Fundamentos de

Cybersecurity
Capítulo 1 - Valor de Dados e Informação e
Fundamentos de Sistemas de Informação
Cloud & Cybersecurity
Prof. Maximiliano de Carvalho Jacomo
Aula 1.1. O Valor e a importância de dados e
informações para pessoas, sociedades e organizações
Vamos pensar um pouco...
Por que dados e informações são tão importantes e valiosos para
as pessoas, sociedades e principalmente organizações nos dias de
hoje?
Nos dias atuais...
Vivemos a “TRANSFORMAÇÃO DIGITAL”, no qual pessoas,
sociedades, organizações e coisas estão interligadas e trocando
dados e informações a todo momento, através de diversos tipos
de tecnologias.

Mas, afinal, o que é a TRANSFORMAÇÃO DIGITAL?

Transformação Digital
Podemos compreender a transformação digital como um processo
revolucionário, no qual pessoas, sociedades e organizações
utilizam a tecnologia para alcançar sonhos, desejos, melhorar a
vida, resolver problemas tradicionais, criar, inovar e modificar
produtos e serviços, evoluir processos, incorporar os avanços
tecnológicos, promover a mudança de pensamentos e culturas,
aumentar o desempenho e muito mais...
E assim...
Dados e informações são valiosos e importantes nessa
transformação digital que vivemos!

Afinal,
Ou seja,
DADOS serão refinados (tratados e transformados) em
INFORMAÇÃO. A informação será analisada pelos seres
humanos e transformada em CONHECIMENTO!

Todo esse CONHECIMENTO, será utilizado na transformação

digital e, também, pelas pessoas, sociedades e organizações para
se alcançar objetivos, resolver problemas, atender necessidades,
melhorar a qualidade de vida, concretizar sonhos, desejo e muitos
mais...
Próxima Aula...
Vamos continuar aprendendo um pouco mais sobre DADOS,
INFORMAÇÃO e CONHECIMENTO e o quanto são valiosos!
Aula 1.2. Conceito: Dados, Informação
e Conhecimento
O que é DADO?
De forma simples, podemos conceituar dado ou dados (no plural),
como um fato bruto, sem sentido ou significado. Ou seja, algo que
ainda não foi organizado, tratado ou transformado.

Ou se preferir, podemos entender como qualquer conjunto de

caracteres reunidos e traduzidos para algum propósito,
geralmente análise.
O que é DADO?
Em um sistema computacional, os dados são representados no
formato digital e são uma série de bits (dígitos binários) que têm o
seu valor representado por um ou zero.

Os dados podem ser coletados por observações, medições,

pesquisas ou análises e podem constituir em fatos, nomes,
figuras, imagens, sons ou até mesmo descrição de coisas.
 Compreendendo melhor DADOS e INFORMAÇÃO?

Resultado do tratamento de dados é a INFORMAÇÃO

O que é CONHECIMENTO?
O conhecimento pode se referir a uma compreensão teórica ou
prática de um assunto ou informação.

Pode ser implícito (habilidades práticas ou experimentais) ou

explícito (compreensão teórica de um assunto ou informação).

O conhecimento é a base do saber e da transformação humana!

Hoje vivemos na era do CONHECIMENTO?
No qual o valor de uma pessoa, sociedade ou organização está
pautado no tratamento de dados e na análise de informações e de
como transformar todo o conhecimento em saber e valor.

A era do conhecimento é caracterizada pela valorização do

conhecimento, criatividade, colaboração, autonomia, experiência e
talento!
Resumindo...

