blog.dennyroger.com.br

Você está empacado um nível abaixo do CSO? Um recrutador da área de segurança revela os principais erros que os candidatos ao cargo cometem ao tentar galgar o posto.

Por CSO, EUA

Você se esforçou, fez uma faculdade ou mais e talvez até tenha várias certificações em segurança. Agora, você se considera qualificado para enfrentar os maiores desafios técnicos de segurança que a indústria possa colocar no seu caminho. Mas espere um instante… você está empacado um nível profissional abaixo do cargo dos seus sonhos.

Como isso aconteceu? Provavelmente, você andou prestando atenção demais às suas competências técnicas e não enfocou devidamente as habilidades interpessoais e de negócio. Ajudando meus clientes a recrutar executivos de segurança C-level, percebo que os candidatos, com freqüência, decepcionam por uma das seguintes razões:

1. Currículo mal escrito

Encare seu currículo como um projeto de redação técnica. Currículo, carta de apresentação e outro tipo de correspondência qualquer que você compartilha com um potencial empregador ou recrutador representam oportunidades de demonstrar que você tem fortes habilidades de escrita.

Muitos profissionais de tecnologia e segurança da informação dão ênfase demasiada a rechear seus currículos com listas intermináveis de certificações e termos de tecnologia da moda. Talvez você pense que ter múltiplas certificações cai bem no currículo, mas os empregadores me dizem que elas não significam muito sem que haja uma evidência mensurável que sustente este expertise.

2. Habilidades de comunicação inadequadas

Se você leva a sério ser um executivo de segurança, suas habilidades de comunicação verbal e escrita têm que ser, no mínimo, tão polidas quanto suas habilidades técnicas. À medida que mais regulamentações são criadas para nortear o gerenciamento de segurança e risco, os profissionais de segurança precisam desenvolver habilidades de venda, diplomacia, negociação e, principalmente, apresentação.

Os executivos de segurança se tornam a voz da empresa para auditores externos, reguladores e parceiros de negócio. Os líderes de segurança precisam ter disciplina para saber o que, quando e como dizer, ou quando não dizer.

3. Pouco entendimento das necessidades do negócio

Apenas três a cinco anos atrás, a atividade de segurança era movida pela tecnologia de segurança. No mercado atual, os executivos de segurança ainda precisam de credenciais apropriadas, como CISSP, CPP e/ou CISA, porém, mais importante, eles precisam entender de gerenciamento de negócio, segurança e risco.

Um executivo de segurança tem que saber identificar, quantificar e medir risco. O dono de uma empresa abraça um líder de segurança muito mais rápido se acredita que ele veio para capacitar a empresa a fazer negócio e não para atrapalhar o desempenho da companhia.

4. Habilidades inventadas ou exageradas no currículo

Lembro de um candidato entrevistado recentemente por um cliente que queria certificações Cisco pesadas. O candidato tinha preparo acadêmico e era altamente certificado, e sua postura beirava a arrogância. Pela primeira vez na minha vida, quando eu o preparava para a entrevista, fui perguntado se estava tentando ser protetor.

Após uma rápida entrevista por telefone, meu cliente – ele próprio detentor de muitas certificações Cisco – ligou de volta e deu nota 2 ao candidato em uma escala de 1 a 10, em que 10 é a nota desejada. No fim das contas, depois de trabalhar no setor durante seis anos, a experiência real do candidato em produtos Cisco mal passava do nível básico.

Os executivos C-level me dizem que é comum se depararem com candidatos a emprego incapazes de dar detalhes sobre projetos mencionados no currículo. Se você citar no currículo uma habilidade ou um projeto concluído, tenha certeza de que pode sustentar esta informação em uma entrevista.

5. Falta de paixão

Gerenciamento de segurança e de risco é um tema quente e sério para os empregadores. Eles querem contratar candidatos que demonstrem paixão pela profissão escolhida. Além de educação, habilidades técnicas, conhecimento de regulamentações e entendimento do negócio, a paixão sincera pela profissão de segurança é o elemento intangível que permite que um candidato ultrapasse outro igualmente qualificado e conquiste a vaga.

Fonte: http://computerworld.uol.com.br/carreira/2008/01/31/cinco-razoes-para-os-candidatos-a-cso-nao-serem-contratados/

Sem comentários »

Senhas de administrador são as mais exploradas para acesso a redes de empresas. Por Denny Roger

Imagine a seguinte situação: O pessoal da área de desenvolvimento de software acaba de desenvolver uma nova aplicação. Esta aplicação deve entrar em produção na próxima semana. Os usuários chaves da aplicação já testaram todos os recursos. Está tudo Ok! Porém, falta apenas um detalhe para que a aplicação entre em produção: a senha do usuário administrador da rede.

Pode parecer absurdo, mas é exatamente isso que ocorre em diversas empresas. Um dos usuários mais poderosos do ambiente computacional está “gravado” em diversas aplicações utilizadas pelos usuários comuns. Não podemos esquecer que este é o usuário que deveria ser utilizado apenas em alguns momentos de manutenção do ambiente computacional.

Os hackers sabem que isso acontece em muitas empresas. Os hackers sabem também que podem explorar vulnerabilidades nas aplicações para conseguir a senha do usuário “administrador”. Os ataques passam pelos firewalls tendo como alvo as aplicações. Os ataques não são mais direcionados para os sistemas operacionais.

Existe ainda um segundo cenário de vulnerabilidade nas aplicações. As equipes de desenvolvimento, preocupadas em facilitar a vida do usuário, implementam recursos de Single sign-on (SSO). O SSO permite que os usuários da rede acessem de modo único todos os recursos de rede autorizados. Ou seja, a senha só será solicitada uma única vez para todos os aplicativos de rede (e-mail, internet, sistema, etc). O recurso de SSO é excelente quando implementado de forma correta.

Qual a vulnerabilidade neste caso?

Quando o usuário liga o seu computador é solicitado o usuário e a senha para acessar a rede. Na área de trabalho do usuário, existe um ícone para acesso ao sistema da empresa. Quando o usuário clica duas vezes sobre o ícone para acessar a aplicação, o sistema verifica no registro do Windows qual usuário que está logado na máquina. Caso este usuário tenha permissão para acessar o sistema, a aplicação irá abrir sem solicitar o usuário e a senha, indicando que o recurso de SSO está funcionando.

Durante um teste de invasão executei o seguinte procedimento. O meu laptop estava conectado na rede do meu cliente (estava participando do projeto de segurança e teste de invasão). Eu conhecia o nome de alguns usuários da rede, inclusive o usuário do presidente da empresa. O meu laptop não estava no domínio de rede. Sendo assim, não era possível acessar a aplicação sem o usuário e a senha da rede. Criei, localmente no meu Windows, um novo usuário. O nome do usuário que criei era o mesmo do presidente da empresa.

O segundo passo foi me logar no Windows com o usuário que criei com o mesmo nome do presidente da empresa. Configurei o ícone que acessa a aplicação e cliquei duas vezes no mesmo para acessar a aplicação. A aplicação foi verificar no registro do Windows qual o nome do usuário que estava logado na máquina.

Como eu criei um usuário no meu Windows com o mesmo nome do usuário do presidente da empresa, a aplicação permitiu que eu tivesse acesso total às informações do sistema de gestão da empresa - folha de pagamento, financeiro, vendas, compras etc.

Todo o procedimento foi realizado sem conhecer a senha de qualquer usuário e sem estar “dentro” do domínio de rede da empresa.

Existem muitas outras vulnerabilidades nas aplicações. Porém, as duas vulnerabilidades descritas aqui são as mais exploradas pelos próprios funcionários.

As empresas precisam proteger sua chave mestra (senha do administrador) das equipes de desenvolvimento de software.

Realize constantemente testes de segurança nas aplicações e envolva a equipe de desenvolvimento de software no assunto segurança da informação.

Denny Roger é consultor independente, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@dennyroger.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2008-01-29.9592996256/

Sem comentários »

Um e-mail que tem circulado na Web em nome do site Baixaqui contém vírus. A mensagem anuncia um suposto software gratuito que permite ao usuário assistir a canais TV digital diretor de seu computador depois de realizar o download.

Mas o e-mail é falso e ao clicar no link para baixar o programa o internauta pe direcionando para o site chama do Alvorada Contabilidade. “Este site está enviando para a máquina do usuário o arquivo “vizualiza.scr”. Este arquivo trata-se de um trojan”, explica Denny Roger, especialista em segurança da informação. Geralmente, esse tipo de praga instala outros vírus na máquina, como por exemplo, programas capazes de roubar informações bancárias.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=10026

Sem comentários »

Está circulado na Internet um e-mail falso em nome da Oi Celular. A Mensagem diz que o internauta recebeu um álbum de fotos enviado de um celular desta operadora e pede para que clique no link da imagem para visualizar as fotos.

