Andre Fucs entrevista Paulo T.
No momento, ele é provavelmente um dos mais polêmicos profissionais de segurança da informação no Brasil . Extremamente inteligente e apaixonado pelo que faz, Paulo T. não deixa por menos. Sua postura extremamente cáustica e um tanto agressiva não poderia ter conseqüência diferente: No curto tempo em que participou da lista CISSP-BR, Paulo T fez amigos e inimigos. Tantos inimigos que durante a entrevista, realizada por email, foi expulso da lista.
Em uma entrevista curta, informal e direta, Paulo explica um pouco quem é e o que pensa. Não é possível , nem mesmo recomendável, concordar com tudo o que ele diz mas não restam dúvidas: No meio de muita polêmica há uma lição importante. Aprender é profundamente mais importante do que pendurar um certificado na parede.
Em uma entrevista curta, informal e direta, Paulo explica um pouco quem é e o que pensa. Não é possível , nem mesmo recomendável, concordar com tudo o que ele diz mas não restam dúvidas: No meio de muita polêmica há uma lição importante. Aprender é profundamente mais importante do que pendurar um certificado na parede.
Paulo, fale um pouco sobre você, em qual cidade você trabalha, trabalha na iniciativa privada ou para o governo?
Fucs, meu nome é Paulo Tetinha, tenho 26 anos e Trabalho para iniciativa privada em São Paulo SP
Tempo de experiência?
9 anos de experiência no mercado de Segurança da Informação.
Fora as suas já conhecidas certificações(n.e. PIS, PASEP, CIC, RG) você possui alguma certificação?
Meu certificado é meu nome e minha história no mercado de Segurança. Assim como você e outras figurinhas carimbadas comecei a mexer com segurança da informação por prazer e não por ser "hype". Não acredito no valor da certificação e sim no caminho seguido para alcança-la.
Você tornou-se um personagem conhecido da lista cissp-br devido a suas respostas, você considera certificações como o CISSP um item importante no desenvolvimento de um profissional?
Mais uma vez: Mais importante do que ter ou não ter a certificação, acho importante o processo de aprendizado para alcança-la. Quando você põe uma certificação como meta, a preparação para a mesma é a formação da sua bagagem profissional. A certificação é só o começo. Agora, você pode escolher: decorar diversos termos vagos, se matar em simulados e ser um profissional medíocre, CISSP ou ser um profissional de ponta e ter o certificado - que na pratica fará pouca diferença.
Qual sua opinião acerca do nível dos profissionais de segurança brasileiros?
Eu vejo boa parte dos profissionais se pasteurizando, seguindo todos o mesmo caminho, terminando a faculdade, emendando uma pós de segurança da informação, aprendendo termos como governança, segurança alinhada ao negocio e outras buzzwords. Todos com pim na lapela, o diploma na mão e sem experiência nenhuma... não há criatividade nem no setor acadêmico, onde vemos pesquisas completamente ultrapassadas (Como por exemplo o SSI deste ano).
Você afirma que começou a mexer com segurança da informação por prazer e não por ser "hype". Imagino portanto que você tenha hackeado sistemas alheios. Correto? Você acredita que o hacking é um caminho válido para aprender-se sobre segurança da informação?
Eu posso gostar de carros e fuçar no meu carro, isso não necessariamente me dá o direito de ir fuçar no carro do vizinho. Na verdade tive a chance de entrar em um mercado numa época onde os testes de invasão estavam em alta. Tive uma excelente escola, trabalhei do lado dos melhores e ainda fui pago por isso :-)
Você contrataria um ex-hacker? Esse assunto é um tanto polêmico e passional. Fala-se muito em uma suposta falta de ética, porém tenho a impressão que mais incidentes foram cometidos por programadores e profissionais sem nenhuma ligação com o hacking...
Hacker no sentido, garoto que virou root de todos os servidores da faculdade, desenvolveu um novo exploit, conhece o stack tcp/ip de trás pra frente ou hacker, senhor que espalha trojan para capturar informações de contas correntes alheias ? Mesmo selo na testa mas com índoles completamente diferentes.
