CompTIA Advanced Security Practitioner (CASP) COMBINAÇÃO DE HABILIDADES GERENCIAIS E TÉCNICAS COMO DIFERENCIAL COMPETITIVO DE CARREIRA

E-BOOK

FEBRUARY 2016

Sumário

3 Entre a subjetividade e a objetividade das ameaças digitais

4 Capítulo 1: Ameaças digitais crescem, gargalo permanece

5 Capítulo 2: Um passo atrás das ameaças digitais

7 Capítulo 3: O que é e para que serve a CASP

10 Capítulo 4: CASP, indicada para profissionais de todos os níveis

12 Capítulo 5: Como obter a CASP

13 Bibliografia

14 Sobre

CompTIA Advanced Security Practitioner (CASP)

Entre a subjetividade e a objetividade das ameaças digitais

03 CompTIA.org

Na era da digitalização, carreiras das mais variadas surgem e

somem com extrema rapidez. Assim como a Revolução Industrial

mudou para sempre a manufatura, a transformação digital exige

adaptação de empresas e profissionais em uma velocidade ace-

lerada, quase que diariamente. Se for difícil fazer a correlação,

basta pensar no movimento de Big Data, analytics e inteligência

artificial, ou tente se lembrar se iPhone e Android eram assunto

em 2006.

Isso exige capacitação constante, especialmente dos profissionais de tecnologia da

informação. É preciso investir em novidades, mas sem descuidar de competências

consagradas. Esse perfil, que equilibra o especialista com o generalista, está melhor

preparado para enfrentar – e crescer – no mercado.

Com segurança da informação não é diferente. Neste ebook, você entenderá como o

crescimento em número, variedade e gravidade de ataques cibernéticos suscita maior

preocupação para as empresas e que, ao mesmo tempo, o maior fator de risco continua

sendo o ser humano.

Para atender a essas duas frentes – os malwares, objetivos, e as pessoas, subjetivas–, as

companhias precisam de um profissional que concilie conhecimento técnico e lideran-

ça. Aquele a quem a empresa pode contar em momentos de calmaria e planejamento,

e a quem o time pode recorrer em episódios de crise e enfrentamento de ataques.

Porque, nessa era das ameaças digitais, a única certeza é que os ataques virão.

A Computing Technology Industry Association (CompTIA) é uma associação de mercado

sem fins lucrativos que serve como voz da indústria de tecnologia da informação. Com

aproximadamente 2.000 companhias-membro, 3.000 parceiros acadêmicos e de trein-

amento, mais de 65.000 usuários registrados e dois milhões de certificados emitidos,

a CompTIA é dedicada a fortalecer o crescimento da indústria por meio de programas

educacionais, pesquisa de mercado, eventos de relacionamento, certificação profissional

e promoção de políticas públicas.

CompTIA Advanced Security Practitioner (CASP)

CAPÍTULO 1

Ameaças digitais crescem, gargalo permanece

Desafios constantes, mercado aquecido

e a oportunidade de fazer história. Quem

trabalha com segurança da informação é res-

ponsável por proteger informações corpora-

tivas e pessoais de ataques maliciosos e, para

isso, fica frente à frente com ameaças nunca

vistas, nascidas em diferentes partes do globo

em busca de novos vetores. O próximo ataque

chegará por meio de um e-mail spam, um drone

que invade redes ou pelo micro-ondas da

cozinha? O especialista de SI pilota em uma

corrida em alta velocidade pela defesa dos da-

dos, contra adversários sagazes e cada vez mais

profissionalizados. E a recompensa por tama-

nho preparo e conhecimento está à altura.

É até fácil evidenciar a relevância desse

profissional: o mercado de cibersegurança

movimentou, em aquisição de soluções e

serviços, US$ 106,32 bilhões em 2015, e o valor

deve chegar a US$ 170,21 bilhões em 2020, de

acordo com projeção da Markets and Markets.

Tanto dinheiro não é investido à toa: em

2014, foram criadas 317 milhões variantes de

malwares, marca superior aos 252 milhões

de 2013. Os tipos são variados: o número de

ataques com Ransomware, por exemplo,

cresceu 113% em 2014, para 8,8 milhões, ou

24 mil por dia; já as ameaças zero-day, que se

aproveitam de vulnerabilidades desconheci-

das até pelos fabricantes, ganham cada vez

mais projeção – ao todo, os cinco ataques

mais graves desse tipo deixarem sistemas

vulneráveis por 295 dias antes que patches

corretivos fossem implementados. Esses são

dados da edição 2015 do documento Relatório

de Ameaças de Segurança na Internet (ISTR),

elaborado pela Symantec, que sintetiza:

“atacantes estão avançando mais rápido, e

as defesas, não”.

E, para as empresas, a figura do “atacante” é

cada vez mais difusa e complexa. O relatório

aponta que o aumento no número de

ocorrências é acompanhado por uma

profissionalização dos criminosos, que

combinam engenharia social e ferramen-

tas personalizadas para construir ataques

direcionados que não respeitam mais

perímetros bem definidos dos sistemas de

segurança empresariais.

O impacto é direto no caixa: o custo médio

de ser vítima de uma invasão que explora

brechas de segurança era de US$ 3,8

milhões em 2015, conforme o estudo Custo

Global de Brecha de Dados, do Instituto

Ponemon. Dentro desse custo estão US

$ 154, em média, para cada registro contendo

informações sensíveis ou confidenciais.

O COMPONENTE HUMANO

Os desafios tecnológicos aumentam, mas o

erro humano ainda é o maior responsável

por criar riscos: 55% dos casos de brechas

de segurança são atribuídos a esse fator,

sendo que as falhas mais comuns envolvem

o usuário final ou a equipe de TI não seguir

políticas ou procedimentos de segurança,

de acordo com o 11º levantamento anual

de Tendências de segurança da informação,

elaborado pela CompTIA. O restante dos

casos (45%) é explicado por falhas tec-

nológicas, conclui o documento.

O dado levanta um aspecto essencial: a im-

portância de preparar o departamento de TI

não só para defender a companhia contra

ciberataques externos como também para

inibir situações de erro humano. Assim,

torna-se indispensável nutrir um ambiente

em que usuário final e os profissionais de

TI estejam alinhados quanto às políticas

de segurança, especialmente em episódios

de ataque.

05 CompTIA.org

CAPÍTULO 2

Um passo atrás das ameaças digitais

Dados do mercado reforçam a ideia de que a

capacitação dos profissionais de segurança

não acompanha o avanço das ameaças

digitais. De acordo com o Estudo sobre

Tendências em Segurança da Informação 2015

(Trends in Information Security Study 2015),

produzido pela CompTIA, menos de quarto

das empresas creem que seu nível atual de SI

corporativa é adequado (veja tabela abaixo).

Isso mostra que elas estão preocupadas em

buscar colaboradores que possam suprir suas

lacunas.

Para 84% dos executivos brasileiros, as

ameaças de segurança ficaram mais perigosas

entre 2013 e 2015. Já 15% avaliam que não

houve mudança e apenas 2% sentiram que

o nível de segurança aumentou, de acordo

com o Estudo Internacional de Adoção de

Tecnologias e Tendências de Força de Tra-

balho (International Technology Adoption

and Workforce Trends Study), produzido

pela CompTIA em 2015 com cerca de 1.500

respondentes.

No Brasil, a adoção crescente de redes

sociais é o fator que mais preocupa os

executivos: 39% veem nas ferramentas um

novo vetor de ataques. Em segundo lugar

está a dificuldade de encontrar ou treinar

profissionais capacitados em segurança,

reclamação de 35% dos entrevistados - em

sequência estão a consumerização (33%);

maior conectividade entre dispositivos e

pessoas (32%); e o aumento do volume de

ameaças, que cresce em uma velocidade

maior do que o de defesas (32%).

Fonte: Estudo sobre Tendências em Segurança da Informação 2015 - CompTIA

0%

60%

50%

40%

30%

20%

10%

70%

80%

90%

100%

Satisfação com o nîvel atual de SI corporativa

Empresas pequenas (1-99 funcionàrios)

Empresas médias (100-499 funcionàrios)

Grandes (500+ funcionàrios)

Pouco satisfeitas

Parcialmente satisfeitas

Muito satisfeitas

21% 23% 26%

57% 62% 57%

22% 15% 17%

CompTIA Advanced Security Practitioner (CASP)

A lacuna de capacitação é um ponto nevrál-

gico porque, para 34% das empresas, ela se

reflete em impactos negativos na segurança

da informação na companhia - somente

produtividade mais baixa é considerada uma

consequência mais danosa, apontada por 40%

dos negócios. O resultado: ataques deixam de

ser prevenidos ou mesmo descobertos, acar-

retando em perdas financeiras e intangíveis

para a corporação. No Brasil, a questão é es-

pecialmente grave, uma vez que apenas 10%

das empresas dizem que a equipe de TI tem

exatamente as competências desejadas.

As estatísticas revelam uma posição de fra-

gilidade dos negócios, que estão incapazes

de atualizar sua estrutura de proteção. Para

o profissional atento ao mercado, contudo,

isso pode ser uma oportunidade - ainda

no Brasil, 57% das empresas planejam

aumentar seu time de TI em 2016, continua

o levantamento da CompTIA. E como o

foco serão colaboradores eficientes e com

conhecimento comprovado, a perspectiva

é de salários atrativos, segundo levanta-

mento da consultoria Robert Half. Os dados

(abaixo) refletem a realidade do mercado

norte-americano, mas dão um indicativo do

potencial da área.

Salário anual médio em Aumento de Cargo em segurança da informação 2016 nos Estados Unidos 2015 para 2016

Gestor de segurança de sistemas US$ 130 mil a US$ 182 mil 6,2%Analista de segurança de dados US$ 113 mil a US$ 160 mil 7,1%Engenheiro de segurança de redes US$ 110 mil a US$ 153 mil 6,7%Administrador de segurança de sistemas US$ 105 mil a US$ 150 mil 6,1%Administrador de segurança de redes US$ 103 mil a US$ 147 mil 5,3%

Fonte: “Guia Salarial 2016 par Profissionais de TI”, Robert Half

07 CompTIA.org

CAPÍTULO 3

O que é e para que serve a CASP

A CASP (CompTIA Advanced Security Prac-

titioner, ou Profissional de Segurança

Avançada) é uma certificação que nasceu da

necessidade: o Departamento de Defesa dos

Estados Unidos identificou que não existia no

mercado uma chancela que comprovasse que

o profissional tenha tanto conhecimentos

avançados em segurança, quanto capacidade

de gestão. Assim, o órgão formou parceria

com a CompTIA para a criação de uma prova

que fosse referência internacional. Seu

conteúdo liga-se ao da CompTIA Security+

de forma complementar: a primeira apresenta

uma visão mais abrangente e comprova

habilidades de gestão, enquanto a segunda

favorece uma experiência mais técnica e

“hands on” na resolução de problemas em SI.

Lançada originalmente em 2012, a CASP foi

atualizada em 20 de janeiro de 2015, na versão

CAS-002. Seus conteúdos abordados passam

pela aprovação do comitê de cibersegurança

da CompTIA, que inclui especialistas do

mercado privado, profissionais que fornecem

serviço ao governo norte-americano e agentes

de Justiça. “A CASP é uma das certificações

mais demandadas da CompTIA, e sua procura

aumenta cerca de 64% a cada ano. Talvez

porque nunca tenha existido uma avaliação

com esse perfil”, diz Patrick Lane, gerente de

produto sênior da associação.

A CASP atesta que o candidato tem profi-

ciência técnica e habilidades exigidas para

conceituar, arquitetar, integrar e implementar

soluções seguras em ambientes complexos.

Para atingi-la, ele precisa estar apto a:

• Aplicar o pensamento crítico em uma gama

ampla de assuntos ligados a segurança

• Propor e implementar soluções de segurança

que mapeiam a estratégia da organização

• Traduzir necessidades do negócio em

requisitos de segurança

• Analisar o impacto que riscos como

brechas podem trazer à empresa

• Responder a incidentes de segurança

• Dar ordens para a equipe em situações de

ataque

Entre as empresas que já declararam

empregar funcionários com CASP estão as

norte-americanas Dell; Hewlett Packard

Enterprise; IBM: Verizon Telematics, focada

em tecnologia para carros inteligentes;

Booz Allen Hamilton, firma de consultoria

de gestão; Network Solutions, LLC, que atua

com hospedagem de sites e domínios; One

Source Technologies Inc., que lida com in-

fraestrutura e segurança; além do Exército

e da Marinha daquele país.

A CASP também está em uma seleta lista

de certificações exigidas a funcionários

do Departamento de Defesa dos Estados

Unidos que atuam em seis cargos ligados

à SI: técnico de IA (Information Assurance)

nível três, gestor de IA nível dois e arquite-

tos e engenheiros de IA níveis um e dois.

Security+, Network+ e A+ também estão

contempladas na chamada Diretiva 8140,

regulamento que exige ao menos uma

chancela comercial de profissionais que

atuam diversas funções na divisão. No

Brasil, o Departamento de Segurança da

Informação e Comunicações (DSIC), órgão

subordinado ao Gabinete de Segurança

Institucional da Presidência da República,

indica que seus servidores e profissionais

devem empenhar-se em obter certificações,

preferencialmente as listadas pela institu-

ição – entre elas, CASP e CompTIA Security+.

A determinação consta na Portaria n. 11 em

9 de abril de 2013.

CompTIA Advanced Security Practitioner (CASP)

Domínio Peso no exame

1.0 – Segurança enterprise 20%

2.0 – Gestão de risco e resposta a incidentes 20%

3.0 – Pesquisa e Análise 18%

4.0 – Integração das disciplinas de computação, comunicação e negócios 16%

5.0 – Integração técnica de componentes enterprise 16%

TOTAL 100%

A prova não possui pré-requisitos. Seria

benéfico ter alguns anos de experiência

prática trabalhando no ambiente de

segurança de TI e possuir a certificação

CompTIA Security+. Ambas as duas

certificações se complementam.

A PROVA

O exame dura até 165 minutos e tem 80

questões de dois tipos: múltipla escolha e

baseadas em performance, sendo, nesta etapa,

a apresentação de cenários práticos para

desafiar o candidato, colocando-o no papel

de um profissional que deve enfrentar um

ciberataque na rede empresarial. Diferente-

mente de outras provas, não há nota, e sim

resultado único: aprovação ou reprovação.

A prova está disponível em inglês.

Na tabela abaixo é possível ver o peso do

domínio de cada um dos conhecimentos

cobrados:

Fonte: CASP Certification Evaluation 2014 - CompTIA

0% 60%50%

63%

55%

49%

39%

24%

40%30%20%10% 70% 80% 90% 100%

Razões mais citadas para conquistar a CASP

Validar o conhecimento técnico avançado

Receber oportunidades de emprego melhores

Desenvolver novas competências

Plano de carreira / oportunidade de receber um aumento ou promoção

Exigência do empregador

09 CompTIA.org

DETALHES DA ATUALIZAÇÃO

As certificações CompTIA são atualizadas

periodicamente para adequar o conteúdo

à realidade do mercado, atestando que os

profissionais estão preparados para enfrentar

desafios atuais. Isso dá suporte à empresa

no atingimento de um de seus principais

objetivos: garantir melhores práticas no

setor. Também por esse motivo, seus exames

de certificação são elaborados com base na

norma mundial ISO 17024 (Credenciamento de

Certificação Pessoal), o que garante que essas

chancelas representem um trampolim para a

carreira não só no Brasil, como em qualquer

lugar no mundo.

A edição CAS-001 foi aposentada em junho

de 2015. Novidades da versão CAS-002, que

chegou mundialmente em janeiro de 2015,

incluem:

• Maior foco em tarefas práticas do

profissional em situações de resposta a

incidentes, em oposição a assuntos legais e

de política

• Mais perguntas baseadas em perfor-

mance, que trazem cenários práticos

• Maior cobertura de métodos e conceitos

de criptografia

• Ênfase maior em storage segura, com des-

taque para cloud computing e criptografia

• Mais peso para assuntos ligados a cloud

Unindo competências técnicas e gestão na

área de segurança da informação, a CASP é

indicada a profissionais de ambas as

especialidades.

