Por onde começar na área de segurança da informação?

Segurança da informação é uma área dentro do campo de Tecnologia da Informação que diz respeito a proteção de dados de uma organização e o valor do negócio, ou seja, a área de segurança que lida com a forma que os dados de uma empresa vão ser tratados e que vai garantir o bem estar da empresa através de processos essenciais para isso, seja na área de gestão ou na área operacional.

Leia mais:

6 cursos de Ethical Hacking para estudantes de TI
DevOps!?!?!?!
Como se tornar um Microsoft Security Ninja?
O novo Profissional de TI – Se você ainda não é, considere tornar-se um!
Como habilitar o MFA para contas do Office 365 via Acesso Condicional?

Na segurança da informação temos diversos segmentos, vou listar alguns para vocês:

  • Software Development Security
  • Security and Risk Assessment
  • Incident Handling and Analysis
  • Asset Security
  • Intrusion Detection and Prevention
  • Privacy and Data Protection
  • Information Security Governance
  • Security Frameworks and Standards
  • Fraud Prevention
  • Legal and Regulations
  • Malware Analysis
  • Big Data Security
  • Operations Security
  • Vulnerability Management
  • Application Security
  • Identity and Access Management
  • Threat Intelligence
  • Security Architecture and Design
  • Industrial Control Systems
  • Security Awareness
  • Advanced Cyber Analytics
  • Communications Security
  • Offensive Security
  • Physical Security
  • Cloud Security
  • Forensics
  • IoT Security
  • Biometrics
  • Business Continuity
  • Cryptography

Esse são apenas alguns segmentos que tem na área de segurança da informação, obviamente que de tempos em tempos surgem mais segmentos.

Mas significa que você deve estudar tudo isso? NÃO! Na verdade a área de segurança ela tem diferentes tipos de profissionais, então você vai encontrar profissionais que possuem conhecimentos profundos em Gestão e na área comercial, você vai encontrar profissionais que manjam muito na área de Forense, profissionais que sabem muito de Segurança Ofensiva e outros de Segurança Defensiva, e você vai encontrar outros que são mais generalistas ou sabem profundamente de 1 ou 2 áreas. Lembrando que ninguém domina tudo por completo, mas manja de alguma coisa, tem um conhecimento elevado dos outros e por ai vai.

A área de segurança da informação é uma área que precisa de uma dedicação, pois ela se atualiza constantemente, então a cada dia você tem novas tecnologias, novos métodos, coisas ficando obsoletas e outras novas vindo e por ai vai. Então se você quer ingressar nessa área é um fato que você precisa estudar todos os dias e se dedicar ao máximo.

E isso vale para todos os segmentos existentes, hoje em dia foi criado times para separar os tipos de profissionais de segurança:

Então aqui temos o RED TEAM e o BLUE TEAM, sendo o Red os profissionais com conhecimentos em segurança ofensiva e o Blue os profissionais com conhecimentos em segurança defensiva.

E também temos o Yellow Team que cuida do desenvolvimento de softwares:

E temos outros times também que complementam, vejam só:

Se vermelho, azul e amarelo são nossas cores primárias, podemos combinar suas habilidades para criar equipes secundárias que combinam as habilidades e os pontos fortes de duas equipes primárias.

Você pode ficar mais informado sobre os tipos de times no artigo abaixo:

https://hackernoon.com/introducing-the-infosec-colour-wheel-blending-developers-with-red-and-blue-security-teams-6437c1a07700

Mercado de Trabalho

O mercado de segurança da informação é um dos mercados que mais crescem no mundo inteiro, pois existe uma corrida cibernética entre as empresas em busca de proteção contra invasores, com isso muitas empresas acabam contratando profissionais especializados na área para atuar no seus Workstation (Estação de trabalho) ou no caso montam um SOC (Security Operation Center) para gerenciar a segurança da informação de maneira cabal dentro da sua organização.

Então por conta disso as empresas buscam profissionais qualificados na área para proteger os ativos de sua empresa, por isso é comumente você visualizar vagas de segurança da informação pelo LinkedIn e em sites especializados em vagas de emprego para diferentes tipos de hierarquia.

Alguns dão até risada quando fala da falta de profissionais qualificados para atuar na área, porém é uma realidade e vou explicar agora!

Um erro que todos cometem

Esse erro que eu digo não é um erro na escolha da faculdade que você vai cursar, esse tabu que tem faculdade para entrar na área de segurança é mentira, afinal, você tendo um superior e conhecimentos nas tecnologias que o mercado pede já é o suficiente, mas isso eu cito para vagas que tem como requisitos o ensino superior, pois hoje muitas empresas preferem alguém que sabe do que alguém somente com diploma.

Mas existe um erro que muitos que estão iniciando cometem, esse erro é achar que segurança da informação se resume em PenTest ou que se não souber PenTest não é um profissional de segurança da informação. E hoje muitos martelam isso e tem dúvidas por onde começar a estudar e acabam entrando em PenTest e se prende só nisso, mas vale ressaltar que sem conhecimentos fundamentais, sem conhecimentos básicos você não vai sair do lugar, afinal PenTest é uma fase avançada não é apenas rodar uma ferramenta, vai além de tudo isso, é necessário conhecer profundamente de tecnologias do mercado e principalmente saber os principais conceitos da área de tecnologia.

