[Carreira] Como começar uma carreira em segurança?

Em 2007 eu escrevi um texto longo sobre "como começar uma carreira em segurança". Como essa é uma pergunta que aparece frequentemente, eu acho legal dar uma resposta mais objetiva, no intuito de ajudar todos os que tem interesse pela área.

Indo direto ao que interessa, a minha sugestão é o seguinte:

• Comece estudando como aplicar segurança no que você já faz hoje. Ou seja, continue trabalhando no que você faz e comece a se especializar em segurança. Assim você consegue apreender rápido, aproveitando a sua base de conhecimentos atual. Se você trabalha com TI e é desenvolvedor, há muita coisa bem legal sobre desenvolvimento seguro (sugiro começar pelo OWASP) e, convenhamos, existem poucos profissionais especializados nisso. Se você trabalha com redes, há muito o que estudar sobre falhas nos protocolos de rede, ferramentas de segurança de perímetro (Firewall, IDS e IPS, etc), filtros de acesso e configurações específicas em roteadores e switches, etc. Quem trabalha com SO também deve conhecer como tornar um sistema seguro, com técnicas de hardening, monitoração, etc. Trabalha com gestão? Que tal estudar políticas de segurança? Advogados também tem muito o que apreender sobre direito eletrônico, cyber crime e forense digital;
• Aplique o que você aprendeu no seu dia-a-dia. Comece a usar tudo o que você esta aprendendo de segurança no seu dia-a-dia. Comece a desenvolver com preocupação em segurança, revise as configurações dos seus roteadores ou servidores, etc. Aproveite o seu trabalho atual para adquirir prática em segurança também;
• Participe de eventos, grupos de discussão, comunidades e hackerspaces: aproveite para conhecer mais pessoas que se interessam pelo assunto e que podem trocar conhecimento com você. Estamos constantemente apreendendo coisas novas, e isso é mais fácil e divertido se fazemos ao lado de amigos. De quebra, você aumenta o seu networking (grupo de amigos que trabalham na área), o que pode ser muito útil para conseguir novas oportunidades de trabalho no futuro;
• Colabore com comunidades e projetos Open Source: esta é uma ótima forma de se tornar conhecido no mercado, e ganhar experiência, mesmo se você não trabalhe hoje em dia com Segurança. Ajude a criar novos projetos ou a manter projetos existentes. Há muitas ferramentas bem legais de segurança e poucas pessoas com disposição para ajudar a mantê-las. Dê uma pesquisada nos projetos existentes e aproveite esta oportnidade para colocar a mão na massa, trocar mais experiência, aprender mais e fazer novos amigos na área;
• Não espere que alguém vai pegar na sua mão e vai te dar tudo de bandeja. Você é responsável pela sua vida. Vá a luta, vá atrás do que você quer, busque informações, não tenha medo de tentar. Há muita gente disposta a ajudar, mas a pessoa mais interessada no seu progresso profissional e pessoal é você mesmo.

Eu, por exemplo, comecei a minha carreira trabalhando com servidores e um pouco de redes. Aos poucos fui me especializando em segurança e nunca mais saí da área. Muito do que eu aprendi (isto é, quase tudo), foi de forma auto-didata, sempre acompanhando as novidades em listas de discussão e eventos.

Como eu disse há pouco tempo atrás, para trabalhar com Segurança da Informação, antes de mais nada é necessário ter um excelente conhecimento de tecnologia, incluindo sistemas operacionais, redes e seus protocolos, bancos de dados, aplicações e desenvolvimento de software. E muitas vezes um bom trabalho em Segurança exige conhecimentos que vão muito além do mundo técnico, pois lidamos também com pessoas, processos (procedimentos, regras e normas) e com aspectos legais.

Sou da época em que comprávamos livros importados, caros, e também acompanhávamos as novidades nas eZines. Hoje há muito material disponível na Internet, mas infelizmente há muita coisa com conteúdo frado ou falho. Busque referências mais confiáveis. Há várias entidades bem reconhecidas que produzem material de qualidade, como o CERT (BR e CC), OWASP, CSA, etc.

Além disso, evite os "cursos de hacker". Procure um curso sério, oferecido por uma instituição de ensino ou empresa conhecidos e de boa reputação no mercado, com instrutores com experiência séria na área. Há várias faculdades e empresas de segurança que oferecem bons cursos., além de excelentes eventos de segurança no Brasil. Há ótimos blogs e papers disponíveis na Internet, basta procurar um pouco.