Sem mais delongas, segue abaixo o artigo…..

Bom profissional

Seis questões que diferenciam bons e maus profissionais de segurança. Por Denny Roger

Certificações e referências ajudam a arranjar emprego, mas não garantem habilidade do profissional de segurança.

Recebo diversos e-mails todos os dias solicitando indicações sobre cursos e certificações na área de segurança da informação. As respostas que envio por e-mails ou apresento durante uma palestra são sempre polêmicas, especialmente quando estou em alguma instituição de ensino. Vamos entender melhor o que realmente acontece na prática.

Estive conversando com dois colegas sobre como conseguir um bom emprego. Um dos pontos discutidos foi como o entrevistador consegue avaliar os conhecimentos do candidato. O assunto surgiu porque percebemos que muitos profissionais ocupam cargos na área de tecnologia da informação sem terem o perfil necessário para exercer a função.

Em muitos casos, a culpa não é do profissional que está exercendo a função e sim da pessoa que o contratou. Esta pessoa pode não possuir o conhecimento necessário para avaliar o perfil do profissional. Existe também outra situação na qual o empregador avalia o conhecimento do candidato através das indicações e das certificações.

Veja os erros e acertos na escolha de profissionais segurança da informação:

1) Referências
A indicação não funciona porque o candidato à vaga pode fornecer o contato de um amigo ou parente como referência. É óbvio que o amigo ou parente irá fornecer boas referências. E isso ocorre com muita frequência no Brasil.

2) Certificações
O mercado exige que você tenha determinadas certificações. Caso você queira conseguir um emprego ou ganhar um aumento no salário, basta estudar e ser aprovado em algumas provas (por exemplo, CISSP).

3) Só no papel
Muitos profissionais são certificados porque a empresa pagou ou exigiu que o funcionário tivesse a certificação.

Existem diversos casos onde o profissional é certificado em uma determinada tecnologia, mas atua em outra área. Por exemplo, um dos nossos colegas de trabalho conseguiu recentemente a certificação CCIE (Cisco Certified Internetwork Expert). Porém, este profissional atua com sistemas Windows – possui experiência em uma área, mas é certificado em outra. Este colega só “buscou” a certificação por solicitação da empresa.

4) Teoria e prática
A certificação prova que a pessoa tem capacidade de aprender sobre algum assunto. A certificação não prova que a pessoa está preparada para exercer uma determinada função na área de segurança.

5) Atualização constante
A tecnologia evolui muito mais rápido do que qualquer curso ou certificação. Na área de segurança da informação estamos aprendendo coisas novas todos os dias. Os cursos e certificações ficam ultrapassados muito rápido.

6) Habilidade
O mais importante é a sua capacidade em resolver problemas e criar estratégias pró-ativas contra as novas ameaças. As certificações não irão lhe ajudar no momento em que o seu ambiente computacional estiver sofrendo um novo tipo de ataque.

Mortais e imortais
A área de recursos humanos e até mesmo o entrevistador técnico precisam entender que existem os imortais e os mortais de segurança e tecnologia da informação.

Os imortais são as pessoas que conseguem comprovar a sua experiência e são reconhecidos pela comunidade de segurança ou tecnologia da informação. São pessoas que compartilham o seu conhecimento com os seus colegas de trabalho, ministram palestras, desenvolvem cursos, escrevem artigos, participam de grupos de discussão etc.

Os mortais são as pessoas que têm como objetivo possuir algum tipo de certificação para tentar diferenciar-se no mercado de trabalho.

Fonte: http://blog.dennyroger.com.br/2009/02/27/bom-profissional/

O desenvolvimento e a implantação de uma política segurança da informação em uma empresa é uma importante ferramenta para combater ameaças aos ativos de uma empresa. A política de segurança é um conjunto de diretrizes, normas e orientações de procedimentos que visam conscientizar e orientar os funcionários, clientes, parceiros, colaboradores e fornecedores para o uso seguro dos ativos da empresa. Existem muitos fatores que podem definir se uma política de segurança da informação vai ser um sucesso ou não.