Segundo o especialista em segurança, Denny Roger, o link é falso. “A clicar no link indicado, o internauta autoriza a instalação de uma um Cavalo-de-Tróia programado para fazer download de outros programas espiões para seu computador”. Roger explica que essa técnica é muito utilizada para driblar a segurança dos programas de antivírus. “Com o Cavalo-de-Tróia fazendo o download de outros programas da Internet para a máquina do usuário, o Cracker consegue manter a comunicação com o computador da vítima e tem menos risco de ser pego”, argumenta.

Tanto que dos 33 softwares antivírus utilizados na análise de Roger, 21 não detectaram a presença do vírus. São eles: AhnLab-V3, Avast, AVG, BitDefender, ClamAV, DrWeb, eTrust-Vet, Ewido, FileAdvisor, Fortinet, F-Secure, Kaspersky, McAfee, Microsoft, NOD32v2, Norman, Rising, Sophos, Symantec, TheHacker, VirusBuster

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=9991

Sem comentários »

O pacote de atualização do antivírus da McAfee, que passou a vigorar desde a quarta-feira dia 02 de janeiro, detectava ameaça de trojan em sites e serviços de Internet que não apresentavam perigo algum. O programa alegava que o script “JS/Exploit-BO” era malicioso e estava sendo executado na máquina.

No Brasil, segundo informa o especialista de segurança da informação, Denny Roger foi reportado o caso de um usuário de Internet Banking do Bradesco que recebeu o aviso de que estava infectado com o “JS/Exploit-BO”.

Posteriormente, o usuário recebeu um email da McAfee que informava a identificação incorreta do antivírus. A mensagem diz que “O 5197 DAT files pode identificar incorretamente [o script] JS/Exploit-BO quando visitando sites encripitados com certos Javascript.”

Como atualização, a empresa indica aos usuários o download do também arquivo DAT (sigla para Download Virus Definition Updates), de sigla 5198, que pode ser encontrado na página oficial da empresa, com versão em português do Brasil inclusive.

Entre os endereços da Internet que supostamente estariam infectados estão o do canal de esportes ESPN, do serviço de relacionamento social Friendster; o site especializado em javascript Mootools; a página epecializada em tecnologia Ars Tecnhica.

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=9860

Sem comentários »

Pessoal, para quem deseja entrar na área de segurança da informação, vou estar publicando alguns artigos meus e também alguns que encontrei na internet. Denny Roger.

por Karl Levinson, CISSP, Looking Glass Systems

Então você pretende conseguir um emprego na área de segurança de informações? Ou talvez você já esteja trabalhando nesse setor (infosec), mas queira progredir ou mudar para outra disciplina na mesma área?

A seguir encontram-se as respostas às perguntas mais freqüentes sobre o progresso em segurança de informações. Eu mesmo usei com êxito essas informações para aprender e progredir em vários estágios da minha carreira. Gostaria que alguém tivesse me dado essas dicas mais cedo, pois agora eu poderia estar aposentado e vivendo em uma ilha qualquer, em vez de estar escrevendo um artigo sobre como você pode roubar o meu emprego! Vamos ao que interessa.

Certificações

O tempo e o dinheiro investidos na obtenção de determinadas certificações de segurança podem ser compensados posteriormente com salários mais altos e melhores possibilidades de colocação. No entanto, as certificações não fazem mágica para facilitar as coisas. Elas podem ajudá-lo a conseguir entrevistas de trabalho, mas não o emprego. Você precisará comprovar o seu nível real de conhecimento e experiência durante as entrevistas, e a certificação não dá a você esse conhecimento e essa experiência.

Certificação CISSP

Uma das mais valiosas certificações de segurança ainda é a certificação CISSP oferecida pelo (ISC)2, o International Information Systems Security Certification Consortium. Eu recomendo à maioria dos profissionais de segurança que procurem obter essa certificação antes de quaisquer outras credenciais semelhantes. Ao contrário das outras certificações, a CISSP requer a aprovação em apenas um exame. Para aqueles que não têm condições de fazer treinamentos caros, existem vários manuais de estudo para a CISSP a preços acessíveis e amplamente disponíveis. Outra opção é perguntar ao seu empregador se ele poderia cobrir as suas despesas.

