Os profissionais que fazem parte do universo da Tecnologia da Informação contam com um mercado de trabalho bastante promissor. A falta de profissionais com conhecimentos técnicos suficientes nessa área não é um problema recente e esse cenário aparentemente deve continuar durante os próximos anos. De fato, 65% dos responsáveis pela área de segurança ou TI concordam que a falta de profissionais com qualificação suficiente está impactando negativamente a eficácia de suas equipes, segundo relatório da plataforma educacional Cybrary.
Portanto, considerando a grande demanda existente, quem consegue desenvolver seus conhecimentos e habilidades conta com grandes possibilidades de ingressar ao mercado de trabalho e/ou crescer profissionalmente. Como vimos recentemente, existem diferentes perfis profissionais no setor de segurança e, além disso, vários caminhos de atuação. No que diz respeito ao valor agregado das certificações, é importante mencionar que segundo um relatório da Information Systems Security Association (ISSA), 52% dos profissionais de segurança consideram que a experiência é mais importante do que as certificações, enquanto 44% consideram que ambos aspectos têm a mesma importância. Por outro lado, muitas empresas, ao recrutar profissionais, incluem certificações como parte dos requisitos nas descrições das ofertas de trabalho.
Além disso, muitos profissionais que fazem parte do setor de segurança decidem realizar uma certificação para validar seus conhecimentos e, dessa forma, poder abrir as portas para a experiência necessária a fim de conquistar melhores projetos ou posições laborais, de acordo com os interesses de cada um.
Talvez alguns perfis sejam mais procurados do que outros, mas o importante é que, sabendo disso e tendo em conta os interesses que cada um pode ter, conhecer as diferentes funções e certificações que existem no setor de segurança permite planejar o desenvolvimento de uma carreira profissional. É por isso que, como parte de uma série de artigos que estamos publicando para celebrar o Antimalware Day, separamos algumas das certificações mais conhecidas.
Embora seja possível encontrar uma grande quantidade de instituições que disponibilizam certificações, tomando como referência os dados do relatório sobre a força de trabalho na área de segurança cibernética elaborado pelo (ISC)² em 2019 e o relatório da ISSA de 2020, as certificações de segurança mais procuradas são:
- CISSP – (ISC)²
- CISSP with concentration – (ISC)²
- CCNA Security – Cisco
- CCSP- (ISC)²
- CCNP Security – Cisco
- CIW – Certifications Partners
- GSAE – SANS/GIAC – GIAC Security Audit Essentials
- CCSK – CSA
- CISA – ISACA
- CISM – ISACA
- CASP+ – CompTIA
- Security+ – CompTIA
- CEH – EC Council
Do ponto de vista das instituições que oferecem certificações, de acordo com o relatório do (ISC)², estas são as que contam com um maior número de profissionais:
- (ISC)²
- CompTIA
- CSA
- CIW
- ISACA
- ASIS International
- CREST
- EC-Council
- DRI INternational
- GIAC
Vale ressaltar que, em alguns casos, as certificações têm impacto direto sobre os salários. De acordo com um estudo realizado pelo International Information System Security Certort Consortium (ISC)² existe uma diferença salarial entre os profissionais do setor que possuem certificações, embora essa diferença seja mais evidente nos Estados Unidos e na Ásia-Pacífico. No caso da Europa ou América Latina, a diferença também existe, mas não é tão significativa quanto em outras regiões.
Confira mais informações sobre algumas dessas e outras certificações.
Observação: o conteúdo a seguir não tem como propósito apresentar uma lista de certificações que recomendamos. O objetivo deste artigo é fornecer uma orientação que permita aos profissionais interessados obter mais informações sobre as certificações disponíveis, tendo como referência algumas entre as mais conhecidas.
Separamos algumas certificações, de acordo com o nível de experiência e especialização, embora em certos casos a mesma certificação possa se enquadrar em mais de uma categoria e ser útil para mais perfis do que os mencionados a seguir. Portanto, também é interessante ler as especificações de cada instituição certificadora.
Certificações de nível básico
Para aquelas pessoas que não se especializaram em nenhum perfil em particular e que procuram realizar uma certificação que lhes permita validar os seus conhecimentos teóricos, mas sem se aprofundar na parte técnico. Algumas entre as mais conhecidas são:
Security+ da CompTIA: uma certificação bastante exigida para quem está no início da carreira. Além de ser uma das mais conhecidas, estabelece os fundamentos da segurança cibernética em geral e se adapta a praticamente qualquer função do setor.
GSEC (GIAC Security Essentials): pode ter algumas semelhanças com a certificação Security + da CompTIA, embora exija bem mais dos profissionais.
CEH (Certified Ethical Hacker): uma certificação de nível básico bastante conhecida, frequentemente vista como parte dos requisitos em anúncios de trabalho.
