Você está na página 1de 44
Catálogo de Treinamentos PCI-DSS - SEGURANÇA DA INFORMAÇÃO - FORENSE DIGITAL - GRC - CLOUD
Catálogo de Treinamentos
PCI-DSS - SEGURANÇA DA INFORMAÇÃO - FORENSE DIGITAL - GRC - CLOUD COMPUTING

Sobre a Antebellum

Antebellum Capacitação Profissional

SOBRE A ANTEBELLUM

Criada em 1997 com a finalidade de prestar serviços e treinamentos em Tecnologia da Informaçao, a Antebellum dedica-se exclusivamente a treinamentos com temas relacionados a Segurança da Informaçao.

Os cursos da Antebellum nasceram da observaçao de um grupo de instrutores e professores da area de Tecnologia da Informaçao e Segurança da Informaçao, sobre as mudanças nos cenarios nacional e internacional e as dificuldades encontradas pelos profissionais dessas areas para na contrataçao de treinamentos que se encaixassem em suas agendas, orçamentos e que alem de apresentarem seu conteudo de forma aprofundada e objetiva, refletissem essa qualidade no material do aluno, transformando-o em uma fonte de referencias futuras e apoio ao estudo para certificaçoes.

CARACTERÍSTICAS DOS TREINAMENTOS

Durante anos levantamos junto a nossos alunos os pontos mais positivos em cada treinamento e as dificuldades encontradas no aprendizado. Desse estudo nasceu um projeto que contempla soluçoes objetivas para as principais reivindicaçoes e problemas encontrados por alunos e empresas, destacan- do-se os seguintes fatores:

Foco na excelencia na criaçao de conteudo;

Programa de capacitaçao de instrutores;

Treinamentos modulares com imersao de 1 a 3 dias em temas específicos;

Investimento cuidadosamente pensado que seja acessível para empresas e profissionais indepen- dentes;

Atendimento a diversas regioes do Brasil, atraves de sua rede de parceiros criteriosamente sele- cionados;

Temas atuais com cursos preparatorios para certificaçoes de grandes organismos internacionais.

Porque antes de tudo mais, preparar-se é o segredo do sucesso.— Henry Ford

Treinamentos PCI Council

Treinamentos PCI Council A Antebellum tem a filosofia de associar - se a empresas no exterior

A Antebellum tem a filosofia de associar-se a empresas no exterior para trazer os melhores treinamentos

em Tecnologia da Informaçao e Segurança da Informaçao para a America Latina.

A Antebellum foi a unica empresa no mundo a receber a autorizaçao para ministrar os treinamentos

oficiais do PCI Council

October 02, 2012 10:15 AM Eastern Daylight Time

PCI Security Standards Council anuncia disponibilidade de

treinamento em portugues no Brasil. Nova organizaçao socia

brasileira oferecera treinamento de alta qualidade em PCI com

instrutor na língua local

O PCI Security Standards Council se associara a Antebellum, uma

empresa brasileira líder em treinamento em TI, para oferecer

cursos orientados por instrutores para o programa de Internal

Security Assessor (ISA) e classe de Conscientizaçao de PCI. Todos

os materiais e discussoes na sala de aula serao fornecidos em

portugues.

Fonte: http://www.businesswire.com/news/home/20121002006183/pt

DEPOIMENTO

Temos o prazer de anunciar

nossa primeira parceria

internacional de treinamento e estamos muito satisfeitos em associar-nos à Antebellum, uma organização com conhecimento profundo dos padrões da PCI

A educação é um elemento imprescindível na segurança de

pagamentos, e o Conselho da PCI

está comprometido com a expansão de oportunidades de treinamento da PCI globalmente

Bob Russo, General Manager, PCI SSC

PCI 501 - Implementando o PCI DSS 3.0 (24 Horas)

PCI 501 - Implementando o PCI DSS 3.0 (24 Horas) OBJETIVOS DO CURSO  Capacitar os

OBJETIVOS DO CURSO

Capacitar os alunos a implementar os controles necessários para atender aos requisitos do PCI DSS;

Facilitar a interação

entre os colaboradores da empresa e os QSAs.

Este curso é preparatório para a certificação PCI Professional, do PCI Council

A prova de certificação PCI Professional deve ser obtida diretamente no PCI Council.

Da experiencia da Antebellum em ministrar os treinamentos oficiais de certi-

ficaçao ISA (Internal Security Assessor) e da constataçao da necessidade de

um treinamento menos focado em auditoria e mais focado na implementaçao

dos controles necessarios para reforçar a segurança de dados de cartoes de

pagamento nasceu o treinamento de implementaçao do PCI DSS 3.0.

Este treinamento oferece a oportunidade de aumentar a expertise de seus

colaboradores nos padroes de segurança do PCI Council e a eficiencia de sua

empresa na implementaçao dos controles necessarios para atender aos re-

quisitos e alcançar a conformidade com o PCI DSS 3.0.

PRÉ-REQUISITOS

Conhecimentos basicos de Tecnologia da Informaçao

PÚBLICO-ALVO

Todo o pessoal tecnico envolvido com o manuseio de dados críticos, mais especifica- mente os custodiantes das informaçoes, normalmente pertencentes a area de tecno- logia da informaçao. Dentre esses profissionais destacamos:

Gestores, Consultores e Pessoal de Suporte, e gerentes de projeto de serviços de TI

Desenvolvedores, Integradores e arquitetos de sistemas

Engenheiros e especialistas de rede

Profissionais de segurança da informaçao

OBJETIVOS DO CURSO

O Treinamento leva o aluno a conhecer os controles de segurança utilizados na Evolveris, uma empresa fictícia

cujo nome em Latim significa Que esta evoluindo”. A Evolveris lí der em educaça o basica, me dia e universita ria, alem de oferecer dezenas de cursos de extensao e capacitaçao profissional.

Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo internacional, proprietario de diversas universidades e centros de treinamento em todo o mundo. Desde entao, a empresa tem realizando grandes es- forços, em todos os sentidos, para se adaptar ao nível de exigencia das regulamentaçoes americanas e europei- as, assim como atender aos anseios da governança corporativa da empresa

Dentro deste cenario, este curso apresenta passo a passo as açoes tomadas para a implantaçao dos controles responsaveis pela conformidade da organizaçao com os requisitos do PCI DSS 3.0, desde a conscientizaçao da alta gestao ate a implantaçao de cada um dos controles dentro de uma ordem sugerida pelo proprio PCI Council.

CONTEÚDO PROGRAMÁTICO

sugerida pelo proprio PCI Council. CONTEÚDO PROGRAMÁTICO A narrativa do curso se da em forma de

A narrativa do curso se da em forma de historia, que começa com a chegada de uma nova CEO, com a missao de

garantir a segurança de dados de cartao de pagamento na Evolveris.

O Curso e dividido em 7 partes com 28 capítulos, durante os quais as personagens apresentam as políticas e as

tecnologias utilizadas para a proteçao de dados críticos na organizaçao.

Parte I – Identificando e isolando dados sensíveis

Introdução: A Evolveris e o grupo de colaboradores mais envolvido com a segurança da informa- çao e apresentado aos alunos. Hilda solicita que o CIO da empresa (Willian) faça um levantamento de to- dos os tipos de dados que a empresa processa e armazena, e em seguida pede que Olívia (Jurídico) iden- tifique as leis, normas e regulamentaçoes relacionadas as atividades da empresa e a esses tipos de dados. Juntos, Olívia e Wallace (CISO) desenham as políticas de retençao de dados e diretrizes para comunica- çao com portadores de cartao de pagamento para atenderem ao PCI DSS.

Capítulo 1 – A Evolveris e o PCI Council: Allan, o CSO da Evolveris posiciona a segurança da infor-

maçao no organograma da empresa, explana sobre o enquadramento da Evolveris nos programas de

conformidades das bandeiras de cartoes de pagamento e apresenta o PCI Council e seus padroes de segu- rança para os outros gestores da empresa. Wallace, o CISO, apresenta os componentes de SI (processos, pessoas e tecnologia), os conceitos de defesa em profundidade, o processo de criaçao de controles de se-

gurança e os tipos e funçoes das medidas de segurança existentes.

Capítulo 2 – Análise de Riscos: Allan inicia um processo de análise de riscos baseado nas melho- res metodologias de mercado, como a ISO 27005 e NIST SP 800-30 revision 1. Para atender ao requisito 12.2 Allan estabelece sistemas de gestao de riscos com um processo de revisao anual dos riscos.

Capítulo 3 – Localização dos dados: Wallace desenha um diagrama de rede que identifica todos as conexoes entre o ambiente de dados de portadores de cartao, ou CDE (Cardholder Data Environment), e demonstra o fluxo de dados de cartoes dentro dos sistemas e redes. Adicionalmente, Willian se utiliza de ferramentas para identificar dados de cartoes que possam estar em outras localidades alem das docu- mentadas.

Capítulo 4 – Retenção de Dados: Wallace apresenta os critérios utilizados para armazenamento

de dados de cartoes de pagamento na Evolveris.

Capítulo 5 – Descarte de dados: Wallace apresenta os controles utilizados para a destruição de dados que nao possuem mais uma necessidade legal ou de negocio para serem armazenados.

Parte II – Protegendo sistemas e redes e preparando-se para responder a falhas

Capítulo 6 – Definição de escopo: Wallace apresenta a Hilda as estratégias de segurança relacio-

nadas a identificaçao do fluxo de dados de portadores de cartao dentro da Evolveris e de todos os compo-

nentes por onde estes dados trafegam, sao armazenados ou processados.

Capítulo 7 – Configuração dos ativos de rede: Alex apresenta as políticas de configuração dos ativos de rede, incluindo as regras de firewall, NAT, tecnicas anti-spoofing e sincronizaçao dos arquivos de confi- guraçao. Alex especifica tambem os protocolos em uso e apresenta os mecanismos de detecçao de intrusos nos diferentes segmentos de rede criados atraves de perímetros que separam diferentes zonas com dife- rentes níveis de confiança atraves de firewalls, switches e roteadores.

Capítulo 8 – Configuração padrão: Alex apresenta as políticas definidas para a substituição de se- nhas dos ativos de rede e dos softwares instalados na Evolveris antes da implantaçao dos mesmos na rede corporativa.

Capítulo 9 – Configuração de Endpoint: Wallace apresenta as políticas e configurações utilizadas pela Evolveris para a configuraçao do(s) software(s) em execuçao nos hosts. Que incluem o antivírus, fire- wall pessoal e monitor de integridade nos equipamentos dentro do ambiente de dados do portador de car- tao.

Capítulo 10 – Criptografia Assimétrica: Samuel, o coordenador de infraestrutura apresenta os fun-

damentos da criptografia assimetrica, certificados digitais, autoridades certificadoras, Infraestrutura de chaves publicas e assinatura digital.

Capítulo 11 – Criptografia aplicada à transmissão de dados: Samuel continua sua explicação, de- monstrando como a Evolveris utiliza a criptografia para atingir os objetivos de conformidade e aumentar a segurança ao transmitir dados de cartoes de pagamentos de forma segura, utilizando VPN, SSL/TLS e WPA.

Capítulo 12 – Acesso remoto: Samuel apresenta as políticas de acesso remoto, que incluem autenti- caçao forte, baseada em mais de um fator, as características criptograficas para acesso administrativo.

Capítulo 13 – Controles Físicos: Allan apresenta os controles de segurança física como a proteção do perímetro físico, areas sensíveis, controles de acesso ao ambiente, CFTV, pontos de rede, estaçoes des- bloqueadas, informaçoes nas estaçoes de trabalho, alem das políticas de controle de dispositivos de paga- mento com lista de dispositivos, e inspeçao periodica dos mesmos.

Capítulo 14 – Testes de vulnerabilidades: Samuel apresenta as políticas e as metodologias utiliza-

das para realizar os testes trimestrais de vulnerabilidades e os testes anuais de invasao no ambiente de

dados do portador de cartao.

Capítulo 15 – Provedores de Serviço e Plano de resposta a incidentes: Wallace apresenta as políti- cas para controle de provedores de serviço, os controles para resposta a incidentes de segurança e apre- senta o plano de resposta a incidentes da Evolveris para o caso de vazamento de dados.

PARTE III SEGURANÇA EM APLICAÇÕES DE PAGAMENTO

Willian apresenta os estudos relacionados a vulnerabilidades de softwares, o processo de criaçao de ex- ploits, zero-days, os procedimentos a serem adotados pelas empresas para mitigar essas ameaças e as melhores praticas de atualizaçao, alem das políticas de atualizaçao, hardening e privilegio mínimo da Evolveris

Capítulo 16 – Configuração: Samuel descreve os procedimentos para criação e manutenção de pa- droes de instalaçao e configuraçao segura (hardening) dos componentes do sistema, assim como os pro- cedimentos criados para que estes sistemas permanecem sempre atualizados e com uma configuraçao segura em qualquer tipo de componente, incluindo sistemas operacionais, paginas WEB, e firmware de

ativos como roteadores e firewalls.

Capítulo 17 - Desenvolvimento: Gabriel, o Lenda”, explica como os princípios de segurança no design e segurança por default sao aplicados nos desenvolvimentos internos da Evolveris. Apresenta tambem a separaçao entre os ambientes de desenvolvimento, teste e produçao, os procedimentos para gestao de mudanças em software, treinamento de desenvolvedores e os cuidados tomados na validaçao das entra- das dos sistemas para evitar falhas de Buffer overflow, SQL Injection.

PARTE IV MONITORAÇÃO E CONTROLE DE ACESSO AOS SISTEMAS

Capítulo 18 – Controle de Acesso: Willian apresenta a política de controle de acesso da Evolveris,

as regras para criaçao e manutençao de senhas seguras e os conceitos de gestao e identidades, identifica-

çao unica, Need to Know, privilegio mínimo, segregaçao de funçoes.

Capítulo 19 – Reference Monitor: Wallace apresenta os conceitos de Reference Monitor, Trile A, DACLs, SACLs, Auditoria de eventos (Logs), assim como o processo e a política de auditoria e os cuida- dos para sincronizaçao de hosts (NTP).

Capítulo 20 – Autenticação: Willian analisa as diferenças entre os processos de autenticação mais

utilizados em sistemas operacionais, como o passwd, SAM, domínios e Kerberos. Discute tambem, as polí-

ticas de acesso a banco de dados e autenticaçao com Smatcards.

Capítulo 21 – Monitoramento: Alex apresenta as políticas e recursos de monitoramento do ambi- ente utilizados para detectar alteraçoes em arquivos críticos, redes wireless nao autorizadas. O Capítulo aborda tecnologias como Scanners de vulnerabilidades, IDS, IPS e NAC.

PARTE V PROTEÇÃO DOS DADOS ARMAZENADOS

Capítulo 22 – Proteção dos dados armazenados: Wallace apresenta as bases da criptografia simé- trica, truncagem e hash de dados atraves da teoria e da demonstraçao da criptografia de arquivos, bancos de dados, discos e backups utilizada na Evolveris para a proteçao dos dados armazenados.

Capítulo 23 – Gerenciamento de Chaves: Samuel apresenta as políticas para geração, transmissão, custodia de chaves criptograficas, conhecimento compartilhado, duplo controle e destruiçao das chaves.

Capítulo 24 – Tokenização: Samuel apresenta os conceitos de Tokenização e como essa metodolo- gia vem sendo aplicada dentro da Evolveris para diminuir o impacto de um eventual vazamento de dados.

PARTE VI CONTROLES ADICIONAIS

Capítulo 25 – Gestão de Mudanças: Wallace apresenta os controles utilizados para garantir uma gestao adequada das alteraçoes realizadas nos componentes dos sistemas da Evolveris, dentre eles a do- cumentaçao de impacto, aprovaçao da mudança, teste de funcionalidade e procedimentos de retorno.

Capítulo 26 – Política de Segurança: Allan apresenta o processo de criação e aprovação da política de segurança da Evolveris, assim como a sua divulgaçao e a capacitaçao da equipe nos assuntos referentes a segurança da informaçao.

PARTE VII DOCUMENTAÇÃO DO PCI COUNCIL

Capítulo 27 – Os documentos de apoio: Allan apresenta os documentos disponibilizados pelo PCI Council para auxiliar as empresas na obtençao da conformidade com os padroes vigentes.

Capítulo 28 – SAQs, ROCs, AOCs e planilha de controles compensatórios: Allan explica as diferen- ças entre os Questionarios de auto-avaliaçao (SAQs) e Relatorios de conformidade (ROCs), e Atestados de Conformidade (AoC), alem de demonstrar os requisitos e passos para preenchimento da planilha de con- troles compensatorios

PCI 502 - Conhecendo o PCI DSS 3.0 (4 Horas)

Este curso é altamente

recomendado para atender ao

requisito 12.6 do PCI DSS

(Conscientização em

Segurança da Informação)

do PCI DSS (Conscientização em Segurança da Informação) Um curso aberto ao publico geral, feito sob

Um curso aberto ao publico geral, feito sob medida para quem quer aprender mais sobre o PCI Council e

como os padroes do PCI ajudam a endereçar os desafios de segurança da informaçao na industria de

pagamentos com cartao .

O curso e especialmente apropriado para Gerentes de Auditoria, Analistas de Negocio, Analistas de Cre-

dito, Agentes de Conformidade, Gerentes Financeiros, Gerentes de Segurança da Informaçao, Especialis-

tas em TI, Gerentes de Projeto, Gestores de Risco, Analistas de Segurança, Desenvolvedores, Engenhei-

ros de Software, Administradores de Sistemas, Web Masters.

OBJETIVOS DO CURSO

Apresentar o funcionamento do PCI Council e seus diversos padroes;

Apresentar todos os requisitos do padrao PCI DSS;

Conscientizar cada colaborador de seu papel dentro da segurança dos dados de cartao.

EMENTA DO TREINAMENTO

As bandeiras e o PCI SSC (PCI Council);

Os padroes do PCI Council;

O PCI Data Security Standard (DSS) 3.0;

Visao geral dos requisitos do PCI, e como eles aumentam a segurança

Papeis e responsabilidades dos colaboradores no programa de conformidade;

Visao geral das vulnerabilidades;

Objetivo dos controles nao tecnicos do PCI DSS.

FOR 401—Perícia Forense Digital (8 Horas)

FOR 401 —Perícia Forense Digital (8 Horas) Indicado para agentes da lei, advogados, times de resposta

Indicado para agentes da lei,

advogados, times de resposta

a incidentes, e profissionais

de TI e Segurança da

Informação.

O Curso apresenta todos os passos de uma perícia em provas digitais e os fundamentos para uma co-

leta apropriada de evidencias, garantindo a integridade das provas. Alem de um conteudo unico sobre

a legislaçao brasileira, este e o primeiro passo para qualquer certificaçao forense como o CHFI do EC-

Council, GCFA e GCFE do SANS/GIAC.

OBJETIVOS DO CURSO

Diferenciar as implicaçoes da coleta e analise de indícios e os cuidados para sua transformaçao em provas, em processos cíveis e penais.

Compreender as responsabilidades do First Responder, e como deve ser a preparaçao do mesmo.

Comparar as leis brasileiras as diretivas acordadas na convençao de Budapeste.

Conhecer os quesitos internacionais para coleta de provas da IOCE

Entender os processos de investigaçao e analise de indícios

EMENTA DO TREINAMENTO

Objetivos da perícia digital

Historia da Perícia Forense

Crimes e Provas na visao do Codigo de Processo Civil e Codigo Penal

Metodologia Forense

Provas lícitas e ilícitas

O Papel do First Responder

Coleta de evidencias

A Convençao de Budapeste

Provas segundo o IOCE e SWGDE

Legislaçao no Brasil

Investigaçao (Copia Forense, Cadeia de Custodia)

Analise dos indícios (evidencias)

Ferramentas de analise

Encerramento do caso

FOR 402 - Formação do First Responder (8 Horas)

Indicado para agentes da lei,

advogados, times de resposta

a incidentes, e profissionais

de TI e Segurança da

Informação.

e profissionais de TI e Segurança da Informação. O Treinamento prepara os profissionais de TI, SI

O Treinamento prepara os profissionais de TI, SI e agentes da lei para abordar incidentes de segurança de

forma organizada e eficiente, minimizando o tempo de parada dos ativos atingidos e preservando as eviden-

cias para uma possível investigaçao forense. Este curso e fundamental para qualquer certificaçao forense co-

mo o CHFI do EC-Council, GCFA e GCFE do SANS/GIAC.

OBJETIVOS DO CURSO

Diferenciar os tipos de crimes por computador.

Agir de forma organizada, evitando ao maximo a perda ou contaminaçao de provas na hora da coleta.

Documentar de forma correta o ambiente onde encontrou as provas e os procedimentos de aquisiçao

Preservar dados volateis (memoria) para que nao se percam ao desligar o aparelho.

Identificar a existencia de criptografia no disco

Realizar despejos (dumps) de memoria em Windows, Linux e Mac.

Criar imagens forenses dos dados volateis e nao volateis

Evitar as ameaças contra a autenticidade das provas

EMENTA DO TREINAMENTO

Crimes por computador

CSI – O que e uma cena de crime (ou de desastre)

Volatilidade das evidencias

Documentaçao do ambiente

Kits forenses (Cabos, bloqueadores, dispositivos moveis, CDs, etc)

Tipos de imagem (E01, AFF, RAW)

Identificaçao de evidencias

Live Analysis, Dump de memoria e preservaçao de dados volateis

Identificaçao de criptografia de disco

Utilizaçao de bloqueadores de escrita

Criaçao de imagem de discos e dispositivos USB

Preservaçao da integridade das evidencias e Cadeia de custodia

Aquisiçao via e-discover

FOR 403 - Investigação em Meios Digitais (24 Horas)

FOR 403 - Investigação em Meios Digitais (24 Horas) Indicado para agentes da lei, advogados, times

Indicado para agentes da lei,

advogados, times de resposta

a incidentes, e profissionais

de TI e Segurança da

Informação.

