Acabei de receber a visita de um amigo que possui a certificação CISSP – odeio chamar a galera por rótulos, principalmente quando o assunto é segurança da informação — alguns CISSPs têm a mania de serem chamados por CISSPs e não pelo nome próprio – ele acabou me contando que o post CISSP virou carne de vaga ? se tornou uma thread na famosa lista de discussões CISSP-BR.

Esta lista tem como objetivo reunir todos os aspirantes e certificados CISSP, além da galera que curte segurança da informação.

Acontece que há algum tempo que a lista virou motivo de anedota perante muitos profissionais de ti devido a quantidade de brigas infantis. Aquela coisa de “olha paulinho, o meu pinto é maior que o seu”.

Houve casos, quero dizer, brigas clássicas entre os membros desta lista e que quase se tornaram um conflito armado – conheço gente que possui as discussões impressas e guardadas a 7 chaves. hehehe

Bom, voltando ao que interessa.

A CISSP se tornou mais uma certificação. Ela é importante para algumas empresas e profissionais. Os pré-requisitos para obter esta certificação não a torna especial em nada (nível superior completo, indicação de um CISSP e experiência de x anos trabalhando com segurança)

Abro parênteses quanto ao ponto comprovação de experiência trabalhando com segurança para obtenção desta certificação, já que a CISSP é focada, ao meu ver, em gestão. Daí o aspirante precisa ter trabalhado com auditoria, criação de políticas de segurança e afins.

Um administrador de firewall, pentest ou pesquisador possui experiência para prestar a CISSP ? hummm.. Alguns dirão que sim e outros não.

E sim, há dezenas de testkings e braindumps para quem deseja prestar a CISSP. Daí a minha pergunta Como levar uma prova, tida para muitos, como de conhecimentos gerais sobre segurança a sério, se não há nada prático ?

Falando sobre salários.

Fiz um pequena pesquisa de mercado com alguns conhecidos que possuem esta certificação. Estava querendo saber a média salarial destes profissionais (10  CISSPs participaram da minha pesquisa).

Descobri que a média salarial, no estado de SP, para profissionais CISSP é de R$ 9.500,00. Tendo o menor salário em torno de R$ 6.500,00 e o maior em R$ 13.500,00 – Todos CLT.

Vejam que não é nada muito fora dos salários que giram, em média, para T.I., mas o tempo para que um profissional CISSP chegue ao topo salarial é bem maior que se compararmos aos DBAs ou desenvolvedores JAVA, além é claro da menor arrogância.. hehehe

Um desenvolvedor JAVA com 5 anos de experiência, no estado de SP, possui uma média salarial de R$ 8.000,00. CLT. 

Oferta de emprego.

Este foi o ponto que mais chamou a minha atenção na pesquisa. Vagas que possuem CISSP como pré-requisito são escassas. Não perdi o meu tempo comparando com as vagas ofertadas para desenvolvedores, arquitetos e dbas.

Então saiba que o CISSP não é garantia de empregabilidade, porque isso só existe em um mercado onde há grande oferta de vagas do que a procura de emprego.

Técnicos sempre terão mais oportunidades de emprego do que gerentes. Lembrem-se disso.

P.S.: Eu cumpri com o que havia prometido quanto a entrada das 30 beldades — discussão interna da lista CISSP BR.. Mas acabei quase morrendo voltando para casa. E o Neymar nem apareceu.. sacanagem..

P.S.S.: Sou cientista/consultor. O meu trabalho não pede que eu coloque um CISSP no currículo.

Compartilhar:

Este post tem 14 comentários

  1. Duvida.. tenho a CEH. vale a pena tirar CISSP ou “”data security leader auditor”?

  2. Boa pergunta e juro que não sei a resposta…

  3. Jairo, acredito que CEH é mais voltada para o lado técnico, e o CISSP é para gestão de SI. Dependendo da sua experiência, cargo atual, expectativa de crescimento profissional, vale a pena sim tirar CISSP.
    Você escolhe se quer ser técnico até se aposentar ou arriscar e virar Gestor de SI.
    Eu acho que vale a pena. A minha vem ano que vem rs..

  4. O que me deixa mordido é que as empresas acham que é só meter um FW e pronto, ta seguro. CLARO que precisa de um bom firewall Statefull. Mas As grandes marcas em sua maioria ja vem quase tudo nos templates. De adicional é fazer umas VPNs, coisa que no geral a regra é igual pra todos e não muta taaaanto assim. Mas Carai, SEC é tão mais que só uma porra de um FW? Podem me crucificar, mas pra mim um bom FW é só 25% da solução.. O resto é desenvolvimento seguro (é na cagada de programador que muita coisa acontece), senhas fracas (Gary McKinnon pira), processos, Eng. Social (rootkit.com que o diga né)……

  5. Jairo, eu estou estudando para tirar primeiro o Leader Auditor e depois o CISSP. Preciso mais da visão business agora. Até porque, o lado business dá muito mais dindim do que o lado operacional.

    😉

  6. Master Zion…

    Empresas sérias criam segurança de perímetro ou em profundidade, Sabem que um firewall sozinho não quer dizer nada.

    Portanto, entra nessa jogada, IPS, WAF, AntiSpam, AntiVirus, WebProxy, etc…

  7. Raphael, CEH eu já tenho.
    A pergunta foi DSLA x CISSP. 😉

    Abraços

  8. Uma pesquisa rápida nas oportunidades em aberto no vagas.com dá o seguinte:
    Vagas para CISSP: 2
    Vagas para DBA: 12
    Desenvolvedor Java: 148

    Na verdade, isto reflete também o nível de especialização de cada um dessas funções. Qualquer pessoa pode fazer um curso na esquina e se tornar um desenvolvedor em Java. Uma formação de DBA é bem mais complexa, e trabalhar na área de segurança é mais complexo ainda.
    Da mesma forma, qualquer empresa hoje em dia tem uma página web e, portanto, precisa de um desenvolvedor. Mas nem todas tem um banco de dados e, das que tem, a maioria não tem um nível mínimo de segurança – o que faz a alegria dos metidos a hachers e hacktivistas por aí.

  9. A sua análise está correta Anchises, mas não concordo no ponto em que trabalhar com segurança necessite de um maior estudo/conhecimento do que com desenvolvimento Java ou administrando banco de dados. Falo isso por causa do meu dia a dia. Acompanho profissionais de todas áreas e os mais diferentes tipos de problemas..

  10. Java é uma linguagem complexa com uma caralhada de abstrações. Não é fácil!

    Mas o Gustavo que me perdoe, sec tem que manjar de processos, dev (inclui java), hosting.

    É um leque muito maior.

  11. Existe aí uma birra “mundial” em relação ao CISSP porque algumas pessoas de certa forma exageram na arrogância do sou cissp… e tirando o fato da comprovação de que você atua no segmento de infosec durante alguns anos, a prova em si e o material de estudo nem de longe são bicho de sete cabeças, é um exame longo, mas é teórico e passável para qualquer pessoa com vontade de concluir essa certificação.

    É mais do que necessário pessoal de “compliance” , normas, diretivas, políticas, auditoria, e etc… os processos de TI hoje em dia estão totalmente misturados com muitas áreas, segurança da informação hoje é praticamente um espécie de entidade onipresente em quase tudo, e ter uma visão business como disse o Marcelo Pitanga é mais do que necessário, até porque o pessoal dessa área de atuação é muito mais visto como que retorna lucro de fato do que o pessoal das trincheiras da parte técnica, eu ainda estou terminando a minha caminhada técnica, em breve vou entrar no OSCP e esse mês devo tirar o GCIH, mas no trabalho eu já vivo no limbo dos dois lados de atuação, hoje em dia é algo que temos de enfrentar, bater o escanteio e correr para fazer o gol…

    Minha próxima faculdade será de economia provavelmente, pois quero ter uma visão mais profunda e um entendimento melhor de gestão, custos e etc…

    De qualquer forma CISSP é algo importante? Sim na medida que você faça o conhecimento teórico da coisa virar algo de fato, se ficar apenas se vangloriando da certificação em si, ela vira um papelzinho patético, como se transforma também qualquer certificação se o dono da mesma não mostrar de fato que é competente, estudioso e se esforça todos os dias para dar soluções nessa área tão complicada.

  12. Materia ridicula, comparações sem fundamento, o CISSP ajuda sim na empregabilidade quando estamos falando de um profissional da area. Se estamos falando de profissionais de segurança de TI do que adianta comparar com DBAs ou desenvolvedores JAVA. Não conheço nenhum CISSP com salário menor do que 13k, alguns chegam a 18k CLT. CISSP é uma certificação que garante que você gastou algum periodo estudando e aprendendo algo, nenhum esforço nesse sentido deve ser substimado ou desprezado.

  13. Guilherme, levei o seu comentário aos olhos de 4 Cissps que trabalham comigo. Eles me pediram para vc encaminhar o seu e-mail e o nome das empresas que pagam 13k, chegando a 18k de salário mensal, CLT. Eles possuem muita vontade em mudar de emprego.

  14. De fato…sou CISSP e nao me acrescentou muita coisa. As certificacoes de vendor e algumas independentes (tecnicas) tem me proporcionado uma media salarial mais alta do que o CISSP. Embora ja tenha recebido propostas altas, elas sao MUITO raras. E pra quem acha que o CISSP é grandes coisa, eu falo por experiencia propria…é puro marketing. Em termos de conhecimento ela é valida sim pra um gerente de TI que precise de uma visao generica de tudo, mas dai pra falar que acrescenta um conhecimento profundo em algo…. Recomendo que leia o Certification Guide ou o livro da Shon Harris e vejam o quao superficial as informações sao. Falo isso pois nao preciso do CISSP pra garantir meu emprego (embora muitos digam o contrario por achar que retirar o valor da certificação é diminuir sua empregabilidade no mercado).

Deixe uma resposta

Fechar Menu