A primeira coisa a ser feita é a criação de uma comissão composta por diversos profissionais de diferentes setores da empresa, quanto mais abrangente puder ser esta comissão maior será a divulgação das diretrizes de segurança na empresa. Outro beneficio de uma comissão abrangente, é que como existem profissionais de diversos setores da empresa, estas pessoas trazem consigo os requisitos de segurança dos locais em que eles trabalham.

Depois da criação desta comissão é necessário definir quais os ativos da empresa deve ser protegido e principalmente, qual é o nível de segurança que cada ativo deve ter. Esta analise dos riscos de cada ativo deve considerar o impacto no negócio causado por uma falha de segurança e a probabilidade de ocorrência desta falha. Outro fator que deve ser considerado é que esta analise deve ser refeita periodicamente de acordo com o ativo, para que se verifique como esta a situação do risco residual do ativo que pode ter aumento com o surgimento de um novo risco.

Através desta analise é possível definir quais os ativos precisam ser mais protegidos e consequentemente onde será empregado mais dinheiro, lembrando que o custo da proteção do ativo não deve ser maior que o valor financeiro do ativo ou o impacto causado por uma falha de segurança neste ativo.

Com os ativos e seus respectivos riscos definidos, passamos para a seleção dos controles. Lembramos que a seleção dos controles varia de acordo com a necessidade de cada empresa e que estes controles não ira eliminar os riscos, mas reduzi-los para um percentual aceitável.

Existem 11 ( onze ) seções com diversos controles que podem ser selecionados para ser implementado na norma, são eles:

1. Política de segurança. Tem como objetivo trazer uma orientação e o apoio da direção para a segurança da informação. Este apoio da direção se tornará indispensável durante a implementação da norma na empresa, pois isto acarretará mudança de hábitos pessoais e até mesmo uma mudança na cultura da empresa e no seu relacionamento com clientes e fornecedores.

2. Segurança organizacional. Tem dois objetivos; gerenciar a segurança da informação na empresa, através da atribuição de responsabilidades relacionadas com a segurança da informação, criação de um grupo responsável pela coordenação da segurança da informação da empresa. Além de tratar da segurança da informação no relacionamento da empresa com as partes externas como clientes, fornecedores ou empresas terceirizadas.

3. Gestão de ativos. Define os responsáveis pelos ativos da empresa, definindo o uso aceitável daquele ativo, outro ponto abordado neste controle é a classificação das informações. Nesta classificação define-se a classificação de uma informação de acordo com o seu valor e sua sensibilidade para a organização.

4. Segurança em recursos humanos. Possui como objetivo garantir a segurança da informação em três momentos diferentes da “vida” profissional do funcionário na empresa, que é antes da contratação, durante a contratação e no encerramento ou mudança de contratação. Entre alguns dos controles desta sessão esta a definição de papeis e responsabilidades antes da contratação, a definição do processo e de como a disciplina será realizada caso o funcionário viole as normas de segurança da empresa.

5. Segurança física e do ambiente. Prevê a criação de controles para criação e controle de áreas seguras e da segurança em equipamentos. Como exemplo podemos citar os controles. Segurança em salas, escritórios e instalações, que define medidas para estabelecimento de uma segurança física nas dependências da empresa ou ainda o controle que define regras para ser aplicadas em cabeamento que exista dentro da empresa.

6. Gerenciamento das operações e comunicações. Possui 10 ( dez ) objetivos que abrange situações como manuseio de mídias, gerenciamento de serviços de terceirizados, gerenciamento de segurança de rede e proteção contra códigos maliciosos entre outros.

7. Controle de acesso. Possui controles que prevêem todos os tipos de acesso que funcionários, terceiros e fornecedores possam ter com relação aos ativos da empresa. Seja acesso à rede, ao sistema operacional, a alguma aplicação ou ate mesmo um acesso remoto. Definição de políticas de controle de acesso, gerenciamento de senhas de usuário, controle de roteamento de rede, são alguns exemplos de controles abordados por esta sessão.

