Com certeza é possível afirmar que o fator humano é determinante para o sucesso ou fracasso em processos que envolvem a segurança da informação.
Diante disso, sabemos que é fundamental o treinamento e a conscientização dos usuários. Mas e quando o próprio gestor ou “CSO” não sabe o que fazer? É isso mesmo! É comum ver pessoas que levam a segurança da informação como brincadeira. Basta notar algumas atitudes de alunos que estão se formando na área, ainda me lembro de tempo atrás, quando estava ministrando a disciplina segurança de redes e um aluno veio me perguntar: “e ai Professor? quando nós vamos aprender invadir o Orkut ? Facebook? já estou cansado de TCP… quero colocar a mão na massa”… , deixo claro que não é brincadeira isso ocorreu.
Hoje é difícil ver pessoas realmente envolvidas e com vontade de aprender, a maioria vai ao encontro das famosas “receitas de bolos” e na maioria das vezes nem sabe o que está fazendo, pois, pega um vídeo aqui outro ali e depois sai anunciando sou “pentest”! Ai mora o perigo e muitas empresas acabam por contratar essas pessoas.
Bem, com meu pouco de experiência deixarei aqui uma “receita de bolo” para aqueles que realmente querem se tornar bons profissionais da área de segurança da informação e inclusive um bom pentest.
1.) Não temas o inglês.
…Não, você não está enganado, muitos perguntam sobre material de segurança e quando você cita algum material em inglês a pessoa entra em pânico, saiba que para se tornar um bom profissional e principalmente na área de tecnologia você deve possuir pelo menos o inglês técnico e básico…
2.) Não fujas do TCP.
… Aquele que não conhece protocolos e tecnologias ligadas a redes de computadores nunca será um bom pentest, leia a fundo os padrões e funcionamento…
3.) Não temas a linguagem de programação.
… É comum ver alunos e principalmente na área de redes de computadores perguntar: por que tenho que programar ? é … Saiba que a maioria dos exploits são construídos na linguagem C…
4.) Não temas perguntar.
… É muito comum nos depararmos com a arrogância e falta de humildade, tente colher com especialistas da área, participe de comunidades, fóruns e inclusive post dúvidas, seja um eterno aprendiz.
5.) Não temas normas.
… É fundamental o conhecimento e estudo das normas relativas ao pentest OSSTMM, NIST, ISSAF e segurança da informação 27000, 17799 e as derivadas.
6.) Não temas pesquisar
… O bom profissional vive de pesquisas e estudos, então …. pesquise, estude, teste !!! e só assim se tornará um bom profissional …
7.) Não temas os estudos
…. Muitos fazem uma faculdade e já se denominam “Deuses” , continue estudando, busque certificações, especializações e assim terá maior chance de se tornar um especialista na área.
8.) Não acredite que seu ambiente está 100% seguro
…. Existem aqueles que pensam que há sistema 100% seguro, isso não é verdade… sempre esteja preparado contra ataques, monitore, monitore, monitore, teste, teste, teste…
9.) Não deixe tudo na mão da tecnologia
…. Tecnologia é muito bom, mas você é quem deve estar no comando, não pense que apenas um firewall, um antivírus e sistemas de biometria farão o serviço. Você deverá avaliar, monitorar, buscar novas falhas, explorar e somente dessa forma poderá dizer que seu ambiente possui nível aceitável de segurança.
10.) Não temas LINUX
…É ……. parece brincadeira, mas existe aqueles que temem o UNIX, descubra novos sistemas operacionais, não seja escravo de um único sistema e esteja preparado para outros ambientes…
Bem, não quero me tornar o dono da razão! mas deixo aqui minha miserável experiência e meu pouco conhecimento na área e espero que você futuro profissional de segurança tenha sucesso, boa sorte e até a próxima.
