Como iniciar a carreira de Segurança da Informação?

Texto traduzido e adaptado de “How to Get Started in InfoSec: Tips, Certifications and Career Paths” escrito por “Daniel Brecht”

No momento que é crucial proteger os dados dos negócios contra cyber criminosos e tentativas de violação, há uma necessidade significativa de profissionais de segurança da informação que podem ajudar a manter a infraestrutura de TI de uma organização segura. Manter aplicativos e dados críticos inacessíveis a usuários não autorizados, mantendo o malware sob controle, evitando danos físicos e lógicos aos sistemas e ativos de informações de proteção contra phishing e ransomware, todos exigem não apenas a conscientização dos usuários sobre essas ameaças, mas também a capacidade dos profissionais de segurança da informação de mitigar esses riscos.

Seja por meio de profissionais de TI internos ou através da ajuda de empresas de consultoria, todas as empresas acabam precisando da experiência de um profissional ou  equipe de segurança da informação que possa avaliar os riscos e a segurança das informações ao longo do tempo. Os funcionários experientes e qualificados são muito procurados pelos empregadores, mas muitas organizações também investem no treinamento de funcionários atuais e profissionais de nível básico que podem estar preparados para atender às necessidades específicas do negócio e, ao mesmo tempo, desenvolver uma lealdade mais forte.

Pensando em uma carreira na Segurança da Informação?

Então, se você está interessado em uma carreira em segurança da informação ou quer avançar em sua carreira já estabelecida, este pode ser o melhor momento. A atual lacuna de habilidades em TI e a expansão do cenário de ameaças na verdade oferecem grandes oportunidades para novos profissionais prontos para mergulhar e enfrentar os desafios dessa nova era. Posições que muitas vezes são anunciadas como gerente de segurança, administrador de segurança, consultor de segurança, analista de segurança, engenheiro de segurança ou arquiteto de segurança.

Com a demanda atualmente bem acima da oferta, até profissionais não técnicos estão começando a olhar para a possibilidade de mudar de área e aprenderem a apoiar a criação de infraestruturas adequadas e a implementação de medidas de segurança.

Espera-se que as oportunidades de segurança de TI cresçam; Embora as ferramentas automatizadas tenham se tornado cada vez mais sofisticadas e capazes de ajudar a proteger a infraestrutura, elas seriam ineficazes sem a configuração adequada dos sistemas, a capacidade de análise e as habilidades de controle de danos dos profissionais.

Caminhos da carreira

Os profissionais de segurança da informação vêm de muitos caminhos diferentes. Há algumas carreiras que um profissional ou recém-formado pode considerar: desde as mais gerais, incluindo especialistas de suporte, técnicos de TI, help desk, administradores de rede e sistemas até programadores de computador ou bancos de dados e analistas de dados. Em geral, é importante obter um bom conhecimento geral dos sistemas primeiro, de modo a estar pronto para protegê-los de forma eficiente. Trabalhos em configuração de sistemas e suporte ou até mesmo estágios para graduados são excelentes maneiras de obter o conhecimento básico necessário para iniciar uma carreira em segurança da informação.

Certificações

Elas são uma parte importante de uma carreira em Segurança da Informação.

A certificação CompTIA Security + , por exemplo, constrói uma compreensão fundamental da segurança da informação, testa as habilidades nas principais funções de segurança e permite que um profissional progrida para funções intermediárias. 

Para progredir em funções especializadas, CISSP ou CISM são ótimas opções para impulsionar uma carreira e aumentar os ganhos. 

O CISSP é uma qualificação de elite que comprova uma base sólida em segurança digital e na concepção e implementação de programas de segurança eficazes; O CISM é voltado para profissionais que procuram se mudar para posições gerenciais.

Vamos dar uma olhada em apenas algumas das carreiras específicas a serem consideradas no âmbito da segurança da informação.

Arquiteto de segurança

Um arquiteto de segurança garante a segurança dos sistemas, trabalhando com hardware e software, bem como elaborar políticas e protocolos apropriados e preparando contramedidas. Suas ações são voltadas para a prevenção de ataques e intrusões de hackers. Esses profissionais ocupam altos cargos com (normalmente) salários de seis dígitos e, portanto, têm experiência proporcional às suas tarefas, começando com graduações formais em TI, cargos em administração de sistemas ou de rede e vários cursos de treinamento e certificações que se comprovam atualizados. conhecimento. Estes geralmente incluem CISSP e / ou opções de ethical hacking .

