Escolar Documentos
Profissional Documentos
Cultura Documentos
Sobre a Antebellum
Atendimento a diversas regioes do Brasil, atraves de sua rede de parceiros criteriosamente selecionados;
Temas atuais com cursos preparatorios para certificaoes de grandes organismos internacionais.
A Antebellum tem a filosofia de associar-se a empresas no exterior para trazer os melhores treinamentos
em Tecnologia da Informaao e Segurana da Informaao para a America Latina.
A Antebellum foi a unica empresa no mundo a receber a autorizaao para ministrar os treinamentos
oficiais do PCI Council
DEPOIMENTO
internacional de treinamento e
estamos muito satisfeitos em
associar-nos Antebellum, uma
A educao um elemento
imprescindvel na segurana de
Fonte: http://www.businesswire.com/news/home/20121002006183/pt
OBJETIVOS DO CURSO
Capacitar os alunos a
implementar os controles
necessrios para atender
aos requisitos do PCI
DSS;
Facilitar a interao
entre os colaboradores
da empresa e os QSAs.
Da experiencia da Antebellum em ministrar os treinamentos oficiais de certificaao ISA (Internal Security Assessor) e da constataao da necessidade de
um treinamento menos focado em auditoria e mais focado na implementaao
dos controles necessarios para reforar a segurana de dados de cartoes de
pagamento nasceu o treinamento de implementaao do PCI DSS 3.0.
A prova de certificao
PCI Professional deve ser
obtida diretamente no
PCI Council.
PR-REQUISITOS
PBLICO-ALVO
Todo o pessoal tecnico envolvido com o manuseio de dados crticos, mais especificamente os custodiantes das informaoes, normalmente pertencentes a area de tecnologia da informaao. Dentre esses profissionais destacamos:
Gestores, Consultores e Pessoal de Suporte, e gerentes de projeto de servios de TI
Desenvolvedores, Integradores e arquitetos de sistemas
Engenheiros e especialistas de rede
Profissionais de segurana da informaao
OBJETIVOS DO CURSO
O Treinamento leva o aluno a conhecer os controles de segurana utilizados na Evolveris, uma empresa fictcia
cujo nome em Latim significa Que esta evoluindo. A Evolveris lder em educaao basica, media e universitaria,
alem de oferecer dezenas de cursos de extensao e capacitaao profissional.
Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo internacional, proprietario de diversas
universidades e centros de treinamento em todo o mundo. Desde entao, a empresa tem realizando grandes esforos, em todos os sentidos, para se adaptar ao nvel de exigencia das regulamentaoes americanas e europeias, assim como atender aos anseios da governana corporativa da empresa
Dentro deste cenario, este curso apresenta passo a passo as aoes tomadas para a implantaao dos controles
responsaveis pela conformidade da organizaao com os requisitos do PCI DSS 3.0, desde a conscientizaao da
alta gestao ate a implantaao de cada um dos controles dentro de uma ordem sugerida pelo proprio PCI Council.
CONTEDO PROGRAMTICO
A narrativa do curso se da em forma de historia, que comea com a chegada de uma nova CEO, com a missao de
garantir a segurana de dados de cartao de pagamento na Evolveris.
O Curso e dividido em 7 partes com 28 captulos, durante os quais as personagens apresentam as polticas e as
tecnologias utilizadas para a proteao de dados crticos na organizaao.
nadas a identificaao do fluxo de dados de portadores de cartao dentro da Evolveris e de todos os compo-
Captulo 10 Criptografia Assimtrica: Samuel, o coordenador de infraestrutura apresenta os fundamentos da criptografia assimetrica, certificados digitais, autoridades certificadoras, Infraestrutura de
chaves publicas e assinatura digital.
Captulo 11 Criptografia aplicada transmisso de dados: Samuel continua sua explicao, demonstrando como a Evolveris utiliza a criptografia para atingir os objetivos de conformidade e aumentar
a segurana ao transmitir dados de cartoes de pagamentos de forma segura, utilizando VPN, SSL/TLS e
WPA.
Captulo 12 Acesso remoto: Samuel apresenta as polticas de acesso remoto, que incluem autenticaao forte, baseada em mais de um fator, as caractersticas criptograficas para acesso administrativo.
Captulo 13 Controles Fsicos: Allan apresenta os controles de segurana fsica como a proteo
do permetro fsico, areas sensveis, controles de acesso ao ambiente, CFTV, pontos de rede, estaoes desbloqueadas, informaoes nas estaoes de trabalho, alem das polticas de controle de dispositivos de pagamento com lista de dispositivos, e inspeao periodica dos mesmos.
das para realizar os testes trimestrais de vulnerabilidades e os testes anuais de invasao no ambiente de
dados do portador de cartao.
Captulo 15 Provedores de Servio e Plano de resposta a incidentes: Wallace apresenta as polticas para controle de provedores de servio, os controles para resposta a incidentes de segurana e apresenta o plano de resposta a incidentes da Evolveris para o caso de vazamento de dados.
utilizados em sistemas operacionais, como o passwd, SAM, domnios e Kerberos. Discute tambem, as polticas de acesso a banco de dados e autenticaao com Smatcards.
