Convidamos a todos que participem de nossa reunião de Maio/2024, com o tema: Mudando de Mundo por Giovanni Amato Piccoli, CC
Evento
Reunião – Maio/2024
28 de Maio @ 19:00 – 21:00
Tag: featured
Profissional brasileiro publica na revista InfoSecurity Professional, da (ISC)2
A revista digital InfoSecurity Professional, publicada pela (ISC)2, traz nesta edição um artigo de destaque publicado por Éder de Mattos, membro do nosso capítulo.
No artigo, Éder fala sobre uma de suas especialidades que é a avaliação de ambientes críticos com foco nas empresas de telecomunicações.
Se você acompanha nossas reuniões mensais, deve se lembrar que Éder já nos apresentou o tema na reunião regular de Novembro de 2021 e você pode assistir à esta palestra aqui mesmo, na gravação da reunião de Novembro de 2021.
Você também pode ler o artigo de 6 páginas publicado na edição de Julho/Agosto de 2022, no site da (ISC)2.
Parabéns Éder de Mattos, pelo excelente e aprofundado trabalho de pesquisa e escrita do artigo. Que sua atitude incentive mais e mais profissionais brasileiros, a demonstrarem como somos bem preparados para o mercado de cibersegurança.
Buzzwords de Segurança da Informação
Dentre as muitas palavras e termos usados em Segurança, estas nove são as mais comuns.
Quando pensamos em segurança da informação para a maioria das pessoas, as primeiras coisas que nos vêm à cabeça são: hackers, invasões, ataques, vírus, ransomware, pentest entre outras buzzwords utilizadas no meio.
Enquanto que na verdade muitos não sabem ou esquecem que toda a segurança da informação está contida em apenas 3 palavras, confidencialidade, disponibilidade e integridade formando a tríade da segurança.
Como profissionais de segurança da informação, nosso objetivo e responsabilidade é garantir essa tríade a todos os ativos sob nossa responsabilidade.
O desafio começa a beirar o inalcançável quando olhamos para alguns fatores como a quantidade e variedade de dispositivos crescente, a quantidade de tecnologias envolvidas, a velocidade em que as informações mudam de formato e “pulam” de um dispositivo para o outro. Essas características são requisitos e necessidades para a razão pela qual tudo existe o “negócio”
Todos os manuais, frameworks, especialistas e guias de governança corporativa, de TI e segurança da informação concordam que para sustentar o negócio temos a tríade: pessoas, processos e tecnologia que num ballet onde pessoas executam processos que são suportados pela tecnologia sustentam o negócio.
Pessoas são corpo e mente e por que não a alma das empresas, para conseguir “computar” pessoas de forma tecnológica o que fazemos é objetificá-las e as rotulamos como usuários, empregados, clientes, fornecedores, parceiros etc. transformando-as em ativos da corporação.
Esse processo de objetificação ocorre por meio da obtenção de dados pessoais, comerciais, comportamento, biológicos e preferências. Fazendo com que as corporações “juntem” um grande amontoado de informações pessoais que devem ser protegidas não só por força de leis como a GDPR e LGPD, Mas principalmente por serem ativos valiosos para o negócio.
Com isso conseguimos fornecer meios tecnológicos para que as pessoas executem suas funções como parte da corporação executando os processos de negócio, como clientes, fornecedores, parceiros e outros rótulos, tudo isso só é alcançado através da troca de informações entre pessoas e empresas.
Durante o exercício de seu trabalho uma pessoa utiliza várias tecnologias que se comunicam em formatos e canais variados, em uma intensa troca de informações entre empresas, pessoas e governos.
Olhando para esse cenário só conseguimos ver o caos, uma enorme quantidade de informações sendo trocadas em formatos diferentes, num mar de dispositivos entre empresas diferentes na qual cada uma tem seu próprio oceano de pessoas e valores.
A única coisa capaz de dar um pouco de sentido a isso são os processos, processos são a forma como as empresas tentam fazer com que as pessoas encontrem sentido nesse caos e possam executar suas funções de forma organizada, repetitiva e poderem tomar decisões uniformes independente da “alma” de quem esteja decidindo.
Processos são os guias que ditam para as pessoas o que devem fazer, quando fazer e como fazer, normalmente são uma sequência de passos, guias de decisões, e atitudes que as pessoas utilizam como guias para executarem suas funções.
O processo é quem dita a eficiência do trabalho das pessoas, o quão eficaz é uma empresa é e até mesmo o ponto de excelência a ser alcançado. Quando os processos são bem definidos e as pessoas estão alinhadas a estes, o caos é ordenado, permitindo que pessoas com diferentes níveis de conhecimento do negócio e técnico e culturas variadas possam cumprir suas funções com a eficiência esperada.
