o perfil do profissional em segurança da informação 2007

O PERFIL DO PROFISSIONAL EM SEGURANÇA DA INFORMAÇÃO

por Eduardo V. C. Neves

Quando comecei minha carreira profissional em 1990, eu trabalhava como desktop publishing que era uma área restrita a quem tinha computadores voltados a este fim e um mínimo de conhecimento de design gráfico. Com o passar dos anos, o desenvolvimento do MS-Windows e a primeira geração de aplicações gráficas para esta plataforma – tais como o Corel Draw e o Page Maker – surgiram bureaus de edição em cada esquina, e verdadeiras monstruosidades do design nasceram. Conceitos básicos de tipografia e uso de cores não eram utilizados e a poluição visual tomou conta de flyers, panfletos, cartazes, revistas, jornais e todo o tipo de mídia impressa.

Depois de algum tempo o mercado foi se ajeitando, e os profissionais de design tiveram o seu espaço garantido pela competência em suas atividades e o conhecimento teórico necessário para fazer um trabalho que equilibrasse forma e função, como deve ser qualquer peça de design. Eu acabei entrando em Tecnologia da Informação em 1995 e me aprofundando em Segurança da Informação a partir de 1997, e por menos que esperasse estou vendo novamente essa nervosa confusão de conceitos acontecer; mas agora é no mercado que emprega profissionais em Segurança da Informação.

Depois de reclamar muito em listas de discussões e papos com amigos que trabalham com Recursos Humanos, decidi escrever este artigo com um ambicioso objetivo; servir de referência para os profissionais de ambos os lados da negociação de emprego entenderem como uma carreira em Segurança da Informação pode ser construída; que requisitos podem ser feitos para cada uma das etapas e como um job description pode ser criado para as funções existentes. Note que este artigo é uma tentativa pessoal de fomentar esta discussão e passar da fase de reclamações para uma contribuição aos colegas da área e aqueles que querem juntar-se a este clube não tão fechado quanto parece.

Tenha uma boa leitura, e não esqueça de contribuir com suas críticas, sugestões e experiências para o e-mail [email protected].

PUBLICADO EM 30/01/2007 WWW.CAMARGONEVES.COM PÁGINA 1

mailto:[email protected]

http://www.camargoneves.com/



Definindo os Perfis Profissionais

O que é afinal, Segurança da Informação?Não se preocupe, não vou de forma alguma entrar em discussões teóricas para tentar definir um conceito tão bem apresentado pelo (ISC)2 e um sem número de autores com muito mais credenciais do que eu. Meu objetivo é definir o que é Segurança da Informação dentro do conceito de mercado de trabalho, uma vez que alguns colegas observaram muito bem em listas de discussão onde participo, que parece que todos os profissionais de TI agora trabalham com isso. Talvez seja verdade, e isso é muito bom!

Antes de me crucificar por esta exclamação, note que há algum tempo os conceitos de Segurança da Informação têm sido inseridos em diversas disciplinas, o que antes não acontecia e nem parecia ser algo à vista mesmo em um horizonte remoto. Atualmente, empresas de software que nada tinham a ver com segurança até alguns anos– e até mesmo tinham sérios problemas com ela - estão trabalhando forte em iniciativas voltadas a disseminar o uso de conceitos de segurança em quase todas as disciplinas utilizadas em TI.

Iniciativas como a Academia Latino Americana de Segurança da Informação e a disseminação no mercado da certificação 100% brasileira Modulo Certified Security Officer, têm contribuído para aos poucos desconstruir a imagem misteriosa da nossa prática e mostrar a sua verdadeira cara; uma disciplina que tem como função equilibrar o desempenho no uso das informações exigido pelo negócio com a segurança entendida como adequada por uma Organização ou um órgão/conjunto de normas que regulamentem como ela deva ser tratada.

Isto posto, vamos deixar claro que toda pessoa que trabalha com TI hoje em dia tem, como que como parte de suas competências profissionais, conhecer um mínimo de Segurança da Informação e aplicar os conceitos na sua área de especialização. Escrever um código que minimize o impacto de possíveis falhas, montar uma rede estruturada com previsão de crescimento visando disponibilidade, aplicar mudanças em um software com controle de versões, tudo isso é segurança.

É importante saber diferenciar, que pra que estes controles sejam administrados, essencialmente existem duas funções que trabalham juntas nas Organizações, o profissional de Segurança da Informação que desenvolve e mantém os controles, e o auditor de sistemas que verifica a qualidade destes controles em termo de eficiência, rentabilidade e alinhamento às práticas adotadas pelo mercado (ex. SOX ou ISO/IEC 17799).

