Gestores e Especialistas 14/07/2010 4:47 PM Formação de Gestores e Especialistas em Segurança da Informação Slide de tela inicial... © 2007 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países. Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.
Alex Feleol Pós-Graduando MBA em Gestão de Segurança da Informação 14/07/2010 4:47 PM Formação de Gestores e Especialistas em Segurança da Informação Informar o nome da palestra... Se apresentar... Alex Feleol Pós-Graduando MBA em Gestão de Segurança da Informação © 2007 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países. Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.
Agenda Conceito Desafios do Profissional de Segurança 14/07/2010 4:47 PM Agenda Conceito Desafios do Profissional de Segurança Perfil do Profissional de Segurança Conhecimentos Valores Redes Sociais Como obter conhecimento Formação e Certificações Entidades de classe Networking © 2007 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países. Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.
Conceito O que é Segurança? segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio] Antes de falar de Segurança da Informação, vamos definir o que é SEGURANÇA…. Note os termos marcados: Segurança envolve confiança, proteção, RISCO
Desafios do Profissional Associar segurança ao negócio Segurança deve permitir a adoção de novas tecnologias que sejam úteis ao negócio Uso de tecnologias de segurança Legislação e Compliance Auditoria Segurança Física Levar segurança ao usuário final
Desafios do Profissional Segurança para os usuários finais Normalmente, são considerados o “elo mais fraco” Alvos de Engenharia Social, SPAM e Malwares (vírus, vermes e phishing scam) “Ataque interno” é uma preocupação constante Envolve treinamento e atividades de conscientização Exige capacidade de comunicação Os usuários são, normalmente, reconhecidos como o “elo mais fraco” – facilmente são alvo de ataques de engenharia social, ou causam incidente por descuido ou imperícia. Além dos casos de ataques internos por usuários mal intencionados O tratamento diário com usuários é um grande desafio para os profissionais de segurança. Envolve nossa capacidade de comunicação, o uso de campanhas de conscientização e treinamentos específicos, etc
Desafios: Carreira em Y CSO Gerente Consultor Conforme o amadurecimento em sua carreira, o profissional pode, ou não , migrar da área técnica para a area de gestão. Assim, ele pode se tornar um Gestor (Gerente ou CSO) ou se manter como um consultor especializado em segurança (normalmente vai trabalhar em consultorias) Experiência Analista Administrador
Desafios: Perfis principais Gestor Foco no Negócio Gestão de Equipes Normas e Processos Especialista Foco na Tecnologia Gestão de Ferramentas Procedimentos Dependendo do foco profissional, o perfil de atuação será diferente.
Desafios: Títulos e Cargos Alguns cargos, títulos e funções comuns no mercado: Security specialist Security auditor Security consultant Security administrator Security analyst Security engineer Web security manager Director of security Manager of security Chief privacy officer Chief risk officer Chief Security Officer (CSO) Chief Information Security Officer (CISO)
Desafios: Títulos e Cargos Média salarial dos profissionais de segurança da informação Cargo Salário (R$) Júnior Pleno Sênior Analista de segurança de informações 4.406,00 4.588,00 6.488,33 Analista segurança de sistemas 4.500,00 6.000,00 7.000,00 Gerente de segurança de sistemas sr. 11.060,00 12.192,00 14.333,00 Fonte: http://info.abril.com.br/professional/salarios/
Desafios: Vagas em aberto… Exemplo (Lista SecurityGuys) Analista de Segurança da Informação Sr ou Pl. O profissional deve ter no mínimo 3 anos de experiência na área de Segurança em TI, preferencialmente conhecimento profundo em ambiente Windows, fundamental conhecimentos em ferramentas de segurança como: Firewall, VPN, IDS, AV entre outros Local de trabalho: Rio de Janeiro - Capital Forma de contratação: PJ ou CLT Interessados favor enviar CV para (...)
