INTRODUÇÃO

INTRODUÇÃO
EVOLUINDO NA COMPLEXA PAISAGEM DE SEGURANÇA
ATUAL
BENEFITS
Com a rápida evolução do cenário global de segurança da informação, empresas e agências do
governo passaram a adotar novas tecnologias que pouquíssimos usuários realmente entendem.
Isto é um grande problema. Embora a influência de mídias sociais, o maior uso de tecnologia móvel
e a transição para novos modelos de negócio, como computação em nuvem, possam ser positivos,
o nível de exposição que isso traz ao seu negócio representa um risco considerável. Um número cada
vez maior de clientes, fornecedores, parceiros e funcionários está acessando as suas informações e, dessas
novas formas, modificando o modo como a empresa protege seus ativos. Em poucas palavras, entender a
nova dinâmica minimiza os perigos potenciais. É, basicamente, uma questão de compreender, prever e prevenir
ameaças futuras à segurança. Felizmente, existe uma solução.
Membros do (ISC)2® – A Força-Motriz em Segurança
A segurança da informação transcende a tecnologia e toca no próprio cerne da sua empresa, através das pessoas
que operam no seu ambiente. Como a maioria das violações de segurança é decorrente de erros humanos, nenhum
software ou hardware pode se comparar a um indivíduo com as credenciais (ISC)2. Nossos membros credenciados
têm o conhecimento, as habilidades e os talentos necessários para desenvolver, projetar e implementar políticas e
procedimentos de segurança inteligente. Em resumo, os atributos que você precisa para ter sucesso.
Insight fundamental do Estudo da Força de Trabalho Global em
Segurança da Informação 2011
(GISWS)
-Vulnerabilidades de aplicativos, serviços para dispositivos móveis e em nuvem
estão entre as maiores ameaças do momento para os profissionais de SI
(segurança da informação).
-Em 2010, existiam 2,2 milhões de profissionais em segurança da informação
no mundo inteiro e o número deverá praticamente duplicar até 2015, de
acordo com as projeções.
- Membros do (ISC)2 informam que recebem salários 25% mais altos que
aqueles de não são membros.
UMA VISÃO GERAL DE
O (ISC)2 - International Information Systems Security Certification Consortium , que anteriormente consistia em diversas
associações individuais que uniram forças em 1989, é um grupo global, sem fins lucrativos, conhecido por uma formação
internacional de primeira linha e certificações Padrão da Indústria. Nosso foco principal está em desenvolver um padrão
aceito no setor para a prática de segurança da informação em todas as suas formas. Os membros do (ISC)2 protegem
os ativos de informação, a arquitetura de segurança da informação e os processos de tecnologia e comerciais das
empresas, para que elas operem sem falha.
Atualmente, o (ISC)2 continua fornecendo produtos, serviços e credenciais Padrão da Indústria com neutralidade em
relação a fornecedores em mais de 135 países. Temos grande orgulho de nossa reputação imaculada, baseada na
confiança, integridade e profissionalismo que conquistamos ao longo dos anos. De fato, a credibilidade do (ISC)2
supera todas as outras certificações do setor. Nosso forte núcleo de especialistas do setor apaixonados pelo que
fazem, combinado com mais de 80.000 membros credenciados, cria uma frente sólida para a inovação e a visão
na área de segurança da informação.
Administrado por um Conselho de Diretores eleito por seus membros, o (ISC)2 é composto por uma equipe
global dos principais profissionais de segurança da informação e é gerenciado por uma equipe profissional
que trabalha junto com os Conselhos Consultivos regionais e locais para abordar todos os novos problemas
de segurança da informação com todo o zelo possível. Esta abordagem multifacetada permite que os
membros do (ISC)2 conquistem os mais elevados níveis de Profissionalismo e mérito em suas respectivas
áreas de especialização em segurança da informação.
1
M E M B E R
TRAJETÓRIA DE CARREIRA:
PROGREDINDO NA SUA CARREIRA EM SEGURANÇA
O (ISC)2® fornece uma trajetória de carreira para profissionais de segurança, desde
o início de suas carreiras até a aposentadoria. Oferta de uma combinação única de
certificados, educação avançada, testes rigorosos e concentrações especializadas.
A trajetória de carreira foi projetada para cobrir um amplo leque de cargos em segurança da
informação. Se você é do tipo que gosta de aprender na prática, as credenciais sugeridas para
seu aperfeiçoamento profissional serão muito diferentes daquelas sugeridas para um candidato
que pretenda buscar um cargo de gestão ou governança. A figura abaixo foi criada para ajudá-lo
a determinar a certificação mais adequada para você.
Profissional certificado de ciclo de vida de
software seguro
Os membros do (ISC)2 estão na linha de frente do dinâmico setor de segurança da informação atual. Pessoas
interessadas em buscar uma carreira em segurança da informação e empregadores que procuram funcionários
capacitados devem entrar em contato com o (ISC)2. Para mais informações, visite www.isc2.org/careerpath.
REQUISITOS DA NORMA ISO/IEC
O (ISC)2 foi a primeira entidade certificadora em segurança da informação a atender aos requisitos da Norma
ISO/IEC 17024, um padrão global para avaliação e credenciamento de pessoal. Até hoje, todas as credenciais
(ISC)2 foram emitidas de acordo com este padrão, tornando o programa de credenciamento do (ISC)2 uma
obrigatoriedade na comunidade de negócios internacional.
2
COMPÊNDIO DE TÓPICOS DE SEGURANÇA DA INFORMAÇÃO
O (ISC)2® CBK® é um resumo de tópicos relevantes para profissionais de segurança de aplicativos e informação do mundo inteiro. O (ISC)2
CBK é o padrão aceito no setor, tema de muitos livros escritos sobre segurança da informação e o centro de programas universitários de
segurança da informação em vários países. O CBK continua sendo atualizado anualmente pelos Comitês de CBK do (ISC)2, formado por
membros de diversos setores e regiões do mundo inteiro, para refletir os tópicos mais atuais e relevantes requeridos para a prática na área.
O (ISC)2 usa os Domínios CBK para avaliar o nível de domínio em segurança da informação de um candidato.
Domínios de credenciais do (ISC)2 são extraídos de vários tópicos do (ISC)2 CBK. Cada credencial contém os seguintes domínios:
Domínios do CBK do SSCP® (Profissional de Certificação em Segurança de Sistemas)
1. Controles de acesso
5. Criptografia
2. Operações de segurança e administração
6. Redes e comunicações
3. Monitoramento e análise
7. Códigos e atividades maliciosas
4. Risco, resposta e recuperação
Domínios do CBK do CAP® (Profissional de Autorização Certificado)
1. Entender a autorização de segurança dos
sistemas de informação
2. Categorizar sistemas de informação
3.Estabelecer os parâmetros de controle da
segurança
4.
5.
6.
7.
Aplicar controles de segurança
Avaliar controles de segurança
Autorizar sistemas de informação
Monitorar controles de segurança
Domínios do CBK do CSSLP® (Profissional Certificado de Ciclo de Vida de Software Seguro)
1. Conceitos de software seguro
5. Testes de software seguro
2. Requisitos de software seguro
6. Aceitação de software
3. Design de software seguro
7.Implantação, operações manutenção
4. Implementação/codificação de software seguro
e descarte de software
Domínios do CBK do CISSP® (Profissional Certificado em Segurança de Sistemas de Informação)
1. Controles de acesso
6. Arquitetura e design de segurança
2. Segurança de telecomunicações e rede
7. Segurança de operações
3.Governança de segurança da informação
8.Planejamento de continuidade dos negócios
e gerenciamento de riscos
e recuperação de desastres
4. Segurança de desenvolvimento de software
9.Legislação, regulamentos, investigações
5. Criptografia
e conformidade
10. Segurança física (ambiental)
Os Domínios do CBK de Concentrações de CISSP consistem nos seguintes:
CISSP-ISSAP® (Profissional em Arquitetura de Segurança em Sistemas da Informação)
1. Sistemas e metodologia de controle de acesso
5.Planejamento da continuidade de negócios
2. Segurança de telecomunicações e rede
baseada em tecnologia (BCP) e planejamento
5. Criptografia
para recuperação de desastres (DRP)
4. Análise de arquitetura de segurança
6. Considerações sobre segurança física
CISSP-ISSEP® (Profissional em Engenharia de Segurança em Sistemas de Informação)
1. Engenharia de segurança de sistemas
2.Estrutura de certificação e credenciamento
(C&A)/Gerenciamento de riscos (RMF)
3. Gerenciamento técnico
4.Políticas e provisões relacionadas à segurança da
informação do Governo dos EUA
CISSP-ISSMP® (Profissional em Gestão de Segurança em Sistemas de Informação)
1. Práticas de gerenciamento de segurança
2. Segurança no desenvolvimento de sistemas
3. Gerenciamento de conformidade de segurança
4.Entender o Planejamento da Continuidade
de Negócios (BCP) e Planejamento de
Recuperação de Desastres (DRP)
5.Legislação, investigações, técnicas
forenses e ética
Para mais informações sobre os tópicos de CBK exigidos para cada programa de certificação, faça o download de um Boletim
de Informações do Candidato de www.isc2.org/cib.