Quando me refiro a hacker, ou ex-hacker me refiro à versão positiva, não envolvida com crimes mas noto uma certa evasividade por sua parte... Hacking é ou não um caminho válido para se aprender?
Se olharmos para os profissionais mais respeitados no mundo de "Computer Security", veremos que boa parte deles estiveram um dia ligado com atividades de hacking, talvez por existir menor documentação e recurso no passado. Hoje a literatura é vasta e com meia dúzia de máquinas virtuais você consegue simular e aprender o que quiser..
Há certa tendência por sua parte de tratar segurança de forma levemente tecnicista, freqüentemente profissionais com essa abordagem costumam ser criticados por falta de uma "visão do negócio das empresa". Em sua opinião, segurança da informação pode ser dissociada da tecnologia?
Eu acredito na dissociação, a partir do momento que não estivermos falando de "Analistas de Segurança" que trabalham com "Computer/Network Security". Não consigo aceitar um consultor de segurança, analisando o meu parque tecnológico sabendo que o mesmo irá se apoiar basicamente em output de ferramentas. Hoje respondo para um CSO que tem a visão do negócio mas sabe descer no "tequiniquês" sem problema nenhum. Trabalhar assim tem sido uma experiência bem interessante.
Com 9 anos de bagagem e com um cenário formado por profissionais "pasteurizados" como você comenta, você ainda sente prazer em trabalhar com segurança da informação?
Enquanto tiver desafios, estou motivado. Gosto de onde estou e de trabalhar com as pessoas que trabalho. Quando não gostar, me enfio atrás de um compilador e volto a ser programador :-)
Ainda sobre o nível de profissionais brasileiros, você não tem a impressão de que certas pessoas têm complexo de pequeno poder, isso é, uma obsessão em controlar o mais irrelevante sem realmente focar em resultados plausíveis?
Eu acho, participei de uma lista até uns dias atrás, onde um "vendedor de caixinhas, CISSP" se sentia incomodado com a minha presença provavelmente por eu ironizar a ignorância dele em público.. Eu acho engraçado ver pessoas deste tipo formando opinião em palestras e eventos de segurança e me dá uma triste perspectiva do que será o nosso mercado de segurança nos próximos anos... acho melhor eu voltar para o compilador ;-)
Você comenta na falta de criatividade entre o meio acadêmico brasileiro. Seria esse um problema mundial? Eu tenho observado uma certa monotonia em nossa área. Em sua opinião, quais as novas promessas na área de segurança da informação?
Eu ainda vejo coisas interessantes sendo criadas por ai. Sim as coisas não caminham na velocidade que caminhava quando começamos é verdade. Eu acho que todos andam meio monotemáticos. Por exemplo: Eu escrevo algo sobre "Como escrever shellcode para o PenseBem", ai na seqüencia vem outra pessoa e escreve sobre "Como escrever shellcode polimórfico para o PenseBem", em seguida alguém escreve um patch pro kernel do PenseBem para proteger contra Stack Overflow, logo depois vem o "Como burlar a proteção do Kernel do PenseBem". Percebe ? Igual Ajax Security, tem mil textos falando sempre a mesma coisa... o Assunto é novo mas o tema já está batido. Para quem eu tiro o chapéu é a Microsoft, que hoje é quem mais inova no assunto.
De que forma a Microsoft vêm inovando? Apesar de observar uma guinada forte por parte da MSFT, eu ainda tenho a impressão de que diversas iniciativas deles ainda deixam um pouco a dever. Tenho a impressão que a Microsoft têm mais sucesso em seus sistemas operacionais do que nas tecnologias relacionadas com segurança.
Eu acho que não, se você pegar o ISA Server e acompanhar o salto do MS Proxy 2.0 para o que o ISA é hoje, se olharmos o SQL Server que há bastante tempo não tem uma vulnerabilidade publicada, documentação de segurança sendo gerada, bibliotecas de desenvolvimento sendo publicadas..
CISSP é criticado por muitos profissionais devido à ênfase em alguns assuntos absolutamente irrelevantes porém você tocou em um assunto interessante, a necessidade de se preparar, e adquirir conhecimento usando o certificado como uma meta. O que mais um profissional de segurança pode se fazer para evitar a "pasteurização"?
