Catlogo de Treinamentos

PCI-DSS - SEGURANA DA INFORMAO - FORENSE DIGITAL - GRC - CLOUD COMPUTING

Sobre a Antebellum

Antebellum Capacitao Profissional

SOBRE A ANTEBELLUM
Criada em 1997 com a finalidade de prestar servios e treinamentos em Tecnologia da Informaao, a
Antebellum dedica-se exclusivamente a treinamentos com temas relacionados a Segurana da
Informaao.
Os cursos da Antebellum nasceram da observaao de um grupo de instrutores e professores da area de
Tecnologia da Informaao e Segurana da Informaao, sobre as mudanas nos cenarios nacional e
internacional e as dificuldades encontradas pelos profissionais dessas areas para na contrataao de
treinamentos que se encaixassem em suas agendas, oramentos e que alem de apresentarem seu
conteudo de forma aprofundada e objetiva, refletissem essa qualidade no material do aluno,
transformando-o em uma fonte de referencias futuras e apoio ao estudo para certificaoes.

CARACTERSTICAS DOS TREINAMENTOS

Durante anos levantamos junto a nossos alunos os pontos mais positivos em cada treinamento e as
dificuldades encontradas no aprendizado. Desse estudo nasceu um projeto que contempla soluoes
objetivas para as principais reivindicaoes e problemas encontrados por alunos e empresas, destacando-se os seguintes fatores:

Foco na excelencia na criaao de conteudo;

Programa de capacitaao de instrutores;
Treinamentos modulares com imersao de 1 a 3 dias em temas especficos;
Investimento cuidadosamente pensado que seja acessvel para empresas e profissionais independentes;

Atendimento a diversas regioes do Brasil, atraves de sua rede de parceiros criteriosamente selecionados;

Temas atuais com cursos preparatorios para certificaoes de grandes organismos internacionais.

Porque antes de tudo mais, preparar-se o segredo do sucesso.

Henry Ford
2

Treinamentos PCI Council

A Antebellum tem a filosofia de associar-se a empresas no exterior para trazer os melhores treinamentos
em Tecnologia da Informaao e Segurana da Informaao para a America Latina.
A Antebellum foi a unica empresa no mundo a receber a autorizaao para ministrar os treinamentos
oficiais do PCI Council

October 02, 2012 10:15 AM Eastern Daylight Time

PCI Security Standards Council anuncia disponibilidade de
treinamento em portugues no Brasil.

DEPOIMENTO

Nova organizaao socia

brasileira oferecera treinamento de alta qualidade em PCI com

Temos o prazer de anunciar

instrutor na lngua local

nossa primeira parceria

O PCI Security Standards Council se associara a Antebellum, uma

empresa brasileira lder em treinamento em TI, para oferecer

internacional de treinamento e
estamos muito satisfeitos em
associar-nos Antebellum, uma

cursos orientados por instrutores para o programa de Internal

organizao com conhecimento

Security Assessor (ISA) e classe de Conscientizaao de PCI. Todos

profundo dos padres da PCI

os materiais e discussoes na sala de aula serao fornecidos em

portugues.

A educao um elemento
imprescindvel na segurana de

Fonte: http://www.businesswire.com/news/home/20121002006183/pt

pagamentos, e o Conselho da PCI

est comprometido com a
expanso de oportunidades de
treinamento da PCI globalmente
Bob Russo,
General Manager, PCI SSC

PCI 501 - Implementando o PCI DSS 3.0 (24 Horas)

OBJETIVOS DO CURSO
Capacitar os alunos a
implementar os controles
necessrios para atender
aos requisitos do PCI
DSS;

Facilitar a interao
entre os colaboradores
da empresa e os QSAs.

Da experiencia da Antebellum em ministrar os treinamentos oficiais de certificaao ISA (Internal Security Assessor) e da constataao da necessidade de
um treinamento menos focado em auditoria e mais focado na implementaao
dos controles necessarios para reforar a segurana de dados de cartoes de
pagamento nasceu o treinamento de implementaao do PCI DSS 3.0.

Este treinamento oferece a oportunidade de aumentar a expertise de seus

colaboradores nos padroes de segurana do PCI Council e a eficiencia de sua
empresa na implementaao dos controles necessarios para atender aos re-

Este curso preparatrio

para a certificao PCI
Professional, do PCI
Council

quisitos e alcanar a conformidade com o PCI DSS 3.0.

A prova de certificao
PCI Professional deve ser
obtida diretamente no
PCI Council.

Conhecimentos basicos de Tecnologia da Informaao

PR-REQUISITOS

PBLICO-ALVO
Todo o pessoal tecnico envolvido com o manuseio de dados crticos, mais especificamente os custodiantes das informaoes, normalmente pertencentes a area de tecnologia da informaao. Dentre esses profissionais destacamos:
Gestores, Consultores e Pessoal de Suporte, e gerentes de projeto de servios de TI
Desenvolvedores, Integradores e arquitetos de sistemas
Engenheiros e especialistas de rede
Profissionais de segurana da informaao

OBJETIVOS DO CURSO
O Treinamento leva o aluno a conhecer os controles de segurana utilizados na Evolveris, uma empresa fictcia
cujo nome em Latim significa Que esta evoluindo. A Evolveris lder em educaao basica, media e universitaria,
alem de oferecer dezenas de cursos de extensao e capacitaao profissional.
Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo internacional, proprietario de diversas
universidades e centros de treinamento em todo o mundo. Desde entao, a empresa tem realizando grandes esforos, em todos os sentidos, para se adaptar ao nvel de exigencia das regulamentaoes americanas e europeias, assim como atender aos anseios da governana corporativa da empresa
Dentro deste cenario, este curso apresenta passo a passo as aoes tomadas para a implantaao dos controles
responsaveis pela conformidade da organizaao com os requisitos do PCI DSS 3.0, desde a conscientizaao da
alta gestao ate a implantaao de cada um dos controles dentro de uma ordem sugerida pelo proprio PCI Council.

CONTEDO PROGRAMTICO

A narrativa do curso se da em forma de historia, que comea com a chegada de uma nova CEO, com a missao de
garantir a segurana de dados de cartao de pagamento na Evolveris.

O Curso e dividido em 7 partes com 28 captulos, durante os quais as personagens apresentam as polticas e as
tecnologias utilizadas para a proteao de dados crticos na organizaao.

Parte I Identificando e isolando dados sensveis

Introduo: A Evolveris e o grupo de colaboradores mais envolvido com a segurana da informaao e apresentado aos alunos. Hilda solicita que o CIO da empresa (Willian) faa um levantamento de todos os tipos de dados que a empresa processa e armazena, e em seguida pede que Olvia (Jurdico) identifique as leis, normas e regulamentaoes relacionadas as atividades da empresa e a esses tipos de dados.
Juntos, Olvia e Wallace (CISO) desenham as polticas de retenao de dados e diretrizes para comunicaao com portadores de cartao de pagamento para atenderem ao PCI DSS.
Captulo 1 A Evolveris e o PCI Council: Allan, o CSO da Evolveris posiciona a segurana da infor-

maao no organograma da empresa, explana sobre o enquadramento da Evolveris nos programas de

conformidades das bandeiras de cartoes de pagamento e apresenta o PCI Council e seus padroes de segurana para os outros gestores da empresa. Wallace, o CISO, apresenta os componentes de SI (processos,
pessoas e tecnologia), os conceitos de defesa em profundidade, o processo de criaao de controles de segurana e os tipos e funoes das medidas de segurana existentes.
Captulo 2 Anlise de Riscos: Allan inicia um processo de anlise de riscos baseado nas melhores metodologias de mercado, como a ISO 27005 e NIST SP 800-30 revision 1. Para atender ao requisito
12.2 Allan estabelece sistemas de gestao de riscos com um processo de revisao anual dos riscos.
Captulo 3 Localizao dos dados: Wallace desenha um diagrama de rede que identifica todos as
conexoes entre o ambiente de dados de portadores de cartao, ou CDE (Cardholder Data Environment), e
demonstra o fluxo de dados de cartoes dentro dos sistemas e redes. Adicionalmente, Willian se utiliza de
ferramentas para identificar dados de cartoes que possam estar em outras localidades alem das documentadas.
Captulo 4 Reteno de Dados: Wallace apresenta os critrios utilizados para armazenamento

de dados de cartoes de pagamento na Evolveris.

Captulo 5 Descarte de dados: Wallace apresenta os controles utilizados para a destruio de
dados que nao possuem mais uma necessidade legal ou de negocio para serem armazenados.

Parte II Protegendo sistemas e redes e preparando-se para responder a falhas

Captulo 6 Definio de escopo: Wallace apresenta a Hilda as estratgias de segurana relacio-

nadas a identificaao do fluxo de dados de portadores de cartao dentro da Evolveris e de todos os compo-

nentes por onde estes dados trafegam, sao armazenados ou processados.

Captulo 7 Configurao dos ativos de rede: Alex apresenta as polticas de configurao dos ativos
de rede, incluindo as regras de firewall, NAT, tecnicas anti-spoofing e sincronizaao dos arquivos de configuraao. Alex especifica tambem os protocolos em uso e apresenta os mecanismos de detecao de intrusos
nos diferentes segmentos de rede criados atraves de permetros que separam diferentes zonas com diferentes nveis de confiana atraves de firewalls, switches e roteadores.
Captulo 8 Configurao padro: Alex apresenta as polticas definidas para a substituio de senhas dos ativos de rede e dos softwares instalados na Evolveris antes da implantaao dos mesmos na rede
corporativa.
Captulo 9 Configurao de Endpoint: Wallace apresenta as polticas e configuraes utilizadas
pela Evolveris para a configuraao do(s) software(s) em execuao nos hosts. Que incluem o antivrus, firewall pessoal e monitor de integridade nos equipamentos dentro do ambiente de dados do portador de cartao.

