Criei este blog no objetivo de documentar todo o meu trabalho e transferir para todos meu amor e conhecimento que possuo em Information Security e Skateboarding.

quarta-feira, outubro 03, 2007

Finalmente CISSP

Após ter recebido o e-mail informando que passei no exame CISSP preparei a documentação solicitada e enviei na última sexta dia 28/09. Ontem dia 02/10 consultei o site da ISC2 e confirmei que meu nome já aparece na lista como CISSP.

Finalmente agora me tornei um CISSP.

Grato,

Rangel Rodrigues, CISSP, MCSO

segunda-feira, setembro 24, 2007

Reflexão depois de passar no CISSP

Reflexão:

Em 2003 descobri profissionalmente que eu queria era trabalhar com segurança da informação, na época trabalhava em banco multinacional diretamente com Internet Security, acabei fazendo um MBA em Gestão de TI na FIA/USP, fiquei algum tempo fora do mercado, precisei estudar com os recursos que tinha para fazer a prova do MCSO, estudei sozinho e passei, consegui um trabalho de consultor de SI na G&P e depois fui para CertiSign, foi onde conheci a Lucimara, era 2005, lá eu comentei com a Lucimara que tinha interesse em tirar o CISSP, ela também estava interessada e então começamos a participar do grupo de Estudos CISSP-SP, na época encontrávamos na T-SYSTEMS onde o Victor Bonomi trabalhava, o grupo começou com o Fernando Fonseca que às vezes arrumava uma sala na Faculdade Anhembi Morumbi, o Alexandre Salgado, Lucimara, Sergio Dias, Wagner Elias, Guilherme, Ricardo Giorgi, Victor, Anchises, Giovani e o Cleverson.

A partir daí comecei a estudar, comprei o All-in-One, Study Guide Sybex CISSP, PrepLogic, Material do MCSO e o Official Guide e sem contar com o material adicional que encontrava na web. Lembro que fiquei até na véspera de Natal e Ano Novo estudando. Participei do grupo de estudos SP, encontros às vezes na semana e aos sábados.

De toda forma foram 2 anos de muita dedicação, pensei em desistir, mais eu sempre voltava a decisão. Em dezembro de 2006 consegui que o banco onde trabalho atualmente pagasse o CBK Review Seminar, fiz com o Anderson, dediquei todo o tempo para curso, tirei dúvidas e no teste de 100 questões acabei até acertando 98 questões, nem acreditei, foi muito legal.

Troquei alguns e-mails com Anderson para me inscrever na prova de maio, acho que fui ansioso, até os amigos Alexandre e Paulo me pediram para deixar para setembro, fui teimoso e fiz, infelizmente não passei por pouco. Não desisti e percebi que faltavam detalhes para passar na prova, portanto continuei, sabia que tinha perdido uma batalha e não a guerra. Revisei o OFFICIAL GUIDE, me encontrei com os amigos, durante a semana, estudei, fiz simulado e desenvolvi boa parte do conhecimento que tenho em gestão de risco com os companheiros que trabalham comigo (Dimitri, Alexandre Fonseca, Reginaldo Rizato, Kenji, Sonia, Rita e Bruno Coste). Enfim, eu fui desta vez para a prova mais seguro, determinado e tinha certeza que aquilo que tinha estudado estava claro e sabia, sem mais sem menos.

Na semana antes da prova me encontrei na quarta-feira com o Viel e ajudei ele em alguns conceitos de Análise de Risco, na sexta fiquei em casa, fui andar de skate em São Bernado do Campo na nova pista, foi uma inspiração para o corpo e para a mente. Voltei para casa suave, cheguei cedo, jantei, orei a Deus e fui dormir cedo.

No sábado cheguei cedo no hotel onde encontrei o Paulo e alguns amigos, levei meu resumo, dei a última lida, refresquei a minha memória e entrei para a prova desta vez para passar. Durante a prova utilizei a seguinte estratégia, resolvi fazer 50 questões e passava para o booklet, quando cheguei na questão 100 parei para ir ao banheiro e comer alguma coisa, voltei e continuei, quando cheguei na questão 150 resolvi passar direto para o booklet, quando cheguei no final faltavam 1:30h para terminar.