DADO(S) INFORMAÇÃO CONHECIMENTO

Um conjunto de
dados organizados,
Fato bruto, sem processados ou
É a análise ou
sentido ou transformados em
compreensão da
significado. Que ainda algo que possui
informação por parte
não foi organizado, sentindo ou
do ser humano. É a
processado ou significado. Que pode
fonte do saber.
transformado. ser analisado ou
estudado pelo ser
humano.
Próxima Aula...
Vamos continuar aprendendo um pouco mais sobre conceitos de
Teoria Geral de Sistemas.
Aula 1.3. Conceito: TGS – Teoria Geral
dos Sistemas
O que é TGS
Teoria Geral dos Sistemas?
Vamos continuar aprendendo um pouco mais sobre conceitos de
Teoria Geral de Sistemas.
O que é TGS
Teoria Geral dos Sistemas?
A TGS proporciona uma visão (abordagem) compreensiva,
abrangente, holística (as totalidades representam mais que a
soma de suas partes) e gestáltica (o todo é maior que a soma das
partes) de um conjunto de coisas complexas que interagem com o
ambiente.
O que é SISTEMA para a TGS?
A TGS define como SISTEMA uma união de várias partes,
formadas por elementos ou componentes interdependentes que
interrelacionam entre si em prol de um objetivo comum, para a
formação de um todo no ambiente.

Ou seja, um conjunto de elementos em interação recíproca ou

uma coleção de elementos, relacionados ou conectados de tal
modo que como resultado formam uma unidade ou um todo.
Para a TGS,
Existem 3 premissas:

1ª premissa: sistemas existem dentro de sistemas;

2ª premissa: sistemas são abertos;
3ª premissa: as funções de um sistema dependem de sua
estrutura.
Para a TGS, os sistemas podem ser
Classificados com relação à:

CONSTITUIÇÃO NATUREZA

Físico ou Concreto –
Fechado: máquinas,
objetos, coisas reais
tecnologias.
etc.

Abstratos ou Abertos –
Conceituais – indivíduos, grupos,
conceitos, planos, organizações,
ideias. sociedades.
Característica do Sistema Aberto na
Teoria Geral dos Sistemas
(1) Possui diversos elementos ou componentes complexos que
estão em interação continua com o ambiente; (2) Influencia o
ambiente externo e é influenciado por ele; (3) Tem capacidade de
crescimento, mudança, adaptação e autorreprodução (em
algumas situações).
 Sistema Aberto na
Teoria Geral dos Sistemas para a administração
EMPRESA TRANSFORMA

ENTRADA DE SAÍDA DE
TRANSFORMAÇÃO
RECURSOS PRODUTOS

CONVERSÃO DE
AMBIENTE

AMBIENTE
CONSOME
FORNECE

• PESSOAS RECURSOS EM
• TECNOLOGIAS RESULTADO
• MATÉRIA • PRODUTO OU
PRIMA SERVIÇO
• DADOS
• DINHEIRO

RETROALIMENTAÇÃO (FEEDBACK)
Próxima Aula...
Vamos continuar aprendendo um pouco mais sobre conceitos de
Sistemas de Informação.
Aula 1.4. Conceito: Sistemas de
Informação
Conceituando...
Sistemas de Informação
Podemos definir um Sistema de Informação (SI) como um
conjunto de elementos (componentes) inter-relacionados que
coletam, recuperam, processam, armazenam e distribuem
informações.

O principal objetivo é auxiliar a organização em diversos aspectos

relacionados à operação, gerenciamento e estratégia.
Conceituando...
Sistemas de Informação
Com relação aos elementos (componentes) que estão
inter-relacionados e forma um Sistema de Informação, podemos
citar os ATIVOS DE TI que no caso é a representação de 3
grandes grupos:

PESSOAS PROCESSOS TECNOLOGIAS

Conceituando...
Sistemas de Informação
No dia a dia os sistemas de informação têm como missão: coletar
dados e transformá-los em informações importantes e úteis que
dão suporte para a alta administração, apoiando na gestão e
controle, na tomada de decisão, na resolução de problemas ou
situações inesperadas, na criação de novos produtos ou serviços,
na inovação, no atendimento das necessidades e expectativas de
seus clientes e do meio ambiente que atua, dentre outros.
Conceituando...
Sistemas de Informação
Os sistemas de informação são de grande importância e valor
para qualquer organização. Isto porque:

GERAM
INFORMAÇÕES QUE POSSIBILITAM

PLANEJAMENTO ORGANIZAÇÃO DIREÇÃO CONTROLE

Conceituando...
Sistemas de Informação
Os sistemas de informação utilizam hardware, software, redes de
telecomunicações, técnicas de administração de dados
computadorizadas e outras formas de tecnologias da informação
para transformar dados em informação.