3
CÓDIGO DE ÉTICA
Todos os profissionais de segurança da informação certificados pelo (ISC)2® reconhecem
que tal certificação é um privilégio que deve ser conquistado e mantido. Em apoio a este
princípio, todos os membros devem se comprometer a apoiar totalmente o Código de
Ética do (ISC)2. Os membros que violarem qualquer disposição do Código de Ética estarão
sujeitos a medidas adotadas por um painel de análise por colegas, que podem resultar na
revogação de um certificado. O Código de Ética fornece confiança sobre o caráter, a capacidade,
as qualidades ou a confiança de um membro do (ISC)2, e oferece um alto nível de confiança,
durante as tratativas com um membro.
M E M B E R
BENEFITS
Quatro princípios fundamentais formam o Código de Ética, e diretrizes adicionais são fornecidas para
cada um deles. Embora esta diretriz possa ser considerada pelo Conselho ao julgar um comportamento,
ela é aconselhável, mas não obrigatória. Seu objetivo é ajudar os profissionais a identificar e resolver
dilemas éticos inevitáveis vivenciados durante suas carreiras em segurança da informação.
Por necessidade, esta diretriz de alto nível não visa substituir o julgamento ético do profissional.
Introdução do Código de Ética
A segurança da sociedade, dever para com nossos principais (empregadores, fornecedores, pessoas para as quais
trabalhamos) e uns com os outros requer que adotemos e demonstremos ter adotado os mais altos padrões éticos
de comportamento. Portanto, a estrita adoção deste Código é uma condição para a certificação.
Princípios do Código de Ética
•
•
•
•
Proteger a solução, a nação e a infra-estrutura.
Agir com honra, honestidade, justiça, responsabilidade e em conformidade com as leis.
Fornecer serviços diligentes e competentes aos nossos principais.
Avançar e proteger a profissão.
Objetivos para as Diretrizes
O Comitê está ciente de sua responsabilidade em:
• Fornecer orientação para a resolução de dilemas do tipo “bom x bom” e “ruim x ruim”.
• Incentivar o comportamento correto, como pesquisas, ensino, identificação, aconselhamento e suporte
a candidatos à profissão e valorização do certificado.
•Desencorajar comportamentos como dar margem a incertezas desnecessárias, oferecer conforto inapropriado
ou garantias, consentir com práticas condenáveis, conectar sistemas fracos à rede pública e associação
profissional com não-profissionais, amadores ou criminosos.
Esses objetivos são fornecidos apenas para fins de informação; os profissionais não são obrigados a concordar com eles,
nem se espera que o façam. Ao fazer as opções com as quais for confrontado, o profissional deve ter em mente que
a diretriz é apenas um conselho. A conformidade com a diretriz não é necessária ou suficiente para a conduta ética.
A conformidade com a introdução e os princípios é obrigatória. Conflitos entre os princípios devem ser resolvidos de
acordo com a sua ordem. Os princípios não são iguais, e os conflitos entre eles não visam estabelecer obrigações éticas.