Estudar sobre tudo, para ter uma maior compreensão do todo, formar opinião sobre assuntos. Deixar de ser ouvinte e começar a falar, pois vejo em muitas listas 5 ou 6 escrevendo e 1000 somente lendo. Curiosamente são os membros deste seleto grupo de "postadores" que se destacam. Normalmente quando você vai emitir uma opinião sobre um assunto, você é forçado a pesquisar, fixar conceitos e formar uma opinião.
Fucs, meu nome é Paulo Tetinha, tenho 26 anos e Trabalho para iniciativa privada em São Paulo SP
Tempo de experiência?
9 anos de experiência no mercado de Segurança da Informação.
Fora as suas já conhecidas certificações(n.e. PIS, PASEP, CIC, RG) você possui alguma certificação?
Meu certificado é meu nome e minha história no mercado de Segurança. Assim como você e outras figurinhas carimbadas comecei a mexer com segurança da informação por prazer e não por ser "hype". Não acredito no valor da certificação e sim no caminho seguido para alcança-la.
Você tornou-se um personagem conhecido da lista cissp-br devido a suas respostas, você considera certificações como o CISSP um item importante no desenvolvimento de um profissional?
Mais uma vez: Mais importante do que ter ou não ter a certificação, acho importante o processo de aprendizado para alcança-la. Quando você põe uma certificação como meta, a preparação para a mesma é a formação da sua bagagem profissional. A certificação é só o começo. Agora, você pode escolher: decorar diversos termos vagos, se matar em simulados e ser um profissional medíocre, CISSP ou ser um profissional de ponta e ter o certificado - que na pratica fará pouca diferença.
Qual sua opinião acerca do nível dos profissionais de segurança brasileiros?
Eu vejo boa parte dos profissionais se pasteurizando, seguindo todos o mesmo caminho, terminando a faculdade, emendando uma pós de segurança da informação, aprendendo termos como governança, segurança alinhada ao negocio e outras buzzwords. Todos com pim na lapela, o diploma na mão e sem experiência nenhuma... não há criatividade nem no setor acadêmico, onde vemos pesquisas completamente ultrapassadas (Como por exemplo o SSI deste ano).
Você afirma que começou a mexer com segurança da informação por prazer e não por ser "hype". Imagino portanto que você tenha hackeado sistemas alheios. Correto? Você acredita que o hacking é um caminho válido para aprender-se sobre segurança da informação?
Eu posso gostar de carros e fuçar no meu carro, isso não necessariamente me dá o direito de ir fuçar no carro do vizinho. Na verdade tive a chance de entrar em um mercado numa época onde os testes de invasão estavam em alta. Tive uma excelente escola, trabalhei do lado dos melhores e ainda fui pago por isso :-)
Você contrataria um ex-hacker? Esse assunto é um tanto polêmico e passional. Fala-se muito em uma suposta falta de ética, porém tenho a impressão que mais incidentes foram cometidos por programadores e profissionais sem nenhuma ligação com o hacking...
Hacker no sentido, garoto que virou root de todos os servidores da faculdade, desenvolveu um novo exploit, conhece o stack tcp/ip de trás pra frente ou hacker, senhor que espalha trojan para capturar informações de contas correntes alheias ? Mesmo selo na testa mas com índoles completamente diferentes.
Quando me refiro a hacker, ou ex-hacker me refiro à versão positiva, não envolvida com crimes mas noto uma certa evasividade por sua parte... Hacking é ou não um caminho válido para se aprender?
Se olharmos para os profissionais mais respeitados no mundo de "Computer Security", veremos que boa parte deles estiveram um dia ligado com atividades de hacking, talvez por existir menor documentação e recurso no passado. Hoje a literatura é vasta e com meia dúzia de máquinas virtuais você consegue simular e aprender o que quiser..
Há certa tendência por sua parte de tratar segurança de forma levemente tecnicista, freqüentemente profissionais com essa abordagem costumam ser criticados por falta de uma "visão do negócio das empresa". Em sua opinião, segurança da informação pode ser dissociada da tecnologia?
