Certificação

Princípios da Governança de Segurança da Informação

Nesta postagem, entenderemos alguns conceitos básicos, as diferenças entre governança e gestão dentro deste contexto e alguns frameworks e padrões de mercado que tratam a segurança da informação. As informações contidas nesta postagem estão aderentes com o Domínio 1 do CISM.

Governança e Gestão

Vamos iniciar pela Governança (Governance), o qual é composto pelos executivos de liderança senior (C-Level), por exemplo, os principais e mais comuns, mas existem outros tipos:

(mais…)

Visão geral sobre “Certified Information Security Manager (CISM)”

Esta certificação é projetada para aqueles que gerenciam, projetam, supervisionam e avaliam a função de segurança da informação de uma empresa.

Elegibilidade – São elegíveis os profissionais com cinco (5) ou mais anos de experiência em gerenciamento de segurança da informação. As dispensas de experiência estão disponíveis por no máximo dois (2) anos. A elegibilidade é estabelecida no momento da inscrição do exame e é válida por doze (12) meses (365 dias). O registro e o pagamento são necessários para que você possa agendar e fazer um exame. Você perderá suas taxas se não agendar e fazer o exame durante o período de elegibilidade de 12 meses. Não são permitidos adiamentos ou extensões de elegibilidade.

(mais…)

Sugestões de livros para a certificação EC-Council CEH

Recentemente consegui obter a certificação CEH da EC-Council no modelo Self-study e muitas pessoas me pediram sugestões de livros para a preparação, então seguem abaixo algumas sugestões: (mais…)

EXIN Fundamento de Ethical Hacking (EHF) – Guia de Preparação

A tecnologia da atualidade está se movendo rapidamente e mudando a forma de fazermos negócios. Por padrão, as empresas digitalizam todas as informações, armazenam seus dados na nuvem e usam software de código aberto. Isso levanta questões de segurança de informações relacionadas com a infraestrutura da rede e do sistema. O propósito do Ethical Hacking é o de avaliar, de maneira legal, a segurança de um sistema ou rede de computador por meio da descoberta e exploração das vulnerabilidades.

O módulo Fundamentos de Ethical Hacking EXIN abrange as etapas básicas do Ethical Hacking: coleta de itens de inteligência, varredura de redes/sistemas de computador e invasão de sistemas. Os candidatos deverão estar muito conscientes da diferença entre o hackinglegal e ilegal, bem como das consequências de seu uso indevido.

Mais detalhadamente, o candidato desenvolverá uma compreensão dos seguintes tópicos:

  • Detecção de rede (coleta de informações a partir do tráfego de rede)
  • Cracking (Quebra de códigos) de uma chave WEP e WPA(2) a partir de uma rede sem fio
  • Varredura da vulnerabilidade da rede
  • Invasão básica em sistemas de computador
  • Cracking de senhas
  • Hackeamento baseado na web, contendo Injeções SQL (SQLi), Scripts Cruzados entre Sites (XSS), Inclusões de Arquivos Remotos (RFI)

(mais…)

Certificações em Gestão da Continuidade de Negócios e Recuperação de Desastres

 

De forma objetiva, exibirei uma breve descrição sobre cada uma das organizações que possuem as certificações mais conhecidas na atualidades e as suas certificações, assim como a qual pública se destina, valores dos exames e outras características relevantes.

(mais…)

Exame para certificação de segurança da CompTia ganha versão em português

A CompTIA, que fornece certificações para os profissionais de tecnologia da informação (TI) em todo o mundo, passa a oferecer uma versão em português do exame para obtenção de seu selo CompTIA Security+.

Segundo a entidade, a certificação CompTIA Security+ credencia profissionais experientes na área da cyber segurança, um dos campos de crescimento mais rápido da TI. Mais de 230 mil especialistas no mundo todo já receberam esse título.

“O setor de TI no Brasil está crescendo em ritmo acelerado e o número de pessoas com acesso à internet também está aumentando”, afirmou Terry Erdle, vice-presidente executivo de certificação de habilidades da CompTIA.

Ele argumenta que a versão em português da CompTIA Security+ se justifica pelo avanço do mercado brasileiro de TI. O execuivo observa que o setor está em ritmo acelerado de expansão, aumentando também o acesso à internet . Esses fatores, segundo ele, intensificam a necessidade de uma forte vigilância de cyber segurança.

O executivo ressalta que os profissionais que já receberam essa certificação aprenderam a aplicar seu conhecimento de conceitos de segurança, ferramentas e procedimentos para reagir a incidentes. Eles também têm conhecimentos para prever riscos de segurança e de se proteger contra eles.

O exame

Antes de realizar o exame CompTIA Security+, os profissionais precisam obter o certificado CompTIA Network+ ou ter pelo menos dois anos de experiência em rede técnica com ênfase em segurança. O teste contém 100 questões, que devem ser respondidas em 90 minutos. Para ser aprovado, o candidato precisa atingir uma pontuação de, no mínimo, 750 em uma escala de 100-900.

Além da nova versão em português, o exame da CompTIA Security+ está disponível em inglês, alemão, japonês, coreano, mandarim simplificado e mandarim tradicional. Para mais informações, acesse CompTIA Certification.

Exame para certificação de segurança da CompTia ganha versão em português – Carreira – COMPUTERWORLD.

Certificações ITIL voltam a ganhar destaque

Certificações em Information Technology Infrastructure Library, ou ITIL, voltou ao topo de muitas listas de contratação de TI. Métodos ITIL são projetados para ajudar as empresas a identificarem áreas onde eles precisam de melhorias, fornecedores neutros orientando sobre onde e como fazer alterações específicas para reduzir custos e aumentar a produtividade.

Pressionado para comprovar investimentos na área de TI, O CIO parece cada vez mais atento a frameworks de processos para a área de TI. Tais frameworks trazem consistência, habilidade de medir a performance e um rigor científico que muitas vezes a área de TI e seus projetos “intangíveis” não têm.

Frameworks populares como Capability Maturity Model (CMM), Six Sigma e Control Objectives for Information and Related Technology (Cobit) têm, cada um, uma área específica de ênfase. O que diferencia o ITIL das demais é seu foco restrito a operações de TI. O apelo é irresistível: um conjunto de melhores práticas que ajuda a rodar a área de TI como se fosse um negócio, fazendo-a reconhecer seus serviços-chave, saber priorizar as coisas certas e tornar todo o trabalho mais visível e transparente, mais fácil de ser medido.

Para o ITIL dar certo, é preciso analisar os processos internos, mapeá-los, identificar o que é ou não crítico. É preciso também zelar pela gestão da configuração da base de dados, o fator técnico crucial em um projeto desses. Trata-se, essencialmente, de um mapeamento de cada pedaço de tecnologia que a empresa possui – sistemas, roteadores, servidores, PCs etc. As informações de cada mudança realizada em cada ativo se relacionam com os incidentes relacionados a esses ativos e com todo o ambiente tecnológico.

Quando utilizado apropriadamente, ITIL ajuda o departamento a melhorar sua qualidade de serviço, como resolução mais rápida de problemas e maior segurança.

Por exemplo, você pode usar práticas de ITIL para reduzir as chamadas para o helpdesk através da implementação de seções de auto-ajuda no site de sua empresa ou usar as orientações do ITIL para decidir se determinada tarefa deve ser executada em casa ou pode ser delegada a um terceiro.

A História da ITIL

Antes de nos aprofundarmos se você deve implementar metodologias ITIL, vamos voltar e olhar para as raízes da ITIL.

Na década de 1980, Agência Central de Computação e Telecomunicações do governo britânico (CCTA) formulou um conjunto de recomendações projetadas para servir como um catálogo de melhores práticas para os departamentos de TI dos órgãos governamentais.  Não demorou para que o setor privado inglês demonstrasse simpatia pelo conceito, ainda mais por ter nascido com o ponto de vista do usuário, não de fornecedor.

Portanto, a ITIL começou como uma biblioteca composta de livros que discutia práticas específicas de serviços de TI, com base nas recomendações do CCTA.

A primeira versão do ITIL consistia em mais de 30 volumes, escritos entre 1986 e 1996. Em 2000/2001, a segunda versão foi consolidada em oito conjuntos de livros com orientações relacionadas a vários aspectos da TI, incluindo aplicativos e gestão. Em abril de 2001, o CCTA foi incorporado ao Office of Government Commerce (OGC).