Agora era hora "h" e revisar aquelas que tinha deixado para depois, acho que eram por volta de 15 questões, a última questão que respondi foi de gosto, era do Código de Ética, li, li, li e então respondi, depois fui conferi no dia seguinte que tinha acertado.

Bom, sai do exame com uma sensação que tinha cumprindo mais uma etapa e tinha chances de ter passado, a prova estava realmente mais difícil que as anteriores, mais eu creio que estava bem preparado, Eu, Salgado, Viel e o Paulo fomos a um bar refrescar a mente, conversamos sobre algumas questões e então a semana seguiu.

Confesso que não fiquei ansioso neste tempo, hoje por volta das 11:30h o amigo Ricardo Giorgi me passou uma mensagem, “temos novidades Rangel?”, fui para casa depois que terminei o due diligence, eu liguei imediatamente para o amigo Paulo Teixeira, ele confirmou que passou e o Alexandre Salgado também, infelizmente meu amigo Viel não foi desta vez, mais tenho certeza que ele irá passar em breve. Cheguei em casa, almocei primeiro, resolvi abrir o e-mail e notei que havia um arquivo em anexo, fiquei feliz e cliquei, procurei a palavra “Congratulations”, encontrei e dei um grito de alegria, foi muito bom, esperava por isso há dois anos, hoje me sinto realizado e pronto para novas conquistas!!!

A frase que tenho a dizer é; nunca desista de seus objetivos, confie em Deus, seja determinado e perseverante, se hoje não deu certo é porque Deus está preparando o amanhã para lhe conceder a resposta porque ele é fiel.

É isso galera, contem comigo para os estudos.

Obrigado a todos!

Um abração...

Rangel Rodrigues, quase CISSP

sexta-feira, dezembro 08, 2006

A nova visão da Área de Segurança da Informação

Este artigo escrito pelo Analista de Segurança da Informação Fábio Silva da Albuquerque e certificado MCSO disponivel aos leitores do site Modulo Security, traz um assunto muito interessante sobre a nova visão que a área de SI está tendo e buscando em muitas empresas. Pelo menos na empresa onde trabalho o caminho que está sendo seguido é este:

Como já é de conhecimento da maioria, tecnologia de Segurança da Informação (SI) disponível no mercado é o que não falta, mas o foco da mudança de visão da área de SI não está só em tecnologia, mas também no fator humano.
Vamos parar e pensar na seguinte situação: hoje temos diversos produtos para implementar um firewall (FW) dentro de uma empresa, e geralmente junto com esses produtos é preciso um analista, que na verdade é um administrador de um produto. Bem como de costume, surge uma nova tecnologia muito bem conceituada e com uma alta aceitação de mercado, e logo a sua empresa vai precisar se atualizar e se adaptar às novas tendências de mercado. É nessa hora que os gestores de SI têm mais um custo, que é treinar o administrador do FW antigo para a nova tecnologia ou contratar outro especialista no novo produto. Agora pense nos outros segmentos de SI onde é necessário ser administrador de um produto. Não estou dizendo que um FW ou um administrador de FW não são importantes, muito pelo contrário, eles são peças essenciais dentro de uma empresa, só que além desses profissionais não possuírem o foco de segurança, e sim de operação e administração, eles devem estar alocados dentro da infra-estrutura de TI e não no setor de SI.

O profissional de SI não deve ser administrador de um produto; na verdade, ele precisa ser o que chamamos de ¿especialista-generalista¿, ou seja, ter sólidos conhecimentos de SI e possuir conhecimentos suficientes em tecnologias, e não em produtos. A área de SI está cada vez mais se tornando uma área de compliance (conformidades) e monitoramento, demandando serviços e projetos para os setores de infra-estrutura, sistemas e outros. O foco da área de SI deve ser em análise, riscos, monitoramento, fomentação da cultura de SI, padrões e políticas, ou seja, deve exigir que a empresa tenha um FW implementado e que este atenda a requisitos mínimos de segurança, mas não administrá-lo.