O Curso aborda todos os fundamentos necessarios, alem das primeiras praticas para que os investiga-

dores encontrem, compreendam e analisem evidencias digitais oriundas de diversas fontes, como

HDs, drives USB, Skype, browsers, P2P, etc. Este curso e fundamental para os cursos de analise de

Windows e Unix, assim como qualquer certificaçao forense como o CHFI do EC-Council, GCFA e GCFE

do SANS/GIAC.

OBJETIVOS DO CURSO

Preparar o aluno para localizar e analisar evidencias digitais

EMENTA DO TREINAMENTO

Ferramentas forenses (FTK, EnCase, WinHex, Freewares)

Tecnicas de triagem

Timezones

Hashes e Fuzzy hashing

Bancos de dados de arquivos conhecidos (bons e ruins)

Procura por arquivos e strings

Historico de procura, documentos recentes e URLs digitadas

Exame de dispositivos USB (Primeiro e ultimo uso, usuario do dispositivo, etc.)

Recuperaçao de arquivos apagados, Identificaçao de Metadados e Data Carving

Analise de mensagens instantaneas (Skype, AIM, MSN) e Yahoo, Hotmail, Gmail, etc.

Analise de Browsers (historico, cache, downloads, buscas, etc.)

Analise de Analise de documentos do usuario (doc, docx, PDF, etc.)

Conceito e analise em sistemas de arquivo (FAT, NTFS, Ext, etc.)

Dados Exif (camera, resoluçao, coordenadas GPS, etc.) e Assinatura de arquivos (Magic Numbers)

Espaços nao alocados e Slack Space

Tecnicas anti-forense

Investigaçao em e-mails (funcionamento, tipos e formato)

Relatorios (sumario executivo, apresentaçao, conclusao)

TIC 206 - GRC (16 Horas)

DEPOIMENTO

O treinamento de GRC da Antebellum não somente ajuda a compreender nosso papel dentro dos objetivos de negócio como também fornece conhecimentos que ajudam o aluno compreender o mundo dos negócios.

Luís Felipe Albuquerque C&A Modas

dos negócios. ” Luís Felipe Albuquerque C&A Modas MÓDULO 1 – INTRODUÇÃO AO GRC Este modulo

MÓDULO 1 INTRODUÇÃO AO GRC

Este modulo demostra como incidentes ligados a falhas nas areas de Governança, Gestao de Riscos e Confor-

midade podem comprometer o valor de mercado e o lucro das empresas, alem de apresentar alguns conceitos

importantes para a compreensao da integraçao de GRC.

A necessidade do GRC

Cases de empresas afetadas por problemas de GRC

Definiçoes

Stakeholder; Sociedades Anonimas; Shareholders; Bolsa de Valores

MÓDULO 2 A HISTÓRIA DO GRC

Este modulo explica, atraves de eventos historicos, como as pessoas se comportavam em relaçao ao risco e

como a matematica e estatística criaram uma nova visao sobre a causa dos eventos. Paralelamente, a historia

da Governança Corporativa e contada em uma linha do tempo que começa com a primeira sociedade de açoes

do mundo, em 1250, e avança ate a crise da Enron, que culminou na Lei Sarbanes-Oxley. A linha historica da

conformidade aparece como uma resposta a eventos como a quebra da bolsa de NY em 1929 e a quebra da

Enron. Por esse motivo, esses eventos sao apontados como marcos de governança e conformidade.

· Risco

A Vontade dos Deuses dita as regras, Algarismos Indo-Arabicos

1654

– Luca Paccioli e o desafio da renascença

1703

a 1760 - Jabob Bernoulli e a lei dos grandes numeros

1875

– Regressao a media

1952

– Ovos em cestas separadas

1992

– O Cubo COSO

2004

– Coso II

· Governança

1250 – Societe des Moulins bu Bazacle

1600

– Companhia das Indias orientais

1602

– Amsterdam Stock Exchange

1915

a 1929 – A Economia Liberal

1929

– Euforia na Bolsa de NY

1929

– O Crash da Bolsa de NY

1930

– A Grande Depressao

1961

– A Criaçao da OECD

1980

– O Ativismo de Robert Monks

1992

– O Relatorio Cadbury

1999

– Os Princípios de Governança da OECD

Enron

· Compliance

1934

– New Deal e a SEC

1969

– A Criaçao da ISACA

1976

– A CVM no Brasil

1973

– A Criaçao da IASC

1977

– A FCPA

1985

– COSO

1992

– A Convençao anti-suborno da OECD

1996

– HIPAA

1996

– Cobit 1.0

1998

– The Anti-Bribery Act

1998

– O Acordo de Basileia

1999

– Gramm-Leach-Bliley Act

2002

– A Lei Sarbanes-Oxley

2004

– Basileia II

2004

– IFRS

2005

– O Roubo de dados de Cartoes de Credito na TJX

2006

– O PCI Council

2010

– Basileia III

MODULO 3 GOVERNANÇA

Este modulo apresenta os conceitos de governança (corporativa e de TI), visando criar um melhor entendi- mento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecno- logia da Informaçao e Segurança da Informaçao para que estas areas estejam alinhadas aos objetivos da alta gestao

Governança Corporativa - Definiçoes do IBGC (Instituto Brasileiro de Governança Corporativa), níveis de governança e o novo mercado da Bovespa ,transparencia, equidade, prestaçao de Contas, responsabilidade corporativa, conselho de administraçao, relaçoes com os investidores, gestao de riscos, relatorio anual, codigo de conduta.

Governança de TI - Estrutura de governança de TI, estudo da norma ABNT ISO/IEC 38500.

MODULO 4 - GESTÃO DE RISCOS

Este modulo demonstra os conceitos de risco positivo e negativo, que juntos com os conceitos de apetite e to- lerancia a riscos demonstram a necessidade do risco para a o crescimento e sucesso das organizaçoes. O mo- dulo aborda tambem todos os conceitos e as principais normas e frameworks para a avaliaçao e tratamento de riscos.

Definições de risco - Riscos positivos e negativos, fontes de risco, nível de risco e probabilidade, consequen-

cia, analise quantitativa , qualitativa e semi-quantitativa, matriz de riscos, percepçao de riscos, responsabilida-

de pelo risco, apetite e tolerancia a riscos

Gestão de Riscos - Princípios de Gestao de Riscos, estudo da norma ABNT ISO 31000, criterios de Risco (ALARP – As Low as Reasonable Practicable), processo de avaliaçao de riscos, tratamento de riscos, monitora- çao do risco, reporte de riscos, gestao de riscos atraves da ABNT ISO 27005, comparaçao do Coso ERM (Coso II) com a ISO 31000

MÓDULO 5 - CONFORMIDADE:

Este modulo apresenta os principais conceitos relacionados a conformidade, assim como as mais importantes regulamentaçoes as quais as empresas nacionais estao sujeitas. Ao final dos estudos e apresentada a norma Australiana de Compliance e os principais pontos abordados por esta.

Conceitos e definiçoes, sistema normativo (Leis e Regulamentaçoes), tipos de conformidade, CVM, CVM 358/2002 – Fato Relevante, CVM 456/2007 – IFRS, decreto 11.638 – Contabilidade das Sociedades por Açoes, Basileia II e III, Banco Central, resoluçao 2554, resoluçao 3380, SUSEP 249/2004, culpa e dolo, respon- sabilidades dos Administradores, lei das S.A.s, business judgement rule, conflito de Interesses, dever de quali-

ficar-se e informar-se, dever de informar, dever de sigilo, insider trading, concorrencia desleal, dever de vigi-

ar, investigar e punir , codigo de etica, política de propriedade intelectual, política de segurança da informa-

çao, sustentabilidade, a norma AS 3806/2006, o papel do CCO/CECO.

MÓDULO 6 IT GRC UTILIZANDO O COBIT

Este modulo complementa os tres anteriores ao mostrar o Conjunto Cobit+Vai IT+Risk IT, delimitando o seu

relacionamento com as areas de Governança, Gestao de Riscos e Compliance. Em uma segunda etapa, apresen- tamos o Cobit 5, o framework de GRC da ISACA que integrou o Val IT e RisK IT ao CobiT e tem a proposta de

ser um framework de GRC para qualquer area da organizaçao.

Governança de TI segundo o Cobit - Areas de foco na Governança de TI, produtos do CobiT, objetivos e Ar- quitetura de TI, ciclo de vida de TI, domínios do CobiT, objetivos de Controle, tabela RACI, modelo de maturi- dade, objetivos de negocio, objetivos de negocio transformados em objetivos de TI, objetivos de TI transforma- dos em objetivos de processo.

VAL IT - Definiçao e Objetivos, os quatro Estamos?”, Val IT x CobiT, domínios e Processos, quadro de ativida- des, entradas e saídas

Risk IT - Posicionando Cobit, ValIT e RiskIT, hierarquia dos riscos, resposta e priorizaçao de riscos, governan-

ça de riscos, avaliaçao de riscos, articulaçao de riscos.

Cobit 5 - Princípios e aspectos gerais, arquitetura e objetivos em cascata, objetivos de governança, modelo de Enablersintegrados, objetivos de governança, objetivos de TI, governança e gestao, governança corporativa

de TI, novo modelo de maturidade (ISO 15504), ciclo de implementaçao.

MÓDULO 7 CONSIDERAÇÕES FINAIS

Neste modulo trazemos uma reflexao sobre os desafios para a implantaçao do GRC desde uma definiçao do termo e de sua real funçao ate o perfil do profissional de GRC.

O que esperar do GRC, visao do modelo de negocio (OCEG), colaboraçao, stakeholders internos do GRC,

stakeholders externos do GRC, sistemas eficientes, eficazes e responsivos, implantaçao do GRC na organizaçao,

vencendo resistencias, perfil do profissional de GRC.

Formação em Segurança da Informação

10 Domínios da Segurança da Informação segundo a ISC 2 (CBK/CISSP)

da Segurança da Informação segundo a ISC 2 (CBK/CISSP) DEPOIMENTO “ Os treinamentos ministrados pela Antebellum

DEPOIMENTO

Os treinamentos

ministrados pela

Antebellum na

Fidelity

proporcionaram um

excelente alinhamento entre os conhecimentos das área de Segurança da Informação e Tecnologia, resultando em ganhos substanciais para ambas as áreas no tratamento dos

assuntos

relacionados à

Segurança da

Informação.

