Como conseguir seu primeiro trabalho em segurança da informação

Artigo original: How to Get Your First Job in InfoSec

Conseguir seu primeiro emprego em segurança da informação (infosec, segurança cibernética, ou cybersecurity) pode ser difícil.

É (ainda) uma área relativamente nova. As funções e descrições de trabalho nem sempre são consistentes. Pode ser difícil descobrir por onde começar, quais habilidades você precisa e como pode adquiri-las.

Além disso, existem muitas estatísticas que falam sobre quantos empregos existem na segurança cibernética. Isso faz parecer muito fácil conseguir um emprego sem nenhuma experiência.

A questão é que muitas dessas estatísticas não levam em conta o fato de que muitas dessas vagas de emprego abertas são para cargos mais altos. Pode ser muito difícil encontrar uma função júnior, especialmente para quem não tem experiência.

Então, por onde você começa e como pode mostrar que tem experiência para ser excelente no trabalho?

Descubra em que parte da segurança cibernética você gostaria de trabalhar

Ao contrário do que os filmes costumam mostrar, a segurança cibernética é um grande campo e abrange muitos trabalhos além de hackear ativamente um mainframe.

Os trabalhos vão desde gerenciamento de riscos, conscientização para a segurança, testes de intrusão (red teaming – este é o hacking que a maioria das pessoas pensa, mas na verdade é uma porcentagem muito pequena dos empregos), análise (blue teaming) em centros de operações de segurança (SOC), arquitetura de segurança e muito mais.

Este é um ótimo lugar para começar a explorar diferentes carreiras. Este, também. Há muita sobreposição nos tipos de habilidades que você precisa desenvolver para a maioria dos empregos de nível básico, mas pode ser útil descobrir quais habilidades priorizar com base no que você está interessado.

Aqui está uma visão geral dos caminhos comuns de origens não técnicas para trabalhos em segurança cibernética (texto em inglês).

Decida o que faz você se interessar por segurança cibernética

De muitas maneiras, a segurança da informação pode ser uma indústria difícil. As horas costumam ser longas e, com frequência, espera-se que você passe um tempo fora do trabalho continuando a estudar e trabalhar em projetos (como blogs, podcasts ou laboratórios) ao longo de sua carreira.

As pessoas mais bem-sucedidas que conheço em todos os níveis estão aprendendo constantemente. Esse é o caso de muitos campos, mas vale a pena registrar isso quando falamos de segurança.

Isso ocorre principalmente porque, muitas vezes, ouço pessoas me dizerem que estão interessadas em entrar na área de segurança porque acham que pagará bem ou porque acham que parece atraente ou legal.

Essas coisas podem ser verdade, mas, muitas vezes, vêm com longas horas e longos períodos de tarefas muito enfadonhas, o que pode ser um desapontamento para as pessoas que esperam o tipo de hacking que você vê nos filmes. Vale a pena determinar se você está comprometido ou apaixonado o suficiente pelo assunto para continuar estudando ao longo de sua carreira.

Comece estudando

Como estamos pressupondo que você não tem nenhuma experiência (ou educação formal) em segurança, começaremos por aí. Idealmente, você precisa adquirir algum conhecimento e experiência nessas áreas técnicas:

• Rede (protocolos como DNS, TCP/IP e assim por diante)
• Programação (conceitos, scripts e assim por diante)
• Administração de sistemas (Windows/Linux/AD/e assim por diante)
• Aplicações (programas executados em servidores)

Antes de aprender a quebrar ou proteger algo, você precisa entender como isso funciona. Além disso, como profissional de segurança, você terá que trabalhar em estreita colaboração com engenheiros de rede/infraestrutura, desenvolvedores e administradores de sistema. Quanto mais você entender sobre o trabalho deles, mais capaz será de trabalhar com eles.

Existem várias maneiras diferentes de se obter esse conhecimento:

Programa de graduação universitária

Primeiro, se um programa de graduação for uma opção para você (sem ser muito caro), pode ser benéfico. Muitos empregadores e agências governamentais (pelo menos nos Estados Unidos) ainda exigem um diploma para considerar um candidato a emprego.

Embora os diplomas universitários de 4 anos possam ser proibitivos em termos de custo, as faculdades comunitárias podem ser uma opção mais econômica. O freeCodeCamp também está trabalhando em um programa de graduação acessível.

Além disso, a universidade reduz a necessidade de automotivação, já que outra pessoa está definindo seu currículo e testando você, o que pode ser muito útil!

Isso não quer dizer que você não possa conseguir um emprego (ou educação) sem um diploma – mas é um pouco mais difícil e o caminho é menos "direto".

Uma das maiores vantagens das universidades é que, lá, você tem mentores na forma de seus professores e assistentes de ensino, além de grupos de estudo – seus colegas. Além disso, os empregadores tentarão recrutar candidatos diretamente da universidade (geralmente, por meio de feiras de empregos dedicadas à universidades ou a estudantes universitários em geral organizadas por terceiros) e estão preparados para contratar para cargos de nível inicial.

Se você está seguindo um plano de estudo autodidata, precisa encontrar essas oportunidades por conta própria. Por outro lado, os diplomas são caros e podem levar muito tempo!

Se você optar pela rota de graduação, normalmente recomendo um diploma em ciência da computação. A ciência da computação é uma disciplina razoavelmente bem compreendida e ensina habilidades que são fáceis de serem testadas pelos entrevistadores (ela também oferece uma ampla gama de opções de carreira).

Os cursos de segurança cibernética são relativamente novos e variam em currículos. Alguns são essencialmente diplomas de ciência da computação com algumas aulas de segurança acrescentadas. Outros são diplomas baseados principalmente em risco, com um componente técnico relativamente pequeno (o que é ótimo, se você estiver procurando uma função sobre riscos, mas não se estiver procurando emprego como analista dos SOC ou testador de intrusão).

Dada a relativa novidade desses diplomas e a (pouca) familiaridade da maioria dos gerentes de contratação com eles, normalmente recomendo optar por um diploma de ciência da computação mais bem compreendido e padronizado.

Certificações em cibersegurança

Uma segunda opção são as certificações. Elas também podem mostrar que você possui algumas habilidades básicas, embora a importância delas e a qualidade delas dependam do gerente de contratação e da certificação. Eu, normalmente, aconselho o Security+ para pessoas que estão começando no mundo de segurança cibernética.

Eu também recomendo que as pessoas geralmente evitem as certificações do EC-Council. O que você provavelmente verá sendo recomendado é o CEH (Certified Ethical Hacker ou, em português, Hacker Ético Certificado). Eu, no entanto, não recomendo, porque não é uma certificação técnica muito respeitada para testes de intrusão e porque, nos últimos anos, algumas preocupações vêm surgindo sobre como o EC-Council (a organização que administra o exame) aborda o sexismo e o racismo dentro da segurança cibernética. Também há preocupação com a frequência com que eles atualizam as informações técnicas em seus exames.

Não sou um grande fã de nenhuma das certificações do EC-Council. Você pode ler meu guia completo para certificações de segurança da informação aqui (texto em inglês).

Bootcamps

Como alternativa, existem os treinamento especificamente voltados para ajudar as pessoas a conseguir empregos em segurança cibernética. Eles, normalmente, oferecem opções de horários flexíveis para assistir as aulas e de estrutura/currículo para aprendizado.

Eles têm a vantagem de serem, geralmente, muito mais baratos e mais curtos do que um curso de 4 anos, mas não são tão abrangentes e variam significativamente em qualidade.

As universidades comumente precisam ser credenciadas por um órgão governamental e não há governança semelhante para bootcamps. Eu não recomendo (nem recomendo evitar) bootcamps específicos, mas aconselho fazer uma pesquisa cuidadosa antes de se comprometer com um (ler resenhas, conversar com ex-alunos, perguntar qual é a taxa de colocação de emprego e assim por diante). Isso ajudará você a garantir o retorno do seu investimento.

Normalmente, os bootcamps funcionam melhor para pessoas motivadas e ansiosas para aprender. Eles fornecem a estrutura e dependem dos alunos para estudar e trabalhar muito fora da estrutura de sala de aula.

Estudo autodidata

Finalmente, há o autodidatismo! O benefício de estudar por conta própria é o fato de ser gratuito e você poder definir seu próprio horário. A desvantagem é que pode ser difícil definir seu currículo e aprender sozinho sem saber se você está perdendo as peças-chave. Determinar como definir um currículo é difícil.

Além disso, há uma imensidão de recursos de aprendizado de segurança cibernética por aí e pode ser difícil descobrir quais são de alta qualidade e quais você deve ignorar.

Por fim, o autodidatismo exige muita dedicação e responsabilidade. Pode ser muito fácil dar uma pausa nos estudos ou a vida atrapalhar.

Se você optar pelo autodidatismo, aqui estão alguns recursos para você começar:
Eu recomendaria o freeCodeCamp como primeira parada - é bem estruturado, claramente definido e há muito suporte ao longo do caminho.

Além disso, há muito menos estrutura – e a melhor maneira de aprender é escolher algo que você ache interessante, pesquisar e, quando não conseguir, começar a pesquisar no Google.

Algumas das pessoas mais inteligentes que conheci em segurança são pessoas que seguiram esse modelo: leram algo ou ouviram algo em uma reunião que não entenderam e pesquisaram no Google. Isso os levou a outra coisa que eles não entenderam, então eles pesquisaram isso no Google e assim por diante, em um ciclo sem fim.

Esse pode ser um processo frustrante, mas também é eficaz a longo prazo e dará a você um conhecimento profundo em vários domínios.
Aqui estão alguns links para recursos úteis:

• freeCodeCamp é um ótimo lugar para aprender a programar (e para se juntar a uma comunidade muito solidária para ajudá-lo em sua jornada!)
• Cybrary oferece vários cursos gratuitos e pagos, embora sejam muito focados na certificação. Usei a aula do CISSP como um dos meus recursos de estudo para esse exame e achei muito útil. Ela pode ser útil se você tiver uma certificação específica em mente (como a Sec+).
• Daniel Miessler tem uma lista de projetos sugeridos para serem concluídos aqui (serve como um bom minicurrículo para a construção de um laboratório doméstico para qualquer profissional de segurança)
• Um curso gratuito de segurança na web (teste de intrusão)

A parte mais importante aqui não é tanto que você estude coisas específicas. É melhor você definir metas (veja como fazer isso de modo eficaz) e cumpri-las.

Você precisará aprender como continuar aprendendo de maneira sustentável, sem se esgotar, porque aprender todos os itens acima leva tempo. Mesmo depois de conseguir um emprego em segurança, você estará aprendendo constantemente. Qualquer nova vulnerabilidade, exploração de brechas ou tecnologia significará ter de aprender algo novo para proteger efetivamente seus ativos e redes.

Participe de sua comunidade local

Conhecer pessoas em sua área que já trabalham na área cibernética pode ser extremamente benéfico. É uma ótima maneira de aprender novas habilidades, descobrir quem está contratando, encontrar um colega de estudo e fazer contatos profissionais.

Meetups são um ótimo lugar para começar, assim como grupos internacionais que possuem afiliados locais como BSides, DefCon, OWASP, WiCyS (Women in Cybersecurity), WoSEC (Women of Security), Cyversity, WISP (Women in Security and Privacy), Blacks in Cybersecurity e Women's Cyber Jutsu.

Muitos desses grupos também oferecem webinários gratuitos e opções de treinamento para pessoas (mesmo que você não se identifique com o grupo de afinidade que eles representam).

Depois de começar a ir aos eventos (e se apresentar para as pessoas que estão realizando o evento), tente se voluntariar para um! Os grupos comunitários estão quase sempre à procura de mais voluntários. Se você for dedicado, chegar na hora e ajudar, é provável que eles fiquem entusiasmados em tê-lo.

Depois de mostrar que você é um(a) voluntário(a) confiável que não tem medo de entrar e ajudar, veja se você pode participar de um comitê ou do conselho de um grupo (isso pode levar alguns meses). Isso ajudará você a fazer amigos e é uma ótima coisa para falar em uma entrevista de emprego (especialmente se você não tiver muita experiência de trabalho para falar).

Comece a verificar as conferências, pois são outra ótima maneira de conhecer pessoas em segurança cibernética e adquirir algumas habilidades adicionais.

O CFP Time e o Cybersecurity Conferences listam conferências de segurança em todo o mundo e são bons lugares para se começar a procurar eventos em sua área. Você não precisa ir aos caros (embora alguns dos grupos afiliados listados acima ofereçam bolsas de estudo para conferências, bem como suas próprias conferências, o que é uma ótima maneira de participar de graça ou com baixo custo). Muitos locais são razoavelmente baratos ou têm uma opção virtual gratuita/barata.

Vá e trate isso como uma oportunidade de aprendizado (não de festa). Faça anotações e inicie uma conversa com as pessoas que assistem às mesmas palestras (isso é um ótimo quebra-gelo!).

Se você realmente gostou de uma palestra, entre em contato com quem deu a palestra no LinkedIn ou no Twitter e diga o que você gostou na fala – seja específico(a). Agora, você tem assuntos para falar em uma entrevista de emprego!

Participe da comunidade global de segurança cibernética

Grande parte da comunidade de segurança está no Twitter, LinkedIn ou Mastodon. Ingressar nesses sites é uma ótima maneira de se conectar a ela.

Seguir pessoas e grupos que trabalham com segurança cibernética pode ser muito útil porque eles costumam postar sobre empregos para os quais estão contratando, aulas gratuitas, treinamentos, webinários e conferências, entre outras coisas.

Também pode ser útil começar a se envolver na conversa e tratá-la como uma oportunidade de networking.

Ler textos dos autores dos artigos de segurança cibernética do freeCodeCamp é uma ótima forma para começar. A partir daí, confira os autores dos blogs listados na seção de recursos abaixo, bem como seus seguidores e as pessoas que eles seguem. Essa é uma ótima maneira de encontrar empregos para os quais se candidatar, bem como obter conselhos sobre entrevistas ou se manter atualizado com as últimas vulnerabilidades e notícias de segurança cibernética (uma pergunta popular em entrevistas de emprego).

Comece a produzir conteúdo

Depois de começar a aprender, é hora de começar a criar conteúdo para mostrar o que você aprendeu. Você pode iniciar um podcast, dar uma palestra em uma conferência, escrever um blog, criar projetos no GitHub ou montar um laboratório doméstico.

O objetivo é apenas que você tenha algo a mostrar pelo aprendizado que está fazendo – que possa demonstrar o que aprendeu a um gerente de contratação.
Além disso, não precisa ser inovador. Muitas vezes, vejo as pessoas ficarem sem saber o que fazer. Eles acham que não são os maiores especialistas em C++, por exemplo, e por isso hesitam em criar qualquer conteúdo sobre o assunto.

No entanto, frequentemente, o simples fato de ter uma perspectiva única pode ser útil. Você pode, por exemplo, escrever (ou dar uma palestra sobre) "Uma introdução ao C++" e é provável que você alcance alguém que não está tão avançado em sua jornada em programação quanto você e que pode se beneficiar de sua experiência.

Essa é uma ótima maneira de adicionar conteúdo ao seu currículo, ajudar a comunidade e dar a você a chance de praticar habilidades como redação, comunicação com diferentes públicos e apresentações (todas elas são incrivelmente importantes na segurança da informação).

Escreva um ótimo currículo

Agora que você ganhou alguma experiência, é hora de montar um currículo. Você deve incluir todos os projetos que construiu, os grupos aos quais se juntou (e dos quais, agora, faz parte do quadro!) e as coisas que produziu. Você também deve incluir empregos anteriores com habilidades transferíveis.

Se você está se candidatando a um emprego em conscientização de segurança, você tem alguma experiência na criação de treinamentos não relacionados à segurança? Se você está se candidatando a um emprego como analista de SOC, pode destacar a experiência anterior na redação de relatórios diários?

Mesmo que nenhum de seus empregos anteriores tenha sido em funções de tecnologia, você provavelmente pode identificar habilidades ou responsabilidades semelhantes às do anúncio de emprego. Essas podem ser habilidades valiosas para destacar em um currículo ao se candidatar a empregos.

Você pode encontrar meu guia completo para escrever um currículo e uma carta de apresentação aqui, bem como minhas dicas sobre como procurar emprego (textos em inglês).

Finalmente, comece a se candidatar a empregos

Aproveite suas conexões de grupos e conferências presenciais, qualquer voluntariado que você tenha feito e suas conexões on-line.

Diga às pessoas que você está procurando funções de nível básico fazendo X e peça que pensem em você se souberem de oportunidades semelhantes.

Frequentemente, os recrutadores vão a eventos técnicos locais e você pode se conectar com eles sobre possíveis oportunidades de emprego lá. Use essas deixas, além de quadros de empregos on-line e feiras de empregos presenciais em conferências e comece a se candidatar!

Alguns outros conselhos sobre como começar na área de segurança, vindos de pessoas muito inteligentes (textos em inglês):

• Starting an InfoSec Career - Lesley Carhart
• Building a Successful InfoSec Career - Daniel Miessler
• Thinking of a Cybersecurity Career? Krebs on Security
• How to Break into Security - Charlie Miller
• How to Break into Security - Richard Bejtlich
• How to Break into Security - Jeremiah Grossman
• How to Break into Security - Bruce Schneier
• How to Break into Security - Thomas Ptacek

Obrigado pela leitura – e boa sorte!