Hoje recebi o e-mail da ISACA confirmando que o processo de análise de documentação do CISA está completo e agora eu sou um CISA 100%! :-)

Parabéns pra eu!!! hehehe

Final do ano, especificamente em Dezembro estarei realizando a prova para a certificação CISSP (Certified Information Systems Security Professional), como parte do meu plano de estudos, a cada domínio do CBK (Commom Body Knowledge) vou escrevendo algumas notas que acho importante para a prova, fazendo um resumo do entendimento geral sobre cada termo/tecnologia/etc.

Decidi pegar meus rascunhos, organizá-los (tentar pelo menos) e disponibilizar na internet para que possa ser útil para quem está estudando (espero) e também para que demais pessoas interessadas contribuam com o documento afim de torná-lo melhor e também corrigir ou simplificar melhor minhas explanações. Isso também vai me ajudar no processo de estudo.

Então, aqui vai o primeiro documento referente ao domínio "Security Mangement Practices", aguardo críticas e sugestões. Importante dizer que o conteúdo está Português e tentei traduzir os termos da melhor forma possível, alguns definitivamente desisti de achar uma tradução plausível! :-)

Vou melhorando esse documento no dia-a-dia, acertando os erros e adicionando mais conteúdo.

Semana que vem espero postar as notas do domínio que estou estudando atualmente "Security Models and Architecture"

Você pode fazer o download aqui:

testando...

--
Lindolfo Alves
http://alvesl.spaces.live.com

Eu acho muito interessante essa parte de pesquisas de segurança na área de VoIP, principalmente porque hoje as empresas tem implantado muito essa tecnologia e como sempre, - e isso não é uma novidade - tem esquecido da parte de segurança e o risco que essa convergência de tecnologias pode causar para seu negócio. E cada vez mais vemos falhas e mais falhas em equipamentos de telefonica IP aparecerem nos dispositivos mais populares.

Pois bem, hoje recebi o release de uma ferramenta chamada VoIP Hopper, essa ferramenta basicamente explora uma fragilidade em redes LANs mal configuradas usando uma metodologia de ataque de vlan hopping, onde você consegue incluir um determinado host em uma vlan diferente da qual ele pertence, conseguindo assim se comunicar com hosts de diferentes vlans.

Tudo bem, a ferramenta nada mais é do que um script automatizando os passos de um ataque desse tipo: joga pacotes na rede pra ver quem responde, busca um switch por exemplo, escuta tráfego de vlans, se o CDP estiver habilitado, bingo é cisco é só ir atrás do VVID (Voice Vlan ID), cria uma interface virtual, configura as informações de rede e coloca essa interface na vlan desejada. Antes tinha que compilar suporte pra 802.1q no linux, dhcp server, agora tá tudo muito fácil com essa ferramenta! Baixa que ela se encarrega de tudo. Que medo!

Viu como está fácil agora? Aquele atendente de call center agora pode baixar na internet a distribuição no vmware na máquina dele, rodar no VMware player e brincar na rede de toda a corporação... ok forcei demais... :-(

Aí você pergunta, mais aonde está o risco já que ele já tem acesso a rede? Pois bem pense um pouco... lembra daquela empresa moderna que você foi recentemente e viu escrito IP Phone na sala de reunião? Ou aquela linda recepção quando você esperava 2 horas pra ser atendido sentadinho naquela poltrona melhor que o sofá da sua casa e vê do seu lado um, um, um, um o quê? IP PHONE! Sim daqueles tipo UCT do Jack Bauer! :-) Pois bem, ali está o risco quando não administrado e testado corretamente esses terminais podem representar, qualquer pessoa com um laptop poderia plugar o cabo ali e começaria brincar na sua rede, AGORA, em questão de minutos com o VoIP Hopper.

Infelizmente minha empresa não tem terminais VoIP ainda, portanto não posso testar, estamos em processo de estudos de viabilidade pra ter os aparelhos igual da CTU do Jack Bauer, já disse que o meu quero com o mesmo toque! :-)

Aqui vai um excelente paper da Cisco de como configurar seus produtos para evitar esse tipo de ataque.

 

 

Nessa segunda parte vou falar da preparação para a certificação em si e prova.

Meu plano de estudo foi o seguinte:

Tempo: 3 meses de estudo

% do dia dedicado aos estudos: Não fiquei naquela paranóia de vou estudar 2 horas por dia, quando dava lia umas 10-15 páginas por dia, porém dava uma atenção especial nos finais de semana, que estudava por 5 horas no sábado e domingo, então diria que na semana estudava por cerca de 15-17 horas.

Comecei lendo o CRM 2006 (CISA Review Manual) enquanto não chegava o meu CRM 2007 e o Practice Questions Database. E assim que terminava cada domínio fazia uma penca de simulados voltados ao domínio.

Li o CRM 2007 duas vezes e voltei apenas para sanar dúvidas de questões que errei no simulado.