Em 2007, o OGC anunciou a terceira versão do ITIL –  conhecida hoje como a edição de 2007. Ela consistia de 26 processos e funções abordadas em cinco publicações principais:

1 – Estratégia de Serviço

2 – Design de Serviços

3 – Transição de Serviço

4 – Operação de Serviço

5 – Melhoria de Serviço Continuada

Com a introdução dessa terceira versão, ITIL deixa de ser mais centrado na operação e passa a explicar todas as fases do ciclo de vida de serviços, incluindo aqueles relacionados com a área de desenvolvimento. Passa a ser preciso educar os profissionais de desenvolvimento e operações a identificarem como ferramentas de automação de serviços podem colaborar para a implantação dos processos de TI e usá-las.

A abordagem certa deve levar o pessoal de desenvolvimento a desejar ter um papel em ITIL e não se sentirem forçados a isso.

Em julho de 2011, a biblioteca da ITIL V3 sofreu uma atualização para corrigir informações, esclarecer conceitos e acrescentar novas práticas dentro do Ciclo de Vida do Serviço. Tais mudanças foram orientadas e sugeridas pela própria comunidade ITSM, em busca do avanço das melhores práticas.

Atualmente a ITIL é mantida pelo OGC (Office Government Commerce), do Reino Unido, e seus usuários são representados pelo ITSM Fórum.  Desde  31 de janeiro de 2012, todos exames de certificação ITIL têm enfocado na versão de 2011.  Para prestar este exame de certificação o candidato não é obrigado a participar de um treinamento oficial. É possível obter o conhecimento através de auto-estudo. Os exames são oferecidos por vários institutos de exames autorizados.

Exames de ITIL são fornecidos em três níveis: Foundation Practitioner e Manager.

A certificação Foundation provê uma avaliação dos fundamentos no Gerenciamento de Serviços em TI. Ela ajudará você a ter uma familiaridade com as melhores práticas para Gerenciamento de Serviços em TI e entender a terminologia da ITIL.

Nos níveis Practitioner e Manager o candidato deve deverá fazer um curso em instituições credenciadas pelo EXIN ou ISEB, e o teste será aplicado pela mesma instituição. O candidato também já ter a certificação Foundation. No nível Practitioner o candidato ainda fará um curso de especialização em dois processos, a escolher e o exame será realizado durante o curso.

Razões para adoção

Uma das razões pelas quais os gerentes querem ter ITIL na empresa é a eficiência. E para provar mais eficiência, departamentos de TI devem medir a eficácia dos processos antes e depois de ITIL.

O ITIL impulsiona a necessidade de medir e reportar a qualidade do serviço. Existem coisas que precisam mesmo ser medidas. Um exemplo é estar apto a medir e reportar a qualidade do serviço de uma forma razoável para provar aos consumidores que você está entregando serviços de TI como o esperado. E, se os serviços melhoram, a medição vai mostrar à companhia que TI merece ser recompensada por seus esforços e melhorias.

O que o ITIL não faz

Implementar ITIL não é fácil. Os especialistas dizem que a mudança de processos que o conceito requer é tão substancial que os CIOs deveriam tratar um projeto de ITIL da mesma maneira que lidam com implementações de ERP (sistemas de gestão integrada), medindo o progresso em anos, não em meses.

As expectativas dos CIOs de encontrar respostas fáceis para suas perguntas sempre “cabeludas” costumam ser desapontadas: o ITIL não aconselha sobre como implementar as melhores práticas catalogadas, uma lacuna que pode entrar em choque com o hábito dos CIOs de contar com detalhadas metodologias de desenvolvimento de software.

ITIL é uma maneira de ajudar a criar uma mudança organizacional. Ou seja, não oferece uma resposta sobre como colocar em prática o que está escrito nos livros; cada empresa deve planejar seus próprios processos com base nos princípios do ITIL.

Certificações complementares

O Sistema de Créditos da certificação ITIL oferece créditos também para outras certificações de TI (chamadas de Qualificações ITIL complementares) ao candidato tiver sido aprovado, incluindo:

1 – Analista de problema, uma qualificação da APMG-Internacional que ensina aos candidatos como evitar problemas e incidentes. Esta qualificação vale 1,5 créditos.