Mas como um sistema de informação faz isso?

 Característica do Sistema Aberto na
Teoria Geral dos Sistemas para a TI
ARMAZENAR

SISTEMA DE
INFORMAÇÃO
ENTRADA SAÍDA
PROCESSAMENTO
(INPUT) (OUTPUT)

EMPRESA/PESSO
TRANTAMENTO
TRANSFORMAÇÃO
AMBIENTE
FORNECE

DADOS EM • INFORMAÇÃO
• DADOS INFORMAÇÕES • CONHECIMENT

AS
O

FEEDBAC
K
Conceituando...
Sistemas de Informação
É importante ressaltar que um sistema de informação é
caracterizado como sendo toda a ferramenta que manipula dados,
transformando-os em informação, utilizando ou não meios
tecnológicos para tal transformação.
Conceituando...
Sistemas de Informação
Segundo a visão de Laudon e Laudon (2009), o sistema de
informação é composto por três dimensões:

• ORGANIZAÇÃO
• TECNOLOGIA
• PESSOAS

Vamos compreender melhor...

Conceituando...
Sistemas de Informação
Neste contexto, temos: (a) ORGANIZAÇÕES – os sistemas de
informação são partes integrantes das organizações. Uma
organização executa e coordena seus trabalhos por meio de seus
processos; (b) TECNOLOGIAS – a TI é uma ferramenta
importante para que a organização consiga alcançar seus
objetivos e atender as constantes mudanças que o ambiente
propõe; (c) PESSOAS – são as peças chaves para o sucesso, por
isso precisam estar qualificadas para realizar os processos e
utilizar as tecnologias.
Conceituando...
Sistemas de Informação
Por fim, os sistemas de informação oferecem diversas vantagens,
tais como: (a) aumento da produção; (b) melhor administração; (c)
apoio na tomada de decisão; (d) maior produtividade; (e) controle
mais eficiente; (f) maior segurança; (g) minimização de erros; (h)
aperfeiçoamento das comunicações; dentre outras...
Próxima Aula...
Vamos continuar aprendendo um pouco mais sobre conceitos de
tipos de Sistemas de Informação.
Aula 1.5. Tipos de Sistemas de
Informação
Tipos
Sistemas de Informação
De acordo com O’Brien (2000), os sistemas de informação podem
ser divididos em quatro tipos:

• Sistemas de Informações Transacionais

• Sistemas de Informações Gerenciais
• Sistemas de Informações de Apoio a Decisão
• Sistemas de Informações Executivas
Sistemas de Informações
Transacionais (SIT)
São sistemas que controlam informações rotineiras e diárias, tais
como: sistemas de emissão de pedidos, emissão de notas fiscais,
compras de mercadorias etc. Servem como alimentadores de
banco de dados para futuras consultas.
Sistemas de Informações
Gerenciais (SIG)
São sistemas que coletam dados de sistemas de informações
transacionais para produzir informações que irão apoiar a gerencia
no seu dia a dia.

São também responsáveis por gerar informações que irão

alimentar os sistemas de apoio à decisão.
Sistemas de Informações
Apoio à Decisão (SAD)
São sistemas que coletam dados de sistemas de informações
gerencias para produzir informações que irão apoiar a alta
administração da empresa em diversas variáveis, tais como:
localização de fornecedores, clientes, mercados, impostos,
políticas operacionais e gerenciais, dentre outros.
Sistemas de Informações
Executivas (SIE)
São sistemas que coletam dados dos sistemas de apoio a
decisões e dos sistemas de informações gerenciais para produzir
informações a nível executivo/estratégico, auxiliando assim a alta
administração da empresa em diversos aspectos relacionados a:
tomada de decisões, criação ou melhoria de planos estratégicos;
construção de metas de curto, médio e longo prazo;
direcionamento, dentre outros.
 Resumindo...
Porém, nos dias atuais
encontramos diversos
outros tipos de sistemas
SIT de informações dentro de
um ambiente
organizacional, dentre os
quais destacamos:

SI
CRM
SIE SIG Sistemas de Informações
de Relacionamento com o
Cliente;

SCM
Sistemas de informações
de Gerenciamento da
SAD Cadeia de Suprimentos.
Próxima Aula...
Vamos estudar o capítulo 2: Fundamentos de Segurança da
Informação e Segurança Cibernética.
 Fundamentos de
Cybersecurity
Capítulo 2 - Fundamentos de Segurança da
Informação e Segurança Cibernética
Cloud & Cybersecurity
Prof. Maximiliano de Carvalho Jacomo
Aula 2.1. Conceito: Ativos de TI
O que são os
Ativos de TI?
Para que qualquer tipo ou modelo de negócio aconteça de forma
eficiente é preciso que a organização possua uma série de
recursos humanos, tecnológicos e materiais, bem como um
conjunto de processos bem desenhados e definidos para garantir
que tudo aconteça conforme o planejado.
O que são os
Ativos de TI?
Pois bem, todo esse conjunto de recursos e processo são
considerados um “bem” que geram valor e possuem valor para a
organização.

Nesse contexto, podemos denominar todos os elementos e

componentes que compõe um sistema organizacional ou um
sistema corporativo de “ATIVOS”.
O que são os
Ativos de TI?
Para que a proteção e salvaguarda desses ativos seja realizada de
maneira eficiente, a tecnologia da informação organizou em um
formato de conjunto, todos ativos presentes em um ambiente
organizacional de acordo com a sua presença dentro do ambiente
organizacional, ficando assim disposto em três grandes grupos, a
saber:
Grupos que compõe os
Ativos de TI em um ambiente organizacional
Sistemas Computacionais,
dados e informações, links de
TECNOLOGIAS
comunicação, aplicativos,
softwares, hardware etc.

Conjunto de atividades
ATIVOS DE TI PROCESSOS realizadas através do uso das
tecnologias da informação.

São quem realizam os

processos através da
PESSOAS
utilização das tecnologias da
informação.
Próxima Aula...
Vamos estudar os conceitos de Segurança da Informação e
Segurança Cibernética.
Aula 2.2. Conceito de: Segurança da
Informação e Segurança Cibernética
O que é
Segurança da Informação?
A SEGURANÇA DA INFORMAÇÃO refere-se à proteção da
informação em diversos níveis e aspectos, contra os mais variados
tipos de ameaças e tem como principal objetivo garantir três
princípios que são considerados os pilares fundamentais da
segurança computacional.

Mas quais são esses princípio/pilares?

1º pilar/princípio
DISPONIBILIDADE
Este princípio tem como objetivo garantir que as informações
estejam sempre disponíveis e está diretamente associado à
eficácia do sistema de informações e do funcionamento do meio
de comunicação (rede) para que a informação possa ser acessada
quando for necessária ou solicitada.
2º pilar/princípio
INTEGRIDADE
Este princípio tem como objetivo garantir que as informações
estejam integras. Ou seja, que as informações estejam em seu
formato original e verdadeiro, a fim de servir para os propósitos
para o qual foram designadas. No geral, este princípio está
relacionado com o armazenamento da informação e a garantia de
que a informação seja armazenada, sem qualquer alteração
indevida ou não autorizada de seu conteúdo.
3º pilar/princípio
CONFIDENCIALIDADE
Este princípio tem como objetivo garantir que o acesso às
informações seja apenas realizado por sistemas/pessoas
autorizadas. Ou seja, garantir que a informação não seja acessada
por indivíduos não autorizados.
Agora que você aprendeu, vamos praticar
o reconhecimento dos princípios de acordo com
os exemplos.
Pense nos seus dados bancários... Com relação a informações
contidas, por exemplo, no aplicativo de home bank do seu banco,
os únicos que poderiam ter acesso a essas informações seria você,
correto? Neste caso, qual o princípio que entra em ação?

CONFIDENCIALIDADE
Agora que você aprendeu, vamos praticar
o reconhecimento dos princípios de acordo com
os exemplos.
Imagine que ao acessar um site você clique em um link esperando
ser redirecionado para uma página específica, mas na verdade um
hacker, entre você e o site, desvia seu acesso para uma outra
página. Neste caso, qual o princípio que entra em ação?