Essa nova missão da área de SI é muito pouco compreendida, de maneira geral os gestores se apegam aos ativos que administram (FW, IDS, PROXY, AD) enquanto que na verdade deveriam estar buscando uma maior integração com o negócio da empresa, identificando as ameaças e vulnerabilidades que ameaçam o negócio. Para sermos mais específicos vamos dar um exemplo que está presente em 99% das empresas: os usuários e seus sistemas - imaginem aquele novo FW altamente configurado por um especialista certificado, está com uma porta aberta para que um sistema da empresa possa se comunicar, mas o que os gestores não vêem é que aquele sistema pode estar totalmente vulnerável, tanto externamente quanto internamente. Ou seja, o mesmo permite ataques de sql-injection, buffer overflow e permite que os usuários internos fraudem a própria empresa. Esse é só um exemplo de segurança que não é feita com produtos, e sim com análises, processos e fomentação de cultura de SI.

A área de SI deve também contar com um apoio, suporte externo, onde geralmente é uma empresa que possui um foco de análise técnico em segurança, que realize varreduras externas e internas e esteja sempre colocando em cheque a segurança através de testes e outros, gerando resultados que na verdade serão demandas para as áreas de infra-estrutura e sistemas. Alinhar essa nova visão em um setor onde o cotidiano está muito operacional não é tarefa simples. O gestor deve fazê-lo de forma particionada e manter sempre sua equipe informada. Nesses casos não é necessário realizar cortes, basta movimentar os administradores junto com os produtos para a área de TI e focar na nova estratégia de atuação.

segunda-feira, outubro 02, 2006

Business and Security together

Gostaria de registrar aqui dois sites ótimos para consulta em segurança da informação. O primeiro http://www.informationweek.com.br/ está em português e sempre traz em quase todas edições da revista "InformationWeek" assuntos referente a SI com foco em gestão. Obs: O conteúdo de todas edições está disponível online.

O segundo é o conhecido www.csoonline.com referência com um conteúdo risco e atualizado.

Até,

Rangel Rodrigues

sexta-feira, setembro 29, 2006

Como se preparar para ocupar o cargo de CISO

Esta semana saiu uma matéria interessante no site ComputerWorld. Como se tornar um CISO, confira a matéria:

Conhecimento técnico, certificações e linguagem do negócio. Esse tripé de habilidades, somado às capacidades de comunicação, apresentação e confiabilidade, formam um profissional de segurança.

Por COMPUTERWORLD
29 de setembro de 2006 - 10h33

Os executivos responsáveis pela segurança da informação, os Chief Information Security Officers (CISOs) e o trabalho importante que eles realizam são cada vez mais reconhecidos pelas cúpulas das corporações. Estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium revela que os profissionais de segurança da informação estão cada vez mais galgando posições de destaque nos quadros corporativos.

O estudo nomeado Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação (quase o dobro dos 12% que fizeram a mesma declaração em 2004) e 73% afirmaram que esta tendência se manterá.

Soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas, tornam essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. Como resultado, o cargo de CISO acaba priorizando a gestão de riscos e está mais integrado às funções de negócio. Profissionais de segurança têm que aprimorar suas habilidades técnicas e de negócio para estarem aptos a executar esta função.

A validação independente de competências e experiências, além do comprometimento com a profissão de segurança da informação abrem portas para quem aspira ao cargo de CISO. Os profissionais de segurança da informação devem levar em conta a importância de obter certificações de uma associação de segurança profissional para ajudar a impulsionar suas carreiras. Para 90% dos participantes da pesquisa envolvidos com contratação, as certificações são um pouco ou muito importantes na decisão de contratar alguém. E mais de 60% pretendem adquirir pelo menos uma certificação de segurança da informação nos próximos 12 meses.

Existem duas categorias de certificação de segurança da informação: a dependente e a independente de fabricantes. Ambas são úteis para o desenvolvimento da carreira. As “credenciais” atreladas a fabricantes (como as da Cisco e da Microsoft, por exemplo) são meios importantes de obter as habilidades necessárias. No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificações Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções.

Ao elaborar seu plano de carreira, procure também buscar a ajuda de associações que oferecem serviços de construção de carreira e educação continuada, além de explorar oportunidades para demonstrar sua experiência na área, fazer parte de redes de comunicação com colegas, e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário.

O guia Resource Guide for Today's Information Security Professional, edição global 2006, compilado pela ISC2, também é uma ótima fonte de organizações e instituições educacionais, associações profissionais, conferências e exposições, recursos online e publicações que têm como foco a segurança da informação.

Entretanto, certificação e experiência em segurança são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CISO, você também precisa saber se comunicar em termos de negócios. Para isso, procure aliar sua proficiência técnica à habilidade de transmitir o valor do negócio. Você tem que explicar os benefícios da segurança em termos de retorno do investimento (ROI), seu valor para aprimorar a capacidade da empresa de fazer negócios e as soluções práticas que ela traz para os problemas – tudo isso mesclado com o apetite da organização por risco.

Enquanto aprimora suas habilidades de segurança e negócios, você também pode trabalhar dentro de sua própria organização para se preparar para uma transição na carreira. Confira a seguir algumas dicas extraídas de um painel de discussão sobre como se tornar um CISO, realizado na Conferência da RSA que aconteceu neste ano nos Estados Unidos:

- Aprenda a colaborar com outros departamentos para integrar e avaliar outras funções. De acordo com um estudo da Universidade de Auburn, a implementação de programas de segurança da informação demanda níveis excepcionalmente altos de “interdependência de tarefas”. Os entrevistados da pesquisa da IDC confirmaram essa premissa ao admitir que 62% de suas tarefas cotidianas dependem da troca de informação ou da cooperação com outras pessoas.

- Adote a abordagem do valor agregado, aprendendo a alinhar suas atribuições e responsabilidades com as metas de negócio de cada departamento. Observe o panorama geral – as estratégias e o foco da organização. Pense no negócio como um todo, conheça o impacto que você exerce sobre ele e saiba como criar valor para a organização. Transmitir o valor da segurança da informação ajudará a fomentar o espírito de cooperação na organização inteira.

- Desenvolva seu próprio círculo de confiança dentro da organização com representantes de cada departamento para ajudar a promover a compreensão mútua, a valorização e o trabalho em equipe. Quando um número maior de pessoas concorda com você, você ganha credibilidade. E, em algum momento, os executivos vão ficar mais bem informados sobre seu grupo e reconhecer o valor de consultá-lo.

- Mantenha conversas com executivos para que eles possam conhecê-lo e aprender a confiar em você. Estas conversas devem ser sucintas, porém expressivas, contendo termos de negócio e não vocabulário “geek” ou acrônimos. Determine como você pode agregar valor às suas metas e demonstre por que você deve ser consultado ou incluído em uma reunião.

- Ofereça treinamento para conscientizar os executivos e usuários sobre ameaças à segurança que afetam os home offices e apresente as técnicas de prevenção. Desta forma, os executivos vêem a diferença que você fez para os computadores ou as redes que têm em casa e vão confiar na sua capacidade de fazer recomendações para as redes da empresa.

- Aprenda a equilibrar riscos e oportunidade. Muitos executivos consideram o staff de segurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível ao equilibrar os riscos à segurança com os processos de negócio que ajudam a organização a cumprir as metas.

Diante de tudo isso, você ainda gostaria de ser um CISO? Estaria disposto a se afastar de alguns aspectos técnicos da segurança da informação? Se a resposta for sim, atualize seu conhecimento técnico e suas certificações, aprenda a linguagem do negócio e adquira habilidades de comunicação e apresentação. E trave relações com executivos para que eles se conscientizem de seu conhecimento e habilidades, comecem a confiar em você e o vejam como uma boa opção para um cargo estratégico na corporação.

Os empregos em segurança estão aumentando...

Existem oportunidades para os que querem trilhar a carreira de segurança da informação. Projeção de profissionais de segurança da informação para a região das Américas. ENTRA GRÁFICO DE COLUNAS2006 – 647.5772007 – 693.2182008 – 735.7092009 – 787.292Fonte: IDC 2005

... e os empregadores estão demandando certificação

Empregadores validam a importância da certificação para a contratação de profissionais de segurança da informação;ENTRA GRÁFICO DE PIZZAImportante: 50%Muito importante: 40%Neutro: 7%Não importante: 1,3%Sem importância nenhuma: 1,3%*Total difere de 100 devido a arredondamentoFONTE: IDC 2005

Como é a função de CISO no Brasil?
Conheça a trajetória de um profissional brasileiro da área de segurança que chegou ao cargo de CISO.

