Quanto ganha um Hacker Ético?

Salários base de R$ 10.000 para pentesters.

O grande movimento de migração das empresas para o digital fez crescer a importância dos profissionais da área de TI. Em paralelo, a alta exposição de organizações ao mundo virtual fez com que crescesse também o número de ciberataques em mais de 200% nos últimos anos.

As estimativas para o crescimento do número de ataques cibernéticos apontam para um déficit alarmante no número de profissionais das mais diversas áreas de cibersegurança. Os profissionais desta área são altamente valorizados por grandes empresas e instituições governamentais para realizar os mais diversos tipos de serviço no que chamamos de Ethical Hacking

O hacker ético, diferente de hackers mal-intencionados, através do seu conhecimento sobre segurança da informação procura: contribuir com a robustez das medidas de defesa e segurança de dados e servidores, pesquisar vulnerabilidades, avaliar impactos de invasões, realizar testes de intrusão (pentest), contramedidas após incidentes, desenvolvimento de softwares, pesquisas forenses e uma variedade de atuações de alta estima no mercado nacional e internacional.

O que é Ethical Hacking?

O ethical hacking é um conceito de segurança da informação que consiste na condução de análise e exploração de dispositivos, sistemas e redes de computadores dentro de um parâmetro legal e ético.

A palavra “hacker” ainda traz consigo uma conotação ruim. Aos poucos e à medida que o processo de digitalização evolui, as pessoas passam a entender que na verdade um hacker não é necessariamente um cibercriminoso, esses são os que chamamos de black hat. Em contrapartida, os white hat seriam os “hackers do bem”, que apesar de terem o conhecimento para realizar invasões e explorar maliciosamente brechas de segurança, não o fazem. O white hat que atua profissionalmente e atende a demandas legais também pode ser chamado pelo título de “hacker ético”. 

O ethical hacker utiliza dos mesmos conhecimentos que cibercriminosos para evitar justamente que esses atacantes maliciosos possam lograr êxito em qualquer uma de suas tentativas, podendo atuar em duas frentes de cybersecurity:  blue team e red team

De maneira geral, esses times devem trabalhar juntos, porém de maneira antagônica. Assim como no futebol existem dois times que se enfrentam em ataque e defesa, na cibersegurança nós também temos um time de ataque e um time de defesa. O blue team, equipe azul, atua na defesa implementando medidas de proteção e segurança para que as estratégias de intrusão e quebra de proteção de segurança da equipe vermelha (red team) não funcionem. Juntos então, esses times podem encontrar e corrigir quaisquer falhas de segurança antes mesmo que algum agente externo o faça causando prejuízos à organização.

Quanto ganha um hacker ético?

De uma maneira geral, as profissões da área de TI são subdivididas em categorias de senioridade, que estabelecem o grau de conhecimento e profundidade de atuação em determinado exercício. Como é de se imaginar, a cada nível de senioridade também se atribui um nível de remuneração, nada mais justo, afinal a senioridade representa também a capacitação profissional e escopo de atuação de um determinado indivíduo.

Para entendermos como funciona a remuneração desse mercado precisamos seguir uma jornada desde o contrato de estagiário aos demais níveis de senioridade do profissional contratado efetivamente. Também precisamos considerar diversos fatores que tornam esse cálculo um tanto quanto relativo: trata-se de um profissional independente ou um agente contratado por uma empresa especializada?  A atuação é no Brasil ou internacional (de maneira remota ou não)?

Esses fatores nos ajudam a entender como analisar e definir uma resposta para a pergunta: quanto ganha um hacker ético? 

Se considerarmos uma empresa séria, que de maneira ética conduz seus serviços e também cobra devidamente por isso, temos uma média salarial que tem sido atrativa para milhares de brasileiros:

Estagiários:  

Para estudantes de cursos superiores na área de TI, os estágios já se iniciam acima da média do mercado convencional, variando entre R$1.500 a R$ 2.000 reais.

Júnior:

Quando falamos sobre o profissional efetivamente contratado a coisa começa a ficar ainda mais interessante, considerando inclusive que um curso superior não é requisito para contratação, e portanto o estágio não é a única porta de entrada para o mercado de trabalho. Os salários normalmente circulam entre R$ 3.000 e R$ 5.500 reais, podendo variar de acordo com o retorno de valor que o contratado oferece à empresa.

Pleno:

Apesar de sempre existir uma sombra de dúvida sobre como distinguir um júnior de um pleno, vamos considerar nessa seção o white hat que já possui especializações e alguma frente de atuação, um profissional de capacidades além das que se espera de um júnior e com uma bagagem de experiência maior. As faixas de remuneração variam entre R$8.000 a R$ 12.000, havendo também variações positivas referentes à produtividade.

Sênior:

Agora vamos falar sobre o nível mais alto de senioridade. O sênior é representado pelo agente que por superar tecnicamente os níveis anteriores está apto para desempenhar funções de maior responsabilidade e liderança em projetos de maior risco, é o hacker que já possui muitos anos de experiência. Os salários de um desenvolvedor sênior variam especialmente em relação ao cargo ocupante, mas de maneira geral estão entre R$ 18.000 e R$ 20.000. Porém se considerarmos um sênior que atua em uma posição de diretor, começamos a trabalhar com valores que superam a casa de R$ 30.000.

Agora que entendemos em geral a base de remuneração na área de cibersegurança, podemos falar de um profissional que tem se destacado em nível de demanda e também em valor de remuneração, esse hacker realiza testes de intrusão e é chamado de pentester.

Um pentester normalmente tem uma remuneração acima da média devido aos fatores que definem sua especialidade. Um pentest é a medida final de segurança de uma grande empresa, e por ser a medida mais importante e minuciosa que há, exige contratos de valores mais altos.

Mas não é somente assim que um pentester pode realizar seu ganha-pão. Também existem diversos programas de bug bounty que remuneram legalmente os hackers que encontram falhas na segurança de diversas empresas, como o Facebook do grupo Meta, que oferece recompensas de US$ 50.000 para quem reportar falhas em seus sistemas. 

Nós da Solyd, como um incentivo para nossos alunos do curso pentest profissional, oferecemos um CTF (Capture the Flag) interno, no valor de 0,011 Bitcoins ou R$ 3.000. Isso é apenas um dos incentivos que fazemos na melhor formação de pentester profissional do Brasil, onde formam-se profissionais com bagagem técnica e experiência para ingressar em um mercado que tem uma base salarial de R$10.000 para o ano de 2022.