No dia 24/02 eu estava em SP e pude participar do ISSA day, confesso que apanhei um pouco para entender a palestra em inglês mas no balanço geral, gostei muito.  Depois do evento pensei em escrever este post de como entrar no concorrido mercado de segurança, então abaixo eu listei algumas dicas para ajudar.

A primeira coisa que se deve entender é que a pessoa tem que gostar ou no mínimo estar disposto a deixar de sair, sacrificar final de semana, as vezes a família e amigos para estudar. Isto mesmo que você  leu, se você não gosta de estudar ou não esta disposto a fazer isto, dificilmente você terá sucesso (nesta e em qualquer outra área). Recomendo a leitura OBRIGATÓRIA do artigo “O Perfil do Profissional de Segurança da Informação“.

Outro ponto importante: sem o inglês fica difícil caminhar. Experiência própria. Veja bem, todos os fabricantes de soluções em SI (ou pelo menos a grande maioria ) são de fora do Brasil, as normas brasileiras são baseadas em normas internacionais, os órgãos de certificação e as provas de certificação são em inglês. Não vejo outra saída senão aprender a língua. Mas não é somente o inglês técnico, é inglês de verdade: fluência “verbal e auditiva”.

Certificação: não se iluda, uma certificação NÃO garante o seu emprego, mas garante que você possua um certo nível de conhecimento. Existe muita discussão quanto ao “mal uso” das certificações no processo seletivo por parte das empresas, mas isto é outra história. Sobre qual certificação escolher, eu recomendo que você leia alguns artigos do blog FlipSide: Guia de Certificações em Segurança da Informação – Parte 1, Parte 2a, Parte 2b. Recomendo fortemente a leitura.

Existem outros dois posts que eu recomendo. São do blog My Information Security Job:
7 Things Every Security Professional Should Know e How to Start Your Information Security Career?

E você, tem alguma dica a mais para quem deseja atuar em segurança da informação?

O desenvolvimento e a implantação de uma política segurança da informação em uma empresa é uma importante ferramenta para combater ameaças aos ativos de uma empresa. Lembre-se eu disse combater (minimizar) as ameaças de uma empresa. Uma ilusão de muitos administradores de empresas é que a adoção de ferramentas como antivírus, firewall ou qualquer iniciativa com a finalidade de aumentar a segurança na empresa. Vai garantir a organização 100% de segurança, este é um erro clássico. Mas voltando a nosso tema inicial.

A política de segurança é um conjunto de diretrizes, normas e orientações de procedimentos que visam conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e fornecedores para o uso seguro dos ativos da empresa. Existem muitos fatores que podem definir se uma política de segurança da informação vai ser um sucesso ou não.

A primeira coisa a ser feita é a criação de uma comissão composta por diversos profissionais de diferentes setores da empresa, quanto mais abrangente puder ser esta comissão maior será a divulgação das diretrizes de segurança na empresa. Outro beneficio de uma comissão abrangente, é que como existem profissionais de diversos setores da empresa, estas pessoas trazem consigo os requisitos de segurança dos locais em que eles trabalham.

Mas como definir o tamanho desta comissão? Para responder esta questão deveremos usar o bom senso e analisarmos alguns pontos:

• Qual é o nível de abrangência eu quero/posso ter
• O tamanho da comissão não vai atrapalhar a produtividade da comissão ou a empresa?
• Quem serão as pessoas a serem convidadas a participarem
• Quem são as pessoas chaves do processo de “produção” da empresa?

Depois da criação desta comissão é necessário definir quais os ativos da empresa deve ser protegido e principalmente, qual é o nível de segurança que cada ativo deve ter. Lembrando que ativo é tudo aquilo que tem algum valor para a empresa, como por exemplo, podemos citar as informações estratégicas, equipamentos e seus funcionários.

Esta analise dos riscos de cada ativo deve considerar o impacto no negócio causado por uma falha de segurança e a probabilidade de ocorrência desta falha. Outro fator que deve ser considerado é que esta analise deve ser refeita periodicamente de acordo com o ativo, para que se verifique como esta a situação do risco residual do ativo que pode ter aumento com o surgimento de um novo risco.

Através desta analise é possível definir quais os ativos precisam ser mais protegidos e consequentemente onde será empregado mais dinheiro, lembrando que o custo da proteção do ativo não deve ser maior que o valor financeiro do ativo ou o impacto causado por uma falha de segurança neste ativo.