Essa pergunta é feita por um série de leitores do blog e via email, muitos desejam trabalhar com segurança da informação, mas não sabem que essa é uma das áreas que possui mais ramificações, há profissionais especializados em políticas de segurança e padronização seguindo as normas da ISO 27001/27002, há profissionais especializados na realização de pentest e há outros profissionais especializados na configuração de um determinado produto ou serviço, por exemplo em.

Toda história tem um começo, daí eu aconselho aos profissionais que desejam trabalhar com segurança da informação focarem no que desejaram atuar, trabalhar colocando a mão na massa, desenvolvendo ou só criando normas ou políticas de segurança.

Uma história interessante que eu presenciei em umas das empresas que trabalhei foi com o Security Officer, ele tinha a mania de dizer que tudo estava fora da política de segurança, sendo assim, tínhamos sérios problemas para conduzir um novo projeto ou instalar um novo produto. Depois de alguns meses de conversas, nós propomos a alteração da política, o Security Officer disse não, levamos ao diretor e o mesmo demitiu o cara.

Moral da história: A política de segurança é para proteger empresa e não para atrapalhá-la. Cuidado com a intransigência quanto a segurança, sabemos das ameaças, mas elas não podem inviabilizar um negócio.

Vamos falar sobre os cursos de segurança da informação. Existem várias empresas no Brasil que ministram um série de cursos bem interessantes, vamos a elas:

  • Westcon – Cisco e CheckPoint – além também possui outros cursos voltados a produtos de segurança.
  • Multirede – Velha conhecida do pessoal que trabalha com Redes – Cisco
  • 4linux – Um dos maiores centros de centro Linux da América Latina, possui uma série de cursos bem interessantes sobre segurança da informação.
  • Flipside – Muito elogiado quando o assunto é CISSP, ISSAP e CSO.
  • Clavis – Uma empresa carioca que tem como foco treinamentos em segurança da informação, ministra o tão sonhado CEH e o CFHI (Computer Hacking Forensic Investigator)

P.S.: A única instituição de ensino que encontrei até hoje que ministra treinamento de Auditoria de Segurança em Aplicações Web é a Clavis.

A lista das instituições de ensino citadas acima foi feita graças ao feedback de profissionais que fizeram os cursos nelas e gostaram e muito.

Vários irão reclamar do preço de alguns dos cursos ministrados pela Multirede e Westcon, mas você devem ter ciência que eles são parceiros oficiais, utilizando assim a grade curricular e material oficial, outro ponto é que vocês podem estudar de casa, comprando livros e montando laboratórios, mas acontece que a linha de aprendizado daqueles que estudam em uma instituição de ensino é maior do que para aqueles que estudam sozinhos(autodidata).

Bons estudos para 2011.