Humildemente peço ao colega que explique porque há muito tempo devo ter um conceito errado sobre o que é ser profissional de cybersegurança. Pra mim sempre foi algo que abrange vários setores da TI(desde o atendimento telefônico da empresa até a finalização de um serviço ou produto, quer seja por cliente pj ou pf. Afinal de contas um analista de sistemas deve ter uma noção do que é cybersegurança empresarial pois todo o sistema da empresa no que diz respeito a TI, passa por suas mãos e deve ser elaborado de tal modo que não permita falhas óbvias de segurança. Sabe aquele software que detecta tentativas de invasão em tempo real? Achei que empresas de cyber segurança usassem ele justamente pra prevenir ataques via web em sites/servidores/redes intranet. E pentest é algo mais pontual(óbvio). Um hacker do bem tenta invadir com autorização um site/servidor ou rede com o objetivo de antecipar um ataque real e bloquear essa falha ou as falhas encontradas. Se eu estiver errado... Já sabe... compartilha seu conhecimento que eu amo aprender!

Silva97ano passado

Segurança da informação é uma área por si só e abrange mais do que T.I., abrange também segurança física (de prédios como datacenters, por exemplo), direito, psicologia e até o lado mais "comercial".

Cibersegurança é a parte da segurança da informação que está dentro de T.I., e não é uma coisa só. Ela é dividida em várias subáreas e várias profissões diferentes. Para citar algumas:

  • CSIRT
  • DFIR
  • SOC
  • Análise de malware
  • Pesquisa de segurança
  • Pentest
  • AppSec
  • DevSecOps
  • Cloud security
  • Red team
  • Blue team
  • Purple team
  • Cyber Threat Intelligence
  • etc.

É uma área séria, bem organizada, com várias profissões diferentes. E ninguém paga freelancer para fazer esse tipo de atividade. Ninguém quer qualquer um fazendo um trabalho de alto nível de importância como esse. Segurança é coisa séria.

É o mesmo que tu contratar um guarda-costas freelancer. Você confiaria sua vida à um estranho aleatório qualquer que você achou em um anúncio na internet?

A área de segurança é muito baseada na confiança, isso é muito importante. Por isso é impossível uma empresa séria pagar "freelancer" para fazer algum trabalho de segurança. Só se for uma empresa muito pequena onde o cara que toca a empresa não entende nada de nada e se deixou levar pela lábia do "freelancer".

Ah, e dica: existem várias profissões na área de segurança e NENHUMA delas se chama "hacker do bem" nem nada com "hacker" no nome.

É importante distinguir marketing de realidade. Tem uma certa certificação aí (C|EH) que popularizou o termo "ethical hacker" (e o resto é derivação deste) na área de segurança mas isso é viagem total.

Hacking e segurança não é a mesma coisa. Só porque a pessoa trabalha na área de segurança não quer dizer que seja "hacker", essa é uma visão completamente distorcida do termo.

Sugiro a leitura deste "How to", que reflete bem o significado correto do termo: http://www.catb.org/~esr/faqs/hacker-howto.html

Pessoal distorce muito o signficado de "hacker", principalmente no Brasil.