O Tenente Coronel do Exercito Brasileiro João Rufino de Sales exerce atualmente a função de Chefe do Terceiro Centro de Telemática da Área de SP, o que na prática significa que ele é o responsável por toda a segurança da corporação paulista. É isso mesmo. A função de CSO ou CISO tem atualmente espaço nos mais variados tipos de organizações, incluindo órgãos públicos, governamentais e até mesmo o Exército. Deixando de lado a formação militar, feita na Academia Militar das Agulhas Negras, o tenente coronel Rufino também se especializou em Análise de Sistemas e Processamento de Dados.

Após concluir o curso, o militar foi designado a prestar serviço no Centro Integrado de Guerra Eletrônica (CIGE), onde começou a estudar sistemas de segurança para garantir a integridade das informações manipuladas pelo centro. Depois do CIGE, Rufino foi escolhido para projetar toda a estrutura de segurança do novo portal de informações do Exército e de toda a rede associada ao mesmo.

Antes de ocupar a função atual, o militar também passou pelo Gabinete de Segurança Institucional da Presidência da República, onde participou de diversas ações ligadas à segurança da informação do Governo Federal.

“Acho que para desempenhar o cargo de CSO em qualquer organização é fundamental se manter atualizado com as últimas tendências deste mercado, além de conquistar credibilidade em sua organização. Isso só é possível com o desenvolvimento de habilidades como dedicação, responsabilidade, organização e criatividade”, afirma o militar.

Para quem começa agora, Rufino sugere, além da formação específica, o desenvolvimento de habilidades de liderança. “E é claro que o conhecimento profundo do foco de negócios da companhia é fundamental para conseguir transformar a segurança em uma facilitadora das ações da empresa”, ele conclui. (APO)

domingo, setembro 10, 2006

Rumo ao CISSP

Já faz quase duas semanas que fiz o exame de certificação CISSP (Certified Information System Security Professional) da ISC2. O CISSP é considerada a certificação mais importante na área de Segurança da Informação, assim como CISM, CISA, MCSO, Security+ entre outras.

Dediquei praticamente mais de 1 ano nos estudos com apoio dos livros All-in-One, Study Guide Sybex CISSP, PrepLogic, Material do MCSO, material oficial do seminário emprestado pelo meu chefe, cccure.org, artigos e simulados. Claro que devo lembrar dos meus amigos do grupo de estudos de São Paulo "CISSP-BR-SP" e o pessoal da lista CISSP-br que estiverem ali do meu lado várias horas entendendo os conceitos dos 10 domains.

Acredito que a fase de estudo foi a mais importante, pois tive a oportunidade de aumentar meu networking, conhecer pessoas novas na área de SI, expandir meus conhecimentos em SI e com certeza vem me ajudando a cada dia a lidar com situações difícies na empresa onde trabalho.

Confesso que para mim a fase de estudo vem sendo um grande desafio e a principal meta neste ano é se tornar um profissional certificado CISSP. Certificar em CISSP não significa que vou conseguir um emprego com um grande salário, mais ser visto como um profissional competente e reconhecido pelo trabalho que desenvolvo.

Já tive a experiência de fazer o exame e sentir na pele como o processo é desgastante. Minha visão do exame é o longo tempo que você fica sentado na cadeira interpretando cada questão, sem falar no tempo que você tem que gerenciar para transferir as respostas para o booklet.

Nesta última prova senti mais dificuldade em manter a resistência durante às 6 horas de exame, parei 1 (uma) única vez para ir ao banheiro, beber água e comer uma maça e depois voltei rápido para concluir o exame com mais força. Na revisão e passagem das respostas para o booklet acredito que faltaram 10 e 13 questões que tive que reler e responder, aquelas que surgiram dúvidas e uma ou outra que eu não sabia.

Acredito que estava bem preparado e agora aquele friozinho bate no peito toda a vez que lembro do e-mail com o resultado que em breve estará chegando em minha caixa postal.

