Site Meter Vale a pena ser CISSP? - Segurança na Microsoft - Site Home - TechNet Blogs

Segurança na Microsoft

Comentários e Análises sobre Segurança da Informação, por Fernando Cima

Vale a pena ser CISSP?

Vale a pena ser CISSP?

  • Comments 11
  • Likes

Tarde do último dia útil do ano, pouca movimentação no escritório, e André Fucs nos brinda com uma entrevista do conhecido Paulo T. Ele tira o chapéu para a Microsoft pela inovação em segurança (obrigado!), e en passant demonstra algum desprezo pela certificação CISSP, tida como a principal certificação no mercado para profissionais de segurança.

Curiosamente hoje vai completar um ano desde que eu deixei de ser CISSP. Nos três anos em que eu fui certificado continuei no emprego que já estava, ganhei as promoções que tinha que ganhar, trabalhei com quase uma centena de clientes diferentes, e em nenhum momento o fato de ter a certificação fez diferença. Na verdade, neste período nem uma única vez me perguntaram se eu era certificado (eu nunca usei "CISSP" como sobrenome). Depois dessa comprovação empírica da desimportância do certificado, resolvi economizar os US$ 85 anuais e a vida continuou exatamente como antes: continuaram sequer me perguntando se eu era certificado ou não.

Vale a pena então se certificar como CISSP? Na minha humilde opinião não vale. Meu principal argumento é que a certificação não vai te tornar um melhor profissional, que em última análise é o que vai mais impactar no seu sucesso. Falar inglês fluentemente te torna um melhor profissional. Conhecer a fundo uma disciplina ou tecnologia te torna um melhor profissional. Ter experiência em grandes projetos te torna um melhor profissional. Ser CISSP? Não.

A certificação também não vai te dar emprego garantido (se você estiver atrás disso, estude para um concurso público). Foi-se o tempo - na verdade é discutível que este tempo tenha existido - onde alguém certificado CISSP era considerado um "mosca branca", termo aliás que nunca vi ser usado fora de reportagens sobre certificação. Seus US$ 500 dolares e seu tempo provavelmente vão ser mais bem gastos em bons cursos, livros ou melhorando o seu inglês e espanhol.

(O Augusto comenta que valeu a pena o investimento por que o exame "forçou" ele a estudar e aprender coisas novas, argumento que eu acho um tanto fraco. Essa situação parece com a daquelas pessoas que fazem um financiamento ou um plano de capitalização por que não têm disciplina para poupar dinheiro sozinhas. Mas se ele ganhou algo de bom com isso, ótimo para ele!)

O melhor argumento que eu ouvi em prol da certificação CISSP é a de que ela ajuda o seu currículo a passar no filtro das áreas de RH. Acho que todos sabem como funciona isso: o RH de uma empresa abre uma posição para segurança da informação, e recebe até centenas de currículos. Para facilitar o trabalho, ela aplica a query SELECT CURRICULO WHERE CERTIFICATION LIKE '%CISSP%' e descarta o resto. Não acho no entanto que compense pagar US$ 500 e mais US$ 85 anuais para eventualmente passar por um filtro de RH, ainda mais com o mercado de ponta de segurança no país do tamanho que ele é. Uma boa formação me parece ser um melhor cartão de visitas. Mas como dizem os gringos, your mileage may vary.

 

Comments
  • Clap, Clap, Clap.. Cima, como sempre tiro o chapéu para ti!

    Abraços,

    P.T, PIS, PASEP, CIC, RG

  • Muito interessante as suas colocações.... Fiquei pensando nas demais certificações, mesmo fora da área de segurança, e considero que na maioria das situações a conclusão será a mesma: a certificação em si não agrega, o que importa é a competência.

  • Cima,

    Falar que uma certificação CISSP lhe acrescenta algo seria como dizer que um MCP me ajudaria. Para um profissional reconhecido, sempre elogiado e consultor do centro de excelência da Microsoft, realmente a certificação está implícita. Por outro lado alguns que criticam a certificação são pessoas mais limitadas, que preferem criticar o que não conhecem ou não conseguem ter.

    Minha vida também não mudou com o CISSP (ainda), e eu também não esperava que isso ocorresse pois assim como você não tinha planos de realocação.

    Na minha opinião o CBK divide muito bem os domínios da segurança, e se a pessoa estudar bem o material ela só tem a ganhar. A Certificação vem como um reconhecimento para este aprendizado, mas também não tem a intenção de ser um atestado de competência.

    Assim como um MCP não garante um emprego de analista sênior, o CISSP não garante uma posição como a sua, mas curiosamente todos os CISSP's que eu conheço são bons, ótimos ou excelentes profissionais.

    Assim como a grande maioria dos melhores administradores de redes começaram com um MCP, mostrando o interesse em aprender como a Microsoft prega que deve-se administrar uma rede, os profissionais de segurança mais envolvidos com as boas práticas procuram o CISSP ao invés de se dizer Super-Hacker ou tão bom que não precise comprovar isso.

    Não dá para depreciar as certificações pelo que ela representa para nós hoje, elas são um "milestone" em um caminho correto, que foi desenhado por pessoas qualificadas que acreditam que aquele é o conjunto de conhecimentos necessário para formar esta pessoas, elas não são o objetivo final de um profissional.

    Não nos esqueçamos de quem está no caminho ;-)

    Um abraço,

    Fernando Fonseca

  • Márcio, também acho que o que eu escrevi sobre o CISSP pode ser extrapolado para outras certificações. Na minha opinião o conceito de "certificação profissional" foi abusado demais e tem caído em prestígio no mercado.

    Claro que nem toda certificação custa US$ 500 + US$85 por ano, como também nem toda a certificação tem o reconhecimento do CISSP, portanto a relação custo x benefício vai variar de certificação para certificação.

  • Fernando, a minha impressão é que você está respondendo ao Paulo T. e não a mim.

    Eu não estou depreciando a certificação CISSP, e nem quero entrar no mérito se um CISSP é um bom ou mau profissional. O que eu me propus a fazer foi uma simples análise custo x benefício: vale a pena gastar tempo e dinheiro para ser CISSP? Ou este tempo e dinheiro seriam melhor empregados de outra forma?

    Minha opinião está firmemente na segunda opção, mas estou aberto a ser convencido do contrário.

  • Olá Fernando Cima,

    Acho que na verdade nós é que dispomos de pouco tempo x dinheiro, para investir numa área específica, uma vez que na maioria dos casos nós mesmos é que somos nossos próprios investidores.

    Investir numa carreira é sempre muito bom, mas quando podemos dispor de um valor tão alto como é o caso das Certificações, sejam Microsoft, CISSP, CISCO, ou outras.

    talvez a questão não seja em relação a investir tempo e dinheiro e sim como investir.

    Contudo considero qualquer Certificação de suma importância, mas a questão deve ser encarada com muito seriedade pois alguns profissionais certificados, não possuem o domínio prático em relação a área que se especilizaram ou se certificaram.

    Mesmo assim, acho que podemos juntar o útil (Certificação) ao agradável (Conhecimento prático).

    Um forte abraço!

    Alexandro Prado

  • Cima,

    Há uma década muitos dos profissionais de segurança que trabalham hoje em grandes consultorias estavam no final da adolescência e gastavam o dia todo aprendendo sobre shellcode e SQL/Command Injection (não é a toa que o Brasil é o campeão em número de script kiddies). Esse era, grosso modo, o caminho de um profissional de segurança.

    Hoje, porém, o caminho para se tornar um profissional de segurança está muito mais explícito e compreendido através de materiais como o CBK. Como o Fonseca falou, o CBK pode ser um norte para quem antes estava perdido no mundo da cena scripit kiddie ou para um administrador de rede ou programador que não sabia por onde começar (deveria estudar criptografia, aprender a configurar firewalls, ou o que?)

    Você acha que o tempo empreendido em compreender o CBK não vale a pena (independente da certificação e de alguns exageros de decoreba)?

    O que você recomenda como material de estudo para pessoas que estão começando e desejam obter uma visão geral da segurança da informação?

  • Caro Joao T.,

    Eu também acho que o CBK é um excelente roteiro para quem quer se tornar um profissional da área. O ISC2 fez um bom trabalho compilando todo o básico que um profissional de segurança precisa saber.

    Se depois vale a pena você pagar para fazer a prova de CISSP, esta é a meu ver uma outra discussão.

    Existe muito material de estudo muito bom disponível hoje e é dificil fazer uma lista sem cometer injustiças. Eu posso citar no entanto o livro que eu mais usei (e uso até hoje): o "Fundamentals of Computer Security Technology", do Edward Amoroso. Se eu ensinasse segurança da informação em uma universidade provavelmente esse ainda seria o livro que eu iria adotar.

    Abracos,

    - Fernando Cima

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment