Todos os anos, milhares de graduados em segurança da informação ou ciência da computação se formam em faculdades e universidades, completamente despreparados para um trabalho real. Aqui, damos uma olhada nos resultados de uma pesquisa recente que destacou as maiores lacunas de habilidades dos ex-alunos e como os candidatos a empregos podem se destacar na multidão.
Quase todas as semanas, recebo pelo menos uma carta de um leitor que pede conselhos sobre como iniciar uma carreira em segurança da informação. Na maioria dos casos, os candidatos perguntam quais certificações devem receber ou qual especialização tem o futuro mais brilhante.
Raramente é perguntado quais habilidades práticas você precisa dominar para se tornar um candidato mais atraente. Sempre aviso que eu mesmo não tenho certificados e diplomas, mas converso regularmente com chefes de departamentos de segurança da informação e recrutadores - e frequentemente pergunto sobre as impressões dos candidatos modernos.
A resposta típica é que muitos candidatos simplesmente não têm experiência com problemas práticos.
Claro, a maioria dos graduados não tem experiência prática. Mas, felizmente, um aspecto único da segurança da informação é que experiência e conhecimento fundamental podem ser obtidos pelo bom e velho método de tentativa e erro.
Uma das dicas principais é aprender os conceitos básicos de como os computadores e outros dispositivos interagem entre si. Digo isso porque o networking é uma habilidade fundamental sobre a qual muitas outras áreas de aprendizagem são construídas. Conseguir um emprego em segurança sem um entendimento profundo de como os pacotes de dados funcionam é um pouco como tentar se tornar um engenheiro químico sem primeiro estudar a tabela periódica.
Por favor, não acredite apenas na minha palavra. O SANS Research Institute pesquisou recentemente mais de 500 profissionais de segurança cibernética em 284 empresas diferentes em um esforço para descobrir quais habilidades eles acham mais úteis para os candidatos a empregos e quais estão ausentes.
No decorrer da pesquisa, os entrevistados foram solicitados a classificar várias habilidades de “crítica” a “opcional”. Uns impressionantes 85% citaram o conhecimento de rede como uma habilidade crítica ou "muito importante", seguido por Linux (77%), Windows (73%), técnicas de exploração comuns (73%), arquitetura de computador e virtualização (67%), processamento de dados e criptografia (58%). Surpreendentemente, apenas 39% citaram a programação como uma habilidade crítica ou muito importante (voltaremos a isso em um minuto).
Como os profissionais de segurança cibernética avaliam os candidatos a empregos em potencial com base nessas habilidades críticas e muito importantes? Os resultados parecem impressionantes:
| Habilidades | Quantos candidatos não conseguiram resolver nem mesmo problemas básicos | Quantos candidatos demonstraram habilidade |
|---|---|---|
| Técnicas gerais de hacking | 66% | 4,5% |
| 47% | 12,5% | |
| 46% | 4% | |
| Linux | 40% | 14% |
| 32% | 11,5% | |
| 30% | 2% |
“Os empregadores relatam que o treinamento em segurança cibernética para alunos é amplamente inadequado e frustrado por eles terem de passar meses pesquisando antes de encontrarem funcionários iniciantes qualificados, se houver”, diz Alan Paller, diretor de pesquisa do Instituto. SANS. “Sugerimos que, para começar a enfrentar esses desafios e fechar a lacuna, precisamos articular as habilidades que os empregadores esperam, mas não encontram nos graduados.”
A verdade é que alguns dos profissionais de segurança de computador mais inteligentes, astutos e talentosos que conheço não possuem certificações ou diplomas em ciência da computação. Na verdade, muitos deles nunca foram para a faculdade ou se formaram na universidade.
Em vez disso, eles ficaram em segurança porque eram apaixonada e intensamente interessados no assunto, e essa curiosidade os forçou a aprender o máximo possível - principalmente lendo, tentando e cometendo erros (muitos erros).
Não estou desencorajando os leitores a buscar o ensino superior ou a certificação neste campo (que pode ser um requisito básico em muitas empresas), mas simplesmente para que não vejam isso como uma garantia de um trabalho estável e bem pago.
Sem dominar uma ou mais dessas habilidades, você simplesmente não será considerado um candidato muito atraente ou excelente.
Mas como?
Então, onde se concentrar e onde é o melhor lugar para começar? Em primeiro lugar, embora haja um número quase infinito de maneiras de adquirir conhecimento e virtualmente nenhum limite para as profundezas que você pode explorar, a maneira mais rápida de aprender é sujar as mãos.
