Saudações pessoal,

No final deste mês completo meu primeiro ano como profissional certificado CISSP e achei interessante postar algo sobre as minhas percepções da vida profissional após ter passado na prova.

Antes de mais nada, quero reforçar que postarei aqui opiniões pessoais as quais terão ponto de vista positivo em alguns momentos e negativo em outros, isso tudo baseando-se nos meus projetos de vida profissional e pessoal.

Enfim, passa-se 1 ano e torna-se quase impossível não fazer uma pequena retrospectiva sobre todos os prós e contras da certificação e porque não, das polêmicas que a envolve.

Se é que pode haver um ponto de vista comum entre os que valorizam e os que não valorizam a certificação, esse ponto de vista é: O processo de estudos para se chegar a certificação agrega muito valor ao profissional de segurança, seja pela visão sistêmica que o profissional passará a ter sobre segurança da informação, seja pela rede de contatos e troca de experiências que ocorrerá durante os encontros para estudo.

Não importa se você passou ou não no exame, não importa nem mesmo se você não chegou a fazer a prova, pois, se você levou a sério todos os encontros e participou ativamente dos estudos, você já agregou valor a sua formação profissional.

Ok, e aquela perguntinha “Vale a pena fazer a certificação ?” hehehe, não se deve responder uma pergunta com outra, mas, apenas como comparativo: “Vale a pena fazer um curso de engenharia?” A resposta é muito pessoal. Há vários aspectos a serem considerados para se chegar a uma resposta, no entanto, me arrisco a citar 2 entre tantas perguntas que me fiz antes de tomar a decisão de buscar a certificação: “Qual meu perfil profissional: Especialista ou Generalista?”; “De que forma pretendo usar a certificação na minha carreira profissional?”

Na minha visão, qualquer profissional de segurança tem a obrigação de adquirir um mínimo de visão sistêmica da nossa área de atuação (note que apenas os estudos para o cissp já seriam suficientes para isso) e depois partir para a especialização em algum dos domínios da segurança da informação. Do que estamos falando aqui? Conteúdo !!!

Então não preciso certificar, certo? Errado !!! Lembrem-se: é apenas uma opinião :-). Meu ponto de vista é: Não se prendendo à questões de certo/errado ou justo/injusto, o mundo profissional te cobra Apresentação e Conteúdo. Você precisa dos dois. Muitas vezes você terá muito mais conteúdo que um concorrente a uma boa vaga de emprego, porém, ocorre que você pode ser cortado já na fase de Apresentação. E o cara sem conteúdo e só com apresentação? Esse vai cair na fase de validação de conteúdo. Porém, é bem possível que entre os candidatos aprovados na primeira fase haja um cara de conteúdo bom, ou até mesmo mediano, que será o contratado. E o cara só de conteúdo ótimo? A empresa nem ficou sabendo de sua existência. Mundo cruel !!!

Melhor dizendo, certficação e conhecimento são complementares: o primeiro é seu cartão de visitas ou talvez seu atestado de nível mínimo de conhecimento - “permite que você entre na pista de corrida”; o segundo é o seu motor, é todo o conhecimento e experiência disponíveis para contribuir com a empresa contratante - “esse te permite brigar pelo pódio”.

Para aqueles que almejam uma experiência profissional ou mesmo uma vida fora do país, novamente, a certificação destravará portas, mas, não as abrirá, pois, isso é papel do conhecimento e experiência. Falo dessa questão internacional porque além de ser uma meta minha, há uma probabilidade muito maior de você não ter uma rede de relacionamento profissional naquele país - profissionais/empresas daquele país não te conhecem - e isso pesará ainda mais no lado dos desafios a serem superados quando estivermos lá fora.

O lado negativo ou polêmico da certificação é que pelo fato de haver muita “mídia” em cima do Cissp, as pessoas se atraem pela certificação e não pelo conteúdo que deve ser absorvido e ao serem aprovadas, acreditam que tudo acabou alí e que agora é andar com o “pin” pra tudo que é lado. Use o “pin”, assine Cissp, mas, não esqueça o conteúdo e a experiência.

Vou parando por aqui, espero que de alguma maneira essas informações possam ajudar aqueles que estão na fase de decisão entre encarar ou não a maratona em busca do Cissp.

[]s
Estenio Sobral, CISSP

cissp-impressoes-do-primeiro-ano by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License

Saudações pessoal,

Damos início aqui a nossa última etapa da trilha em busca do SGSI e você deve ter percebido que o título intriga um pouco quando vemos o “… ou não”, não é mesmo? Pois é, vamos ver o que nos espera lá no final da trilha.

Antes de levantarmos acampamento, vamos apenas nos recordar, resumidamente, pelo que passamos na etapa anterior da nossa trilogia. Então, lembro que:

1. Pegamos uma área de negócio como exemplo para nosso escopo.
2. Definimos como ativo principal os processos de negócio daquela área.
3. Levantamos todos ou os principais processos da área.
4. Estipulamos um régua de pontuação da importância do processo baseada em valores financeiros. Nesse ponto há necessidade de grande participação dos gestores da área de negócio para definir o que separa um processo menos importante daquele mais importante.
5. Avaliamos os processos com base nessa régua e descobrimos os seus respectivos níveis de IMPACTO
6. Partimos em busca do nível de EXPOSIÇÃO desses processos, onde há uma forte participação do consultor de segurança em determinar se um controle de segurança está implementado ou não.
7. Paramos e montamos acampamento para digerir as experiências dessa trilha e tentar fazer previsões de como chegaríamos ao nível de EXPOSIÇÃO e consequentemente ao RISCO, que é a relação direta: IMPACTO x EXPOSIÇÃO.

Agora é hora de encarar o último trecho, como formatar um régua de avaliação para medir o nível de exposição de um processo de negócio? Há várias formas de se fazer isso, vamos aqui dar foco em um exemplo, o qual foi levemente falado na segunda etapa da trilogia e que agora vamos detalhar mais.

Os Controles da ISO 27001 são um bom começo para criação da régua, porém, podem ser complementados e até mesmo reduzidos. Humm, tá parecendo palestra sobre bolsa de valores heheh: “se cair 1% pode cair 5%, se subir 2%, pode chegar a 3%”. Calma !! Como já falei, vamos seguir em um exemplo concreto, utilize os controles da ISO e construa um questionário para ser respondido por você mesmo (consultor de segurança) após analisar os ativos de suporte daquela área.

Opa, algo novo: “ATIVO DE SUPORTE é o que faz, de fato, o ativo principal - processo de negócio - acontecer, ou seja, Hardware, Software, Rede, Recursos Humanos, Instalações Físicas e Estrutura Organizacional (maiores informações ISO 27005).

Você pode estar se perguntando: “será que terei que analisar cada processo de negócio?”. Normalmente não, pois, surge o que chamo de efeito cascata da análise. Perceba que normalmente um determinado setor de uma empresa conduz vários processos de negócio, ou seja, as pessoas, softwares, instalações etc analisadas são as mesmas, consequentemente, as melhorias no nível de exposição de cada processo de negócio tende a afetar o mesmo grupo de ativos de suporte. O resumo disso tudo é que, para uma primeira avaliação de SGSI, você poderá pegar apenas o processo de maior grau de IMPACTO e avaliá-lo sob o ponto de vista da EXPOSIÇÃO.

Por que????? Adoro perguntar o “porquê” das coisas e você? hehehe. Aí vai: O resultado final do trabalho não é mostrar problemas ao Gestor e sim mostrar o nível de risco existente e a proposta para se atingir um nível de risco adequado à importância daquele processo de negócio. A implementação dessas propostas de melhorias irão atingir não só o processo de negócio mais crítico daquela área, mas, todos os processos tratados por aquele grupo de ativos de suporte. Eis o efeito cascata.

Obs: Não devemos nos prender ao detalhe que falarei a seguir, mas, guarde isso como informação que poderá ser explorada mais na frente. Note que o nível de impacto (perda financeira) e valor do ativo tendem a ser iguais nesse contexto que adotamos, porém, há excessões quando um ativo (físico normalmente) pode não ser impactado 100% graças a ação de um controle. Exemplo, incêndio numa sala com 100 computadores, porém, 80 deles não sofreram danos graças a ativação do controle de incêndio e, dessa forma, o grupo de ativo Computadores não foi impactado 100% do seu valor.

Voltando ao nosso exemplo, chegamos ao momento de juntar todos os resultados num relatório gerencial. Não entrarei em muitos detalhes do que deve conter esse relatório, mas, tentarei mostrar exemplos das principais informações que devem estar nele.

