A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Formação de Gestores e Especialistas em Segurança da Informação.

Apresentações semelhantes


Apresentação em tema: "Formação de Gestores e Especialistas em Segurança da Informação."— Transcrição da apresentação:

1 Formação de Gestores e Especialistas em Segurança da Informação

2 Alex Feleol Pós-Graduando MBA em Gestão de Segurança da Informação Formação de Gestores e Especialistas em Segurança da Informação

3 3 Agenda Conceito Desafios do Profissional de Segurança Perfil do Profissional de Segurança Conhecimentos Valores Redes Sociais Como obter conhecimento Formação e Certificações Entidades de classe Networking

4 Conceito O que é Segurança?

5 5 Desafios do Profissional Associar segurança ao negócio Segurança deve permitir a adoção de novas tecnologias que sejam úteis ao negócio Uso de tecnologias de segurança Legislação e Compliance Auditoria Segurança Física Levar segurança ao usuário final

6 6 Desafios do Profissional Segurança para os usuários finais Normalmente, são considerados o “elo mais fraco” Alvos de Engenharia Social, SPAM e Malwares (vírus, vermes e phishing scam) “Ataque interno” é uma preocupação constante Envolve treinamento e atividades de conscientização Exige capacidade de comunicação

7 7 Desafios: Carreira em Y CSO Gerente Analista Administrador Consultor

8 8 Desafios: Perfis principais Gestor • Foco no Negócio • Gestão de Equipes • Normas e Processos Especialista • Foco na Tecnologia • Gestão de Ferramentas • Procedimentos

9 9 Desafios: Títulos e Cargos Alguns cargos, títulos e funções comuns no mercado: Security specialist Security auditor Security consultant Security administrator Security analyst Security engineer Web security manager Director of security Manager of security Chief privacy officer Chief risk officer Chief Security Officer (CSO) Chief Information Security Officer (CISO)

10 10 Desafios: Títulos e Cargos Média salarial dos profissionais de segurança da informação Cargo Salário (R$) JúniorPlenoSênior Analista de segurança de informações4.406,004.588,006.488,33 Analista segurança de sistemas4.500,006.000,007.000,00 Gerente de segurança de sistemas sr.11.060,0012.192,0014.333,00 Fonte: http://info.abril.com.br/professional/salarios/

11 11 Desafios: Vagas em aberto… Exemplo (Lista SecurityGuys) Analista de Segurança da Informação Sr ou Pl. O profissional deve ter no mínimo 3 anos de experiência na área de Segurança em TI, preferencialmente conhecimento profundo em ambiente Windows, fundamental conhecimentos em ferramentas de segurança como: Firewall, VPN, IDS, AV entre outros Local de trabalho: Rio de Janeiro - Capital Forma de contratação: PJ ou CLT Interessados favor enviar CV para (...)

12 12 Exemplo (Lista SecurityGuys - http://securityguys.com.br/)http://securityguys.com.br/ Especialista em segurança da informação pleno Pleno conhecimento de TCP/IP; Pleno conhecimento de redes virtuais (VPN); Pleno conhecimento de firewalls iptables, CheckPoint e pf. Certificação CCSA ou CCSE desejável; Pleno conhecimento de proxies squid, NetCache e BlueCoat; Pleno conhecimento de redes Microsoft, Active Directory, Domain Controler, LDAP, NTLM; Pleno conhecimento de Linux, Unix. Certificação LPI ou CompTIA desejável; Plena capacidade de redigir documentos técnicos do mais alto padrão para superar as expectativas dos clientes; Capacidade de trabalhar em equipe de forma colaborativa; Buscar obter e compartilhar conhecimento mutuo entre integrantes da equipe; Prioridade em ser comprometido, participando de todas as atividades com outras equipes de infraestrutura; Pleno conhecimento de Gerencia de Projeto, utilizando praticas PMI; Conhecimento de Cobit e ITIL; Inglês avançado. Regime CLT. Desafios: Vagas em aberto…

13 13 Perfil Em sua maioria, os profissionais tem origem e formação de duas formas distintas: Técnica Profissionais de TI Suporte Desenvolvimento Ex-Hackers Administrativa Processos / Auditoria / Legislação Elaboração de Políticas e Processos Análise de Riscos

