E-BOOK

CompTIA
Advanced Security
Practitioner (CASP)
COMBINAO DE HABILIDADES GERENCIAIS
E TCNICAS COMO DIFERENCIAL COMPETITIVO
DE CARREIRA

FEBRUARY 2016
Sumrio

3 Entre a subjetividade e a objetividade das ameaas digitais

4 Captulo 1: Ameaas digitais crescem, gargalo permanece
5 Captulo 2: Um passo atrs das ameaas digitais
7 Captulo 3: O que e para que serve a CASP
10 Captulo 4: CASP, indicada para profissionais de todos os nveis
12 Captulo 5: Como obter a CASP
13 Bibliografia
14 Sobre

CompTIA Advanced Security Practitioner (CASP)

 Entre a subjetividade e a objetividade
das ameaas digitais
Na era da digitalizao, carreiras das mais variadas surgem e
somem com extrema rapidez. Assim como a Revoluo Industrial
mudou para sempre a manufatura, a transformao digital exige
adaptao de empresas e profissionais em uma velocidade ace-
lerada, quase que diariamente. Se for difcil fazer a correlao,
basta pensar no movimento de Big Data, analytics e inteligncia
artificial, ou tente se lembrar se iPhone e Android eram assunto
em 2006.

Isso exige capacitao constante, especialmente dos profissionais de tecnologia da

informao. preciso investir em novidades, mas sem descuidar de competncias
consagradas. Esse perfil, que equilibra o especialista com o generalista, est melhor
preparado para enfrentar e crescer no mercado.

Com segurana da informao no diferente. Neste ebook, voc entender como o

crescimento em nmero, variedade e gravidade de ataques cibernticos suscita maior
preocupao para as empresas e que, ao mesmo tempo, o maior fator de risco continua
sendo o ser humano.

Para atender a essas duas frentes os malwares, objetivos, e as pessoas, subjetivas, as

companhias precisam de um profissional que concilie conhecimento tcnico e lideran-
a. Aquele a quem a empresa pode contar em momentos de calmaria e planejamento,
e a quem o time pode recorrer em episdios de crise e enfrentamento de ataques.

Porque, nessa era das ameaas digitais, a nica certeza que os ataques viro.

A Computing Technology Industry Association (CompTIA) uma associao de mercado

sem fins lucrativos que serve como voz da indstria de tecnologia da informao. Com
aproximadamente 2.000 companhias-membro, 3.000 parceiros acadmicos e de trein-
amento, mais de 65.000 usurios registrados e dois milhes de certificados emitidos,
a CompTIA dedicada a fortalecer o crescimento da indstria por meio de programas
educacionais, pesquisa de mercado, eventos de relacionamento, certificao profissional
e promoo de polticas pblicas.

03 CompTIA.org
CAPTULO 1
Ameaas digitais crescem, gargalo
permanece
Desafios constantes, mercado aquecido
e a oportunidade de fazer histria. Quem
trabalha com segurana da informao res-
ponsvel por proteger informaes corpora-
tivas e pessoais de ataques maliciosos e, para
isso, fica frente frente com ameaas nunca
vistas, nascidas em diferentes partes do globo
em busca de novos vetores. O prximo ataque
chegar por meio de um e-mail spam, um drone
que invade redes ou pelo micro-ondas da
cozinha? O especialista de SI pilota em uma
corrida em alta velocidade pela defesa dos da-
dos, contra adversrios sagazes e cada vez mais
profissionalizados. E a recompensa por tama-
nho preparo e conhecimento est altura.
at fcil evidenciar a relevncia desse
profissional: o mercado de cibersegurana
movimentou, em aquisio de solues e
servios, US$ 106,32 bilhes em 2015, e o valor
deve chegar a US$ 170,21 bilhes em 2020, de
acordo com projeo da Markets and Markets.
Tanto dinheiro no investido toa: em
2014, foram criadas 317 milhes variantes de
malwares, marca superior aos 252 milhes
de 2013. Os tipos so variados: o nmero de
ataques com Ransomware, por exemplo,
cresceu 113% em 2014, para 8,8 milhes, ou
24 mil por dia; j as ameaas zero-day, que se
aproveitam de vulnerabilidades desconheci-
das at pelos fabricantes, ganham cada vez
mais projeo ao todo, os cinco ataques
mais graves desse tipo deixarem sistemas
vulnerveis por 295 dias antes que patches
corretivos fossem implementados. Esses so
dados da edio 2015 do documento Relatrio
de Ameaas de Segurana na Internet (ISTR),
elaborado pela Symantec, que sintetiza:
atacantes esto avanando mais rpido, e
as defesas, no.
E, para as empresas, a figura do atacante
cada vez mais difusa e complexa. O relatrio
aponta que o aumento no nmero de
ocorrncias acompanhado por uma
profissionalizao dos criminosos, que
combinam engenharia social e ferramen-
tas personalizadas para construir ataques
direcionados que no respeitam mais
permetros bem definidos dos sistemas de
segurana empresariais.
O impacto direto no caixa: o custo mdio
de ser vtima de uma invaso que explora
brechas de segurana era de US$ 3,8
milhes em 2015, conforme o estudo Custo
Global de Brecha de Dados, do Instituto
Ponemon. Dentro desse custo esto US
$ 154, em mdia, para cada registro contendo
informaes sensveis ou confidenciais.
O COMPONENTE HUMANO
Os desafios tecnolgicos aumentam, mas o
erro humano ainda o maior responsvel
por criar riscos: 55% dos casos de brechas
de segurana so atribudos a esse fator,
sendo que as falhas mais comuns envolvem
o usurio final ou a equipe de TI no seguir
polticas ou procedimentos de segurana,
de acordo com o 11 levantamento anual
de Tendncias de segurana da informao,
elaborado pela CompTIA. O restante dos
casos (45%) explicado por falhas tec-
nolgicas, conclui o documento.
O dado levanta um aspecto essencial: a im-
portncia de preparar o departamento de TI
no s para defender a companhia contra
ciberataques externos como tambm para
inibir situaes de erro humano. Assim,
torna-se indispensvel nutrir um ambiente
em que usurio final e os profissionais de
TI estejam alinhados quanto s polticas
de segurana, especialmente em episdios
de ataque.
CompTIA Advanced Security Practitioner (CASP)
 CAPTULO 2

Um passo atrs das ameaas digitais

Dados do mercado reforam a ideia de que a Tecnologias e Tendncias de Fora de Tra-

capacitao dos profissionais de segurana
no acompanha o avano das ameaas
digitais. De acordo com o Estudo sobre
Tendncias em Segurana da Informao 2015
(Trends in Information Security Study 2015),
produzido pela CompTIA, menos de quarto
das empresas creem que seu nvel atual de SI
corporativa adequado (veja tabela abaixo).
Isso mostra que elas esto preocupadas em
buscar colaboradores que possam suprir suas
lacunas.
Para 84% dos executivos brasileiros, as
ameaas de segurana ficaram mais perigosas
entre 2013 e 2015. J 15% avaliam que no
houve mudana e apenas 2% sentiram que
o nvel de segurana aumentou, de acordo
com o Estudo Internacional de Adoo de
balho (International Technology Adoption
and Workforce Trends Study), produzido
pela CompTIA em 2015 com cerca de 1.500
respondentes.
No Brasil, a adoo crescente de redes
sociais o fator que mais preocupa os
executivos: 39% veem nas ferramentas um
novo vetor de ataques. Em segundo lugar
est a dificuldade de encontrar ou treinar
profissionais capacitados em segurana,
reclamao de 35% dos entrevistados - em
sequncia esto a consumerizao (33%);
maior conectividade entre dispositivos e
pessoas (32%); e o aumento do volume de
ameaas, que cresce em uma velocidade
maior do que o de defesas (32%).

Satisfao com o nvel atual de SI corporativa

100% Pouco satisfeitas

22% 15% 17%

90%
Parcialmente satisfeitas
80%
Muito satisfeitas
70%

60%

50% 57% 62% 57%

40%

30%

20%

10% 21% 23% 26%

0%

Empresas pequenas Empresas mdias Grandes

(1-99 funcionrios) (100-499 funcionrios) (500+ funcionrios)

Fonte: Estudo sobre Tendncias em Segurana da Informao 2015 - CompTIA

05 CompTIA.org
A lacuna de capacitao um ponto nevrl-
gico porque, para 34% das empresas, ela se
reflete em impactos negativos na segurana
da informao na companhia - somente
produtividade mais baixa considerada uma
consequncia mais danosa, apontada por 40%
dos negcios. O resultado: ataques deixam de
ser prevenidos ou mesmo descobertos, acar-
retando em perdas financeiras e intangveis
para a corporao. No Brasil, a questo es-
pecialmente grave, uma vez que apenas 10%
das empresas dizem que a equipe de TI tem
exatamente as competncias desejadas.
As estatsticas revelam uma posio de fra-
gilidade dos negcios, que esto incapazes
de atualizar sua estrutura de proteo. Para
o profissional atento ao mercado, contudo,
isso pode ser uma oportunidade - ainda
no Brasil, 57% das empresas planejam
aumentar seu time de TI em 2016, continua
o levantamento da CompTIA. E como o
foco sero colaboradores eficientes e com
conhecimento comprovado, a perspectiva
de salrios atrativos, segundo levanta-
mento da consultoria Robert Half. Os dados
(abaixo) refletem a realidade do mercado
norte-americano, mas do um indicativo do
potencial da rea.

Salrio anual mdio em Aumento de

Cargo em segurana da informao 2016 nos Estados Unidos 2015 para 2016

Gestor de segurana de sistemas US$
Analista de segurana de dados US$
Engenheiro de segurana de redes US$
Administrador de segurana de sistemas US$
Administrador de segurana de redes US$
130 mil a US$ 182 mil 6,2%
113 mil a US$ 160 mil 7,1%
110 mil a US$ 153 mil 6,7%
105 mil a US$ 150 mil 6,1%
103 mil a US$ 147 mil 5,3%

Fonte: Guia Salarial 2016 par Profissionais de TI, Robert Half

CompTIA Advanced Security Practitioner (CASP)

 CAPTULO 3
O que e para que serve a CASP
A CASP (CompTIA Advanced Security Prac-
titioner, ou Profissional de Segurana
Avanada) uma certificao que nasceu da
necessidade: o Departamento de Defesa dos
Estados Unidos identificou que no existia no
mercado uma chancela que comprovasse que
o profissional tenha tanto conhecimentos
avanados em segurana, quanto capacidade
de gesto. Assim, o rgo formou parceria
com a CompTIA para a criao de uma prova
que fosse referncia internacional. Seu
contedo liga-se ao da CompTIA Security+
de forma complementar: a primeira apresenta
uma viso mais abrangente e comprova
habilidades de gesto, enquanto a segunda
favorece uma experincia mais tcnica e
hands on na resoluo de problemas em SI.
Lanada originalmente em 2012, a CASP foi
atualizada em 20 de janeiro de 2015, na verso
CAS-002. Seus contedos abordados passam
pela aprovao do comit de cibersegurana
da CompTIA, que inclui especialistas do
mercado privado, profissionais que fornecem
servio ao governo norte-americano e agentes
de Justia. A CASP uma das certificaes
mais demandadas da CompTIA, e sua procura
aumenta cerca de 64% a cada ano. Talvez
porque nunca tenha existido uma avaliao
com esse perfil, diz Patrick Lane, gerente de
produto snior da associao.
A CASP atesta que o candidato tem profi-
cincia tcnica e habilidades exigidas para
conceituar, arquitetar, integrar e implementar
solues seguras em ambientes complexos.
Para atingi-la, ele precisa estar apto a:
Aplicar o pensamento crtico em uma gama
ampla de assuntos ligados a segurana
Propor e implementar solues de segurana
que mapeiam a estratgia da organizao
07
Traduzir necessidades do negcio em
requisitos de segurana
Analisar o impacto que riscos como
brechas podem trazer empresa
Responder a incidentes de segurana
Dar ordens para a equipe em situaes de
ataque
Entre as empresas que j declararam
empregar funcionrios com CASP esto as
norte-americanas Dell; Hewlett Packard
Enterprise; IBM: Verizon Telematics, focada
em tecnologia para carros inteligentes;
Booz Allen Hamilton, firma de consultoria
de gesto; Network Solutions, LLC, que atua
com hospedagem de sites e domnios; One
Source Technologies Inc., que lida com in-
fraestrutura e segurana; alm do Exrcito
e da Marinha daquele pas.
A CASP tambm est em uma seleta lista
de certificaes exigidas a funcionrios
do Departamento de Defesa dos Estados
Unidos que atuam em seis cargos ligados
SI: tcnico de IA (Information Assurance)
nvel trs, gestor de IA nvel dois e arquite-
tos e engenheiros de IA nveis um e dois.
Security+, Network+ e A+ tambm esto
contempladas na chamada Diretiva 8140,
regulamento que exige ao menos uma
chancela comercial de profissionais que
atuam diversas funes na diviso. No
Brasil, o Departamento de Segurana da
Informao e Comunicaes (DSIC), rgo
subordinado ao Gabinete de Segurana
Institucional da Presidncia da Repblica,
indica que seus servidores e profissionais
devem empenhar-se em obter certificaes,
preferencialmente as listadas pela institu-
io entre elas, CASP e CompTIA Security+.
A determinao consta na Portaria n. 11 em
9 de abril de 2013.
CompTIA.org
 Razes mais citadas para conquistar a CASP

Validar o conhecimento tcnico avanado 63%

Receber oportunidades de emprego melhores 55%

Desenvolver novas competncias 49%

Plano de carreira / oportunidade de receber um aumento

39%
ou promoo

Exigncia do empregador 24%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Fonte: CASP Certification Evaluation 2014 - CompTIA

A prova no possui pr-requisitos. Seria a apresentao de cenrios prticos para

benfico ter alguns anos de experincia
prtica trabalhando no ambiente de
segurana de TI e possuir a certificao
CompTIA Security+. Ambas as duas
certificaes se complementam.
A PROVA
O exame dura at 165 minutos e tem 80
questes de dois tipos: mltipla escolha e
baseadas em performance, sendo, nesta etapa,
desafiar o candidato, colocando-o no papel
de um profissional que deve enfrentar um
ciberataque na rede empresarial. Diferente-
mente de outras provas, no h nota, e sim
resultado nico: aprovao ou reprovao.
A prova est disponvel em ingls.
Na tabela abaixo possvel ver o peso do
domnio de cada um dos conhecimentos
cobrados:

Domnio Peso no exame

1.0 Segurana enterprise 20%
2.0 Gesto de risco e resposta a incidentes 20%
3.0 Pesquisa e Anlise 18%
4.0 Integrao das disciplinas de computao, comunicao e negcios 16%
5.0 Integrao tcnica de componentes enterprise 16%
TOTAL 100%

CompTIA Advanced Security Practitioner (CASP)

 DETALHES DA ATUALIZAO

As certificaes CompTIA so atualizadas Maior foco em tarefas prticas do

periodicamente para adequar o contedo profissional em situaes de resposta a
realidade do mercado, atestando que os incidentes, em oposio a assuntos legais e
profissionais esto preparados para enfrentar de poltica
desafios atuais. Isso d suporte empresa
no atingimento de um de seus principais Mais perguntas baseadas em perfor-
objetivos: garantir melhores prticas no mance, que trazem cenrios prticos
setor. Tambm por esse motivo, seus exames
de certificao so elaborados com base na Maior cobertura de mtodos e conceitos
norma mundial ISO 17024 (Credenciamento de de criptografia
Certificao Pessoal), o que garante que essas
chancelas representem um trampolim para a nfase maior em storage segura, com des-
carreira no s no Brasil, como em qualquer taque para cloud computing e criptografia
lugar no mundo.
Mais peso para assuntos ligados a cloud
A edio CAS-001 foi aposentada em junho
de 2015. Novidades da verso CAS-002, que
chegou mundialmente em janeiro de 2015,
incluem:

09 CompTIA.org
CAPTULO 4
CASP, indicada para profissionais de todos
os nveis
Unindo competncias tcnicas e gesto na
rea de segurana da informao, a CASP
indicada a profissionais de ambas as
especialidades.
Trabalhando em TI h dez anos, Marcos Vini-
cios Penha consultor de projetos no setor
de segurana da informao. Sua trajetria
est muito ligada s chancelas: entrou na
empresa onde atua em 2010 sem certificao
e, aps quase seis anos e quatro exames
CompTIA, entre outros, recebeu 260% de au-
mento ao todo. Uma das promoes ocorreu
na poca em que conquistou a CASP, quando
passou de consultor pleno para snior e seu
salrio subiu 26%.
Penha estudou um ms intensamente para a
prova e comemora o reconhecimento profis-
sional atingido com o esforo. Fui um dos
primeiros do Brasil a obt-la. Isso e o fato de
ela ser vendor neutral, ou seja, no ligada a
nenhum fabricante, me ajudaram bastante,
lembra.
Veterano do setor, Alexandre Gomes Pinheiro
tem mais de 20 anos de TIC, j atuou como
instrutor para provas de certificaes e, atual-
mente, diretor comercial de uma empresa,
onde trabalha com solues de segurana
e infraestrutura. O profissional busca as
provas para se reciclar e, em 2015, teve um
ano intenso: conquistou quatro chancelas
CompTIA: Cloud Essentials, Security+, Cloud+
e CASP. E no parou: almeja a A+ por seu
perfil amplo e a CTT+, porque deseja retornar
s atividades de professor. O dinamismo da
rea de TI exige que os profissionais estejam
constantemente se atualizando. Acredito
que as certificaes so excelentes ferra-
mentas para esse propsito, pois propiciam a
atualizao ao mesmo que tempo que criam
o desafio de aprovao no exame, defende.
Para se preparar para a CASP, Pinheiro
revisou o contedo do exame usando livros
indicados pela CompTIA. uma prova bem
abrangente quanto aos domnios exigidos,
ao mesmo tempo que cobra questes tcni-
cas bem elaboradas, lembra.
Foi em 2001 que Wanderley Martins, que
atua em redes e infraestrutura, tirou sua
primeira certificao. E desde de ento vi
minha carreira decolar, avalia. Aps diversas
experincias profissionais, inclusive um ano
na Angola, ele v na CASP e nas outras certifi-
caes CompTIA um modo de aprofundar a
experincia. Acredito que, por serem reco-
nhecidas mundialmente, possam me ajudar
a conquistar uma carreira internacional mais
slida, diz.
Detentor da CompTIA Linux+, Security+, alm
da CASP, o profissional ressalta a importncia
das certificaes com um relato pessoal. Em
agosto de 2015, em meio crise, fui disputa-
do por algumas empresas para um mesmo
processo porque o edital exigia trs certifi-
caes especficas em um nico profissional,
e eu atendia a tais requisitos. Numa mesma
semana cheguei a fazer seis entrevistas sem
saber do que se tratava, lembra. Ele conse-
guiu uma vaga em uma multinacional como
especialista de segurana nvel snior
graas aos seus esforos de estudo. A CASP
foi crucial e de carter eliminatrio para essa
funo, afirmou.
Agora, com olho no avano em data center,
cogita estudar para a CompTIA Server+ e a
Cloud+.
CompTIA Advanced Security Practitioner (CASP)
 CASP E SECURITY+:
CERTIFICAES PARCEIRAS

Ao retratar o assunto SI com enfoques dife-
rentes, as provas CASP e Security+ entraram
juntas nos radares dos profissionais.
Penha, que possui ambas, avalia que a CASP
agrega um conhecimento de gesto mais
amplo do que a Security+, fazendo com que
elas se complementem.
Martins pontua que ambas trazem
benefcios distintos e tm versatilidade.
Ele no considera o percurso como regra,
mas avalia que ele benfico, visto que
ser considerado um profissional mais
completo e diferenciado, com certificaes
de peso internacional.

Para o profissional, aqueles que conquis-

taram a Security+ deveriam, sim, buscar a
outra. Eles se beneficiam com um conheci-
mento mais aprofundado e denso por meio
de um nvel de exigncia diferenciado.
Pinheiro concorda, e avalia esse caminho
como natural.

11 CompTIA.org
CAPTULO 5
Como obter a CASP
Agora que voc entende melhor a importn-
cia de, no atual panorama de segurana de
informao, investir em capacitao tcnica
e de gesto, veja como se tornar um profis-
sional certificado em CASP.
Voc pode saber mais sobre a certificao e o
teste no site da CompTIA.
Atualmente, todos os materiais de estudo
disponveis para CASP, produzidos por pouco
mais de quatro editoras, esto disponveis
em ingls. possvel encontr-los tanto no
formato digital quanto impresso.
Parceiros de treinamento da CompTIA ofere-
cem aulas preparatrias presenciais para o
exame da CASP. Estuda-se, tambm, a oferta
de cursos a distncia.
Contate Leonard Wadewitz (lwadewitz@
comptia.org), do time CompTIA Brasil, para
obter informaes completas sobre como se
preparar para o exame certificatrio.
COMO AGENDAR
O agendamento da prova realizado online
pelo portal CompTIA na PearsonVUE (http://
www.pearsonvue.com/comptia/). Para
acessar os servios do website, primeiro voc
deve criar a sua conta, localizar os centros
de testes oficiais da certificao e, ento,
agendar a prova.
CompTIA Advanced Security Practitioner (CASP)
 CAPTULO 6

Bibliografia
CompTIA

International Technology Adoption & Workforce Trends Study 2015 CompTIA

https://www.comptia.org/resources/international-technology-adoption-workforce-trends

Trends in Information Security Study 2015 CompTIA

https://www.comptia.org/resources/trends-in-information-security-study

11 levantamento anual de Tendncias de Segurana da Informao CompTIA

https://www.comptia.org/resources/11th-annual-information-security-trends?c=85672

Mercado de Cybersegurana Projeo Global para 2020 Markets and Markets

http://www.marketsandmarkets.com/PressReleases/cyber-security.asp

ISTR - Relatrio de Ameaas de Segurana na Internet Symantec

www.symantec.com/security_response/publications/threatreport.jsp

Guia salarial 2016 para profissionais de TI Robert Half

https://www.roberthalf.com/sites/default/files/Media_Root/images/rht-pdfs/robert_half_
technology_2016_salary_guide.pdf

Custo Global de Brecha de Dados - Instituto Ponemon

http://www-03.ibm.com/security/data-breach/

13 CompTIA.org
Sobre a CompTIA

A CompTIA a voz da indstria mundial de Tecnologia

da informao. Seus associados so empresas lderes
em inovao e profissionais responsveis por maximizar
os benefcios gerados pelos investimentos feitos em
tecnologia, pelas empresas para as quais trabalham. A
CompTIA se dedica ao crescimento da indstria, atravs
de seus programas educacionais, pesquisasde mercado,
eventos setoriais para networking, certificao profissional
e militncia em favor da categoria profissional.

Para mais informaes visite CompTIA.org

CompTIA Advanced Security Practitioner (CASP)

CompTIA Worldwide Headquarters
CompTIA Certifications
3500 Lacey Road, Suite 100
Downers Grove, Illinois 60515

630.678.8300
CompTIA.org

2016 CompTIA Properties, LLC, used under license by CompTIA Certifications, LLC. All rights reserved. All certification programs and education related to such programs are
operated exclusively by CompTIA Certifications, LLC. CompTIA is a registered trademark of CompTIA Properties, LLC in the U.S. and internationally. Other brands and company
names mentioned herein may be trademarks or service marks of CompTIA Properties, LLC or of their respective owners. Reproduction or dissemination prohibited without
written consent of CompTIA Properties, LLC. Printed in the U.S. 02390-Jan2016