• Descreva a área onde foi aplicada a avaliação, não esquecendo de identificar o responsável pela mesma.
• Descreva o Ativo Principal - processo de negócio mais relevante da área.
• Detalhe os Ativos de Suporte existentes no processo.

• Gere gráficos, tabelas etc para mostrar ao Gestor o Nível de Risco do seu processo conforme Impacto e Exposição obtidos nas avaliações. Veja um exemplo:

A imagem acima representa uma matriz 5×5 - Impacto x Exposição que consequentemene aponta o Nível de Risco do processo avaliado. Perceba que formamos 5 níveis de Risco contendo 5 componentes (ex. Risco Muito Alto possui os compontentes: 44, 45, 53, 54, 55), mas, essa distribuição é flexível e deve ser definida pela empresa. Detalhando um componente, por exemplo 45, obtemos a informação que o processo XYZ tem nível 4 de Impacto e 5 de Exposição, levando o processo para o patamar de Risco Muito Alto para a organização, que o deixa em primeiro nível de prioridade para implantação de melhorias nos controles de segurança.

• Podemos detalhar a informação em nível de Controles da ISO 27001 ou mesmo por Ativo de Suporte, exemplo:

Na figura acima, teríamos o seguinte detalhamento: dentro do processo XYZ, que tem Nível de Risco Muito Alto (45), a distribuição do nível de exposição por controle da ISO 27001 é: Gestão de Ativos = 5; Seg. Recursos Humanos = 5; Seg. Física e de Ambientes = 4; etc.

• Proponha um Plano de Ação para melhoria dos controles existentes no processo de negócio.

Terminamos por aqui a nossa última etapa da trilogia da família ISO 27000, espero que essas informações possam ajudar outros profissionais da área de segurança que estejam envolvidos nessa “luta” que é a implementação de um SGSI numa organização. Vimos pelo caminho percorrido que há vários detalhes a serem explorados, pois, faz parte do ciclo de vida do SGSI a própria melhoria do modelo que ficará mais maduro a medida que rodamos o ciclo PDCA. Para fecharmos, acredito que o “… ou não” do título já está respondido: Não Há Fim nessa trilha, pois, a linha final do processo de segurança e qualidade nas organizações é apenas o começo de um novo ciclo de trabalho.

Estenio Sobral, CISSP

Trilogia da Família ISO 27000: Fim da trilha … ou não! by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License

Olá pessoal,

Continuando nossa trilogia …

Falando ainda um pouco da fase do Ódio pelo @$#$¨&*% SGSI (isso logo logo vai mudar para o Adorável SGSI, acredite!), algo que certamente alimenta essa fase da “raiva” é a falta de algo concreto para usar como trilho e isso você já deve ter percebido que não é objetivo das normas, ou seja, você tem trilhas e não trilhos, estando aí o principal desafio do profissional de segurança: “construir o trilho”, ou melhor, transformar a avaliação de segurança da informação em processo repetitível e abrangente de forma a fornecer aos gestores uma visão do nível de proteção dos seus ativos críticos, auxiliando-os na tomada de decisão sobre investimentos em segurança dentro da corporação.

Lembre-se: tenha sempre em mente que a linguagem dos gestores é feita de números, trabalhe com métricas !!

O início da transformação:

Confesso que a ISO 27005, agora já publicada oficialmente, foi onde obtive o primeiro “plim” de como começar a construir o “trilho”. Não sei se por ter sido a última a ser lida e com o acúmulo de informações das leituras prévias tudo se encaixou ou se realmente foi por conta da visão mais prática que ela traz, inclusive com muitos exemplos em seus anexos. Sem mais delongas, a partir daqui eu começo a falar de um exemplo de construção de um SGSI, apenas reforçando a informação de que não há trilho, há trilha para se contruir o trilho, devendo-se respeitar todas as variáveis existentes num ambiente corporativo. Lá vamos nós:

1 - Obtenha da organização os limites em que sua avaliação (escopo) será aplicada. Por exemplo, que área de negócio será avaliada?