Eduardo Cabral Diretor de GRC

Fidelity Processadora e Serviços S.A.

A Antebellum desenvolveu um conjunto de treinamentos que

juntos abrangem todos os domínios da Segurança da Informa-

çao.

A modularizaçao dos treinamentos permite que os alunos

possam assistir a todos os treinamentos sem que precisassem

se ausentar por diversos dias de suas empresas, ou ainda, se-

lecionar os cursos que abordam os temas onde gostariam de

se preparar mais intensamente para provas de certificaçao e

concursos.

Para que o aluno seja recompensado desde o primeiro curso,

o conjunto

que aplicavel, levar o aluno a certificaçoes intermediarias ba-

seadas no conteudo do domínio estudado.

de treinamentos da Antebellum procura, sempre

A Antebellum e reconhecida como uma ACP (Accredited Cour-

se Provider), AEC (Authorized Examination Center) e como

um ATP (Accredited Training Provider ) pelo Exin, um dos

maiores institutos de certificaçao do mundo.

Essas credenciais conferem a Antebellum a capacidade de

fornecer um material reconhecido pelo Exin como preparato-

rio para suas certificaçoes e o de ministrar cursos oficiais sob

sua chancela.

e o de ministrar cursos oficiais sob sua chancela. TREINAMENTOS SEC 201 —Segurança da Infor- mação

TREINAMENTOS

SEC 201—Segurança da Infor- mação com base na ISO

27002

Todos os domínios super- ficialmente

Preparatório para a certifi- cação ISFS do Exin

SEC 202—Gestão da Seguran- ça da Informação

Aborda o domínio Gover- nança e Gestão de Riscos

Preparatório para a certifi- cação ISMAS do Exin

SEC 103 – Criptografia aplica- da

Preparatório para a certifi-

cação CES do EC-Council

SEC 104 – Core Security

Aborda os domínios Con- trole de Acesso, Segurança em desenvolvimento e Arquitetura e Design

SEC 105 – Segurança em Redes e Telecomunicações

Aborda o domínio Segu-

rança em Telecomunica-

ções e Redes

GCN 220 – Fundamentos de Continuidade de Negócios

Aborda o domínio Conti- nuidade de Negócios

SEC 201 - Segurança da Informação com base na ISO 27002 (16 H)

- Segurança da Informação com base na ISO 27002 (16 H) O curso SEC 201 apresenta
- Segurança da Informação com base na ISO 27002 (16 H) O curso SEC 201 apresenta

O curso SEC 201 apresenta aos alunos todos os domínios do CBK de forma clara e objetiva.

O conteudo do curso SEC 201 foi cuidadosamente criado para fornecer todos os fundamentos de Segurança da

Informaçao para profissionais de TI que desejam aumentar o seu valor para sua organizaçao e para o mercado, ou iniciarem-se na area de Segurança da Informaçao.

JUSTIFICATIVA

A informaçao sempre foi a mola propulsora das empresas e sua segurança uma peça fundamental para a sobrevi-

vencia destas. Com o advento da computaçao, essas informaçoes se tornaram cada vez mais informaçoes digitais e

com a comunicaçao em massa promovida pelas novas tecnologias, sua exposiçao tornou-se ao mesmo tempo ne- cessaria (para as pessoas autorizadas) e um fator de risco a ser tratado com planejamento e processos maduros.

Com o aumento da demanda por serviços e das duvidas da comunidade de Tecnologia da Informaçao e Segurança da Informaçao, a industria passou a organizar-se em associaçoes para discutir soluçoes e capacitar a mao de obra, visando garantir que os esforços sejam convergentes e que as empresas tenham em seu quadro profissionais ple- namente capacitados para obter o maximo de eficiencia e segurança dessas tecnologias.

Dentro desse contexto, a ISO desenvolveu a família 27000, dedicada a segurança da informaçao. Sua principal nor- ma e a ISO 27002 (Antiga ISO 17799), que fornece um codigo de praticas para a proteçao da informaçao, baseado

na experiencia de profissionais de todo o mundo, que se reunem em associaçoes como a ABNT, para contribuir

para a constante evoluçao dessa norma.

OBJETIVOS DO CURSO

O curso visa apresentar os fundamentos da Segurança da Informaçao de acordo com os princípios descritos na

ISO 27002, assim como alguns tipos de medidas para reduzir os riscos a confidencialidade, integridade e disponi- bilidade da informaçao dentro de organizaçoes, de qualquer tipo ou tamanho.

confidencialidade, integridade e disponi- bilidade da informaçao dentro de organizaçoes, de qualquer tipo ou tamanho. 19

19

PÚBLICO-ALVO

Todo pessoal envolvido com a gestao da segurança da informaçao, o que inclui os proprietarios das informa-

çoes e os custodiantes das mesmas. Dentre esses profissionais destacamos:

Gestores, consultores, pessoal de suporte e gerentes de projetos de serviços de TI;

Analistas e gerentes de areas de negocio (financeiro, RH, engenharia, etc);

Desenvolvedores, integradores e arquitetos de sistemas;

Engenheiros e especialistas de rede;

Profissionais de Segurança da Informaçao.

PRÉ-REQUISITOS

Conhecimentos basicos de Tecnologia da Informaçao.

CARGA HORÁRIA

O curso tem duraçao de 16 horas que podem ser distribuídas em dois ou quatro dias.

CONTEÚDO PROGRAMÁTICO

O curso SEC 201 foi desenvolvido para apresentar os conceitos fundamentais da Segurança da Informaçao,

cobrindo os principais aspectos da ISO 27002 atraves de exposiçao de casos e um exercício pratico ao final de

cada modulo para auxiliar na fixaçao do conhecimento adquirido em sala de aula.

O conteudo apresentado em aula e tambem enriquecido pelo uso de diversos documentos de suporte, artigos

publicos sobre o assunto e material exclusivo desenvolvido pela equipe de instrutores da Antebellum.

MÓDULO 1 INFORMAÇÃO E SEGURANÇA

Apresenta os conceitos fundamentais e de construçao da informaçao e das formas de garantir sua segurança.

1. Conceitos Fundamentais - Explica os conceitos de informação em seus diversos formatos, seu ciclo

de vida, as diferenças entre dados e informaçao e a infraestrutura basica para armazenamento e proteçao

da mesma.

2. Valor da Informação - Discorre sobre o valor estrategico da informaçao para as organizaçoes, como a

informaçao pode influenciar no desempenho da organizaçao e como as praticas de segurança da infor-

maçao protegem esse bem da organizaçao.

3. Aspectos de confiabilidade - Apresenta os aspectos da segurança da informação: Confidencialida-

de, Integridade e Disponibilidade (CID), detalhando seus requisitos de avaliaçao.

MÓDULO 2 ALINHAMENTO ESTRATÉGICO

Este modulo introduz alguns conceitos fundamentais para estabelecer a conexao entre os objetivos da area de

Segurança da Informaçao e os objetivos de negocio das empresas.

1. Governança - Apresenta um modelo de governança corporativa, a diferenciaçao entre governança e gerenci- amento, o funcionamento e as areas de foco da governança de TI, um exemplo de Balanced Scorecard (BSC), a relaçao do BSC com os objetivos de negocio, o alinhamento dos objetivos de TI/SI com o BSC e os objetivos de negocio e os processos que levam a realizaçao dos objetivos de TI.

2. Modelagem de Processos - Mostra como o processo de modelagem pode ajudar a encontrar os ativos

da informaçao que suportam os processos mais críticos, facilitando sua classificaçao e uma posterior proteçao

proporcional a sua importancia para a organizaçao.

3. Classificação da Informação - Mostra como os ativos de informação devem ser classificados por cate- gorias, de acordo com seu valor para a organizaçao, para que recebam uma proteçao proporcional as suas necessidades de confidencialidade, disponibilidade e integridade.

MÓDULO 3 GESTÃO DE RISCOS

Este modulo apresenta os conceitos basicos de risco, gestao de riscos e analise e avaliaçao de riscos.

1. Ameaças - Apresenta os conceitos de ameaça, vulnerabilidade e agente de ameaça.

2. Tipos de Ameaça - Apresenta aos alunos os tipos mais comuns de ameaças a segurança da informaçao como:

Codigo Malicioso, Vírus, Worm, Spyware, Trojan, Rootkit, Backdoor, Engenharia Social, Hacking, Hoax, Phishing Scam, Bots, Botnets, Spam e Scam.

3. Dano - Discute o incidente de segurança, a probabilidade, consequencia, impacto e danos diretos e indiretos a

organizaçao.

4. Análise de Riscos - Explica os processos de analise (quantitativa e qualitativa) e avaliaçao de riscos, a relaçao entre uma ameaça e um risco, assim como as estrategias para tratamento dos riscos e aceitaçao de riscos resi- duais.

MÓDULO 4 ABORDAGEM E ORGANIZAÇÃO

Este modulo fornece uma visao da construçao das políticas de segurança e a organizaçao da segurança da

informaçao.

1. Políticas de Segurança - Descreve os objetivos e a composiçao de uma política de segurança, assim co- mo a organizaçao da segurança da informaçao.

2. Organização da segurança - Apresenta fatores fundamentais para o bom funcionamento da política de segurança como: codigo de Conduta, propriedade de ativos e papeis principais na Segurança da Informa- çao.

3. Gestão de Incidentes e escalação - Descreve a importancia de uma rotina de gestao de incidentes, apresentando um ciclo onde os mesmos devem ser reportados de forma correta, analisados e escalados funcional ou hierarquicamente. Descreve tambem os efeitos negativos de eventuais falhas neste proces- so.

MÓDULO 5 MEDIDAS DE SEGURANÇA

Descreve a importancia das medidas de segurança para a organizaçao e a forma como sao estruturadas de acordo com sua classificaçao e possível impacto a organizaçao.

1. Importância das medidas de segurança - Descreve as formas como as medidas de segurança devem ser fundamentadas e os tipos e funçoes das medidas de segurança existentes.

2. Segurança Física - Analisa os riscos envolvendo falhas nas medidas de segurança física e fornece exem- plos de ameaças e medidas relacionadas a segurança física.

3. Controles Tecnológicos - Analisa os riscos envolvendo aspectos tecnológicos como a má utiliza- çao e manutençao dos ativos de tecnologia, softwares maliciosos (vírus, trojans, etc) e discute as solu-

çoes tecnologicas para reduçao de riscos como a criptografia simetrica e assimetrica, funçoes de hash,

certificados digitais, PKI, assinatura digital, VPN, backup e antivírus.

4. Segurança em Software - Descreve as ameaças decorrentes da falta de uma analise de segurança em todo o processo de desenvolvimento de softwares, excesso de privilegios, falhas de validaçao de entrada de dados, buffer overflow, SQL injection e a necessidade de manutençao e atualizaçao de qualquer tipo software, incluindo sistemas operacionais, paginas WEB e firmware de ativos como roteadores e fire- walls. Sao abordadas tambem as certificaçoes do Orange Booke a Common Criteria.