Para efeitos deste artigo, vamos falar somente sobre o profissional de Segurança da Informação, e defini-lo como uma pessoa voltada a conhecer, pesquisar e aplicar as teorias de segurança em atividades destinadas exclusivamente para proteger às informações de uma Organização. E estas funções podem ser divididas em pelo menos duas linhas de trabalho diferentes e na maioria das vezes complementares que estão resumidas nas próximas Seções: redes de dados e processos.





O Profissional de Segurança em Redes de DadosMuitos que trabalham em Segurança da Informação começam por esta porta de entrada, talvez por ser onde as vulnerabilidades existentes são mais conhecidas e as contramedidas mais vendidas pelos fornecedores de soluções.

Normalmente oriundos das funções de analista ou administrador de redes de dados, os profissionais focados nesta linha de trabalho optam por conhecer profundamente os protocolos de redes, os conceitos de telecomunicações e o funcionamento não só do software utilizado para administrar uma rede de dados, mas cada vez mais se os conhecimentos sobre o hardware de apoio. (ex. firewalls, switches, roteadores, etc.).

O Profissional de Segurança em ProcessosNormalmente são oriundos das áreas de Organização & Métodos, Auditoria ou ciências voltadas ao estudo de processos e desenvolvimento de melhorias, como é comum em equipes de Help Desk ou prestadores de serviços que têm que manter um Service Level Agreement (SLA) com seus clientes. Atua em ações de análises de risco, relacionamento das vulnerabilidades identificadas com o impacto e custos estimados e no desenho geral das soluções propostas pelos demais profissionais (quando técnicas) ou desenho específico quando processuais. Normalmente é ele que faz a interface entre TI, Segurança da Informação (quando existe como área independente) e as áreas de negócio.

As Competências em Segurança da Informação

O Nascimento do EnganoO primeiro problema que identifiquei nos recrutamentos feitos pelas empresas de Recursos Humanos, é que os perfis dos profissionais de Segurança da Informação não são respeitados nas vagas ou requerimentos para preenchimento destas. Anúncios exigindo da mesma pessoa certificações de segurança em redes (ex. Security+), gerenciamento de projetos (ex. PMP) e Melhores Práticas (ex. COBIT ou ITIL) comprovam claramente a teoria de que as áreas de Recursos Humanos buscam informações em várias fontes e as colocam de forma desconexa no mercado, ou ainda, os gestores que pedem as vagas agem desta forma, o que me parece ainda mais provável uma vez que o consultor de Recursos Humanos dificilmente teria a competência para conhecer estas certificações.

O segundo problema é a dificuldade de definir os critérios que podem diferenciar os níveis de senioridade, e aí vemos os mesmos anúncios pedindo que o candidato tenha quatro anos de experiência – e algumas certificações – para uma vaga de Analista Júnior. Alguns colegas me falam que isso acontece porque o mercado está achatado e as pessoas estão aceitando qualquer oportunidade, o que eu discordo completamente, até porque a Segurança da Informação é uma área crescente que não tem profissionais suficientes para atender a demanda.

Entendo que a origem deste segundo problema, é a dificuldade em se determinar o que cada profissional da área deve fazer de acordo com o seu nível de senioridade e conhecimento técnico. Fazendo uma analogia muito simplista, pedir as mesmas





certificações – ou um bando delas – experiências similares e tempo de estrada bem parecido para um analista de segurança em redes júnior e um analista de processos de segurança pleno (sim, estou falando de um exemplo real) equivale a pedir experiência em combate aéreo para um piloto de teco-teco, afinal tudo é avião, não é mesmo?

A minha contribuição para esta discussão entra neste aspecto, mostrar que as duas linhas de profissionais que apresentei como modelos são preenchidas por pessoas com competências diferentes, perfis específicos em cada uma das linhas e tarefas e responsabilidades que mudam bastante em cada uma das etapas de crescimento profissional.

Definição de CompetênciasCompetências são características que cada ser humano tem e que são utilizadas de forma mais ou menos intensa em cada tipo de função profissional exercida (e ao misturar tudo isso no mesmo saco, nasce o modo errado com o qual os diversos tipos de funções em Segurança da Informação são tratados). Normalmente os estudos de comportamento organizacional dividem-nas em três categorias:

• Individuais: Relacionadas ao comportamento das pessoas e diretamente relacionadas às suas características pessoais constantes e que podem ser trabalhadas para atender às necessidades organizacionais, mas dificilmente poderão ser totalmente alteradas. (ex. Atuação estratégica, Capacidade de decisão, Criatividade, etc.).