2 - Levante o ativo principal (iso27005) da área avaliada. Digamos que pensando em processos de negócio, você teria o objetivo de catalogar todos os processos e realizar uma classificação sob o ponto de vista de perda financeira. E as perdas com problemas de imagem etc? Concordo, porém, guarde isso em seu “a fazer”. Comece com o que é tangível, depois parta para o intangível. Afinal de contas, temos que começar de algum ponto. Então, procure obter do processo de negócio informações sobre tempo de parada do processo no último ano ou período maior (calcule por exemplo: total de usuarios x valor da hora trabalho de cada um x total de horas paradas), multas decorrentes, média de vendas ou operações não realizadas etc. Em resumo, estabeleça uma régua de classificação dos processos de negócio baseada em valor de perda financeira. Uma vez feito isso, parabéns, você acaba de obter a classificação do IMPACTO daquele processo de negócio.

Obs: É importante lembrar que: se já existir qualquer forma de avaliação de impacto na empresa, por exemplo, um BIA (Business Impact Analysis) você deverá integrar à sua metodologia. Verifique apenas se foram consideradas as perdas sob o aspecto da confidencialidade, integridade e disponibilidade.

3 - O próximo passo é estabelecer a avaliação sob o ponto de vista da EXPOSIÇÃO, pois, o cálculo do RISCO é uma relação direta entre IMPACTO x EXPOSIÇÃO. Você encontrará muita literatura falando que a exposição é calculada a partir da relação entre vulnerabilidade x ameaça e não há nada incorreto sobre isso, porém, a parcela de subjetivismo existente para se estipular um nível de vulnerabilidade e de ameaça a um ativo é muito grande. Esse subjetivismo é uma grande barreira, principalmente, em organizações com baixo nível de cultura de segurança - o que em minha opinião é a realidade de 90% ou mais aqui no Brasil (não sei como está isso em outros países) - onde um gestor de processo crítico é capaz de responder a um questionário de risco buscando a meta de ter menos trabalho a fazer, menos controles a implementar etc. Então, qual seria uma boa estratégia ? Pode haver várias, eis aqui uma que costumo seguir: Impacto - o gestor é a pessoa mais capacitada quando se fala de valores financeiros envolvidos no processo. Apenas conduza/oriente-o dentro de uma régua de avaliação. Exposição - você, profissional da área de segurança, é o mais capacitado a avaliar controles de segurança que possuem relação inversa com a Exposição, ou seja, se você está começando do “zero” um trabalho de montar um SGSI, permita-se considerar para o processo de negócio avaliado, toda a lista de ameaças comuns (iso27005) como ponto de partida. Tendo isso como base, derivamos na visão de que, no mínimo, todos os controles de segurança da iso27001 deverão ser avaliados.

Percebeu que as “coisas” estão ficando mais claras? Bom, espero que sim !!! Agora é saber como avaliar os 133 controles da ISO e como arrumar todo o resultado obtido em forma de gráficos etc. Veremos isso no próximo post, onde, acreditem, o milagre da comunicação entre Técnicos e Gestores irá ocorrer !!!

Até lá …

Trilogia da Família ISO 27000: SGSI chegando … by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License

Pessoal,

Quem já se meteu em projetos para estabelecer um SGSI (Sistema de Gestão da Segurança da Informação) deve ter vivido ou estar vivendo essa relação de amor e ódio. Ainda bem que o Ódio vem primeiro e depois transforma-se tudo em amor hehehe. Não quero de forma alguma ser polêmico nem tampouco ter voz de autoridade sobre o assunto, quero sim compartilhar alguma experiência que obtive nessa linha de trabalho em cima da família ISO 27000. Antes de mais nada, adianto que não vou entrar muito no mérito teórico e sim nos aspectos práticos de se trabalhar com esse assunto.

De onde se origina o Ódio:

Bem, esse sentimento ruim começar a brotar logo nos primeiros dias em que você começa a “googlear” sobre o assunto. Nossa !!! É tanta informação que você nem sabe por onde começar, após alguns minutos de digestão do conteúdo trazido pelo google, você percebe a necessidade de adquirir as normas e talvez realizar algum curso para organizar as idéias.

Dica: se você está percebendo um movimento dentro da empresa sobre esse assunto ou você mesmo pretende começá-lo, tente negociar logo curso, pois, depois que tudo começar, não haverá mais espaço para isso. Não se desespere, a realização de um curso serviria para organizar suas idéias, mas, não impedirá que você siga pela linha do auto-didatismo (bastante comum e até necessário para nossa área de trabalho :-O ). Pesquise - Leia - Pergunte - Pesquise - Leia - Pergunte - Pesquise - Leia - Pergunte.