Bom, agora estou mantendo a calma, convicção, fé e esperança em Deus que serei aprovado no exame CISSP. I trust in God!!!

Em breve voltarei para descrever a sensação pós resultado.

domingo, setembro 03, 2006

A visão estratégica é cada vez mais cobrada dos profissionais de SI

Esta semana foi publicado no site da Módulo um artigo interessante da mudança da segurança da informação com a visão mais direcionada ao negócio é cada vez mais cobrada dos profissionais de SI. Vale a pena dar uma olhada:


A nova visão da Área de Segurança da InformaçãoFábio Silva de Albuquerque
DATA - 31 Ago 2006
FONTE - Módulo Security Magazine


Como já é de conhecimento da maioria, tecnologia de Segurança da Informação (SI) disponível no mercado é o que não falta, mas o foco da mudança de visão da área de SI não está só em tecnologia, mas também no fator humano.

Vamos parar e pensar na seguinte situação: hoje temos diversos produtos para implementar um firewall (FW) dentro de uma empresa, e geralmente junto com esses produtos é preciso um analista, que na verdade é um administrador de um produto. Bem como de costume, surge uma nova tecnologia muito bem conceituada e com uma alta aceitação de mercado, e logo a sua empresa vai precisar se atualizar e se adaptar às novas tendências de mercado. É nessa hora que os gestores de SI têm mais um custo, que é treinar o administrador do FW antigo para a nova tecnologia ou contratar outro especialista no novo produto. Agora pense nos outros segmentos de SI onde é necessário ser administrador de um produto. Não estou dizendo que um FW ou um administrador de FW não são importantes, muito pelo contrário, eles são peças essenciais dentro de uma empresa, só que além desses profissionais não possuírem o foco de segurança, e sim de operação e administração, eles devem estar alocados dentro da infra-estrutura de TI e não no setor de SI.

O profissional de SI não deve ser administrador de um produto; na verdade, ele precisa ser o que chamamos de ¿especialista-generalista¿, ou seja, ter sólidos conhecimentos de SI e possuir conhecimentos suficientes em tecnologias, e não em produtos. A área de SI está cada vez mais se tornando uma área de compliance (conformidades) e monitoramento, demandando serviços e projetos para os setores de infra-estrutura, sistemas e outros. O foco da área de SI deve ser em análise, riscos, monitoramento, fomentação da cultura de SI, padrões e políticas, ou seja, deve exigir que a empresa tenha um FW implementado e que este atenda a requisitos mínimos de segurança, mas não administrá-lo.

Essa nova missão da área de SI é muito pouco compreendida, de maneira geral os gestores se apegam aos ativos que administram (FW, IDS, PROXY, AD) enquanto que na verdade deveriam estar buscando uma maior integração com o negócio da empresa, identificando as ameaças e vulnerabilidades que ameaçam o negócio. Para sermos mais específicos vamos dar um exemplo que está presente em 99% das empresas: os usuários e seus sistemas - imaginem aquele novo FW altamente configurado por um especialista certificado, está com uma porta aberta para que um sistema da empresa possa se comunicar, mas o que os gestores não vêem é que aquele sistema pode estar totalmente vulnerável, tanto externamente quanto internamente. Ou seja, o mesmo permite ataques de sql-injection, buffer overflow e permite que os usuários internos fraudem a própria empresa. Esse é só um exemplo de segurança que não é feita com produtos, e sim com análises, processos e fomentação de cultura de SI.

A área de SI deve também contar com um apoio, suporte externo, onde geralmente é uma empresa que possui um foco de análise técnico em segurança, que realize varreduras externas e internas e esteja sempre colocando em cheque a segurança através de testes e outros, gerando resultados que na verdade serão demandas para as áreas de infra-estrutura e sistemas. Alinhar essa nova visão em um setor onde o cotidiano está muito operacional não é tarefa simples. O gestor deve fazê-lo de forma particionada e manter sempre sua equipe informada. Nesses casos não é necessário realizar cortes, basta movimentar os administradores junto com os produtos para a área de TI e focar na nova estratégia de atuação.

Fábio Silva da Albuquerque é Analista de Segurança da Informação e certificado MCSO