Infelizmente a área de segurança da informação esta entre uma das áreas mais dificeis de preencher e como eu disse, falta profissionais qualificados para o mercado, obviamente que temos pessoas que possuem um conhecimento enorme em algumas áreas, porém não se dedicaram em se especializar em ferramentas ou produtos de mercado. Em relação a esses produtos é de se entender que alguns não são acessiveis para você estudar, pois são produtos pagos. Além disso, tem ambientes internos que são exclusivamente das empresas e para isso entra os conhecimentos fundamentais, pois cada empresa tem seu ambiente e sua forma de trabalhar e para isso você precisa conhecer do essencial para conseguir trabalhar em qualquer ambiente.

Quando eu digo conhecimentos fundamentais pega como exemplo o nmap, você roda lá um comando com nmap, porém você sabe o que ele esta fazendo por trás? Como ele funciona? Então busque correr atrás desses conhecimentos.

O mercado de trabalho e suas exigências

Eu não vou falar os produtos e ferramentas que o mercado exige, pois isso é de empresa para empresa, afinal cada um utiliza um tipo de tecnologia. Porém vale ressaltar que o mercado exigem um bom background sobre segurança da informação e principalmente de normas e padrões, então é sempre bom estar por dentro dessa parte mais burocrática assim dizendo, afinal, muitas vagas exigem como conhecimento primordial determinadas normas de segurança. Outras vagas exigem conhecimentos em protocolos e serviços tanto de redes como de segurança da informação, conhecimentos em linguagens de programação, em ferramentas de mercado, metodologias, normas e afins.

Mas o mercado ele tem diferente tipos de vagas, então você encontra vagas de gestão, vagas mais operacional e outras vagas que misturam os 2 e tem vagas que focam em projetos de segurança.

Então eu recomendo ir aqui mesmo no LinkedIn e procurar por tipos de vagas de segurança, você encontrara vagas que o foco só sera Segurança Ofensiva, outras de Segurança Defensiva e até mesmo de Gestão ou que mistura tudo.

Mas por onde eu realmente começo na área de segurança?

Saiba que o mercado ele tem suas exigências, você precisa procurar vagas e ver o que cada uma tem em comum, mas caso você tenha o desejo de ser um profissional com foco em Segurança Ofensiva, procure vagas e até mesmo faça Networking, consulte certificações de segurança ofensiva e coloque como meta tira-las. Obviamente que você vai precisar se dedicar cada dia mais e nada se resume em ferramentas, aprenda oque está por trás, estude os fundamentos antes de tudo, aprenda a elaborar relatórios de segurança, estude metodologias e normas e fique por dentro das tedências de mercado.

Isso vale para todas as áreas, estude as ferramentas que estão em alta mesmo que você não consiga por em prática, mas saber como funciona tal ferramenta já vai te colocar a frente nas entrevistas e oportunidades.

Faculdade? É um requisito, mas não ache que a faculdade vai te qualificar, pois na área de segurança é muito diferente, você precisa estudar constantemente e se adequar ao mercado de trabalho, pois muitas faculdades só dão 50% da base daquele assunto, vejo muitos cursos ensinando PenTest, mas somente a prática e não as metodologias e conceitos por trás. Então foque em se qualificar a cada dia mais.

Tente se identificar no mercado, veja o segmento que mais te interessa e dedique-se em ser o melhor, aproveite cada conceito, cada tutorial, cada palestra, cada video, cada podcast e sempre busque conhecimento constante, lembre-se que ninguém domina tudo 100%, mas você pode se destacar se persistir nesse caminho.

Se você é novato, não comece estudando segurança de cara, corra atrás de adquirir os conhecimentos essenciais de computação o conhecimento base para você ir se aprofundando em segurança.

Conclusão

Então essas são as dicas que eu dou para você que deseja ingressar na área de segurança da informação, não basta apenas usar receita de bolos, você precisa ir mais além. Pense, se eu não tiver fermento, como faço meu bolo crescer? Será que da pra fazer um bolo com apenas 2 ovos? E etc…

Se você tem dúvidas, pergunte para profissionais na área vai sempre ter alguém disposto a ajudar 😉

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Joas Antonio dos Santos
Information Security Researcher, Ethical Hacking and PenTest Independent, OWASP Member and Researcher, Cybrary Teacher Assistant, Microsoft Innovative Educator Instructor, Bug Hunter by HackerOne and OBB, Python Developer Expert, Shell Script Expert, has over +800 technology courses and +50 certifications, SANS Member, Mitre Att&ck Contributor, Red Team Village Contributor, CIS Member and Research, Cyber Security Mentor, Cracking The Perimeter Framework Creator, Vulnerable Machine Engineering by Offensive Security, Cyber Security Tutors Founder, Hakin9 Magazine Contributor, Exin Ethical Hacking Foudation Instructor, Exploit Developer and IT lover.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!