vitorcrdiasano passado
Tudo bem todo esse papo de seriedade, confiança e contrato... Mas não soa um tanto preconceituoso achar que uma pessoa freelancer não tem a competência/honestidade e comprometimento para executar uma tarefa? Eu mesmo, apesar de entender de programação Java, Python, C#, diagramação, levantamento de requisitos e desenvolvimento Full Stack não ofereceria serviço em nada que eu realmente não fosse capaz de dominar 100%. Justamente por isso estou desempregado, fiquei obsoleto após passar por dificuldades pessoais e não poder evoluir dentro da TI.
Silva97ano passado
> Mas não soa um tanto preconceituoso achar que uma pessoa freelancer não tem a competência/honestidade e comprometimento para executar uma tarefa? Eu não disse nada sequer parecido com isso. Imagina um estranho que você nunca viu na vida se oferecendo para carregar suas compras até sua casa. Você deixaria ele te seguir até sua casa? Você confiaria em um estranho que você nem sequer sabe o nome? Seria "preconceito" não confiar? A questão da confiança é sobre você conhecer a pessoa, e não sobre ela ser honesta ou não. Não tá escrito na testa das pessoas se elas são honestas ou não, não dá para adivinhar. Mas além dessa questão de confiança: não se contrata "freelancer" para fazer trabalho de segurança, ponto. Não é por preconceito mas sim porque exige um comprometimento constante com a segurança da informação. Não é como em desenvolvimento que tu pode contratar um freelancer pra fazer uma tarefa X ou corrigir um bug Y. Em segurança da informação o trabalho é constante, não há margem para trabalho freelance. E mesmo trabalhos como o de pentest ou coisa do tipo, não é o tipo de trabalho que se contrata como freelance mas sim como prestação de serviço. Pentest é um serviço sério e **caro**, não dá para contratar qualquer um. Só para você ter uma noção, a média de um pentest varia de R\$ 300,00 à R\$ 600,00 **por hora**. Um Pentest, dos **mais baratos**, vai custar cerca de 15 mil reais. Isso lhe parece o valor de um "freelance"? Lhe parece ser o tipo de trabalho que dá para se pagar sem um contrato e termo de confidencialidade? As pessoas confiam em freelance quando o pagamento é baixo, valor alto assim ninguém vai contratar freelancer não. Vai contratar empresa, prestadora de serviço, que vai ter advogado, criar contratos, termos de confidencialidade etc. Tudo dentro da lei. Não existe "bico" na área de segurança, bro. Profissional de segurança é caro.
vitorcrdiasano passado
Quanto a história de confiança, acho que fui muito radical... rsrsrs Até porque nenhum funcionário precisaria assinar acordos de confidencialidade se fossem confiáveis. Agora quanto a freelance na área eu tenho que discordar em partes... o que mais vejo na internet é analistas de segurançada informação formados se oferecendo pra fazer freelance em projetos ou empresas buscando esses tais... Acho que a questão nesse sentido é a qualidade da mão de obra e o valor em relação ao país onde o projeto está implantado ou vai ser implantado. Acredito que plataformas web especialistas em oferecer uma ponte entre mão de obra qualificada e empresas solicitantes discordariam de você... Pois certamente eles fazem teste de conhecimento específico e dão certificado atestando suas habilidades que podem ser endossadas por outros que talvez tenham conhecimento de você e do teu trabalho, como antigos colegas de equipe ou ex-professores(graduação, pós ou tecnólogo).
Silva97ano passado
Cara, o que pessoas falam ou fazem na internet não é uma boa métrica para definir como a área funciona. Não existe freelance na área de segurança, ponto final. Não importa o que te disseram ou o que você viu, essa é a realidade e você tem a opção de aceitá-la ou continuar com sua crença. Na melhor das hipóteses, provavelmente você tá confundindo prestação de serviço com freelance. Que não é a mesma coisa. Na pior das hipóteses você simplesmente conheceu gente desesperada para entrar na área, que não faz a menor ideia como ela funciona e tentou atirar para todo lado. Entenda, colega: na área de segurança não tem tarefinha ou bugzinho para ser resolvido de maneira pontual por um freelancer. Segurança exige análise, análise exige (muito) tempo e conhecimentos internos do projeto. Primeiro que as empresas não querem esse conhecimento com qualquer freelancer aleatório na internet, por motivos óbvios. Segundo que obter esse conhecimento pode levar meses. Quem diabos esperaria 3 meses para um freelancer concluir sua única tarefa pontual? Eu já disse, bro. Segurança não funciona como desenvolvimento. Não vai ter uma tarefa no JIRA que vão pagar um freelancer para fazer, não é assim que funciona. Já que você não trabalha na área e não sabe como a área funciona, então no mínimo você deveria ter **dúvida** sobre a sua atual crença sobre o assunto. E um detalhe importante: a pessoa ser formada não significa que ela sabe o que está falando/fazendo. Principalmente formação em segurança da informação onde você **não** aprende sobre segurança lá. Uma Ciência da Computação é muito mais útil para este fim do que a faculdade que supostamente é "focada" neste assunto. Isso porque faculdade de segurança da informação é voltada para cargos de gestão, então você não vai aprender um conhecimento técnico sério. É tudo muito superficial.
vitorcrdiasano passado
Obrigado por compartilhar conosco. Eu insisti porque notei que você domina o assunto e queria que você reforçasse seu ponto de vista para deixar bem claro para as pessoas leigas no assunto ou iniciantes que vivem confundindo as coisas... Abraço.