Para mais informações sobre o Código de Ética do (ISC)2, visite www.isc2.org/ethics.
No (ISC)2®, temos o compromisso de ajudar na promoção da formação de profissionais de segurança da informação
em todas as áreas de sua profissão. Após a conquista do seu credenciamento (ISC)2, é necessário seguir um programa
de educação continuada para garantir a manutenção da sua credencial.
Para manter uma credencial (ISC)2, todos os membros devem acumular créditos em Educação Profissional
Continuada (CPE), anualmente. O número de CPEs necessário tem como base o tipo de credenciais do
profissional.
Os créditos de CPE dividem-se em categorias, como créditos de Grupo A ou créditos de Grupo B, dependendo
de como as atividades associadas relacionam-se ao domínio para cada certificado. Créditos do Grupo
A servem para atividades diretamente ligadas ao domínio. Os Créditos do Grupo B são para atividades
fora do domínio, mas ainda assim melhoram as habilidades e competências profissionais gerais do membro.
4
EDUCAÇÃO PROFISSIONAL CONTINUADA
No (ISC)2®, temos o compromisso de ajudar na promoção da formação de
profissionais de segurança em todas as áreas de sua profissão. Após a conquista do seu
credenciamento (ISC)2, é necessário seguir um programa de educação continuada para
garantir a manutenção da sua credencial.
M E M B E R
BENEFITS
Para manter uma credencial (ISC)2, todos os membros devem acumular créditos em Educação
Profissional Continuada (CPE), anualmente. O número de CPEs necessário tem como base o tipo
de credenciais do profissional.
Os créditos de CPE dividem-se em categorias, como créditos de Grupo A ou créditos de Grupo B,
dependendo de como as atividades associadas relacionam-se ao domínio para cada certificado. Créditos
do Grupo A servem para atividades diretamente ligadas ao domínio. Os Créditos do Grupo B são para
atividades fora do domínio, mas ainda assim melhoram as habilidades e competências profissionais gerais
do membro.
Período de certificação de três anos
Credencial
Grupo A
Mínimo anual (mínimo para período
(obrigatório)
de certificação de
Apenas Grupo A
três anos)
Grupo B
Opcional
Total requerido
(para máximo,
ver abaixo)
(por período de
certificação de três
anos)
SSCP
10
40
20
60
CAP
10
40
20
60
CSSLP
15
60
30
90
CISSP
20
80
40
120
ISSAP
ISSEP
ISSMP
Durante seus períodos completos de certificação de três anos subsequentes
para essas concentrações, 20 dos 120 CPEs já exigidos para o certificado
subjacente de CISSP devem ser na área específica de concentração. Por exemplo,
se um CISSP prestou o exame de concentração de ISSEP e foi aprovado, ele
deverá solicitar que pelo menos 20 das 120 horas totais requeridas para se
candidatar ao certificado de CISSP estejam na área específica de engenharia.
Requisitos de indicação para CPE
Associado indicado pelo (ISC)2
Grupo A
Total
(por ano)
Associado do (ISC)2 trabalhando para o SSCP
10
10
Associado do (ISC)2 trabalhando para o CAP
10
10
Associado do (ISC)2 trabalhando para o CSSLP
15
15
Associado do (ISC)2 trabalhando para o CISSP
20
20
5
EDUCAÇÃO PROFISSIONAL CONTINUADA
Controlar livros de registro e auditorias de horas de CPE
O auditor de CPE do (ISC)2 executa auditorias aleatórias de créditos de CPE reivindicados. Se você for selecionado para uma
auditoria, receberá instruções por e-mail relativas à documentação necessária para comprovar suas atividades. É preciso responder
a esta solicitação e fornecer essas informações com a maior exatidão, conforme instruções, no prazo de 90 dias. Seus créditos de
CPE serão publicados no prazo de 30 dias da aprovação da documentação.
Não é preciso fornecer prova das atividades de crédito de CPE ao (ISC)2 no ato da entrega. Contudo, você deve reter as provas dos
créditos conquistados durante um período mínimo de 12 meses após o término de seu ciclo anterior de certificação.
