Iniciando a carreira em Segurança da Informação

Segurança da Informação reduz os riscos inerentes ao negócio e proporciona tranquilidade para as empresas, que operam sob proteção. Para que um profissional inicie sua carreira na área, é preciso que ele tenha claro o conhecimento daquilo que chamo de espinha dorsal da Segurança da Informação.

Conceitos importantes

A espinha dorsal é formada pelo ‘tripé’ CID, que significa Confidencialidade, Integridade e Disponibilidade das informações. Esses conceitos garantem que o dado não seja alterado, esteja completo e só seja acessado por pessoas autorizadas.

E para que haja coerência na aplicação da proteção desses dados, é preciso que eles sejam classificados.

Segundo NIST, ISO27001 e as boas práticas de mercado, podemos destacar os seguintes níveis de classificação da informação que são mais usuais no dia a dia do profissional de segurança cibernética:

 

  • Confidencial (o mais alto nível de confidencialidade);
  • Restrita (médio nível de confidencialidade);
  • Uso interno (o mais baixo nível de confidencialidade);
  • Pública (todos podem ver a informação).

 

Também é importante para quem planeja entrar para o mercado de segurança cibernética entender a definição e a criação de medidas que reduzem os riscos de acesso indevido às informações e garantam o CID. Essas medidas são chamadas de Controles.

Controles são, em sua essência, um conjunto de processos e procedimentos, automáticos ou manuais, que mapeiam, segregam e restringem o acesso a determinadas informações, definindo, em detalhes, o que pode ser acessado, quem pode acessar e como pode acessar.

Assim como as informações, os ativos também precisam ser classificados e essa classificação é feita através do inventário de ativos que eu chamo de controle dos controles e que o CIS Controls classifica como Basic Controls 1 e 2.

Se você quer ser um profissional de sucesso na área de Segurança da Informação, conheça bem essa espinha dorsal de conceitos. Assim, ficará mais fácil saber que ferramenta ou tecnologia usar em cada processo de segurança.

Você deve ter notado que até aqui não exploramos as ferramentas e tecnologias. Aprender sobre elas é importante, mas só fará sentido se você tiver os conceitos primeiro. Ferramentas são apenas acessórios para colocar esse conhecimento em prática. Portanto, antes de saber mais sobre elas, domine o conceito.

Não esqueça, a formação acadêmica e o inglês são fundamentais.

Além disso, um bom plano de Certificações Foundation de SI cobre conhecimentos de atuação em áreas da segurança como Security Operation Center – SOC e Blue Team.

Conclusão

Para finalizar, vejo profissionais na área que têm muito conhecimento em técnicas e ferramentas, mas negligenciam os conceitos básicos. Não existe fórmula mágica. Porém, com disciplina, um plano de estudo dos passos acima e networking, você certamente conquistará seu espaço no mercado de Segurança da Informação.

Por: Emerson Nascimento