Continuando a explicação de onde o ódio se origina … Agora você adquiriu as normas, ISO 27001, 27002, 27005 (draft) e agora? Qual serve para que? Rapidamente e sem nenhuma profundidade científica (apenas minha visão), 27001 - Guia de auditoria (SGSI contruído, auditor vai lá para certificar), 27002 - Detalhamento sobre controles (ao rodar o ciclo PDCA do SGSI você pode pontuar o nível de implementação do controle) opa, pontuar - medir - etc, palavras mágicas entendidas pelos gestores. Pratique isso !!! Por último, 27005 (draft) - Como construir o seu SGSI, exemplos etc.

Hummmm, uma luz no fim do túnel … vou correr para estudar só a 27005 … Não !!! Tem-se que estudar todas as 3 e ainda buscar apoio em outras para o maior detalhamento possível. De fato já há uma luz no fim do túnel e não é um trem … keep walking.

A essa altura já começamos a perceber que tudo vai girar em torno de algumas palavras mágicas: Ativo, Impacto, Ameaça. Porém, a impressão será de que essas #$%%#% palavras vão te levar a loucura, pois, vão encher mais ainda a sua cabeça de dúvidas. Que loucura, a sensação de que a luz do fim do túnel está se apagando é terrível. O que é um ativo? O escopo também é um ativo? Ativo tangível, intangível, principal e de suporte (what?), Impacto diminui com implementação de controles (a norma vai te falar que sim, mas, na minha visão há casos em que o impacto terá uma relação binária 0 ou 1) ? Como chegar em números para o impacto e a ameaça? Como fugir de tanto subjetivismo, há como diminuir? Probabilidade de algo sem histórico? hehehe Coisa de doido. É tão desafiador que me fez lembrar daqueles problemas de física que ninguém consegue responder e você tem uma linha de raciocínio que acredita ser possível chegar à solução. De repente você não consegue largar mais aquilo, você quer chegar ao final logo. Será que ódio já está se transformando? Ainda não !!! Haverá mais pedras pelo caminho. Adoro trilhas de aventura, sempre há belas recompensas no final - lindas paisagens, ar puro, belas cachoeiras etc.

No próximo capítulo da trilogia, começaremos a montar esse quebra-cabeça.

To be continued …

Trilogia da Família ISO 27000: Amor e Ódio by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License.

EJBCA - Autoridade Certificadora

Senhores,

Em dezembro de 2007 concluímos nossa pós-graduação em segurança da informação com a entrega de uma monografia que buscou explorar as funcionalidades do projeto EJBCA. Este projeto se propõe a disponibilizar à comunidade uma Autoridade Certificadora (AC) desenvolvida em código-aberto, rodando sobre a máquina virtual java.

O foco do nosso trabalho foi verificar a capacidade desse projeto de implantar uma Infra-estrutura de chaves públicas (ICP) que se adaptasse a estrutura organizacional de uma empresa. Dessa forma, iniciamos os trabalhos com a criação de uma estrutura organizacional e partimos para implantação do projeto de forma a adaptá-lo a essa estrutura.

Descreveremos a seguir a estrutura organizacional proposta: empresa de abrangência nacional que utilizará a certificação digital como forma de identificação, autenticação e autorização de seus usuários nos sistemas corporativos. A área de tecnologia é centralizada em São Paulo e é responsável pela manutenção/implantação dos sistemas corporativos. A área de gestão de pessoas é descentralizada por região do país, de forma a agilizar os processos de credenciamento de novos funcionários, desligamento etc.

O grande desafio para o projeto era utilizar-se dos perfis de acesso para controle das autorizações dentro da ICP Corporativa, segregar as funcionalidades de manutenção de sistema das de operação, segregar o atendimento operacional por região e permitir controle duplo para alguns procedimentos operacionais.

pensei: estou criando um monstrinho que vai me engolir junto com o projeto hehehe

Apesar da corrida contra o tempo, da grande variedade de aplicações envolvidas na implementação de uma ICP (jboss, mysql, openldap etc) e das dúvidas sobre o que seria o resultado final, conseguimos chegar ao final com um resultado positivo, ou seja, o projeto se adaptou a nossa estrutura organizacional proposta e atendeu a todos os requisitos de segurança apontados.

Seguiremos o post mostrando algumas imagens da implementação, porém, se houver interesse por informações mais detalhadas, é só baixar o arquivo pdf em anexo.

A ICP Corporativa ficou com a seguinte estrutura: 1 AC Raiz, 4 ACs Nível 1 (usuários, equipamentos, servidores e administradores). Abaixo da AC usuários, foram criadas Autoridades de Registro (AR) para cada região do país. A manutenção será realizada por técnicos da TI e a operação será realizada pelos funcionários da gestão de pessoa em cada região (tendo suas tarefas sendo validadas pelo gerente de pessoas daquela região).

O LDAP será o repositório de certificados e sua estrutura ficou conforme figura abaixo:

A próxima figura mostra a página inicial após instalação do projeto. Após a instalação, acessamos a área administrativa para criação dos perfis de usuários e seus certificados.
Obs: durante a instalação é criada a conta “root” do sistema que deverá ser utilizada durante a instalação/configuração da ICP. Concluída essa fase, os técnicos da área de TI terão contas específicas para manutenção.

Na área de administração, o menu ao lado esquerdo está com todas as funcionalidades disponíveis, pois, estamos acessando com a conta “root”. Após a criação dos perfis de usuários, as opções do menu serão limitadas de acordo com o perfil de usuário. Segue abaixo a imagem contendo os menus da área administrativa.

De acordo com a estrutura proposta, teríamos os seguintes perfis:

• usuário pessoa
• usuário servidor
• usuário equipamento
• superadministrador
• administrador de ac
• gerente de ar
• agente de registro

Os 4 últimos tem acesso á área administrativa, porém, com as respectivas restrições do perfil.

Após a configuração de todos os perfis, teremos a seguinte situação prática:

1. A manutenção dos perfis, certificados e contas e unicamente feita por administradores de ac, sendo obrigatória a confirmação da alteração por um segundo administrador de ac;
2. A conta superadministrador só será necessária em situações de contingência e seu uso deve ser autorizado pela direção por meio de canal de comunicação oficial da empresa;
3. Os gerentes regionais de ar estão encarregados de aprovar as requisições impostadas pelos seus agentes de registro. Na situação de indisponibilidade temporária do gerente daquela regiã, pelo critério da lateralidade, um gerente de outra região poderá aprovar os pedidos daquela regional;
4. Os agentes de registro não tem acesso para aprovar nenhum tipo de requisição no sistema;
5. Os usuários não tem acesso à área administrativa da ICP Corporativa.

Utilizamos no laboratório uma máquinas com características de desktop, rodando sistema operacional ubuntu 7.04. O trabalho demandou conhecimentos principalmente de certificação digital, banco de dados, ldap e java. E sob o ponto de vista da segurança da informação, consideramos que o tema mais fortemente tratado foi controle de acesso.

A referência principal é a página do próprio projeto que possui excelente documentação e, também, links para empresas que já implantaram a ferramenta ou que dão suporte a empresas.

• ejbca.org

Espero que este trabalho possa ajudar outros técnicos como exemplo de implementação documentado em português.

Autoridade Certificadora com EJBCA

[]s
Estenio Sobral, CISSP

EJBCA - Autoridade Certificadora by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License.

No dia 24 de julho de 2007, recebí a confirmação da minha aprovação no exame de Certificação CISSP - Certified Information Systems Security Professional. Essa certificação tem reconhecimento internacional e mostra-se hoje como a mais completa para profissionais que atuam na área de segurança da informação. O consórcio (ISC)2 - International Information Systems Security Certification Consortium - é uma entidade sem fins lucrativos que regula/mantem essa certificação; Essa entidade possui certificação ISO/IEC Standard 17024-2003, que a credencia como modelo nos processos de avaliação e certificação de profissionais.

A Certificação
============

A certificação CISSP é formalmente utilizada pelo Departamento de Defesa Americano (DoD) como requisito para seus funcionários e, também, é apontada pela Agência Nacional de Segurança (NSA) como referência para benchmarck em segurança da informação. Devido a grande abrangência de assuntos em que a certificação é baseada, há uma segmentação em domínios de segurança, conforme abaixo:

- Controle de Acesso;
- Segurança em Aplicações;
- Continuidade de Negócios e Recuperação de Desastres;
- Criptografia;
- Segurança da Informação e Gestão de Riscos;
- Leis, investigação e ética;
- Segurança Operacional;
- Segurança Física (ambientes);
- Arquitetura e Design de Segurança;
- Redes e Telecomunicações.

