm

  28. Referências diversas ISSA: www.issa.org e www.issabrasil.org ISACA: www.isaca.org SANS Institute: www.sans.org ISC2:www.isc2.org CERT/CC: www.cert.org cert.br, Cartilha do CERT.BR: cartilha.cert.br Academia Latino-Americana de Segurança da Informação:www.technetbrasil.com.br/academia Módulo Security: www.modulo.com.br CSO Online: www.csoonline.com compTIA: www.comptia.org Grupo de Estudos para a certificação CISSP: br.groups.yahoo.com/group/cisspbr-sp/ Lista SecurityGuys: http://www.yahoogroups.com/group/securityguys Lockabit: http://www.lockabit.coppe.ufrj.br/ Securenet: http://www.securenet.com.br Special Publication 800-100: Information Security Handbook: A Guide for Managershttp://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf (ISC)2’sCareerGuide: https://www.isc2.org/careerguide/default.aspx Principais ferramentas de segurança de rede : http://www.insecure.org/tools.html (ISC)2’s Resource Guide for Today’s Information Security Professional : www.isc2.org/resourceguide

  29. Novo Desafio: SegurançanaNuvem (http://www.cloudsecurityalliance.org/) • Cloud Security Alliance: “Security Guidance for Critical Areas of Focus in Cloud Computing” • Section I. Cloud Architecture • Domain 1: Cloud Computing Architectural Framework • Section II. Governing in the Cloud • Domain 2: Governance and Enterprise Risk Management • Domain 3: Legal and Electronic Discovery • Domain 4: Compliance and Audit Domain 5: Information Lifecycle Management • Domain 6: Portability and Interoperability • Section III. Operating in the Cloud • Domain 7: Traditional Security, Business Continuity, and Disaster Recovery • Domain 8: Data Center Operations • Domain 9: Incident Response, Notification, and Remediation • Domain 10: Application Security • Domain 11: Encryption and Key Management • Domain 12: Identity and Access Management • Domain 13: Virtualization

  30. Agradecimentos • Sérgio Dias, CISSP, Security+, MCSE: Security • AccountTechnologyStrategist • Symantec • César Borges, Especialista • Professor • MBA em Gestão de Segurança da Informação • Vocês • Participantes • Curso de Segurança da Informação

More Related