No dia 24 de julho de 2007, recebí a confirmação da minha aprovação no exame de Certificação CISSP - Certified Information Systems Security Professional. Essa certificação tem reconhecimento internacional e mostra-se hoje como a mais completa para profissionais que atuam na área de segurança da informação. O consórcio (ISC)2 - International Information Systems Security Certification Consortium - é uma entidade sem fins lucrativos que regula/mantem essa certificação; Essa entidade possui certificação ISO/IEC Standard 17024-2003, que a credencia como modelo nos processos de avaliação e certificação de profissionais.
A Certificação
============
A certificação CISSP é formalmente utilizada pelo Departamento de Defesa Americano (DoD) como requisito para seus funcionários e, também, é apontada pela Agência Nacional de Segurança (NSA) como referência para benchmarck em segurança da informação. Devido a grande abrangência de assuntos em que a certificação é baseada, há uma segmentação em domínios de segurança, conforme abaixo:
- Controle de Acesso;
- Segurança em Aplicações;
- Continuidade de Negócios e Recuperação de Desastres;
- Criptografia;
- Segurança da Informação e Gestão de Riscos;
- Leis, investigação e ética;
- Segurança Operacional;
- Segurança Física (ambientes);
- Arquitetura e Design de Segurança;
- Redes e Telecomunicações.
Possui, ainda, como pontos positivos:
- Independência de fornecedor/produto, ou seja, o estudo e uso das boas práticas de segurança não depende de produto ou fornecedor e isso é fortemente mostrado durante os estudos. O (ISC)2 mantém uma frase em sua logomarca que reforça bem sua visão em relação a segurança: “Security Transcends Technology”;
- Requisitos para obter e manter a certificação que garantem a qualidade, experiência e atualização do profissional perante o mercado. Após obter a certificação, o profissional terá que acumular uma pontuação mínima dentro de 3 anos para renovar seu certificado, essa pontuação é obtidas por participação em eventos de segurança, docência, palestras, projetos, artigos ou livros publicados, dessa forma, garantindo que o profissional certificado sempre estará atualizado com as boas práticas do mercado.
O caminho até a certificação
========================
Percebendo a necessidade de manter-se atualizado com as boas práticas de segurança no mercado e que, de fato, a segurança da informação não tinha vinculação alguma à produtos, iniciamos uma pesquisa no mercado sobre as certificações profissionais existentes que atendessem a essa necessidade. Em julho de 2006, localizamos a certificação CISSP como uma provável candidata a atender o nosso objetivo. Buscamos referências no mercado, grupos de discussão, fóruns etc e, então, fomos indicados a participar do grupo de discussão CISSPBR que reúne hoje mais de mil participantes e conta com atuação ativa de profissionais reconhecidos no mercado brasileiro e internacional (Dr. Renato Opice Blum, Anderson Ramos são exemplos). Essa lista de discussão é hoje a maior referência para debates sobre temas que envolvam o assunto segurança da informação, nasceu com o objetivo de tratar assuntos relativos ao CISSP, porém, hoje tem um objetivo bem mais amplo.
Partindo da experiência/orientação de alguns profissionais já certificados, iniciei um grupo de estudos para realizar encontros presenciais aos sábados aqui em Brasília (Cissp-df) e por meio da lista mestre convidei os possíveis interessados para essa maratona de estudos aqui em Brasília. Formamos um grupo de 10 pessoas, negociamos a liberação de sala para com a Universidade na qual eu já vinha cursando pós-graduação em Segurança da Informação e começamos os estudos. Elaboramos calendário, dividimos os responsáveis por cada domínio, formato dos encontros (ppt+exercícios) e assim seguimos até janeiro de 2007, quando concluímos todos os capítulos do livro ALL-IN-ONE (primeiro livro apontado como referência para estudos). A partir de fevereiro iniciou-se uma segunda fase de estudos baseada no livro OFFICIAL GUIDE e por questão de objetivos (datas para fazer a prova) individuais o grupo seguiu discutindo questões por e-mail e cada integrante determinou seu ritmo conforme as datas em que pretendiam realizar o exame.
Após divulgação do calendário de provas, verificamos que pela primeira vez havia uma possibilidade real de aplicação da prova aqui em Brasília, 14 de julho de 2007, e essa foi a data escolhida por mim para realizar o exame. Para os últimos meses de estudo, contei com a compreensão dos gestores, pois, em alguns dias em que ficava esperando pela esposa, aproveitava esse tempo para estudar. No momento do “split” final, novamente apoiado pela gerência, saímos de férias por 15 dias (duas últimas semanas antes da prova) o que permitiu uma dedicação final aos estudos e, consequentemente, resultou na minha aprovação no exame CISSP.
Ao concluir esse projeto com êxito, acredito que uma certificação profissional como essa tem muita importância para o profissional e para a empresa na qual o memo atua, mas, não pela certificação em si e sim pelo caminho percorrido até chegar na mesma, que possibilita uma troca de conhecimentos intensa, que obriga a estar “antenado” com as boas práticas do mercado e que, por fim, mostra-nos toda a importância de mantermos um aprendizado contínuo se quisermos ser um bom profissional de segurança.
Fontes:
wikipedia - http://en.wikipedia.org/wiki/CISSP
isc2 - http://www.isc2.org
CISSP - Como cheguei à certificação by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License.
