Os imortais e os mortais da segurança da informação

Recebo diversos e-mails todos os dias solicitando indicações sobre cursos e certificações na área de segurança da informação. As minhas respostas via e-mail ou durante uma palestra são sempre polêmicas, principalmente quando estou ministrando uma palestra para alguma instituição de ensino. Vamos entender melhor o que realmente acontece na prática.

Estive conversando com dois colegas em Angola sobre como conseguir um bom emprego. Um dos pontos discutidos foi sobre como o entrevistador consegue avaliar os conhecimentos do candidato. O assunto surgiu porque percebemos, em Angola, que muitos profissionais ocupam cargos na área de tecnologia da informação sem terem o perfil necessário para exercer a função. Ou seja, a culpa não é do profissional que está exercendo a função e sim da pessoa que contratou o “profissional”.

A pessoa que está recrutando o profissional não possui o conhecimento necessário para avaliar o perfil do profissional. Este fato ocorre no mundo todo. Porém, em Angola, o empregador avalia o conhecimento do candidato através das indicações e das certificações.

Primeiro, a indicação não funciona porque o candidato a vaga pode fornecer o contato de um amigo ou parente como referência. É óbvio que o amigo ou parente irá fornecer boas referências. Isso ocorre com muita frequência em Angola e no Brasil.

Segundo, a sociedade exige que você tenha determinadas certificações. Caso você queira conseguir um emprego ou ganhar um aumento no salário, basta estudar e ser aprovado em algumas provas (por exemplo, CISSP).

Terceiro, muitos profissionais são certificados porque a empresa pagou a certificação ou exigiu que o funcionário tenha a certificação.

Existem diversos casos em Angola onde o profissional é certificado em uma determinada tecnologia mas atua em outra área. Por exemplo, um dos nossos colegas de trabalho conseguiu recentemente a certificação CCIE (Cisco Certified Internetwork Expert). Porém, este profissional atua com sistemas Windows. Ou seja, possui experiência em uma área mas é certificado em outra. Este colega só “buscou” a certificação porque a empresa solicitou.

Quarto, a certificação prova que a pessoa tem capacidade em aprender sobre algum assunto. A certificação não prova que uma pessoa está preparada para exercer uma determinada função na área de segurança da informação.

Quinto, a tecnologia evolui muito mais rápido que qualquer curso ou certificação. Na área de segurança da informação estamos aprendendo coisas novas todos os dias. Os cursos e certificações ficam ultrapassados muito rápido.

Sexto, o mais importante é a sua capacidade em resolver problemas e criar estratégias pró-activas contra as novas ameaças. As certificações não irão lhe ajudar no momento em que o seu ambiente computacional estiver sofrendo um novo tipo de ataque.

Conclusão

A área de recursos humanos ou até mesmo o entrevistador técnico precisa entender que existem os imortais e os mortais da segurança da informação e tecnologia da informação.

Os imortais são as pessoas que conseguem comprovar a sua experiência e são reconhecidos pela comunidade de segurança da informação ou tecnologia da informação. São pessoas que compartilham o seu conhecimento com os seus colegas de trabalho, ministram palestras, desenvolvem cursos, escrevem artigos, participam de grupos de discussão, etc.

Os mortais são as pessoas que tem como objetivo possuir algum tipo de certificação para tentar diferenciar-se no mercado de trabalho.

Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Compatilhe esse artigo!

2 thoughts on “Os imortais e os mortais da segurança da informação

Leave a Reply

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.