Hoje fiz a prova foundation da ITIL, passei com 92% de aproveitamento! :-)

Mais o que é a ITIL?

ITIL significa IT Infrastructure Library e pode ser definido como uma biblioteca de boas práticas para Gerenciamento de TI, ela foi criada pelo Governo Britânico em 1980 e atualmente está na versão 3.

Preparação:

Após pesquisar em muitas empresas de treinamento e verificar as opções entre curso presencial e e-learning, sem dúvida optei pelo e-learning, principalmente pelo custo. Fiz minha inscrição na TI Exames dia 26/06 e fiz a prova hoje – 07/07 - pela Prometric, exatos 11 dias. Devo aqui salientar que fiquei surpreso pela qualidade do ambiente e conteúdo a TI Exames.

O segredo (se é que existe segredo/novidade nisso), é estudar, praticar simulados, revisar pontos fracos, praticar simulados novamente e fazer a prova.

Não usei nenhum recurso adicional, as vezes material em excesso mais atrapalha do que ajuda!

Exame:

Tenho que admitir que o exame é fácil, não é tão difícil, basta você entender os conceitos e estar familiarizado com os processos.

Como era de se esperar, questões relacionadas a Gerenciamento de Mudança, Problemas e Incidentes dominaram a prova. Vi 2 questões sobre Gerenciamento Financeiro (fácil) e umas 3 de Continuidade de Serviços. Posso dizer que 30% das respostas estão na própria pergunta (tipo, veja bem, estão perguntando sobre Mudança, pra que você irá considerar Continuidade de Serviços?, e por aí vai). Outros 30% posso dizer que quem estudou já sabe a resposta sem ler as alternativas apresentadas, e o resto é pra quem realmente estudou e sabe diferenciar o joio do trigo (aqui vai uma manha que sempre uso, normalmente você desconsidera 2 alternativas pois elas não se encaixam nunca no contexto da pergunta, aí ficar mais fácil focar em apenas em responder quais das outras duas são certas.

O tempo dá e sobra, 60 minutos são mais do que necessários para responder e revisar o conteúdo, respondi tudo com 28 minutos e revisei tudo novamente em mais 13 minutos (MUITO IMPORTANTE: Teve duas questões que eu mudei a resposta pois provavelmente não li atentamente e no final da pergunta mudava todo o contexto. Também mudei mais 3 questões que só Deus sabe se estava certo ou errado).

Sobre o exame estar em Português: peguei uns 3 erros que em NADA mudaria/prejudicaria o entendimento da questão.

E é isso!!! :P

Bom, fiquei sem escrever no blog por uns 2 anos… Após tirar a certificação CISA dei um tempo nos estudos… Até comecei a faculdade (Marketing – AnhembiMorumbi), mais parei logo após alguns meses.

Nesse meio tempo, terminei um lonnnggggoooooo namoro… comecei faculdade, comecei outro namoro, parei faculdade, fui promovido na empresa, fui mandado empresa do meu antigo emprego.. E agora comecei a estudar novamente para as certificações. Até me inscrevi no vestibular para esse próximo semestre. Tenho muitas coisas a serem realizadas nesse segundo semestre. Preciso correr atrás do prejuízo!

Amanhã espero postar alguma coisa relacionada a ITIL, que é o que eu tenho estudado nos útimos 10 dias.

É isso aí!

Vale a pena conferir o FAQ publicado pela Computerworld sobre PCI (Payment Card Industry).

Obrigado Apple por tornar o sonho de todo cracker tornar-se realidade! Agora os malwares/exploits podem ser portados para dispositivos móveis com a maior facilidade!!

Os desenvolvedores do MetaSploit adicionaram a feature para exploração de falhas no Iphone, agora ficou fácil... quase Touch and exploit!!! :-)

Veja aqui, aqui e aqui!

Hoje recebi o e-mail da ISACA confirmando que o processo de análise de documentação do CISA está completo e agora eu sou um CISA 100%! :-)

Parabéns pra eu!!! hehehe

Final do ano, especificamente em Dezembro estarei realizando a prova para a certificação CISSP (Certified Information Systems Security Professional), como parte do meu plano de estudos, a cada domínio do CBK (Commom Body Knowledge) vou escrevendo algumas notas que acho importante para a prova, fazendo um resumo do entendimento geral sobre cada termo/tecnologia/etc.

Decidi pegar meus rascunhos, organizá-los (tentar pelo menos) e disponibilizar na internet para que possa ser útil para quem está estudando (espero) e também para que demais pessoas interessadas contribuam com o documento afim de torná-lo melhor e também corrigir ou simplificar melhor minhas explanações. Isso também vai me ajudar no processo de estudo.

Então, aqui vai o primeiro documento referente ao domínio "Security Mangement Practices", aguardo críticas e sugestões. Importante dizer que o conteúdo está Português e tentei traduzir os termos da melhor forma possível, alguns definitivamente desisti de achar uma tradução plausível! :-)

Vou melhorando esse documento no dia-a-dia, acertando os erros e adicionando mais conteúdo.

Semana que vem espero postar as notas do domínio que estou estudando atualmente "Security Models and Architecture"

Você pode fazer o download aqui:

Eu acho muito interessante essa parte de pesquisas de segurança na área de VoIP, principalmente porque hoje as empresas tem implantado muito essa tecnologia e como sempre, - e isso não é uma novidade - tem esquecido da parte de segurança e o risco que essa convergência de tecnologias pode causar para seu negócio. E cada vez mais vemos falhas e mais falhas em equipamentos de telefonica IP aparecerem nos dispositivos mais populares.

Pois bem, hoje recebi o release de uma ferramenta chamada VoIP Hopper, essa ferramenta basicamente explora uma fragilidade em redes LANs mal configuradas usando uma metodologia de ataque de vlan hopping, onde você consegue incluir um determinado host em uma vlan diferente da qual ele pertence, conseguindo assim se comunicar com hosts de diferentes vlans.

Tudo bem, a ferramenta nada mais é do que um script automatizando os passos de um ataque desse tipo: joga pacotes na rede pra ver quem responde, busca um switch por exemplo, escuta tráfego de vlans, se o CDP estiver habilitado, bingo é cisco é só ir atrás do VVID (Voice Vlan ID), cria uma interface virtual, configura as informações de rede e coloca essa interface na vlan desejada. Antes tinha que compilar suporte pra 802.1q no linux, dhcp server, agora tá tudo muito fácil com essa ferramenta! Baixa que ela se encarrega de tudo. Que medo!

Viu como está fácil agora? Aquele atendente de call center agora pode baixar na internet a distribuição no vmware na máquina dele, rodar no VMware player e brincar na rede de toda a corporação... ok forcei demais... :-(

Aí você pergunta, mais aonde está o risco já que ele já tem acesso a rede? Pois bem pense um pouco... lembra daquela empresa moderna que você foi recentemente e viu escrito IP Phone na sala de reunião? Ou aquela linda recepção quando você esperava 2 horas pra ser atendido sentadinho naquela poltrona melhor que o sofá da sua casa e vê do seu lado um, um, um, um o quê? IP PHONE! Sim daqueles tipo UCT do Jack Bauer! :-) Pois bem, ali está o risco quando não administrado e testado corretamente esses terminais podem representar, qualquer pessoa com um laptop poderia plugar o cabo ali e começaria brincar na sua rede, AGORA, em questão de minutos com o VoIP Hopper.

Infelizmente minha empresa não tem terminais VoIP ainda, portanto não posso testar, estamos em processo de estudos de viabilidade pra ter os aparelhos igual da CTU do Jack Bauer, já disse que o meu quero com o mesmo toque! :-)

Aqui vai um excelente paper da Cisco de como configurar seus produtos para evitar esse tipo de ataque.

Nessa segunda parte vou falar da preparação para a certificação em si e prova.

Meu plano de estudo foi o seguinte:

Tempo: 3 meses de estudo

% do dia dedicado aos estudos: Não fiquei naquela paranóia de vou estudar 2 horas por dia, quando dava lia umas 10-15 páginas por dia, porém dava uma atenção especial nos finais de semana, que estudava por 5 horas no sábado e domingo, então diria que na semana estudava por cerca de 15-17 horas.

Comecei lendo o CRM 2006 (CISA Review Manual) enquanto não chegava o meu CRM 2007 e o Practice Questions Database. E assim que terminava cada domínio fazia uma penca de simulados voltados ao domínio.

Li o CRM 2007 duas vezes e voltei apenas para sanar dúvidas de questões que errei no simulado.

Os domínios de estudo:

Como em outros exames, a ISACA dividiu os domínios de estudo do CISA em 6:

Você irá encontrar um overview de cada domínio nessa página do ISACA.

Como você pode ver, o domínio 5 é o mais exigido na prova, uma atenção especial deve ser dado a ele.

Cada ano que passa a ISACA publica uma nova versão do book CRM, com melhorias na parte de conteúdo bem como na parte estrutural, sendo assim o mais indicado é sempre comprar o CRM do ano corrente, eu sinceramente não vi muitas modificações de um para o outro, vi pessoas que estudaram pelo CRM 2006 e passaram na prova desse ano.

Na parte de simulados, vale aqui ressaltar o engine do novo programa de simulados da ISACA, ele é bem interesse pois age como um instrutor, você configura a data do seu exame e ele automaticamente vai te guiando nos seus estudos focando no que você está errando, você pode acompanhar tudo por relatórios que ficam armazenados no sistema. Obviamente tem a opção manual para você coordenar seus próprios estudos.

O banco de dados tem 800 e poucas questões, eu fiz mais ou menos umas 3 vezes o banco de dados inteiro, ou seja, quase 2400 questões.

A prova:

O tempo de 4 horas para as 200 questões dá e sobra, porém é uma questão de familiaridade de conceito, terminei minha prova faltando 10 minutos para o final sem correria, dava pra ter ido mais rápido, porém para que correr? :-)

A familiaridade com as questões devo ao banco de dados de simulados, não espere por questões na prova que você viu nos simulados, até tem... mais dá pra contar nos dedos de uma mão.

A minha dica é, faça simulados, faça simulados e faça simulados e depois faça simulados! :-)

Para quem é de TI vai a dica, a prova é traiçoeira com quem está no dia-a-dia na operação, portanto, pense como um auditor e nas respostas procure embasamento de auditor, você verá isso nos simulados e se deixar para o dia da prova acho que você pode se dar mal! :-) Tô engraçado hoje! haha

Outros Recursos:

Assino até hoje duas listas excelentes focadas na obtenção da certificação CISA uma é a CISAForum e outra é a CISA-Study não se acanhe com a quantidade de Indianos por lá, os caras vão dominar o mercado de TI! :-)

Tem alguns Brasileiros por lá como eu e outros, entrem em contato comigo caso queiram conhecer os demais.

Outro recurso interessante existe no site CCCURE, aqui você pode encontrar uma série de notas do exame por pessoas mais didática e saco do que eu pra escrever sobre a prova. (é necessário se registrar/logar no site antes para ter acesso a URL) Lá você vai encontrar uma série de informações sobre reviews de livros também.

É necessário outro livro que não seja o CRM 2007? Pra passar na prova não! Pra se tornar um auditor é outros 500... até porque a prova não prova que você é um auditor só porque tem auditor no meio do nome, é apenas um atestado de proficiência dos requerimentos listados.

Dúvidas, estou a disposição pra ser contactado por este blog!

Na última parte (III) falarei do pós prova, requerimentos para obtenção do certificado final (é lindão, tem que comprovar 5 anos de experiência) e preenchimento da papelada e sobre CPEs.

Para suportar o grande crescimento do mercado demandando profissionais cada vez mais especializados em governança de TI a ISACA lançou uma nova certificação no mercado denominada CGEIT - Certified in the Governance of Enterprise IT -. Essa é uma certificação focada em "provar" skills nas cinco áreas da governança de TI: alinhamento estratégico, gerenciamento de recursos, gerenciamento de risco, monitoramento/medição de performance e "entrega de valor" (value delivery).

A certificação requer do profissional 5 anos de experiência em suportar a governança de TI em grandes empresas, além de obviamente, passar na prova.

O exame está disponível apenas em Dezembro de 2008, maiores informações podem ser consultadas aqui.