Desafios: Vagas em aberto… Exemplo (Lista SecurityGuys - http://securityguys.com.br/) Especialista em segurança da informação pleno Pleno conhecimento de TCP/IP; Pleno conhecimento de redes virtuais (VPN); Pleno conhecimento de firewalls iptables, CheckPoint e pf. Certificação CCSA ou CCSE desejável; Pleno conhecimento de proxies squid, NetCache e BlueCoat; Pleno conhecimento de redes Microsoft, Active Directory, Domain Controler, LDAP, NTLM; Pleno conhecimento de Linux, Unix. Certificação LPI ou CompTIA desejável; Plena capacidade de redigir documentos técnicos do mais alto padrão para superar as expectativas dos clientes; Capacidade de trabalhar em equipe de forma colaborativa; Buscar obter e compartilhar conhecimento mutuo entre integrantes da equipe; Prioridade em ser comprometido, participando de todas as atividades com outras equipes de infraestrutura; Pleno conhecimento de Gerencia de Projeto, utilizando praticas PMI; Conhecimento de Cobit e ITIL; Inglês avançado. Regime CLT. Tecnologia Negócios
Perfil Em sua maioria, os profissionais tem origem e formação de duas formas distintas: Técnica Profissionais de TI Suporte Desenvolvimento Ex-Hackers Administrativa Processos / Auditoria / Legislação Elaboração de Políticas e Processos Análise de Riscos
Perfil Principais características do profissional Formação acadêmica Graduação e Pós-Graduação Conhecimentos técnicos S.O., Hardware, Rede, Ferramentas, Tecnologias e Normas Certificações Profissionais Entidades de Classe e Fabricantes de Tecnologia Domínio da Língua Inglesa E de preferência de um terceiro idioma Características pessoais É importante lembrar que o domínio de um terceiro idioma já está virando um diferencial importante (inglês, francês, mandarim) Segundo o CARRER GUIDE da ISC2, os principais Education Options/Requirements são ª Associate Degree for systems administrators ª B.A. in information technology or related field for analyst, engineer or manager ª B.S. in computer science or equivalent for analyst, engineer or manager ª M.S. or M.A. for director ª Ph.D. for professor, researcher, advanced developer ª Vendor-specific and vendor-neutral credentials
Perfil Principais características pessoais 3a Pesquisa Módulo-PUC: Trabalhar sob pressão Aceitar desafios Capacidade de negociação 3a Pesquisa Módulo-PUC: “Dentre as características pessoais de maior importância estão o discernimento para lidar com informações conforme o seu grau de sigilo (41,18%), a integração com diversos grupos de trabalho (31%) e a rigidez no cumprimento de normas (14,15%)” Quais as Características pessoais mais importantes para desempenhar a profissão ? Acredito que as principais são as seguintes: Ética Coragem para Aceitar novos desafios Capacidade de Trabalhar sob pressão Capacidade de negociação
Perfil: Ética Profissional Comportamento ético é muito importante na profissão Cargos de confiança Acesso a informações sigilosas Participação de investigações e sindicâncias internas Cuidado com a imagem Atuar eticamente Postura ética: mensagens em listas de discussão, Orkut, etc. Normalmente as funções de Segurança estão associadas a cargos de confiança da compania, pelo poder de acesso a informações sigilosas, dados confidenciais e registros de atividades dos funcionários (logs). Por isso, é importante que o profissional preserve sua imagem atuando eticamente.