Eu acredito na dissociação, a partir do momento que não estivermos falando de "Analistas de Segurança" que trabalham com "Computer/Network Security". Não consigo aceitar um consultor de segurança, analisando o meu parque tecnológico sabendo que o mesmo irá se apoiar basicamente em output de ferramentas. Hoje respondo para um CSO que tem a visão do negócio mas sabe descer no "tequiniquês" sem problema nenhum. Trabalhar assim tem sido uma experiência bem interessante.
Com 9 anos de bagagem e com um cenário formado por profissionais "pasteurizados" como você comenta, você ainda sente prazer em trabalhar com segurança da informação?
Enquanto tiver desafios, estou motivado. Gosto de onde estou e de trabalhar com as pessoas que trabalho. Quando não gostar, me enfio atrás de um compilador e volto a ser programador :-)
Ainda sobre o nível de profissionais brasileiros, você não tem a impressão de que certas pessoas têm complexo de pequeno poder, isso é, uma obsessão em controlar o mais irrelevante sem realmente focar em resultados plausíveis?
Eu acho, participei de uma lista até uns dias atrás, onde um "vendedor de caixinhas, CISSP" se sentia incomodado com a minha presença provavelmente por eu ironizar a ignorância dele em público.. Eu acho engraçado ver pessoas deste tipo formando opinião em palestras e eventos de segurança e me dá uma triste perspectiva do que será o nosso mercado de segurança nos próximos anos... acho melhor eu voltar para o compilador ;-)
Você comenta na falta de criatividade entre o meio acadêmico brasileiro. Seria esse um problema mundial? Eu tenho observado uma certa monotonia em nossa área. Em sua opinião, quais as novas promessas na área de segurança da informação?
Eu ainda vejo coisas interessantes sendo criadas por ai. Sim as coisas não caminham na velocidade que caminhava quando começamos é verdade. Eu acho que todos andam meio monotemáticos. Por exemplo: Eu escrevo algo sobre "Como escrever shellcode para o PenseBem", ai na seqüencia vem outra pessoa e escreve sobre "Como escrever shellcode polimórfico para o PenseBem", em seguida alguém escreve um patch pro kernel do PenseBem para proteger contra Stack Overflow, logo depois vem o "Como burlar a proteção do Kernel do PenseBem". Percebe ? Igual Ajax Security, tem mil textos falando sempre a mesma coisa... o Assunto é novo mas o tema já está batido. Para quem eu tiro o chapéu é a Microsoft, que hoje é quem mais inova no assunto.
De que forma a Microsoft vêm inovando? Apesar de observar uma guinada forte por parte da MSFT, eu ainda tenho a impressão de que diversas iniciativas deles ainda deixam um pouco a dever. Tenho a impressão que a Microsoft têm mais sucesso em seus sistemas operacionais do que nas tecnologias relacionadas com segurança.
Eu acho que não, se você pegar o ISA Server e acompanhar o salto do MS Proxy 2.0 para o que o ISA é hoje, se olharmos o SQL Server que há bastante tempo não tem uma vulnerabilidade publicada, documentação de segurança sendo gerada, bibliotecas de desenvolvimento sendo publicadas..
CISSP é criticado por muitos profissionais devido à ênfase em alguns assuntos absolutamente irrelevantes porém você tocou em um assunto interessante, a necessidade de se preparar, e adquirir conhecimento usando o certificado como uma meta. O que mais um profissional de segurança pode se fazer para evitar a "pasteurização"?
Estudar sobre tudo, para ter uma maior compreensão do todo, formar opinião sobre assuntos. Deixar de ser ouvinte e começar a falar, pois vejo em muitas listas 5 ou 6 escrevendo e 1000 somente lendo. Curiosamente são os membros deste seleto grupo de "postadores" que se destacam. Normalmente quando você vai emitir uma opinião sobre um assunto, você é forçado a pesquisar, fixar conceitos e formar uma opinião.
***
posted by Andre Fucs @ 21:52
14 Comments:
Uma das melhores entrevistas que já li atualmente. Primeiro pela fonte e pelo entrevistador ( o qual ainda não conheço pessoalmente ) e além disso pelo entrevistado, que além de ser um companheiro de trabalho continua sendo meu professor. Paulo T. você é o cara :) ou não... :)
PTetinha,
É por conta de suas respostas perfeitas para perguntas inteligentes como as dessa entrevista, que reintero minha condição de fã. (aplausos)
Abraço aos dois por nos proporcionarem esse material rico.
Nelson
Tetinha? E isso mesmo que conta do RG?
O Paulo bateu de frente em algumas discussões sempre expondo o outro lado.
Parabéns.
Parabéns ao Fucs pela entrevista e pelo Paulo pelas respostas.
Acompanho a lista CISSP apenas como "ouvinte" pois não gosto de me envolver em conversas de marketing pessoal que é o que mais tem nesta lista, na minha opinião.
E devo dizer que concordo com o Paulo em 90% de suas afirmações!!!
Parabéns a ambos pela inicitiva
Entrevista bem interessante, bem conduzida e com pontos polêmicos. Pena que ainda falta um pouco de respeito com os colegas de profissão e a humildade de aceitar que cada pessoa tem seu conjunto de qualidades e defeitos.
Todos nós aprendemos um pouco a cada dia e saber um pouco mais em um determinado assunto, ou ter uma opinião diferente, não nos torna melhores.
Discordo também do pensamento em que todo profissional de segurança já foi um hacker ou cracker. Alguns (eu incluso) vem da área de TI, onde atuavam como administradores de rede, de servidores, programadores, etc e se especializaram em segurança.
Parabéns ao entevistado e ao entrevistador. As perguntas foram muito bem formuladas e as respostas expressam muito bem as posições do Paulo T. Excelente material para uma reflexão sobre os temas abordados, principalmente para os candidatos a certificação CISSP, assim como eu.
Parabéns ao entrevistador e ao entrevistado. Boas perguntas, boa argumentação.
O Sergio Dias, como diria os menudos: Não se Reprima!!
Paulo T Tinha - ja um icone do mercado de seguranca. Estou contigo e nao abro... Quando comecei no mercado de seguranca tinhamos que explicar do que se tratava o trabalho e a popularizacao, ou o 'hype' como comenta o Paulo, transformou muitos segmentos da area de seguranca no esgoto da sociedade. Muitos falam da falta de respeito do Paulo, eu vejo ainda mais falta de respeito alguns profissionais de seguranca se vangloriando do que nunca houve ou assinando por algo que nunca viram... Palmas ao entrevistador e entrevistado, nao via algo tao util, direto e transparente desde os tempos do Pasquim... Abaixo a ditadura da banda podre da seguranca, viva o Paulo!
Realmente foi uma entrevista ótima para começar bem o ano e servir de reflexão. Excelente material para os profissionais em início de carreira... e também para os da old school.
Milagres
Pra quem é bom, sempre terá lugar. Sempre pensei como o Paulo, mas tive que me render e tirar uma sigla pra poder "mostrar" ao mercado qualificações técnicas, ainda mais por trabalhar com consultoria.
Acredito que a única certificação que comprove realmente o conhecimento do indivíduo, mas também requer muito $$$ e tempo, seja a GSE da SANS, pois faz o cara ter que estudar a fundo diversas áreas técnicas da segurança.
Trabalho com pesquisas acadêmicas e vivo de perto o referido sobre esgotamento de assuntos para pesquisa. Diferentemente de áreas de tecnologia, muitos assuntos tecnicamente batidos como ataques a aplicações, XSS, XST, CRLF, ainda estão tendo espaço para publicação internacional. Ao meu ver, isso demonstra a diminuição do nível das pesquisas, não só no Brasil, mas no mundo.
Desculpem pelo longo comentário.
Caros profissionais,
estava pesquisando sobre o tema certificações quando encontro essa pérola de entrevista.
Parabéns ao Paulo. Realmente quem evita o efeito manada e logo posto no corner.
Caro Fucs, há males que vêm PARA béns!
Paulo T é um cara muito dedicado aos estudos, sou seu fã com relação a isso..mas precisa por a mão na massa, precisa realmente trabalhar..tenha coragem..
Postar um comentário
<< Home