Importância das Certificações em Segurança Cibernética

Prévia do material em texto

CERTIFICAÇÕES EM 
SEGURANÇA CIBERNÉTICA 
AULA 1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Prof. Luciano Johnson 
 
 
2 
CONVERSA INICIAL 
O objetivo dessa etapa é apresentar a você a relevância e a importância 
de uma certificação digital em segurança cibernética na atualidade. Além disso, 
explicar como o mercado de trabalho enxerga as certificações e como os 
profissionais de segurança cibernética podem traçar uma rota de certificação 
para compor seu currículo e formação profissional. 
TEMA 1 – O PROFISSIONAL E A CERTIFICAÇÃO CIBERNÉTICA 
A área de segurança cibernética surgiu como uma especialização da área 
de tecnologia da informação. Foi década de 1970 o período em que começamos 
a perceber no mercado o surgimento da área de tecnologia. Nesse período, 
surgiram os primeiros computadores e programadores. Em poucos anos, já na 
década de 1980, estávamos falando de informática e cada vez mais novos 
conhecimentos estavam sendo gerados e com isso novas subáreas de 
conhecimento. 
Por um bom tempo, a informática ficou conhecida como a combinação da 
área de sistemas e infraestrutura ou, em outras palavras, desenvolvedores de 
programas e analistas que mantinham os computadores funcionando. Mas com 
a chegada da tecnologia de redes de computadores e logo no início da década 
de 1990, a Internet, a conhecida área de informática expandiu seus limites e 
funcionalidades. O que era conhecido com CPD (Centro de Processamento de 
Dados) se tornou o que conhecemos hoje como Departamento de Tecnologia da 
Informação. 
Foi nesse período de crescimento e expansão que a área de Tecnologia 
da Informação se estruturou e se organizou. Agora existiam pessoas com papéis 
específicos, uma vez que o conjunto de conhecimento ficou muito grande, como: 
analistas programadores, analistas de rede, analistas de sistemas operacionais, 
analistas de suporte, entre outros. Mas especificamente para os analistas de 
rede um novo desafio surgiu: como manter seguro o ambiente de rede conectado 
à Internet, onde as primeiras invasões de sistemas começaram a surgir? 
Assim surgiu a área de Segurança da Informação, que é uma 
especialização da área de Redes de Computadores. Com a evolução da 
tecnologia e cada vez serviços orientados ao uso da Internet, a área de 
segurança se subdividiu em Segurança da Informação e Segurança Cibernética. 
 
 
3 
Enquanto o escopo da Segurança da Informação é muito mais Governança e 
Processos, a Segurança Cibernética é focada em tecnologia, como Firewalls, 
Detecção de Intrusão, Gestão de Acesso, Proteção de Dados e tantas outras 
tecnologias que surgem a cada dia. 
Justamente por ter se tornado um universo de tecnologias, os 
profissionais de segurança cibernética tiveram que optar por um dos dois 
caminhos que se formaram: conhecer muitas tecnologias, mas sendo um 
generalista, ou conhecer com mais profundidade uma tecnologia e ser um 
especialista. 
O profissional de segurança cibernética enfrentou esse desafio de se 
especializar, mas como que ele poderia ser reconhecido por isso? O que faz dele 
um especialista? É nesse momento que uma certificação profissional apoia e faz 
a diferença. 
As certificações profissionais surgiram dentro da área de tecnologia como 
uma necessidade de especializar os profissionais dentro de um universo de 
conhecimentos disponíveis. 
1.1 A certificação profissional 
A certificação profissional é o caminho da especialização e do 
reconhecimento. Uma terceira parte (empresa, organização, instituição de 
ensino) reconhece, por meio da certificação, que determinado profissional possui 
conhecimento especializado sobre determinado assunto. A certificação 
geralmente é comprovada por um certificado de que o profissional possui 
conhecimento suficiente do assunto, aferido por meio de uma avaliação 
específica (geralmente uma prova de certificação, em que é exigido uma nota 
mínima para alcançar o status de certificado). 
A partir desse ponto, os profissionais de segurança cibernética estão se 
deparando um novo mundo, com dezenas de certificações disponíveis, dos mais 
variados tipos e assuntos. Mas cada certificação representa sempre um nível ou 
abordagem diferente de especialização. 
Além disso, uma certificação profissional é vista como uma formação 
continuada do profissional, que geralmente já fez uma graduação, 
especialização, mestrado ou doutorado. Mas, profissionalmente, a certificação 
indica que a pessoa possui conhecimentos mais específicos que completam seu 
perfil profissional. 
 
 
4 
TEMA 2 – TIPOS DE CERTIFICAÇÕES 
Agora que já entendemos o que é a certificação profissional, vamos 
analisar mais a fundo esse mundo composto de inúmeras certificações e dos 
mais variados tipos. 
Os tipos de certificação que um profissional possui dizem muito de como 
ele se relaciona com o trabalho. Temos certificações de liderança em segurança 
da informação que indicam que o profissional possui um olhar bem profundo de 
gestão de segurança e temos certificações técnicas de segurança que indicam 
que o profissional possui um olhar bem técnico em relação a segurança 
2.1 Certificações nacionais e internacionais 
A primeira categorização que podemos fazer é em relação a abrangência 
internacional ou não de uma certificação, ou seja, se uma certificação tem 
reconhecimento nacional ou internacional. 
Como vivemos em um mundo globalizado e os principais fornecedores de 
certificações buscam cobrir profissionais de todos os países, a grande maioria 
das certificações profissionais em segurança cibernética são internacionais. Isso 
é um ponto muito positivo, pois a certificação será reconhecida em praticamente 
todo o mundo. Por exemplo, um profissional certificado CCNAS pela Cisco é 
reconhecido em qualquer país, pois seu conhecimento é específico de 
segurança em produtos Cisco, que é um dos maiores fornecedores de 
equipamentos de infraestrutura de rede de dados do mundo. O contraponto de 
uma certificação profissional internacional é que, na grande maioria das vezes, 
o material de estudo é em inglês e a prova de certificação às vezes tem tradução 
ao português. Isso faz com que o profissional tenha que ter um bom grau de 
proficiência na língua inglesa, que é a mais utilizada no mundo na área de 
segurança cibernética. 
As certificações nacionais para segurança cibernética são poucas, muitas 
derivadas de fabricantes de escopo nacional, mas isso não diminui a sua 
importância se você estiver envolvido nesse contexto. O Brasil começou a ter 
várias empresas fabricantes de tecnologia e que atuam na segurança cibernética 
e que possuem seu próprio currículo de certificação. 
2.2 Certificações de liderança, técnicas e processuais 
 
 
5 
A segunda categorização que podemos fazer é em relação a natureza da 
certificação e aqui dividimos em três categorias: Liderança, Técnicas e 
Processuais. 
As certificações de natureza de Liderança buscam trazer ao profissional 
o contexto de análise, planejamento, execução e controle de um ambiente de 
segurança cibernética. Esse tipo de contexto é direcionado para os líderes (ou 
gestores) de segurança cibernética. Um bom exemplo desse tipo de certificação 
é a CISM (Certified Information Security Manager – Gerente de Segurança da 
Informação Certificado em tradução livre) fornecido pela ISACA, entidade norte 
americana e reconhecida no mundo inteiro. Iremos abordar com mais detalhes 
essa certificação em outro momento, mas já fica a indicação para vocês 
pesquisarem na Internet e estudarem um pouco sobre ela. 
A certificação de Liderança indica que o profissional possui um perfil de 
gestão de segurança, que aborda liderar uma equipe para identificar, proteger e 
responder a eventos de segurança cibernética. Geralmente essa liderança 
também tem um enfoque muito forte em gestão de riscos e, principalmente, em 
comunicação executiva dentro de uma organização. Olhando para a carreira, um 
profissionalcertificado em CISM, por exemplo, tem grandes chances de se tornar 
o CISO (Chief Information Security Officer – ou executivo de Segurança da 
Informação em tradução livre) de uma organização, ou seja, uma pessoa de 
liderança executiva em segurança da informação e cibernética. 
É importante ressaltar que certificações de Liderança não abordam temas 
técnicos (como fazer), mas sim temas organizacionais (porque fazer), enquanto 
as processuais abordam temas estruturais (o que fazer). 
As certificações de natureza Processual buscam trazer ao profissional o 
contexto de boas práticas internacionais e nacionais no arranjo e organização 
processual de uma área de segurança cibernética. Os processos de segurança 
cibernética estão muito bem consolidados e disseminados. Um exemplo disso 
são as certificações da série normativa ISO/IEC 27000, em que o foco é o 
processo organizado e repetível de segurança cibernética. A organização pode 
ter um líder de segurança e pessoas capacitadas em ferramentas e técnicas, 
mas são os processos de segurança que fazem a orquestração para que tudo 
isso possa dar os resultados esperados. 
Além disso, a governança da segurança cibernética é o framework 
principal, composto pelos processos de segurança, das políticas de segurança 
 
