Segundo o Relatório de Escassez de Habilidades em Segurança Cibernética da (ISC)² foi destacado que a escassez de profissionais de cibersegurança continua a crescer, com uma lacuna estimada de 3,12 milhões de profissionais até 2022. Outro relatório da Cisco revela que 74% das organizações pesquisadas afirmaram enfrentar uma escassez de habilidades em segurança cibernética, e 68% alegaram que essa lacuna de habilidades afetou operações críticas de segurança e investigações de incidentes.
A área de cibersegurança e segurança da informação está em constante crescimento e oferece uma ampla gama de oportunidades de carreira para profissionais que desejam trabalhar na proteção de sistemas, redes e dados contra ameaças cibernéticas. Se você está interessado em ingressar nesse mercado promissor, este artigo fornecerá uma visão geral das diversas áreas e um passo a passo para iniciar seus estudos.
Algumas áreas de atuação em Cybersegurança:
Análise de Segurança: Nessa área, você estará envolvido na identificação, análise e resposta a incidentes de segurança cibernética. Será responsável por avaliar ameaças em tempo real, investigar incidentes de segurança e implementar medidas de mitigação.
Teste de Penetração: Nesse campo, seu objetivo é encontrar vulnerabilidades em sistemas, redes e aplicativos por meio de testes de penetração controlados. Você precisará entender as técnicas e ferramentas utilizadas pelos cibercriminosos para identificar possíveis pontos fracos e fornecer recomendações para fortalecer a segurança.
Arquitetura de Segurança: Nesta área, você será responsável por projetar e implementar soluções de segurança cibernética para organizações. Isso envolve o desenvolvimento de políticas de segurança, o design de arquiteturas de rede seguras e a seleção e configuração de tecnologias de segurança.
Gerenciamento de Segurança e conscientização: Nesse campo, você estará encarregado de supervisionar e gerenciar as operações de segurança cibernética de uma organização. Isso inclui a definição de políticas, o gerenciamento de equipes de segurança, a implementação de processos de conformidade e a resposta a incidentes.
O cargo de Analista de Conscientização de Segurança tem como objetivo principal educar e capacitar os colaboradores para identificar e mitigar os riscos de segurança.
Um profissional de segurança precisa ter diversas habilidades, nem sempre você será contratado para apenas uma dessas áreas e sim para executar um pouco de cada. Justamente pela carência de profissionais na área, muitas vezes o profissional acaba executando diversas tarefas dentro de sua atuação. O mais importante para se tornar um profissional de segurança é ser CURIOSO. Um bom profissional de segurança nunca para de pesquisar e estudar, e está sempre atualizado tanto sobre novas tecnologias quanto em relação a novas técnicas de ataque.
Passo a passo do que estudar para ingressar no mercado de segurança da informação
Fundamentos de Tecnologia da Informação:
Redes de computadores: Compreenda os conceitos básicos de redes, protocolos, endereçamento IP, roteamento e segurança de redes.
Sistemas operacionais: Familiarize-se com os principais sistemas operacionais, como Windows, Linux e macOS, aprendendo sobre gerenciamento de usuários, permissões e configurações de segurança.
Bancos de dados: Adquira conhecimentos sobre os princípios de bancos de dados, como SQL e gerenciamento de acesso.
Segurança da Informação:
Criptografia: Entenda os conceitos básicos de criptografia, algoritmos criptográficos, chaves públicas e privadas, certificados digitais e protocolos seguros.
Autenticação e autorização: Aprenda sobre métodos de autenticação, como senhas, autenticação de dois fatores, biometria e controle de acesso.
Firewalls e VPNs: Explore os princípios de firewalls, suas configurações e regras de filtragem de tráfego. Estude também as redes virtuais privadas (VPNs) e como elas estabelecem conexões seguras.
Gerenciamento de identidade: Familiarize-se com técnicas de gerenciamento de identidade e acesso, como diretórios LDAP, autenticação federada e Single Sign-On (SSO).
Teste de Penetração (Penetration Testing):
Metodologias de teste de penetração: Estude as fases do teste de penetração, incluindo reconhecimento, coleta de informações, exploração de vulnerabilidades e relatório de resultados.
Ferramentas de teste de penetração: Aprenda a utilizar ferramentas populares, como o Kali Linux, Nmap, Metasploit e Burp Suite.
Vulnerabilidades comuns: Adquira conhecimentos sobre as vulnerabilidades mais comuns encontradas em sistemas e aplicativos, como injeção de SQL, cross-site scripting (XSS) e falhas de configuração.
Compliance e Regulamentações:
Entenda as leis e regulamentações relacionadas à segurança da informação, como a Lei Geral de Proteção de Dados (LGPD) no Brasil ou o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia.
Conformidade de segurança: Estude os padrões e frameworks de segurança, como ISO 27001, NIST Cybersecurity Framework e PCI-DSS.
Desenvolvimento de Habilidades Práticas:
Participe de desafios de segurança cibernética (Capture The Flag - CTFs) online para testar suas habilidades e enfrentar cenários reais.
Configure seu próprio ambiente de laboratório para praticar testes de penetração, utilizando máquinas virtuais e redes isoladas.
Certificações:
CompTIA Security+: É uma certificação de nível básico que abrange conceitos fundamentais de segurança cibernética, incluindo redes, criptografia, ameaças e vulnerabilidades, gerenciamento de identidade e acesso, entre outros.
Certified Ethical Hacker (CEH): Certificação voltada para profissionais que desejam se tornar hackers éticos. Aborda técnicas de hacking, testes de penetração, identificação de vulnerabilidades e medidas de prevenção.
Certified Information Systems Security Professional (CISSP): É uma certificação de nível avançado que abrange uma ampla gama de tópicos em segurança da informação, como gerenciamento de riscos, arquitetura de segurança, segurança de redes e criptografia.
Offensive Security Certified Professional (OSCP): É uma certificação altamente respeitada na área de testes de penetração. Os candidatos devem passar por um rigoroso exame prático, demonstrando suas habilidades em explorar vulnerabilidades e obter acesso a sistemas.
Certified Information Security Manager (CISM): É uma certificação voltada para profissionais de gerenciamento de segurança. Aborda aspectos de governança, gestão de riscos, desenvolvimento e gerenciamento de programas de segurança.
Certified Information Systems Auditor (CISA): É uma certificação para auditores de sistemas de informação. Envolve a avaliação de controles de segurança, gerenciamento de riscos e governança de TI.
GIAC Security Essentials (GSEC): Certificação abrangente que cobre uma ampla variedade de tópicos em segurança cibernética, incluindo redes, defesa contra ameaças, criptografia, política de segurança e conformidade.
EXIN Privacy and Data Protection Foundation: É uma certificação de nível básico que fornece uma compreensão dos principais conceitos e terminologias relacionados à privacidade de dados e proteção de dados pessoais. Cobrindo regulamentos como o GDPR e a Lei de Privacidade do Consumidor da Califórnia (CCPA), ela aborda os princípios de privacidade, direitos do titular dos dados, responsabilidades do controlador e do processador de dados, entre outros tópicos.
EXIN Privacy and Data Protection Practitioner: Essa certificação é voltada para profissionais que desejam obter conhecimentos práticos em privacidade de dados e proteção de dados pessoais. Aborda a aplicação prática dos princípios de privacidade, gerenciamento de riscos, implementação de medidas técnicas e organizacionais, impacto de privacidade e gerenciamento de incidentes de privacidade.
EXIN Privacy and Data Protection Officer: Destinada a profissionais que desejam se tornar responsáveis pela privacidade de dados e proteção de dados pessoais em organizações, essa certificação aborda a função do Privacy Officer. Inclui conhecimentos sobre regulamentos de privacidade, gerenciamento de programas de privacidade, avaliação de riscos, auditorias de privacidade e cooperação com autoridades de proteção de dados.
E sobre faculdades?
No Brasil existem boas opções de cursos superiores na área de cibersegurança. Aqui estão algumas instituições e cursos reconhecidos:
Universidade de São Paulo (USP) - Bacharelado em Ciência da Computação com ênfase em Segurança de Informação.