Para obter a certificação CISSP, é necessário que um gerente seu, atual ou anterior, concorde em confirmar que você possui quatro anos de experiência de trabalho remunerado em tempo integral relacionado à segurança. (Subtraia um ano se você tiver uma certificação aprovada, como Microsoft Certified Systems Administrator (MCSA) ou CompTIA Security+. Subtraia um ano se você tiver um curso universitário na área de segurança de informações.) Devido a esse requisito, a CISSP não o ajudará a conseguir o seu primeiro emprego na área de segurança, mas poderá ajudá-lo a conseguir o segundo ou o terceiro. O (ISC)2 oferece algumas certificações de nível iniciante menos conhecidas, como Systems Security Certified Practitioner (SSCP), que exige apenas um ano de experiência, e “Associate of (ISC)2″, para a qual não é necessário ter experiência. Essas certificações não são bem conhecidas como a CISSP e, portanto, não ajudarão muito em sua carreira. Minha recomendação é ir direto para a CISSP, se você puder.

O exame da CISSP custa de US$ 499 a US$ 599 (EUA) e, em geral, precisa ser marcado com um mês de antecedência ou mais. Você precisará fazer uma previsão de quando estará preparado para fazer o exame e então ter certeza de que estará pronto nessa data. Em outras palavras, não é possível se preparar intensivamente até se achar em condições, e só então marcar o exame para o dia seguinte. Os exames são oferecidos em um número relativamente pequeno de locais, geralmente em cidades grandes. É possível que você tenha que fazer uma longa viagem ou mesmo encontrar um local para se hospedar na noite anterior, pois o exame sempre começa às 8h.

Durante o exame, você terá até 6 horas para responder 250 perguntas do tipo múltipla escolha, algumas das quais podem ter um enunciado confuso. Dizem que os exames são divididos em níveis em uma curva do sino (ou curva de Gauss); portanto, a nota de aprovação varia. Cerca de cinco semanas depois, você recebe a nota de aprovação ou reprovação por correio e nunca é informado sobre a sua pontuação exata.

Se você ler um manual de estudo de 400 páginas ao se preparar para o exame de 250 perguntas, deverá ler e compreender cada página, ou então se arriscar a responder incorretamente as perguntas. Sugiro que você leia pelo menos um guia de estudo, além do material gratuito disponível no site do CCCure.org. Em seguida, deverá avaliar a sua capacidade para fazer o exame fazendo o teste do CCCure.org. Examine também o Candidate Information Bulletin gratuito do (ISC)2, que contém uma lista dos tópicos que podem estar incluídos no teste. Caso não se sinta suficientemente preparado para um ou mais itens da lista após avaliar esse material, você saberá que precisa ler mais sobre esses tópicos.

Certificação GIAC do SANS

A família GIAC de certificações de segurança do SANS Institute também tem seu valor. A maioria das certificações e do treinamento oferecidos pelo SANS destina-se aos profissionais técnicos de segurança de computadores, que decidiram se especializar em nichos como detecção de intrusões, resposta a incidentes, etc. Algumas das ofertas da GIAC são para auditores ou gerentes.

O treinamento de certificação do SANS é informativo e pode ser útil como treinamento para o trabalho. Também é caro, custando de US$ 2.000 a US$ 3.500 (EUA) ou mais, mesmo que você opte pelo estudo individual. Para a maioria dos exames, não há disponibilidade de manuais de estudo mais baratos oferecidos por terceiros. Portanto, o SANS é a principal (se não a única) fonte de treinamento de GIAC disponível.

As certificações GIAC são de dois tipos, “Silver” e “Gold”. A certificação Gold requer a apresentação de um trabalho por escrito após a aprovação no exame. Se você adquirir o pacote de treinamento e exame do GIAC, deverá agendar o exame para, no máximo, quatro meses após concluir o treinamento.

Se o dinheiro estiver curto, será possível conseguir a certificação GIAC por meio de estudo individual: lendo vários livros de boa qualidade, fazendo um dos testes práticos online do GIAC, ao custo de US$ 50, para aumentar a sua confiança, e depois fazendo um dos exames de certificação. Ainda assim, os exames do GIAC sem treinamento custam US$ 800, mesmo que você seja reprovado. Considere a obtenção de um “certificado” GIAC menor, fazendo um exame de US$ 100.

