As Três Principais Certificações de Segurança da Informação

Venho recebendo muitos e-mails ultimamente sobre questões relacionadas a carreira de segurança, principalmente acerca de onde a certificação Security+ se enquadra no mercado. A quase 1 ano atrás escrevi um post aqui neste blog que reportou Security+ entre as 10 das mais importantes certificações de Segurança segundo o Governo Americano.

Em Fevereiro deste ano a Information Systems Security Certification Consortium (ISC)2 fez uma pesquisa que revelou que a maioria dos gerentes que contratam profissionais de segurança estão olhando para Certificação e Acreditação (68%). Dentre estas certificações as principais (na ordem abaixo) são:

• CISSP
• Security+
• GIAC

Fonte: http://fcw.com/articles/2012/02/22/job-flourish-for-government-it-security-pros.aspx

Porém a outra pergunta que vem logo em seguida é: Yuri, e como o mercado está vendo a adoção de Cloud Computing e como isso afeta a empregabilidade do profissional de TI e de Segurança?

O mercado americano está super aquecido com a “Cloud Computing” e as certificações sobre este assunto não só crescem mas também tornam-se um diferencial para empregabilidade. Em breve, na quinta ediçao da Revista Segurança Digital, um artigo que escrevi sobre Segurança em Cloud Computing vai ser publicado e nele falo mais sobre as certificações nesta área e também do Brasil dentro deste mercado.  Porém, para sumarizar esta questão de certificações de Cloud Computing, a única recomendação que tenho é: certifique-se nesta área, pois Cloud Computing já não é mais uma tendência, e sim uma realidade.

Agora conte a sua história….

Olá Pessoal,

O Carnaval no Brasil acabou e para muitos só agora começa o ano, porém sei que isso não é verdade para o pessoal de TI, até mesmo por que profissional de TI nunca dorme, apenas cochila. Mas hoje estou aqui para pedir que você compartilhe com a comunidade sua história a partir da seguintes perguntas:

• Como a promoção Security+ para Todos lhe ajudou?
• Você aprendeu algo novo?
• Foi bom participar?
• Gostou? Quais os motivos que lhe fez “curtir” esta promoção?

OBS: Apenas os participantes da promoção poderam participar deste depoimento.

Conte sua história baseado neste contexto (não apenas responda as perguntas) no comentário deste post, a melhor história (maior impacto) vai ganhar a coleção abaixo autografada por mim e pelo Tom Shinder:

Lembrando que eu só irei enviar esta coleção em Julho, quando eu estarei no Brasil . Lembrando também que o vencedor da promoção Security+ para Todos pode adicionar seus comentários, mas não vai concorrer a esta coleção pois já ganhou o prêmio maior.

Grande abraço e uma ótima sexta pra todos !!

Promoção Security+ para Todos: Respostas da Quarta Rodada e Resultado Final

Chegamos ao fim da Promoção Security+ para Todos. Nas últimas quatro semanas tivemos uma interação maior através do Twitter e E-Mails. Obrigado a todos que participaram, o vídeo abaixo traz as respostas e o nome do vencedor.

Abraço e até a próxima !

Security+ Para Todos: Quarto Round de Perguntas

Olá Pessoal, chegamos a última rodada de perguntas da promoção Security+, infelizmente até o presente momento ainda não alcançamos os 100% de desconto no curso conforme anunciado nas regras. Até o momento temos 40% de desconto. Essa é a sua última chance de atrair mais seguidores para @yuridiogenes e @TrueSecBR para pelo menos bater-mos os 50% até sexta (ou quem sabe mais).

Agora é com vocês, seguem as últimas cinco questões da promoção.

---

Quarto round de perguntas

1) Qual das opções abaixo melhor ajuda na proteção de ataque do tipo ARP Poisoning através da rede?

a. Segmentação por VLAN
b. IPSec
c. Filtro IP
d. Análise de Logs

2) Uma pequena empresa precisa investir em um banco de dados caro. O orçamento da empresa não inclui a compra de servidores ou contratação de pessoal. A empresa está começando a avaliar outras opções que possam trazer um melhor custo benefício. Qual das opções abaixo é a MAIS recomendada para que a empresa faça uso de um banco de dados de alta qualidade, ao mesmo passo que economize dinheiro, minimize a contrataçõa de pessoal e aquição de novos servidores?

a. Permitir que os funcionários trabalhem de casa
b. Implementar uma Infraestrutura como Serviço (IaaS)
c. Fazer uso de Software como Serviço (SaaS)
d. Implementar virtualização nas premissas da empresa

3) Que tipo de controle é perdido quando se adota “Computação nas Nuvens”?

a. Controle lógico dos dados
b. Acesso administrativo aos dados
c. Acesso as configurações das aplicações
d. Controle físico dos dados

4) Um administrador de rede precisa configurar um túnel de acesso para VPN. Qual dos protocolos abaixo vai permitir isso?

a. RTP
b. SNMP
c. IPSec
d. 802.1x

5) O modo de isolação em um AP (Access Point) de uma rede sem fio fornece qual das funcionalidades abaixo?

a. Oculta o SSID
b. Faz o roteador ficar invisível para outros roteadores
c. Segmenta cada usuário da rede sem fio de outros usuários de outras redes sem fio
d. Não permite a comunicação direta entre usuários

---

É isso aí pessoal, uma excelente semana para todos e na sexta teremos o resultado final. Lembrem-se que no caso de empate iremos usar o critério de desempate que foi especificado no primeiro post.

Promoção Security+ para Todos: Respostas da Terceira Rodada de Perguntas

E aí pessoal, estamos chegando ao fim da promoção, semana que vem é a última rodada e posso dizer que a tabela de pontos essa semana ficou embolada. Está parecendo o Campeonato Brasileiro do ano passado, sem dúvida só teremos uma definição na última rodada. Por este motivo, continue o excelente trabalho.

Seguem as respostas desta semana:

 

Bom final de semana para todos e até semana que vem!

Defesa em Profundidade, algo mais importante que nunca

O termo defensa em profundidade começou a ser usado há anos atrás e por algum motivo caiu no esquecimento de alguns. Semana passada, após ter postado este artigo no meu blog em inglês, recebi a pergunta de um colega: Se você tem TMG, por que o TMG não identificou a URL maliciosa?

É uma pergunta cabível e a resposta é simples: a categorização da URL retorna como um site normal, sem perigo, conforme mostra abaixo:

A pergunta seguinte foi: quer dizer que não posso confiar no serviço de reputação da Microsoft?

Claro que pode, mas não há serviço de reputação que possa cobrir cenários onde um site legítimo está sendo usado como fonte de malware. Inclusive na minha palestra do TechED Brasil 2011 (SIA 302) falei sobre o “Drive-By Download” que pode fazer uso de um servidor comprometido (em uma URL legal) para conduzir o usuário a conteúdo malicioso.

Palestra TechED Brasil 2011 – SIA 302 (PPT disponível aqui)

É neste momento que você de fato entende o motivo pelo qual a defesa em profundidade é importante é uma ténica de proteção importante. Se no cenário que descrevo no artigo meu cliente não tivesse antivírus instalado e atualizado ele teria sido vítima do ataque.

Lembre-se que a segurança de perímetro é importante, mas ela sozinha não faz o efeito necessário. É preciso adotar a segurança em profundidade e proteger todas camadas de comunicação.

Security+ Para Todos: Terceiro Round de Perguntas

Hoje chegamos à terceira rodada de perguntas da Promoção Security+ para Todos. Se você ainda não começou a participar, essa é sua última chance de concorrer aos prêmios, digo isso pois como esta é a penúltima rodada, é possível que você não consiga acumular pontos suficientes para ganhar no final.

Então, se você está lendo sobre esta promoção pela primeira vez, veja os posts anteriores:

• Sobre a promoção
• Primeira rodada de perguntas
• Respostas da primeira rodada
• Segunda rodada de perguntas
• Respostas da segunda rodada

Agora vamos para as perguntas!

---

Terceiro Round de Perguntas

1) Qual dos métodos abaixo é o que provê maior nível de segurança em uma rede sem fio?

a. WPA2
b. SSH
c. SSID
d. WEP

2) “Risco” pode ser grenciado de várias formas, exceto uma das opções abaixo:

a. Mitigação
b. Eliminação
c. Aceitação
d. Transferência

3) Uma empresa que compra um seguro para reduzir o risco está praticando qual das opções abaixo?

a. Aceitação do Risco
b. Proibição do Risco
c. Transferência do Risco
d. Eliminação do Risco

4) A tecnologia de RAID é usada para oferencer ____________ , que é um dos pilares de segurança.

a. Integridade
b. Disponibilidade
c. Confidencialidade
d. Responsabilidade

5) Fazer auditoria de rotina é uma forma de implementar qual dos controles abaixo?

a. Preventivo
b. Proativo
c. Detectivo
d. Protetivo

---

Boa sorte e uma ótima semana pra todos !