• Específicas: Relacionadas às áreas de conhecimento dos empregados, portanto, são adquiridas a partir da interação entre pessoas ou pela aquisição por informação disponível. (ex. Controle de Acesso, Criptografia, Gestão de Riscos, etc.).

• Organizacionais: Relacionadas às competências que a organização reconhecidamente possui e, portanto, depende não somente das pessoas, mas também da gestão que utiliza e da tecnologia que a suporta. (ex. exploração de petróleo em águas profundas na Petrobrás, sistema de logística do Wal-Mart, modelo de VoIp do Skype, etc.).

Os profissionais das três linhas de trabalho apresentadas, devem ter competências das três categorias dentre suas habilidades, porém o quando cada uma destas será exigida nas atividades, é o que irá determinar quais são os requerimentos para cada uma das linhas e para os níveis de experiência exigidos que determinam se um analista ou coordenador, ou gerente – será júnior, pleno ou sênior.

Na aplicação sugerida nas próximas Seções, tive que definir alguns critérios para poder expor minhas idéias de aplicação deste modelo, então foram usadas algumas das competências individuais propostas pelo Behavioural Competency Dictionary, as competências específicas definidas no Common Body of Knowledge do (ISC)2, e como as competências organizacionais variam de acordo com cada Organização, coloquei um nível genérico de conhecimento específico.





As Competências IndividuaisO Behavioural Competency Dictionary apresenta uma série de competências individuais que são utilizadas em vários modelos utilizados por estudos e consultorias focadas em Recursos Humanos. Busquei sintetizar algumas na listagem abaixo, mas recomendo que o link para o dicionário seja seguido e o material apresentado estudado como informação complementar.

• Orientação para Resultados: desenvolve suas atividades de forma eficaz e precisa, buscando melhoria contínua nos processos sem perder o foco do objetivo requisitado. (ex. define metas arrojadas, porém realistas; toma riscos calculados para atingir e superar as metas e toma iniciativas para eliminar a burocracia).

• Criatividade: Incrementa seu desempenho através de inovação e pro atividade. (ex. considera as mudanças como oportunidades e não como ameaças; dedica tempo e recursos para desenvolver e experimentar novas idéias e busca continuamente oportunidades de melhorar o que está estabelecido).

• Foco no Cliente: Age como um parceiro dos clientes externos e internos da Organização. (ex. busca todas as informações necessárias para entender as necessidades de seus clientes; implementa iniciativas para melhorar os resultados dos serviços aos seus clientes e age como um parceiro de negócio interessado em prover as melhores soluções para ambas as partes).

• Capacidade de Análise e Aprendizado: Aprende com suas experiências acertadas e erradas e tem a capacidade de tomas decisões com base em informações limitadas. (ex. seleciona informações relevantes de forma rápida; entende os motivos de sucessos e erros e aprende com esta experiência e entende a essência de assuntos complexos e consegue usa-la em suas atividades). Trabalho em Equipe: Consegue trabalhar de forma eficaz como membro ou líder de uma equipe em sua área ou multifuncional. (ex. escuta e entende as idéias e perspectivas de seus colegas; compartilha conhecimento, informação e aprendizados e promove a cooperação como método de trabalho).

As Competências EspecíficasDefinir as competências específicas de um profissional de Segurança da Informação é uma tarefa ingrata, pelo motivo que apresentei na discussão das Seções I.A e I.B deste artigo, entendo então que uma boa forma de dividi-las é usando o Common Body of Knowledge do (ISC)2 . De acordo com este documento, um profissional da área deve ter conhecimento em 10 domínios que podem ser aprofundados de acordo com sua área de atuação e/ou especialização, conforme simplificado na Tabela A.





Tabela A: Resumo das Competências Específicas com base no CBK do (ISC)2

Competência Descrição Exemplos

Arquitetura Segura Conhecimento dos conceitos, princípios, estruturas e padrões utilizados para desenhar, programar e gerenciar um sistema computacional de forma segura.

Desenho de uma rede de dados que possa equilibrar a manutenção dos níveis de segurança adequados e o nível de desempenho exigido pelo negócio da Organização

Controle de Acesso Conhecimento do conjunto de mecanismos destinados a gerenciar o modo como as pessoas podem acessar e utilizar informações.

Aplicação do Princípio do Menor Privilégio no modo como as pessoas utilizam um Sistema Operacional, Rede de Dados ou Aplicação Corporativa.

Criptografia Conhecimento dos princípios, meios e métodos utilizados para implementar modelos criptográficos como ferramenta de proteção para a segurança das informações de uma Organização.