Captulo 10 Criptografia Assimtrica: Samuel, o coordenador de infraestrutura apresenta os fundamentos da criptografia assimetrica, certificados digitais, autoridades certificadoras, Infraestrutura de
chaves publicas e assinatura digital.
Captulo 11 Criptografia aplicada transmisso de dados: Samuel continua sua explicao, demonstrando como a Evolveris utiliza a criptografia para atingir os objetivos de conformidade e aumentar
a segurana ao transmitir dados de cartoes de pagamentos de forma segura, utilizando VPN, SSL/TLS e
WPA.
Captulo 12 Acesso remoto: Samuel apresenta as polticas de acesso remoto, que incluem autenticaao forte, baseada em mais de um fator, as caractersticas criptograficas para acesso administrativo.
Captulo 13 Controles Fsicos: Allan apresenta os controles de segurana fsica como a proteo
do permetro fsico, areas sensveis, controles de acesso ao ambiente, CFTV, pontos de rede, estaoes desbloqueadas, informaoes nas estaoes de trabalho, alem das polticas de controle de dispositivos de pagamento com lista de dispositivos, e inspeao periodica dos mesmos.

Captulo 14 Testes de vulnerabilidades: Samuel apresenta as polticas e as metodologias utiliza-

das para realizar os testes trimestrais de vulnerabilidades e os testes anuais de invasao no ambiente de
dados do portador de cartao.
Captulo 15 Provedores de Servio e Plano de resposta a incidentes: Wallace apresenta as polticas para controle de provedores de servio, os controles para resposta a incidentes de segurana e apresenta o plano de resposta a incidentes da Evolveris para o caso de vazamento de dados.

PARTE III SEGURANA EM APLICAES DE PAGAMENTO

Willian apresenta os estudos relacionados a vulnerabilidades de softwares, o processo de criaao de exploits, zero-days, os procedimentos a serem adotados pelas empresas para mitigar essas ameaas e as
melhores praticas de atualizaao, alem das polticas de atualizaao, hardening e privilegio mnimo da
Evolveris
Captulo 16 Configurao: Samuel descreve os procedimentos para criao e manuteno de padroes de instalaao e configuraao segura (hardening) dos componentes do sistema, assim como os procedimentos criados para que estes sistemas permanecem sempre atualizados e com uma configuraao
segura em qualquer tipo de componente, incluindo sistemas operacionais, paginas WEB, e firmware de

ativos como roteadores e firewalls.

Captulo 17 - Desenvolvimento: Gabriel, o Lenda, explica como os princpios de segurana no design
e segurana por default sao aplicados nos desenvolvimentos internos da Evolveris. Apresenta tambem a
separaao entre os ambientes de desenvolvimento, teste e produao, os procedimentos para gestao de
mudanas em software, treinamento de desenvolvedores e os cuidados tomados na validaao das entradas dos sistemas para evitar falhas de Buffer overflow, SQL Injection.

PARTE IV MONITORAO E CONTROLE DE ACESSO AOS SISTEMAS

Captulo 18 Controle de Acesso: Willian apresenta a poltica de controle de acesso da Evolveris,
as regras para criaao e manutenao de senhas seguras e os conceitos de gestao e identidades, identificaao unica, Need to Know, privilegio mnimo, segregaao de funoes.
Captulo 19 Reference Monitor: Wallace apresenta os conceitos de Reference Monitor, Trile A,
DACLs, SACLs, Auditoria de eventos (Logs), assim como o processo e a poltica de auditoria e os cuidados para sincronizaao de hosts (NTP).

Captulo 20 Autenticao: Willian analisa as diferenas entre os processos de autenticao mais

utilizados em sistemas operacionais, como o passwd, SAM, domnios e Kerberos. Discute tambem, as polticas de acesso a banco de dados e autenticaao com Smatcards.
Captulo 21 Monitoramento: Alex apresenta as polticas e recursos de monitoramento do ambiente utilizados para detectar alteraoes em arquivos crticos, redes wireless nao autorizadas. O Captulo
aborda tecnologias como Scanners de vulnerabilidades, IDS, IPS e NAC.

PARTE V PROTEO DOS DADOS ARMAZENADOS

Captulo 22 Proteo dos dados armazenados: Wallace apresenta as bases da criptografia simtrica, truncagem e hash de dados atraves da teoria e da demonstraao da criptografia de arquivos, bancos
de dados, discos e backups utilizada na Evolveris para a proteao dos dados armazenados.
Captulo 23 Gerenciamento de Chaves: Samuel apresenta as polticas para gerao, transmisso,
custodia de chaves criptograficas, conhecimento compartilhado, duplo controle e destruiao das chaves.
Captulo 24 Tokenizao: Samuel apresenta os conceitos de Tokenizao e como essa metodologia vem sendo aplicada dentro da Evolveris para diminuir o impacto de um eventual vazamento de dados.

PARTE VI CONTROLES ADICIONAIS

Captulo 25 Gesto de Mudanas: Wallace apresenta os controles utilizados para garantir uma
gestao adequada das alteraoes realizadas nos componentes dos sistemas da Evolveris, dentre eles a documentaao de impacto, aprovaao da mudana, teste de funcionalidade e procedimentos de retorno.
Captulo 26 Poltica de Segurana: Allan apresenta o processo de criao e aprovao da poltica
de segurana da Evolveris, assim como a sua divulgaao e a capacitaao da equipe nos assuntos referentes
a segurana da informaao.

PARTE VII DOCUMENTAO DO PCI COUNCIL

Captulo 27 Os documentos de apoio: Allan apresenta os documentos disponibilizados pelo PCI
Council para auxiliar as empresas na obtenao da conformidade com os padroes vigentes.
Captulo 28 SAQs, ROCs, AOCs e planilha de controles compensatrios: Allan explica as diferenas entre os Questionarios de auto-avaliaao (SAQs) e Relatorios de conformidade (ROCs), e Atestados de
Conformidade (AoC), alem de demonstrar os requisitos e passos para preenchimento da planilha de controles compensatorios

PCI 502 - Conhecendo o PCI DSS 3.0 (4 Horas)

Este curso altamente
recomendado para atender ao
requisito 12.6 do PCI DSS
(Conscientizao em
Segurana da Informao)

Um curso aberto ao publico geral, feito sob medida para quem quer aprender mais sobre o PCI Council e
como os padroes do PCI ajudam a enderear os desafios de segurana da informaao na industria de
pagamentos com cartao .
O curso e especialmente apropriado para Gerentes de Auditoria, Analistas de Negocio, Analistas de Cre-

dito, Agentes de Conformidade, Gerentes Financeiros, Gerentes de Segurana da Informaao, Especialistas em TI, Gerentes de Projeto, Gestores de Risco, Analistas de Segurana, Desenvolvedores, Engenheiros de Software, Administradores de Sistemas, Web Masters.

OBJETIVOS DO CURSO
Apresentar o funcionamento do PCI Council e seus diversos padroes;
Apresentar todos os requisitos do padrao PCI DSS;
Conscientizar cada colaborador de seu papel dentro da segurana dos dados de cartao.

EMENTA DO TREINAMENTO
As bandeiras e o PCI SSC (PCI Council);
Os padroes do PCI Council;
O PCI Data Security Standard (DSS) 3.0;
Visao geral dos requisitos do PCI, e como eles aumentam a segurana
Papeis e responsabilidades dos colaboradores no programa de conformidade;
Visao geral das vulnerabilidades;
Objetivo dos controles nao tecnicos do PCI DSS.

10

FOR 401Percia Forense Digital (8 Horas)

Indicado para agentes da lei,
advogados, times de resposta
a incidentes, e profissionais
de

TI

Segurana

da

Informao.

O Curso apresenta todos os passos de uma percia em provas digitais e os fundamentos para uma coleta apropriada de evidencias, garantindo a integridade das provas. Alem de um conteudo unico sobre
a legislaao brasileira, este e o primeiro passo para qualquer certificaao forense como o CHFI do ECCouncil, GCFA e GCFE do SANS/GIAC.

OBJETIVOS DO CURSO
Diferenciar as implicaoes da coleta e analise de indcios e os cuidados para sua transformaao

em provas, em processos cveis e penais.

Compreender as responsabilidades do First Responder, e como deve ser a preparaao do mesmo.
Comparar as leis brasileiras as diretivas acordadas na convenao de Budapeste.
Conhecer os quesitos internacionais para coleta de provas da IOCE
Entender os processos de investigaao e analise de indcios

EMENTA DO TREINAMENTO
Objetivos da percia digital
Historia da Percia Forense
Crimes e Provas na visao do Codigo de Processo Civil e Codigo Penal
Metodologia Forense

Provas lcitas e ilcitas

O Papel do First Responder
Coleta de evidencias
A Convenao de Budapeste
Provas segundo o IOCE e SWGDE
Legislaao no Brasil
Investigaao (Copia Forense, Cadeia de Custodia)
Analise dos indcios (evidencias)
Ferramentas de analise
Encerramento do caso

11

FOR 402 - Formao do First Responder (8 Horas)

Indicado para agentes da lei,

advogados, times de resposta

a incidentes, e profissionais
de

TI

Segurana

da

Informao.

O Treinamento prepara os profissionais de TI, SI e agentes da lei para abordar incidentes de segurana de
forma organizada e eficiente, minimizando o tempo de parada dos ativos atingidos e preservando as evidencias para uma possvel investigaao forense. Este curso e fundamental para qualquer certificaao forense como o CHFI do EC-Council, GCFA e GCFE do SANS/GIAC.

OBJETIVOS DO CURSO
Diferenciar os tipos de crimes por computador.
Agir de forma organizada, evitando ao maximo a perda ou contaminaao de provas na hora da coleta.

Documentar de forma correta o ambiente onde encontrou as provas e os procedimentos de aquisiao

Preservar dados volateis (memoria) para que nao se percam ao desligar o aparelho.
Identificar a existencia de criptografia no disco
Realizar despejos (dumps) de memoria em Windows, Linux e Mac.
Criar imagens forenses dos dados volateis e nao volateis
Evitar as ameaas contra a autenticidade das provas

EMENTA DO TREINAMENTO
Crimes por computador
CSI O que e uma cena de crime (ou de desastre)

Volatilidade das evidencias

Documentaao do ambiente
Kits forenses (Cabos, bloqueadores, dispositivos moveis, CDs, etc)
Tipos de imagem (E01, AFF, RAW)
Identificaao de evidencias
Live Analysis, Dump de memoria e preservaao de dados volateis
Identificaao de criptografia de disco
Utilizaao de bloqueadores de escrita
Criaao de imagem de discos e dispositivos USB
Preservaao da integridade das evidencias e Cadeia de custodia
Aquisiao via e-discover

12

FOR 403 - Investigao em Meios Digitais (24 Horas)

Indicado para agentes da lei,
advogados, times de resposta
a incidentes, e profissionais
de

TI

Segurana

da

Informao.

O Curso aborda todos os fundamentos necessarios, alem das primeiras praticas para que os investigadores encontrem, compreendam e analisem evidencias digitais oriundas de diversas fontes, como
HDs, drives USB, Skype, browsers, P2P, etc. Este curso e fundamental para os cursos de analise de
Windows e Unix, assim como qualquer certificaao forense como o CHFI do EC-Council, GCFA e GCFE
do SANS/GIAC.

OBJETIVOS DO CURSO
Preparar o aluno para localizar e analisar evidencias digitais

EMENTA DO TREINAMENTO
Ferramentas forenses (FTK, EnCase, WinHex, Freewares)
Tecnicas de triagem
Timezones
Hashes e Fuzzy hashing
Bancos de dados de arquivos conhecidos (bons e ruins)
Procura por arquivos e strings
Historico de procura, documentos recentes e URLs digitadas
Exame de dispositivos USB (Primeiro e ultimo uso, usuario do dispositivo, etc.)

Recuperaao de arquivos apagados, Identificaao de Metadados e Data Carving

Analise de mensagens instantaneas (Skype, AIM, MSN) e Yahoo, Hotmail, Gmail, etc.
Analise de Browsers (historico, cache, downloads, buscas, etc.)
Analise de Analise de documentos do usuario (doc, docx, PDF, etc.)
Conceito e analise em sistemas de arquivo (FAT, NTFS, Ext, etc.)
Dados Exif (camera, resoluao, coordenadas GPS, etc.) e Assinatura de arquivos (Magic Numbers)
Espaos nao alocados e Slack Space
Tecnicas anti-forense
Investigaao em e-mails (funcionamento, tipos e formato)
Relatorios (sumario executivo, apresentaao, conclusao)

13

TIC 206 - GRC (16 Horas)

DEPOIMENTO

O treinamento de GRC da
Antebellum no somente ajuda
a compreender nosso papel
dentro dos objetivos de negcio
como tambm fornece
conhecimentos que ajudam o
aluno compreender o mundo
dos negcios.

Lus Felipe Albuquerque

C&A Modas

MDULO 1 INTRODUO AO GRC

Este modulo demostra como incidentes ligados a falhas nas areas de Governana, Gestao de Riscos e Conformidade podem comprometer o valor de mercado e o lucro das empresas, alem de apresentar alguns conceitos
importantes para a compreensao da integraao de GRC.
A necessidade do GRC
Cases de empresas afetadas por problemas de GRC
Definioes
Stakeholder; Sociedades Anonimas; Shareholders; Bolsa de Valores

MDULO 2 A HISTRIA DO GRC

Este modulo explica, atraves de eventos historicos, como as pessoas se comportavam em relaao ao risco e
como a matematica e estatstica criaram uma nova visao sobre a causa dos eventos. Paralelamente, a historia
da Governana Corporativa e contada em uma linha do tempo que comea com a primeira sociedade de aoes
do mundo, em 1250, e avana ate a crise da Enron, que culminou na Lei Sarbanes-Oxley. A linha historica da
conformidade aparece como uma resposta a eventos como a quebra da bolsa de NY em 1929 e a quebra da
Enron. Por esse motivo, esses eventos sao apontados como marcos de governana e conformidade.

14

Risco
A Vontade dos Deuses dita as regras,
Algarismos Indo-Arabicos
1654 Luca Paccioli e o desafio da renascena
1703 a 1760 - Jabob Bernoulli e a lei dos grandes numeros
1875 Regressao a media
1952 Ovos em cestas separadas
1992 O Cubo COSO
2004 Coso II

Governana

1250 Societe des Moulins bu Bazacle

1600 Companhia das Indias orientais
1602 Amsterdam Stock Exchange
1915 a 1929 A Economia Liberal
1929 Euforia na Bolsa de NY
1929 O Crash da Bolsa de NY
1930 A Grande Depressao
1961 A Criaao da OECD
1980 O Ativismo de Robert Monks
1992 O Relatorio Cadbury
1999 Os Princpios de Governana da OECD
Enron

Compliance
1934 New Deal e a SEC
1969 A Criaao da ISACA
1976 A CVM no Brasil
1973 A Criaao da IASC
1977 A FCPA
1985 COSO
1992 A Convenao anti-suborno da OECD
1996 HIPAA
1996 Cobit 1.0
1998 The Anti-Bribery Act
1998 O Acordo de Basileia
1999 Gramm-Leach-Bliley Act
2002 A Lei Sarbanes-Oxley
2004 Basileia II
2004 IFRS
2005 O Roubo de dados de Cartoes de Credito na TJX
2006 O PCI Council
2010 Basileia III

15

MODULO 3 GOVERNANA
Este modulo apresenta os conceitos de governana (corporativa e de TI), visando criar um melhor entendimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnologia da Informaao e Segurana da Informaao para que estas areas estejam alinhadas aos objetivos da alta
gestao
Governana Corporativa - Definioes do IBGC (Instituto Brasileiro de Governana Corporativa), nveis de
governana e o novo mercado da Bovespa ,transparencia, equidade, prestaao de Contas, responsabilidade
corporativa, conselho de administraao, relaoes com os investidores, gestao de riscos, relatorio anual, codigo
de conduta.

Governana de TI - Estrutura de governana de TI, estudo da norma ABNT ISO/IEC 38500.

MODULO 4 - GESTO DE RISCOS

Este modulo demonstra os conceitos de risco positivo e negativo, que juntos com os conceitos de apetite e tolerancia a riscos demonstram a necessidade do risco para a o crescimento e sucesso das organizaoes. O modulo aborda tambem todos os conceitos e as principais normas e frameworks para a avaliaao e tratamento de
riscos.
Definies de risco - Riscos positivos e negativos, fontes de risco, nvel de risco e probabilidade, consequen-

cia, analise quantitativa , qualitativa e semi-quantitativa, matriz de riscos, percepao de riscos, responsabilidade pelo risco, apetite e tolerancia a riscos
Gesto de Riscos - Princpios de Gestao de Riscos, estudo da norma ABNT ISO 31000, criterios de Risco
(ALARP As Low as Reasonable Practicable), processo de avaliaao de riscos, tratamento de riscos, monitoraao do risco, reporte de riscos, gestao de riscos atraves da ABNT ISO 27005, comparaao do Coso ERM (Coso
II) com a ISO 31000

MDULO 5 - CONFORMIDADE:
Este modulo apresenta os principais conceitos relacionados a conformidade, assim como as mais importantes
regulamentaoes as quais as empresas nacionais estao sujeitas. Ao final dos estudos e apresentada a norma
Australiana de Compliance e os principais pontos abordados por esta.
Conceitos e definioes, sistema normativo (Leis e Regulamentaoes), tipos de conformidade, CVM, CVM
358/2002 Fato Relevante,

CVM 456/2007 IFRS, decreto 11.638 Contabilidade das Sociedades por

Aoes, Basileia II e III, Banco Central, resoluao 2554, resoluao 3380, SUSEP 249/2004, culpa e dolo, responsabilidades dos Administradores, lei das S.A.s, business judgement rule, conflito de Interesses, dever de quali-

16

ficar-se e informar-se, dever de informar, dever de sigilo, insider trading, concorrencia desleal, dever de vigi-

ar, investigar e punir , codigo de etica, poltica de propriedade intelectual, poltica de segurana da informaao, sustentabilidade, a norma AS 3806/2006, o papel do CCO/CECO.

MDULO 6 IT GRC UTILIZANDO O COBIT

Este modulo complementa os tres anteriores ao mostrar o Conjunto Cobit+Vai IT+Risk IT, delimitando o seu
relacionamento com as areas de Governana, Gestao de Riscos e Compliance. Em uma segunda etapa, apresentamos o Cobit 5, o framework de GRC da ISACA que integrou o Val IT e RisK IT ao CobiT e tem a proposta de

ser um framework de GRC para qualquer area da organizaao.

Governana de TI segundo o Cobit - Areas de foco na Governana de TI, produtos do CobiT, objetivos e Arquitetura de TI, ciclo de vida de TI, domnios do CobiT, objetivos de Controle, tabela RACI, modelo de maturidade, objetivos de negocio, objetivos de negocio transformados em objetivos de TI, objetivos de TI transformados em objetivos de processo.

VAL IT - Definiao e Objetivos, os quatro Estamos?, Val IT x CobiT, domnios e Processos, quadro de atividades, entradas e sadas
Risk IT - Posicionando Cobit, ValIT e RiskIT, hierarquia dos riscos, resposta e priorizaao de riscos, governana de riscos, avaliaao de riscos, articulaao de riscos.
Cobit 5 - Princpios e aspectos gerais, arquitetura e objetivos em cascata, objetivos de governana, modelo de
Enablers integrados, objetivos de governana, objetivos de TI, governana e gestao, governana corporativa
de TI, novo modelo de maturidade (ISO 15504), ciclo de implementaao.

MDULO 7 CONSIDERAES FINAIS

Neste modulo trazemos uma reflexao sobre os desafios para a implantaao do GRC desde uma definiao do
termo e de sua real funao ate o perfil do profissional de GRC.
O que esperar do GRC, visao do modelo de negocio (OCEG), colaboraao, stakeholders internos do GRC,
stakeholders externos do GRC, sistemas eficientes, eficazes e responsivos, implantaao do GRC na organizaao,
vencendo resistencias, perfil do profissional de GRC.

17

Formao em Segurana da Informao

10 Domnios da Segurana da Informao segundo a ISC 2 (CBK/CISSP)
TREINAMENTOS
SEC 201Segurana da Informao com base na ISO
27002
Todos os domnios superficialmente
Preparatrio para a certificao ISFS do Exin

SEC 202Gesto da Segurana da Informao

DEPOIMENTO

A Antebellum desenvolveu um conjunto de treinamentos que

juntos abrangem todos os domnios da Segurana da Informa-

Os treinamentos

ao.

ministrados pela

A modularizaao dos treinamentos permite que os alunos

Antebellum na

possam assistir a todos os treinamentos sem que precisassem

Fidelity

proporcionaram um
excelente
alinhamento entre os
conhecimentos das
rea de Segurana
da Informao e
Tecnologia,
resultando em

se ausentar por diversos dias de suas empresas, ou ainda, selecionar os cursos que abordam os temas onde gostariam de
se preparar mais intensamente para provas de certificaao e
concursos.
Para que o aluno seja recompensado desde o primeiro curso,
o conjunto de treinamentos da Antebellum procura, sempre

Aborda o domnio Governana e Gesto de Riscos

Preparatrio para a certificao ISMAS do Exin

SEC 103 Criptografia aplicada

Preparatrio para a certificao CES do EC-Council

SEC 104 Core Security

Aborda os domnios Controle de Acesso, Segurana
em desenvolvimento e
Arquitetura e Design

que aplicavel, levar o aluno a certificaoes intermediarias baseadas no conteudo do domnio estudado.

SEC 105 Segurana em

Redes e Telecomunicaes

no tratamento dos

A Antebellum e reconhecida como uma ACP (Accredited Cour-

assuntos

se Provider), AEC (Authorized Examination Center) e como

Aborda o domnio Segurana em Telecomunicaes e Redes

relacionados

um ATP (Accredited Training Provider ) pelo Exin, um dos

Segurana da

maiores institutos de certificaao do mundo.

ganhos substanciais
para ambas as reas

Informao.
Essas credenciais conferem a Antebellum a capacidade de
Eduardo Cabral
Diretor de GRC
Fidelity Processadora
e Servios S.A.

18

fornecer um material reconhecido pelo Exin como preparatorio para suas certificaoes e o de ministrar cursos oficiais sob
sua chancela.

GCN 220 Fundamentos de

Continuidade de Negcios
Aborda o domnio Continuidade de Negcios

SEC 201 - Segurana da Informao com base na ISO 27002 (16 H)

O curso SEC 201 apresenta aos

alunos todos os domnios do
CBK de forma clara e objetiva.

O conteudo do curso SEC 201 foi cuidadosamente criado para fornecer todos os fundamentos de Segurana da
Informaao para profissionais de TI que desejam aumentar o seu valor para sua organizaao e para o mercado, ou
iniciarem-se na area de Segurana da Informaao.

JUSTIFICATIVA
A informaao sempre foi a mola propulsora das empresas e sua segurana uma pea fundamental para a sobrevivencia destas. Com o advento da computaao, essas informaoes se tornaram cada vez mais informaoes digitais e
com a comunicaao em massa promovida pelas novas tecnologias, sua exposiao tornou-se ao mesmo tempo necessaria (para as pessoas autorizadas) e um fator de risco a ser tratado com planejamento e processos maduros.
Com o aumento da demanda por servios e das duvidas da comunidade de Tecnologia da Informaao e Segurana
da Informaao, a industria passou a organizar-se em associaoes para discutir soluoes e capacitar a mao de obra,
visando garantir que os esforos sejam convergentes e que as empresas tenham em seu quadro profissionais plenamente capacitados para obter o maximo de eficiencia e segurana dessas tecnologias.
Dentro desse contexto, a ISO desenvolveu a famlia 27000, dedicada a segurana da informaao. Sua principal norma e a ISO 27002 (Antiga ISO 17799), que fornece um codigo de praticas para a proteao da informaao, baseado

na experiencia de profissionais de todo o mundo, que se reunem em associaoes como a ABNT, para contribuir
para a constante evoluao dessa norma.

OBJETIVOS DO CURSO
O curso visa apresentar os fundamentos da Segurana da Informaao de acordo com os princpios descritos na
ISO 27002, assim como alguns tipos de medidas para reduzir os riscos a confidencialidade, integridade e disponibilidade da informaao dentro de organizaoes, de qualquer tipo ou tamanho.

19

PBLICO-ALVO
Todo pessoal envolvido com a gestao da segurana da informaao, o que inclui os proprietarios das informaoes e os custodiantes das mesmas. Dentre esses profissionais destacamos:

Gestores, consultores, pessoal de suporte e gerentes de projetos de servios de TI;

Analistas e gerentes de areas de negocio (financeiro, RH, engenharia, etc);
Desenvolvedores, integradores e arquitetos de sistemas;
Engenheiros e especialistas de rede;
Profissionais de Segurana da Informaao.

PR-REQUISITOS
Conhecimentos basicos de Tecnologia da Informaao.

CARGA HORRIA
O curso tem duraao de 16 horas que podem ser distribudas em dois ou quatro dias.

CONTEDO PROGRAMTICO
O curso SEC 201 foi desenvolvido para apresentar os conceitos fundamentais da Segurana da Informaao,
cobrindo os principais aspectos da ISO 27002 atraves de exposiao de casos e um exerccio pratico ao final de
cada modulo para auxiliar na fixaao do conhecimento adquirido em sala de aula.
O conteudo apresentado em aula e tambem enriquecido pelo uso de diversos documentos de suporte, artigos
publicos sobre o assunto e material exclusivo desenvolvido pela equipe de instrutores da Antebellum.

MDULO 1 INFORMAO E SEGURANA

Apresenta os conceitos fundamentais e de construao da informaao e das formas de garantir sua segurana.
1.

Conceitos Fundamentais - Explica os conceitos de informao em seus diversos formatos, seu ciclo

de vida, as diferenas entre dados e informaao e a infraestrutura basica para armazenamento e proteao
da mesma.
2.

Valor da Informao - Discorre sobre o valor estrategico da informaao para as organizaoes, como a
informaao pode influenciar no desempenho da organizaao e como as praticas de segurana da informaao protegem esse bem da organizaao.

3.

Aspectos de confiabilidade - Apresenta os aspectos da segurana da informao: Confidencialidade, Integridade e Disponibilidade (CID), detalhando seus requisitos de avaliaao.

20

MDULO 2 ALINHAMENTO ESTRATGICO

Este modulo introduz alguns conceitos fundamentais para estabelecer a conexao entre os objetivos da area de
Segurana da Informaao e os objetivos de negocio das empresas.

1.

Governana - Apresenta um modelo de governana corporativa, a diferenciaao entre governana e gerenciamento, o funcionamento e as areas de foco da governana de TI, um exemplo de Balanced Scorecard (BSC), a
relaao do BSC com os objetivos de negocio, o alinhamento dos objetivos de TI/SI com o BSC e os objetivos de
negocio e os processos que levam a realizaao dos objetivos de TI.

2.

Modelagem de Processos - Mostra como o processo de modelagem pode ajudar a encontrar os ativos

da informaao que suportam os processos mais crticos, facilitando sua classificaao e uma posterior proteao
proporcional a sua importancia para a organizaao.
3.

Classificao da Informao - Mostra como os ativos de informao devem ser classificados por categorias, de acordo com seu valor para a organizaao, para que recebam uma proteao proporcional as suas
necessidades de confidencialidade, disponibilidade e integridade.

MDULO 3 GESTO DE RISCOS

Este modulo apresenta os conceitos basicos de risco, gestao de riscos e analise e avaliaao de riscos.

1.

Ameaas - Apresenta os conceitos de ameaa, vulnerabilidade e agente de ameaa.

2.

Tipos de Ameaa - Apresenta aos alunos os tipos mais comuns de ameaas a segurana da informaao como:
Codigo Malicioso, Vrus, Worm, Spyware, Trojan, Rootkit, Backdoor, Engenharia Social, Hacking, Hoax,
Phishing Scam, Bots, Botnets, Spam e Scam.

3.

Dano - Discute o incidente de segurana, a probabilidade, consequencia, impacto e danos diretos e indiretos a

organizaao.
4.

Anlise de Riscos - Explica os processos de analise (quantitativa e qualitativa) e avaliaao de riscos, a relaao
entre uma ameaa e um risco, assim como as estrategias para tratamento dos riscos e aceitaao de riscos residuais.

21

MDULO 4 ABORDAGEM E ORGANIZAO

Este modulo fornece uma visao da construao das polticas de segurana e a organizaao da segurana da
informaao.

1.

Polticas de Segurana - Descreve os objetivos e a composiao de uma poltica de segurana, assim como a organizaao da segurana da informaao.

2.

Organizao da segurana - Apresenta fatores fundamentais para o bom funcionamento da poltica de

segurana como: codigo de Conduta, propriedade de ativos e papeis principais na Segurana da Informaao.

3.

Gesto de Incidentes e escalao - Descreve a importancia de uma rotina de gestao de incidentes,

apresentando um ciclo onde os mesmos devem ser reportados de forma correta, analisados e escalados
funcional ou hierarquicamente. Descreve tambem os efeitos negativos de eventuais falhas neste processo.

MDULO 5 MEDIDAS DE SEGURANA

Descreve a importancia das medidas de segurana para a organizaao e a forma como sao estruturadas de
acordo com sua classificaao e possvel impacto a organizaao.

1.

Importncia das medidas de segurana - Descreve as formas como as medidas de segurana devem
ser fundamentadas e os tipos e funoes das medidas de segurana existentes.

2.

Segurana Fsica - Analisa os riscos envolvendo falhas nas medidas de segurana fsica e fornece exemplos de ameaas e medidas relacionadas a segurana fsica.

3.

Controles Tecnolgicos - Analisa os riscos envolvendo aspectos tecnolgicos como a m utilizaao e manutenao dos ativos de tecnologia, softwares maliciosos (vrus, trojans, etc) e discute as solu-

oes tecnologicas para reduao de riscos como a criptografia simetrica e assimetrica, funoes de hash,
certificados digitais, PKI, assinatura digital, VPN, backup e antivrus.
4.

Segurana em Software - Descreve as ameaas decorrentes da falta de uma analise de segurana em

todo o processo de desenvolvimento de softwares, excesso de privilegios, falhas de validaao de entrada
de dados, buffer overflow, SQL injection e a necessidade de manutenao e atualizaao de qualquer tipo
software, incluindo sistemas operacionais, paginas WEB e firmware de ativos como roteadores e firewalls. Sao abordadas tambem as certificaoes do Orange Book e a Common Criteria.

22

5.

Medidas organizacionais - Descreve a importancia das medidas organizacionais, como a segregaao de

funoes para a segurana da informaao e os riscos envolvendo as falhas na criaao ou aplicaao dessas medidas.
6.

Controle de Acesso - Descreve as medidas de segurana relacionadas ao acesso fsico ou lgico das
informaoes como o uso de senhas fortes, biometria, autenticaao com dois fatores, segregaao de funoes,
autorizaao e auditoria de acessos.

7.

Continuidade de Negocios - Fornece uma visao geral sobre as estrategias de continuidade de negocios e recuperaao de desastres, a necessidade de um bom plano de continuidade de negocios, os passos para a sua
criaao, as metricas basicas como RPO, RTO, WRT, MTO, SLA e TMP, assim como a importancia de sua validaao e treinamentos e exerccios para garantir a validade dos planos. .

MDULO 6 CONFORMIDADE
Neste ultimo modulo sao avaliadas a importancia e os efeitos da legislaao e das regulamentaoes para organizaao.

1.

Legislao e Regulamentao - Exemplifica leis e regulamentaes relacionadas segurana da informaao, assim como seus objetivos e controles utilizados para atende-las.

2.

Avaliao - Descreve as formas de avaliaao da efetividade da segurana da informaao, atraves de auditoria, auto avaliaao, mensuraao e geraao de evidencias da efetividade das medidas de segurana.

23

SEC 202 - Gesto da Segurana da Informao (16 Horas)

O Curso SEC 202 aborda o domnio

Governana e Gestao de Riscos do CBK

MDULO 1 PERSPECTIVAS EM SEGURANA DA INFORMAO

Este modulo apresenta os conceitos basicos de governana (corporativa e de TI), visando criar um melhor entendimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnologia da Informaao e Segurana da Informaao para que estas areas estejam alinhadas as metas, missao e objetivos
da alta gestao.

1. Perspectiva do Negcio Trata o papel da Segurana da Informaao no negocio, e e capaz de distinguir os

tipos de informaao com base em seu valor para o negocio e explicar as caractersticas de um sistema de gerenciamento para segurana da informaao.

Processos organizacionais;
conformidade legal e regulatoria;
requisitos de privacidade;
arquitetura de segurana corporativa;
due care.

2. Gesto do ciclo de vida da informao Mostra o ciclo de vida da informaao desde a criaao, passando por
sua classificaao, categorizaao, propriedade, etc.
tipos e classificaao da informaao;
papeis e responsabilidades de cada colaborador;

24

3. Perspectiva do Cliente Aborda o ponto de vista do cliente sobre o controle da informaao e a importancia

do controle da informaao no processo de terceirizaao.

requisitos para seleao de fornecedores;

due diligence;
evidencias dos controles de segurana;
requisitos de continuidade de negocios em terceiros;
mecanismos de escalaao.

4. Perspectiva do provedor de servios / fornecedor Aborda as responsabilidades do provedor de servios

de informaao em garantir a segurana, os aspectos da segurana em processos de gerenciamento de servios e
as atividades para conformidade do mesmo.

Alinhamento dos requisitos de segurana;

afirmaao de gestao da segurana;
certificaao em segurana da informaao;
auditoria de clientes.

MDULO 2 GERENCIAMENTO DE RISCO

Este modulo demonstra os conceitos de analise de riscos, apetite e tolerancia a riscos e todos os conceitos e as
principais normas e frameworks para a avaliaao e tratamento de riscos.

1. Anlise e avaliao de riscos Apresenta os princpios de gerenciamento de risco, de acordo coma classificaao de cada ativo.

Analise dos riscos (ameaas e vulnerabilidades);

avaliaao dos riscos (ativos tangveis e intangveis);
analise quantitativa;
analise qualitativa;
analise semi-quantitativa.

2. Controles para tratamento do risco Foca na escolha dos controles dos riscos com base nos requisitos de
Confidencialidade, Integridade e Disponibilidade (CIA) de cada ativo e nos estagios do ciclo de vida do incidente
alem de escolher diretrizes relevantes para a aplicaao dos controles.

estudo da norma ISO IEC/27005;

seleao de medidas de tratamento;
retenao do risco;
reduao de riscos;
compartilhamento/transferencia de riscos;
eliminaao do risco.

25

3. Riscos residuais Aborda os riscos residuais e as estrategias para lidar com este risco atraves da:
produao de casos de negocios para controles;
produao de relatorios sobre as analises de risco.

4. Comunicao do risco Aborda a traduao dos riscos de segurana da informaao em uma linguagem gerencial para atender os requisitos da gestao e governana da empresa.
Risk Scorecard;
aceitaao do risco.

MDULO 3 CONTROLES DE SEGURANA DA INFORMAO

Este modulo aborda a criaao de controles diversos para diminuir e monitorar o risco na organizaao, de acordo com o resultado da avaliaao de riscos da empresa.

1. O Sistema de Gesto da Segurana da Informao (SGSI) Aborda a criaao de um sistema de gestao

contnua da segurana da informaao, visando identificar e manter os riscos nos patamares desejaveis pela
gestao e governana da organizaao.

sistemas de gerenciamento para segurana da informaao;

o ciclo PDCA;
padroes de mercado (famlia ISO 27000, Cobit, etc);
gestao de incidentes de segurana;
metricas de segurana;
conscientizaao dos colaboradores.

2. Controles Organizacionais - O aluno adquire conhecimento sobre controles organizacionais, e e capaz de

redigir polticas e procedimentos de segurana da informaao, implementar estrategias para gerenciamento
de incidentes de segurana da informaao, realizar uma campanha de conscientizaao na organizaao, implementar papeis e responsabilidades para segurana da informaao:

codigo de conduta;
poltica de segurana da informaao;
Procedimentos;
Guias;
Documentaao.

3. Controles Tcnicos - O aluno adquire conhecimento sobre controles tcnicos e capaz de explicar a
as arquiteturas de segurana, a finalidade dos servios de segurana, e a importancia dos elementos de segurana na infraestrutura.

26

 Elementos da arquitetura de segurana;

princpios de desenho para servios seguros (performance, gestao de capacidade, resiliencia, funcionalidade, gerenciamento, etc);
princpios de desenho para ambientes seguros (isolamento, mediaao completa, resiliencia, redundancia, diversidade, etc);
principais servios de segurana (identificaao, Autorizaao, Controle de acesso, hardening, etc).
4. Controles Adicionais - Aborda os controles relacionados a segurana fsica, gestao de pessoas e desenvolvimento e teste de planos de continuidade de negocios. Dentre eles destacamos:

codigo de conduta;
poltica de segurana da informaao;
procedimentos de contrataao;
conscientizaao e monitoraao;
desligamento de colaboradores.

PROGRAMA DE CERTIFICAO: SEC-201 (ISFS) E SEC-202 (ISMAS)

O Conteudo dos cursos SEC 201 e SEC 202 foram desenhados pela Antebellum para adequarem-se ao programa de certificaao em segurana da informaao do Instituto EXIN, um dos maiores institutos de certificaao
do mundo, sendo que o SEC 201 ja foi auditado e reconhecido como preparatorio para a certificaao ISFS
(Information Security Foundation based on ISO/IEC 27002).

SEC 202

SEC 201

27

SEC 103 - Criptografia Aplicada (16 Horas)

O Curso SEC 103 aborda o domnio

Criptografia do CBK
O Curso aborda a criptografia desde o incio de seu uso na antiguidade, antes mesmo da matematica, ate os dias

de hoje, explicando cada algoritmo em uma linha evolutiva e temporal.

OBJETIVOS DO CURSO
O Curso explica os conceitos criptograficos e mostra a utilizaao destes algoritmos na proteao dos dados, nos
dias de hoje. O curso mostra tambem o funcionamento de diversos dispositivos criptograficos da atualidade.
A grade do curso e totalmente compatvel e prepara o aluno para a certificaao CES (Certified Encryption Specialist) do EC-Council.

PBLICO-ALVO
Todo o pessoal tecnico envolvido com o manuseio de dados crticos, mais especificamente os custodiantes das
informaoes, normalmente pertencentes a area de tecnologia da informaao. Dentre esses profissionais destacamos:
Desenvolvedores, Integradores e arquitetos de sistemas
Engenheiros e especialistas de rede
Profissionais de segurana da informaao

PR-REQUISITOS
Conhecimentos basicos de Tecnologia da Informaao.

MDULO 1 CONCEITOS DE CRIPTOGRAFIA

Apresenta aos alunos a evoluao da criptografia e todo o fundamento teorico para o estudo pratico dos protocolos.

28

1. Conceitos gerais - Descreve a evoluo da criptografia, o conceito de chaves a criptografia sim-

trica e os conceitos de substituiao e transposiao.

2. Criptografia automatizada - Mostra as primeiras maquinas de criptografia, a maquina Enigma, as
operaoes booleanas (M, AND, OR, XOR), a funao de feistel e o princpio de Kerckhoffs.
3. Algortmos simtricos - Aborda o funcionamento e compara os algoritmos LUCIFER, DES, 3DES,
DESx, Blowfish, Serpent, Twofish, Skipjack, IDEA e AES. Explica tambem a utilidade do vetor de inicializaao e a diferena entre a criptografia de bloco e fluxo e os modos (EBC, CBC, PCBC, CFB, OFB e CTR).
4. Algoritmos de Hash - Explica o funcionamento de um algoritmo de hash, o hash salt e a diferena
entre os principais algoritmos, como o MD2, MD5, MD6, SHA-1, SHA-256, Fork 256, RIPEND 160, GOST,
Tiger e CryptoBenc.
5. Criptografia assimtrica - Conta a historia da criaao da criptografia assimetrica, do algoritmo DiffieHelman, do paper de Diffie e a criaao do RSA, o algoritmos de curva elptica, o Elgamal, etc.
6. Esteganografia - Descreve as origens da tecnica de esconder as mensagens, seu uso com texto, imagens, audio, vdeo e as formas de sua implementaao.

MDULO 2 CRIPTOGRAFIA APLICADA COMUNICAO E ARMAZENAMENTO

Este modulo introduz aos alunos as bases da criptografia simetrica e assimetrica, assim como os principais algoritmos utilizados nos meios de comunicaao e armazenamento de dados na atualidade.
1. Certificao Digital - Explica a assinatura digital, o Certificado digital, os certificados X-509 e o funcionamento das PKI (Public Key Infraestructure).
2. Protocolos e a criptografia - Mostra o funcionamento e a forma como a criptografia utilizada
(ou nao) em protocolos como PAP, S-PAP, CHAP, Kerberos, PGP, WEP, WPA, WPA2, SSL, TLS, VPN, PPP,
EFS e Bitlocker.

3. Criptografia aplicada - Mostra o funcionamento de diversos dispositivos do cotidiano que se utilizam

da criptografia para transmissao e armazenamento de dados.
4. Hardware Criptogrfico - Mostra o funcionamento dos dispositivos desenhados para criptografia,
como os chips de cartoes RSA e EMV, os chips TPM e as HSM.
5. Criptoanlise - Demostra tecnicas para quebra da criptografia como Analise de frequencia, Kasiski,
criptoanalise linear, diferencial e integral, rainbow tables e ferramentas de cracking.

29

SEC 104 - Core Security (16 h)

O Curso SEC 103 aborda os domnios controle de acesso, segurana em desenvolvimento, arquitetura e design e do CBK

MDULO 1 CONTROLE DE ACESSO

Este modulo discute os meios para controle de acesso logico, desde os modelos conceituais ate as tecnologias recentes
de controle de acesso e monitoraao.

1.

Conceitos gerais - Descreve os conceitos de Identificao e Autenticao, ID nico, Privilgio Mnimo e Need to Know, Triple A (Autenticaao, Autorizaao e Auditoria), alem de apresentar as diferenas entre os modelos
de segurana MAC (Mandatorio: Biba, Bell LaPadula,) e DAC (Discricionario: ClarkWilson, etc).

2.

Reference Monitor - Apresenta a entidade Reference Monitor, ACLs e DACLs, Auditoria de eventos (Logs),
Proteao de Objetos, Trusted Path, Complete Mediation e o conceito de Security Kernel.

3.

Implementaes - Arquivos de senha (passwd) e domnios (NTLM e NIS), X500 e LDAP, Single Sign On e
Web Single Sign On, Federaao.

4.

Administrao - Gesto de identidades e Polticas de troca de senha.

MDULO 2 ARQUITETURA DE SOFTWARE

Este modulo discute a arquitetura de software e sistemas operacionais, assim como os cuidados no desenvolvimento
dos mesmos para que tragam o mnimo de vulnerabilidades para o ambiente.

1.

Sistemas Operacionais - Sistemas de 8, 16, 32 e 64 Bits, Modo real x Modo protegido, Multiprocessamento, Multitarefa e Multithread, Arquitetura do Windows, Arquitetura do Unix, Sistemas de Arquivos, Contas de usuario, Nveis de privilegio, superusuarios, isolamento de processos, Ring protection, Registro de Log, Firewall Pessoal, Atualizaoes, Backup, Data Hiding, Arquiteturas de Virtualizaao.

2.

Arquitetura de Software - Metodologias para Desenvolvimento de Softwares, Metodologias de segurana, Conceitos e Mecanismos de Proteao, Princpios de Design Seguro, Verificaao de entrada de dados, Regulamentaoes,
Privacidade e Compliance,.

30

3.

Segurana em Software - Descreve as ameaas decorrentes da falta de uma analise de segurana em todo o processo de desenvolvimento de softwares como Buffer Overflow, SQL Injection, trapdoors e a necessidade de manutenao e atualizaao de qualquer tipo software, incluindo sistemas operacionais, paginas WEB, e firmware de ativos como roteadores e firewalls. Aborda tambem as metodologias de desenvolvimento seguro e Fuzzing.

MDULO 3 GESTO DE VULNERABILIDADES

Este modulo discute os cuidados e as formas de se gerir as vulnerabilidades do ambiente da organizaao, e diminuir a
probabilidades de ataques que se valem dessas vulnerabilidades.
1.

Hardening e gerenciamento de atualizaes - Descreve o processo de criao de exploits, os zero-days, e os

procedimentos a serem adotados pelas empresas para mitigar essas ameaas, como as boas praticas para gestao
de atualizaoes em Windows, Unix e Aplicativos

2.

Programas AntiMalware - Explica a necessidade e os requisitos de gestao dos softwares antimalware dentro das
organizaoes

3.

Normatizao de Segurana - Normas e Boas Praticas Desenvolvimento Seguro (e.g., ISO 2700x, OWASP) ,TCSec,
ITSec, Common Criteria (ISO 15408), etc.

4.

Vulnerabilidades - Vulnerabilidades em Hardware, Vulnerabilidades em Software, Vulnerabilidades Fsicas, Vulnerabilidades de Configuraao, Falhas na Poltica, Falhas de Uso.

5.

Anatomia de um ataque - Footprinting, Varredura, Enumeraao, Obtenao de acesso, Aumento de privilegios,

Pilfering, Cobertura, Criaao de backdoors, Negaao de servio

6.

Tipos de Ataque - Negaao de servio, Ataque Smurf, Ataque SYN Flood, Ataque UDP Flood, Ataque ICMP Flood,
Ataque Land, Negaao de Servio Distribudo (DDOS), Rastreamento de Portas (Port Scan), ataque passivo
(Sniffers de Rede)

7.

Testes de invaso (Penetration test) - Definiao de Escopo, Objetivo, Teste Black Box, Teste White Box, Principais tecnicas, Exploraao (Exploits), Mapeamento de Vulnerabilidades, Quebra de senhas,, spoofing, Roubo de
sessao, Cuidados com as ferramentas de teste.

31

SEC 105 - Segurana em Redes e Telecomunicaes (16 h)

O Curso SEC 105 aborda o domnio segurana em telecomunicaoes e redes

do CBK

O curso SEC 105 aborda a segurana em redes e telecomunicaoes e abrange as estruturas tecnicas de intercomunicaao utilizadas para redes locais e de longo alcance, o funcionamento dos protocolos de comunicaao de dados
mais comumente utilizados e as medidas de segurana disponveis para fornecer disponibilidade, integridade,
confidencialidade e autenticaao para as transmissoes sobre redes de comunicaao publicas e privadas.

1.

Fundamentos de Rede - Introduz as tecnologias e protocolos utilizados para a comunicaao de dados, abordando as caractersticas que serao fundamentais para entender as vulnerabilidades e proteoes disponveis
para redes de dados. Topicos abordados: A Historia da Internet, O Modelo OSI, O TCP/IP (DoD), Camadas do
TCP/IP (Aplicaao, Transporte, Internet, Acesso a rede), Metodos de Transmissao, Endereo Fsico (MAC
Address), CSMA/CD (Ethernet), CSMA/CA (Wireless), Token.

2.

Redes locais - Estuda os componentes e Hardware e Software utilizados para a comunicaao de dados em redes locais: Hubs, Bridges e Switches, Roteadores e Gateways, Firewalls (Filtros de pacotes e Statefull), IDS/
IPS/UTM.

3.

Servios de Rede - Oferece ao aluno uma visao do funcionamento dos principais servios que as empresas disponibilizam atraves das redes locais e da Internet. Sao abordados: DNS, HTTP, HTTPS, SMTP, IPsec, Telnet,

SSH, RDP, VPN.

4.

Permetros - Analisa as redes de permetro, ou seja, aquelas que ficam na borda tecnologica da empresa e
prestam servios para a Internet . Temas abordados: VLANs, Extranets, acesso interno, subnets, bastion host,
Rede Perimetral, DMZ e screened subnet, roteadores de borda, NAT (estatico e dinamico).

5.

Zonas e Domnios de confiana - Discute a necessidade de isolamento entre as redes com nveis de segurana
diferentes as tecnologias utilizadas para proporcionar este isolamento. Aborda a criaao de permetros de
segurana, controle de acesso logico, instalaao e manutenao de Firewalls, desenhos single-box, screened
host, screened subnet.

32

6.

IDS/IPS/UTM - Estuda as tecnologias utilizadas para detectar e bloquear ataques dentro das redes da organizaao.

Aborda os metodos de analise (Pattern-matching, Analtico), os componentes (Agente, Coletor de eventos, Base de
dados, Gerenciador central, Sistemas de alerta, Interface grafica, Comunicaao, Logs e relatorios, tipos de Resposta,
Timing, Consolidaao de Logs, IDS/IPS
7.

Telecomunicaoes e redes de longa distancia (PAN, LAN, MAN e WAN) - Apresenta os tipos de redes, de acordo com
seu alcance e tecnologia utilizada. Aborda: Circuit Switched x Packet Switched, circuitos virtuais, DSL, Cable modems, HDLC e SDLC, X.25, Frame-Relay, MPLS, QoS, VOIP, redes sem fio (Wireless), PSK/Enterprise, WEP, WPA,
WPA2, Bluetooth, telefonia, uso para transmissao de dados, caixas postais e secretarias eletronicas, grampos, colaboraao multimdia, acesso remoto.

8.

Ataques a redes - Analisa as formas conhecidas de ataque as redes de dados, tais como Dos, DDos e spoofing

33

GCN 220 - Fundamentos de Continuidade de Negcios (8 h)

O Curso GCN 220 aborda o domnio

Continuidade de Negocios do CBK

MDULO 1 HISTRICO DA DISCIPLINA

1.

Apresenta uma visao geral das disciplinas relacionadas com a continuidade aplicadas em cenarios diversos ao longo da Historia, sua evoluao como instrumento estrategico e a aplicabilidade como pratica de
adequaao da resiliencia organizacional em diferentes abordagens.

MDULO 2 CONCEITOS FUNDAMENTAIS

1.

Apresentaao dos conceitos que estruturam as praticas de continuidade, onde e abordada a definiao de
incidente, a composiao e uso das estrategias de resposta e os criterios que devem ser empregados para
definir a composiao e uso de uma Estrategia para a Continuidade dos Negocios.

2.

Apresenta as teorias que fundamentam a necessidade de resposta e manutenao da continuidade sao ainda explicadas, atraves da conceituaao e entendimento dos valores estabelecidos para o Recovery Point
Objective e a composiao do Maximum Tolerable Downtime pelo uso do Recovery Time Objective e Work
Recovery Time.

MDULO 3 O CICLO DA CONTINUIDADE

1.

Abordando os componentes da Estrategia e seus relacionamentos, e apresentado o uso do processo de

resposta a incidentes e compartilhadas experiencias praticas de como fundamentar a tomada de decisao
para o acionamento da contingencia.

34

2.

Apos o entendimento deste processo, o uso e relacionamentos entre os diversos planos que compoe a Estrategia

sao apresentados e fundamentados: o papel dos planos de recuperaao de desastres e continuidade operacional, o
entendimento do processo de retorno ao Modo Regular e a pratica de Lioes Aprendidas para a melhoria contnua
da estrategia.

MDULO 4 NORMAS E REGULAMENTAES

1.

O papel das normas e regulamentaoes como direcionadores da Continuidade de Negocios, abrangendo a aderencia em determinados setores, a aplicabilidade da responsabilidade compartilhada e o entendimento no Codigo Civil, Sarbanes-Oxley, Basileia, Resoluao 3380 do Banco Central do Brasil e nos programas de qualidade da Bolsa de
Mercadorias e Futuros.

Certificaes de Segurana da Informao x Cursos Antebellum

A Antebellum entende que existem varias certificaoes em segurana da informaao, cada uma com
foco em diferentes domnios da mesma. Por este motivo optamos por desenvolver treinamentos individuais, que dao liberdade para os alunos se capacitarem no (os) domnio (os) abordado (os) pelo
treinamento que selecionar.

Nossos treinamentos sao complementares, sem sobreposiao de topicos, para que nossos alunos possam obter gradualmente diversas certificaoes.

35

Formao Cloud Computing

TREINAMENTOS

TIC 211 Cloud

Computing
Preparatorio para
as certificaoes
Cloud Foundations
do Exin e Cloud
Essentials da CompTIA

SEC 212 Cloud

Security
DEPOIMENTO

Os Cursos da Antebellum abrangem desde os fundamentos da

computaao em nuvem (Cloud Computing) ate os requisitos

Os treinamentos
ministrados pela
Antebellum na Fidelity
proporcionaram um
excelente alinhamento
entre os
conhecimentos das
rea de Segurana da
Informao e
Tecnologia, resultando
com excelentes
resultados de ambas
as reas no
tratamento dos
assuntos relacionados
Segurana da
Informao.

tecnicos para a criaao de assim como os princpios para aumentar a segurana dentro desses ambientes.

PBLICO ALVO
Este curso foi desenvolvido para profissionais que utilizam
ou pretendem utilizar servios de TI baseados na Internet.
Dentre esses profissionais destacamos:

Gestores, Consultores e Pessoal de Suporte, e gerentes de projeto de servios de TI

Eduardo Cabral
Diretor de GRC

Analistas e gerentes de negocio

Desenvolvedores, Integradores e arquitetos de siste-

Fidelity Processadora e
Servios S.A.

36

a certificaao
CCSK, da Cloud
Security Alliance

TIC 213 - Cloud Ad-

vanced
Preparatorio para a
certificaao Cloud
advanced do Exin e
Cloud+ da CompTIA

Equipe proveniente de provedores de servios internos e externos

Preparatorio para

mas

Engenheiros e especialistas de rede

Profissionais de segurana da informaao

TIC 211Cloud Computing (16h)

Nosso curso abrange todos os topicos abordados nas principais certificaoes de mercado, sendo elas CompTIA
Cloud Essentials (CEP), Exin Cloud Fundations (CLOUDF) e parte dos topicos necessarios para a certificaao
Certificate of Cloud Security Knowledge (CCSK) da Cloud Security Aliance(CSA)

MDULO 1 PRINCPIOS DE CLOUD COMPUTING

Atraves do entendimento dos conceitos fundamentais e do historico da Computaao em Nuvem os alunos
estudam as arquiteturas existentes e compreendem os benefcios e limitaoes deste modelo.
1)

Conceitos Fundamentais - Descreve atraves das definioes do NIST o que e Cloud Computing, o que e

virtualizaao, a relaao entre Cloud Computing e virtualizaao, os termos mais comumente utilizados e
exemplifica os principais tipos de Cloud Computing, entre eles SaaS, IaaS e Paas.
2)

Histrico da Disciplina -Apresenta as origens e evoluao da Computaao em nuvem, o papel dos

servidores, da virtualizaao, das redes, da Internet e dos servios gerenciados no Cloud Computing.
3)

Arquiteturas de Cloud Computing - Descreve as diferenas do ponto de vista tecnico entre as nuvens

publicas e privadas, o que e Service Oriented Architecture e as estruturas em camadas e multipropositos de

Datacenter.
4)

Benefcios e limitaes da Cloud Computing - Discute os benefcios e limitaoes do uso de Cloud

Computing, alem de indicar os tipos de organizaoes que podem se beneficiar mais ou menos com o uso de
Cloud Computing.
5)

O Valor da Cloud Computing para o negcio - Indica as semelhanas e benefcios entre Outsourcing e

Cloud Computing. Aborda as caractersticas de escalabilidade, segurana, independencia de hardware, custos

flexveis, Time to Market, distribuiao pela Internet e como elas podem incrementar o valor de negocio.

37

MDULO 2 UTILIZAO DA NUVEM

Neste modulo os estudantes aprendem como os usuarios podem acessar as nuvens atraves de browsers, Thin
Clients e dispositivos moveis.
1)

Acessando a Nuvem - Descreve as caractersticas de rede para como acessar a nuvem atraves de

browsers e Thin Clients.

2)

Mobilidade e Cloud Computing - Descreve as plataformas disponveis para acessar a nuvem atraves de

dispositivos moveis e as limitaoes dessas plataformas.

3)

Automao e Self-service - Descreve o papel e o impacto da automaao das tarefas e do modelo de

servios self-service na nuvem.

MDULO 3 SEGURANA EM CLOUD COMPUTING

Este modulo fornece uma extensa preparaao para as questoes sobre segurana na nuvem, revisando os
conceitos de segurana, riscos, autorizaao, gestao de identidades e autorizaao.
1)

Segurana em Cloud Computing - Revisando os conceitos fundamentais de segurana em nuvem

(Confidencialidade, Integridade e Disponibilidade), de autenticaao (Autenticaao Autorizaao e Auditoria) e

os principais riscos de segurana para os ambientes virtualizados.
2)

Gesto de Identidades - Descreve o uso de ambientes em federaao, da gestao de identidades e os

aspectos de privacidade e conformidade no Cloud Computing.

3)

Riscos e desafios tcnicos - Explica os riscos organizacionais, legais e tecnicos especficos ou nao do

ambiente de Cloud e os desafios tecnicos e metodos para mitigar os riscos atraves de tecnicas de gestao e
recursos tecnologicos.

MDULO 4 IMPLEMENTAO E GERENCIAMENTO DE CLOUD COMPUTING

Este modulo descreve os componentes, riscos e benefcios para a criaao de um ambiente privado de Cloud, o
uso de VPNs, alternativas para back-up, e o objetivo do uso de protocolos padrao em Cloud como IPSec,
DMFT, OpenID, etc.
1)

Construo de Nuvens Privadas - Descreve os benefcios, elementos da composiao de custos,

principais componentes a serem conectados em uma Private Cloud, alem dos riscos ao conecta-la a Internet.

38

2)

Suporte ao uso e Cloud Computing - Descreve o uso de VPN para acesso a rede local, linguagens de

script e abordagens de back-up em um ambiente de Cloud.

3)

Padres em Cloud Computing - Explica detalhadamente os objetivos da padronizaao e os principais

padroes e protocolos utilizados em Cloud Computing, como WBAM, DMFT, SMI-S, SMASH, HTTP, IPSec,
OpenID.
4)

Arquitetura e Desenvolvimento de Aplicaes - Descreve o impacto do ambiente de Cloud

Computing na arquitetura, na segurana e no processo de desenvolvimento de aplicaoes.

5)

Fatores de sucesso para Adoo de Cloud Computing - Projeto piloto, relaao com os objetivos

organizacionais, capacidade dos fornecedores, abordagens para migraao de aplicaoes.

6)

Impacto e mudanas no servio de TI - Entender estrategia, desenho, operaao e transiao de

servios para a nuvem e utilizar uma abordagem baseada no ITIL para explorar o potencial impacto da
Cloud Computing na organizaao.

MDULO 5 AVALIAO DE CLOUD COMPUTING

Atraves do entendimento dos conceitos fundamentais e do historico da Computaao em Nuvem os alunos
estudam as arquiteturas existentes e compreendem os benefcios e limitaoes deste modelo.
1)

Business Case - Discute o processo de seleo dos fornecedores, os custos, possveis economias

e principais benefcios operacionais e de pessoal na utilizaao do Cloud Computing.

2)

Avaliao de Implementaes - Descrevem os fatores para avaliaao de desempenho, requisitos de

gestao e fatores de satisfaao a serem utilizados na avaliaao dos provedores e de seus servios de Cloud
Computing.
3)

Gesto de contratos de Cloud - Discute a gestao de riscos e as recomendaoes para o gerenciamento

de terceiros, os requisitos de segurana a serem includos nas clausulas contratuais.

4)

Compliance em Cloud - Discute os requisitos de Compliance nos contratos de Cloud Computing,

dentre eles as questoes legais, a divisao de responsabilidades legais, consideraoes sobre as capacidades de
eDyscovery, SAS 70, ISO 27001, BS 25999 do contratado, requisitos de auditoria, jurisdiao e localizaao dos
dados.

39

SEC 212 - Segurana em Cloud Computing (8 h)

O Curso SEC 212 complementa os concei-

tos aprendidos no TIC 211, cobrindo o

conteudo necessario para

a certificaao

CCSK, da Cloud Security Alliance.

Prepare-se para obter a certificaao CCSK (Certificate of Cloud Security Knowledge) emitida pela CSA (Cloud
Security Alliance) e conhea principais aspectos de segurana defendidos na Europa (Enisa) e Estados Unidos
(CSA)
Indicado para profissionais que ja atenderam ao curso TIC 211 Cloud Computing da Antebellum, ou possuem
conhecimento similar.
O curso aborda os topicos da certificaao CCSK da CSA (Cloud Security Alliance), entidade que promove as melhores praticas em cloud computing, e leva o aluno a compreender as implicaoes de segurana do uso de servios em nuvem para, se optar por esse modelo, avaliar a forma mais segura de proceder a migraao.

OBJETIVOS DO CURSO
Ao final do curso o aluno estara apto a explicar, avaliar e planejar:

Conceitos de segurana em Cloud Computing, apresentados no CSA Guide e no Enisa Report;

Definioes de Cloud Computing do NIST;

Consideraoes sobre as caractersticas de portabilidade de provedor;

As seis fases do ciclo de vida da segurana de dados e seus principais elementos;

Consideraoes legais, jurisdioes e localizaao dos dados;

Os custos reais em se portar cada tipo de operaao para Cloud.

O certificado CCSK (Certificate of Cloud Security Knowledge) atesta que um determinado indivduo conseguiu
concluir com sucesso um exame que cobre os principais conceitos das orientaoes da CSA, bem como dos que
constam no whitepaper da ENISA [European Network and Information Security Agency].

40

Ementa do Treinamento

Segurana em Cloud Computing

Privacidade e Conformidade

Riscos legais e tcnicos

Integrao com o GRC da empresa

Resposta, notificao e remediao de incidentes.

Criptografia de dados na nuvem

Aspectos de Segurana em mquinas virtuais

Conformidade com normas e regulamentaes (Ex: 27001, ISO 27031, BS 25999, SAS 70, e-Discovery, etc.)

Portabilidade entre provedores

Data Security Lifecycle

Segurana para o PCI DSS

41

TIC 213 - Cloud Advanced (16 h)

O Curso SEC 213 aborda as qualificaoes

tecnicas dos profissionais envolvidos na

criaao de ambientes de Cloud Computing..

MDULO 1 CONCEITOS E MODELOS DE CLOUD COMPUTING

Conceitos Fundamentais - Descreve atraves das definioes do NIST o que e Cloud Computing,, os modelos SaaS, IaaS,
CaaS, Paas, XaaS, DaaS e BPaaS. Modelos de entrega de Cloud - Privada, Publica, Hbrida, Community, hosting on- premisse e off-premisse, diferenas na segurana entre os modelos. Termos e caractersticas de Cloud - Elasticidade, selfservisse sob demanda, pay-as-you-grow, chargeback, etc.

MDULO 2 VIRTUALIZAO
Tipos de Hypervisor (I e II), Bare Metal x OS, performance e sobrecarga, proprietario e open source,. Criaao, importaao e exportaao de templates e maquinas virtuais, Instalaao e configuraao, Snapshots e clonagem, backups de imagens e de arquivos, NIC Virtual, Switches Virtuais, discos virtuais (SCSI/ATA ID), switches virtuais, VLAN. P2V, V2V,
V2P, elasticidade, recursos compartilhados, isolamento de rede e aplicaoes, datacenter virtual (NIC, HBA e Router).

MDULO 3 INFRAESTRUTURA
NAS, DAS, SAN, Ethernet, iSCSI, SSDs, RAID, UFS, EXT, NTFS, ZFS, NAT, PAT, VLAN, Subnetting/Supernetting, WLAN,
LAN, MAN, Load Balancing, Utilitarios IP, portas, protocolos, intranets, extranets,

MDULO 4 GERENCIAMENTO DE REDE

SNMP, WMI, IPMI, Syslog, Alertas (SMTP, SMS, SNMP, Servios WEB, Syslog), CPU Virtual, Gestao de cotas, CPU, Memoria, SSH, RDP, Porta de console, HTTP, etc.

MDULO 5 SEGURANA
ACLs, VPNs, IDS/IPS, DMZ, Logs, Ataques, Segurana em Storages, PKI, IPSEC, SSL/TLS, AES, RSA, Single Sign-on, federaao, Role Based, MAC, DAC, autenticaao multifator, hardning, antivrus, patching, etc.

MDULO 6 GERENCIAMENTO DE SISTEMAS

Planejamento e documentaao de IP e Rede, CMDB, Upgrades e patches de servidores, performance de disco, melhores
praticas para configuraao de Hipervisor, banda, latencia de rede, load balancing, etc.

MDULO 7 CONTINUIDADE DE NEGCIOS EM CLOUD

Redundancia, failover, diversidade geografica, replicaao, site mirroring, hot site, cold site, etc

42

Nossos Autores e Instrutores

Fernando Fonseca e analista/programador desde 1985. Graduou-se em processamento de dados pela FUMEC-MG em 1996, e pos graduou-se em Multimdia e
Internet (UFES 2000), Segurana da Informaao (UNIRIO 2005), Administraao
de Redes Linux (UFLA 2006) e Strategic Management (La Verne University 2006) alem de certificar-se por diversos institutos, como o ISC2 (CISSP,
CISSP-ISSAP), EC-Council (CHFI), CompTIA (Security+), Microsoft (MCSE Security), Exin (ISFS, ISMAS), Access Data (ACE), Modulo MCSO, dentre outras.
Fernando e instrutor certificado pelo PCI Council, EC-Council, Exin e Microsoft,

Fernando atua como instrutor desde 1993, quando ministrava cursos de DOS, Wordstar, Lotus 123 e Dbase no SENACMG, e durante todas as funoes que exerceu em sua carreira continuou a ministrar treinamentos sobre as tecnologias
que trabalhava (Microsoft, Unicenter TNG, Redes, Segurana da Informaao e computaao forense). Atua tambem como
professor universitario desde 2004, tendo trabalhado nos cursos de graduaao e pos-graduaao na Universidade
Anhembi-Morumbi, UNIP, Faculdade Impacta de Tecnologia, Escola Paulista de Direito e UNI-BH.
Na Microsoft, atuou como Test Engineer, e Consultor de segurana da Informaao, onde foi responsavel pelo conteudo
dos programas Academia de Segurana da Informaao, Technet Security Experience e do Fast Start Security. Atuou tambem como Gerente de conteudo da Modulo Security Solutions , Coordenador de treinamentos na Techbiz Forense Digital. Dentro da comunidade de segurana, atuou como Diretor de Comunicaao do ISSA Brasil Chapter entre 2006 e
2010, e como Vice-presidente entre 2010 a 2012, Sendo o unico brasileiro a receber o ttulo de Senior Member pela ISSA International.

Eduardo V. C. Neves, CISSP, trabalha com Segurana da Informaao desde 1998. Iniciou sua
carreira profissional em uma das principais empresas de consultoria do mercado brasileiro,
posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10
anos.
Em 2008 fundou a primeira empresa brasileira especializada em Segurana de Aplicaoes e
hoje dedica-se a prestar servios de consultoria nas praticas de Risk Management, Security
Awareness e Business Continuity. Serve ainda como voluntario no OWASP e (ISC)2 e contribui para iniciativas de evangelizaao nas praticas de proteao da informaao para federaoes e associaoes no Brasil.

Anchises de Paula, CISSP, Analista de Inteligencia em Segurana da iDefense, Verisign. Possui extensa experiencia ha quase 15 anos na coordenaao e implantaao de projetos de Segurana da Informaao em empresas de grande porte como Editora Abril, Compugraf, Americel (DF), Telesp Celular (Vivo) e CPM.

Formado em Ciencia da Computaao pelo IME-USP, pos-graduado em Marketing pela ESPM

e certificado CISSP, GIAC e ITIL. Tambem leciona em cursos de pos graduaao, alem de palestrar em eventos locais e internacionais e ter presidido o Captulo Brasil da ISSA de 2008 a
2009. Tambem e um dos fundadores do captulo brasileiro da Cloud Security Alliance e do
primeiro HackerSpace brasileiro.

43

NOSSA MISSO

SATISFAO E CONHECIMENTO EM PRIMEIRO LUGAR

Levar ao pblico tcnico e

gerencial de todo o pas trei-

A Antebellum se orgulha de ser sempre bem recebida e avaliada por seus

namentos de alta qualidade

clientes.

desenvolvidos e continuamente atualizados por uma equipe

Consideramos a formao profissional uma parceria, entre o provedor de

de profissionais experientes

treinamentos e a organizao patrocinadora para melhorar a qualidade dos

que mantm conhecimento

servios prestados, a satisfao e a capacitao dos colaboradores.

terico nas disciplinas apresentadas e extensa experincia em projetos na rea de

Dentre nossos clientes, destacamos algumas empresas conhecidas no cenrio nacional e internacional.

Segurana da Informao.

Apostilas coloridas "Ekolgicas"

Este catlogo e todo nosso material didtico impresso na Ekofootprint, utilizando a
tecnologia de cera da Xerox, proporcionando cores vivas utilizando papel reciclado ou
de bagao de cana, com impacto ambiental 92% menor que impressos a laser.

Fernando Fonseca, CISSP-ISSAP

Diretor de Ensino
Mobile (11) 96161-1701 | (31) 9887-1701
E-mail: fernando@antebellum.com.br

44