5.

Medidas organizacionais - Descreve a importancia das medidas organizacionais, como a segregaçao de

funçoes para a segurança da informaçao e os riscos envolvendo as falhas na criaçao ou aplicaçao dessas me-

didas.

6. Controle de Acesso - Descreve as medidas de segurança relacionadas ao acesso físico ou lógico das informaçoes como o uso de senhas fortes, biometria, autenticaçao com dois fatores, segregaçao de funçoes, autorizaçao e auditoria de acessos.

7. Continuidade de Negocios - Fornece uma visao geral sobre as estrategias de continuidade de negocios e re- cuperaçao de desastres, a necessidade de um bom plano de continuidade de negocios, os passos para a sua criaçao, as metricas basicas como RPO, RTO, WRT, MTO, SLA e TMP, assim como a importancia de sua vali- daçao e treinamentos e exercícios para garantir a validade dos

MÓDULO 6 CONFORMIDADE

Neste ultimo modulo sao avaliadas a importancia e os efeitos da legislaçao e das regulamentaçoes para organiza- çao.

1. Legislação e Regulamentação - Exemplifica leis e regulamentações relacionadas à segurança da in- formaçao, assim como seus objetivos e controles utilizados para atende-las.

2. Avaliação - Descreve as formas de avaliaçao da efetividade da segurança da informaçao, atraves de audito- ria, auto avaliaçao, mensuraçao e geraçao de evidencias da efetividade das medidas de segurança.

SEC 202 - Gestão da Segurança da Informação (16 Horas)

O Curso SEC 202 aborda o domínio

Governança e Gestao de Riscos do CBK

aborda o domínio Governança e Gestao de Riscos do CBK MÓDULO 1 – PERSPECTIVAS EM SEGURANÇA
aborda o domínio Governança e Gestao de Riscos do CBK MÓDULO 1 – PERSPECTIVAS EM SEGURANÇA

MÓDULO 1 PERSPECTIVAS EM SEGURANÇA DA INFORMAÇÃO

Este modulo apresenta os conceitos basicos de governança (corporativa e de TI), visando criar um melhor enten-

dimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnolo-

gia da Informaçao e Segurança da Informaçao para que estas areas estejam alinhadas as metas, missao e objetivos

da alta gestao.

1. Perspectiva do Negócio – Trata o papel da Segurança da Informaçao no negocio, e e capaz de distinguir os

tipos de informaçao com base em seu valor para o negocio e explicar as características de um sistema de gerencia-

mento para segurança da informaçao.

Processos organizacionais;

conformidade legal e regulatoria;

requisitos de privacidade;

arquitetura de segurança corporativa;

due care.

2. Gestão do ciclo de vida da informação – Mostra o ciclo de vida da informaçao desde a criaçao, passando por

sua classificaçao, categorizaçao, propriedade, etc.

tipos e classificaçao da informaçao;

papeis e responsabilidades de cada colaborador;

3. Perspectiva do Cliente –Aborda o ponto de vista do cliente sobre o controle da informaçao e a importancia

do controle da informaçao no processo de terceirizaçao.

requisitos para seleçao de fornecedores;

due diligence;

evidencias dos controles de segurança;

requisitos de continuidade de negocios em terceiros;

mecanismos de escalaçao.

4. Perspectiva do provedor de serviços / fornecedor – Aborda as responsabilidades do provedor de serviços

de informaçao em garantir a segurança, os aspectos da segurança em processos de gerenciamento de serviços e

as atividades para conformidade do mesmo.

Alinhamento dos requisitos de segurança;

afirmaçao de gestao da segurança;

certificaçao em segurança da informaçao;

auditoria de clientes.

MÓDULO 2 GERENCIAMENTO DE RISCO

Este modulo demonstra os conceitos de analise de riscos, apetite e tolerancia a riscos e todos os conceitos e as

principais normas e frameworks para a avaliaçao e tratamento de riscos.

1. Análise e avaliação de riscos – Apresenta os princípios de gerenciamento de risco, de acordo coma classifi-

caçao de cada ativo.

Analise dos riscos (ameaças e vulnerabilidades);

avaliaçao dos riscos (ativos tangíveis e intangíveis);

analise quantitativa;

analise qualitativa;

analise semi-quantitativa.

2. Controles para tratamento do risco – Foca na escolha dos controles dos riscos com base nos requisitos de

Confidencialidade, Integridade e Disponibilidade (CIA) de cada ativo e nos estagios do ciclo de vida do incidente

alem de escolher diretrizes relevantes para a aplicaçao dos controles.

estudo da norma ISO IEC/27005;

seleçao de medidas de tratamento;

retençao do risco;

reduçao de riscos;

compartilhamento/transferencia de riscos;

eliminaçao do risco.

3.

Riscos residuais – Aborda os riscos residuais e as estrategias para lidar com este risco atraves da:

produçao de casos de negocios para controles;

produçao de relatorios sobre as analises de risco.

4. Comunicação do risco – Aborda a traduçao dos riscos de segurança da informaçao em uma linguagem ge-

rencial para atender os requisitos da gestao e governança da empresa.

Risk Scorecard;

aceitaçao do risco.

MÓDULO 3 CONTROLES DE SEGURANÇA DA INFORMAÇÃO

Este modulo aborda a criaçao de controles diversos para diminuir e monitorar o risco na organizaçao, de acor-

do com o resultado da avaliaçao de riscos da empresa.

1. O Sistema de Gestão da Segurança da Informação (SGSI) – Aborda a criaçao de um sistema de gestao

contínua da segurança da informaçao, visando identificar e manter os riscos nos patamares desejaveis pela gestao e governança da organizaçao.

sistemas de gerenciamento para segurança da informaçao;

o ciclo PDCA;

padroes de mercado (família ISO 27000, Cobit, etc);

gestao de incidentes de segurança;

metricas de segurança;

conscientizaçao dos colaboradores.

2. Controles Organizacionais - O aluno adquire conhecimento sobre controles organizacionais, e e capaz de

redigir políticas e procedimentos de segurança da informaçao, implementar estrategias para gerenciamento

de incidentes de segurança da informaçao, realizar uma campanha de conscientizaçao na organizaçao, imple-

mentar papeis e responsabilidades para segurança da informaçao:

codigo de conduta;

política de segurança da informaçao;

Procedimentos;

Guias;

Documentaçao.

3. Controles Técnicos - O aluno adquire conhecimento sobre controles técnicos e é capaz de explicar a

as arquiteturas de segurança, a finalidade dos serviços de segurança, e a importancia dos elementos de segu-

rança na infraestrutura.

Elementos da arquitetura de segurança;

princípios de desenho para serviços seguros (performance, gestao de capacidade, resiliencia, funcionali-

dade, gerenciamento, etc);

princípios de desenho para ambientes seguros (isolamento, mediaçao completa, resiliencia, redundan- cia, diversidade, etc);

principais serviços de segurança (identificaçao, Autorizaçao, Controle de acesso, hardening, etc).

4. Controles Adicionais - Aborda os controles relacionados a segurança física, gestao de pessoas e desenvol-

vimento e teste de planos de continuidade de negocios. Dentre eles destacamos:

codigo de conduta;

política de segurança da informaçao;

procedimentos de contrataçao;

conscientizaçao e monitoraçao;

desligamento de colaboradores.

PROGRAMA DE CERTIFICAÇÃO: SEC-201 (ISFS) E SEC-202 (ISMAS)

O Conteudo dos cursos SEC 201 e SEC 202 foram desenhados pela Antebellum para adequarem-se ao progra- ma de certificaçao em segurança da informaçao do Instituto EXIN, um dos maiores institutos de certificaçao do mundo, sendo que o SEC 201 ja foi auditado e reconhecido como preparatorio para a certificaçao ISFS (Information Security Foundation based on ISO/IEC 27002).

como preparatorio para a certificaçao ISFS (Information Security Foundation based on ISO/IEC 27002). SEC 202 SEC

SEC 202

como preparatorio para a certificaçao ISFS (Information Security Foundation based on ISO/IEC 27002). SEC 202 SEC

SEC 201

como preparatorio para a certificaçao ISFS (Information Security Foundation based on ISO/IEC 27002). SEC 202 SEC

SEC 103 - Criptografia Aplicada (16 Horas)

O Curso SEC 103 aborda o domínio Criptografia do CBK
O Curso SEC 103 aborda o domínio
Criptografia do CBK

O Curso aborda a criptografia desde o início de seu uso na antiguidade, antes mesmo da matematica, ate os dias

de hoje, explicando cada algoritmo em uma linha evolutiva e temporal.

OBJETIVOS DO CURSO

O Curso explica os conceitos criptograficos e mostra a utilizaçao destes algoritmos na proteçao dos dados, nos

dias de hoje. O curso mostra tambem o funcionamento de diversos dispositivos criptograficos da atualidade.

A grade do curso e totalmente compatível e prepara o aluno para a certificaçao CES (Certified Encryption Specia-

list) do EC-Council.

PÚBLICO-ALVO

Todo o pessoal tecnico envolvido com o manuseio de dados críticos, mais especificamente os custodiantes das

informaçoes, normalmente pertencentes a area de tecnologia da informaçao. Dentre esses profissionais destaca-

mos:

Desenvolvedores, Integradores e arquitetos de sistemas

Engenheiros e especialistas de rede

Profissionais de segurança da informaçao

PRÉ-REQUISITOS

Conhecimentos basicos de Tecnologia da Informaçao.

MÓDULO 1 CONCEITOS DE CRIPTOGRAFIA

Apresenta aos alunos a evoluçao da criptografia e todo o fundamento teorico para o estudo pratico dos protoco-

los.

1.

Conceitos gerais - Descreve a evolução da criptografia, o conceito de chaves a criptografia simé-

trica e os conceitos de substituiçao e transposiçao.

2.

Criptografia automatizada - Mostra as primeiras maquinas de criptografia, a maquina Enigma, as operaçoes booleanas (M, AND, OR, XOR), a funçao de feistel e o princípio de Kerckhoffs.

3.

Algorítmos simétricos - Aborda o funcionamento e compara os algoritmos LUCIFER, DES, 3DES, DESx, Blowfish, Serpent, Twofish, Skipjack, IDEA e AES. Explica tambem a utilidade do vetor de iniciali- zaçao e a diferença entre a criptografia de bloco e fluxo e os modos (EBC, CBC, PCBC, CFB, OFB e CTR).

4.

Algoritmos de Hash - Explica o funcionamento de um algoritmo de hash, o hash salt e a diferença entre os principais algoritmos, como o MD2, MD5, MD6, SHA-1, SHA-256, Fork 256, RIPEND 160, GOST, Tiger e CryptoBenc.

5.

Criptografia assimétrica - Conta a historia da criaçao da criptografia assimetrica, do algoritmo Diffie- Helman, do paper de Diffie e a criaçao do RSA, o algoritmos de curva elíptica, o Elgamal, etc.