Aplicar um modelo criptográfico como camada de proteção em um sistema de pagamento que utilize a Internet como meio de transmissão de dados.

Gestão de Riscos Conhecimento das metodologias para identificar os riscos à segurança das informações de uma Organização, dimensionamento do risco relacionado e o desenvolvimento e administração das medidas de redução de risco.

Analisar os riscos existentes em um sistema de e-commerce, dimensionar o custo dos impactos da concretização de uma possível ameaça e trabalhar em conjunto com especialistas de outras áreas para desenvolver, implementar e administrar as medidas de segurança para redução dos riscos possíveis.

Legislação e Investigação

Conhecimento das leis e normas que estão relacionadas à Segurança da Informação e como devem ser utilizadas de forma agregada à Gestão da Segurança da Informação.

Conhecer o necessário do Código Tributário Nacional para determinar o nível de disponibilidade necessário para um sistema de pagamento de impostos e desenvolver as medidas necessárias para garantir a manutenção desta disponibilidade.





Tabela A: Resumo das Competências Específicas com base no CBK do (ISC)2

Competência Descrição Exemplos

Segurança em Aplicações

Conhecimento do que é necessário fazer para criar ou administrar uma Aplicação Corporativa de modo a respeitar os conceitos de confidencialidade, integridade e disponibilidade exigidos pela Organização.

Desenvolvimento de um modelo de segurança aplicado a todo o ciclo de desenvolvimento de uma Aplicação Corporativa (desenho, desenvolvimento, implementação e administração).

Segurança em Processos Operacionais

Conhecimento dos procedimentos que devem ser utilizados para administrar os níveis de segurança em processos operacionais que sejam utilizados no manuseio das informações.

Conhecer e saber aplicar princípios de segurança no ciclo de vida de uma informação e distribuir procedimentos operacionais que suportem este controle em todas as áreas de uma Organização que interajam com este ciclo.

Segurança em Telecomunicações e Redes de Dados

Conhecimento dos modelos de segurança que devem ser aplicados a uma rede de dados para garantir a manutenção dos níveis de segurança esperados por uma Organização.

Desenvolver um modelo de acesso remoto que utilize a Internet como canal de comunicação e mantenha o nível de segurança esperado, tal como uma Virtual Private Network (VPN).

Segurança Física e Ambiental

Conhecimento dos conceitos de segurança física e ambiental que devem ser utilizados como camada de proteção às informações de uma Organização

Saber desenhar os controles de segurança física adequados a um data center de acordo com o seu nível de criticidade para uma Organização.





As Competências OrganizacionaisComo são as competências que diferem de acordo com cada Organização, mas estão baseadas no conhecimento que um profissional tem sobre uma ou mais tecnologias/processos/estratégias particulares de uma Organização. Pela dificuldade de limitar estas em um modelo simplificado, optei por categorizar em três níveis:

• Pouco Conhecimento: conhece superficialmente o modo como a Organização funciona e não tem a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções.

• Conhecimento Mediano: conhece razoavelmente o modo como a Organização funciona e tem a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções com forte suporte externo.

• Conhecimento Profundo: conhece bem o modo como a Organização funciona e tem a capacidade de entender o suficiente dos negócios para aplicar este conhecimento em suas funções com pouco ou nenhum suporte externo.

Aplicação das CompetênciasRelembrando o que escrevi no início deste artigo sobre as diferentes linhas seguidas pelos profissionais de Segurança da Informação, o meu entendimento de como as competências devem ser cobradas nas funções existentes está diretamente relacionado com os tipos de tarefas que serão exigidas do profissional e isso novamente deve ser utilizado quando se define o nível de maturidade profissional requerido.

Nesta Seção, fiz uma análise de como as competências individuais e específicas devem ser cobradas das diferentes linhas, e ao final de cada exposição coloquei um modelo de perfil profissional onde a profundidade de conhecimento das competências organizacionais entra como um dos diferenciadores para posicionamento da função de acordo com a senioridade exigida.

As competências do Profissional de Segurança em Redes de DadosA pessoa que trabalha com Segurança em Redes de Dados, essencialmente é um técnico com uma especialização que se torna mais profunda com o passar dos anos e a obtenção de maturidade profissional proveniente do trabalho com pessoas de outras áreas e vivência em projetos com diferentes objetivos.

No início ele usualmente fica responsável por tarefas menos nobres como a análise de logs, que se por um lado é chatíssimo, no futuro irá dar a base de conhecimento para projetar um sistema de monitoramento de segurança em redes e dimensionar o tamanho de um equipamento que será utilizado para a análise destes logs, por exemplo. Com o avanço na carreira, esta pessoa começa a se envolver em atividades que exigem interação com outros profissionais e o uso de competências adicionais que podem ser obtidas, mas não necessariamente devem fazer parte de seu perfil profissional desde o início.





As Competências IndividuaisEste profissional sempre será confrontado com pedidos de resolução de problemas em prazos impossíveis, uma vez que uma rede de dados é a camada que relaciona os demais serviços de TI de uma Organização e, portanto é considerada um elemento crítico. Isso exige que ele saiba estabelecer prazos que satisfaçam a ansiedade de seus clientes, mas que sejam factíveis, e tome riscos calculados com frequência e sob pressão.

Outros pontos em comum são a capacidades de decisão necessária para separar informações relevantes de uma massa de dados constante e aprender com seus próprios erros, uma vez que a literatura sobre este assunto é sempre incrementada com experiências inusitadas. Estes fatores fazem com que as competências individuais de Orientação para Resultados e Capacidade de Análise e Aprendizado sejam as mais exigidas e devam ser privilegiadas em relação às demais.

Em outras palavras, não entenda que as demais não sejam necessárias em alguns casos, mas não cobre de forma indiscriminada comportamentos relacionados ao Foco no Cliente ou Trabalho em Equipe, exceto em situações onde o uso destas seja realmente relevante para a vaga ou exigidos pela senioridade.

As Competências EspecíficasQuando fiz a prova para obter a certificação CISSP, tive dificuldades nas questões relacionadas a Criptografia, Segurança em Aplicações e Segurança em Telecomunicações e Redes de Dados, e mesmo assim passei, provavelmente por ter ido muito bem nos demais domínios. Isso não me faz um profissional de Segurança da Informação menos competente, mas que deixa claro que assuntos de nível técnico não são a minha especialidade e requerem a ajuda de gente com diferentes especializações.

O mesmo se aplica ao profissional de segurança em redes de dados, o que ele precisa ter conhecimento – e usar com frequência no seu dia-a-dia – são os domínios mais voltados para as suas atividades: Arquitetura Segura, Segurança em Processos Operacionais e Segurança em Telecomunicações e Redes de Dados. Cabe ressaltar que este profissional poderá ainda ter necessidade de usar parcialmente os conceitos de Controle de Acesso e Criptografia, mas que possivelmente serão usados somente em ocasiões particulares.





Modelo de Perfil Profissional

Tabela B: Proposta de Modelo para Analista Júnior em Segurança em Redes de Dados

Descrição Geral Suporte aos analistas plenos nas atividades básicas de segurança em redes de dados com concentração em atividades de análise de informações e produção de relatórios e administração de serviços críticos.

Atividades Comuns Monitoramento e correlação de logs de servidores e hardware de rede relacionado, criação de usuários, controle de acesso em diretórios e demais funções de administração de redes de dados relacionadas à segurança sob supervisão.

Experiência Não é exigida experiência

Formação Acadêmica e Profissional

• Formação Acadêmica: Cursando faculdade de disciplina relacionada à Tecnologia da Informação (ex. Informática ou Redes de Computadores).

• Formação Profissional: Não são exigidos cursos de especialização ou certificações.

Competências • Individuais: Deve ser exigida alta Capacidade de Análise e Aprendizado e média Orientação para Resultados.

• Específicas: Conhecimento mediano de Arquitetura Segura e Segurança em Telecomunicações e Redes de Dados.

• Organizacionais: É necessário ter noção do conhecimento dos negócios e cultura organizacional necessários para serem aplicados em suas atividades.





Tabela C: Proposta de Modelo para Analista Pleno em Segurança em Redes de Dados

Descrição Geral Gestão de analistas juniores nas atividades básicas de segurança em redes de dados, administração e desenvolvimento de controles de segurança, interação com demais profissionais para manutenção de segurança efetiva em todo o ambiente da Organização, processo decisório em atividades de baixa e média responsabilidade, suporte aos analistas seniores nas atividades avançadas de segurança em redes de dados.

Atividades Comuns

Análise de resultados do monitoramento de segurança das redes de dados com definição de ações corretivas, delegação de atividades e supervisão de implementação; administração de sistemas de segurança em redes de dados (ex. firewall e IDS); suporte técnico a testes de penetração; análise de segurança e definição de controles corretivos em componentes e arquitetura de redes de dados.

Experiência Experiência de 2-3 anos em administração de segurança de redes de dados.


• Formação Acadêmica: Faculdade de disciplina relacionada à Tecnologia da Informação (ex. Informática ou Redes de Computadores).

• Formação Profissional: Cursos de especialização de fornecedores (ex. Microsoft, Symantec e Cisco) e certificações técnicas relacionadas à gestão de redes ou básicas em segurança da informação (ex. GIAC GISF ou CompTIA Network+).

Competências • Individuais: Devem ser exigidas alta Capacidade de Análise e Aprendizado e Orientação para Resultados e média Criatividade, Foco no Cliente e Trabalho em Equipe.

• Específicas: Extenso conhecimento de Arquitetura Segura e Segurança em Telecomunicações e Redes de Dados, e médio conhecimento de Controle de Acesso, Gestão de Riscos, Segurança em Aplicações e Segurança em Processos Operacionais.

• Organizacionais: Deve conhecer razoavelmente o modo como a Organização funciona e ter a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções com forte suporte externo.





Tabela D: Proposta de Modelo para Analista Sênior em Segurança em Redes de Dados

Descrição Geral Gestão de analistas plenos nas atividades intermediárias de segurança em redes de dados e delegação de tarefas para distribuição junto às equipes de juniores, definição de controles de segurança, interação e negociação com demais profissionais para manutenção de segurança efetiva em todo o ambiente da Organização, processo decisório em atividades de média e alta responsabilidade, suporte aos gestores nas atividades avançadas de segurança em redes de dados.

Atividades Comuns Definição de controles de segurança em redes com base em administração de protocolos, definição da configuração de equipamentos, desenho da estrutura de redes, dimensionamento de tecnologias e gestão dos processos de monitoramento; execução de testes de penetração e análises de segurança com definição e implementação de controles corretivos em componentes e arquitetura de redes de dados, assim como suporte aos demais profissionais para a extensão da proteção nos demais componentes de segurança da Organização.

Experiência Experiência de 3-4 anos em administração de segurança de redes de dados e gestão de equipes.


• Formação Acadêmica: Faculdade de disciplina relacionada à Tecnologia da Informação (ex. Informática ou Redes de Computadores) e pós-graduação em especialização relacionada (ex. Segurança em Redes de Computadores ou Sistemas Operacionais).

• Formação Profissional: Cursos de especialização de fornecedores (ex. Microsoft, Symantec e Cisco), certificações técnicas relacionadas à gestão de redes (ex. GIAC GISF, CompTIA Security+) ou vendor neutral (ex. SSCP, CISSP e MCSO)

Competências • Individuais: Devem ser exigidas alta Orientação para Resultados, Criatividade, Foco no Cliente, Capacidade de Análise e Aprendizado e Trabalho em Equipe.

• Específicas: Extenso conhecimento de Arquitetura Segura, Controle de Acesso e Segurança em Telecomunicações e Redes de Dados, e médio conhecimento de Criptografia, Gestão de Riscos, Segurança em Aplicações e Segurança em Processos Operacionais.

• Organizacionais: Deve conhecer profundamente o modo como a Organização funciona e ter a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções.





As competências do Profissional de Segurança em ProcessosSe a função de segurança em redes de dados atrai profissionais de outras especializações em TI, o trabalho de segurança em processos ainda é uma grande incógnita para quem está começando na área. Um dos motivos para isso, é que a área de Segurança da Informação está na maioria das empresas, subordinada ao Departamento de TI e com um foco extremo em tecnologia, o que entendo ser um erro.

No Modelo de Gestão de Segurança Integrada que defendo, esta área deve ser independente e tratar de seus próprios objetivos, que incluem muitos aspectos que pouco ou nada tem a ver com tecnologia. Com este cenário, a pessoa que atua em Segurança de Processos normalmente vem das áreas de auditoria, consultoria, O&M ou ainda de áreas técnicas e tem que adaptar suas habilidades, privilegiando as análises processuais. No início, ele atua com levantamentos de processos, suporte a entrevistas, revisão de documentação e demais atividades que não exijam amplo conhecimento, mas a exemplo do profissional da outra linha apresentada, possibilitem agregar novas experiências e vivência para suportar o crescimento de sua carreira.

As Competências IndividuaisÉ comum que este profissional tenha que analisar processos, identificar vulnerabilidades e propor ações corretivas em conjunto com as áreas de negócio e equilibrando os requisitos de segurança e desempenho para a Organização. Isso exige que todas as informações sejam coletadas de fontes diversas para entender profundamente os processos, seus impactos e as áreas que serão envolvidas, o que é parte da essência do Foco no Cliente.

Como as atividades devem sempre incluir o uso da experiência e conhecimento de outros profissionais de Segurança da Informação, buscar oportunidades de melhoria em processos e ter o suporte para usar tempo e recursos na experimentação de novas idéias, a segunda competência individual mais exigida é o Trabalho em Equipe, desejável a maioria dos profissionais e fundamental para este.