A prova dos créditos conquistados pode ser na forma de transcrições do curso, diplomas recebidos, certificados ou recibos de
comparecimento, anotações de pesquisas/preparatórias para pronunciamentos ou aulas ministradas, cópias de atas oficiais de
reuniões ou listas de chamada ou documentação de inscrição. Para cursos on-line que não fornecem nenhum dos itens acima, uma
imagem de tela é suficiente.
Para créditos de CPE por livros e/ou revistas, você deverá reter a “prova de posse”, como o próprio livro ou revista, um recibo de
compra, fatura ou registro da biblioteca. No mínimo, sua prova deverá incluir o título e, no caso de livros, o autor e número ISBN;
no caso de revistas, a editora. A aceitação de uma resenha de livro pelo (ISC)2 também se constituirá em prova suficiente, mesmo
na ausência de outra prova.
Para mais informações sobre CPEs e orientações detalhadas, visite www.isc2.org/cpes.
O (ISC)2 é a maior entidade de afiliação sem fins lucrativos de profissionais credenciados em segurança da informação
do mundo, com mais de 80.000 membros em mais de 135 países. Com reconhecimento global como Padrão da Indústria,
o (ISC)2 emite a certificação CISSP® (Certified Information Systems Security Professional - Profissional Certificado em
Segurança de Sistemas de Informação) e concentrações relacionadas, assim como os credenciamentos de CSSLP® (Certified
Secure Software Lifecycle Professional – Profissional Certificado de Ciclo de Vida de Software Seguro), CAP® (Certified
Authorization Professional – Profissional Certificado em Autorização) e SSCP® (Systems Security Certified Practitioner Profissional Certificado de Segurança de Sistemas). As credenciais do (ISC)2 foram uma das primeiras credenciais em
segurança da informação a atender aos rígidos requisitos da Norma ISO/IEC 17024, um padrão global para avaliação e
credenciamento de pessoal. O (ISC)2 também oferece programas de formação e serviços baseados em seu CBK®, um
compêndio de tópicos em segurança da informação. Informações adicionais estão disponíveis em www.isc2.org.
6
• Comparecimento a cursos e seminários didáticos/de treinamento
• Comparecimento a congressos do setor
- E ventos do Security Leadership Series Events do (ISC)2® são oferecidos sem custo ou com desconto para
os membros. Visite www.isc2.org/events para localizar um evento perto de você.
• Comparecimento em Reuniões de Associação Profissional
• Comparecimento em Apresentações Educacionais de Fornecedores
• Conclusão de curso acadêmico de nível superior
• Oferta de treinamento em segurança
• Publicação de um artigo ou livro sobre segurança
• Trabalho voluntário no Conselho de uma Organização Profissional de Segurança
• Estudo autônomo por treinamento via computador, Webcasts ou Podcasts
- O (ISC)2 oferece as seguintes oportunidades de CPE gratuitas aos seus membros:
• Webinars de Mesa Redonda sobre Liderança em Segurança ThinkTanks(www.isc2.org/thinktank)
• Série de Seminários e-Simpósios (www.isc2.org/e-symposium)
• SecurityTALK (www.isc2.org/securitytalk)
• Leitura de um livro/revista sobre segurança da informação, como
- O periódico do (ISC)2
- Revista InfoSecurity Professional
• Resenha de livro de aplicativo ou segurança da informação
• Trabalho voluntário para governo, setor público e outras organizações de caridade
• Redigir questões de teste para um exame do (ISC)2 – elaboração de itens
• Abrir uma Seção do (ISC)2
© 2012 International Information Systems Security Certification Consortium, Inc. Todos os direitos reservados.
Os créditos de CPE têm peso por atividade. Abaixo, apresentamos categorias comuns de atividades e o número de créditos
conquistados com cada uma. Tipicamente, você conquistará um crédito de CPE para cada hora de investimento em uma atividade
educacional. Contudo, algumas atividades valem mais créditos, devido à profundidade do estudo ou ao nível de dedicação que ela
exige. Em geral, não são atribuídos créditos de CPE para atividades realizadas no local de trabalho.
ISC.1
(03/12)