INTEGRIDADE
Agora que você aprendeu, vamos praticar
o reconhecimento dos princípios de acordo com
os exemplos.
Imagine que você deseja verificar um pedido feito em um site
e-commerce e, ao tentar acessar a página que demonstra os seus
pedidos, você se depara com um erro no qual não é possível
visualizar as informações por erro de comunicação. Neste caso,
qual o princípio que entra em ação?

DISPONIBILIDADE
A segurança da informação vai além dos
3 Pilares/princípios
Atualmente, devido ao avanço das tecnologias da informação e
das ameaças e perigos, para garantir a proteção da informação, e
por que não dizer dos ativos de TI, é preciso implementar outros
princípios que servirão como pilares extras a proteção.

Neste contexto...
 A segurança da informação vai além dos
3 Pilares/princípios

• AUTENTICIDADE
• NÃO REPÚDIO
CONFIDENCIALIDA
INTEGRIDADE DISPONIBILIDADE
DE • AUDITABILIDADE
• IRRETRATABILIDADE
• PRIVACIDADE
• e muitos outros....
Pense na segurança da informação
como:
Um conjunto de ações automatizadas, ou não, processos, práticas,
normas, políticas, regras, mecanismos e tecnologias, métodos e
técnicas, comportamento e atitudes, que tem como objetivo
proteger e salvaguardar não só os ativos de TI, mas também todo
o valor que esse conjunto de ativos possui para o modelo de
negócio e toda a organização.
O que é
Segurança Cibernética?
A SEGURANÇA CIBERNÉTICA refere-se à proteção da
informação em diversos níveis e aspectos, contra os mais variados
tipos de ameaças que estão presentes no espaço cibernético. Ou
seja, na Internet. E segue os mesmos princípios da segurança da
informação, mas com o viés na proteção e salvaguarda dos ativos
de TI na rede mundial de computadores.
Qual a diferença entre
Segurança da Informação e Segurança Cibernética?
A SEGURANÇA DA INFORMAÇÃO, possui uma visão holística e
seu escopo de abrangência é maior e mais complexo. Isto porque
seu viés é proteger a informação e os ativos de TI como um todo,
independente do estado que se encontra.

Já a SEGURANÇA CIBERNÉTICA possui uma visão mais

centrada na proteção e salvaguarda da informação e dos ativos de
TI que se fazem presentes ou usam recursos da Internet.
Visão do todo!
Segurança da Informação e Segurança Cibernética?
GOVERNANÇA
DE TI

GOVERNANÇA
DA SEGURANÇA

SEGURANÇA DA
INFORMAÇÃO

SEGURANÇA
CIBERNÉTICA
Próxima Aula...
Vamos estudar os conceitos de Dados Pessoais e Proteção e
Privacidade de Dados.
Aula 2.3. Conceito: Dados Pessoais e
Privacidade de Dados
O que é
Dado(s) Pessoal(ais)?
De acordo com a LGPD – Lei Geral de Proteção de Dados
Pessoais, DADO(s) PESSOAL(ais) é qualquer informação que
permita identificar de forma direta ou indireta uma pessoa que
esteja viva, tais como: nome, RG, CPF, gênero, data e local de
nascimento, telefone, endereço, localização via GPS, retrato
fotográfico, prontuário de saúde, cartão bancário, renda, histórico
de pagamento, hábitos de consumo, preferência de lazer,
endereço IP, cookies e muitas outras informações.
O que é
Dado(s) Pessoal(ais) Sensível?
De acordo com a LGPD – Lei Geral de Proteção de Dados
Pessoais, DADO(s) PESSOAL(ais) Sensível são dados pessoais
que têm como principal característica expor a pessoa a
discriminação ou fragilidade. Como exemplo, citamos: origem
racial ou étnica, convicção religiosa, opinião política, saúde ou vida
sexual, características genéticas ou biométricas, filiação a
sindicatos ou a organizações de caráter religioso, filosófico ou
político e, por fim, dados/informações de menores de idade ou
incapacitados.
O que é
Proteção e Privacidade de Dados?
A PRIVACIDADE é considerado direito fundamental de qualquer
pessoa e seu conceito pode variar de acordo com região, cultura e
de pessoa para pessoa.

Ex. para algumas pessoas é inaceitável que outros tenham acesso

as suas informações pessoais, pois estarão invadindo a sua
privacidade. Enquanto podemos ter outras pessoas que
simplesmente não se importam em conceder o acesso.
O que é
Proteção e Privacidade de Dados?
Já por sua vez, a PROTEÇÃO pode ser vista como um
“guarda-chuva” que protege não só a privacidade, mas muitos
outros direitos, tais como: liberdade de expressão, liberdade de
transmissão, direito à saúde, não discriminação de qualquer tipo
etc.
O que é
Proteção e Privacidade de Dados?
Diante dos conceitos apresentados, percebe-se que privacidade e
a proteção de dados são termos bem semelhantes, mas que
possuem diferenças sutis e importantes.

Sendo assim...
O que é
Proteção e Privacidade de Dados?
Quando pensamos em PRIVACIDADE estamos em um contexto
em que as pessoas têm o direito de terem suas vidas íntima sem
que sejam expostas de forma arbitrária, podendo viver suas vidas
sem intervenções ilegais do governo ou empresas. Já no caso de
PROTEÇÃO, temos o foco que as pessoas não deixem de fornecer
seus dados, mas sim que saibam por onde estes dados estão
circulando e que sejam utilizados para atividades específicas e
que não prejudiquem direta ou indiretamente.
Próxima Aula...
Vamos estudar os conceitos de Política de Segurança da
Informação e Política de Segurança Cibernética.
Aula 2.4. Conceito: Política de Segurança da
Informação e Política de Segurança Cibernética
O que é
Política de Segurança da Informação (PSI)?
A PSI pode ser compreendida como um conjunto de instruções,
normas e regras previamente definidas, revisadas e aprovadas
que deverão ser seguidas por toda a organização.

Seu principal objetivo é o de garantir um boa gestão da segurança

da informação em um ambiente organizacional.
O que é
Política de Segurança da Informação (PSI)?
Toda PSI deverá:

(a) promover orientação da direção e apoio para a segurança da

informação de acordo com os requisitos do modelo de negócio;

(b) promover a conformidade da organização junto a leis e órgãos

reguladores/regulatórios;
O que é
Política de Segurança da Informação (PSI)?
Toda PSI deverá:

(c) orientar o uso correto dos ativos de TI junto a colaboradores,

parceiros comerciais, fornecedores e clientes;

(d) guiar/nortear as equipes de TI com relação às medidas

técnicas que deverão ser adotadas para garantir a proteção e
salvaguarda dos ativos de TI.
O que é
Política de Segurança da Informação (PSI)?
Neste contexto, uma PSI deverá ser um documento de fácil
entendimento, claro e objetivo, para que todos possam
compreender.

A sua criação deve ser de forma multidisciplinar, com base nas

necessidades e dificuldade que a organização possui com relação
a manter suas informações e ativos de TI seguros. Por este motivo
toda PSI será única e exclusiva.
O que é
Política de Segurança da Informação (PSI)?
Não muito diferente de uma PSI, a Política de Segurança
Cibernética possui praticamente os mesmos objetivos de uma
PSO. Porém, sua diferença está em sua aplicabilidade.

A Política de Segurança Cibernética possui o viés voltado para

normatizar e nortear o uso dos ativos de TI, incluindo os recursos
e servidos providos pela Internet, bem como a proteção e
salvaguarda dos ativos de TI no espaço cibernético.
Saiba que...
Ambas as políticas são mecanismos complexos que exigem
durante a sua construção a formação de uma equipe
multidisciplinar.