As Competências EspecíficasApesar de não ser um técnico, este profissional tem que ter um embasamento mínimo em todos os domínios do CBK, que irão ser aprofundados e possivelmente especializados em dois ou três deles com o passar dos anos. Porém, é fundamental se aprofundar na Gestão de Riscos e Segurança em Processos Operacionais na maioria dos casos, e buscar um entendimento mais específico em Legislação e Investigação, Planejamento para Continuidade de Negócios e Recuperação de Desastres e Segurança Física e Ambiental em casos particulares.





Modelo de Perfil Profissional

Tabela E: Proposta de Modelo para Analista Júnior em Segurança de Processos

Descrição Geral Suporte aos analistas plenos nas atividades básicas de segurança em processos com concentração em atividades de recolhimento de informações, revisão de relatórios e suporte na administração de serviços críticos.

Atividades Comuns Levantamento inicial dos processos em uma Organização, análise da eficácia de processos, revisão de relatórios de auditoria de sistemas ou análise de riscos e acompanhamento do trabalho de analistas plenos.

Experiência Não é exigida experiência


• Formação Acadêmica: Cursando faculdade de disciplina relacionada a Processos (ex. Administração e Engenharia de Produção).

• Formação Profissional: Não são exigidos cursos de especialização ou certificações.

Competências • Individuais: Deve ser exigido o Foco no Cliente e Trabalho em Equipe.

• Específicas: Conhecimento mediano de Gestão de Riscos e Segurança em Processos Operacionais.

• Organizacionais: É necessário ter noção do conhecimento dos negócios e cultura organizacional necessários para serem aplicados em suas atividades.





Tabela F: Proposta de Modelo para Analista Pleno em Segurança de Processos

Descrição Geral Gestão de analistas juniores nas atividades básicas de segurança em processos, análise e identificação de vulnerabilidades em processos, interação com demais profissionais para manutenção de segurança efetiva em todo o ambiente da Organização, processo decisório em atividades de baixa e média responsabilidade, suporte aos analistas seniores nas atividades avançadas de segurança em processos.

Atividades Comuns Levantamento específico dos processos em uma Organização, análise da eficácia de processos e proposta de melhorias, produção de relatórios de auditoria de sistemas ou análise de riscos, coaching aos analistas júniores e suporte ao trabalho dos analistas sêniores.

Experiência Experiência de 2-3 anos em segurança de processos.


• Formação Acadêmica: Faculdade de disciplina relacionada a Processos (ex. Administração e Engenharia de Produção).

• Formação Profissional: Cursos de especialização em processos (ex. Auditor Líder ISO 27001:2005) e certificações “vendor neutral” (ex. SSCP e MCSO)

Competências • Individuais: Deve ser exigido o alto Foco no Cliente e Trabalho em Equipe e médias Capacidade de Análise e Aprendizado e Orientação para Resultados.

• Específicas: Extenso conhecimento de Gestão de Riscos e Segurança em Processos Operacionais e médio conhecimento em Legislação e Investigação, Planejamento para Continuidade de Negócios e Recuperação de Desastres e Segurança Física e Ambiental.

• Organizacionais: Deve conhecer razoavelmente o modo como a Organização funciona e ter a capacidade de entender o mínimo necessário dos negócios para aplicar este conhecimento em suas funções com forte suporte externo.





Tabela G: Proposta de Modelo para Analista Sênior em Segurança de Processos

Descrição Geral Gestão de analistas plenos nas atividades intermediárias de segurança em processos e delegação de tarefas para distribuição junto às equipes de juniores, definição de controles de segurança, interação e negociação com demais profissionais para manutenção de segurança efetiva em todo o ambiente da Organização, processo decisório em atividades de média e alta responsabilidade, suporte aos gestores nas atividades avançadas de segurança em processos e interação com as áreas de negócio.

Atividades Comuns Capacidade de gerenciar o risco de uma Organização, interagindo com as equipes de segurança para obtenção de informações que possibilitem manter os níveis de segurança dentro do esperado. Análise dos resultados do levantamento de processos em uma Organização e da proposta de melhorias, interagindo com as demais áreas para fazer com que as correções sejam executadas respeitando as limitações de orçamento, equipe e cronograma, coaching aos analistas júniores e plenos e suporte ao trabalho dos analistas plenos.

Experiência Experiência de 3-4 anos em administração de segurança de processos e gestão de equipes.


• Formação Acadêmica: Faculdade de disciplina relacionada a Processos (ex. Administração e Engenharia de Produção) e pós-graduação em especialização relacionada (ex. Gestão de Segurança).