Possui, ainda, como pontos positivos:
- Independência de fornecedor/produto, ou seja, o estudo e uso das boas práticas de segurança não depende de produto ou fornecedor e isso é fortemente mostrado durante os estudos. O (ISC)2 mantém uma frase em sua logomarca que reforça bem sua visão em relação a segurança: “Security Transcends Technology”;
- Requisitos para obter e manter a certificação que garantem a qualidade, experiência e atualização do profissional perante o mercado. Após obter a certificação, o profissional terá que acumular uma pontuação mínima dentro de 3 anos para renovar seu certificado, essa pontuação é obtidas por participação em eventos de segurança, docência, palestras, projetos, artigos ou livros publicados, dessa forma, garantindo que o profissional certificado sempre estará atualizado com as boas práticas do mercado.

O caminho até a certificação
========================

Percebendo a necessidade de manter-se atualizado com as boas práticas de segurança no mercado e que, de fato, a segurança da informação não tinha vinculação alguma à produtos, iniciamos uma pesquisa no mercado sobre as certificações profissionais existentes que atendessem a essa necessidade. Em julho de 2006, localizamos a certificação CISSP como uma provável candidata a atender o nosso objetivo. Buscamos referências no mercado, grupos de discussão, fóruns etc e, então, fomos indicados a participar do grupo de discussão CISSPBR que reúne hoje mais de mil participantes e conta com atuação ativa de profissionais reconhecidos no mercado brasileiro e internacional (Dr. Renato Opice Blum, Anderson Ramos são exemplos). Essa lista de discussão é hoje a maior referência para debates sobre temas que envolvam o assunto segurança da informação, nasceu com o objetivo de tratar assuntos relativos ao CISSP, porém, hoje tem um objetivo bem mais amplo.

Partindo da experiência/orientação de alguns profissionais já certificados, iniciei um grupo de estudos para realizar encontros presenciais aos sábados aqui em Brasília (Cissp-df) e por meio da lista mestre convidei os possíveis interessados para essa maratona de estudos aqui em Brasília. Formamos um grupo de 10 pessoas, negociamos a liberação de sala para com a Universidade na qual eu já vinha cursando pós-graduação em Segurança da Informação e começamos os estudos. Elaboramos calendário, dividimos os responsáveis por cada domínio, formato dos encontros (ppt+exercícios) e assim seguimos até janeiro de 2007, quando concluímos todos os capítulos do livro ALL-IN-ONE (primeiro livro apontado como referência para estudos). A partir de fevereiro iniciou-se uma segunda fase de estudos baseada no livro OFFICIAL GUIDE e por questão de objetivos (datas para fazer a prova) individuais o grupo seguiu discutindo questões por e-mail e cada integrante determinou seu ritmo conforme as datas em que pretendiam realizar o exame.

Após divulgação do calendário de provas, verificamos que pela primeira vez havia uma possibilidade real de aplicação da prova aqui em Brasília, 14 de julho de 2007, e essa foi a data escolhida por mim para realizar o exame. Para os últimos meses de estudo, contei com a compreensão dos gestores, pois, em alguns dias em que ficava esperando pela esposa, aproveitava esse tempo para estudar. No momento do “split” final, novamente apoiado pela gerência, saímos de férias por 15 dias (duas últimas semanas antes da prova) o que permitiu uma dedicação final aos estudos e, consequentemente, resultou na minha aprovação no exame CISSP.

Ao concluir esse projeto com êxito, acredito que uma certificação profissional como essa tem muita importância para o profissional e para a empresa na qual o memo atua, mas, não pela certificação em si e sim pelo caminho percorrido até chegar na mesma, que possibilita uma troca de conhecimentos intensa, que obriga a estar “antenado” com as boas práticas do mercado e que, por fim, mostra-nos toda a importância de mantermos um aprendizado contínuo se quisermos ser um bom profissional de segurança.

Fontes:
wikipedia - http://en.wikipedia.org/wiki/CISSP
isc2 - http://www.isc2.org

CISSP - Como cheguei à certificação by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License.