CISM: Por que fazer e como se dar bem no exame de certificação!

CISM: Por que fazer e como se dar bem no exame de certificação!

Não é novidade que a cada dia surgem mais ameaças/vulnerabilidades e as empresas estão sentindo na pele no bolso o preço de não investir em profissionais experientes.

Essa nova perspectiva vem mudando gradualmente o mercado e pesquisas como o State of Cybersecurity: Implications for 2015 da ISACA deixam bem claro: A Cibersegurança conta cada vez mais com o apoio da alta direção (será?) e orçamentos maiores (SERÁ!?). Entretanto, existe uma enorme escassez de profissionais experientes e qualificados!

cyberrsecurity skill crisis

Fonte: ISACA – dados de 2014

Bem, enquanto experiência é algo que só se ganha na prática, existem amplas opões para obter destaque na área de Segurança da Informação através de qualificações profissionais. Pessoalmente, sempre gostei de investir em certificações vendor free, de instituições reconhecidas internacionalmente como, por exemplo, ISC², EXIN e APMG. Os resultados sempre foram os melhores possíveis.

isaca-career-oportunities

Fonte: ISACA

O CISM, Certified Information Security Professional, da ISACA é considerada uma das certificações mais demandadas pelo mercado. Não acredita? Que tal dar uma olhada na quantidade de vagas abertas nos USA que pedem credenciais:

certification-numbers

Fonte: http://www.tomsitpro.com/articles/information-security-certifications,2-205.html

O certo é que esse tipo de certificação é uma ótima maneira de se destacar e, apesar do exame parecer um pouco assustador no início, com uma preparação adequada e dedicação suficiente, qualquer um pode obter bons resultados.

Leia mais

Rio de Janeiro: Um bom exemplo de como levar a sério a Gestão de Crises e Desastres

NENHUM PLANO SOBREVIVE AO CONTATO COM O INIMIGO. A frase atribuída a Helmuth von Moltke the Elder, um estrategista alemão do final do século 19, bem que poderia ser aplicada as diversas disciplinas estratégicas adotadas no meio corporativo.

A questão é bem simples: Mesmo o mais elaborado e efetivo dos planos, tem de lidar com um coeficiente de incerteza e estar preparado para situações adversas. O tal “inimigo” pode facilmente ser substituído por “cultura corporativa”, “clientes” ou “usuários”. Enfim, escolha a opção que mais se enquadrar no seu cenário e a frase permanece coerente.

"Então um milagre acontece!" Seus planos são assim?
“Então um milagre acontece!” Seus planos são assim?

Esta situação é especialmente verdadeira para Planos de Gestão de Crises e Desastres. Antecipar o comportamento das pessoas, em uma condição que muitas vezes envolve pânico em massa ou mesmo instintos de sobrevivência, não é uma tarefa simples.

Um triste exemplo – e que mostra o “preço” da falta de preparo – é o caso do incêndio na boate Kiss, onde tivemos 242 vítimas fatais e 116 feridos. Vários dos sobreviventes apresentaram – além das óbvias queimaduras – marcas de mordidas e ataques. Sim, eles foram mordidas e atacadas por outras vítimas que tentavam desesperadamente se manter vivas e fugir de um inferno de fogo e fumaça.

Incêndio na boate Kiss: Não devemos e nem podemos esquecer.
Incêndio na boate Kiss: Não podemos esquecer.

Agora imagine o seguinte: No movimentado centro do Rio de Janeiro, por volta das onze da manhã, no meio do que parece uma sexta-feira comum, somos surpreendidos por uma quantidade anormal de pessoas deixando os prédios da região. O anuncio havia sido dado: Devido a um possível incêndio, era necessário todos evacuarem o local imediatamente.

Calma, o que poderia ser o prenuncio de outro grande desastre, não passou de uma simulação. Um grande exercício de evacuação. Esta é sem dúvida uma das melhores formas de reduzir o coeficiente de incerteza e de preparar as pessoas para lidar com situações adversas.

What do we say to the god of disasters?
What do we say to the god of disasters?

No inicio da semana passada, justamente quando estava ministrando um curso intensivo de Gestão de Continuidade de Negócios e Formação de Analistas de Recuperação de Desastres de TI (ITDRA) para um cliente no centro do Rio, fomos informados que na sexta-feira deveríamos atender a um exercício de evacuação do prédio, o que achei excelente, pois além de se enquadrar perfeitamente na temática do curso, eu teria material certo para meu próximo artigo (cuja paciência de ler você está tendo agora. Obrigado!)

Minha surpresa foi maior ainda quando descobri que não se tratava de um simples exercício individual do prédio, e sim do Dia Estadual de Redução de Risco de Desastres no Estado do Rio de Janeiro, realizado pela Secretaria de Estado de Defesa Civil (SEDEC) e o Corpo de Bombeiros.