 

Os domínios de estudo:

Como em outros exames, a ISACA dividiu os domínios de estudo do CISA em 6:

 

Domain	% of the Exam
1  IS Audit Process	10
2  IT Governance	15
3  Systems and Infrastructure Lifecycle Management	16
4  IT Service Delivery and Support	14
5  Protection of Information Assets	31
6  Business Continuity and Disaster Recovery	14

Você irá encontrar um overview de cada domínio nessa página do ISACA.

Como você pode ver, o domínio 5 é o mais exigido na prova, uma atenção especial deve ser dado a ele.

Cada ano que passa a ISACA publica uma nova versão do book CRM, com melhorias na parte de conteúdo bem como na parte estrutural, sendo assim o mais indicado é sempre comprar o CRM do ano corrente, eu sinceramente não vi muitas modificações de um para o outro, vi pessoas que estudaram pelo CRM 2006 e passaram na prova desse ano.

Na parte de simulados, vale aqui ressaltar o engine do novo programa de simulados da ISACA, ele é bem interesse pois age como um instrutor, você configura a data do seu exame e ele automaticamente vai te guiando nos seus estudos focando no que você está errando, você pode acompanhar tudo por relatórios que ficam armazenados no sistema. Obviamente tem a opção manual para você coordenar seus próprios estudos.

O banco de dados tem 800 e poucas questões, eu fiz mais ou menos umas 3 vezes o banco de dados inteiro, ou seja, quase 2400 questões.

 

A prova:

O tempo de 4 horas para as 200 questões dá e sobra, porém é uma questão de familiaridade de conceito, terminei minha prova faltando 10 minutos para o final sem correria, dava pra ter ido mais rápido, porém para que correr? :-)

A familiaridade com as questões devo ao banco de dados de simulados, não espere por questões na prova que você viu nos simulados, até tem... mais dá pra contar nos dedos de uma mão.

A minha dica é, faça simulados, faça simulados e faça simulados e depois faça simulados! :-)

Para quem é de TI vai a dica, a prova é traiçoeira com quem está no dia-a-dia na operação, portanto, pense como um auditor e nas respostas procure embasamento de auditor, você verá isso nos simulados e se deixar para o dia da prova acho que você pode se dar mal! :-) Tô engraçado hoje! haha

 

Outros Recursos:

Assino até hoje duas listas excelentes focadas na obtenção da certificação CISA uma é a CISAForum e outra é a CISA-Study não se acanhe com a quantidade de Indianos por lá, os caras vão dominar o mercado de TI! :-)

Tem alguns Brasileiros por lá como eu e outros, entrem em contato comigo caso queiram conhecer os demais.

Outro recurso interessante existe no site CCCURE, aqui você pode encontrar uma série de notas do exame por pessoas mais didática e saco do que eu pra escrever sobre a prova. (é necessário se registrar/logar no site antes para ter acesso a URL) Lá você vai encontrar uma série de informações sobre reviews de livros também.

É necessário outro livro que não seja o CRM 2007? Pra passar na prova não! Pra se tornar um auditor é outros 500... até porque a prova não prova que você é um auditor só porque tem auditor no meio do nome, é apenas um atestado de proficiência dos requerimentos listados.

Dúvidas, estou a disposição pra ser contactado por este blog!

Na última parte (III) falarei do pós prova, requerimentos para obtenção do certificado final (é lindão, tem que comprovar 5 anos de experiência) e preenchimento da papelada e sobre CPEs.

Para suportar o grande crescimento do mercado demandando profissionais cada vez mais especializados em governança de TI a ISACA lançou uma nova certificação no mercado denominada CGEIT - Certified in the Governance of Enterprise IT -. Essa é uma certificação focada em "provar" skills nas cinco áreas da governança de TI: alinhamento estratégico, gerenciamento de recursos, gerenciamento de risco, monitoramento/medição de performance e "entrega de valor" (value delivery).

A certificação requer do profissional 5 anos de experiência em suportar a governança de TI em grandes empresas, além de obviamente, passar na prova.

O exame está disponível apenas em Dezembro de 2008, maiores informações podem ser consultadas aqui.

Está aberto para comentários o draft do guideline 800-28 v2 falando sobre Active Content e Mobile Code, resumidamente o documento descreve o que é active content (PDF, JavaScript, ActiveX, etc) e mobile content (Macros, scripts, etc), exemplica e explica a anatomia do funcionamento de uma conexão HTTP tanto do lado client como server.

O paper fala as fragilidades e ameaças oriundas desse tipo de tecnologia indicando algumas contra medidas para a diminuição do risco.

Bom, nada de muito novo, mais o paper ainda assim é interessante! Vamos esperar a versão final.

Quem quiser acessar, pode conferir o PDF aqui.

Quando troquei de trabalho cerca de 1 ano atrás, inicialmente trabalhei muito com Auditoria escrevendo políticas, procedimentos bem como implantando as mesmas para adequar os sistemas da empresa as políticas de nossos clientes, já que somos constantemente auditados.

Já tinha tido contato com auditorias em outros carnavais, porém mais focado em adequação, hands on mesmo, sendo assim resolvi estudar para a certificação CISA, primeiramente para me aprofundar nos processos de auditoria em si e depois na certificação.