Você também pode procurar obter um mestrado em ciências (Master of Science) do SANS Technology Institute. Para isso, é necessário passar em oito exames de certificação GIAC, enviar vários trabalhos para certificação “Gold”, concluir três “Community Projects” residenciais designados a você, além de ter três anos de experiência até a graduação. O custo total estimado é em torno de US$ 29.000 (EUA), semelhante aos programas Masters de segurança de informações de outras escolas da sua área. O mestrado pode ser concluído em um período mínimo de dois anos. O SANS é licenciado para conceder esse título, mas ainda não está autorizado.

Outras certificações

Embora CISSP e GIAC sejam duas das certificações de maior valor para a maioria das disciplinas técnicas de segurança, algumas das outras certificações relacionadas à segurança também podem ajudar.

Alguns fornecedores oferecem certificações relacionadas à segurança de seus produtos, como os exames de Microsoft Certified Professional (MCP) relacionados à segurança, o Microsoft Certified Systems Engineer (MCSE) com especialização em segurança e as certificações CCSP (Cisco Certified Security Professional) da Cisco. Essas certificações são valiosas quando você deseja ou espera usar, gerenciar ou criar a arquitetura desses produtos no futuro. Se você não pretende trabalhar com dispositivos da Cisco, a obtenção dessa certificação terá pouco valor.

Os profissionais de segurança que ocupam determinados cargos podem precisar conhecer e dar suporte a produtos de vários fornecedores. Se esse for o seu caso, você poderá lucrar mais obtendo primeiro uma certificação de “fornecedor neutro” como a CISSP, em vez de obter muitas certificações de qualquer fornecedor individual. A menos que você já esteja interessado em se especializar, minha recomendação é que você se semiqualifique em dois ou mais sistemas operacionais ou dispositivos, em vez de gastar o seu tempo para se tornar altamente certificado em apenas um.

Se o seu currículo mencionar quatro ou mais certificações, alguns empregadores poderão suspeitar que você passa o tempo todo se preparando intensivamente para exames de certificação, e poderão duvidar do seu conhecimento real. É correto obter mais de três certificações diferentes, mas eu recomendo não mencionar mais de três delas de cada vez após o seu nome.

Considere remover do seu currículo as certificações que não sejam relevantes para o trabalho que está sendo considerado, ou para as áreas em que você se acha menos capacitado. Considere também a remoção das certificações menos desejáveis. Por exemplo, se você tiver a certificação MCSE, minha recomendação é remover o MCP do seu currículo. Se estiver buscando uma certificação, deverá listar esse fato no currículo.

A CompTIA oferece pelo menos duas certificações de nível iniciante (Linux+ e Security+) que podem ser valiosas, especialmente se você não estiver em condições de obter a certificação (ISC)2. A certificação A+ da CompTIA não é relevante para a segurança, e minha recomendação é removê-la ao se candidatar a posições de segurança.

Livros

Independentemente de você estar interessado em certificações, há várias opções para melhorar suas habilidades e a sua experiência. Se não tiver dinheiro para gastar em treinamentos caros, o estudo individual pode ser a saída. Os vários livros Hacking Exposed são uma excelente introdução a uma ampla gama de disciplinas. Também gosto muito destes livros: Incident Response and Computer Forensics, Second Edition; Writing Secure Code, Second Edition; e TCP/IP Illustrated, Volume 1. Se você tem preferência por firewalls empresariais, considere o livro Building Internet Firewalls, Second Edition. Para o monitoramento de detecção de intrusões na rede, tente o livro Network Intrusion Detection, Third Edition. O (ISC)2 possui uma lista de bons livros sobre segurança que também são importantes para o estudo da CISSP.

Para aqueles que têm um orçamento apertado, cópias usadas de muitos desses livros, inclusive dos guias de estudo da CISSP, estão disponíveis no Amazon a preços reduzidos. A sua biblioteca local pode ter alguns livros importantes, ou você pode retirar eBooks grátis na NetLibrary ou em sites citados na seção a seguir.

Sites

O site da Central de Segurança TechNet contém uma grande quantidade de informações grátis sobre treinamento e referência de segurança, uma cortesia da Microsoft. Também existem webcasts grátis para aqueles que preferem ouvir, em vez de ler. Por exemplo, não deixe de dar uma olhada nos tópicos sobre: Orientações de segurança, Trilhas do aprendizado para segurança, Ameaças e medidas defensivas, Compreendendo a segurança, IT Pro Security Community, Segurança para pequenas empresas e Artigo do mês do MVP de segurança (as páginas podem estar em inglês). Já é suficiente, não é?

As Special Publications do National Institute of Standards and Technology (NIST) são como manuais de treinamento gratuitos sobre vários tópicos, principalmente sobre como a segurança no mundo real é implementada em grandes empresas. Você também pode ler os artigos breves sobre segurança (escritos por candidatos à certificação GIAC) na SANS Reading Room. O site BuildSecurityIn do Departamento de segurança interna dos EUA possui alguns bons artigos sobre a Web e a segurança na programação, assim como o site do Open Web Application Security Project (OWASP). Verifique também os trabalhos e as apresentações do CERT/CC. Há muitas informações sobre segurança no meu próprio site, SecurityAdmin.Info FAQ, além de uma longa lista de links para outros artigos, sites e ferramentas úteis que não foram listados neste artigo.

Fóruns de suporte técnico

A postagem em fóruns de suporte da Internet nos sites e grupos de notícias da Usenet é uma maneira relativamente fácil de obter experiência no mundo real. Embora o trabalho não seja pago, ele mostra o seu talento e compromisso na área de segurança, a sua ética no trabalho e a sua habilidade para escrever. Além disso, é uma excelente forma de o recém-chegado aprender sobre os problemas mais comuns do mundo real (e as soluções para esses problemas). Essas informações podem ajudá-lo a dar respostas inteligentes nas entrevistas de trabalho. Por si só, as certificações geralmente não informam exatamente como resolver os problemas mais comuns da atualidade.

Encontre um fórum de suporte técnico relacionado a um campo de segurança de TI do seu interesse. Não poste a princípio. Apenas “espione” e leia os problemas e as sugestões. Mas não tire conclusões precipitadas. Suspeite das declarações abrangentes sobre segurança, do tipo “sempre” e “nunca”. Depois de algum tempo, você provavelmente aprenderá e se lembrará de respostas que, de outro modo, não teria conhecido. Então poderá começar a responder com autoridade a cada vez mais perguntas.

Quando já estiver conhecido no fórum, avance mais um passo. Responder as mesmas perguntas repetidamente não é interessante para ninguém. Se o fórum tiver um site de perguntas freqüentes, você poderá se oferecer para ajudar a manter a página. Se não tiver, escreva uma página você mesmo e poste-a na Usenet, ou crie o seu próprio site de perguntas freqüentes sobre esse tópico (as perguntas freqüentes do meu site constituem apenas um dos muitos sites de perguntas freqüentes de exemplo existentes). Você também pode adicionar um blog ao seu site e incluir comentários e artigos sobre eventos atuais, novos tópicos de interesse, etc. Faça o que fizer, não deixe de mencionar esse fato no seu currículo e nas entrevistas de trabalho.

Alguns fóruns de suporte de segurança populares são:

• Grupos de Notícias da Microsoft

• SecurityFocus

• Google Grupos

• Insecure.org

• Fóruns do CastleCops

• Broadband Reports

• Gibson Research Corporation (GRC)

• Firewall-Wizards

• Total Virus Defense Users Group

Alguns fóruns de discussão baseados na Web também estão disponíveis via email ou por meio de grupos de notícias da Usenet. No caso desse último, você pode achar mais fácil usar um software de leitura de notícias (como o Microsoft Outlook Express ou o Forte Free Agent) para acessar os servidores news:// diretamente, em vez de usar uma página da Web para ler as postagens.

Prêmio Microsoft MVP

Como um incentivo adicional, se você postar com freqüência orientações confiáveis nos fóruns de suporte técnico gratuitos da Microsoft, poderá ser indicado para um prêmio Microsoft MVP (Most Valuable Professional). Isso é definitivamente um ponto positivo no seu currículo. Outros benefícios do prêmio Microsoft MVP incluem oportunidades educacionais, oportunidades de contato com profissionais de segurança dentro e fora da Microsoft, além de alguns brindes interessantes. Os MVPs da Microsoft também podem conseguir oportunidades de escrever e publicar artigos que serão lidos por milhares de pessoas (como este artigo que você está lendo agora).