O aviso do “Dia Estadual de Redução de Risco de Desastres no Estado do Rio de Janeiro” estava exposto em elevadores e locais de grande circulação.
O aviso do “Dia Estadual de Redução de Risco de Desastres no Estado do Rio de Janeiro” estava exposto em elevadores e locais de grande circulação.

Tiro o chapéu para a iniciativa, que deveria ser adotada por todo e qualquer grande centro e empresas que querem ter uma Gestão de Risco que vai além do P-I-V. O Exercício de Escape foi muito bem planejado e executado, indo desde a distribuição de cartilhas e folders, e contando com a presença das forças de segurança pública, que aproveitaram a ocasião para conscientizar o público em geral e ministrar treinamentos básicos de primeiros socorros.

Claro, se realmente houvesse um incêndio, dificilmente veríamos as pessoas desocupando os prédios nas filas tranquilas e ordenadas e se juntando no ponto de encontro como no momento do exercício. O que temos de levar em conta, é que o teste é uma das poucas formas realmente efetivas de reduzir o coeficiente de incerteza em uma situação de risco real.

Além de preparar as pessoas, esse é o momento onde capturamos métricas importantes como, por exemplo, o tempo de evacuação, possíveis incidentes nas rotas de fuga, eventuais baixas (simuladas claro!), que devem ser usados como feedback para atualização e melhoria dos planos. Colocando em termos simples – a essas informações podem muito bem ser a diferença entre a vida e a morte.

Cartilha e Folder que foram distribuídos durante o exercício
Cartilha e Folder que foram distribuídos durante o exercício

Novamente, parabéns pela iniciativa Rio de Janeiro! Espero sinceramente que vocês nunca tenham que colocar o plano em prática, mas como o prédio em que eu estava trabalhando já teve uma evacuação de emergência, pois fica a meros quarteirões do local onde um edifício de 18 andares já desabou, fico um pouco mais tranquilo e feliz em saber que vocês estão levando a Gestão de Crises e Desastres a sério.


Galeria de imagens

Desocupação de todos os edifícios ocorreram sem incidentes percebíveis.
Desocupação de todos os edifícios ocorreram sem incidentes percebíveis.
Pontos de Encontro da Queiroz Galvão e Edifício Linneo de Paula Machado
Pontos de Encontro da Queiroz Galvão e Edifício Linneo de Paula Machado
Treinamento de Desocupação? Mas eu já sou desocupado o dia inteiro! (calma! não é bem isso!)
Bombeiros ministrando cursos básicos de primeiros socorros: Atendimento de Queimados, Afogados e Técnicas de Ressuscitação em Crianças
Forte presença dos Bombeiros e Defesa Civíl
Forte presença dos Bombeiros e Defesa Civíl

 

[UNIFOR] – Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além” – Download do Material de apoio

Prezados amigos,

Como mencionado previamente em outros posts, ontem (quinta-feira 07/11) tive o prazer de palestrar na UNIFOR apresentando o tema “Segurança da Informação: Perspectivas no Brasil para 2014 e além.”.

UNIFOR - Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.
UNIFOR – Palestra “Segurança da Informação: Perspectivas no Brasil para 2014 e além”.

Foi grande prazer poder conversar com amigos, alunos e profissionais na minha cidade. Agradeço a todos os presentes, e em especial ao Prof. Marcus Venicius e a UNIFOR pela parceria.

Durante a apresentação, discutimos assuntos como hacktivismo, espionagem, guerra cibernética e, principalmente, o posicionamento do Brasil dentro do cenário global em face dos grandes eventos que vamos receber nos próximos anos.

Clique para fazer o download do arquivo da apresentação!
Clique para fazer o download do arquivo da apresentação!

Estou publicando  aqui <<[PDF]Segurança da Informação: Perspectivas no Brasil para 2014 e além>> o material de apoio que usei na palestra.

Para ver mais fotos do evento, que foram publicadas na comunidade do facebook, clique AQUI.

Segurança da Informação: Muito mais que um appliance com um LED piscando.

Ao longo dos anos tenho brincando com colegas que se conseguíssemos criar um appliance com alguns LEDs e um display exibindo “Segurança OK!” seria bem mais simples conseguir vender consultorias não-técnicas de Segurança da Informação (SegInfo).

Não pesa nada e é wireless.

O fato é que, brincadeiras a parte, a cultura desenvolvida em torno da  SegInfo tem fortes raízes na TI, em especial na área de infraestrutura. Dado o crescimento exponencial da quantidade de informações digitais nas organizações é correto e esperado ter uma boa infra de segurança composta Firewalls, UTMs, DLPs e as demais buzzwords que os fabricantes escolheram para designar a última moda.

