Os novos profissionais de cibersegurança estão usando maneiras diferentes
A tecnologia veio antes da cibersegurança e consequentemente as formações educacionais também.
Quando eu fiz minha graduação, meus professores diziam que tinham se formado em economia, administração de empresas e matemática, por que não haviam cursos de graduação como Sistemas de Informação, Ciências da Computação.
O mesmo ocorre com a Segurança da Informação, e o relatório mostra que os novos profissionais estão usando caminhos diferentes dos profissionais mais antigos.
Cresce a demanda e o gap de profissionais de segurança da informação
Um dos principais resultados da pesquisa de estudo de força de trabalho da (ISC)2 nos mostra, é a estimativa de número de profissionais ativos e estimativa de gap profissional, ou seja, quantos profissionais de segurança ainda faltam para atender toda a demanda mundial.
Neste ano, tivemos um resultado diferente do ano passado, se compararmos os números e este foi um dos pontos chaves encontrados e destacados pela (ISC)2 no relatório.
Quais profissionais podem responder à pesquisa da (ISC)2?
Existe um mito que apenas profissionais certificados pela (ISC)2 podem responder ao questionário de força de trabalho.
Bem, como dito, isto é um mito. No entanto, ao iniciar a pesquisa, você verá que existe sim um critério de escolha de pessoas e a instituição acredita que se você continuou a responder, você atende aos critérios.
Lembre-se que a pesquisa precisa ser global e atender aos critérios gerais de mercado.
Como montar seu lab de testes para ferramentas de cibersegurança?
Você sabe, mas vale a pena lembrar. NUNCA teste produtos de segurança em ambientes reais. Além de ser crime, você pode causar danos severos e pode correr riscos desnecessários.
Para isto, temos recursos bem dinâmicos e acessÃveis para montar ambinetes separados, segregados e vulneráveis para executar todos os testes que você precisa.
Além disso, Fabio fala sobre como faz para buscar ferramentas e onde buscar ajuda na hora de instalar um produto de segurança e também configurar corretamente este produto sem perder tempo.
O que a ISO27001 diz sobre polÃticas de segurança
Uma das mais bem conceituadas diretivas de segurança, a ISO27001 também fala entre suas recomendações sobre as polÃticas de segurança da informação.
Mas será que ela nos ensina como fazer? ou é mais um guia de o que deve conter na polÃtica? Vamos ver neste corte
O que é uma polÃtica de segurança da informação?
Uma polÃtica de segurança da informação, para algumas pessoas é o documento mais importante para começar a fazer a proteção de uma empresa.
Talvez por isso, muitos profissionais deem muita importância para ela e começam a montar e organizar um departamento de segurança com ela.
Descubra novas maneiras de proteger, estudando incidentes antigos
Ao registrar e estudar incidentes passados, você pode explorar novas maneiras de fazer a proteção do seu ambiente de tecnologia corporativa.
Também é possÃvel utilizar informações de incidentes em concorrentes e outros ramos de atividade, para pensar em como melhorar sua segurança.
Como criar ou atualizar sua polÃtica de segurança da informação
Ter uma polÃtica de segurança da informação, para muitos é o primeiro passo de organização da área em uma empresa.
Mas vamos ver neste episódio que não se começa por aÃ, até mesmo por que muitas empresas já possuem polÃticas defasadas ou que ninguém sabe ou conhece.
Como profissional de segurança da informação, você deve zelar pela atualização deste documento e utilizá-lo no dia-a-dia como um caderno de combinados entre você que protege a empresa e os funcionários que utilizam os dados diariamente.
1
view
O SIEM pode ser sua ferramenta para registro de incidentes
Muitas empresas já possuem uma solução de SIEM ou suas variantes, e este pode ser o sistema onde você irá registrar evidências de incidentes de segurança.
Estas ferramentas por vezes possuem relatórios pré-programados e geram estatÃsticas sobre os eventos de segurança da informação.
Procure saber se o seu sistema já faz este tipo de trabalho e na falta dele, pode-se utilizar algo mais simples como documentos e planilhas.
Isto é documentação de incidentes
O primeiro passo é entender o que é uma documentação de incidentes e depois por que é tão útil fazer este processo dentro da empresa.
Estamos falando aqui da última etapa do processo de gerenciamento de incidentes, ou em inglês "incident handling".
Temos um extenso material sobre este assunto e neste corte vou apenas explicar o começo de tudo.
Estas são as vantagens das carreiras de analista e consultor em segurança da informação
Dentre as carreiras em segurança da informação, que você pode escolher ainda com pouca experiência, as mais comuns são as de analista de segurança da informação e a de consultor em segurança da informação.
Cada uma destas opções terão vantagens sobre a outra, então você pode fazer uma lista de vantages e desvantagens e validar com pessoas que escolheram cada uma destas opções.
Neste corte eu listo as vantagens de analista e depois as vantagens de consultor, mas pode ser que em suas pesquisas você encontre muito mais informações.
Em algum momento você vai precisar decidir entre analista ou consultor
Na sua carreira em segurança da informação, cedo ou tarde você pode passar pela tomada de decisão entre trabalhar como analista ou como consultor.
E isto já pode ser como um analista junior ou consultor junior, ou seja, em inÃcio de carreira.
Mas qual é a diferença destes dois modelos?
Então não existem problemas na segurança da informação?
Então se a competição entre profissionais é relativamente baixa, em segurança da informação só tem gente feliz?
Será que é correto afirmar que a maioria dos profissionais de segurnaça estão trabalhando em boas empresas, independente do estado que a empresa está videndo?
Neste corte eu te digo a verdade sobre esta afirmação.
Seja um profissional necessário e destaque-se
Muitas vezes para se destacar em uma concorrência com outros profissionais de segurança, você precisa ter um diferencial.