Captulo 21 Monitoramento: Alex apresenta as polticas e recursos de monitoramento do ambiente utilizados para detectar alteraoes em arquivos crticos, redes wireless nao autorizadas. O Captulo
aborda tecnologias como Scanners de vulnerabilidades, IDS, IPS e NAC.
Um curso aberto ao publico geral, feito sob medida para quem quer aprender mais sobre o PCI Council e
como os padroes do PCI ajudam a enderear os desafios de segurana da informaao na industria de
pagamentos com cartao .
O curso e especialmente apropriado para Gerentes de Auditoria, Analistas de Negocio, Analistas de Cre-
dito, Agentes de Conformidade, Gerentes Financeiros, Gerentes de Segurana da Informaao, Especialistas em TI, Gerentes de Projeto, Gestores de Risco, Analistas de Segurana, Desenvolvedores, Engenheiros de Software, Administradores de Sistemas, Web Masters.
OBJETIVOS DO CURSO
Apresentar o funcionamento do PCI Council e seus diversos padroes;
Apresentar todos os requisitos do padrao PCI DSS;
Conscientizar cada colaborador de seu papel dentro da segurana dos dados de cartao.
EMENTA DO TREINAMENTO
As bandeiras e o PCI SSC (PCI Council);
Os padroes do PCI Council;
O PCI Data Security Standard (DSS) 3.0;
Visao geral dos requisitos do PCI, e como eles aumentam a segurana
Papeis e responsabilidades dos colaboradores no programa de conformidade;
Visao geral das vulnerabilidades;
Objetivo dos controles nao tecnicos do PCI DSS.
10
TI
Segurana
da
Informao.
O Curso apresenta todos os passos de uma percia em provas digitais e os fundamentos para uma coleta apropriada de evidencias, garantindo a integridade das provas. Alem de um conteudo unico sobre
a legislaao brasileira, este e o primeiro passo para qualquer certificaao forense como o CHFI do ECCouncil, GCFA e GCFE do SANS/GIAC.
OBJETIVOS DO CURSO
Diferenciar as implicaoes da coleta e analise de indcios e os cuidados para sua transformaao
EMENTA DO TREINAMENTO
Objetivos da percia digital
Historia da Percia Forense
Crimes e Provas na visao do Codigo de Processo Civil e Codigo Penal
Metodologia Forense
11
TI
Segurana
da
Informao.
O Treinamento prepara os profissionais de TI, SI e agentes da lei para abordar incidentes de segurana de
forma organizada e eficiente, minimizando o tempo de parada dos ativos atingidos e preservando as evidencias para uma possvel investigaao forense. Este curso e fundamental para qualquer certificaao forense como o CHFI do EC-Council, GCFA e GCFE do SANS/GIAC.
OBJETIVOS DO CURSO
Diferenciar os tipos de crimes por computador.
Agir de forma organizada, evitando ao maximo a perda ou contaminaao de provas na hora da coleta.
EMENTA DO TREINAMENTO
Crimes por computador
CSI O que e uma cena de crime (ou de desastre)
12
TI
Segurana
da
Informao.
O Curso aborda todos os fundamentos necessarios, alem das primeiras praticas para que os investigadores encontrem, compreendam e analisem evidencias digitais oriundas de diversas fontes, como
HDs, drives USB, Skype, browsers, P2P, etc. Este curso e fundamental para os cursos de analise de
Windows e Unix, assim como qualquer certificaao forense como o CHFI do EC-Council, GCFA e GCFE
do SANS/GIAC.
OBJETIVOS DO CURSO
Preparar o aluno para localizar e analisar evidencias digitais
EMENTA DO TREINAMENTO
Ferramentas forenses (FTK, EnCase, WinHex, Freewares)
Tecnicas de triagem
Timezones
Hashes e Fuzzy hashing
Bancos de dados de arquivos conhecidos (bons e ruins)
Procura por arquivos e strings
Historico de procura, documentos recentes e URLs digitadas
Exame de dispositivos USB (Primeiro e ultimo uso, usuario do dispositivo, etc.)
13
O treinamento de GRC da
Antebellum no somente ajuda
a compreender nosso papel
dentro dos objetivos de negcio
como tambm fornece
conhecimentos que ajudam o
aluno compreender o mundo
dos negcios.
Este modulo explica, atraves de eventos historicos, como as pessoas se comportavam em relaao ao risco e
como a matematica e estatstica criaram uma nova visao sobre a causa dos eventos. Paralelamente, a historia
da Governana Corporativa e contada em uma linha do tempo que comea com a primeira sociedade de aoes
do mundo, em 1250, e avana ate a crise da Enron, que culminou na Lei Sarbanes-Oxley. A linha historica da
conformidade aparece como uma resposta a eventos como a quebra da bolsa de NY em 1929 e a quebra da
Enron. Por esse motivo, esses eventos sao apontados como marcos de governana e conformidade.
14
Risco
A Vontade dos Deuses dita as regras,
Algarismos Indo-Arabicos
1654 Luca Paccioli e o desafio da renascena
1703 a 1760 - Jabob Bernoulli e a lei dos grandes numeros
1875 Regressao a media
1952 Ovos em cestas separadas
1992 O Cubo COSO
2004 Coso II
Governana
Compliance
1934 New Deal e a SEC
1969 A Criaao da ISACA
1976 A CVM no Brasil
1973 A Criaao da IASC
1977 A FCPA
1985 COSO
1992 A Convenao anti-suborno da OECD
1996 HIPAA
1996 Cobit 1.0
1998 The Anti-Bribery Act
1998 O Acordo de Basileia
1999 Gramm-Leach-Bliley Act
2002 A Lei Sarbanes-Oxley
2004 Basileia II
2004 IFRS
2005 O Roubo de dados de Cartoes de Credito na TJX
2006 O PCI Council
2010 Basileia III
15
MODULO 3 GOVERNANA
Este modulo apresenta os conceitos de governana (corporativa e de TI), visando criar um melhor entendimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnologia da Informaao e Segurana da Informaao para que estas areas estejam alinhadas aos objetivos da alta
gestao
Governana Corporativa - Definioes do IBGC (Instituto Brasileiro de Governana Corporativa), nveis de
governana e o novo mercado da Bovespa ,transparencia, equidade, prestaao de Contas, responsabilidade
corporativa, conselho de administraao, relaoes com os investidores, gestao de riscos, relatorio anual, codigo
de conduta.
cia, analise quantitativa , qualitativa e semi-quantitativa, matriz de riscos, percepao de riscos, responsabilidade pelo risco, apetite e tolerancia a riscos
Gesto de Riscos - Princpios de Gestao de Riscos, estudo da norma ABNT ISO 31000, criterios de Risco
(ALARP As Low as Reasonable Practicable), processo de avaliaao de riscos, tratamento de riscos, monitoraao do risco, reporte de riscos, gestao de riscos atraves da ABNT ISO 27005, comparaao do Coso ERM (Coso
II) com a ISO 31000
MDULO 5 - CONFORMIDADE:
Este modulo apresenta os principais conceitos relacionados a conformidade, assim como as mais importantes
regulamentaoes as quais as empresas nacionais estao sujeitas. Ao final dos estudos e apresentada a norma
Australiana de Compliance e os principais pontos abordados por esta.
Conceitos e definioes, sistema normativo (Leis e Regulamentaoes), tipos de conformidade, CVM, CVM
358/2002 Fato Relevante,
Aoes, Basileia II e III, Banco Central, resoluao 2554, resoluao 3380, SUSEP 249/2004, culpa e dolo, responsabilidades dos Administradores, lei das S.A.s, business judgement rule, conflito de Interesses, dever de quali-
16
ficar-se e informar-se, dever de informar, dever de sigilo, insider trading, concorrencia desleal, dever de vigi-
ar, investigar e punir , codigo de etica, poltica de propriedade intelectual, poltica de segurana da informaao, sustentabilidade, a norma AS 3806/2006, o papel do CCO/CECO.
VAL IT - Definiao e Objetivos, os quatro Estamos?, Val IT x CobiT, domnios e Processos, quadro de atividades, entradas e sadas
Risk IT - Posicionando Cobit, ValIT e RiskIT, hierarquia dos riscos, resposta e priorizaao de riscos, governana de riscos, avaliaao de riscos, articulaao de riscos.
Cobit 5 - Princpios e aspectos gerais, arquitetura e objetivos em cascata, objetivos de governana, modelo de
Enablers integrados, objetivos de governana, objetivos de TI, governana e gestao, governana corporativa
de TI, novo modelo de maturidade (ISO 15504), ciclo de implementaao.
17
DEPOIMENTO
Os treinamentos
ao.
ministrados pela
Antebellum na
Fidelity
proporcionaram um
excelente
alinhamento entre os
conhecimentos das
rea de Segurana
da Informao e
Tecnologia,
resultando em
se ausentar por diversos dias de suas empresas, ou ainda, selecionar os cursos que abordam os temas onde gostariam de
se preparar mais intensamente para provas de certificaao e
concursos.
Para que o aluno seja recompensado desde o primeiro curso,
o conjunto de treinamentos da Antebellum procura, sempre
que aplicavel, levar o aluno a certificaoes intermediarias baseadas no conteudo do domnio estudado.
no tratamento dos
assuntos
relacionados
Segurana da
ganhos substanciais
para ambas as reas
Informao.
Essas credenciais conferem a Antebellum a capacidade de
Eduardo Cabral
Diretor de GRC
Fidelity Processadora
e Servios S.A.
18
fornecer um material reconhecido pelo Exin como preparatorio para suas certificaoes e o de ministrar cursos oficiais sob
sua chancela.
O conteudo do curso SEC 201 foi cuidadosamente criado para fornecer todos os fundamentos de Segurana da
Informaao para profissionais de TI que desejam aumentar o seu valor para sua organizaao e para o mercado, ou
iniciarem-se na area de Segurana da Informaao.
JUSTIFICATIVA
A informaao sempre foi a mola propulsora das empresas e sua segurana uma pea fundamental para a sobrevivencia destas. Com o advento da computaao, essas informaoes se tornaram cada vez mais informaoes digitais e
com a comunicaao em massa promovida pelas novas tecnologias, sua exposiao tornou-se ao mesmo tempo necessaria (para as pessoas autorizadas) e um fator de risco a ser tratado com planejamento e processos maduros.