Perfil: Códigos de Ética Netiqueta (RFC1855) http://www.faqs.org/rfcs/rfc1855.html Código de ética do ISC2 https://www.isc2.org/cgi/content.cgi?category=12 Protect society, the commonwealth, and the infrastructure. Act honorably, honestly, justly, responsibly, and legally. Provide diligent and competent service to principals. Advance and protect the profession. Não existe um código de ética específico para a profissão. Entretanto, existem algumas fontes ou entidades que nos podem fornecer alguns guidelines. Aqui destacamos duas: A “Netiqueta”, que foi publicada em 1995 como RFC (Request For Comments) de número 1855 e contém várias regras básicas sobre bom comportamento no mundo online - principalmente na comunicação um-a-um (email, chat, etc) e na comunicação um-para-vários (listas de discussão)
Perfil: Redes Sociais Como se relacionar no mundo online? Sem o devido cuidado, qualquer texto ou mensagem pode ser armazenado indefinidamente e interpretado de diversas formas no futuro. num ambiente “virótico” como é a Internet e onde tudo circula, uma mensagem pode ser interpretada de diversas formas: fora de seu contexto, com uma simples interpretação errada, etc Assim, cuidado com o que você escreve em emails, listas de discussões, blogs, chats, etc.
Perfil: Redes Sociais O seu perfil pode ser avaliado a qualquer momento Aqui tem exemplos de comunidades no Orkut relacionados a crimes (Carder = roubo de cartão; Cannabis Club = apologia as drogas) e a outros assuntos polêmicos.
Perfil: Redes Sociais O seu perfil pode ser avaliado a qualquer momento Aqui tem exemplos de comunidades no Orkut relacionados a crimes (Carder = roubo de cartão; Cannabis Club = apologia as drogas) e a outros assuntos polêmicos.
Perfil: Redes Sociais O seu perfil pode ser avaliado a qualquer momento Por outro lado, participar de comunidades associadas a sua profissão ou que mostrem que você tem qualidades positivas pode mostrar que você é uma pessoa ética, correta. Entre as qualidades positivas, podemos incluir ser pessoa ativa, que pratique esportes, participe de projetos beneficientes e voluntários, etc. Também é positivo participar de comunidades associadas a sua formação pessoal e profissional (faculdades, cursos, certificações, etc).
Obtendo conhecimento Como começar? No início, busque conhecimento Centenas de sites e milhares de artigos de qualidade na Internet Livros especializados em segurança Participe de Associações e Grupos de discussão Aplique segurança no seu negócio e no seu dia-a-dia Trabalhe como voluntário Interaja com a área de segurança da sua empresa
Obtendo conhecimento Formação acadêmica Graduação Fornece a base para entender segurança Tecnologia da informação Matemática Administração Direito Pós-Graduação em Segurança Foco em Gestão MBA em Gestão de Segurança da informação Foco em Tecnologia Pós-Graduação em Segurança em Redes GNU-Linux e Software Livre A formação acadêmica é um elemento muito importante na qualificação de um profissinal – para qualquer área de atuação, profissão, etc. Para a composição do perfil ideal do profissional de segurança, a formação acadêmica lhe fornece a base de conhecimentos em sua área de atuação (TI, direito, etc), e existem cusros de pós-graduação em segurança que vão tornar este profissional um especialista na área.
Obtendo conhecimento Outras formas? Auto-Estudo Portais de Segurança www.cert.org Cursos e eventos de Segurança www.sans.org Academia de Segurança Microsoft www.technetbrasil.com.br/academia Outras formas de aprendizagem e crescimento profissional se dão através do auto-estudo: seja consultando sites especializados, participando de cursos e eventos da área (incluindo a academia de segurança da microsoft – gratuita e de excelente qualidade), participanto de grupos de estudos específicos com outros profissionais de segurança e, também, através de listas e fóruns de discussão. Intel Next Generation Center www.nextgenerationcenter.com Grupos de Estudo (SP, BH e DF) www.yahoogroups.com/group/cisspbr-sp Fóruns de Discussão especializados www.yahoogroups.com/group/cisspbr
Obtendo conhecimento Certificações em Segurança Vendors: Certificações em que os fabricantes (vendors) atestam o conhecimento específico em sua tecnologia ou produto. Vendor-Neutral: Certificações em que associações atestam o conhecimento em conceitos ou habilidades, sem relacionar tecnologias ou produtos.