6.

Esteganografia - Descreve as origens da tecnica de esconder as mensagens, seu uso com texto, ima- gens, audio, vídeo e as formas de sua implementaçao.

MÓDULO 2 CRIPTOGRAFIA APLICADA À COMUNICAÇÃO E ARMAZENAMENTO

Este modulo introduz aos alunos as bases da criptografia simetrica e assimetrica, assim como os princi-

pais algoritmos utilizados nos meios de comunicaçao e armazenamento de dados na atualidade.

1. Certificação Digital - Explica a assinatura digital, o Certificado digital, os certificados X-509 e o funci- onamento das PKI (Public Key Infraestructure).

2. Protocolos e a criptografia - Mostra o funcionamento e a forma como a criptografia é utilizada (ou nao) em protocolos como PAP, S-PAP, CHAP, Kerberos, PGP, WEP, WPA, WPA2, SSL, TLS, VPN, PPP, EFS e Bitlocker.

3. Criptografia aplicada - Mostra o funcionamento de diversos dispositivos do cotidiano que se utilizam

da criptografia para transmissao e armazenamento de dados.

4. Hardware Criptográfico - Mostra o funcionamento dos dispositivos desenhados para criptografia, como os chips de cartoes RSA e EMV, os chips TPM e as HSM.

5. Criptoanálise - Demostra tecnicas para quebra da criptografia como Analise de frequencia, Kasiski, criptoanalise linear, diferencial e integral, rainbow tables e ferramentas de cracking.

SEC 104 - Core Security (16 h)

O Curso SEC 103 aborda os domínios con- trole de acesso, segurança em desenvolvi- mento,
O Curso SEC 103 aborda os domínios con-
trole de acesso, segurança em desenvolvi-
mento, arquitetura e design e do CBK

MÓDULO 1 CONTROLE DE ACESSO

Este modulo discute os meios para controle de acesso logico, desde os modelos conceituais ate as tecnologias recentes de controle de acesso e monitoraçao.

1. Conceitos gerais - Descreve os conceitos de Identificação e Autenticação, ID único, Privilégio Mínimo e Ne- ed to Know, Triple A (Autenticaçao, Autorizaçao e Auditoria), alem de apresentar as diferenças entre os modelos de segurança MAC (Mandatorio: Biba, Bell LaPadula,) e DAC (Discricionario: ClarkWilson, etc).

2. Reference Monitor - Apresenta a entidade Reference Monitor, ACLs e DACLs, Auditoria de eventos (Logs),

Proteçao de Objetos, Trusted Path, Complete Mediation e o conceito de Security Kernel.

3. Implementações - Arquivos de senha (passwd) e domínios (NTLM e NIS), X500 e LDAP, Single Sign On e Web Single Sign On, Federaçao.

4. Administração - Gestão de identidades e Políticas de troca de senha.

MÓDULO 2 ARQUITETURA DE SOFTWARE

Este modulo discute a arquitetura de software e sistemas operacionais, assim como os cuidados no desenvolvimento dos mesmos para que tragam o mínimo de vulnerabilidades para o ambiente.

1. Sistemas Operacionais - Sistemas de 8, 16, 32 e 64 Bits, Modo real x Modo protegido, Multiprocessamento, Multi- tarefa e Multithread, Arquitetura do Windows, Arquitetura do Unix, Sistemas de Arquivos, Contas de usuario, Ní- veis de privilegio, superusuarios, isolamento de processos, Ring protection, Registro de Log, Firewall Pessoal, Atu- alizaçoes, Backup, Data Hiding, Arquiteturas de Virtualizaçao.

2. Arquitetura de Software - Metodologias para Desenvolvimento de Softwares, Metodologias de segurança, Con- ceitos e Mecanismos de Proteçao, Princípios de Design Seguro, Verificaçao de entrada de dados, Regulamentaçoes, Privacidade e Compliance,.

3.

Segurança em Software - Descreve as ameaças decorrentes da falta de uma analise de segurança em todo o pro- cesso de desenvolvimento de softwares como Buffer Overflow, SQL Injection, trapdoors e a necessidade de manu- tençao e atualizaçao de qualquer tipo software, incluindo sistemas operacionais, paginas WEB, e firmware de ati- vos como roteadores e firewalls. Aborda tambem as metodologias de desenvolvimento seguro e Fuzzing.

MÓDULO 3 GESTÃO DE VULNERABILIDADES

Este modulo discute os cuidados e as formas de se gerir as vulnerabilidades do ambiente da organizaçao, e diminuir a probabilidades de ataques que se valem dessas vulnerabilidades.

1. Hardening e gerenciamento de atualizações - Descreve o processo de criação de exploits, os zero-days, e os

procedimentos a serem adotados pelas empresas para mitigar essas ameaças, como as boas praticas para gestao

de atualizaçoes em Windows, Unix e Aplicativos

2. Programas AntiMalware - Explica a necessidade e os requisitos de gestao dos softwares antimalware dentro das organizaçoes

3. Normatização de Segurança - Normas e Boas Praticas Desenvolvimento Seguro (e.g., ISO 2700x, OWASP) ,TCSec, ITSec, Common Criteria (ISO 15408), etc.

4. Vulnerabilidades - Vulnerabilidades em Hardware, Vulnerabilidades em Software, Vulnerabilidades Físi- cas, Vulnerabilidades de Configuraçao, Falhas na Política, Falhas de Uso.

5. Anatomia de um ataque - Footprinting, Varredura, Enumeraçao, Obtençao de acesso, Aumento de privilegios,

Pilfering, Cobertura, Criaçao de backdoors, Negaçao de serviço

6. Tipos de Ataque - Negaçao de serviço, Ataque Smurf, Ataque SYN Flood, Ataque UDP Flood, Ataque ICMP Flood, Ataque Land, Negaçao de Serviço Distribuído (DDOS), Rastreamento de Portas (Port Scan), ataque passivo (Sniffers de Rede)

7. Testes de invasão (Penetration test) - Definiçao de Escopo, Objetivo, Teste Black Box, Teste White Box, Princi- pais tecnicas, Exploraçao (Exploits), Mapeamento de Vulnerabilidades, Quebra de senhas,, spoofing, Roubo de sessao, Cuidados com as ferramentas de teste.

SEC 105 - Segurança em Redes e Telecomunicações (16 h)

SEC 105 - Segurança em Redes e Telecomunicações (16 h) O Curso SEC 105 aborda o

O Curso SEC 105 aborda o domínio se- gurança em telecomunicaçoes e redes do CBK

o domínio se- gurança em telecomunicaçoes e redes do CBK O curso SEC 105 aborda a

O curso SEC 105 aborda a segurança em redes e telecomunicaçoes e abrange as estruturas tecnicas de intercomu- nicaçao utilizadas para redes locais e de longo alcance, o funcionamento dos protocolos de comunicaçao de dados mais comumente utilizados e as medidas de segurança disponíveis para fornecer disponibilidade, integridade, confidencialidade e autenticaçao para as transmissoes sobre redes de comunicaçao publicas e privadas.

1. Fundamentos de Rede - Introduz as tecnologias e protocolos utilizados para a comunicaçao de dados, abor- dando as características que serao fundamentais para entender as vulnerabilidades e proteçoes disponíveis para redes de dados. Topicos abordados: A Historia da Internet, O Modelo OSI, O TCP/IP (DoD), Camadas do TCP/IP (Aplicaçao, Transporte, Internet, Acesso a rede), Metodos de Transmissao, Endereço Físico (MAC Address), CSMA/CD (Ethernet), CSMA/CA (Wireless), Token.

2. Redes locais - Estuda os componentes e Hardware e Software utilizados para a comunicaçao de dados em re- des locais: Hubs, Bridges e Switches, Roteadores e Gateways, Firewalls (Filtros de pacotes e Statefull), IDS/ IPS/UTM.

3. Serviços de Rede - Oferece ao aluno uma visao do funcionamento dos principais serviços que as empresas dis- ponibilizam atraves das redes locais e da Internet. Sao abordados: DNS, HTTP, HTTPS, SMTP, IPsec, Telnet,

SSH, RDP, VPN.

4. Perímetros - Analisa as redes de perímetro, ou seja, aquelas que ficam na borda tecnologica da empresa e prestam serviços para a Internet . Temas abordados: VLANs, Extranets, acesso interno, subnets, bastion host, Rede Perimetral, DMZ e screened subnet, roteadores de borda, NAT (estatico e dinamico).

5. Zonas e Domínios de confiança - Discute a necessidade de isolamento entre as redes com níveis de segurança diferentes as tecnologias utilizadas para proporcionar este isolamento. Aborda a criaçao de perímetros de segurança, controle de acesso logico, instalaçao e manutençao de Firewalls, desenhos single-box, screened host, screened subnet.

6.

IDS/IPS/UTM - Estuda as tecnologias utilizadas para detectar e bloquear ataques dentro das redes da organizaçao.

Aborda os metodos de analise (Pattern-matching, Analítico), os componentes (Agente, Coletor de eventos, Base de

dados, Gerenciador central, Sistemas de alerta, Interface grafica, Comunicaçao, Logs e relatorios, tipos de Resposta,

Timing, Consolidaçao de Logs, IDS/IPS

7.

Telecomunicaçoes e redes de longa distancia (PAN, LAN, MAN e WAN) - Apresenta os tipos de redes, de acordo com seu alcance e tecnologia utilizada. Aborda: Circuit Switched x Packet Switched, circuitos virtuais, DSL, Cable mo- dems, HDLC e SDLC, X.25, Frame-Relay, MPLS, QoS, VOIP, redes sem fio (Wireless), PSK/Enterprise, WEP, WPA, WPA2, Bluetooth, telefonia, uso para transmissao de dados, caixas postais e secretarias eletronicas, grampos, cola- boraçao multimídia, acesso remoto.

8.

Ataques a redes - Analisa as formas conhecidas de ataque as redes de dados, tais como Dos, DDos e

spoofing

GCN 220 - Fundamentos de Continuidade de Negócios (8 h)

O Curso GCN 220 aborda o domínio Continuidade de Negocios do CBK

GCN 220 aborda o domínio Continuidade de Negocios do CBK MÓDULO 1 – HISTÓRICO DA DISCIPLINA
GCN 220 aborda o domínio Continuidade de Negocios do CBK MÓDULO 1 – HISTÓRICO DA DISCIPLINA

MÓDULO 1 HISTÓRICO DA DISCIPLINA

1. Apresenta uma visao geral das disciplinas relacionadas com a continuidade aplicadas em cenarios diver- sos ao longo da Historia, sua evoluçao como instrumento estrategico e a aplicabilidade como pratica de adequaçao da resiliencia organizacional em diferentes abordagens.

MÓDULO 2 CONCEITOS FUNDAMENTAIS

1. Apresentaçao dos conceitos que estruturam as praticas de continuidade, onde e abordada a definiçao de incidente, a composiçao e uso das estrategias de resposta e os criterios que devem ser empregados para definir a composiçao e uso de uma Estrategia para a Continuidade dos Negocios.

2. Apresenta as teorias que fundamentam a necessidade de resposta e manutençao da continuidade sao ain- da explicadas, atraves da conceituaçao e entendimento dos valores estabelecidos para o Recovery Point Objective e a composiçao do Maximum Tolerable Downtime pelo uso do Recovery Time Objective e Work Recovery Time.

MÓDULO 3 O CICLO DA CONTINUIDADE

1. Abordando os componentes da Estrategia e seus relacionamentos, e apresentado o uso do processo de resposta a incidentes e compartilhadas experiencias praticas de como fundamentar a tomada de decisao para o acionamento da contingencia.

2.

Apos o entendimento deste processo, o uso e relacionamentos entre os diversos planos que compoe a Estrategia

sao apresentados e fundamentados: o papel dos planos de recuperaçao de desastres e continuidade operacional, o

entendimento do processo de retorno ao Modo Regular e a pratica de Liçoes Aprendidas para a melhoria contínua da estrategia.

MÓDULO 4 NORMAS E REGULAMENTAÇÕES

1. O papel das normas e regulamentaçoes como direcionadores da Continuidade de Negocios, abrangendo a aderen- cia em determinados setores, a aplicabilidade da responsabilidade compartilhada e o entendimento no Codigo Ci- vil, Sarbanes-Oxley, Basileia, Resoluçao 3380 do Banco Central do Brasil e nos programas de qualidade da Bolsa de Mercadorias e Futuros.

Certificações de Segurança da Informação x Cursos Antebellum

A Antebellum entende que existem varias certificaçoes em segurança da informaçao, cada uma com

foco em diferentes domínios da mesma. Por este motivo optamos por desenvolver treinamentos indi- viduais, que dao liberdade para os alunos se capacitarem no (os) domínio (os) abordado (os) pelo treinamento que selecionar.

Nossos treinamentos sao complementares, sem sobreposiçao de topicos, para que nossos alunos pos- sam obter gradualmente diversas certificaçoes.

sem sobreposiçao de topicos, para que nossos alunos pos- sam obter gradualmente diversas certificaçoes. 35

Formação Cloud Computing

Formação Cloud Computing DEPOIMENTO “ Os treinamentos ministrados pela Antebellum na Fidelity proporcionaram um

DEPOIMENTO

Os treinamentos

ministrados pela

Antebellum na Fidelity proporcionaram um excelente alinhamento entre os

conhecimentos das

área de Segurança da Informação e Tecnologia, resultando com excelentes resultados de ambas as áreas no tratamento dos assuntos relacionados à Segurança da Informação.

Eduardo Cabral

Diretor de GRC

Os Cursos da Antebellum abrangem desde os fundamentos da

computaçao em nuvem (Cloud Computing) ate os requisitos

tecnicos para a criaçao de assim como os princípios para au-

mentar a segurança dentro desses ambientes.

PÚBLICO ALVO

Este curso foi desenvolvido para profissionais que utilizam

ou pretendem utilizar serviços de TI baseados na Internet.

Dentre esses profissionais destacamos:

Equipe proveniente de provedores de serviços inter-

nos e externos

Gestores, Consultores e Pessoal de Suporte, e geren-

tes de projeto de serviços de TI

Analistas e gerentes de negocio

TREINAMENTOS

TIC 211 – Cloud Computing

Preparatorio para

as certificaçoes

Cloud Foundations

do Exin e Cloud

Essentials da Com-

pTIA

SEC 212 – Cloud

Security

Preparatorio para

a certificaçao

CCSK, da Cloud

Security Alliance

TIC 213 - Cloud Ad-

vanced

Preparatorio para a certificaçao Cloud advanced do Exin e Cloud+ da CompTIA

Desenvolvedores, Integradores e arquitetos de siste-

Fidelity Processadora e Serviços S.A.

mas

Engenheiros e especialistas de rede

Profissionais de segurança da informaçao

TIC 211—Cloud Computing (16h)

TIC 211 —Cloud Computing (16h) Nosso curso abrange todos os topicos abordados nas principais certificaçoes de
TIC 211 —Cloud Computing (16h) Nosso curso abrange todos os topicos abordados nas principais certificaçoes de
TIC 211 —Cloud Computing (16h) Nosso curso abrange todos os topicos abordados nas principais certificaçoes de

Nosso curso abrange todos os topicos abordados nas principais certificaçoes de mercado, sendo elas CompTIA

Cloud Essentials (CEP), Exin Cloud Fundations (CLOUDF) e parte dos topicos necessarios para a certificaçao

Certificate of Cloud Security Knowledge (CCSK) da Cloud Security Aliance(CSA)

MÓDULO 1 PRINCÍPIOS DE CLOUD COMPUTING

Atraves do entendimento dos conceitos fundamentais e do historico da Computaçao em Nuvem os alunos estudam as arquiteturas existentes e compreendem os benefícios e limitaçoes deste modelo.

1) Conceitos Fundamentais - Descreve atraves das definiçoes do NIST o que e Cloud Computing, o que e

virtualizaçao, a relaçao entre Cloud Computing e virtualizaçao, os termos mais comumente utilizados e

exemplifica os principais tipos de Cloud Computing, entre eles SaaS, IaaS e Paas.

2) Histórico da Disciplina -Apresenta as origens e evoluçao da Computaçao em nuvem, o papel dos

servidores, da virtualizaçao, das redes, da Internet e dos serviços gerenciados no Cloud Computing.

3) Arquiteturas de Cloud Computing - Descreve as diferenças do ponto de vista tecnico entre as nuvens

publicas e privadas, o que e Service Oriented Architecture e as estruturas em camadas e multipropositos de

Datacenter.

4)

Computing, alem de indicar os tipos de organizaçoes que podem se beneficiar mais ou menos com o uso de

Cloud Computing.

Benefícios e limitações da Cloud Computing - Discute os benefícios e limitaçoes do uso de Cloud

5) O Valor da Cloud Computing para o negócio - Indica as semelhanças e benefícios entre Outsourcing e

Cloud Computing. Aborda as características de escalabilidade, segurança, independencia de hardware, custos

flexíveis, Time to Market, distribuiçao pela Internet e como elas podem incrementar o valor de negocio.

MÓDULO 2 UTILIZAÇÃO DA NUVEM

Neste modulo os estudantes aprendem como os usuarios podem acessar as nuvens atraves de browsers, Thin Clients e dispositivos moveis.

1) Acessando a Nuvem - Descreve as características de rede para como acessar a nuvem atraves de browsers e Thin Clients.

2)

dispositivos moveis e as limitaçoes dessas plataformas.

Mobilidade e Cloud Computing - Descreve as plataformas disponíveis para acessar a nuvem atraves de

3) Automação e Self-service - Descreve o papel e o impacto da automaçao das tarefas e do modelo de

serviços self-service na nuvem.

MÓDULO 3 SEGURANÇA EM CLOUD COMPUTING

Este modulo fornece uma extensa preparaçao para as questoes sobre segurança na nuvem, revisando os conceitos de segurança, riscos, autorizaçao, gestao de identidades e autorizaçao.

1) Segurança em Cloud Computing - Revisando os conceitos fundamentais de segurança em nuvem

(Confidencialidade, Integridade e Disponibilidade), de autenticaçao (Autenticaçao Autorizaçao e Auditoria) e

os principais riscos de segurança para os ambientes virtualizados.

2) Gestão de Identidades - Descreve o uso de ambientes em federaçao, da gestao de identidades e os aspectos de privacidade e conformidade no Cloud Computing.

3)

ambiente de Cloud e os desafios tecnicos e metodos para mitigar os riscos atraves de tecnicas de gestao e

recursos tecnologicos.

Riscos e desafios técnicos - Explica os riscos organizacionais, legais e tecnicos específicos ou nao do

MÓDULO 4 IMPLEMENTAÇÃO E GERENCIAMENTO DE CLOUD COMPUTING

Este modulo descreve os componentes, riscos e benefícios para a criaçao de um ambiente privado de Cloud, o uso de VPNs, alternativas para back-up, e o objetivo do uso de protocolos padrao em Cloud como IPSec, DMFT, OpenID, etc.

1) Construção de Nuvens Privadas - Descreve os benefícios, elementos da composiçao de custos, principais componentes a serem conectados em uma Private Cloud, alem dos riscos ao conecta-la a Internet.

2) Suporte ao uso e Cloud Computing - Descreve o uso de VPN para acesso a rede local, linguagens de

script e abordagens de back-up em um ambiente de Cloud.

3) Padrões em Cloud Computing - Explica detalhadamente os objetivos da padronizaçao e os principais padroes e protocolos utilizados em Cloud Computing, como WBAM, DMFT, SMI-S, SMASH, HTTP, IPSec, OpenID.

4) Arquitetura e Desenvolvimento de Aplicações - Descreve o impacto do ambiente de Cloud Computing na arquitetura, na segurança e no processo de desenvolvimento de aplicaçoes.

5) Fatores de sucesso para Adoção de Cloud Computing - Projeto piloto, relaçao com os objetivos organizacionais, capacidade dos fornecedores, abordagens para migraçao de aplicaçoes.

6) Impacto e mudanças no serviço de TI - Entender estrategia, desenho, operaçao e transiçao de serviços para a nuvem e utilizar uma abordagem baseada no ITIL© para explorar o potencial impacto da Cloud Computing na organizaçao.

MÓDULO 5 AVALIAÇÃO DE CLOUD COMPUTING

Atraves do entendimento dos conceitos fundamentais e do historico da Computaçao em Nuvem os alunos

estudam as arquiteturas existentes e compreendem os benefícios e limitaçoes deste modelo.

1) Business Case - Discute o processo de seleção dos fornecedores, os custos, possíveis economias e principais benefícios operacionais e de pessoal na utilizaçao do Cloud Computing.

2)

gestao e fatores de satisfaçao a serem utilizados na avaliaçao dos provedores e de seus serviços de Cloud Computing.

Avaliação de Implementações - Descrevem os fatores para avaliaçao de desempenho, requisitos de

3)

de terceiros, os requisitos de segurança a serem incluídos nas clausulas contratuais.

Gestão de contratos de Cloud - Discute a gestao de riscos e as recomendaçoes para o gerenciamento

4) Compliance em Cloud - Discute os requisitos de Compliance nos contratos de Cloud Computing, dentre eles as questoes legais, a divisao de responsabilidades legais, consideraçoes sobre as capacidades de eDyscovery, SAS 70, ISO 27001, BS 25999 do contratado, requisitos de auditoria, jurisdiçao e localizaçao dos dados.

SEC 212 - Segurança em Cloud Computing (8 h)

SEC 212 - Segurança em Cloud Computing (8 h) O Curso SEC 212 complementa os concei-

O Curso SEC 212 complementa os concei-

tos aprendidos no TIC 211, cobrindo o

conteudo necessario para a certificaçao

CCSK, da Cloud Security Alliance.

para a certificaçao CCSK, da Cloud Security Alliance. Prepare - se para obter a certificaçao CCSK

Prepare-se para obter a certificaçao CCSK (Certificate of Cloud Security Knowledge) emitida pela CSA (Cloud Security Alliance) e conheça principais aspectos de segurança defendidos na Europa (Enisa) e Estados Unidos (CSA)

Indicado para profissionais que ja atenderam ao curso TIC 211 – Cloud Computing da Antebellum, ou possuem conhecimento similar.

O curso aborda os topicos da certificaçao CCSK da CSA (Cloud Security Alliance), entidade que promove as me- lhores praticas em cloud computing, e leva o aluno a compreender as implicaçoes de segurança do uso de servi- ços em nuvem para, se optar por esse modelo, avaliar a forma mais segura de proceder a migraçao.

OBJETIVOS DO CURSO

Ao final do curso o aluno estara apto a explicar, avaliar e planejar:

Conceitos de segurança em Cloud Computing, apresentados no CSA Guide e no Enisa Report;

Definiçoes de Cloud Computing do NIST;

Consideraçoes sobre as características de portabilidade de provedor;

As seis fases do ciclo de vida da segurança de dados e seus principais elementos;

Consideraçoes legais, jurisdiçoes e localizaçao dos dados;

Os custos reais em se portar cada tipo de operaçao para Cloud.

O certificado CCSK (“Certificate of Cloud Security Knowledge”) atesta que um determinado indivíduo conseguiu concluir com sucesso um exame que cobre os principais conceitos das orientaçoes da CSA, bem como dos que constam no whitepaper da ENISA [European Network and Information Security Agency].

Ementa do Treinamento

Segurança em Cloud Computing

Privacidade e Conformidade

Riscos legais e técnicos

Integração com o GRC da empresa

Resposta, notificação e remediação de incidentes.

Criptografia de dados na nuvem

Aspectos de Segurança em máquinas virtuais

Conformidade com normas e regulamentações (Ex: 27001, ISO 27031, BS 25999, SAS 70, e-Discovery, etc.)

Portabilidade entre provedores

Data Security Lifecycle

Segurança para o PCI DSS

TIC 213 - Cloud Advanced (16 h)

TIC 213 - Cloud Advanced (16 h) O Curso SEC 213 aborda as qualificaçoes tecnicas dos

O Curso SEC 213 aborda as qualificaçoes

tecnicas dos profissionais envolvidos na

criaçao de ambientes de Cloud Computing

envolvidos na criaçao de ambientes de Cloud Computing MÓDULO 1 – CONCEITOS E MODELOS DE CLOUD

MÓDULO 1 CONCEITOS E MODELOS DE CLOUD COMPUTING

Conceitos Fundamentais - Descreve atraves das definiçoes do NIST o que e Cloud Computing,, os modelos SaaS, IaaS, CaaS, Paas, XaaS, DaaS e BPaaS. Modelos de entrega de Cloud - Privada, Publica, Híbrida, Community, hosting on- pre- misse e off-premisse, diferenças na segurança entre os modelos. Termos e características de Cloud - Elasticidade, self- servisse sob demanda, pay-as-you-grow, chargeback, etc.

MÓDULO 2 VIRTUALIZAÇÃO

Tipos de Hypervisor (I e II), Bare Metal x OS, performance e sobrecarga, proprietario e open source,. Criaçao, importa- çao e exportaçao de templates e maquinas virtuais, Instalaçao e configuraçao, Snapshots e clonagem, backups de ima- gens e de arquivos, NIC Virtual, Switches Virtuais, discos virtuais (SCSI/ATA ID), switches virtuais, VLAN. P2V, V2V,

V2P, elasticidade, recursos compartilhados, isolamento de rede e aplicaçoes, datacenter virtual (NIC, HBA e Router).

MÓDULO 3 INFRAESTRUTURA

NAS, DAS, SAN, Ethernet, iSCSI, SSDs, RAID, UFS, EXT, NTFS, ZFS, NAT, PAT, VLAN, Subnetting/Supernetting, WLAN, LAN, MAN, Load Balancing, Utilitarios IP, portas, protocolos, intranets, extranets,

MÓDULO 4 GERENCIAMENTO DE REDE

SNMP, WMI, IPMI, Syslog, Alertas (SMTP, SMS, SNMP, Serviços WEB, Syslog), CPU Virtual, Gestao de cotas, CPU, Memo- ria, SSH, RDP, Porta de console, HTTP, etc.

MÓDULO 5 SEGURANÇA

ACLs, VPNs, IDS/IPS, DMZ, Logs, Ataques, Segurança em Storages, PKI, IPSEC, SSL/TLS, AES, RSA, Single Sign-on, fede- raçao, Role Based, MAC, DAC, autenticaçao multifator, hardning, antivírus, patching, etc.

MÓDULO 6 GERENCIAMENTO DE SISTEMAS

Planejamento e documentaçao de IP e Rede, CMDB, Upgrades e patches de servidores, performance de disco, melhores praticas para configuraçao de Hipervisor, banda, latencia de rede, load balancing, etc.

MÓDULO 7 CONTINUIDADE DE NEGÓCIOS EM CLOUD

Redundancia, failover, diversidade geografica, replicaçao, site mirroring, hot site, cold site, etc

Nossos Autores e Instrutores Fernando Fonseca e analista/programador desde 1985. Graduou - se em proces-

Nossos Autores e Instrutores

Fernando Fonseca e analista/programador desde 1985. Graduou-se em proces-

samento de dados pela FUMEC-MG em 1996, e pos graduou-se em Multimídia e

Internet (UFES 2000), Segurança da Informaçao (UNIRIO 2005), Administraçao de Redes Linux (UFLA 2006) e Strategic Management (La Verne Univer- sity 2006) alem de certificar-se por diversos institutos, como o ISC2 (CISSP,

CISSP-ISSAP), EC-Council (CHFI), CompTIA (Security+), Microsoft (MCSE Secu- rity), Exin (ISFS, ISMAS), Access Data (ACE), Modulo MCSO, dentre outras.

Fernando e instrutor certificado pelo PCI Council, EC-Council, Exin e Microsoft,

Fernando atua como instrutor desde 1993, quando ministrava cursos de DOS, Wordstar, Lotus 123 e Dbase no SENAC- MG, e durante todas as funçoes que exerceu em sua carreira continuou a ministrar treinamentos sobre as tecnologias

que trabalhava (Microsoft, Unicenter TNG, Redes, Segurança da Informaçao e computaçao forense). Atua tambem como

professor universitario desde 2004, tendo trabalhado nos cursos de graduaçao e pos-graduaçao na Universidade Anhembi-Morumbi, UNIP, Faculdade Impacta de Tecnologia, Escola Paulista de Direito e UNI-BH.

Na Microsoft, atuou como Test Engineer, e Consultor de segurança da Informaçao, onde foi responsavel pelo conteudo dos programas Academia de Segurança da Informaçao, Technet Security Experience e do Fast Start Security. Atuou tam- bem como Gerente de conteudo da Modulo Security Solutions , Coordenador de treinamentos na Techbiz Forense Digi- tal. Dentro da comunidade de segurança, atuou como Diretor de Comunicaçao do ISSA Brasil Chapter entre 2006 e 2010, e como Vice-presidente entre 2010 a 2012, Sendo o unico brasileiro a receber o título de Senior Member pela IS- SA International.

o título de Senior Member pela IS- SA International. Eduardo V. C. Neves, CISSP, trabalha com
o título de Senior Member pela IS- SA International. Eduardo V. C. Neves, CISSP, trabalha com

Eduardo V. C. Neves, CISSP, trabalha com Segurança da Informaçao desde 1998. Iniciou sua carreira profissional em uma das principais empresas de consultoria do mercado brasileiro, posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10 anos.

Em 2008 fundou a primeira empresa brasileira especializada em Segurança de Aplicaçoes e hoje dedica-se a prestar serviços de consultoria nas praticas de Risk Management, Security Awareness e Business Continuity. Serve ainda como voluntario no OWASP e (ISC)2 e contri- bui para iniciativas de evangelizaçao nas praticas de proteçao da informaçao para federa- çoes e associaçoes no Brasil.

Anchises de Paula, CISSP, Analista de Inteligencia em Segurança da iDefense, Verisign. Pos- sui extensa experiencia ha quase 15 anos na coordenaçao e implantaçao de projetos de Se- gurança da Informaçao em empresas de grande porte como Editora Abril, Compugraf, Ame- ricel (DF), Telesp Celular (Vivo) e CPM.

Formado em Ciencia da Computaçao pelo IME-USP, pos-graduado em Marketing pela ESPM e certificado CISSP, GIAC e ITIL. Tambem leciona em cursos de pos graduaçao, alem de pales- trar em eventos locais e internacionais e ter presidido o Capítulo Brasil da ISSA de 2008 a 2009. Tambem e um dos fundadores do capítulo brasileiro da Cloud Security Alliance e do primeiro HackerSpace brasileiro.

NOSSA MISSÃO

Levar ao público técnico e gerencial de todo o país trei- namentos de alta qualidade desenvolvidos e continuamen- te atualizados por uma equipe de profissionais experientes que mantém conhecimento teórico nas disciplinas apre- sentadas e extensa experiên- cia em projetos na área de Segurança da Informação.

SATISFAÇÃO E CONHECIMENTO EM PRIMEIRO LUGAR

A Antebellum se orgulha de ser sempre bem recebida e avaliada por seus clientes.

Consideramos a formação profissional uma parceria, entre o provedor de treinamentos e a organização patrocinadora para melhorar a qualidade dos serviços prestados, a satisfação e a capacitação dos colaboradores.

Dentre nossos clientes, destacamos algumas empresas conhecidas no cená- rio nacional e internacional.

empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e
empresas conhecidas no cená- rio nacional e internacional. Apostilas coloridas " Ekológicas" Este catálogo e

Apostilas coloridas "Ekológicas"

Este catálogo e todo nosso material didático é impresso na Ekofootprint, utilizando a tecnologia de cera da Xerox, proporcionando cores vivas utilizando papel reciclado ou de bagaço de cana, com impacto ambiental 92% menor que impressos a laser.

44

Fernando Fonseca, CISSP-ISSAP Diretor de Ensino Mobile (11) 96161-1701 | (31) 9887-1701 E-mail: fernando@antebellum.com.br

CISSP - ISSAP Diretor de Ensino Mobile ( 11) 96161 - 1701 | (31) 9887 -
CISSP - ISSAP Diretor de Ensino Mobile ( 11) 96161 - 1701 | (31) 9887 -