Certificações direcionadas a profissionais mais especializados
Uma vez iniciado o caminho profissional, existem várias especializações. Podemos dizer que para cada área em particular existe um conjunto de certificações que são, em sua maioria, direcionadas a quem tem uma base conceitual e técnica mais sólida e que procura validar conhecimentos técnicos avançados:
Para um analista (semi sênior ou sênior):
Um profissional com conhecimento em fundamentos conceituais e técnicos que esteja à procura de certificações que possam validar o seu nível técnico. Além da área de atuação do analista, partimos da base de que seja um profissional versátil ou que realize diversos tipos de atividades.
CAP (Certified Authorization Professional): para realizar essa certificação oferecida pelo (ISC)² é necessário ser capaz de comprovar dois anos de experiência remunerada na área de segurança. O CAP permite validar que o profissional possui conhecimentos técnicos avançados e conhecimentos para a manutenção de sistemas de informação dentro de uma estrutura de gerenciamento de riscos, pois ensina como implementar controles e está vinculada às normas da ISO 2700x.
Para um pentester semi sênior ou sênior:
Para aqueles que realizam atividades de pentesting ou pretendem se desenvolver nesse campo, algumas das certificações mais conhecidas são:
GPEN: As certificações que o SANS oferece (através do GIAC) são algumas das mais valorizadas do ponto de vista técnico. Quem possui uma dessas certificações demonstra bastante conhecimento, algo que muitas empresas buscam para preencher os cargos de semi sênior ou sênior. No entanto, é importante ter em conta dois aspectos: costumam ser exigentes (mesmo para quem tem experiência) e também caros.
OSCP: oferecida pela Offensive Security, é uma opção semelhante à anterior e também bastante conhecida no setor de segurança.
OSCE: também oferecida pela Offensive Security, é uma certificação muito popular que exige passar por um exame prático de 48 horas. Recentemente, a Offensive Security anunciou uma atualização do programa. Os alunos são aconselhados a ter o OSCP antes de tentar obter o OSCE.
GWAPT: Outra certificação oferecida pela SANS através do GIAC, mas nesse caso é orientada para aplicações web, também bastante procurada. Aqueles que concluem essa certificação demonstram conhecimento para lidar com alguns dos problemas de segurança em aplicativos da web e habilidades para realizar testes de penetração.
Para um Incident Responder, Analista Forense e/ou Threat Intelligence semi sênior ou sênior
Em nosso post sobre perfis profissionais, destacamos o papel do Incident Responder. Já a função do Threat Intelligence é ser um profissional que esteja constantemente informado, pesquisando e coletando informações sobre ameaças, vulnerabilidades e incidentes que ocorrem para posteriormente analisar essas informações e executar ações de inteligência de ameaças para a realidade da organização. Embora, como em outras áreas, existam muitas certificações, algumas das mais conhecidas são:
GCFE (GIAC Certified Forensic Examiner): É uma certificação altamente técnica e exigida para perfis que trabalham com atividades de Incident Response ou forenses.
SEC487: Outra certificação oferecida pela SANS que nesse caso é voltada para a coleta e gerenciamento de fontes de informação públicas, ou seja, mais voltada para Threat Intelligence.
SEC541: Cloud Security Monitoring and Threat Hunting, também da SANS.
Outras certificações para esses perfis são: EnCE, CCE.
Para um Cloud/Network security Engineer:
As certificações de infraestrutura, seja física ou em nuvem, costumam estar mais relacionadas a uma marca específica (aquela usada pela empresa que você contrata). Em todo caso, uma das mais conhecidas entre as oferecidas pelas instituições de certificação é a CCSP (Certified Cloud Security Professional) emitida pelo (ISC)².
Para gerentes ou líderes de equipe:
Embora as certificações que são solicitadas aos profissionais que ocupam cargos de liderança em uma empresa não priorizem tanto a parte técnica, o que as organizações buscam é que aqueles que assumem esses cargos possam comprovar o conhecimento sobre aspectos metodológicos da segurança aplicada ao cenário da empresa:
CISSP: como mencionamos anteriormente quando nos referimos a essa certificação oferecida pelo (ISC)², ela é bastante exigida e costuma ser uma "garantia de confiança", pois para obtê-la é necessário demonstrar pelo menos 5 anos de experiência atuando na área. Trata-se de uma certificação muito teórica.
Outras certificações para perfis de liderança são: a CISM e a CISA, ambas oferecidas pela ISACA.
A realidade é que há muito mais certificações. Considerando que existem diversos títulos para descrever as diferentes posições que um profissional pode ocupar no setor de segurança, esperamos que essa lista sirva de guia para que os interessados em ampliar ou validar seus conhecimentos tenham uma referência para começar.
E você, qual certificação recomendaria e por quê? Escreva nos comentários para que outros leitores possam ler a sua opinião.