 
6 
e a definição dos papéis e responsabilidades das pessoas. Os profissionais com 
certificações desta natura, como o COBIT, possuem uma visão muito mais 
estrutural do todo, pois eles são responsáveis por entender os requisitos de 
entrada de cada processo e o que se espera como resultado e quais são as 
macro atividades que devem ocorrer nessa transformação. As atividades 
propriamente ditas são executadas por meio de técnicas especializadas, e é aqui 
que entram as certificações técnicas. 
As certificações de natureza técnica são a grande maioria das 
certificações disponíveis no mercado nos dias de hoje, pois existem maneiras 
diferentes e especializadas de fazer a mesma atividade. Esta é uma certificação 
que também segue boas práticas, mas muito mais concentradas em atividades 
específicas e geralmente relacionadas a tecnologias e as vezes até a produtos 
de mercado. 
Um profissional de segurança cibernética especializado em uma 
determinada linha de produto é muito bem-visto no mercado, principalmente 
quando a linha de produtos é a líder de mercado. Por exemplo, uma certificação 
de administração de um produto é muito procurada, pois representa que o 
profissional possui domínio avançado no produto, principalmente nas 
funcionalidades de administração que pode ser o trabalho diário de um 
especialista conhecido como Administrador de Sistemas. 
Como a segurança cibernética possui vários processos e, estes, várias 
tecnologias que os suportam, as certificações técnicas são as que mais 
especializam um profissional. Em outras palavras, é a certificação que dá o 
mergulho mais profundo no mar de conhecimento. Esses são os profissionais 
mais procurados do mercado. 
2.2 Certificações corporativas e pessoais 
A terceira categorização que podemos fazer é em relação ao detentor da 
certificação e aqui dividimos em duas categorias: Corporativa e Pessoal. 
Até o momento, todas as certificações que fizemos análises e referência 
estão associadas ao profissional de segurança cibernética, ou seja, as 
certificações que uma pessoa pode obter no decorrer da carreira. Mas existe 
também as certificações corporativas, onde uma organização (ou empresa) é 
certificada. Um exemplo é a certificação ISO/IEC 27001 – Sistema de Gestão de 
Segurança da Informação. 
 