8. Aquisição, desenvolvimento e manutenção de sistemas de informação. Cuida para que qualquer sistema que venha a ser desenvolvido pela empresa ou por terceiros bem como a aquisição ou os contratos de manutenção possa ser feito de forma segura para a empresa reduzindo os riscos que aquele processo prejudique de alguma forma o nível de segurança já existente.

9. Gerenciamento de incidentes de segurança da informação. Abrange controles que cuidam da empresa caso ela sofra um incidente de segurança que está previsto ou não. Além de buscar um aprendizado com os incidentes que não estavam previsto, faz parte desta sessão o processo de coleta de evidencias ou, por exemplo, o processo de notificação de um evento de segurança na empresa.

10. Gestão de continuidade de negocio. Esta sessão prevê a criação de um plano de restabelecimento do negocio caso haja um incidente de segurança que interrompa o curso normal do negocio. Essa sessão é uma tentativa de não interromper as atividades do negocio e proteger processos críticos contra efeitos de falhas.

11. Conformidade e controles. Busca verificar a conformidade legal e técnica da organização e de evidencias das auditorias feitas para garantia destas conformidades.

Apesar de existirem inúmeros controles nem todos podem ser aplicados na política. A definição de quais controles será aplicada à política da empresa, dependerá principalmente de quais ativos a empresa deseja proteger e qual deve ser o nível desta proteção. Lembrando que quanto mais ativos ou quanto maior é o nível de segurança requerido pelo ativo maior será o custo total do projeto.

Mas existem controles que são essenciais em qualquer política são os seguintes controles:

• Direito de propriedade intelectual. Controle que tenta evitar a quebra de copyright, como exemplo podemos citar a utilização de um software sem a devida licença.
• Cuidados com os registros da organização. Podemos incluir a prevenção contra a perca, destruição e falsificação dos registros, retenção, armazenamento e descarte da informação. Uma situação que este controle abrange, por exemplo, é o descarte de HD’s da empresa, como ele deve ser feito para que não vá nenhuma informação junto com o equipamento.
• Proteção dos dados e o direito a privacidade das informações pessoais. Muitas das informações que existem na empresa são informações pessoais dos funcionários, estas informações podem ser utilizada pela empresa mas existem algumas restrições impostas pelas leis. Estas restrições devem ser observadas pela empresa para que não haja por fora da leis e assim posteriormente venha a sofrer alguma multa, processo por parte de algum funcionário ou ate mesmo prejuízo de sua imagem.

A fase de análise de soluções, seja de hardware ou software, é uma fase critica. Por ser necessário que se escolham soluções que traga um nível de segurança proposto na política sem diminuir o nível de funcionalidade da rede, mas que seu custo de implantação não ultrapasse o valor disponível para o projeto.

Um dos fatores que também deve ser analisado durante o processo de desenvolvimento da política é a linguagem que será usada, pois a política deve ser um documento claro e fácil de entender para pessoas que não atuam na área de segurança. Se houver falha nesta comunicação, acarretara dificuldades durante o processo de implantação, pois os usuários não vão saber o que a política estabelece.

Outro fator importante para o sucesso da política e como ela será divulgada para os usuários, se haverá palestras, se algum treinamento deverá ser realizado. Existe a necessidade de mostrar aos usuários que as práticas propostas na política devem ser cumpridas e que a participação dele é muito importante para que a empresa possa desfrutar do nível de segurança que a política desenvolvida propõe.

Após a implantação da política, para que ela continue sendo satisfatória para a empresa, ou melhor, para que com o tempo ela não se torne desatualizada, é necessário implantar controles de melhoria continua da política. Empresas costumam realizar revisões periódicas em suas políticas, outra necessidade é que seja feita uma revisão sempre que acontece uma falha de segurança de nível médio ou grave.

Além da norma há também a necessidade de se atualizar os treinamentos dos usuários para facilitar o entendimento e a comunicação.

Referências

www.clavis.com.br, Acessado em 10/08/08

HEICKEL, Dalila. Normas e procedimentos de segurança da informação – Florianópolis:SENAI/SC, 2008

ABNT, NBR ISSO/IEC 17799 Tecnologia da informação – Código de prática para a gestão da segurança da informação, Rio de Janeiro, 2001