E por último temos a tecnologia que é a cola, que junta as pessoas e os processos e permite a escalabilidade que uma única pessoas possa executar o mesmo processo várias vezes ao dia ou muitos processos simultaneamente e que o resultado final de cada uma dessas iteração seja o esperado;
A tecnologia é o que permite escalar o número de processos executados em função do número de pessoas para executar.
Com isso temos as 6 primeiras palavras da nossa tríade de 9, no próximo artigo vamos conhecer as outras 3 palavras e entender como uma tríade pode ser 9.
(ISC)2 cria certificação para iniciantes em segurança
A (ISC)2 disponibilizou em seu site, inscrições para uma nova certificação destinada aos profissionais de segurança iniciantes na carreira.
Desde o ano passado, a (ISC)2 convocou profissionais de segurança do mundo todo para trabalharem em um novo conjunto de conhecimentos para uma certificação profissional de entrada.
Muitos se voluntariaram, inclusive profissionais brasileiros participaram definindo inicialmente o conteúdo e níveis de conhecimento esperados para um estudante ou profissional em início. Depois foram elaboradas as questões para o exame de certificação, obedecendo os parâmetros de qualidade de outras certificações da mesma instituição como a já conhecida CISSP e CCSP.
O que muda nesta credencial
A grande notícia desta nova certificação é que diferente de todas as outras da entidade, esta não é exigido do candidato ou candidata, experiência prévia em segurança da informação.
Para se ter em mente, candidatos ao CISSP, devem comprovar experiência laboral de pelo menos 5 anos antes de se sentar para o exame. Este número pode ser reduzido, se for comprovado formação em nível superior em áreas de tecnologia, sendo neste caso o mínimo é de 4 anos.
Quanto custa a prova
Outra boa notícia, aparentemente é o custo do exame para esta nova certificação. O valor mostrado no site para o período piloto é de 125 dólares americanos, ou cerca de 671 reais, (na data de publicação) fora os impostos.
Como a prova ainda está na fase de piloto, ela será disponibilizada apenas em inglês e presencial na unidade VUE, empresa responsável pela aplicação e segurança do teste.
O período piloto será de 31/Janeiro/2022 à 31/Maio/2022. Este período pode ser estendido ou reduzido, dependendo do número de candidatos que se apresentaram para a prova. Se você não realizar a prova durante o período, não se preocupe, o voucher será convertido para um exame tradicional para a mesma certificação depois do período piloto. Por isso, não demore para se candidatar.
Qual será o nome e a sigla da nova certificação
Aparentemente não está definido ainda. No site a entidade chama de “Entry-Level Cybersecurity Certification”. Mas não há menção de uma sigla ELCC.
O termo “Entry-Level” não é muito usado aqui no Brasil, a tradução direta seria nível de entrada, mas é o equivalente ao iniciante ou junior ou trainee que chamamos aqui no Brasil.
Mas a SSCP não era considerada uma Entry Level?
O site da entidade destaca este ponto no FAQ. A SSCP é uma certificação recomendada para administradores de rede, sistemas, infraestruturas, gerentes e diretores que possuem conhecimentos avançados em suas áreas e que querem demonstrar conhecimentos de segurança da informação. Para a credencial SSCP, existem pré-requisitos de experiência ou educacionais que não são necessários para a nova certificação.
O que esperar de conteúdo para a prova
O conteúdo da prova já foi disponibilizado no documento conhecido como Exam Outline, e tem os seguintes itens, pesos e número aproximado de questões:
| Domínio | Peso Médio | Número de questões |
| 1. Princípios de Segurança | 26% | 20 |
| 2. Continuidade de Negócios, Recuperação de Desastres e Conceitos de Resposta à Incidentes | 10% | 07 |
| 3. Conceitos de Controle de Acesso | 22% | 17 |
| 4. Segurança de Redes | 24% | 18 |
| 5. Operações de Segurança | 18% | 13 |
| Total | 75* |
* Como outras provas da entidade, cerca de 25 questões são incluídas para testes. Estas questões não são identificadas e portanto você deve responder todas como se estivessem sendo avaliadas para sua pontuação. Sendo assim é possível que sua prova possa conter cerca de 100 questões ao total.
Quer saber mais?
Acesse o site da nova prova Entry-Level Cybersecurity Certification e saiba mais detalhes do exame e consulte também o Exam Outline para saber todo o conteúdo que você deve saber para esta prova.
A entidade oferece treinamentos oficiais para a prova, mas não são obrigatórios para se candidatar ao exame.
Participe do Capítulo São Paulo da (ISC)2
Você sabia que para participar do Capítulo São Paulo você não precisa ser profissional certificado? Estudantes e todos os tipos de profissionais de segurança são bem-vindos ao capítulo.
Nossa missão é justamente fortalecer o network profissional e incentivar pessoas que desejam se certificar a conquistar este objetivo.
Não perca tempo e associe-se clicando em Torne-se Membro do Capítulo.
CybersecTalks 2020
Para programação, por favor visite o site https://www.cybersectalks.org/agenda