Para começar a carreira em cibersegurança, é recomendável obter uma formação em tecnologia da informação ou em um campo relacionado. Além disso, é importante estar familiarizado com as ferramentas e técnicas utilizadas na cibersegurança, como firewalls, encriptação, detecção de intrusões, entre outros. Algumas formas de adquirir essas habilidades incluem:
- Cursos online e certificações.
- Participando de programas de treinamento e estágios em empresas de segurança cibernética
- Participando de comunidades online de cibersegurança e participando de competições de segurança cibernética.
- ler artigos, blog e livros sobre segurança cibernética.
É importante lembrar que a cibersegurança é uma área em constante evolução, por isso é importante manter-se atualizado com as últimas tendências e ameaças.
Para iniciar sua carreira em cibersegurança, existem algumas etapas que você pode seguir:
- Aprender sobre os fundamentos da cibersegurança: estudar sobre os principais conceitos, ameaças e técnicas utilizadas na área é fundamental para entender como os sistemas de segurança funcionam e como eles podem ser protegidos.
- Obter certificações relevantes: há várias certificações disponíveis no mercado, como a Security+ (CompTIA), Certified Ethical Hacker (CEH) e a Certified Information Systems Security Professional (CISSP), que podem ajudá-lo a demonstrar suas habilidades e conhecimentos para as empresas.
- Desenvolver habilidades práticas: além de conhecer os conceitos teóricos, é importante desenvolver habilidades práticas, como a capacidade de usar ferramentas e tecnologias de segurança. Isso pode ser feito através de cursos on-line, laboratórios virtuais ou participando de competições de segurança cibernética.
- Procurar oportunidades de emprego: procurar oportunidades de emprego em empresas de segurança cibernética ou em setores que exigem especialistas em segurança cibernética, como bancos, seguradoras e governo.
- Participar de comunidades e eventos de cibersegurança: Manter-se atualizado e conectado com outros profissionais e especialistas na área, participar de conferências, meetups e outros eventos relacionados a segurança cibernética ajuda a ampliar sua rede de contato e aumentar suas chances de encontrar oportunidades de trabalho.
📖 Trilha de estudo
Claro que se você gosta de desenvolvimento e segurança e quer entrar na área, vc deve entender de desenvolvimento e o mesmo vale para redes de computadores, então não adianta saber sobre segurança sem a base de redes.
Saber sobre segurança é ir além do básico. É explorar com uma mente “maliciosa” os sistemas e entender onde é possível mitigar ações que possam interromper o que chamamos de CIA (Confidentiality, Integrity and Availability).
Seguindo o NIST Cyber Security framework, o profissional de segurança de ser capaz de ajudar na identificação, proteção. detecção. resposta e recuperação.
- Kit Básico necessário de conhecimento
- Windows / Windows Server + Active Directory
- Redes de computadores / TCP/IP / Portas e protocolos
- Linux
- Básico de programação
👨💻Carreiras na área de cibersegurança
Cada área (função) pode ter a denominação de júnior, pleno e sênior e segundo a Mariana Dias , servem basicamente, para determinar qual é o nível de experiência, maturidade profissional e complexidade de tarefas que uma pessoa consegue realizar.
- Consultor de segurança cibernética
- Analista de segurança
- Arquiteto de segurança
- Engenheiro de cibersegurança
- Analista de riscos cibernéticos
- Analista de SOC
- Cloud Security Expert
- Ethical Hacker
- Engenheiro de segurança cibernética
- Analista de Malware
- Cyber Threat Intelligence
- Cyber threat Hunting
- Investigador Forense
- Perito forense computacional
- Segurança Ofensiva (Red Team)
- Segurança Defensiva (Blue Team)
- Pentester
- Data Protection Officer (DPO)
- Identity and Access Management (IAM)
- Software Development Security
- Bug Hunter
- Chief Information Security Officer (CISO)
- Information Security Officer (ISO)
- Global Head of Information Security
- E outros…
💻Frameworks e melhores práticas
- Recursos de segurança importantes para conhecer|
- Framework MITRE Adversarial Tactics Techniques e Common Knowledge® (MITRE ATT&CK®) – A estrutura MITRE ATT&CK é uma base de conhecimento com curadoria e um modelo para o comportamento do adversário cibernético, refletindo as várias fases do ciclo de vida do ataque de um adversário e as plataformas que eles visam.
- National Institute of Standards and Technology® (NIST®) – O National Institute of Standards and Technology, anteriormente conhecido como The National Bureau of Standards, é uma agência governamental não regulatória da administração de tecnologia do Departamento de Comércio dos Estados Unidos. Possui um excelente framework de cibersegurança.
- Cloud Security Alliance (CSA) – A Cloud Security Alliance é uma organização sem fins lucrativos com a missão de “promover o uso das melhores práticas para fornecer garantia de segurança na computação em nuvem
- Software Assurance Forum for Excellence in Code (SAFECode) – O SAFECode é um esforço global liderado pela indústria para identificar e promover as melhores práticas para desenvolver e fornecer software, hardware e serviços mais seguros e confiáveis.
- Open Web Application Security Project® (OWASP®) – O Open Web Application Security Project (OWASP) é uma fundação sem fins lucrativos que fornece orientação sobre como desenvolver, comprar e manter aplicativos de software confiáveis e seguros. OWASP é conhecido por sua popular lista Top 10 de vulnerabilidades de segurança de aplicativos da web.
- International Organization for Standardization (ISO) – Normas ISO foram criadas para fornecer orientação, coordenação, simplificação e unificação de critérios para empresas e organizações. A família ISO 27000 é um conjunto de certificações de segurança da informação e proteção de dados. Elas servem como base para a criação de um Sistema de Gestão de Segurança da Informação (SGSI) em organizações de pequeno, médio e grande porte.
- CIS Critical Security Controls – CIS Controls é uma publicação de diretrizes de melhores práticas para segurança
📚 Livros recomendados para iniciar
📚 Livros para pesquisa e entendimento
🇺🇸 Inglês é necessário
Talvez não logo de inicio, mas o inglês é imprescindível em TI, ao menos leitura e entendimento básico no inicio, mas você inevitavelmente precisará da língua para buscar conteúdos mais técnicos, leitura de manuais, eventos e até mesmo aulas e vídeos mais avançados. Se não buscar aprender a língua, não irá evoluir na carreira.
Eu comecei com este livro e depois fui me aprimorando
🚨 https://amzn.to/3GvD0EC Passo-a-passo – inglês
🎓Certificações
Certificações são importantes, seja para quem está começando ou para quem já trabalha na área. Ela ajuda a promover o profissional e alavancar suas chances no mercado de trabalho.
Uma certificação que eu recomendo para iniciar é a Security+ da Comptia
Outra certificação nasceu em 2022 de forma gratuita é a cybersecurity certified CC da ISC2 no qual eu disponibizo um e-book também gratuito. Free PDF Notas de estudo Certified Cybersecurity
Recomendo o roteiro que o Paul Jerimy compilou com 436 certificações (abril de 2022) e criou um roadmap de certificação de segurança para iniciantes, intermediários e experts.
🚨 Acesse Roteiro de certificação de segurança
📣Soft skills
Soft skills e hard skills
Segundo a Sara Sanchis, Psicóloga especializada em Crescimento Pessoal, Hard skills são habilidades que podem ser medidas, como saber programar, operar um sistema operacional, fazer pentest. Já as soft skills são traços que fazem de você um bom profissional, como etiqueta, comunicação etc.
Pensando em cibersegurança e nas empresas no qual eu trabalhei, notei que os soft skill mais requeridos eram:
- Resolução de problemas
- Comunicação
- Capacidade de organização
- Pensamento crítico
Leia mais sobre o tema em Psicologia-Online.
🗺 Eventos no Brasil
Melhor maneira de aprender e fazer um excelente network que pode gerar ótimas oportunidades.
- You Shot The Sheriff (São Paulo)
- Mind the Sec (São Paulo e Rio de Janeiro)
- RoadSec (Vários estados do Brasil)
- CNASI (Vários estados do Brasil)
- Nullbyte (Salvador)
- BHACK (Belo Horizonte)
- BSidesSP (São Paulo)
- H2HC (São Paulo)
- Congresso Security Leaders (Vários estados do Brasil)
- SACICON (São Paulo)
- Cyber Security Brazil (São Paulo)
- Cyber Security Summit (São Paulo)
- SBSeg (Brasília)
- HACKBAHIA (Bahia)
- CAOS (Rio de Janeiro)
- SegInfo (São Paulo e Rio de Janeiro)
- Hacker Day (Paraná)
- BWCON (Recife)
- Gartner Security & Risk Management Summit (São Paulo)
🇺🇸 Treinamentos
- Open Security Training – http://opensecuritytraining.info/Training.html
- Offensive Computer Security – http://www.cs.fsu.edu/~redwood/OffensiveComputerSecurity/lectures.html
- PentesterLab – https://pentesterlab.com/
- Malware Traffic Analysis – http://www.malware-traffic-analysis.net/training-exercises.html
- OWASP AppSec Tutorials – http://owasp-academy.teachable.com/p/owasp-appsec-tutorials
- Creating Yara Rules for Malware Detection – https://www.real0day.com/hacking-tutorials/yara
- Windows Privilege Escalation Guide – https://www.sploitspren.com/2018-01-26-Windows-Privilege-Escalation-Guide/
- Learn Forensics with David Cowen – https://www.youtube.com/user/LearnForensics/featured
- C++ Tutorial for Beginners – Full Course – https://www.youtube.com/watch?v=vLnPwxZdW4Y
- Binary Analysis Course – https://maxkersten.nl/binary-analysis-course/
🎥 Canais no Youtube Brasil
- Papo Binário – Entrevistas, tutoriais e dicas voltada a TI e cibersegurança
- Ricardo Longatto – Segurança da informação, pentest, técnicas de invasão
- Guia Anônima – Metodologias, técnicas, entrevistas e tutoriais
- Fabio Sobiecki – Ajuda a profissionais a conquistarem sua primeira vaga em Segurança da Informação.
- prog.shell.linux – Curso de Shell Linux com o Prof. Julio Cezar Neves
- Paulo Kretcheu – Curso de Redes, Curso GNU/Linux – Tutoriais – Solução de problemas
- SecurityCast – Programas quinzenais sobre Segurança da Informação
- 100SECURITY – Profissionais de Segurança da Informação
- Gabriel Pato – Tecnologia e Hacking
- Daniel Donda – O melhor canal do youtube
- Academia de Forense Digital – Ensino e desenvolvimento de Forense Digital no Brasil
🎥 Canais no Youtube US
- David Bombal – Linux, Python, Ethical Hacking, Networking, CCNA
- HackerSploit – Pentest, Red teaming, CTFs e Linux
- John Hammond – Análise de malware e programação
- Hak5 – Tutoriais, noticiais e “gadgets”
- freeCodeCamp.org – Learn to code for free.
- Null Byte – Videos para hackers éticos
- TheHackerStuff – Ethical Hacking, Tutoriais do Kali
💎Awesome Github – Repositórios para cibersegurança
- Awesome Hacking
- Awesome Hacking Resources
- Awesome Security
- Awesome OSINT
- Awesome Penetration Testing
- Awesome Pentest Tools
- Awesome Forensic Tools
- Awesome Bug Bounty
Daniel e a certificação CC da ISC2 não aconselha?
Sem dúvida. Ótima certificação de entrada. Vou atualizar com os links.
Estou com 32 anos. Comecei a faculdade de segurança da informação esse ano. Vou terminar com 34 anos. Será que está tarde para tentar trabalhar nessa idade ? Ainda tenho que fazer certificações e cursos. As vezes bate um desânimo por que eu não sei se eu vou conseguir entrar no mercado de trabalho dessa área. E aí, o que você acha, Daniel ? Ainda tenho tempo ??
Eu acho que sempre haverá espaço, a briga já existe, tem que meter as caras e ir pra cima.
Incrível esse artigo. Irá ajudar diversas pessoas a trilharem uma carreira na área e a se tornarem profissionais de sucesso.
Obrigado Gabriel, espero que muitos possam aproveitar.
Fala mestrão, estou terminando uma graduação de tecnólogo em Defesa cibernética. Este ano estou pensando em algumas certificações, no lugar de um MBA. Estou pensando certo ou é melhor fazer um?
Outra coisa, no atual cenário político e econômico em que estamos, seria viável investir nas certificações, visto que ainda não atuo na área?
Como está terminando a graduação, uma certificação pode ser um pequeno descanso do mundo acadêmico, mas vale ter um MBA sim, se puder faça.
Agora essa tua ultima pergunta me pegou de um jeito que não sei responder.
A BSides Vitória (http://bsides.vix.br) é um evento que é bem interessante na área de Cibersegurança.
Olá Daniel, atualmente tenho bolsa numa faculdade em engenharia e não posso transferir para outro curso sem ser da area das engenharias sem perder a bolsa, tenho vontade de trabalhar na área de ciber segurança e quero tirar certificados, minha dúvida é, você acha que vale a pena eu me formar em engenharia elétrica ou é melhor eu deixar a faculdade e focar 100% nos certificados, quem sabe depois fazer alguma faculdade na área de tecnologia? Gostaria muito de ouvir sua opinião, obrigado.
Essa é uma decisão que só você pode ter e eu não teria como opinar sobre isso. Mas eu te falo que certificados não garantem nenhuma vaga e não tem tanto valor quanto uma faculdade.
Fala Daniel! Eu tenho uma formação que não é da área de Cybersecurity, nem de tecnologia, vc acha, nesse caso, que vale a pena começar com uma pós em cyber ou buscar certificações? Vlw, meu querido, muito obrigado pelo conteúdo.
Depende da formação. Se for muito muito diferente de cyber e ti ai é melhor focar em uma formação na área, se for algo que se encaixa de alguma maneira ai foca nas certificações
Obrigado! Me ajudou muito a saber qual caminho de estudos devo seguir.
Como Sempre Mestre, Material sempre de Excelência. Grande Abraço. Você foi a inspiração de sair da área de Infra e me dedicar a Cybersecurity.
Daniel,
MITRE D3FEND é uma base de conhecimento de contramedidas defensivas de segurança cibernética, seus componentes e capacidades. É complementar ao MITRE ATT&CK Framework que descreve as Táticas, Técnicas e Procedimentos (TTP) dos cibercriminosos. O MITRE D3FEND Framework mapeia as relações entre o TTP do atacante e as contramedidas defensivas, fornecendo um modelo de técnicas defensivas e artefatos para neutralizar ou mitigar estratégias específicas de ataque cibernético ofensivo.
https://d3fend.mitre.org/
Acho importante adicionar ao seu artigo. Falar dos Frameworks que existem assim como por exemplo o OSINT.
Que legal! Estou fazendo pós graduação em Digital Security, mas mesmo assim me sentia perdido na carreira profissional. Agora tenho uma base com suas recomendações.
Uau amei as dicas mestre! A minha pergunta é: eu não tenho nenhum bacharel, vale apena tirar apenas certificões? Será que com certificações conseguirei trabalho nas áreas de cybersecurity mestre Daniel?
Que bom que gostou !! Vale sim, porém hoje em dia é uma briga de posição quando chega no RH. Se souber fazer direitinho, tem como conseguir sim.
Daniel, Boa tarde,
O que recomendaria, não tenho graduação em nenhuma área de T.I, tenho apenas formação técnica em T.I e atuo na área de Suporte desde 2017, e me chamou muito atenção o mercado de cybersecurity. Tenho 26 anos, qual seria o melhor caminho para iniciar minha caminhada na área, um tecnólogo de Defesa Cibernética ou focar nas certificações visto que já estou atuando na área de T.I faz algum tempo? Muito obrigado desde já !!!
Pow,tecnólogo de Defesa Cibernética me parece uma excelente oportunidade, mas como eu sempre falo, se precisa ser rápido e tem pouco $$$$ arrisca em certificação. Quanto mais melhor hoje
Bom dia, Daniel!
Possuo tecnologo de gestão da tecnologia da informação, se eu conseguir os certificados consigo algo na área ou é mais recomendável uma pós em Cibersegurança? quais suas recomendações?
Faltou esses Chief Information Security Officer (CISO), Information Security Officer (ISO)e Global Head of Information Security. Me interesso muito em na vaga de CISO, mas não sei como chegar até lá, tenho 5 anos de experiÊncia em cybersecurity e já passei por diversas áreas.
Boa tarde Daniel!
Primeiramente parabenizar pelos ótimos conteúdos disponibilizados aqui no seu site.
Me formei em Técnologo em Segurança da Informação em 2017, mas nunca atuei na área por falta de oportunidade.
Hoje, em 2024 com 41 anos, estava pensando em voltar a estudar e tentar entrar na área de segurança. Estou fazendo minha Pós em Segurança de Rede. Acha que vale apena investir e buscar uma carreia do zero na minha idade?
Trabalhei minha vida toda na área comercial, porém, sempre fiz cursos voltados a programação web e rede.
Um grande abraço!
Oi Carlos, meu amigo, sei que não será fácil, mas não é impossível. Vai pra cima e arrisca, sempre vale a pena tentar