O que é ser um Pentester?

O texto abaixo foi copiado, na íntegra, do post do Ewerson Guimaraes – profissional de segurança, domador de capivaras e gente boa pacas.

Ele é uma excelente explicação sobre  o que faz um Pentester, profissional de segurança responsável por encontrar vulnerabilidades  em sistemas, redes e empresas.

Qual sua profissão?

Bom, vou escrever aqui (não exaustivamente) sobre um erro comum das pessoas em relação a algumas profissões dentro da área de informática, especialmente Segurança da Informação.

Quando você perguntar a alguém com o que ele trabalha e a resposta for:

PENTEST – Não, ele não trabalha em um campo cheio de entulho onde as pessoas de aceram com bolinhas coloridas com tinta dentro, isso é PAINTBALL! Pentest é derivação regressiva de Penetration Test, traduzindo para o português, Teste de Penetração, sim, eu sei, submete a pensamentos sórdidos, mas este é o processo que permite melhorar a segurança contra ataques de pessoas mal intencionadas. Os PENTESTERS realizam analises em sistemas e computadores com intuito de minimizar ou anular grande parte do impacto causado por um ataque real. Digo grande parte, pois nenhum sistema é 100% seguro. Entendido?

Pesquisa/Pesquisador/Researcher – Não, ele não é um genérico de professor Pardal ou qualquer outro cientista maluco, e nem vai criar um exercito de robôs que tentará dominar o mundo em 2045(Eu acho). Este profissional tem como principal objetivo encontrar falhas em sistemas, não confunda com PENTESTER, os PENTESTERS na maioria das vezes usam as falhas encontradas pelos Researchers no processo de análise de algum sistema. Dúvidas?

Segurança da Informação (SI) – Não, ele não trabalha em boates, fazendo ronda em moto e nem em portaria de prédios e empresas, tão pouco é um profissional de segurança do trabalho, apesar de que, seria bom as vezes utilizar um abafador de som que é um EPI ( Equipamento de Proteção Individual ) para não escutar algumas abobrinhas.
Está é a área base, ou seja, engloba pentest, pesquisa, computação forense (que consiste, basicamente no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo), treinamentos, conscientização, processos, politicas e outras áreas, ou seja, este profissional normalmente não tem uma arma como instrumento de trabalho, mas também não quer dizer que ele não tenha uma.

Outro ponto muito importante a ser observado:

O HACKING está ligado diretamente a esta área, e ao contrário do que muitos pensam, devido a divulgação errônea da mídia, HACKERS não são criminosos, eles contribuem diretamente para evolução dos sistemas, tornando-os cada dia mais seguros.
Pronto agora você já tem uma ideia do que um profissional de segurança da informação faz.

Caso tenha algum dúvida sobre assunto basta me perguntar. Qualquer outra pergunta sobre Windows pirata, suporte e afins, será cobrada uma taxa de R$250,00 no seu cartão de crédito.
E não, isso não foi uma piada! (:

Eu sei, mais um texto longo, obrigado por ler até o final!

Referências:
http://pt.wikipedia.org/wiki/Computa%C3%A7%C3%A3o_forense
http://en.wikipedia.org/wiki/Penetration_test
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

Fonte: Coruja de TI

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.