Não estou falando sobre hackear a rede de alguém ou algum site ruim. Por favor, não faça isso sem permissão. Se você quebrar serviços e sites de terceiros, escolha aqueles que oferecem recompensas por meio de programas de recompensa por bug e certifique-se de seguir as regras desses programas.
Mas quase tudo pode ser reproduzido localmente. Quer dominar as técnicas gerais para hackear e explorar vulnerabilidades? Existem inúmeros recursos gratuitos disponíveis ; ferramentas especialmente projetadas como Metasploit e WebGoat , e distribuições Linux como Kali Linux com muitos tutoriais e tutoriais online. Além disso, há uma série de ferramentas gratuitas de teste de penetração e detecção de vulnerabilidade, como Nmap , Nessus , OpenVAS e Nikto . Essa não é uma lista completa.
Organize seu próprio laboratório de hackers. Você pode fazer isso em um computador ou servidor sobressalente, ou em um PC antigo, que são vendidos abundantemente por um preço barato no eBay ou Craigslist. Ferramentas de virtualização gratuitas como o VirtualBox, simplifica o trabalho com vários sistemas operacionais sem a necessidade de instalação de equipamentos adicionais.
Ou considere pagar a alguém para configurar um servidor virtual no qual você possa fazer experiências. Amazon EC2 é uma boa opção de baixo custo. Se quiser testar aplicativos da web, você pode instalar qualquer número de serviços da web em computadores em sua própria rede local, como versões antigas do WordPress, Joomla ou motores de loja online como Magento.
Quer explorar redes? Comece com um livro decente sobre TCP / IP , obtenha uma boa compreensão da pilha de rede e como todas as camadas interagem umas com as outras .
Enquanto você assimila essas informações, aprenda a usar algumas das ferramentas que o ajudarão a colocar seu conhecimento em prática. Por exemplo, familiarize-se com Wireshark e Tcpdump , ferramentas úteis usadas por administradores de rede para solucionar problemas de rede e segurança e para entender como os aplicativos de rede funcionam (ou não). Comece verificando seu próprio tráfego de rede, navegação na web e uso diário do computador. Tente entender o que os aplicativos estão fazendo em seu computador observando quais dados eles enviam e recebem, como e onde.
Sobre programação
Os empregadores podem ou não exigir habilidades de programação em linguagens como Go , Java , Perl , Python , C ou Ruby . Independentemente disso, o conhecimento de um ou mais idiomas não só o tornará um candidato mais atraente, mas também facilitará os estudos e o progresso para níveis mais elevados de proficiência.
Dependendo da especialização, em algum momento você pode descobrir que as possibilidades de treinamento adicional são limitadas precisamente pela compreensão da programação.
Se você se sente intimidado pela ideia de aprender um idioma, comece com as ferramentas básicas de linha de comando do Linux. Apenas aprender como escrever scripts básicos para automatizar tarefas de rotina já é um grande passo em frente. Além do mais, a proficiência em script de shell renderá grandes dividendos ao longo de sua carreira em praticamente qualquer função técnica relacionada a computadores (quer você esteja aprendendo uma linguagem de programação específica ou não).
Obter ajuda
Não se engane: assim como aprender um instrumento musical ou um novo idioma, adquirir habilidades de segurança cibernética consome tempo e é estressante. Mas não desanime se você estiver oprimido e oprimido por toda a quantidade de informações. Apenas tome seu tempo e continue andando.
É por isso que os grupos de apoio ajudam. Seriamente. Na indústria de segurança da informação, o lado humano da rede assume a forma de conferências e reuniões locais. É difícil exagerar o quão importante é para sua sanidade e carreira conectar-se com pessoas que pensam da mesma forma semirregularmente.
Muitos desses eventos são gratuitos, incluindo BSides Meetings , DEFCON Groups e OWASP Meetings... E como a indústria de tecnologia ainda é predominantemente masculina, há várias reuniões de segurança cibernética e grupos voltados para mulheres, como o Cyberjutsu Sorority e outros listados aqui .
Se você não mora no meio do nada, é provável que haja várias conferências e reuniões de segurança da informação em sua área. Mas mesmo que você esteja fora do caminho tradicional, muitas dessas reuniões agora estão sendo realizadas virtualmente devido à pandemia COVID-19.
Resumindo, não espere que um diploma ou certificado forneça as habilidades que os empregadores, compreensivelmente, esperam de você. Isso pode ou não ser justo, mas você terá que desenvolver e melhorar as habilidades que servirão ao (s) futuro (s) empregador (es) e às oportunidades de trabalho na área.
Tenho certeza de que os leitores têm suas próprias ideias sobre em que concentrar seus esforços para iniciantes e alunos. Sinta-se à vontade para falar nos comentários.
Veja também: