Como se tornar um auditor de código de segurança - um guia completo de carreira

O auditor de código de segurança não é uma posição de nível de entrada. Também conhecido como um Auditor de TI, auditor de segurança, auditor de código seguro ou auditor de código fonte, analista de segurança, analista de segurança da informação, profissionais com a sorte o suficiente para encontrar-se neste papel são realizados e membros altamente valorizados de qualquer equipe de segurança cibernética. Auditores de código de segurança devem ser versados em computador programação, sistemas e segurança de rede, testes de penetração, criptografia, e protocolos de segurança de software.

Apenas profissionais de cibersegurança com uma ampla base no campo será eficaz como auditores de código de segurança. Em muitos casos, código fonte auditorias são realizadas por consultores externos independentes contratados periodicamente para revisar o status de segurança de uma organização. Organizações com substanciais orçamentos de segurança cibernética são muito mais propensos a contratar um código de segurança em tempo integral auditor do que aqueles com uma pequena equipe de segurança da informação.

Quatro passos para se tornar um auditor de código de segurança

1.As funções de auditor de código de segurança educacionalexigem um amplo conhecimento de ciência da computação, redes, sistemas e todas as coisas de segurança da informação. Uma educação universitária deve ser ampla também. São recomendados diplomas em ciência da computação ou um campo relacionado à segurança cibernética. O trabalho do curso deve incluir a maior variedade possível de disciplinas de segurança cibernética. Procure adicionar aos seus cursos universitários:

• teste de penetração
• criptografia
• lei de segurança cibernética
• forense computador
• Rede
• programação em vários linguagens
• segurança do banco de dados
• engenharia de software

E, claro, como em qualquer carreira avançada de cibersegurança, fazer o investimento em tempo e dinheiro paraobter um mestradopode valer a pena o esforço.

2.Caminho de carreira inicialComo um auditor de código de segurança não é uma posição de nível básico, os trabalhos adequados usados para invadir o campo de cibersegurança fornecerão uma base forte para uma carreira. Os posts do Infosec para levar a uma carreira no auditor de código de segurança incluem:

• Administrador de segurança
• Administrador de rede
• Perícia digital
• Assessor de vulnerabilidades
• Testador de penetração

3.Certificações profissionais Os empregadoresestão sempre procurando verificar evidências de que um candidato em potencial aprendeu todos os aspectos necessários da posição que está sendo buscada. Na cibersegurança, provavelmente a melhor maneira de realizar essa confirmação é através de certificações profissionais. Várias organizações de cibersegurança e locais de educação continuada fornecem uma série de certificações nas disciplinas mais relevantes do Infosec. Algumas das certificações que devem ser solicitadas pelos atuais auditores do código de segurança incluem o seguinte:

• Hacker Ético Certificado (CEH) doEC-Council
• Analista de Segurança Certificado (ECSA), também do EC-Council
• PenTest+daCompTIA
• Auditor de Sistemas de Informação Certificado (CISA)
• Analista de Intrusão Certificada GIAC (GCIA)
• Profissional Certificado de Segurança Ofensiva (OSCP)

Além disso, procure outras certificações apropriadas oferecidas por tais organizações de educação em segurança cibernética como as seguintes:

• ISFCE (Sociedade Internacional de Examinadores forenses de computadores)
• IACIS (Associação Internacional de Especialistas em Investigação de Computadores)
• CISSP (Profissional de Segurança de Sistemas de Informação Certificado)
• (ISC)2 (International Information Systems Security Certification Consortium)

4.Nunca pare de aprenderA tecnologia de computador e as técnicas de cibersegurança estão evoluindo para sempre, às vezes em um ritmo de ruptura. Manter-se atualizado em tudo o que acontece em todos os aspectos relevantes da auditoria de códigos de segurança é essencial para manter uma vantagem e ter uma carreira de longo sucesso. Junte-se a associações comerciais profissionais, busque oportunidades relevantes de educação continuada, rede com outros auditores de código e participe de seminários relacionados à área. Entre as associações comerciais, considere aderir a algumas ou todas as seguintes:

• O Grupo de Trabalho Científico sobre Evidências Digitais (SWGDE)
• Associação de Auditoria e Controle de Sistemas de Informação (ISACA)
• A Sociedade Internacional de Examinadores forenses^®

O que é um auditor de código de segurança?

Código é o cérebro de todos os sistemas de computador. Se algo estiver errado com
o cérebro, todo o sistema se torna vulnerável a problemas, erros e
, especialmente, incursão de fontes externas que desejam criar estragos, interromper
operações ou roubar informações seguras. Auditores de código de segurança são cirurgiões cerebrais
de sistemas de computador. Eles analisam, diagnosticam e desenvolvem planos de tratamento para reparar quaisquer vulnerabilidades de código potencialmente problemáticas.

Para avaliar a segurança do código do sistema de computador, os auditores de código-fonte
devem estar familiarizados e conhecedores de todos os aspectos do hardware,
software e redes que compõem um sistema completo. A gama de habilidades e experiência exigidas significam que os auditores de código de segurança são um dos membros mais tecnicamente qualificados de qualquer equipe de segurança cibernética.

Como a responsabilidade pode ser assustadora até mesmo para os auditores de segurança mais experientes, ferramentas analíticas para auxiliar a realização do trabalho foram desenvolvidas. Existem inúmeras ferramentas de análise de código-fonte aberto e comercial para ajudar os auditores de código de segurança a descobrir vulnerabilidades de código em hardware e software. Esses programas também são chamados de ferramentas de Teste de Segurança de Aplicativos Estáticos (SAST) e podem ser auxílios inestimáveis.

Ainda assim, os auditores do código de segurança devem ser capazes de peneirar a linha de código por linha para descobrir, determinar a natureza e desenvolver um plano para o remédio de quaisquer problemas.

Habilidades e experiência do auditor de código de segurança

Para poder auditar minuciosamente o status do Infosec das organizações, uma variedade de conhecimentos e habilidades são necessárias. Familiaridade comtécnicas de teste de penetração, protocolos atuais de criptografia, processos de segurança de rede e sistemas, vulnerabilidades de segurança de software e muito mais devem estar no saco de truques do auditor de código-fonte. A lista de habilidades necessárias e experiência em listas de trabalho de auditores de código de segurança, portanto, são muitas vezes numerosas. Aqui está uma amostra de alguns dos requisitos mais comuns.

• Conhecimento de linguagens de programação em C+, C++, Python, Ruby, Java, Perl, .NET
• Familiaridade atual com arquitetura de rede e sistemas, bem como procedimentos de segurança e vulnerabilidades
• Familiaridade atual com técnicas e vulnerabilidades de software de operação e aplicativos
• Conhecimento das vulnerabilidades doOWASP Top Ten
• Familiaridade com ferramentas de análise de código fonte, como Bandit, Brakeman, .NET Security Guard, SonarQube, Application Inspector, Cast AIP e outros
• Experiência com testes de penetração
• Familiaridade com protocolos e técnicas atuais de criptografia
• Experiência com segurança de banco de dados

As soft skills muitas vezes exigidas pelos empregadores incluem o seguinte:

• Orientado a detalhes
• Altamente analítico
• Auto-motivado
• Fortes habilidades de comunicação escrita e oral

O que os auditores do código de segurança fazem?

A tecnologia da informação em qualquer organização é uma empresa
multifacetada composta por sistemas de hardware, redes de comunicação e programas de software, e todos os protocolos, permissões, procedimentos e políticas que determinam o uso de sistemas de TI.

Os auditores de código de segurança são responsáveis por garantir a segurança de todos os
aspectos dos sistemas de TI que supervisionam. Cumprir essa responsabilidade requer
planejamento, execução e análise dos resultados de auditorias exaustivas de cada
canto e cranny.

Isso significa estar intimamente familiarizado com códigos de programação usados para
escrever os programas que executam os sistemas, bem como todos os procedimentos de segurança em vigor dentro da organização e as leis que afetam a metodologia de segurança cibernética. Também significa estar familiarizado com as técnicas e procedimentos atuais em uso por hackers e ter uma compreensão atualizada das vulnerabilidades do sistema mais comumente exploradas.

Em suma, os auditores de código de segurança devem conhecer cada detalhe minucioso de cada aspecto dos sistemas de TI em uso pela organização que paga o salário do profissional. Os auditores de código-fonte devem planejar e executar as auditorias mais eficazes e minuciosas possíveis para determinar persistentemente a eficácia de todos os sistemas de segurança em vigor. É principalmente uma estratégia preventiva para fechar vulnerabilidades antes que elas sejam aproveitadas por hackers.

Mas os auditores do código de segurança também devem realizar ou auxiliar na realização de exames forenses de ataques ao sistema, quer as tentativas sejam fracassadas ou bem sucedidas. As respostas encontradas após esses ataques devem então ser relatadas e utilizadas para reforçar ainda mais as medidas de segurança do sistema. Em um mundo com tecnologias em constante mudança e avanço e técnicas de hacking, o trabalho de um auditor de código de segurança nunca é completamente feito.

Descrição do trabalho do auditor de código de segurança

Algumas das tarefas mais comuns de auditor de código de segurança são as seguintes:

• Planejar, executar e liderar auditorias de sistemas de organização infosec
• Realizar revisões manuais de todos os códigos relevantes em uma base linha por linha
• Utilize técnicas de teste de penetração para localizar vulnerabilidades de segurança cibernética
• Utilize ferramentas SAST para analisar código, sempre que possível
• Identificar, analisar e recomendar remédios para todas as vulnerabilidades de cibersegurança
• Mantenha o conhecimento atual completo de todas as acessibilidades e permissões do sistema
• Comunique os resultados e recomendações da auditoria a todos os departamentos afetados

Perspectivas para auditores de código de segurança

Os profissionais de cibersegurança como um todo estão em alta demanda e, em muitos casos, cargos específicos estão famintos por candidatos viáveis para preencher as vagas. De acordo com oInstituto InfoSec, há uma escassez mundial de quase três milhões nas fileiras de profissionais de cibersecurity, meio milhão só na América do Norte. A necessidade de auditores de código de segurança é difícil de identificar devido à variedade de títulos usados para descrever o papel, mas é seguro dizer que a demanda está crescendo rapidamente e deve continuar a fazê-lo para o futuro previsível.

Quanto ganham os auditores de código de segurança?

Com a variedade de títulos, a propensão de muitas empresas a contratar consultores independentes, e a natureza bastante elite do cargo, informações salariais precisas são um pouco evasivas. Payscale.com calcula o salário médio anual dos Auditores de TI em aproximadamente US$ 66.000, com a remuneração tipicamente aumentando constantemente à medida que a experiência é acumulada.

---

Artigo Original