Uma das perguntas mais recorrentes que me fazem nos eventos, após as palestras e em grupos nas redes sociais é: Como eu começo na área de segurança da informação? Ou quais são os primeiros passos a seguir pra entrar nessa área. Agora que criamos o grupo do SecurityCast no Telegram, grupo esse que em questão de dias já se tornou supergrupo devido à grande procura, esta pergunta surgiu pelo menos umas 3 vezes.
Por esse motivo resolvi escrever um artigo com alguns conselhos para as pessoas que desejem ou trabalhar nesta área, ou se aprofundar mais sobre o assunto.
1- Escolha algo que você goste de fazer
Minha mãe me dizia desde pequeno, escolha algo que você gosta de fazer e você nunca vai trabalhar na vida. Esta filosofia é valida pra qualquer coisa na vida, mas quando falamos em segurança da informação, uma área que vai exigir um enorme esforço da pessoa, se for algo que a pessoa não goste muito, fatalmente ela irá fracassar. Meu início na área remonta a minha adolescencia, onde passei noites e noites em claro, buscando, pesquisando, e querendo aprender tudo que pudesse, então é natural que pra mim não seja oneroso, passar horas e horas lendo manuais, ou noites em busca da solução para um problema, afinal, eu provavelmente estaria fazendo algo semelhante em meu tempo livre, que mal há em ser pago para isso. Isso foi algo que posteriormente um grande amigo meu me ensinou. Se você é bom em algo, nunca faça isso de graça.
2. Se você não gosta de ler desista agora
Não, eu não estou sendo exagerando. Se você hoje em dia, na sua vida diária, não gosta de ler, desista agora. Procure outra área de atuação. Especialistas em segurança, consultores e pesquisadores em geral, perdem em média 4 horas DIÁRIAS lendo. Isso porque a área de segurança requer que você acompanhe ativamente, toneladas de informação. Serão centenas, de milhares de vulnerabilidades todas as semanas, dezenas de novos ataques. Some isso a documentação de atualizações de versões com novas funcionalidades, mais matrizes de compatibilidade (MALDITAS), mais logs de serviços, mais relatórios, estatísticas. Acredite, serão Gigabytes diários de informação para serem processados diariamente. Conheço pessoas que entraram na área e nas primeiras semanas tiveram uma crise nervosa. Existem motivos para ser uma área restrita. Talvez esse seja o principal.
3. Aprenda uma linguagem de programação
Uma não. Umas. Se você não manja nada, nunca mexeu com nenhuma linguagem, eu começaria por C/C++, depois aprenderia Python e como complemento uma linguagem de baixo nível (sim estou falando de você Assembly sua linda!!) Vale a pena lembrar que esse é um bom momento pra você ja sentir uma oportunidade na carreira. Para trabalhar com segurança, você precisa ter noções de programação, o que é diferente de ser programador. O mercado hoje conta com uma carência GIGANTESCA de programadores orientados a segurança, ou seja, pessoas capazes não somente de escrever códigos, mas de escrever códigos seguros. O problema é que isso mais uma vez cai no item 1 da lista. Ou você gosta dessa área, ou segue em frente. Mas se gostar, fica a dica. Tem mercado, e bastante. Ah sim, shell script é quase que obrigatório e um conhecimento que pode te poupar de horas e horas de trabalho.
4. Ja ouviu falar em Andrew Tanenbaum?
Se não, talvez seja melhor escolher outra área. Porque estou dizendo isso? Segurança da informação vai exigir que você conheça as entranhas de como funcionam os sistemas operacionais. Se você esta começando agora, se é um estudante, eu recomendo que, caso você ainda não tenha feito, instale em seu computador uma distribuição Linux. Não estou defendendo o Linux não. Vou deixar que você tire suas próprias conclusões sobre essa guerra dos sistemas operacionais, mas devido a natureza e principalmente publico alvo desses sistemas operacionais, eles permitem/obrigam o aprendizado de como funcionam as coisas a nível de sistema operacional. Mas não estou falando pra instalar um Ubuntu no seu laptop. Mais uma vez, obviamente isso não tem motivações ideológicas dessa área de malucos do SL, só que hoje em dia, instalar e usar um Ubuntu é até mais facil que usar um Windows, e seu objetivo é aprender lembra? Sendo asssim, instale um Ubuntu, ou um Mint, ou um Debian, ou qualquer outro de sua preferencia, para uso pessoal no laptop, mas tenha uma partição ou preferencialmente outra maquina de laboratório, e nessa, vá de Arch Linux por exemplo, (Manjaaaaaaaro) ou se você for macho mesmo Slackware.