Obtendo conhecimento Certificações em Segurança CISSP - Certified Information System Security Professional http://www.isc2.org/ SSCP - Systems Security Certified Practitioner CIW - Security Professional http://www.ciwcertified.com/ GSEC - GIAC Security Engineer http://www.giac.org/ RSA Certified Security Professional (CSE/CA/CI) http://www.rsa.com/ CompTIA Security+ http://www.comptia.org/ CCSA - Check Point Certified Security Administrator http://www.checkpoint.com/ CCSE - Check Point Certified Security Engineer MCSE - Microsoft Certified Systems Engineer: Security http://www.microsoft.com/brasil/certifique CISA - Certified Information Systems Auditor http://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=9
Obtendo conhecimento Certificações em Segurança CCSP - Cisco Certified Security Professional http://www.cisco.com/ NSCP - Network Security Certified Professional http://www.nscpcertification.org/ SCNA - Security Certified Network Architect http://www.securitycertified.net/ SCNP - Security Certified Network Professional TICSA - TruSecure ICSA Certified Security Associate http://ticsa.trusecure.com/ ISFS (Information Security Foundation Based on ISO/IEC 27002) http://www.exin-exams.com/Exams/Exam%20program/ISO%20IEC%2027000/ISFS.aspx CISM – Certified Information Security Manager http://www.isaca.org.br/novoportal/modules/xt_conteudo/index.php?id=10 LPIC – Linux Professional Institute Certified http://www.lpibrasil.com.br/ RHCSS - Red Hat Certified Security Specialist http://www.redhat.com/certification/ CEH - Certified Ethical Hacker http://www.eccouncil.org/ceh.htm
Referências diversas ISSA: www.issa.org e www.issabrasil.org ISACA: www.isaca.org SANS Institute: www.sans.org ISC2:www.isc2.org CERT/CC: www.cert.org cert.br, Cartilha do CERT.BR: cartilha.cert.br Academia Latino-Americana de Segurança da Informação: www.technetbrasil.com.br/academia Módulo Security: www.modulo.com.br CSO Online: www.csoonline.com compTIA: www.comptia.org Grupo de Estudos para a certificação CISSP: br.groups.yahoo.com/group/cisspbr-sp/ Lista SecurityGuys: http://www.yahoogroups.com/group/securityguys Lockabit: http://www.lockabit.coppe.ufrj.br/ Securenet: http://www.securenet.com.br Special Publication 800-100: Information Security Handbook: A Guide for Managers http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf (ISC)2’s Career Guide: https://www.isc2.org/careerguide/default.aspx Principais ferramentas de segurança de rede : http://www.insecure.org/tools.html (ISC)2’s Resource Guide for Today’s Information Security Professional : www.isc2.org/resourceguide
Novo Desafio: Segurança na Nuvem (http://www.cloudsecurityalliance.org/) Cloud Security Alliance: “Security Guidance for Critical Areas of Focus in Cloud Computing” Section I. Cloud Architecture Domain 1: Cloud Computing Architectural Framework Section II. Governing in the Cloud Domain 2: Governance and Enterprise Risk Management Domain 3: Legal and Electronic Discovery Domain 4: Compliance and Audit Domain 5: Information Lifecycle Management Domain 6: Portability and Interoperability Section III. Operating in the Cloud Domain 7: Traditional Security, Business Continuity, and Disaster Recovery Domain 8: Data Center Operations Domain 9: Incident Response, Notification, and Remediation Domain 10: Application Security Domain 11: Encryption and Key Management Domain 12: Identity and Access Management Domain 13: Virtualization
Agradecimentos Sérgio Dias, CISSP, Security+, MCSE: Security 14/07/2010 4:47 PM Agradecimentos Sérgio Dias, CISSP, Security+, MCSE: Security Account Technology Strategist Symantec César Borges, Especialista Professor MBA em Gestão de Segurança da Informação Vocês Participantes Curso de Segurança da Informação © 2007 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países. Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.