O prêmio MS MVP é concedido por realizações passadas em suporte à comunidade de usuários. A Microsoft utiliza esse programa para incentivar a comunidade de usuários a continuar fazendo um bom trabalho. Não se preocupe, os MVPs não têm obrigação de dizer ou fazer nada diferente após receber o prêmio. Eles não são obrigados a se transformar em incentivadores dos produtos da Microsoft; e ser um incentivador não o ajudará a ser indicado como MVP (caso não acredite em mim, verifique a próxima seção, na qual incluí links para CDs de inicialização do Linux).

A postagem nos grupos de notícias da Microsoft não é a única maneira de ser indicado para um prêmio MS MVP. Às vezes, as pessoas recebem indicações para o MS MVP por terem feito contribuições bem fundadas a outras comunidades não Microsoft, como aquelas mencionadas anteriormente, ou através de seu próprio site ou software também. Outros fornecedores além da Microsoft também podem ter programas de reconhecimento semelhantes.

Ferramentas de software

Em muitos campos técnicos de segurança, é muito vantajoso ter conhecimentos sobre TCP/IP e pelo menos um (ou dois, preferencialmente) sistemas operacionais (como o Microsoft Windows, o Linux, o BSD ou o Solaris da Sun Microsystems). Usar o sniffer (farejador) Wireshark [Ethereal], o scanner de vulnerabilidades Nessus, o software de IDS (sistema de detecção de intrusões) Snort ou uma ou mais das outras 75 principais ferramentas de segurança de rede já é um bom começo. O uso de algumas dessas ferramentas pode violar a política do seu empregador ou do provedor de serviços de Internet, podendo resultar em demissão ou desconexão. Portanto, seja cuidadoso e procure obter aprovação antes de mais nada. Conhecer pelo menos uma linguagem de programação ou de script (como C, C++, Assembly, Perl, VBScript, JavaScript e/ou HTML) ajuda, mas não é essencial.

Se você estiver familiarizado somente com o Windows, uma boa maneira de se familiarizar com os outros sistemas operacionais e com as ferramentas de segurança fora do Windows é usar um CD grátis de live boot do Linux. Baixe, grave e insira um CD de inicialização, e logo o seu computador estará executando o Linux, juntamente com todos os utilitários relacionados, sem que você precise instalar ou solucionar nenhum problema. Helix e Knoppix-STD são dois live CDs populares relacionados à segurança, e outros são listados nos sites do Darknet e do KNOPPIX. Alguns desses discos são até mesmo direcionados especificamente para testes de penetração ou forenses. Outros discos do Linux transformam um computador reserva lento em um firewall. Se você não tiver acesso a uma conexão rápida com a Internet, poderá adquirir esses CDs pelo correio. Também estão disponíveis distribuições menores do Linux que cabem em disquetes de inicialização.

A vantagem dos discos de live boot é que você pode carregá-los e executá-los em quase todos os computadores, sem muitos problemas. Porém, a menos que você seja disciplinado e tenha definido tarefas a serem executadas, poderá ter dificuldades em ultrapassar a fase de “pequenas alterações” ao usar somente um CD de inicialização. Provavelmente, você aprenderia mais se estivesse dando suporte ou usando esse software diariamente. Responder às intrusões ou monitorar o tráfego da rede com o software de IDS em casa não é a mesma coisa que fazer isso no trabalho, com sistemas e dados ativos.

Especialização

Talvez você queira considerar a especialização em um determinado nicho de segurança. Há muitas especializações de segurança diferentes, e não é possível tornar-se um especialista em todas elas.

Algumas disciplinas podem ser mais fáceis para pessoas pouco experientes. Por exemplo, o monitoramento do IDS é um campo de segurança que precisa de pessoas iniciantes que forneçam cobertura economicamente viável 24 horas por dia. A especialização em IDS pode ajudar um novato na área de segurança de informações a entrar nesse campo (considerando-se que na sua área existam empresas que estejam fazendo o monitoramento do IDS). Dispor-se a trabalhar à noite durante algum tempo pode ajudá-lo a dar o primeiro passo, embora o aprendizado e o progresso possam ser mais desafiadores durante o dia.

A especialização em computação forense pode ser útil, pois a demanda por pessoas com habilidades forenses parece exceder a oferta. Porém, esses trabalhos podem não ser sempre tão interessantes quanto mostra a TV.