Com o aumento da demanda por servios e das duvidas da comunidade de Tecnologia da Informaao e Segurana
da Informaao, a industria passou a organizar-se em associaoes para discutir soluoes e capacitar a mao de obra,
visando garantir que os esforos sejam convergentes e que as empresas tenham em seu quadro profissionais plenamente capacitados para obter o maximo de eficiencia e segurana dessas tecnologias.
Dentro desse contexto, a ISO desenvolveu a famlia 27000, dedicada a segurana da informaao. Sua principal norma e a ISO 27002 (Antiga ISO 17799), que fornece um codigo de praticas para a proteao da informaao, baseado
na experiencia de profissionais de todo o mundo, que se reunem em associaoes como a ABNT, para contribuir
para a constante evoluao dessa norma.
OBJETIVOS DO CURSO
O curso visa apresentar os fundamentos da Segurana da Informaao de acordo com os princpios descritos na
ISO 27002, assim como alguns tipos de medidas para reduzir os riscos a confidencialidade, integridade e disponibilidade da informaao dentro de organizaoes, de qualquer tipo ou tamanho.
19
PBLICO-ALVO
Todo pessoal envolvido com a gestao da segurana da informaao, o que inclui os proprietarios das informaoes e os custodiantes das mesmas. Dentre esses profissionais destacamos:
PR-REQUISITOS
Conhecimentos basicos de Tecnologia da Informaao.
CARGA HORRIA
O curso tem duraao de 16 horas que podem ser distribudas em dois ou quatro dias.
CONTEDO PROGRAMTICO
O curso SEC 201 foi desenvolvido para apresentar os conceitos fundamentais da Segurana da Informaao,
cobrindo os principais aspectos da ISO 27002 atraves de exposiao de casos e um exerccio pratico ao final de
cada modulo para auxiliar na fixaao do conhecimento adquirido em sala de aula.
O conteudo apresentado em aula e tambem enriquecido pelo uso de diversos documentos de suporte, artigos
publicos sobre o assunto e material exclusivo desenvolvido pela equipe de instrutores da Antebellum.
Conceitos Fundamentais - Explica os conceitos de informao em seus diversos formatos, seu ciclo
de vida, as diferenas entre dados e informaao e a infraestrutura basica para armazenamento e proteao
da mesma.
2.
Valor da Informao - Discorre sobre o valor estrategico da informaao para as organizaoes, como a
informaao pode influenciar no desempenho da organizaao e como as praticas de segurana da informaao protegem esse bem da organizaao.
3.
Aspectos de confiabilidade - Apresenta os aspectos da segurana da informao: Confidencialidade, Integridade e Disponibilidade (CID), detalhando seus requisitos de avaliaao.
20
1.
Governana - Apresenta um modelo de governana corporativa, a diferenciaao entre governana e gerenciamento, o funcionamento e as areas de foco da governana de TI, um exemplo de Balanced Scorecard (BSC), a
relaao do BSC com os objetivos de negocio, o alinhamento dos objetivos de TI/SI com o BSC e os objetivos de
negocio e os processos que levam a realizaao dos objetivos de TI.
2.
Modelagem de Processos - Mostra como o processo de modelagem pode ajudar a encontrar os ativos
da informaao que suportam os processos mais crticos, facilitando sua classificaao e uma posterior proteao
proporcional a sua importancia para a organizaao.
3.
Classificao da Informao - Mostra como os ativos de informao devem ser classificados por categorias, de acordo com seu valor para a organizaao, para que recebam uma proteao proporcional as suas
necessidades de confidencialidade, disponibilidade e integridade.
1.
2.
Tipos de Ameaa - Apresenta aos alunos os tipos mais comuns de ameaas a segurana da informaao como:
Codigo Malicioso, Vrus, Worm, Spyware, Trojan, Rootkit, Backdoor, Engenharia Social, Hacking, Hoax,
Phishing Scam, Bots, Botnets, Spam e Scam.
3.
Dano - Discute o incidente de segurana, a probabilidade, consequencia, impacto e danos diretos e indiretos a
organizaao.
4.
Anlise de Riscos - Explica os processos de analise (quantitativa e qualitativa) e avaliaao de riscos, a relaao
entre uma ameaa e um risco, assim como as estrategias para tratamento dos riscos e aceitaao de riscos residuais.
21
1.
Polticas de Segurana - Descreve os objetivos e a composiao de uma poltica de segurana, assim como a organizaao da segurana da informaao.
2.
3.
1.
Importncia das medidas de segurana - Descreve as formas como as medidas de segurana devem
ser fundamentadas e os tipos e funoes das medidas de segurana existentes.
2.
Segurana Fsica - Analisa os riscos envolvendo falhas nas medidas de segurana fsica e fornece exemplos de ameaas e medidas relacionadas a segurana fsica.
3.
Controles Tecnolgicos - Analisa os riscos envolvendo aspectos tecnolgicos como a m utilizaao e manutenao dos ativos de tecnologia, softwares maliciosos (vrus, trojans, etc) e discute as solu-
oes tecnologicas para reduao de riscos como a criptografia simetrica e assimetrica, funoes de hash,
certificados digitais, PKI, assinatura digital, VPN, backup e antivrus.
4.
22
5.
funoes para a segurana da informaao e os riscos envolvendo as falhas na criaao ou aplicaao dessas medidas.
6.