Até ai tudo bem. O problema surge quando esquecemos que Segurança da Informação vai muito além da TI.

Assistimos diariamente ao poder de disseminação de conteúdo das redes sociais. Compartilhamos informações que vão desde fotos familiares (ou indiscretas), o nosso estado de humor, geolocalização e até um resumo do que foi o jantar do gato da tia da prima da vizinha.

A família adora, stalkers e pervertidos de plantão adoram, namoradas e esposas nem tanto. Mas quem realmente odeia redes sociais são empresas quando acontece de uma informação que preferiam manter debaixo do tapete ser divulgada.

Em 2011 muito se falou do Toddynho detergente e eis que nos vemos com um novo incidente envolvendo um produto alimentício: O Ades sabor Uva, variedade Fungi.

Suco de soja sabor Fungi
Suco de soja sabor Fungi

Tudo começou ontem (19/10/2012) quando uma usuária do Facebook compartilhou a foto acima e relatou o caso a seguir: A mãe compra o produto, o filho reclama do sabor “diferente”, o pai diz que está normal e todos alegres e satisfeitos se deliciam com o suco de soja sabor Fungi (sim, um fungo havia brotado dentro da embalagem).

Imagem meramente ilustrativa de uma shroom trip do Brian Griffin
Imagem meramente ilustrativa de uma shroom trip do Brian Griffin

Apenas após consumir o produto, percebem uma “gosma enorme com aspecto de cogumelo saindo da caixa” e ao ligar para 0800 da empresa foram informados “com a maior naturalidade” que isso havia ocorrido por uma fissura na embalagem – que poderia ser jogada fora – e a oferta de um crédito no valor de R$ 5,00 (sim, cinco reais).

Resultado: Em menos de 24 horas, a foto em questão já havia sido compartilhada por pouco mais de 71 mil pessoas (que obviamente não se importam nem um pouco se o caso é real ou não) e foi inserida dentro de uma campanha no facebook institucional da empresa. O casal que comprou o suco já decidiu por fazer uma perícia e abrir um processo.

Campanha publicitária no facebook institucional
Campanha publicitária no facebook institucional

É um problema de SegInfo? Sim, certamente. O que acontece é que muitas vezes esquecemos que Segurança da Informação não é um objetivo, em si, mas um meio para garantir que os objetivos do negócio sejam atingidos. Nesse caso vender caixinhas de suco de soja.

Muitas vezes não é possível controlar o que um cliente ou qualquer agente externo a empresa publica em uma rede social, mas será que é tão difícil assim treinar a equipe da central de serviços (sim, o 0800 é um service desk) ou preparar a equipe responsável pelas redes sociais corporativas para agir rapidamente quando um incidente acontece?

Não é necessário ou correto mentir e ocultar erros, mas empresas devem sim saber a forma de explicar corretamente e se retratar junto aos clientes e publico em geral para proteger sua imagem e reputação. Isso se chama contenção de danos e faz parte de qualquer metodologia de gestão de incidentes de Segurança da Informação ou Continuidade de Negócios.

Objetivos de Seginfo x Negócio
Objetivos de Seginfo x Negócio

A melhor maneira para se criar uma boa gestão de segurança da informação é manter uma abordagem holística, envolver diferentes setores como: Marketing, Departamento Pessoal, Jurídico e qualquer outro que possa ajudar a tirar o excesso de responsabilidade da área de TI que, na maioria das empresas, ainda é a única responsável pela SegInfo.

Enquanto isso, por enquanto, estou cancelando o suco de soja de minha dieta usual 🙂

Cursos oficiais EXIN – ITIL Foundation e Fundamentos de Segurança da Informação (ISFS) em Ribeirão Preto

Prezados Colegas,

Nos dia 26 a 29/11 estarei em Ribeirão Preto – SP ministrando o curso oficial da EXIN: ISFS Fundamentos e Conceitos de Segurança da Informação baseado na ISO/IEC 27002 (Horário: 08:30 às 12:30)

Curso de Fundamentos e Conceitos de Segurança da Informação (ISFS) oficial da EXIN
Curso de Fundamentos e Conceitos de Segurança da Informação (ISFS) oficial da EXIN

No horário noturno, nos dia 26 a 30/11, estarei ministrando também o curso EXIN: ITIL Foundation Oficial – Preparatório para o exame de certificação (Horário: 19:00 às 23:00).

ITIL Foundation - Curso oficial EXIN preparatório para exame de certificação
ITIL Foundation – Curso oficial EXIN preparatório para exame de certificação

Quem quiser saber maiores informações acesse aqui para o curso ISFS – Fundamentos e Conceitos de Segurança da Informação e aqui para o curso ITIL Foundation.