Este diferencial, deve ser motivado por algo que a empresa precise. Como um conhecimento especÃfico, algo que possa gerar valor ao seu empregador e desta maneira, você passa a ter vantagens.
Neste corte eu explico um pouco mais sobre como funciona isso e como você pode se tornar necessário na segurança da informação.
O que é a carreira em Y na segurança da informação
Algumas empresas nacionais são bastante influenciadas por organizações estrangeiras e passaram a adotar aqui no Brasil, um modelo de carreira que chamamos de carreira em Y.
Na segurança da informação, isto não seria diferente, pois um dos caminhos do "Y" é um caminho de conhecimento técnico.
Saiba um pouco mais sobre este modelo de carreira, e o que você pode esperar do seu futuro profissional.
#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação
A área de segurança da informação é mais cooperativa
Será que a segurança da informação é um mercado de trabalho mais cooperativo do que outras áreas da tecnologia?
Aqui todo mundo se dá bem e são amigos uns dos outros?
#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação
Carreira de Analista ou de consultor? O que é melhor?
Para quem está começando na carreira, você vai se deparar com escolhas entre analista ou consultor.
O que faz mais sentido? O que é melhor? Tudo isso vai depender de uma série de fatores que você vai ter que avaliar.
O mais importante é que sua carreira precisa de um norte e eu te explico aqui quem deve estar no comando da sua carreira.
#SegurançadaInformação #cibersegurança
00:00 Abertura do episódio 51 do podcast Blue Team Academy
02:17 Diferenças entre nomes de cargos para profissionais de segurança da informação
06:32 O que é um analista de segurança da informação?
08:33 O que é um consultor de segurança da informação?
13:15 Estas são vantagens de ser um analista de segurança da informação
19:49 Estas são as vantagens de ser um consultor de segurança da informação
25:52 Em algum momento você vai precisar decidir entre analista ou consultor
30:09 A formação de analista e consultor são iguais, mas a rotina é diferente
31:40 Converse e peça a opinião de analistas e consultores
33:58 Esta pessoa é a única responsável pela sua carreira
37:40 Evite fazer isto ao escolher entre analista ou consultor
39:53 Procure analisar carreiras desta maneira
42:06 Passos para começar a planejar sua carreira
Este recurso pode estar mostrando dados privados em suas fotos
Sua privacidade pode estar em risco e quem nos mostra isso são profissionais de OSINT.
OSINT é uma técnica de buscar em base públicas, informações de pessoas ou empresas e correlacionar estas informações.
Aqui, eu detalho um recurso que cameras fotográficas possuem e que podem alimentar estas informações públicas.
#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação
6
views
Quais as vantagens e desvantagens de ser contratado CLT
Neste corte eu explico algumas das vantagens e desvantagens do modelo de contratação CLT que temos no Brasil.
Lembrando que CLT é uma lei muito antiga e baseada na Carta Del Lavoro da Itália fascista.
#segurançadainformação #cibersegurança
Usando OSINT e Geolocalização para descobrir informações
As técnicas de pesquisa em bases abertas estão cada vez mais abrangentes e podem ofererecer riscos à empresas.
Vejam estes exemplos onde pessoas postam fotos nas redes sociais e é possÃvel encontrar o endereço exato do local onde a pessoa estava.
#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação
Como você pode proteger seu servidor SSH deste ataque?
O SSH não tem por padrão uma proteção de falhas de autenticação consecutivas, mas você pode usar ferramentas externas para monitorar e bloquear este tipo de ataque.
Neste CTF, é óbvio que o ambiente não possui este tipo de proteção para que o exercÃcio funcione, mas na vida real você pode e deve proteger seu ambiente.
#SegurançadaInformação #cibersegurança
Valide suas entradas, ou o hacker irá fazer um bypass com Burp Suite
Durante a avaliação de segurança de aplicações, não basta que o front end ou a aplicação cliente faça as validações de campos onde o usuário insere dados, textos ou faz upload de arquivos.
Do lado do servidor também precisa ser validado, sob a pena de ter um hacker como demonstrado aqui, utilizando o Burp Suite, uma ferramenta proxy para alterar o conteúdo de dados enviado para o servidor.
#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação
Minhas dicas para você que não encontra vagas de segurança da informação
Infelizmente o tempo agora é de uma redução no número de oportunidades de trabalho em segurança da informação.
Mas, se mesmo assim você precisa buscar vagas e encarar um processo seletivo mais concorrido, sem problemas.
Neste corte, eu vou te dar alguma dicas de como você pode se preparar melhor para encarar este desafio.
#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação
Trabalhando no BR para uma empresa fora? Cuidado com os impostos
Ao trabalhar para um empregador de fora do paÃs, a opção CLT pode ser afastada, por que estas empresas provavelmente não tem sede ou CNPJ no Brasil para seguir as leis trabalhistas aqui.
Como a empresa fora, nem sempre exige uma nota fiscal, muitos profissionais ficam no limbo. Aparentemente desempregados no Brasil, mas recebendo valores de fora via conta corrente e conversão de moeda.
Se for este seu caso, cuidado que a Receita Federal pode te enquadrar em impostos altÃssimos. Veja como reduzir, de forma legal.
#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação
Qual é a melhor maneira de aproveitar este momento de maneira positiva
Neste momento em que os empregos de segurança da informação diminuiram, é uma boa hora para você se concentrar em se preparar melhor para futuras vagas que irão surgir.
Como todo mercado, existem perÃodos de alta e baixa demanda. Se você estiver empregado atualmente, utilize seu tempo para estudar e praticar segurança da informação no seu trabalho atual.
E quando a demanda subir novamente, você já estará melhor capacitado para diversas vagas.
#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação