Certified Information System Security Professional
CISSP é o acrônimo para Certified Information System Security Professional, um certificado profissional emitido e mantido pelo consórcio ISC2, fundado com o objetivo de estabelecer critérios para avaliar profissionais que trabalham com segurança da informação.
De acordo com o consórcio ISC2, existem mais de 49.000 profissionais de segurança certificados em mais de 120 países1 . Recentemente foi designada com a certificação ANSI ISO/IEC Padrão ISO/IEC 17024 -- trata-se da primeira certificação profissional a receber esta designação em caráter mundial.
A certificação é fundada sob um conjunto de melhores práticas estabelecidas pelo consórcio que foram agregadas na forma de 10 domínios.
Para se certificar, o profissional de segurança da informação deve passar em um exame de conehcimentos específico, aceitar o Código de Ética do ISC2, comprovar um tempo mínimo de experiência na área e ser "apadrinhado" por outro profissional.
Metodologia e Sistema de Controle de Acesso [editar]
Este domínio trata das melhores práticas para o desenvolvimento de metodologias de controle de acesso. De controles técnicos a controles gerenciais, trata-se de todo e qualquer mecanismo que tenha por objetivo estabelecer o triplo A (AAA - Autenticação, autorização e asserção - do inglês Authentication, authorization and accounting).
Segurança em Telecomunicações, Redes e Internet [editar]
Este domínio trata dos principais controles, técnicas e metodologias para assegurar a confidencialidade, integridade e disponibilidade de sistemas de informação através de mecanismos telemáticos, redes de informação e Internet.
Práticas de Gestão de Segurança [editar]
Trata-se do domínio que descreve as principais práticas de gestão da segurança de sistemas de informação. Está inserido neste contexto questões regulamentares (agências supra-governamentais), legislação específica (governo), gestão de políticas de segurança (diretrizes administrativas) e continuidade do negócio.
Desenvolvimento de Aplicações e Sistemas [editar]
Este domínio compreende todas as práticas para gerir o desenvolvimento de aplicações e sistemas informativos com o foco em assegurar a confidencialidade, integridade e disponibilidade dos dados.
Criptografia [editar]
O conjunto de melhores práticas para uso de algoritmos de criptografia simétricos, assimétricos e hash estão listados neste domínio. Considera-se também métodos de utilização híbridos que comportem a funcionalidade de autenticação, integridade e não-repúdio da informação.
Arquitetura e Modelos de Segurança [editar]
Este domínio reune os principais modelos de segurança utilizados para certificação de ambientes computacionais. São exemplos de modelos de certificação o ITSEC (Europa), TCSEC Estados Unidos (Orange Book), BS 7799 Inglaterra e Common Criteria.
Segurança Operacional [editar]
Este domínio sugere uma compilação de boas práticas para a gestão operacional da segurança da informação, incluindo questões de armazenamento de cópias de segurança (técnicas de backup), controle operacional de turnos, contratação de recursos humanos, etc.
Plano de Continuidade de Negócios [editar]
O domínio mais próximo das necessidades da operação de negócios das empresas. Trata-se de uma compilação de melhores práticas para estabelecer um plano bem sucedido de continuidade de negócios, incluido procedimentos de contingência para componentes separados de negócio e, em casos mais tradicionais e custosos, um plano de recuperação de desastres.
Lei, Investigação e Ética [editar]
Este domínio trata das questões legais que tangem o universo da segurança da informação. De exemplos concretos como os atos de proteção a sistemas de telecomunicação (1996) nos Estados Unidos à condição atual da legislação européia, o objetivo é compreender a motivação para estabelecer regulamentações de proteção a informação em uma sociedade, processos investigativos para sustentar o devido processo legal e condição ética necessária para os profissionais envolvidos.
Segurança Física [editar]
Conjunto de melhores práticas para avaliar e estabelecer controles técnicos, operacionais e gerenciais de proteção física de um ambiente de processamento de dados.
