Como se tornar um analista de segurança da informação
O modo antigo de Segurança propunha modos de trabalho onde equipes trabalhavam separadas. Entretanto, na medida em que as empresas vão se transformando digitalmente, esse cenário também precisa se adaptar. Para tal, busca-se um modelo de trabalho em que o analista de segurança da informação encaixe o seu modelo de trabalho no modus operandi atual, para um modelo que seja Ágil
Sumário
Desafios da carreira de Analista de Segurança da Informação
Se você está lendo isso de curiosidade, vá em frente e aproveite. Se está lendo isso procurando dicas de como se tornar um analista de segurança da informação: tenha resistência à frustação. É uma profissão gratificante, eu juro. Mas ao mesmo, você irá se frustrar por horas e horas a fio.
Nada é como você vê nos estudos
A primeira frustração é que nada é como você vê nos estudos. Eu sei que em várias áreas a prática é muito diferente da realidade, talvez você tenha visto como alinhar uma “div” utilizando CSS, mas as coisas não sejam exatamente daquela forma quando você tenta. Isso pode ser frustrante, mas com algum esforço, você consegue chegar lá! Todavia, não no meio da segurança. Não me entenda mal, com esforço e persistência você chegará longe, mas os sistemas não são exatamente como nos desafios do “TryHackMe”, onde claramente existe uma evidente vulnerabilidade que você tomará o servidor para você! O dia-a-dia pode lhe fazer passar horas testando uma aplicação para, no final, não encontrar nada.
Por isso, macete é: animo! Levante a cabeça e entenda o seu papel. Você fez o que deveria fazer e cumpriu com sua função como Analista de Segurança da Informação.
Poucos materiais de Segurança disponíveis
A segunda frustração é a falta de material de boa qualidade e resolução de erros. Se você vem do meio do desenvolvimento, está acostumado a procurar respostas em fóruns online, como o StackOverflow e encontrar perguntas – se não idênticas – próximas às que você tem. Por mais que a comunidade de InfoSec esteja crescendo no mundo, ainda somos escassos. Acostume-se a quebrar a cabeça por horas, lendo documentações obscuras ou inexistentes enquanto se aventura por consoles intermináveis tentando resolver quilômetros de mensagens de erros (se der a sorte de ter alguma mensagem de erro explícita).
Portanto, entenda o que está fazendo! Não seja apenas alguém que replica o que leu/viu na internet – procure se aprofundar para compreender a fundo aquilo que está executando.
Buscar o erro na origem
A terceira frustração é ser o patinho feio. Vezes ou outra você vai achar uma vulnerabilidade, e quando isso acontecer, precisará sentar com um desenvolvedor que implementou ela – muitas vezes sem sequer saber – e dizer a ele que “o que você fez está errado e pode comprometer a aplicação, você precisa corrigir isso”. Claro, mas a chance de você ser mal interpretado é grande, se não tomar muito cuidado.
Saiba conversar. Explique seu trabalho, demonstre que não havia como o desenvolvedor saber daquilo, por isso você está ali. Tenha respeito e empatia!
Curva de aprendizado
Como dá para imaginar baseado nos dois primeiros parágrafos, a curva é íngreme, praticamente uma subida de 90º. Além da falta de bons materiais (que devo assumir, aos poucos está melhorando), a magnitude de áreas que você deve compreender é extensa. Que ser um bom desenvolvedor Java? Aprenda Java e outras conceitos de backend. React? Claro, sem problemas, estude JavaScript, React e outros complementos de frontend. Quer se tornar um bom analista de segurança? Estude tudo. Calma, deixe-me explicar: é claro que você pode ser um analista de segurança que sabe Python e é reconhecido no mercado. Porém, se quiser ser versátil, ir além, você deve saber um pouco de tudo. Dessa forma, será capaz de fazer excelentes análises em todas as tecnologias. É claro, existem conceitos universais de segurança, que não dependem de nenhuma tecnologia específica.
Acima eu citei algumas das softskills importantes para o trabalho, mas as hardskills também são importantes, certo? Dito isso, o que eu devo aprender?
O que aprender para me tornar um Analista de Segurança da Informação?
Você vai encontrar uma infinidade de divisões e diferentes versões internet afora, realço que essa é apenas minha opinião:
Blue Team Skills
Governança de dados, gerência de processos, redes, firewalls, VPN’s e afins, gerência de ferramentas e acessos, engenharia reversa, boas práticas de segurança e treinamento de times, monitoramento, contingência, pentest whitebox e, claro, saber como corrigir falhas de segurança.
“Mas Pedro” – você me pergunta, “Vários desses tópicos eu também preciso saber para fazer parte de um Red Team!”. Eu sei, mas essa foi apenas a forma que eu dividi, pois acredito ser mais fácil de acompanhar. No final das contas, um bom analista deve ser multidisciplinar.
Red Team Skill
Proxys, proxys chains, decoys, botnets, protocolos de rede, criptografias em suas vastas extensões, WAF’s, larga capacidade de compreender uma aplicação e seus detalhes, especificações de linguagens e tecnologias, ferramentas de penetração (toolkit), pentest blackbox e, certamente, exploitation.
DevSecOps Skills
Metodologias ágeis, trade-offs, DevOps (óbvio, não?!), arquitetura, pipelines, automação de processos, ferramentas de SAST/DAST/IAST, servidores, contêineres e nuvem, muita nuvem.
LGPD
Achou que não? Eu avisei que somos multidisciplinares: Panoramas gerais da lei, ANPD, jurisprudência de processos próximos, direitos do usuário, coleta e tratamento de dados, princípios de boa-fé. políticas de privacidade e o famoso LGPD Compliance (certificar que um sistema está de acordo com a lei).
Existem também os fundamentos universais da segurança. Redes e criptografia são temas que sempre aparecem, ou até mesmo a tríade da InfoSec – Integridade, Disponibilidade e Confidencialidade. Porém, quis deixar para você, leitor, temas mais palpáveis.
Muita coisa? Não se preocupe, você não precisa de tudo isso para começar. Um passo de cada vez, escolha a trilha que mais te agrada e vá atrás! Claro, não se esqueça de conferir nossas vagas aqui na DTI, quem sabe não estamos precisando do seu perfil?
Por: Pedro Dantas
Desenvolvimento Profissional
Confira outros artigos
Jogos para o ensino do SCRUM e das histórias de usuários
Vivemos em um cenário em que o ensino do levantamento de requisitos e a gerência de projetos não é muito abordado no universo da Engenha de Software. Para sanar essa dor, apresentamos uma estratégia de ensino do Scrum para que a geração atual e as próximas possam experimentar uma abordagem que agrega a teoria e […]
Desenvolvimento Profissional
Trajetórias negras no contexto digital e no agilismo
Quando falamos do contexto digital e trajetórias negras no agilismo, temos algumas pré-concepções de falarmos sobre times anti-frágeis, multidisciplinares, criativos e com várias outras características positivas. Nenhuma dessas concepções são errôneas, mas te convido a pensar que talvez, elas sejam incompletas se não analisadas em suas diferentes faces, e uma delas, é a face da […]
Desenvolvimento Profissional
5 Disfunções de um time: O que fazer a respeito
Durante o programa de mentoria que participei em Liderança aqui na dti no ano passado, me deparei com a proposta da minha mentora para fazermos uma discussão sobre o livro “The Five Dysfunctions of a Team”, ou, em tradução, “5 disfunções de um time”. Julgando o livro pela capa e pelo nome, propus começarmos o primeiro capítulo e, caso não […]
Desenvolvimento Profissional