Recebo diversos e-mails todos os dias solicitando indicações sobre cursos e certificações na área de segurança da informação. As minhas respostas via e-mail ou durante uma palestra são sempre polêmicas, principalmente quando estou ministrando uma palestra para alguma instituição de ensino. Vamos entender melhor o que realmente acontece na prática.

Estive conversando com dois colegas sobre como conseguir um bom emprego. Um dos pontos discutidos foi sobre como o entrevistador consegue avaliar os conhecimentos do candidato. O assunto surgiu porque percebemos que muitos profissionais ocupam cargos na área de tecnologia da informação sem terem o perfil necessário para exercer a função. Ou seja, a culpa não é do profissional que está exercendo a função e sim da pessoa que contratou o "profissional".

A pessoa que está recrutando o profissional não possui o conhecimento necessário para avaliar o perfil do profissional. Este fato ocorre no mundo todo. Porém, em Angola, o empregador avalia o conhecimento do candidato através das indicações e das certificações.

Primeiro, a indicação não funciona porque o candidato a vaga pode fornecer o contato de um amigo ou parente como referência. É óbvio que o amigo ou parente irá fornecer boas referências. Isso ocorre com muita frequência.

Segundo, a sociedade exige que você tenha determinadas certificações. Caso você queira conseguir um emprego ou ganhar um aumento no salário, basta estudar e ser aprovado em algumas provas (por exemplo, CISSP).

Terceiro, muitos profissionais são certificados porque a empresa pagou a certificação ou exigiu que o funcionário tenha a certificação.

Existem diversos casos onde o profissional é certificado em uma determinada tecnologia mas atua em outra área. Por exemplo, um dos nossos colegas de trabalho conseguiu recentemente a certificação CCIE (Cisco Certified Internetwork Expert). Porém, este profissional atua com sistemas Windows. Ou seja, possui experiência em uma área mas é certificado em outra. Este colega só "buscou" a certificação porque a empresa solicitou.

Quarto, a certificação prova que a pessoa tem capacidade em aprender sobre algum assunto. A certificação não prova que uma pessoa está preparada para exercer uma determinada função na área de segurança da informação.

Quinto, a tecnologia evolui muito mais rápido que qualquer curso ou certificação. Na área de segurança da informação estamos aprendendo coisas novas todos os dias. Os cursos e certificações ficam ultrapassados muito rápido.

Sexto, o mais importante é a sua capacidade em resolver problemas e criar estratégias pró-ativas contra as novas ameaças. As certificações não irão lhe ajudar no momento em que o seu ambiente computacional estiver sofrendo um novo tipo de ataque.

[1] Comentário enviado por hroatti em 12/04/2010 - 10:46h:

Realmente as empresas necessitam ter um RH mais bem informado dos assuntos antes de entrevistar os candidatos, talvez houvesse a necessidade de pesquisar sobre o candidato pelas redes que tratam da área do candidato para que se informe se o mesmo tem esse conhecimento ou se, pelo menos, busca informações sobre o assunto.

Parabéns Denny! Ótimo artigo.

[2] Comentário enviado por juniorsc em 12/04/2010 - 13:23h:

Ótimo artigo, parabéns! :)

[3] Comentário enviado por dennyroger em 12/04/2010 - 13:39h:

Obrigado por acompanhar os artigos e pelos comentários positivos.

Abraços,

Denny Roger
denny@epsec.com.br

[4] Comentário enviado por irado em 13/04/2010 - 18:06h:

vai ser muito, muito difícil eliminar certos "hábitos" criados pelas empresas. Nos últimos anos a "entrevistadora" é sempre uma psicolouca, às vezes nem mesmo ela, é apenas uma estagiotária que nem sabe sequer sua própria idade. Mas enfim, toma-se um porre de "dinâmicas de grupo" com propostas que vão do ridiculo ao absurdo, as perguntas que nos dirigem dificilmente são passíveis de respostas coerentes (após 'ler' meu CV, onde consta meus diversos conhecimentos, todos focados em servidores seguros e firewall/defesa de redes) a criatura pergunta se tenho alguma experiencia com no-brakes. o.O. Eventualmente até pode ser um item de segurança, mas enfim.. não acho pertinente.

algumas vezes conseguimos - a duras penas - passar por essa primeira etapa sem nos irritarmos muito ou até mesmo sem espancar essas estranhas criaturas, e lá pelas tantas somos apresentados ao imbe.. hmm.. estropicio que é titular da área. Rapidamente descobrimos que o tal titular é apadrinhado, pelo seu nivel de conhecimento (demonstrado pelas perguntas que faz), imaginamos que o beócio não consegue distinguir a função de u'a maçaneta para uma placa de rede. Falar em tráfego, análise de logs e etc? nem pensar.

em empresa que trabalhei recentemente a criatura (conseguiu ser gerente pq era "bonzinho" e consertava os hardwares e formatava windows muito bem) tinha orgulho em dizer que nenhum de nós valia nada (éramos em 5) porque "esta emprêsa não é de tecnologia, então não precisa de ninguém, nenhum de vcs..". Os donos da emprêsa acreditavam piamente nisso.

bons tempos aquêles em que quem nos entrevistava/contratava era alguém que sabia o que estava falando, falava a mesmo nivel que nós e não era apadrinhado de ninguém. Nem usava os "préstimos" das psicoloucas. Mesmo na época em que a área de CPD (TI não existia) era "penduricalho" de Finanças e éramos todos encarados como "geradores de despesa".

[5] Comentário enviado por dennyroger em 13/04/2010 - 18:21h:

Obrigado pelo desabafo. Muitas pessoas passam por situações constrangedoras na entrevista.

Alguns profissionais de RH estão participando dos eventos de segurança da informação e entendendo um pouco melhor este "mundo". Estão percebendo que é muito mais dinâmico porque novas fraudes e técnicas de invasão são criadas quase que diariamente.

Nós, profissionais de segurança da informação, atuamos nas empresas para ajudá-las a ganhar mais dinheiro. Temos que ser eficientes para ajudar o dono da empresa a ganhar mais dinheiro. É para isso que uma empresa existe, para dar dinheiro aos acionistas / donos. Nós fornecemos a infra-estrutura necessária para que a empresa ganhe mais dinheiro. Sendo assim, as empresas precisam selecionar melhor seus candidatos e investir no conhecimento dessas pessoas.

Abraços,

Denny Roger
denny@epsec.com.br

[6] Comentário enviado por derfops em 22/04/2010 - 01:50h:

Tá de parabéns! Ótimo artigo..
O que vale é não parar no tempo e sempre tentar fazer o melhor de si correndo atrás de inovações..
Gostei mesmo Denny.

Saudações,
Carlos Eduardo
derfops@gmail.com