 
7 
Essa certificação é associada a uma organização e não requer que seus 
colaboradores sejam certificados, mas assegura que a organização cumpre 
requisitos de governança e controle suficiente para ter um Sistema de Gestão de 
Segurança da Informação. Geralmente organizações financeiras, fintechs e 
algumas empresas de consultoria possuem essa certificação, que precisa ser 
recertificada anualmente. 
Esse exemplo da ISO/IEC 27001 é muito semelhante a uma certificação 
de qualidade, conhecida como ISO/IEC 9001, onde é a organização que é 
certificada e não uma pessoa. 
TEMA 3 – AS ORGANIZAÇÕES CERTIFICADORAS 
Agora que já temos uma base do que são as certificações de cibernéticas, 
é muito importante entender e avaliar as organizações certificadoras. 
A organização certificadora é a entidade responsável por gerir um portfólio 
de certificação, definindo as certificações, seu contexto, abrangência, base de 
conhecimento, propósito e objetivos, forma de avaliação e reconhecimento. 
Logo, isso requer uma estrutura bem organizada e reconhecida nacional e 
internacionalmente, se for o caso. 
Ao buscar uma certificação, é de suma importância que o profissional 
entenda qual é a entidade que a mantém e quanto o mercado de trabalho a 
reconhece. Enquanto as certificações técnicas são geralmente associadas a 
tecnologia, suas mantenedoras são em grande parte as empresas que fabricam 
e comercializam os produtos associados. Nesse caso, se a empresa possui uma 
linha de produtos reconhecida no mercado, a certificação segue essa linha de 
reconhecimento. 
Por outro lado, as certificações de liderança e processuais são ofertadas 
por um grupo bem menor de organizações. Pegando o exemplo da certificação 
CISM, comentada anteriormente, a entidade que a mantém é a ISACA, que é 
mundialmente reconhecida pelas suas certificações e formação de lideranças. 
Logo, a certificação CISM é a mais procurada pelos profissionais de segurança 
cibernéticas que estão buscando um conhecimento e reconhecimento como 
líderes (na maioria das vezes gestores), assim como a certificação de Auditor 
Líder da norma ISO 27001, que é uma certificação para o profissional que vai 
auditar a implementação corporativa (ou até liderar essa implementação) da 
norma ISO 27001 – Sistema de Gestão de Segurança da Informação. 
 
 
8 
Essa certificação ISO 27001 é processual, baseada nos processos de 
segurança da informação constantes da norma, logo, não explica como fazer os 
controles de segurança (as atividades), mas o que deve ser feito e avalia sua 
eficácia e eficiência. 
As organizações que mantém as certificações de Liderança e Processuais 
são compostas por outras organizações que, juntas, definem a boa prática de 
mercado e o que deve ser realizado em cada certificação. Isso é bem importante, 
pois é um trabalho colaborativo, com contribuições dos mais variados tipos, 
fazendo com que as certificações tenham credibilidade, que o processo de 
certificação seja padronizado internacionalmente e que os profissionais 
certificados sejam reconhecidos. 
Se associarmos todos os tipos de certificações, uma área de segurança 
cibernética pode ser gerida por um profissional CISM, com um modelo de 
governança estabelecido por um profissional COBIT e com atividades realizadas 
por profissionais CCNAS, CCSA, MCP, Security+, CISPP etc. 
Não reconheceu essas siglas? Aguarde as próximas discussões e você 
estará mais perto de entender. 
TEMA 4 – A VISÃO DO MERCADO DE TRABALHO 
O mercado de trabalho tem evoluído muito nos últimos anos no que diz 
respeito ao reconhecimento das certificações profissionais. Aqui, é preciso 
lembrar que a certificação profissional está associada a especialização do 
profissional. 
Como as demandas das empresas tem evoluído muito rapidamente, os 
desafios de segurança cibernética seguiram a mesma velocidade. Nas décadas 
de 1990 e 2000, falava-se muito de segurança de redes e firewalls, pois as 
empresas estavam gatinhando para a Internet. A segurança era muito mais 
perimetral (abrangência da rede da empresa). Hoje em dia, o cenário é muito 
diferente, pois não temos mais os perímetros, as empresas atuam com Apps, E-
commerce, atuam fortemente em redes sociais e multicanais, em outras 
palavras, um universo de tecnologias. 
Assim como as estruturas de tecnologia da informação que anteseram 
uma sala dentro da empresa (Datacenter), hoje migraram para a nuvem, num 
mundo cada vez mais virtual, on-line e onipresente. As empresas são acessadas 
por seus clientes de qualquer parte do mundo e a qualquer momento. Não existe 
 