Trabalhando em TI há dez anos, Marcos Vini-

cios Penha é consultor de projetos no setor

de segurança da informação. Sua trajetória

está muito ligada às chancelas: entrou na

empresa onde atua em 2010 sem certificação

e, após quase seis anos e quatro exames

CompTIA, entre outros, recebeu 260% de au-

mento ao todo. Uma das promoções ocorreu

na época em que conquistou a CASP, quando

passou de consultor pleno para sênior e seu

salário subiu 26%.

Penha estudou um mês intensamente para a

prova e comemora o reconhecimento profis-

sional atingido com o esforço. “Fui um dos

primeiros do Brasil a obtê-la. Isso e o fato de

ela ser vendor neutral, ou seja, não ligada a

nenhum fabricante, me ajudaram bastante”,

lembra.

Veterano do setor, Alexandre Gomes Pinheiro

tem mais de 20 anos de TIC, já atuou como

instrutor para provas de certificações e, atual-

mente, é diretor comercial de uma empresa,

onde trabalha com soluções de segurança

e infraestrutura. O profissional busca as

provas para se reciclar e, em 2015, teve um

ano intenso: conquistou quatro chancelas

CompTIA: Cloud Essentials, Security+, Cloud+

e CASP. E não parou: almeja a A+ por seu

perfil amplo e a CTT+, porque deseja retornar

às atividades de professor. “O dinamismo da

área de TI exige que os profissionais estejam

constantemente se atualizando. Acredito

que as certificações são excelentes ferra-

mentas para esse propósito, pois propiciam a

atualização ao mesmo que tempo que criam

o desafio de aprovação no exame”, defende.

Para se preparar para a CASP, Pinheiro

revisou o conteúdo do exame usando livros

indicados pela CompTIA. “É uma prova bem

abrangente quanto aos domínios exigidos,

ao mesmo tempo que cobra questões técni-

cas bem elaboradas”, lembra.

Foi em 2001 que Wanderley Martins, que

atua em redes e infraestrutura, tirou sua

primeira certificação. “E desde de então vi

minha carreira decolar”, avalia. Após diversas

experiências profissionais, inclusive um ano

na Angola, ele vê na CASP e nas outras certifi-

cações CompTIA um modo de aprofundar a

experiência. “Acredito que, por serem reco-

nhecidas mundialmente, possam me ajudar

a conquistar uma carreira internacional mais

sólida”, diz.

Detentor da CompTIA Linux+, Security+, além

da CASP, o profissional ressalta a importância

das certificações com um relato pessoal. “Em

agosto de 2015, em meio à crise, fui disputa-

do por algumas empresas para um mesmo

processo porque o edital exigia três certifi-

cações específicas em um único profissional,

e eu atendia a tais requisitos. Numa mesma

semana cheguei a fazer seis entrevistas sem

saber do que se tratava”, lembra. Ele conse-

guiu uma vaga em uma multinacional como

especialista de segurança – nível sênior

graças aos seus esforços de estudo. “A CASP

foi crucial e de caráter eliminatório para essa

função”, afirmou.

Agora, com olho no avanço em data center,

cogita estudar para a CompTIA Server+ e a

Cloud+.

CompTIA Advanced Security Practitioner (CASP)

CAPÍTULO 4

CASP, indicada para profissionais de todos os níveis

11 CompTIA.org

CASP E SECURITY+: CERTIFICAÇÕES PARCEIRAS

Ao retratar o assunto SI com enfoques dife-

rentes, as provas CASP e Security+ entraram

juntas nos radares dos profissionais.

Penha, que possui ambas, avalia que a CASP

agrega um conhecimento de gestão mais

amplo do que a Security+, fazendo com que

elas se complementem.

Para o profissional, aqueles que conquis-

taram a Security+ deveriam, sim, buscar a

outra. “Eles se beneficiam com um conheci-

mento mais aprofundado e denso por meio

de um nível de exigência diferenciado”.

Pinheiro concorda, e avalia esse caminho

como “natural”.

Martins pontua que ambas trazem

benefícios distintos e têm versatilidade.

Ele não considera o percurso como regra,

mas avalia que ele é benéfico, “visto que

será considerado um profissional mais

completo e diferenciado, com certificações

de peso internacional”.

CompTIA Advanced Security Practitioner (CASP)

CAPÍTULO 5

Como obter a CASP

Agora que você entende melhor a importân-

cia de, no atual panorama de segurança de

informação, investir em capacitação técnica

e de gestão, veja como se tornar um profis-

sional certificado em CASP.

Você pode saber mais sobre a certificação e o

teste no site da CompTIA.

Atualmente, todos os materiais de estudo

disponíveis para CASP, produzidos por pouco

mais de quatro editoras, estão disponíveis

em inglês. É possível encontrá-los tanto no

formato digital quanto impresso.

Parceiros de treinamento da CompTIA ofere-

cem aulas preparatórias presenciais para o

exame da CASP. Estuda-se, também, a oferta

de cursos a distância.

Contate Leonard Wadewitz (lwadewitz@

comptia.org), do time CompTIA Brasil, para

obter informações completas sobre como se

preparar para o exame certificatório.

COMO AGENDAR

O agendamento da prova é realizado online

pelo portal CompTIA na PearsonVUE (http://

www.pearsonvue.com/comptia/). Para

acessar os serviços do website, primeiro você

deve criar a sua conta, localizar os centros

de testes oficiais da certificação e, então,

agendar a prova.

CAPÍTULO 6

Bibliografia

• CompTIA

• International Technology Adoption & Workforce Trends Study 2015 – CompTIA

https://www.comptia.org/resources/international-technology-adoption-workforce-trends

• Trends in Information Security Study 2015 – CompTIA

https://www.comptia.org/resources/trends-in-information-security-study

• 11º levantamento anual de Tendências de Segurança da Informação – CompTIA

https://www.comptia.org/resources/11th-annual-information-security-trends?c=85672

• Mercado de Cybersegurança – Projeção Global para 2020 – Markets and Markets

http://www.marketsandmarkets.com/PressReleases/cyber-security.asp

• ISTR - Relatório de Ameaças de Segurança na Internet – Symantec

www.symantec.com/security_response/publications/threatreport.jsp

• Guia salarial 2016 para profissionais de TI – Robert Half

https://www.roberthalf.com/sites/default/files/Media_Root/images/rht-pdfs/robert_half_

technology_2016_salary_guide.pdf

• Custo Global de Brecha de Dados - Instituto Ponemon

http://www-03.ibm.com/security/data-breach/

13 CompTIA.org

A CompTIA é a voz da indústria mundial de Tecnologia

da informação. Seus associados são empresas líderes

em inovação e profissionais responsáveis por maximizar

os benefícios gerados pelos investimentos feitos em

tecnologia, pelas empresas para as quais trabalham. A

CompTIA se dedica ao crescimento da indústria, através

de seus programas educacionais, pesquisasde mercado,

eventos setoriais para networking, certificação profissional

e militância em favor da categoria profissional.

Para mais informações visite CompTIA.org

Sobre a CompTIA

CompTIA Advanced Security Practitioner (CASP)

© 2016 CompTIA Properties, LLC, used under license by CompTIA Certifications, LLC. All rights reserved. All certification programs and education related to such programs are operated exclusively by CompTIA Certifications, LLC. CompTIA is a registered trademark of CompTIA Properties, LLC in the U.S. and internationally. Other brands and company names mentioned herein may be trademarks or service marks of CompTIA Properties, LLC or of their respective owners. Reproduction or dissemination prohibited without written consent of CompTIA Properties, LLC. Printed in the U.S. 02390-Jan2016

CompTIA Worldwide HeadquartersCompTIA Certifications3500 Lacey Road, Suite 100Downers Grove, Illinois 60515

630.678.8300

CompTIA.org