Certificações e referências ajudam a arranjar emprego, mas não garantem habilidade do profissional de segurança.
Recebo diversos e-mails todos os dias solicitando indicações sobre cursos e certificações na área de segurança da informação. As respostas que envio por e-mails ou apresento durante uma palestra são sempre polêmicas, especialmente quando estou em alguma instituição de ensino. Vamos entender melhor o que realmente acontece na prática.
Estive conversando com dois colegas sobre como conseguir um bom emprego. Um dos pontos discutidos foi como o entrevistador consegue avaliar os conhecimentos do candidato. O assunto surgiu porque percebemos que muitos profissionais ocupam cargos na área de tecnologia da informação sem terem o perfil necessário para exercer a função.
Em muitos casos, a culpa não é do profissional que está exercendo a função e sim da pessoa que o contratou. Esta pessoa pode não possuir o conhecimento necessário para avaliar o perfil do profissional. Existe também outra situação na qual o empregador avalia o conhecimento do candidato através das indicações e das certificações.
Veja os erros e acertos na escolha de profissionais segurança da informação:
1) Referências
A indicação não funciona porque o candidato à vaga pode fornecer o contato de um amigo ou parente como referência. É óbvio que o amigo ou parente irá fornecer boas referências. E isso ocorre com muita frequência no Brasil.
2) Certificações
O mercado exige que você tenha determinadas certificações. Caso você queira conseguir um emprego ou ganhar um aumento no salário, basta estudar e ser aprovado em algumas provas (por exemplo, CISSP).
3) Só no papel
Muitos profissionais são certificados porque a empresa pagou ou exigiu que o funcionário tivesse a certificação.
Existem diversos casos onde o profissional é certificado em uma determinada tecnologia, mas atua em outra área. Por exemplo, um dos nossos colegas de trabalho conseguiu recentemente a certificação CCIE (Cisco Certified Internetwork Expert). Porém, este profissional atua com sistemas Windows – possui experiência em uma área, mas é certificado em outra. Este colega só “buscou” a certificação por solicitação da empresa.
4) Teoria e prática
A certificação prova que a pessoa tem capacidade de aprender sobre algum assunto. A certificação não prova que a pessoa está preparada para exercer uma determinada função na área de segurança.
5) Atualização constante
A tecnologia evolui muito mais rápido do que qualquer curso ou certificação. Na área de segurança da informação estamos aprendendo coisas novas todos os dias. Os cursos e certificações ficam ultrapassados muito rápido.
6) Habilidade
O mais importante é a sua capacidade em resolver problemas e criar estratégias pró-ativas contra as novas ameaças. As certificações não irão lhe ajudar no momento em que o seu ambiente computacional estiver sofrendo um novo tipo de ataque.
Mortais e imortais
A área de recursos humanos e até mesmo o entrevistador técnico precisam entender que existem os imortais e os mortais de segurança e tecnologia da informação.
Os imortais são as pessoas que conseguem comprovar a sua experiência e são reconhecidos pela comunidade de segurança ou tecnologia da informação. São pessoas que compartilham o seu conhecimento com os seus colegas de trabalho, ministram palestras, desenvolvem cursos, escrevem artigos, participam de grupos de discussão etc.
Os mortais são as pessoas que têm como objetivo possuir algum tipo de certificação para tentar diferenciar-se no mercado de trabalho.
Denny Roger é diretor da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail:
