Estava lendo alguns artigos sobre segurança e me deparei com este texto, concordo com o que o autor escreveu e sempre que ver um texto vou postar e boa reflexão.
“Recebo diversos e-mails todos os dias solicitando indicações sobre cursos e certificações na área de segurança da informação. As minhas respostas via e-mail ou durante uma palestra são sempre polémicas, principalmente quando estou ministrando uma palestra para alguma instituição de ensino. Vamos entender melhor o que realmente acontece na prática. Estive conversando com dois colegas em Angola sobre como conseguir um bom emprego.
Um dos pontos discutidos foi sobre como o entrevistador consegue avaliar os conhecimentos do candidato. O assunto surgiu porque percebemos, em Angola, que muitos profissionais ocupam cargos na área de tecnologia da informação sem terem o perfil necessário para exercer a função. Ou seja, a culpa não é do profissional que está exercendo a função e sim da pessoa que contratou o “profissional”.
A pessoa que está recrutando o profissional não possui o conhecimento necessário para avaliar o perfil do profissional. Este fato ocorre no mundo todo. Porém, em Angola, o empregador avalia o conhecimento do candidato através das indicações e das certificações.
Primeiro, a indicação não funciona porque o candidato a vaga pode fornecer o contacto de um amigo ou parente como referência. É óbvio que o amigo ou parente irá fornecer boas referências. Isso ocorre com muita frequência em Angola e no Brasil.
Segundo, a sociedade exige que você tenha determinadas certificações. Caso você queira conseguir um emprego ou ganhar um aumento no salário, basta estudar e ser aprovado em algumas provas (por exemplo, CISSP).
Terceiro, muitos profissionais são certificados porque a empresa pagou a certificação ou exigiu que o funcionário tenha a certificação. Existem diversos casos em Angola onde o profissional é certificado em uma determinada tecnologia mas actua em outra área. Por exemplo, um dos nossos colegas de trabalho conseguiu recentemente a certificação CCIE (Cisco Certified Internetwork Expert). Porém, este profissional actua com sistemas Windows. Ou seja, possui experiência em uma área mas é certificado em outra. Este colega só “buscou” a certificação porque a empresa solicitou.
Quarto, a certificação prova que a pessoa tem capacidade em aprender sobre algum assunto. A certificação não prova que uma pessoa está preparada para exercer uma determinada função na área de segurança da informação.
Quinto, a tecnologia evolui muito mais rápido que qualquer curso ou certificação. Na área de segurança da informação estamos aprendendo coisas novas todos os dias. Os cursos e certificações ficam ultrapassados muito rápido.
Sexto, o mais importante é a sua capacidade em resolver problemas e criar estratégias pró-activas contra as novas ameaças. As certificações não irão lhe ajudar no momento em que o seu ambiente computacional estiver sofrendo um novo tipo de ataque.
Conclusão A área de recursos humanos ou até mesmo o entrevistador técnico precisa entender que existem os imortais e os mortais da segurança da informação e tecnologia da informação.
Os imortais são as pessoas que conseguem comprovar a sua experiência e são reconhecidos pela comunidade de segurança da informação ou tecnologia da informação. São pessoas que compartilham o seu conhecimento com os seus colegas de trabalho, ministram palestras, desenvolvem cursos, escrevem artigos, participam de grupos de discussão, etc.
Os mortais são as pessoas que tem como objectivo possuir algum tipo de certificação para tentar diferenciar-se no mercado de trabalho.
Denny Roger é director da EPSEC, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projectos de redes seguras e perícia forense. E-mail: denny@epsec.com.br .“
fonte: http://www.revistatruta.com/index.php?option=com_content&view=article&id=99:os-imortais-e-os-mortais-da-seguranca-da-informacao&catid=48:opiniao&Itemid=104
Publicado em Segurança