 
9 
mais a chamada operação 8x5 (8 horas trabalhadas nos 5 dias uteis da semana), 
hoje é praticamente 24x7x365 (24 horas trabalhadas nos 7 dias uteis da semana, 
durante todos os dias do ano). 
Você consegue imaginar um aplicativo de delivery que não entregue nos 
finais de semana? Ele não duraria uma semana no mercado de delivery. As 
empresas de E-Commerce atuam o dia inteiro, todos os dias. Você pode comprar 
um notebook ou uma geladeira pelo e-commerce a qualquer momento. 
Logo as empresas possuem equipes atuando a toda hora e utilizam muita 
tecnologia. E onde se utiliza muita tecnologia, necessidades especializadas 
sempre fazem parte. As áreas de segurança cibernética também tiveram que 
acompanhar o ritmo dos negócios, atuando 24x7 com alto grau de 
especialização. A primeira conclusão disso é a demanda de profissionais, a 
segunda conclusão é que os profissionais devem ser especializados. 
4.1 As equipes de segurança cibernética 
As equipes de segurança cibernética evoluíram e agora estão 
segregadas: RED TEAM, BLUE TEAM, SOC, por exemplo. Essas equipes são 
compostas por diferentes tipos de profissionais, com diferentes finalidades e, 
principalmente, com certificações profissionais diferentes. 
As equipes RED TEAM têm como objetivo identificar e tentar explorar as 
vulnerabilidades no ambiente de tecnologia, tentando validar a eficiência dos 
controles de segurança aplicados, simulando ataques, explorando brechas de 
configuração e relatando isso ao líder de segurança cibernética. Um papel 
exercido por essa equipe é o de Hacker Ético, que inclusive possui uma 
certificação dedicada para ele, a C|EH, Certified Ethical Hacking (Certificado em 
Hacker Ético em tradução livre). A ideia de se utilizar uma equipe RED TEAM é 
que eles tentem realizar uma invasão, ou ataque, como se fosse um agente 
externo real, um hacker, mas com o benefício de não ter danos ou perdas, 
apenas a identificação das fragilidades e vulnerabilidades para que estas 
possam ser corrigidas e evitar um ataque real. 
As equipes BLUE TEAM têm como objetivo analisar as fragilidades e 
vulnerabilidades encontradas, traçando planos de ação de correção e mantendo 
o ambiente seguro. É essa equipe que realiza projetos de segurança cibernética, 
busca fornecedores e soluções de segurança, realiza POC (Provas de 
 
 
10 
Conceitos) de soluções e ferramentas, que administra o dia a dia da segurança 
cibernética. 
Os perfis dos profissionais entre as equipes RED e BLUE são diferentes, 
enquanto um busca obter acesso e se infiltrar sorrateiramente no ambiente, o 
outro precisa estar atento, com defesas a postos e procurando por 
comportamentos suspeitos para proteger a empresa. 
E é importante também discutirmos sobre o SOC (Security Operation 
Center – Centro de Operações de Segurança em tradução livre). Essa equipe 
tem como objetivo detectar incidentes (ataques) para poder responder (ações de 
mitigação e correção) para manter a empresa segura. 
O SOC surgiu justamente para apoiar as organizações na operação de 
segurança, pois geralmente são equipes atuando 24x7, monitorando o ambiente 
pelas mais variadas tecnologias e, quando algo para suspeito, eles investigando 
e atuam na correção, deixando que as equipes RED e TEAM tenham 
disponibilidade para que possam fazer seu trabalho da melhor maneira possível. 
4.2 Perfil e demanda de profissionais 
A demanda por profissional de segurança cibernética qualificado é muito 
grande desde o ano de 2020. Os analistas de mercado veem comentando 
seguidamente da carência de profissionais qualificados. As empresas possuem 
muita dificuldade de contratação, devido a carência dos profissionais e trabalho 
é o que não falta nesta década de 2020. 
Mas aqui é preciso analisar bem, pois a carência é de profissionais 
qualificados (entenda-se qualificado como especializado, logo certificado). O 
mercado possui muito profissional de tecnologia que busca posição de 
segurança da informação e segurança cibernética sem sucesso, pois a demanda 
é muito qualificada. 
É bem comum profissionais que atuam em uma área de tecnologia 
conhecida como infraestrutura, se candidatarem a posições de segurança 
cibernética sem sucesso. O motivo disso é a especialização. Como comentado 
no início dessa etapa, a segurança cibernética surgiu como uma especialização 
de TI, mais especificamente especialização da área de redes (infraestrutura no 
mundo de hoje). 
O profissional de segurança cibernética obrigatoriamente tem como base 
conhecer com bom nível de detalhes as áreas de infraestrutura e sistemas. Por 
 
 
11 
isso que a mudança de área para segurança cibernética requer um estudo mais 
profundo de tecnologias, pois seu papel principal será proteger essas 
tecnologias de vários tipos de vulnerabilidades e ataques, mitigando riscos e 
assegurando a operação segura de negócio. 
Como comentado anteriormente, as organizações têm explorado de forma 
muito crítica soluções de negócio baseadas em Aplicativos (Apps). Hoje quase 
todos os serviços que podemos consumir de empresas estão na palma de 
nossas mãos, em um aplicativo no smartphone. Podemos elencar alguns 
serviços como: 
• Transporte de pessoas (empresas aéreas, rodoviárias, motoristas de 
aplicativos); 
• Planos de saúde; 
• Delivery de alimentação; 
• E- commerce (todo o varejo); 
• Redes Sociais (LinkedIn, Instagram, Facebook); 
• Aplicativos de vídeos e músicas (streaming de áudio e vídeo); 
• Banking (banco digital, carteira de investimentos); 
• Vídeo Conferência (Zoom, Teams, Meeting); 
• Mensageira (e-mail, WhatsApp, Teams, Hangout); e 
• Serviços públicos (carteira de motorista digital, título de eleitor digital, 
secretaria da saúde, carteira de vacinação digital, carteira de trabalho 
digital etc.). 
Com uma quantidade tão grande de serviços, e muitos mais por vir, a 
segurança destes é um desafio enorme nas organizações, pois envolve 
segurança do aplicativo, segurança de nuvem, segurança de infraestrutura, 
segurança de dados, segurança contra fraldes, segurança de APIs e muito mais. 
Logo, a necessidade de profissionais devidamente capacitados, especializados 
e certificados é muito grande e a tendência é de só crescer. Por esses motivos, 
as certificações e especializações estão em alta no mundo da segurança 
cibernética. 
TEMA 5 – A ROTA DE CERTIFICAÇÃO 
Chegamos ao ponto que a pergunta não é por que se certificar, mas como 
e no que se certificar. A resposta está muito associada ao plano de carreira de 
 
 
12 
cada pessoa, mas poderemos analisar as principais opções e o que está sendo 
mais comum no mercado de trabalho, inclusive no que diz respeito aos tipos de 
certificação que analisamos antes. 
A grande rota de certificação profissional de segurança cibernética é a 
técnica sem dúvida alguma. Essa rota é repleta de opções e alternativas e 
poderá levar o profissional a campos diferentes de trabalho. Mas uma coisa é 
comum a todas as alternativas técnicas: vivemos em um mundo conectado e on-
line, em outras palavras, qualquer caminho que o profissional seguir, ele deverá 
ter como base conhecimentos profundos de conectividade, redes de dados e 
Internet. Isso quer dizer que ele precisa conhecer como funcionam os protocolos 
de comunicação, como o TCP/IP, TCP e UDP, pois qualquer tipo de segurança 
será baseado no fundamento básico e avançado de comunicação. 
5.1 Certificações técnicas 
As tecnologias a serem protegidas podem levar o profissional a focar mais 
em segurança de infraestrutura ou segurança de aplicações. A segurança de 
infraestrutura é a base que suporta toda a comunicação de dados, proteção de 
ambiente e proteção de dados. Enquanto a segurançade aplicações suporta 
regras de negócio e como as transações de negócio interagem entre si de forma 
segura e confiável. 
Para seguir no segmento de segurança de infraestrutura, o profissional 
deve ter em mente a arquitetura das soluções e ali ele vai identificar pontos de 
interesse específicos. Por exemplo, como funciona uma operação de negócio de 
delivery? De maneira macro existe o Aplicativo instalado no Smartphone, uso de 
uma nuvem com APIs, serviços de comunicação de dados e armazenamento em 
banco de dados. 
Neste exemplo, a segurança de comunicação de dados é a base de tudo, 
com o uso de firewalls, IPS, IDS, WAF, Certificados Digitais e algumas outras 
tecnologias. Todas possuem especialização e certificação associadas. É muito 
comum encontrar profissionais certificados em produtos de Firewall que 
executam essas funcionalidades. 
Além disso, os sistemas operacionais envolvidos nos servidores e o 
armazenamento de informações em banco de dados também está na camada 
de infraestrutura e, aqui, temos mais alguns profissionais especializados e 
certificados como administradores de sistemas operacionais (geralmente Linux 
 
 
13 
e Windows) e administradores de bancos de dados (conhecidos como DBAs e 
que se certificam na linha de produto que administram, como Oracle, Microsoft, 
MySQL, PostGres etc.). 
Ainda nesse exemplo, temos os ambientes de Nuvem, que hospedam 
serviços e APIs, que hoje também requer que profissionais sejam especializados 
e certificados, como AWS Certified Security, que é um profissional especializado 
e certificado em segurança em nuvem AWS, que é bem diferente de um 
profissional que administra ambientes de virtualização ou servidores físicos em 
Datacenter (que já um conjunto enorme de outras certificações). 
Mas nesse mesmo exemplo do delivery, também temos como analisar os 
profissionais de segurança cibernética com foco em aplicações. Uma vez que 
por mais que anteriormente nos preocupamos com a comunicação de dados, 
agora a preocupação é na camada de aplicação. Códigos bem escritos e sem 
vulnerabilidades em tempo de execução, protocolos de autenticação e 
autorização, chamadas seguras de APIs, controle de abuso em chamadas APIs, 
criptografia de dados. 
Todos estes exemplos estão associados a profissionais especializados e 
certificados, mas com um olhar na aplicação de negócio, com a preocupação se 
além de executar a operação de negócio do delivery, isso é realizado de maneira 
segura, garantindo a integridade da operação, proteção de dados em trânsito 
(cadastro e dados financeiros) e que não existam clones de seu ambiente com 
o objetivo de capturar essas informações. 
Se extrapolarmos esse exemplo do delivery para tantas outras operações 
de negócio que podem ser executadas nesse mundo on-line que comentamos 
anteriormente, as opções de especialização e certificação são muito grandes. 
Vamos referenciar o serviço de banking, onde por meio de um aplicativo 
instalado no smartphone, um usuário pode fazer toda a gestão e movimentação 
financeira, que se diga de passagem, é alvo de inúmeros ataques de invasão e 
fraudes. Somente pelos tipos de riscos envolvidos, já podemos imaginar a 
complexidade da segurança cibernética aplicada e as inúmeras oportunidades 
para profissionais especializados e certificados atuarem. Novamente podemos 
falar de segurança de infraestrutura e segurança de aplicação, somados a 
gestão de acesso. 
5.2 Certificações processuais 
 
 
14 
O profissional que busca esse tipo de certificação está alinhado com os 
processos e governança da segurança cibernética, logo, ele não busca 
certificações em tecnologias, mas certificações de cunho organizacional, 
baseadas em frameworks de trabalho. 
Nesse contexto, ele parte desde certificações genéricas como BLACK 
BELT, até certificações associadas as boas práticas internacionais de segurança 
da informação e segurança cibernética como a série ISO/IEC 27000 e mesmo 
outras como COBIT e ITIL. 
Esse profissional é um organizador por natureza, pois busca que as 
atividades que serão executadas possam ser medidas, averiguadas e reportadas 
como indicadores. Esse profissional é muito analítico, possui relações com as 
mais diversas áreas de tecnologia e de negócios. Dentro das áreas de segurança 
cibernética ele é o meio entre a liderança e a área técnica, por isso o termo 
governança lhe cai muito bem. 
A rota de certificação desse profissional não é tão extensa como as 
certificações técnicas, mas é uma rota de muito amadurecimento profissional 
que no futuro pode migrar com mais facilidade para uma liderança. 
5.3 Certificações de liderança 
Essa é a rota mais longa para um profissional de segurança cibernética, 
que compreende poucas certificações, mas muita experiência. Quando um 
profissional inicia na carreira ele vai enfrentar em algum momento o desafio de 
optar na carreira Y, ou continuar como especialista ou migrar para a gestão 
(liderança). 
As certificações associadas a esse perfil, como a CISM que comentamos 
anteriormente, não é uma garantia de promoção, mas assegura o tipo de 
raciocínio que o profissional já desenvolveu no conceito de segurança 
cibernética. Mas com o tempo de exercício da certificação, o profissional vai 
direcionando suas atitudes para a gestão e se somado Conhecimento, 
Habilidades e Atitudes, o conhecido “CHA” do Recursos Humanos, o profissional 
começa a se posicionar como gestor. 
Esse caminho não é curto, é baseado em muito trabalho técnico e 
processual, mas com muitas atividades de planejamento e liderança de equipe 
associadas. 
 
