A adoção de boas práticas em segurança de aplicações (AppSec) é crucial para garantir a proteção das aplicações e dos dados em todo o fluxo do ciclo de vida de desenvolvimento de software (SDLC). Para que isso aconteça, é fundamental que o profissional de AppSec lidere e mantenha sua integridade durante todo o seu ciclo.
Para isso, são usados modelos para atestar a maturidade do software, OWASP SAMM, e oferecer requisitos de segurança, OWASP ASVS (e o OWASP MASVS para requisitos de dispositivos móveis). Além disso, outras práticas importantes, como a modelagem de ameaças e treinamentos contribuem para o amadurecimento da equipe. Estes materiais são apenas alguns exemplos, uma dica valiosa, consuma os recursos oferecidos pela OWASP, há muitos outros projetos interessantes.
No entanto, o profissional de AppSec não deve apenas se limitar aos recursos citados, mas também buscar certificações em appsec que atestem seu conhecimento. Hoje em dia, o mercado de segurança requer profissionais altamente capacitados, e as certificações são uma forma de validar as habilidades desses profissionais.
Certificações em AppSec
As certificações em appsec são uma forma de comprovar o seu conhecimento através de uma prova de uma determinada instituição. Atualmente há diversas instituições que permitem obter uma certificação, por exemplo, CompTIA, GIAC, EC-Council, (ISC)², etc. (não cabendo citar todas).
Além disso, a certificação permite ao profissional destacar-se no mercado de trabalho ao demonstrar seu conhecimento. A certificação apresenta vários benefícios, dentre eles: valorização profissional, destaque no mercado de trabalho, além do conhecimento adquirido.
É válido lembrar que a certificação difere de um certificado, este último pode ser obtido geralmente ao concluir um curso ou treinamento, já a certificação é obtida após um exame. Atualmente grande parte das plataformas de treinamentos oferecem um certificado ao finalizar um curso, atestando que você concluiu, independente de ter uma avaliação ou não, e caso tenha, geralmente estas plataformas não utilizam mecanismos para comprovar se o aluno fez alguma consulta durante a prova.
Atualmente os exames de certificação podem ser feitos em centros de treinamentos, semelhante a uma prova de vestibular, estes centros são associados às instituições que oferecem a certificação, geralmente são parceiras, e até mesmo oferecem treinamentos para obter a certificação. Há algumas instituições que oferecem a possibilidade de fazer o exame de forma remota em sua própria residência, no entanto, há uma série de requisitos a serem cumpridos.
Contudo, é importante lembrar que todo o conhecimento adquirido é útil e pode ser muito bem usado, o mercado valoriza profissionais com sede de conhecimento, sendo assim, o importante é sempre buscar aprender e estar atualizado. A partir disso, temos algumas certificações em appsec que são muito bem-vindas na área de segurança de aplicações:
- Certified Application Security Engineer (CASE):
- Esta certificação possui dois eixos, .NET e Java, e exige um mínimo de 2 anos de experiência para as respectivas linguagens de programação, com foco em profissionais que desejam se tornar engenheiros ou analistas envolvidos na função de desenvolver, testar, gerenciar e proteger uma ampla gama de aplicações, envolvendo todas as fases do SDLC, focando na importância da implementação de metodologias e práticas seguras. O conteúdo do exame envolve, desde modelagem de ameaças, OWASP TOP 10, Code Review, SAST e DAST (automatizado ou manual).
- Certified Secure Software Lifecycle Professional (CSSLP):
- A CSSLP é destinada tanto para desenvolvedores, quanto para profissionais de segurança da informação responsáveis por implementar as melhores práticas em cada fase do SDLC. O exame é dividido em 8 domínios, envolvendo desde conceitos, requisitos, arquitetura e design, implementação, testes, gerenciamento do SDLC, implementação, manutenção, operação e supply chain de softwares seguros.
- GIAC Certified Web Application Defender (GWEB):
- A certificação GWEB, tem como foco direcionar o profissional a lidar com erros comuns de aplicações Webs (estas representam a maioria dos problemas de segurança atualmente). Tem como foco desenvolvedores, analistas de segurança e arquitetos de aplicação. Alguns dos conteúdos abordados na certificação: falhas de validação de entrada, cross-site scripting (XSS) e injeção de SQL, bem como uma compreensão profunda de autenticação, controle de acesso e gerenciamento de sessão.
O intuito não é cobrir toda a ementa abordada pelas certificações, mas sim direcionar o profissional alguns dos conteúdos abordados por cada uma delas. Investir em sua carreira é crucial para o seu sucesso profissional, e uma das formas de fazer isso é buscando capacitação e treinamentos. Caso ainda não se sinta preparado para uma certificação, a Conviso Platform oferece um módulo de treinamento, chamado People & Culture, que se concentra em oferecer treinamentos práticos e gamificados em diversas tecnologias envolvendo segurança de aplicações.
Além das certificações em AppSec…
Dessa forma, as certificações em AppSec são uma ótima forma de valorizar o currículo de um profissional e destacar suas habilidades na área de segurança de aplicações. Além disso, as certificações fornecem aos profissionais as habilidades e ferramentas necessárias para protegê-las. Lembre-se de pesquisar cuidadosamente as opções disponíveis no mercado e escolher aquela que se adapte melhor aos seus objetivos profissionais e às necessidades da empresa.
Em conclusão, a certificação é uma excelente maneira de mostrar comprometimento e habilidade na área, além de ajudar a garantir que as aplicações e os dados sejam protegidos contra ameaças. Embora as certificações em appsec sejam importantes, cursos e conhecimentos práticos sempre serão bem vindos, então caso não tenha recursos para bancar uma certificação top de linha, invista como puder na sua carreira.