14 14 Perfil Principais características do profissional Formação acadêmica Graduação e Pós-Graduação Conhecimentos técnicos S.O., Hardware, Rede, Ferramentas, Tecnologias e Normas Certificações Profissionais Entidades de Classe e Fabricantes de Tecnologia Domínio da Língua Inglesa E de preferência de um terceiro idioma Características pessoais

15 15 Perfil Principais características pessoais Ética Trabalhar sob pressão Aceitar desafios Capacidade de negociação 3a Pesquisa Módulo-PUC: “Dentre as características pessoais de maior importância estão o discernimento para lidar com informações conforme o seu grau de sigilo (41,18%), a integração com diversos grupos de trabalho (31%) e a rigidez no cumprimento de normas (14,15%)”

16 16 Perfil: Ética Profissional Comportamento ético é muito importante na profissão Cargos de confiança Acesso a informações sigilosas Participação de investigações e sindicâncias internas Cuidado com a imagem Atuar eticamente Postura ética: mensagens em listas de discussão, Orkut, etc.

17 17 Perfil: Códigos de Ética Netiqueta (RFC1855) http://www.faqs.org/rfcs/rfc1855.html Código de ética do ISC2 https://www.isc2.org/cgi/content.cgi?category=12 Protect society, the commonwealth, and the infrastructure. Act honorably, honestly, justly, responsibly, and legally. Provide diligent and competent service to principals. Advance and protect the profession.

18 18 Perfil: Redes Sociais Como se relacionar no mundo online? Sem o devido cuidado, qualquer texto ou mensagem pode ser armazenado indefinidamente e interpretado de diversas formas no futuro.

19 19 Perfil: Redes Sociais O seu perfil pode ser avaliado a qualquer momento

20 20 Perfil: Redes Sociais O seu perfil pode ser avaliado a qualquer momento

21 21 Perfil: Redes Sociais O seu perfil pode ser avaliado a qualquer momento

22 22 Obtendo conhecimento Como começar? No início, busque conhecimento Centenas de sites e milhares de artigos de qualidade na Internet Livros especializados em segurança Participe de Associações e Grupos de discussão Aplique segurança no seu negócio e no seu dia- a-dia Trabalhe como voluntário Interaja com a área de segurança da sua empresa

23 23 Graduação Fornece a base para entender segurança Tecnologia da informação Matemática Administração Direito Pós-Graduação em Segurança Foco em Gestão MBA em Gestão de Segurança da informação Foco em Tecnologia Pós-Graduação em Segurança em Redes GNU-Linux e Software Livre Obtendo conhecimento Formação acadêmica

24 24 Auto-Estudo Portais de Segurança www.cert.orgwww.cert.org Cursos e eventos de Segurança www.sans.org Academia de Segurança Microsoft www.technetbrasil.com.br/academiawww.sans.org www.technetbrasil.com.br/academia • Intel Next Generation Center www.nextgenerationcenter.com •Grupos de Estudo (SP, BH e DF) www.yahoogroups.com/group/cisspbr-sp www.yahoogroups.com/group/cisspbr-sp •Fóruns de Discussão especializados www.yahoogroups.com/group/cisspbr www.yahoogroups.com/group/cisspbr Obtendo conhecimento Outras formas?

25 25 Vendors: Certificações em que os fabricantes (vendors) atestam o conhecimento específico em sua tecnologia ou produto. Vendor-Neutral: Certificações em que associações atestam o conhecimento em conceitos ou habilidades, sem relacionar tecnologias ou produtos. Obtendo conhecimento Certificações em Segurança

26 26 CISSP - Certified Information System Security Professional http://www.isc2.org/ SSCP - Systems Security Certified Practitioner http://www.isc2.org/ CIW - Security Professional http://www.ciwcertified.com/ GSEC - GIAC Security Engineer http://www.giac.org/ RSA Certified Security Professional (CSE/CA/CI) http://www.rsa.com/ CompTIA Security+ http://www.comptia.org/ CCSA - Check Point Certified Security Administrator http://www.checkpoint.com/ CCSE - Check Point Certified Security Engineer http://www.checkpoint.com/ MCSE - Microsoft Certified Systems Engineer: Security http://www.microsoft.com/brasil/certifique CISA - Certified Information Systems Auditor http://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=9 Obtendo conhecimento Certificações em Segurança