Consultor de Segurança

Muitas vezes, contratados, consultores de segurança são profissionais que são solicitados a trabalhar em conjunto com outros especialistas em TI (normalmente equipes internas) para identificar problemas em redes e arquiteturas de TI e elaborar soluções. Estes são profissionais que não só têm sólida experiência em TI, mas que também habilidades como comunicação e criatividade, que os ajudam em suas interações diárias com os clientes e na preparação de documentação e relatórios. Esses profissionais normalmente têm diplomas formais, mas a experiência prática é um pré-requisito importante; eles geralmente têm análise de segurança ou experiência de auditoria em seu portfólio.

Diversas certificações ajudam esses profissionais a progredir em suas carreiras. Depois das óbvias certificações para iniciantes como CompTIA Security +, eles podem se especializar através da CEH: Certified Ethical Hacker, CISSP: Certified Information Systems Security Professional, CHFI: Certified Hacking Forensic Investigator, CPT: Certified Penetration Tester, CySA +: Cybersecurity Analyst, CWAPT: Certified Web Application Penetration Tester e CREA: Certified Reverse Engineering Analyst, bem como certificação em auditoria e análise de sistemas (ECSA, CISA, CISM).

Chief Information Security Officer (CISO)

Um profissional sênior e de nível executivo, o CISO está à frente das equipes de segurança e aprova a maioria das ações tomadas em relação à segurança: desde a aprovação das escolhas de projeto para os sistemas até as políticas e os planos de recuperação. Ele ou ela também realiza auditorias, realiza treinamento, supervisiona diretamente os membros da equipe e supervisiona os contratados.

É óbvio que, para obter essa posição, um profissional de TI precisa ter anos de experiência relevante – não apenas como especialista em TI no campo da segurança, mas também como supervisor. A educação formal é normalmente necessária e um MBA é muitas vezes fundamental. Certificações avançadas devem incluir certificações de auditor e gerenciadores de segurança, incluindo CISM, ISSM, CGEIT e CISSP.

As habilidades essenciais

Os profissionais de Segurança da Informação precisam possuir a combinação certa de habilidades para progredir em sua carreira. As habilidades técnicas precisam incluir a capacidade de realizar análises de segurança, testes de invasão, nuvem e aplicativos seguros, para citar alguns. Um profissional nesta área que se eleva para cargos de alto escalão precisa de excelentes habilidades de comunicação para lidar efetivamente com as partes interessadas e possuir grande capacidade de colaboração para trabalhar com diferentes seções de TI de uma empresa, bem como usuários e gerentes de outras seções internas do cliente. Criatividade e capacidade de pensar fora da caixa também são elementos importantes, devido à necessidade de antecipar os movimentos dos adversários e surpreendê-los com contramedidas inovadoras.

Mas acima de tudo, ele ou ela precisa possuir uma verdadeira paixão pelo desenvolvimento profissional. Manter as habilidades e o conhecimento atualizados é fundamental em um campo que está em constante desenvolvimento e onde é essencial permanecer relevante em um mercado de trabalho que muda rapidamente.

Conclusão

Os profissionais de Segurança da Informação, como os profissionais de segurança cibernética, trabalham em empresas de todos os portes e setores para proteger as organizações contra violações e ataques de dados. O déficit de habilidades de hoje em dia, assim como a escassez de mão de obra em segurança cibernética, está causando uma pressão sobre a força de trabalho existente e sobre as empresas que procuram contratar profissionais que possam garantir seus ativos. E com tantos empregos não preenchidos, como pode ser visto nas inúmeras vagas abertas ao redor do mundo, abordar a lacuna e a falta de habilidades envolve a educação da próxima geração de profissionais de segurança de TI capazes que se tornaram essenciais.

Novos graduados e profissionais devem procurar entrar na área de TI ou lançar uma carreira em segurança cibernética não apenas pelas muitas oportunidades que agora oferece, mas também pela promessa de uma carreira em evolução contínua à medida que a tecnologia avança. Isto é especialmente verdadeiro para o mercado de trabalho de segurança. Há muitas credenciais que os profissionais de segurança podem buscar para mostrar aos possíveis empregadores que suas habilidades são novas. As empresas freqüentemente procuram novos membros da equipe com certificações que provem que possuem expertise em áreas como o “lado técnico” da segurança de TI; Embora o conhecimento teórico seja obviamente importante, a prova de noções atualizadas e experiência prática é ainda mais valorizada.