Controle de Acesso - Descreve as medidas de segurana relacionadas ao acesso fsico ou lgico das
informaoes como o uso de senhas fortes, biometria, autenticaao com dois fatores, segregaao de funoes,
autorizaao e auditoria de acessos.
7.
Continuidade de Negocios - Fornece uma visao geral sobre as estrategias de continuidade de negocios e recuperaao de desastres, a necessidade de um bom plano de continuidade de negocios, os passos para a sua
criaao, as metricas basicas como RPO, RTO, WRT, MTO, SLA e TMP, assim como a importancia de sua validaao e treinamentos e exerccios para garantir a validade dos planos. .
MDULO 6 CONFORMIDADE
Neste ultimo modulo sao avaliadas a importancia e os efeitos da legislaao e das regulamentaoes para organizaao.
1.
Legislao e Regulamentao - Exemplifica leis e regulamentaes relacionadas segurana da informaao, assim como seus objetivos e controles utilizados para atende-las.
2.
Avaliao - Descreve as formas de avaliaao da efetividade da segurana da informaao, atraves de auditoria, auto avaliaao, mensuraao e geraao de evidencias da efetividade das medidas de segurana.
23
Este modulo apresenta os conceitos basicos de governana (corporativa e de TI), visando criar um melhor entendimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnologia da Informaao e Segurana da Informaao para que estas areas estejam alinhadas as metas, missao e objetivos
da alta gestao.
Processos organizacionais;
conformidade legal e regulatoria;
requisitos de privacidade;
arquitetura de segurana corporativa;
due care.
2. Gesto do ciclo de vida da informao Mostra o ciclo de vida da informaao desde a criaao, passando por
sua classificaao, categorizaao, propriedade, etc.
tipos e classificaao da informaao;
papeis e responsabilidades de cada colaborador;
24
3. Perspectiva do Cliente Aborda o ponto de vista do cliente sobre o controle da informaao e a importancia
1. Anlise e avaliao de riscos Apresenta os princpios de gerenciamento de risco, de acordo coma classificaao de cada ativo.
2. Controles para tratamento do risco Foca na escolha dos controles dos riscos com base nos requisitos de
Confidencialidade, Integridade e Disponibilidade (CIA) de cada ativo e nos estagios do ciclo de vida do incidente
alem de escolher diretrizes relevantes para a aplicaao dos controles.
25
3. Riscos residuais Aborda os riscos residuais e as estrategias para lidar com este risco atraves da:
produao de casos de negocios para controles;
produao de relatorios sobre as analises de risco.
4. Comunicao do risco Aborda a traduao dos riscos de segurana da informaao em uma linguagem gerencial para atender os requisitos da gestao e governana da empresa.
Risk Scorecard;
aceitaao do risco.
codigo de conduta;
poltica de segurana da informaao;
Procedimentos;
Guias;
Documentaao.
3. Controles Tcnicos - O aluno adquire conhecimento sobre controles tcnicos e capaz de explicar a
as arquiteturas de segurana, a finalidade dos servios de segurana, e a importancia dos elementos de segurana na infraestrutura.
26
codigo de conduta;
poltica de segurana da informaao;
procedimentos de contrataao;
conscientizaao e monitoraao;
desligamento de colaboradores.
SEC 202
SEC 201
27
OBJETIVOS DO CURSO
O Curso explica os conceitos criptograficos e mostra a utilizaao destes algoritmos na proteao dos dados, nos
dias de hoje. O curso mostra tambem o funcionamento de diversos dispositivos criptograficos da atualidade.
A grade do curso e totalmente compatvel e prepara o aluno para a certificaao CES (Certified Encryption Specialist) do EC-Council.
PBLICO-ALVO
Todo o pessoal tecnico envolvido com o manuseio de dados crticos, mais especificamente os custodiantes das
informaoes, normalmente pertencentes a area de tecnologia da informaao. Dentre esses profissionais destacamos:
Desenvolvedores, Integradores e arquitetos de sistemas
Engenheiros e especialistas de rede
Profissionais de segurana da informaao
PR-REQUISITOS
Conhecimentos basicos de Tecnologia da Informaao.
28
29
O Curso SEC 103 aborda os domnios controle de acesso, segurana em desenvolvimento, arquitetura e design e do CBK
1.
Conceitos gerais - Descreve os conceitos de Identificao e Autenticao, ID nico, Privilgio Mnimo e Need to Know, Triple A (Autenticaao, Autorizaao e Auditoria), alem de apresentar as diferenas entre os modelos
de segurana MAC (Mandatorio: Biba, Bell LaPadula,) e DAC (Discricionario: ClarkWilson, etc).
2.
Reference Monitor - Apresenta a entidade Reference Monitor, ACLs e DACLs, Auditoria de eventos (Logs),
Proteao de Objetos, Trusted Path, Complete Mediation e o conceito de Security Kernel.
3.
Implementaes - Arquivos de senha (passwd) e domnios (NTLM e NIS), X500 e LDAP, Single Sign On e
Web Single Sign On, Federaao.
4.
1.
Sistemas Operacionais - Sistemas de 8, 16, 32 e 64 Bits, Modo real x Modo protegido, Multiprocessamento, Multitarefa e Multithread, Arquitetura do Windows, Arquitetura do Unix, Sistemas de Arquivos, Contas de usuario, Nveis de privilegio, superusuarios, isolamento de processos, Ring protection, Registro de Log, Firewall Pessoal, Atualizaoes, Backup, Data Hiding, Arquiteturas de Virtualizaao.
2.
Arquitetura de Software - Metodologias para Desenvolvimento de Softwares, Metodologias de segurana, Conceitos e Mecanismos de Proteao, Princpios de Design Seguro, Verificaao de entrada de dados, Regulamentaoes,
Privacidade e Compliance,.
30
3.
Segurana em Software - Descreve as ameaas decorrentes da falta de uma analise de segurana em todo o processo de desenvolvimento de softwares como Buffer Overflow, SQL Injection, trapdoors e a necessidade de manutenao e atualizaao de qualquer tipo software, incluindo sistemas operacionais, paginas WEB, e firmware de ativos como roteadores e firewalls. Aborda tambem as metodologias de desenvolvimento seguro e Fuzzing.
2.
Programas AntiMalware - Explica a necessidade e os requisitos de gestao dos softwares antimalware dentro das
organizaoes
3.
Normatizao de Segurana - Normas e Boas Praticas Desenvolvimento Seguro (e.g., ISO 2700x, OWASP) ,TCSec,
ITSec, Common Criteria (ISO 15408), etc.
4.
Vulnerabilidades - Vulnerabilidades em Hardware, Vulnerabilidades em Software, Vulnerabilidades Fsicas, Vulnerabilidades de Configuraao, Falhas na Poltica, Falhas de Uso.
5.
6.
Tipos de Ataque - Negaao de servio, Ataque Smurf, Ataque SYN Flood, Ataque UDP Flood, Ataque ICMP Flood,
Ataque Land, Negaao de Servio Distribudo (DDOS), Rastreamento de Portas (Port Scan), ataque passivo
(Sniffers de Rede)
7.
Testes de invaso (Penetration test) - Definiao de Escopo, Objetivo, Teste Black Box, Teste White Box, Principais tecnicas, Exploraao (Exploits), Mapeamento de Vulnerabilidades, Quebra de senhas,, spoofing, Roubo de
sessao, Cuidados com as ferramentas de teste.
31
O curso SEC 105 aborda a segurana em redes e telecomunicaoes e abrange as estruturas tecnicas de intercomunicaao utilizadas para redes locais e de longo alcance, o funcionamento dos protocolos de comunicaao de dados
mais comumente utilizados e as medidas de segurana disponveis para fornecer disponibilidade, integridade,
confidencialidade e autenticaao para as transmissoes sobre redes de comunicaao publicas e privadas.
1.
Fundamentos de Rede - Introduz as tecnologias e protocolos utilizados para a comunicaao de dados, abordando as caractersticas que serao fundamentais para entender as vulnerabilidades e proteoes disponveis
para redes de dados. Topicos abordados: A Historia da Internet, O Modelo OSI, O TCP/IP (DoD), Camadas do
TCP/IP (Aplicaao, Transporte, Internet, Acesso a rede), Metodos de Transmissao, Endereo Fsico (MAC
Address), CSMA/CD (Ethernet), CSMA/CA (Wireless), Token.
2.
Redes locais - Estuda os componentes e Hardware e Software utilizados para a comunicaao de dados em redes locais: Hubs, Bridges e Switches, Roteadores e Gateways, Firewalls (Filtros de pacotes e Statefull), IDS/
IPS/UTM.
3.
Servios de Rede - Oferece ao aluno uma visao do funcionamento dos principais servios que as empresas disponibilizam atraves das redes locais e da Internet. Sao abordados: DNS, HTTP, HTTPS, SMTP, IPsec, Telnet,
Permetros - Analisa as redes de permetro, ou seja, aquelas que ficam na borda tecnologica da empresa e
prestam servios para a Internet . Temas abordados: VLANs, Extranets, acesso interno, subnets, bastion host,
Rede Perimetral, DMZ e screened subnet, roteadores de borda, NAT (estatico e dinamico).
5.
Zonas e Domnios de confiana - Discute a necessidade de isolamento entre as redes com nveis de segurana
diferentes as tecnologias utilizadas para proporcionar este isolamento. Aborda a criaao de permetros de
segurana, controle de acesso logico, instalaao e manutenao de Firewalls, desenhos single-box, screened
host, screened subnet.
32
6.
IDS/IPS/UTM - Estuda as tecnologias utilizadas para detectar e bloquear ataques dentro das redes da organizaao.
Aborda os metodos de analise (Pattern-matching, Analtico), os componentes (Agente, Coletor de eventos, Base de
dados, Gerenciador central, Sistemas de alerta, Interface grafica, Comunicaao, Logs e relatorios, tipos de Resposta,
Timing, Consolidaao de Logs, IDS/IPS
7.
Telecomunicaoes e redes de longa distancia (PAN, LAN, MAN e WAN) - Apresenta os tipos de redes, de acordo com
seu alcance e tecnologia utilizada. Aborda: Circuit Switched x Packet Switched, circuitos virtuais, DSL, Cable modems, HDLC e SDLC, X.25, Frame-Relay, MPLS, QoS, VOIP, redes sem fio (Wireless), PSK/Enterprise, WEP, WPA,
WPA2, Bluetooth, telefonia, uso para transmissao de dados, caixas postais e secretarias eletronicas, grampos, colaboraao multimdia, acesso remoto.