27 27 CCSP - Cisco Certified Security Professional http://www.cisco.com/ NSCP - Network Security Certified Professional http://www.nscpcertification.org/ SCNA - Security Certified Network Architect http://www.securitycertified.net/ SCNP - Security Certified Network Professional http://www.securitycertified.net/ TICSA - TruSecure ICSA Certified Security Associate http://ticsa.trusecure.com/ ISFS (Information Security Foundation Based on ISO/IEC 27002) http://www.exin-exams.com/Exams/Exam%20program/ISO%20IEC%2027000/ISFS.aspx CISM – Certified Information Security Manager http://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=10 LPIC – Linux Professional Institute Certified http://www.lpibrasil.com.br/ RHCSS - Red Hat Certified Security Specialist http://www.redhat.com/certification/ CEH - Certified Ethical Hacker http://www.eccouncil.org/ceh.htm Obtendo conhecimento Certificações em Segurança

28 28 Referências diversas ISSA: www.issa.org e www.issabrasil.orgwww.issa.orgwww.issabrasil.org ISACA: www.isaca.orgwww.isaca.org SANS Institute: www.sans.orgwww.sans.org ISC2:www.isc2.orgwww.isc2.org CERT/CC: www.cert.orgwww.cert.org cert.br, Cartilha do CERT.BR: cartilha.cert.brcartilha.cert.br Academia Latino-Americana de Segurança da Informação: www.technetbrasil.com.br/academia www.technetbrasil.com.br/academia Módulo Security: www.modulo.com.brwww.modulo.com.br CSO Online: www.csoonline.comwww.csoonline.com compTIA: www.comptia.orgwww.comptia.org Grupo de Estudos para a certificação CISSP: br.groups.yahoo.com/group/cisspbr-sp/br.groups.yahoo.com/group/cisspbr-sp/ Lista SecurityGuys: http://www.yahoogroups.com/group/securityguyshttp://www.yahoogroups.com/group/securityguys Lockabit: http://www.lockabit.coppe.ufrj.br/http://www.lockabit.coppe.ufrj.br/ Securenet: http://www.securenet.com.brhttp://www.securenet.com.br Special Publication 800-100: Information Security Handbook: A Guide for Managers http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf (ISC)2’s Career Guide: https://www.isc2.org/careerguide/default.aspxhttps://www.isc2.org/careerguide/default.aspx Principais ferramentas de segurança de rede : http://www.insecure.org/tools.htmlhttp://www.insecure.org/tools.html (ISC)2’s Resource Guide for Today’s Information Security Professional : www.isc2.org/resourceguide www.isc2.org/resourceguide

29 29 Novo Desafio: Segurança na Nuvem Cloud Security Alliance: “Security Guidance for Critical Areas of Focus in Cloud Computing” Section I. Cloud Architecture Domain 1: Cloud Computing Architectural Framework Section II. Governing in the Cloud Domain 2: Governance and Enterprise Risk Management Domain 3: Legal and Electronic Discovery Domain 4: Compliance and Audit Domain 5: Information Lifecycle Management Domain 6: Portability and Interoperability Section III. Operating in the Cloud Domain 7: Traditional Security, Business Continuity, and Disaster Recovery Domain 8: Data Center Operations Domain 9: Incident Response, Notification, and Remediation Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity and Access Management Domain 13: Virtualization (http://www.cloudsecurityalliance.org/)http://www.cloudsecurityalliance.org/

30 30

31 31 Agradecimentos Sérgio Dias, CISSP, Security+, MCSE: Security Account Technology Strategist Symantec César Borges, Especialista Professor MBA em Gestão de Segurança da Informação Vocês Participantes Curso de Segurança da Informação


Carregar ppt "Formação de Gestores e Especialistas em Segurança da Informação."

Apresentações semelhantes


Anúncios Google