Fui pesquisando a trilha para início de estudos, com a ajuda de um colega CISA que me deu dicas importantes para a preparação de estudos, comprei o CRM 2007 (CISA Review Manual) e o CISA Practice Questions Database 2007.

Estava esperando o treinamento preparatório para a certificação, porém não teve quórum suficiente que me pegou de surpresa pois comecei a estudar 3 meses antes para a prova contando com o treinamento. Não teve o que fazer, quando eu fiquei sabendo disso a única coisa a ser feita era apertar o passo e dedicar mais ao estudo. E assim foi, li CRM 2 vezes e pelas minhas contas fiz mais ou menos três mil questões do practice questions, sendo que o total de questões eram cerca de 900.

Acho que não tem outra fórmula para estudo, é questão de foco, disciplina e objetivo! Junta esses três itens e o resultado será compensador.

Em Junho na prova, estava tranquilo, nada de insônia, tinha pensado comigo mesmo, se eu não passar é porque não estudei o suficiente e ponto! Não é um exame de certificação com 200 questões com 4 horas pra responder que vai provar que sou melhor ou pior, sei do meu valor, e como costumo dizer pros colegas: vamo pras cabeça!

No dia da prova acordei, dirigindo meu carro a caminho do local de realização, tenho que pegar a Marginal Pinheiros e sempre ali antes da Ponte dos Bandeirantes eu tenho que me decidir qual o melhor caminho a fazer (trabalho na Marginal Pinheiros pouco antes do Shopping Vila Lobos) ou fico na expressa que quase sempre para na virada antes da Daslu ou pego a local que tem um fluxo maior porém anda sem problemas, digamos que é uma análise de risco diária que faço pra ganhar preciosos minutos :-)

Pois bem, decidi continuar na expressa, pesava a favor dela um sábado, 07hrs. da manhã tráfego antes da curva zero... BINGO!!! passei a curva tudo parado, a partir dali não tem como pegar a expressa... nisso enquanto dirigia em slow motion pensei, acho que hoje não é meu dia, se eu tomar as decisões na prova e forem erradas igual essa decisão de agora estou frito... ótimo pensamento pra quem ia começar a pouco em pouco mais de 1 hora.

Cheguei dei Good Morning pro proctor que mais parecia com o Rabino Henry Sobel (aquele que foi preso roubando gravata), fiquei atento as instruções, muito chato preencher aquele form de prova...

Achei a prova bem difícil, pra mim tinham sempre 2 questões certas... pouquissimas questões do simulado, dava pra contar nos dedos de uma mão, pouco tempo pra responder, 1 minuto e 20 segundos por questão, terminei a prova (inclusive passando as respostas para o livro de respostas) faltando 10 minutos para o término. Tinha um cara que entregou a prova com 2 horas, falei comigo, esse é o Jack Bauer :-)

A espera do resultado é sacrificante, mais depois de 3 semanas já tinha até esquecido da prova... fiquei esperando por 8 semanas e finalmente o resultado chegou!! PQP passeiiiiiii, saí gritanto e batendo na mesa do escritório!

O resultado é confortante, passar é colher o fruto do que se plantou, não passar não é um demérito, é uma indicação de que seu plano foi adiado e a partir daquele NÃO começar a traçar um plano para corrigir os pontos e realizar a prova novamente é um erro grave, é jogar a toalha.

Bom, basicamente é isso, na próxima parte II vou postar mais sobre a prova em sim, os requerimentos e demais informações.

Oficiais americanos confirmaram que em meados de Junho a disponibilidade da rede do Pentágono foi comprometida por atacantes e que informações "não classificadas" foram capturadas pelos atacantes de uma rede que servia o secretário de defesa americano.

A casa branca montou um time de investigação com experts em segurança para investigar o ataque que inicialmente leva a crer ter vindo de um grupo Chinês "Peoples Liberation Army".

A informação vem do Financial Times

Esse mesmo grupo foi acusado de ter instalado Troajans na rede do governo Alemão....

Um recente relatório conduzido pela Sophos relata que quase 50% dos Malwares na internet estão hospedados na China, não vai demorar muito para alguns países começarem a boicotar a rede Chinesa, diversas listas negras de spam já bloqueiam TLDs vindos de lá.

As próximas guerras serão travadas no mundo ciberbético?? Não acho que serão, acho que já estão acontecendo, o próprio governo Americano disse publicamente que a China vem colhendo informações sobre redes e sistemas americanos há muito tempo, e que agora estão reconhecendo que a técnica que eles estão utilizando tem se aperfeiçoado dia após dia.

A Estónia acusou a Russia de ter orquestrado um ataque massivo as redes do governo daquele País.

E eu acho que é só o começo!

Bom, hoje fiz a prova do Cobit e passei! :-)

A prova é tranquilo, bem sossegada... é só entender os conceitos dos livros do Cobit, KPI, KGI, um review geral nos domínios e uma boa passada no DS2 e PO10.

Também fiz o review para a prova na WorldPass, recomendo!!