2 – Lean IT, uma qualificação APMG-Internacional, uma extensão do Lean Principles aplicado a um ambiente de TI centrado no cliente. A abordagem é um modo de pensar e agir. Muitas organizações tem adotado o Lean IT para aumentar a satisfação do cliente e alcançar um maior valor estratégico e financeiro. Esta qualificação vale 0,5 créditos.

3 – ISO / IEC 20000, um certificado APMG-Internacional que permite que as empresas demonstrem excelência e provem aplicar as melhores práticas em gestão de TI. Vale  1,5 créditos.

4 – Catálogo de Serviços é uma certificação APMG-International para aqueles que já possuem um certificado ITIL Foundation. Ensina os candidatos a controlar a demanda, publicar e controlar os preços de serviços e os  custos, bem como automatizar a gestão de solicitação e satisfação de serviço. Esta qualificação vale 1,5 créditos.

5 – IT Service Management Foundation, que concentra-se nas práticas e processos de uma abordagem de qualidade ITSM (IT Service Management) e vale um crédito.

6 – Certified Engineer Design Process (CPDE), uma certificação LCS centrada na avaliação, projeto, implementação, integração e gerenciamento de processos de TI. Esta qualificação vale 1,5 créditos.

7 – Qualificações Especialista BCS em Gerenciamento de Serviços abrange uma ampla gama de práticas da indústria, incluindo ITIL, COBIT, ISO / IEC 20000 e SFIA / SFIA. São seis qualificações ao todo. Cada uma desas  ganha 1,5 créditos.

8 – Configuration Management Database, outra certificação APMG-Internacional. Aporta 1,5 créditos.

Certificações ITIL voltam a ganhar destaque – Tecnologia – CIO.

Veja formas simples e gratuitas de estudar para certificações em TI

Por muitos anos, certificações em tecnologia da informação (TI) têm sido debatidas por profissionais da área. Alguns acreditam que elas são a chave para um emprego ou um salário melhor. Enquanto outros afirmam que elas só valem no papel.

Para profissionais da área que estão em busca de certificação para colocar um tempero a mais em suas capacidades, há maneiras de estudar para as provas sem gastar muito ou até sem gastar nada.

Afinal, não há como negar. O investimento em cursos para estudar para exames de certificação é, muitas vezes, caro, observa Tim Warner, um veterano de 15 anos de TI, escritor e treinador no CBT Nuggets, especializada em treinamento de TI. (mais…)

Curso gratuito de TI CIEE-CISCO – preparatório para a certificação CompTia A +

Segundo o jornal Estadão foi estendido para 10 de fevereiro o prazo de inscrição para o processo seletivo destinado a 28 vagas do curso Cisco IT Essentials para São Paulo.

Curso gratuito de TI oferecido numa parceria CIEE-Cisco, o treinamento fornece conhecimentos que permitem identificar problemas e aplicar soluções para instalação, manutenção preventiva e consertos de computadores de mesa e laptops.

A carga horária de 80 horas, e o curso prepara os alunos para prestar o exame de certificação CompTia A +, que atesta os conhecimentos para que possam atuar como analistas de service-desk, profissional muito requisitado por empresas que trabalham com suporte. (mais…)

Certificações em segurança: para qual estudar?

O que mais vejo em listas de discussão da área de segurança e ouço de meu alunos e pessoas que assistem minhas palestras é a seguinte pergunta: qual é a melhor certificação na área de segurança da informação? Há outras variantes sobre o mesmo tema, mas é sempre alguém querendo saber qual é a melhor certificação para se obter tanto para quem está entrando nessa área, quanto para quem quer crescer ainda mais. Por conta de tantas dúvidas sobre o mesmo assunto, ainda mais na área de S.I., pensei em escrever esse artigo para clarear um pouco mais a questão.

Primeiro, vou tentar elencar as certificações mais importantes para o mercado nesse momento, tanto para quem pensa em enfrentar o mercado tupiniquim, quanto para quem pensar em buscar outras oportunidades ao redor do mundo. Afinal, certificação reconhecida apenas nacionalmente, em plena era da globalização, é pura perda de tempo. A maioria das certificações que procurarei abordar, são vendor neutral, mas algumas fugirão dessa regra, por mais que eu me esforce. (mais…)