• Formação Profissional: Cursos de especialização em processos (ex. Auditor Líder ISO 27001:2005), gerenciamento de projetos (ex. PMI) e certificações “vendor neutral” (ex. CISSP e CISM)

Competências • Competências Individuais: Deve ser exigido o alto Foco no Cliente, Trabalho em Equipe, Capacidade de Análise e Aprendizado e Orientação para Resultados e Criatividade.

• Específicas: Extenso conhecimento de Gestão de Riscos e Segurança em Processos Operacionais, Legislação e Investigação, Planejamento para Continuidade de Negócios e Recuperação de Desastres e Segurança Física e Ambiental e médio conhecimento em Arquitetura Segura, Controle de Acesso, Criptografia e Segurança em Telecomunicações e Redes de Dados.

• Organizacionais: Deve conhecer profundamente o modo como a Organização funciona e ter a capacidade de entender o necessário dos negócios para aplicar este conhecimento em suas funções.





ConclusãoO profissional de Segurança da Informação está no mercado há alguns anos, e como é colocado em artigos que se repetem a cada ano que passa, a tendência é que ele seja cada vez mais exigido e procurado por Organizações de todos os portes e áreas de atuação. É uma função de todos nós, profissionais ou iniciantes, divulgar o que fazemos, como fazemos e para que fazemos, inibindo os rumores e dúvidas que cercam todas as novas profissões (lembra-se como era difícil explicar o que fazia um web designer a cinco anos atrás?) e esclarecendo o que podemos fazer para gerar receita e valor a uma Organização.

Cada um de nós deve estudar e conhecer os conceitos de todos os domínios, e buscar aprofundar o conhecimento em dois ou três com os quais tenhamos maior afinidade e prazer em trabalhar, até porque pela dimensão de nossas atividades e o nível cada vez maior de especialização exigido, é impossível ser bom em todas as áreas da Segurança da Informação, algo que era até possível alguns anos atrás.

Note que algo que não foi citado neste artigo é a especialização de profissionais focados em Segurança de Aplicações e Criptografia, áreas que em alguns países estão plenamente estabelecidas, mas que no Brasil ainda faltam especializações e uma voz ativa que leve estas carreiras para frente e dentro do mercado com o valor que realmente têm. No andar da carreira, cada um destes profissionais pode buscar o crescimento horizontal ou mesmo vertical, e aprender conceitos de gestão de recursos e pessoas, gerenciamento de projetos e administração financeira, como as pessoas de outras áreas fazem há algum tempo.

É tudo uma questão de amadurecimento do mercado e tempo para que os profissionais possam ganhar a bagagem necessária para estabelecer a Segurança da Informação como uma nova área de negócios dentro das Organizações. Para que isso aconteça, recomendo que os profissionais da nossa área comecem a pensar fora da sua zona de conforto, aprendam disciplinas comuns a outras carreiras para enriquecer seu modo de aplicar os conhecimentos de segurança de forma eficaz para as Organizações e saibam usar as competências que pessoas que lidam com administração usam desde os tempos de Taylor e Fayol.

Links Relacionados:• Are security certifications worth it? por Peter Gregory na Computerworld.

• Competency Modeling: Mirror in to the 21st Century Workplace – or Just Smoke? por Kenneth Pearlman para a 26th Annyal IPMAAC Conference on Personnel Assessment, 2002.

• Integrating Competencies Into HR Programs por HR Guide.

• Mapa de Competências do SEBRAE

• Skills Measurement for Effective Competency Modeling – Lessons from the Field por Brainbench Company.


http://www.sebrae.com.br/customizado/mapa-de-competencia/

http://www.hr-guide.com/data/G480.htm

http://www.ipacweb.org/conf/02/pearlman.pdf

http://www.computerworld.com/s/article/77849/Are_security_certifications_worth_it_

http://www.brainbench.com/pdf/STG_CompModeling.pdf




Sobre o AutorEduardo V. C. Neves, CISSP, trabalha com Segurança da Informação desde 1998. Iniciou sua carreira profissional em uma das principais empresas de consultoria do mercado brasileiro, posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10 anos. Em 2008 fundou uma das primeiras empresas nacionais especializada em Segurança de Aplicações e hoje se dedica a prestar serviços de consultoria nas práticas de Risk Management e Business Continuity. Serve ainda como voluntário no OWASP e (ISC)2 e contribui para iniciativas de evangelização nas práticas de proteção da informação para federações e associações no Brasil. Pode ser contatado pelo e-mail [email protected].


mailto:[email protected]


o perfil do profissional em segurança da informação 2007

Career