High Quality
Open the downloaded document, and select print from the file menu (PDF reader required).
O Perfil do Profissional em Segurança da Informação
por Eduardo Vianna de Camargo Neves 30 de janeiro de 2007
Quando comecei minha carreira profissional em 1990, eu trabalhava como desktop publishingque era uma área restrita a quem tinha computadores voltados a este fim e um mínimo deconhecimento de design gráfico. Com o passar dos anos, o desenvolvimento do MS-Windows ea primeira geração de aplicações gráficas para esta plataforma
–
tais como o Corel Draw e oPage Maker
–
surgiram bureaus de edição em cada esquina, e verdadeiras monstruosidadesdo design nasceram. Conceitos básicos de tipografia e uso de cores não eram utilizados e apoluição visual tomou conta de flyers, panfletos, cartazes, revistas, jornais e todo o tipo demídia impressa.Depois de algum tempo o mercado foi se ajeitando, e os profissionais de design tiveram o seuespaço garantido pela competência em suas atividades e o conhecimento teórico necessáriopara fazer um trabalho que equilibrasse forma e função, como deve ser qualquer peça dedesign. Eu acabei entrando em Tecnologia da Informação em 1995 e me aprofundando emSegurança da Informação a partir de 1997, e por menos que esperasse estou vendo novamenteessa nervosa confusão de conceitos acontecer; mas agora é no mercado que empregaprofissionais em Segurança da Informação.Depois de reclamar muito em listas de discussões e papos com amigos que trabalham comRecursos Humanos, decidi escrever este artigo com um ambicioso objetivo; servir dereferência para os profissionais de ambos os lados da negociação de emprego entenderemcomo uma carreira em Segurança da Informação pode ser construída; que requisitos podemser feitos para cada uma das etapas e como um job description pode ser criado para as funções existentes. Note que este artigo é uma tentativa pessoal de fomentar esta discussão epassar da fase de reclamações para uma contribuição aos colegas da área e aqueles quequerem juntar-se a este clube não tão fechado quanto parece.Tenha uma boa leitura, e não esqueça de contribuir com suas críticas, sugestões eexperiências para o e-mail eduardo@camargoneves.com.
CAMARGO NEVES RMSO PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO PÁGINA 2
Definindo os Perfis Profissionais
O que é afinal, Segurança da Informação?Não se preocupe, não vou de forma alguma entrar em discussões teóricas para tentardefinir um conceito tão bem apresentado pelo (ISC)2 e um sem número de autores commuito mais credenciais do que eu. Meu objetivo é definir o que é Segurança da Informaçãodentro do conceito de mercado de trabalho, uma vez que alguns colegas observaram muitobem em listas de discussão onde participo, que parece que todos os profissionais de TIagora trabalham com isso. Talvez seja verdade, e isso é muito bom! Antes de me crucificar por esta exclamação, note que há algum tempo os conceitos deSegurança da Informação têm sido inseridos em diversas disciplinas, o que antes nãoacontecia e nem parecia ser algo à vista mesmo em um horizonte remoto. Atualmente,empresas de software que nada tinham a ver com segurança até alguns anos
–
e até mesmotinham sérios problemas com ela - estão trabalhando forte em iniciativas voltadas adisseminar o uso de conceitos de segurança em quase todas as disciplinas utilizadas em TI.Iniciativas como a Academia Latino Americana de Segurança da Informação e adisseminação no mercado da certificação 100% brasileira Modulo Certified SecurityOfficer, têm contribuído para aos poucos desconstruir a imagem misteriosa da nossaprática e mostrar a sua verdadeira cara; uma disciplina que tem como função equilibrar odesempenho no uso das informações exigido pelo negócio com a segurança entendidacomo adequada por uma Organização ou um órgão/conjunto de normas queregulamentem como ela deva ser tratada.Isto posto, vamos deixar claro que toda pessoa que trabalha com TI hoje em dia tem, comoque como parte de suas competências profissionais, conhecer um mínimo de Segurança daInformação e aplicar os conceitos na sua área de especialização. Escrever um código queminimize o impacto de possíveis falhas, montar uma rede estruturada com previsão decrescimento visando disponibilidade, aplicar mudanças em um software com controle deversões, tudo isso é segurança.É importante saber diferenciar, que pra que estes controles sejam administrados,essencialmente existem duas funções que trabalham juntas nas Organizações, oprofissional de Segurança da Informação que desenvolve e mantém os controles, e oauditor de sistemas que verifica a qualidade destes controles em termo de eficiência,rentabilidade e alinhamento às práticas adotadas pelo mercado (ex. SOX ou ISO/IEC 17799).
CAMARGO NEVES RMSO PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO PÁGINA 3
Para efeitos deste artigo, vamos falar somente sobre o profissional de Segurança daInformação, e defini-lo como uma pessoa voltada a conhecer, pesquisar e aplicar as teoriasde segurança em atividades destinadas exclusivamente para proteger às informações deuma Organização. E estas funções podem ser divididas em pelo menos duas linhas detrabalho diferentes e na maioria das vezes complementares que estão resumidas naspróximas Seções: redes de dados e processos.O Profissional de Segurança em Redes de DadosMuitos que trabalham em Segurança da Informação começam por esta porta de entrada,talvez por ser onde as vulnerabilidades existentes são mais conhecidas e as contramedidasmais vendidas pelos fornecedores de soluções.Normalmente oriundos das funções de analista ou administrador de redes de dados, osprofissionais focados nesta linha de trabalho optam por conhecer profundamente osprotocolos de redes, os conceitos de telecomunicações e o funcionamento não só dosoftware utilizado para administrar uma rede de dados, mas cada vez mais se osconhecimentos sobre o hardware de apoio. (ex. firewalls, switches, roteadores, etc.).O Profissional de Segurança em ProcessosNormalmente são oriundos das áreas de Organização & Métodos, Auditoria ou ciênciasvoltadas ao estudo de processos e desenvolvimento de melhorias, como é comum emequipes de Help Desk ou prestadores de serviços que têm que manter um
Service Level Agreement
(SLA) com seus clientes. Atua em ações de análises de risco, relacionamento dasvulnerabilidades identificadas com o impacto e custos estimados e no desenho geral dassoluções propostas pelos demais profissionais (quando técnicas) ou desenho específicoquando processuais. Normalmente é ele que faz a interface entre TI, Segurança daInformação (quando existe como área independente) e as áreas de negócio.
As Competências em Segurança da Informação
O Nascimento do EnganoO primeiro problema que identifiquei nos recrutamentos feitos pelas empresas deRecursos Humanos, é que os perfis dos profissionais de Segurança da Informação não sãorespeitados nas vagas ou requerimentos para preenchimento destas. Anúncios exigindo damesma pessoa certificações de segurança em redes (ex. Security+), gerenciamento deprojetos (ex. PMP) e Melhores Práticas (ex. COBIT ou ITIL) comprovam claramente a teoriade que as áreas de Recursos Humanos buscam informações em várias fontes e as colocamde forma desconexa no mercado, ou ainda, os gestores que pedem as vagas agem desta
Add a Comment