Conhecimento técnico é o maior desafio na carreira

Levantamento feito pelo Instituto DARYUS de Ensino Superior Paulista – IDESP, escola de negócios referência em continuidade de negócios e cibersegurança, mostra que para 34% dos profissionais que executam pentest, o conhecimento técnico é o maior desafio na carreira, pois novas tecnologias surgem o tempo todo. Já para 28%, realizar apresentações dos resultados para os executivos é complexo e moroso, outros 22%, apontaram a falta de uma metodologia prática e eficiente para desenvolver as atividades mais técnicas, e para apenas 16%, escrever relatórios técnicos para o cliente de forma clara e objetiva é o desafio principal.

A carreira de pentester (penetration tester), testador de penetração/invasão, ou mais conhecido como “hacker do bem”, tem como objetivo conduzir testes de segurança em infraestruturas tecnológicas, cibersegurança e softwares, para prevenir invasões, exposições de dados ou interrupções de negócio. O foco é identificar as vulnerabilidades técnicas e brechas que poderiam permitir à um hacker invadir, acessar, furtar ou interromper serviços tecnológicos que suportam o negócio. Equipes de gestão de segurança da informação ou de cibersegurança atualmente contam com alguns desses profissionais para poder diagnosticar, antecipar e apoiar na estratégia de proteção adequada.

Segundo a pesquisa, cerca de 38% dos profissionais levam mais de 20 horas, em média, para executar os testes primários de invasão. Para 27%, são necessárias mais de 60 horas para realização do trabalho. Os dados também revelam que quase a metade dos entrevistados não tem uma prática de recorrência para realizar pentests nas suas empresas e/ou clientes (44%), enquanto 28% dos profissionais realizam, ao menos, uma vez ao ano.

“Se não fazem este tipo de teste de forma cíclica e sistêmica como parte da gestão da segurança da informação, ou cibersegurança, as empresas perdem a oportunidade de identificar, classificar e tratar os riscos, ficando vulneráveis à ramsonware, ataques direcionados e alguns tipos de golpes e perdas”, explica Jeferson D’Addario, Coordenador e professor no IDESP e CEO do Grupo DARYUS, consultoria especializada no tema.

A metodologia para condução das análises mais utilizadas pelos profissionais que participaram da pesquisa é o OWASP Testing Guide (55%). Esse padrão de testes aborda as principais vulnerabilidades que afetam aplicações web e orienta o profissional com uma listagem de ferramentas a serem utilizadas durante cada etapa do pentest. Ademais, o formato em checklist desse documento evita que o pentester esqueça de realizar alguma análise importante (como a busca pelas vulnerabilidades de SQL Injection ou XSS).

A pesquisa também identificou que maioria dos profissionais prefere realizar testes do tipo white-box (60%), onde são fornecidas informações detalhadas sobre a arquitetura e os ativos que serão avaliados. Diferentemente dos testes black-box e gray-box, os testes do tipo white-box costumam ser mais direcionados e com escopo bem definido. Em todos os casos a intenção é a mesma: identificar vulnerabilidades antecipadamente e corrigi-las antes que um atacante realize uma exploração bem-sucedida.

Por fim, para 37% dos profissionais o mais importante numa solução para pentest é a classificação das vulnerabilidades. 27% dizem que a gestão das atividades de mitigação é parte fundamental do trabalho e o alerta de novas vulnerabilidades ficou com 23%.

“Segundo (ISC)², o Brasil tem um déficit de 441 mil profissionais em cibersegurança. Com isso, o IDESP tem como missão contribuir para que esse número diminua com a formação de novos profissionais para o mercado de trabalho e já formou mais de 90 turmas de pós-graduação e MBA. A pesquisa realizada pela instituição tem como objetivo identificar o perfil dos profissionais para sermos mais assertivos também na hora da contratação. É fundamental entendemos as ferramentas e carga horária que eles necessitam para realização de um trabalho com excelência”, finaliza D’Addario.

O levantamento foi realizado pelo IDESP em maio de 2022 e foi respondido por mais de 30 profissionais atuantes no mercado de trabalho.

Sobre o IDESP:

Fundado em 2005, o Grupo Daryus, de origem e capital 100% brasileiro, tornou-se referência na atuação de Consultoria e Educação em GRC. Com mais de 15 anos de experiência a Daryus Educação promoveu a capacitação profissional para mais de 20 mil alunos, 60 cursos oferecidos, sendo 9 cursos de pós-graduação reconhecidos pelo Ministério da Educação e parcerias com faculdade e institutos renomados. Atualmente, a empresa se reposiciona com o Instituto Daryus de Ensino Superior Paulista (IDESP) e continua a oferecer conhecimento em cursos voltados para educação executiva, treinamento e certificações internacionais nas áreas de continuidade de negócios, cibersegurança, segurança da informação, gestão de riscos, gestão de TI, projetos e processos, entre outros. A empresa é pioneira na criação dos cursos de pós-graduação de segurança da informação, perícia forense digital, gestão riscos, continuidade de negócios e cibersegurança.

*Com participação da jornalista Larissa Nato.