Provavelmente, você não encontrará uma posição de estagiário em teste de penetração ou invasão de sistemas. Esses cargos são difíceis de encontrar. É possível que você encontre alguns trabalhos de nível iniciante em certificação e autorização (C&A) que envolvam a avaliação de vulnerabilidades, especialmente se você morar próximo a órgãos federais ou outras entidades que façam esse tipo de trabalho.

Encontrando trabalho

Alguns trabalhos são postados somente no site do empregador. Para encontrar um trabalho na área de segurança, talvez você precise identificar e visitar sites de empregadores que façam trabalho de segurança na sua área. A tendência é que sejam organizações grandes (como empresas comerciais, e entidades federais e estaduais), e também empresas terceirizadas (como meu empregador, Looking Glass Systems) que fazem trabalho de segurança para essas organizações grandes. Grandes organizações, como as 25 primeiras desta lista das 100 principais empresas contratadas por órgãos federais, tendem a ter mais posições de segurança para iniciantes e mais oportunidades de progresso posterior. Além disso, muitos empregadores dão valor à experiência em segurança em grandes ambientes.

Você também pode considerar a obtenção de uma posição que não seja em segurança, em uma empresa que tenha cargos de segurança. Muitos empregadores hesitam em contratar alguém que não conhecem e que não tenha nenhuma experiência remunerada em segurança. No entanto, esses mesmos empregadores são capazes de transferir uma pessoa com sólido desempenho e um hobby em segurança, da equipe de atendimento ou de servidores para uma vaga na área de segurança, após conhecer o seu trabalho durante um ano. Porém, tenha cuidado: se você for entrevistado para um cargo em uma nova empresa e disser que preferiria trabalhar com segurança, talvez não seja escolhido para o cargo.

Entrevista

Muitas coisas que você precisa saber sobre como obter acesso ao campo de segurança de TI não têm nada a ver com TI ou com segurança. Os entrevistadores julgam não só o que você sabe e fala, mas também a maneira como você fala, para descobrir se a sua personalidade se adaptará à equipe deles.

Assim como muitas outras coisas na vida, as entrevistas de trabalho são um jogo. É preciso saber como jogar, o que significa aprender e praticar. Verifique um ou dois livros sobre currículos e entrevistas de trabalho na sua biblioteca local. Não espere mais de 4 retornos para cada 100 currículos enviados, e tenha em mente que as suas primeiras entrevistas serão amargamente malsucedidas. Se isso o preocupa, envie mais currículos e ensaie algumas entrevistas com alguém que tenha algum conhecimento e possa fazer comentários.

Nas entrevistas, falar demais pode ser ruim; falar muito pouco também. Seja honesto, mas saiba o que não deve ser dito. É preferível admitir que você não sabe uma resposta do que divagar e inventar coisas. Você pode tentar melhorar um pouco a sua experiência passada, mas se contar mentiras, a maioria das pessoas perceberá, e aqueles que não perceberem provavelmente não são empregadores ideais que fazem um trabalho sério em segurança. Se você entrar em uma dessas equipes, poderá encontrar pessoas pouco qualificadas contratadas, e acabar fazendo o trabalho extra delas, ou aprendendo pouco, ou sendo dispensado quando a empresa começar a falhar.

Tenha em mãos uma lista de perguntas sobre o trabalho, a equipe e a empresa. Saiba quando e como mencionar a parte financeira e evite ser o primeiro a mencionar uma quantia. Fico surpreso com a quantidade de pessoas que entrevisto e que parecem não conhecer essas diretrizes.

Confuso? Muito bom. Eu não conseguiria colocar tudo o que você precisa saber neste espaço tão pequeno. Espero que pelo menos eu o tenha alertado para a existência dos problemas aqui mencionados e que você tenha se interessado em procurar outros detalhes sobre o assunto.

Assim como muitas outras habilidades, a segurança das informações não é uma arte mágica secreta dominada por poucas pessoas habilitadas. Se você lê sobre segurança, faz segurança e gosta disso, poderá se capacitar nessa área e transformar essa capacidade em uma carreira.

A propósito, a leitura deste artigo foi a primeira etapa. As próximas 91 etapas dependem de você!

Fonte: http://www.microsoft.com/brasil/technet/colunas/community/columns/cecmvp/sv0706.mspx

Sem comentários »