5. TI de cú é rola
Com quem você fecha ‘prayboy’? A grande maioria das pessoas pensa que é a mesma coisa, mas não é. Na verdade, em um ambiente ideal, elas não estão nem sequer ligadas. Isso porque a SI, irá fiscalizar e muitas vezes entrar em conflito com a área de TI, então colocar alguém de TI para cuidar de SI, seria como deixar a raposa tomando conta dos ovos. Isso pode parecer dificil de entender para um público menos experiente na área, mas a triste verdade aqui é que é uma questão conceitual, algo que você precisa identificar dentro de você antes de entrar na área. Se você é daqueles que repete internamente o mantra “se está funcionando, não mexa!” desista agora. SI não é pra você. Agora, se você se sente incomodado e perde noites de sono, em pensar naquele Openssl desatualizado e que a qualquer momento ele pode ser atacado, então a área pode ser pra você.
6. O senhor do anéis de rede
Um profissional de segurança conhece profundamente redes, se SYN-ACK, broadcast, stack, aplicação, transporte, enlace, e TTL são palavras estranhas pra você, então você tem um longo caminho pela frente. Sabe esses ataques DDOS gigantescos que ocorrem hoje em dia, eles são resultado de pessoas que conhecem absurdamente bem os protocolos e funcionamento de redes e internet, e para se defender deles você precisará ter um conhecimento igualmente profundo no assunto
7. Dados, dados, dados.
Você precisará ter um conhecimento, ainda que superficial em banco de dados. Isto porque devido ao papel imprescindivel que essas aplicações tem hoje na internet e em ambientes corporativos, essa necessidade irá te puxar pelo pé a cada passo do seu caminho.
8. Did you mean, persuasion?
Você fala inglês? Se não entre num curso agora, ou baixe um da internet, ou compre livros e estude por conta própria, mas seja la o que for, aprenda inglês agora. Isso não só irá abrir um mundo novo para você em diversos outros aspectos, mas em se tratando de segurança da informação, boa parte dos materiais de qualidade esta em inglês.
9. Universidade x Certificações
Sabe o que mais me ensinou e me preparou como profissional da segurança da informação? Universidade ou as Certificações? A resposta é: Nenhuma das duas. Acredite, você irá aprender mais fuçando e perdendo horas e horas de sono, horas onde seus colegas estarão todos bebendo no sabado a noite, ou passeando nos fins de semana e você enfurnado mexendo nos seus computadores. Mas, quando você for procurar um emprego a primeira coisa que irão te pedir é a porcaria do diploma. Então termine sua faculdade. Significa que você não pode vencer sem ela? Não. Existem dezenas de histórias aí pra provar isso, mas certamente será mais dificil. Uma boa dica pra quem por qualquer motivo perdeu o bonde da faculdade, (e mesmo quem não perdeu) é investir nas certificações, isso porque, se você estiver concorrendo a uma vaga na area de SI com outros 3 candidatos, todos com faculdade, mas você jogar na mesa o seu curriculum com um CISSP, uma CEH e uma Comptia Security+, você pode dar tchauzinho e dizer, bye bye universitários…. Claro se um deles além da faculdade tiver as certificações também, você sifu…
10. Will work for food
Procure conseguir um estagio ná area. Nada te prepara melhor do que aprender na prática, no fogo do dia-a-dia. Obviamente como você não tem experiência, talvez você não consiga nem mesmo um estagio remunerado, mas quanto vale a oportunidade de aprender com profissionais da área capacitados, trabalhando lado a lado, com problemas reais em empresas reais? Nenhuma universidade ou curso no mundo pode te oferecer isso.
11. Get connected
Procure se inscrever em grupos de discussão e fontes de noticias e vulnerabilidades. O debate com profissionais da área, pessoas que já trilharam o caminho que você quer trilhar, será de extrema importância. Além do mais são lugares onde procurar ajuda, (depois de ter ao menos pesquisado no google é claro). As listas de discussão da securityfocus.com, grupos de segurança da informação no Facebook, ou no Telegram também são fontes excelentes. Quem tiver interesse em entrar no grupo do SecurityCast no telegram que eu mencionei no inicio do artigo, é só clicar no link http://bit.ly/securitycast
Basicamente esses são os pontos chaves. É preciso que você entenda que é uma area EXTREMAMENTE difícil, penosa, que definitivamente não é pra todo mundo, por sinal, ao buscar aprimoramento nos itens acima, talvez você encontre a sua verdadeira vocação, talvez ao se aprofundar em redes você perceba que gosta dessa área, outras vezes ao mexer com banco de dados você percebe que curte. Outra área que dá uma grana lascada por sinal. Essa de DBA. Mas se você, ao perseguir esse objetivo, ao longo do caminho perceber que gosta de estudar e compreender o lado negro da força, mas com o objetivo de fortalecer o lado da luz, bom, então seja bem vindo padawan. Que a força esteja com você.
Hiperatividade 