8.
Ataques a redes - Analisa as formas conhecidas de ataque as redes de dados, tais como Dos, DDos e spoofing
33
1.
Apresenta uma visao geral das disciplinas relacionadas com a continuidade aplicadas em cenarios diversos ao longo da Historia, sua evoluao como instrumento estrategico e a aplicabilidade como pratica de
adequaao da resiliencia organizacional em diferentes abordagens.
Apresentaao dos conceitos que estruturam as praticas de continuidade, onde e abordada a definiao de
incidente, a composiao e uso das estrategias de resposta e os criterios que devem ser empregados para
definir a composiao e uso de uma Estrategia para a Continuidade dos Negocios.
2.
Apresenta as teorias que fundamentam a necessidade de resposta e manutenao da continuidade sao ainda explicadas, atraves da conceituaao e entendimento dos valores estabelecidos para o Recovery Point
Objective e a composiao do Maximum Tolerable Downtime pelo uso do Recovery Time Objective e Work
Recovery Time.
34
2.
Apos o entendimento deste processo, o uso e relacionamentos entre os diversos planos que compoe a Estrategia
sao apresentados e fundamentados: o papel dos planos de recuperaao de desastres e continuidade operacional, o
entendimento do processo de retorno ao Modo Regular e a pratica de Lioes Aprendidas para a melhoria contnua
da estrategia.
1.
O papel das normas e regulamentaoes como direcionadores da Continuidade de Negocios, abrangendo a aderencia em determinados setores, a aplicabilidade da responsabilidade compartilhada e o entendimento no Codigo Civil, Sarbanes-Oxley, Basileia, Resoluao 3380 do Banco Central do Brasil e nos programas de qualidade da Bolsa de
Mercadorias e Futuros.
Nossos treinamentos sao complementares, sem sobreposiao de topicos, para que nossos alunos possam obter gradualmente diversas certificaoes.
35
Os treinamentos
ministrados pela
Antebellum na Fidelity
proporcionaram um
excelente alinhamento
entre os
conhecimentos das
rea de Segurana da
Informao e
Tecnologia, resultando
com excelentes
resultados de ambas
as reas no
tratamento dos
assuntos relacionados
Segurana da
Informao.
tecnicos para a criaao de assim como os princpios para aumentar a segurana dentro desses ambientes.
PBLICO ALVO
Este curso foi desenvolvido para profissionais que utilizam
ou pretendem utilizar servios de TI baseados na Internet.
Dentre esses profissionais destacamos:
Eduardo Cabral
Diretor de GRC
Fidelity Processadora e
Servios S.A.
36
a certificaao
CCSK, da Cloud
Security Alliance
vanced
Preparatorio para a
certificaao Cloud
advanced do Exin e
Cloud+ da CompTIA
Preparatorio para
mas
Nosso curso abrange todos os topicos abordados nas principais certificaoes de mercado, sendo elas CompTIA
Cloud Essentials (CEP), Exin Cloud Fundations (CLOUDF) e parte dos topicos necessarios para a certificaao
Certificate of Cloud Security Knowledge (CCSK) da Cloud Security Aliance(CSA)
Conceitos Fundamentais - Descreve atraves das definioes do NIST o que e Cloud Computing, o que e
virtualizaao, a relaao entre Cloud Computing e virtualizaao, os termos mais comumente utilizados e
exemplifica os principais tipos de Cloud Computing, entre eles SaaS, IaaS e Paas.
2)
servidores, da virtualizaao, das redes, da Internet e dos servios gerenciados no Cloud Computing.
3)
Arquiteturas de Cloud Computing - Descreve as diferenas do ponto de vista tecnico entre as nuvens
Computing, alem de indicar os tipos de organizaoes que podem se beneficiar mais ou menos com o uso de
Cloud Computing.
5)
O Valor da Cloud Computing para o negcio - Indica as semelhanas e benefcios entre Outsourcing e
37
Acessando a Nuvem - Descreve as caractersticas de rede para como acessar a nuvem atraves de
Mobilidade e Cloud Computing - Descreve as plataformas disponveis para acessar a nuvem atraves de
3)
Riscos e desafios tcnicos - Explica os riscos organizacionais, legais e tecnicos especficos ou nao do
ambiente de Cloud e os desafios tecnicos e metodos para mitigar os riscos atraves de tecnicas de gestao e
recursos tecnologicos.
principais componentes a serem conectados em uma Private Cloud, alem dos riscos ao conecta-la a Internet.
38
2)
Suporte ao uso e Cloud Computing - Descreve o uso de VPN para acesso a rede local, linguagens de
padroes e protocolos utilizados em Cloud Computing, como WBAM, DMFT, SMI-S, SMASH, HTTP, IPSec,
OpenID.
4)
Fatores de sucesso para Adoo de Cloud Computing - Projeto piloto, relaao com os objetivos
servios para a nuvem e utilizar uma abordagem baseada no ITIL para explorar o potencial impacto da
Cloud Computing na organizaao.
Business Case - Discute o processo de seleo dos fornecedores, os custos, possveis economias
gestao e fatores de satisfaao a serem utilizados na avaliaao dos provedores e de seus servios de Cloud
Computing.
3)
dentre eles as questoes legais, a divisao de responsabilidades legais, consideraoes sobre as capacidades de
eDyscovery, SAS 70, ISO 27001, BS 25999 do contratado, requisitos de auditoria, jurisdiao e localizaao dos
dados.
39
a certificaao
Prepare-se para obter a certificaao CCSK (Certificate of Cloud Security Knowledge) emitida pela CSA (Cloud
Security Alliance) e conhea principais aspectos de segurana defendidos na Europa (Enisa) e Estados Unidos
(CSA)
Indicado para profissionais que ja atenderam ao curso TIC 211 Cloud Computing da Antebellum, ou possuem
conhecimento similar.
O curso aborda os topicos da certificaao CCSK da CSA (Cloud Security Alliance), entidade que promove as melhores praticas em cloud computing, e leva o aluno a compreender as implicaoes de segurana do uso de servios em nuvem para, se optar por esse modelo, avaliar a forma mais segura de proceder a migraao.
OBJETIVOS DO CURSO
Ao final do curso o aluno estara apto a explicar, avaliar e planejar:
O certificado CCSK (Certificate of Cloud Security Knowledge) atesta que um determinado indivduo conseguiu
concluir com sucesso um exame que cobre os principais conceitos das orientaoes da CSA, bem como dos que
constam no whitepaper da ENISA [European Network and Information Security Agency].
40
Ementa do Treinamento
Privacidade e Conformidade
Conformidade com normas e regulamentaes (Ex: 27001, ISO 27031, BS 25999, SAS 70, e-Discovery, etc.)
41
MDULO 2 VIRTUALIZAO
Tipos de Hypervisor (I e II), Bare Metal x OS, performance e sobrecarga, proprietario e open source,. Criaao, importaao e exportaao de templates e maquinas virtuais, Instalaao e configuraao, Snapshots e clonagem, backups de imagens e de arquivos, NIC Virtual, Switches Virtuais, discos virtuais (SCSI/ATA ID), switches virtuais, VLAN. P2V, V2V,
V2P, elasticidade, recursos compartilhados, isolamento de rede e aplicaoes, datacenter virtual (NIC, HBA e Router).
MDULO 3 INFRAESTRUTURA
NAS, DAS, SAN, Ethernet, iSCSI, SSDs, RAID, UFS, EXT, NTFS, ZFS, NAT, PAT, VLAN, Subnetting/Supernetting, WLAN,
LAN, MAN, Load Balancing, Utilitarios IP, portas, protocolos, intranets, extranets,
MDULO 5 SEGURANA
ACLs, VPNs, IDS/IPS, DMZ, Logs, Ataques, Segurana em Storages, PKI, IPSEC, SSL/TLS, AES, RSA, Single Sign-on, federaao, Role Based, MAC, DAC, autenticaao multifator, hardning, antivrus, patching, etc.
42
Fernando atua como instrutor desde 1993, quando ministrava cursos de DOS, Wordstar, Lotus 123 e Dbase no SENACMG, e durante todas as funoes que exerceu em sua carreira continuou a ministrar treinamentos sobre as tecnologias
que trabalhava (Microsoft, Unicenter TNG, Redes, Segurana da Informaao e computaao forense). Atua tambem como
professor universitario desde 2004, tendo trabalhado nos cursos de graduaao e pos-graduaao na Universidade
Anhembi-Morumbi, UNIP, Faculdade Impacta de Tecnologia, Escola Paulista de Direito e UNI-BH.
Na Microsoft, atuou como Test Engineer, e Consultor de segurana da Informaao, onde foi responsavel pelo conteudo
dos programas Academia de Segurana da Informaao, Technet Security Experience e do Fast Start Security. Atuou tambem como Gerente de conteudo da Modulo Security Solutions , Coordenador de treinamentos na Techbiz Forense Digital. Dentro da comunidade de segurana, atuou como Diretor de Comunicaao do ISSA Brasil Chapter entre 2006 e
2010, e como Vice-presidente entre 2010 a 2012, Sendo o unico brasileiro a receber o ttulo de Senior Member pela ISSA International.
Eduardo V. C. Neves, CISSP, trabalha com Segurana da Informaao desde 1998. Iniciou sua
carreira profissional em uma das principais empresas de consultoria do mercado brasileiro,
posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10
anos.
Em 2008 fundou a primeira empresa brasileira especializada em Segurana de Aplicaoes e
hoje dedica-se a prestar servios de consultoria nas praticas de Risk Management, Security
Awareness e Business Continuity. Serve ainda como voluntario no OWASP e (ISC)2 e contribui para iniciativas de evangelizaao nas praticas de proteao da informaao para federaoes e associaoes no Brasil.
Anchises de Paula, CISSP, Analista de Inteligencia em Segurana da iDefense, Verisign. Possui extensa experiencia ha quase 15 anos na coordenaao e implantaao de projetos de Segurana da Informaao em empresas de grande porte como Editora Abril, Compugraf, Americel (DF), Telesp Celular (Vivo) e CPM.
43
NOSSA MISSO
clientes.
de profissionais experientes
Dentre nossos clientes, destacamos algumas empresas conhecidas no cenrio nacional e internacional.
Segurana da Informao.
44