 
15 
Ser um gestor certificado de segurança cibernética e atuar na gestão é 
uma oportunidade de elevar a sua carreira para outros patamares dentro da 
organização, pois você será o profissional que conhece os processos de 
negócio, os protege de maneira organizada, investindo financeiramente de forma 
adequada e dando os resultados esperados da área, conduzindo e evoluindo os 
demais profissionais abaixo de sua gestão. É uma grande responsabilidade. 
NA PRÁTICA 
Vamos retornar ao exemplo do delivery? 
A arquitetura tradicional é que exista um aplicativo que será instalado no 
smartphone de um cliente. O cliente vai se cadastrar no aplicativo, fornecer 
informações de entrega e pagamento. Esse aplicativo geralmente interage com 
APIs que estão expostas na nuvem (Azure, AWS, Google, Oracle etc.). Essas 
APIs interagem com servidores de aplicação que podem estar na nuvem ou 
hospedados no Datacenter físico da empresa. 
Esses servidores de aplicação vão interagir com o sistema financeiro 
externo (meios de pagamentos) para realizar o pagamento do pedido do delivery, 
ao mesmo tempo que, quando aprovada a compra, vão interagir com os sistemas 
de produção dos restaurantes. Esses sistemas garantem que o pedido será 
produzido e, com as informações de entrega, passam a interagir com os 
sistemas de logística (geralmente com motoboys) que realizarão a entrega. E 
tudo isso o cliente poderá estar acompanhando pelo aplicativo. 
Novamente se observarmos as oportunidades profissionais, podemos 
identificar a participação de vários profissionais, das mais diversas áreas, mas 
principalmente os profissionais que asseguram que o delivery é seguro, os dados 
dos clientes estão protegidos, que fraudes não acontecem, nem invasões nos 
sistemas e estruturas. 
Exercite esse pensamento com outros processos de negócio que você 
conheça e encontre as oportunidades para os profissionais de segurança 
cibernética que existem. 
 
 
16 
FINALIZANDO 
Nessa etapa, tivemos a oportunidade de entender o que é uma posição 
de segurança cibernética e o papel da certificação profissional, analisando seus 
diferentes tipos de certificação e caminhos que podem ser tomados para isso. 
Além disso, também foi possível discutir o papel das organizações 
certificadores e como isso pode ajudar o profissional na decisãoda certificação. 
Associamos como ferramenta para essa tomada de decisão a visão do mercado 
em relação aos profissionais de segurança cibernética, agregando detalhes 
importantes para você, agregando uma breve discussão das rotas de certificação 
e o que como você pode alinhar isso com sua carreira. 
 
 
 
 
17 
REFERÊNCIAS 
BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. The Basis 
of Information Security – A Pratical Handbook. Newton Translations, the 
Netherlands, 2009 
BSI - British Standards Institution. Disponível em . 
Acesso em: 1 dez. 2022. 
CompTIA - Information Technology (IT) Certifications & Training. Disponível 
em . Acesso em: 12/11/2022 
ISACA - Information Systems Audit and Control Association. Disponível em 
. Acesso em: 1 dez. 2022. 
ISC2 - International Information System Security Certification Consortium. 
Disponível em . Acesso em: 1 dez 2022. 
ISO - International Organization for Standardization. Disponível em 
. Acesso em: 1 dez. 2022.