Universidade Estadual de Campinas (UNICAMP) - Bacharelado em Engenharia de Computação com ênfase em Segurança da Informação.
Instituto Militar de Engenharia (IME) - Bacharelado em Engenharia de Computação com ênfase em Segurança Cibernética.
Universidade Federal de Santa Catarina (UFSC) - Bacharelado em Sistemas de Informação com ênfase em Segurança da Informação.
Universidade de Brasília (UnB) - Bacharelado em Ciência da Computação com ênfase em Segurança da Informação.
Universidade Estácio de Sá: A Universidade Estácio de Sá oferece o curso de graduação em Segurança da Informação, com uma abordagem ampla que abrange aspectos técnicos e gerenciais da área.
Universidade Presbiteriana Mackenzie: A Universidade Presbiteriana Mackenzie possui o curso de graduação em Ciências da Computação com ênfase em Segurança da Informação, que prepara os estudantes para atuarem na proteção de sistemas e dados.
FIAP: A Faculdade de Informática e Administração Paulista (FIAP) oferece o curso de graduação em Segurança da Informação, com uma grade curricular atualizada e parcerias com empresas do setor.
Universidade de Brasília (UnB): A UnB possui o curso de graduação em Engenharia de Software com ênfase em Segurança da Informação, formando profissionais aptos a lidar com os desafios de proteger a informação em ambientes computacionais.
PUC Minas: A Pontifícia Universidade Católica de Minas Gerais oferece o curso de graduação em Sistemas de Informação com ênfase em Segurança da Informação, fornecendo uma base sólida em tecnologia e conhecimentos específicos de segurança.
Quero me aprofundar mais, quais livros você indica?
Quanto aos livros brasileiros na área de cibersegurança, aqui estão algumas recomendações:
"Segurança de Redes em Ambientes Cooperativos" - Carlos Becker Westphall e Jorge Werner.
"Segurança da Informação: Técnicas, Normas e Procedimentos" - Paulo Lício de Geus.
"Cibersegurança: Como se Proteger de Ataques Cibernéticos" - Sandro Süffert.
"Segurança de Redes" - André Luiz Moura dos Santos e Paulo Lício de Geus.
"Hackeando Tudo: 90 Hábitos para Desenvolver a Mentalidade de um Hacker" - João Pedro Pereira.
"Social Engineering: The Art of Human Hacking" por Christopher Hadnagy: Este livro explora as técnicas de engenharia social utilizadas por hackers para manipular e enganar pessoas visando obter informações confidenciais. Ele oferece insights valiosos sobre como identificar e se proteger contra essas técnicas.
"The Psychology of Information Security" por Leron Zinatullin: Este livro explora os aspectos psicológicos por trás dos erros humanos em segurança da informação. Ele examina como os fatores humanos podem levar a violações de segurança e oferece estratégias para melhorar a conscientização e o comportamento dos usuários.
"The Art of Deception" por Kevin D. Mitnick e William L. Simon: Escrito por um famoso hacker, este livro explora as táticas de engenharia social usadas para manipular pessoas e obter acesso a informações confidenciais. Ele destaca a importância da conscientização em segurança e fornece exemplos práticos para ajudar os leitores a se protegerem contra ataques.
"Security Awareness: Applying Practical Security in Your World" por Mark Ciampa: Este livro aborda os fundamentos da conscientização em segurança da informação, incluindo ameaças comuns, medidas de segurança e melhores práticas. Ele fornece uma visão geral abrangente e prática para os leitores entenderem e aplicarem a segurança da informação em suas vidas pessoais e profissionais.
"The Security Awareness Handbook" por Kai Roer e Ira Winkler: Este livro é um guia prático para a criação e implementação de programas de conscientização em segurança da informação. Ele fornece uma estrutura passo a passo para desenvolver um programa eficaz, incluindo estratégias de comunicação, treinamento e engajamento dos usuários.
A cibersegurança precisa de você! Bora ingressar na área?