Sendo assim...
 Construir uma PSI ou PSC precisamos:
•Descobrir todas as informações
DEFINIR
necessárias a construção da PSI
ou PSC
•Objetivos, fatores críticos de
sucesso, normas,
procedimentos,
responsabilidades, sansões e
demais itens relacionados a
proteção e salvaguarda dos
ativos de TI
QUESTIONAR
•Procedimentos que deverão ser
aplicados para garantir a
proteção e salvaguarda dos
ativos de TI, com base em
frameworks, leis, normas,
regras de negócio e melhores
práticas
CRIAR
IMPLEMENTAR
•Significa revisar, aprovar,
divulgar, treinar, informar,
monitorar e gerenciar a política.
Além de aplicar processos de
melhoria contínua.
 Fundamentos de
Cybersecurity
Capítulo 3 - Fundamentos de Segurança da
Informação e Segurança Cibernética II
Cloud & Cybersecurity
Prof. Maximiliano de Carvalho Jacomo
Aula 3.1. Conceito: Ameaça, Vulnerabilidade, Risco e
Incidente de Segurança
O que é AMEAÇA?
Para a segurança da informação e segurança cibernética,
AMEAÇA é definida como um agente causador de um evento não
desejável que tem como objetivo causar algum potencial de dano
a um ou mais ativos de TI.

Nesse contexto, uma ameaça pode representar uma possibilidade

de perigo real a um ou mais ativos de TI e como consequência
causar um incidente!
O que é AMEAÇA?
É importante ressaltar que uma ameaça sempre terá um agente.
Ou seja, uma entidade que poderá iniciar a ocorrência de um
evento não desejável.

Essa entidade pode ser: (a) pessoa, (b) evento natural, (c) falha
tecnológica ou qualquer outro elemento que possa explorar uma
ou mais vulnerabilidades e como resultado provocar um incidente.
O que é VULNERABILIDADE?
Pode ser compreendido como um ponto fraco ou fraqueza
presente em um ou mais ativos de TI.

Como exemplo de vulnerabilidades, citamos: (a) falhas de

programação; (b) ausências de correções bugs; (c) configurações
erradas ou mal feitas; (d) programas ou sistemas desatualizados
ou com versões antigas; (e) programas piratas; (f) falta de
treinamento; dentre outros...
O que é RISCO?
Para a segurança da informação ou segurança cibernética, o risco
é o resultado decorrente das variáveis: AMEAÇAS vs.
PROBABILIDADE vs. IMPACTO.

Sendo também compreendido como a concretização de um

evento que pode ser classificado como um evento POSITIVO no
caso denominado de OPORTUNIDADE ou de um evento
NEGATIVO no caso denominado de RISCO.
O que é INCIDENTE?
Para a segurança da informação ou segurança cibernética, o
INCIDENTE é um EVENTO NEGATIVO NÃO DESEJÁVEL que
apresenta como resultado algum tipo de DANO, PROBLEMA ou
PERDA à segurança.
Compreendendo melhor...

VULNERABILIDADES INCIDENTE

AMEAÇAS RISCO
Com relação à
VULNERABILIDADE, AMEAÇA e RISCO...
A prioridade de ambas as seguranças (da informação e
cibernética) será de:

1. MITIGAR as VULNERABILIDADE;
2. INIBIR ou IMPEDIR as AMEAÇAS;
3. CONTROLAR e DIMINUIR os RISCOS;
4. IMPEDIR EVENTOS NÃO DESEJÁVEIS;
5. EVITAR ou TRATAR INCIDENTES.
Próxima Aula
Vamos conhecer os principais tipos de Ameaças Cibernéticas.
Aula 3.2. Principais tipos de Ameaças
Cibernéticas
Principais Ameaças Cibernéticas
Com relação aos principais tipos de ameaças cibernéticas, em um
ambiente de TI, seja este local ou em nuvem, teremos como
destaque:

• Ameaças tecnológicas;
• Ameaças Naturais;
• Ameaças Humanas (intencionais ou não intencionais).
Ameaças Tecnológicas
O primeiro ponto a saber é sobre o que são:

• Códigos Maliciosos, também conhecidos como malware, são

programas desenvolvidos para executar ações danosas e
atividades ilícitas (maliciosas) em um sistema computacional.
Podem ser utilizados como mecanismos intermediários para a
aplicação de golpes ou realização de ataques cibernéticos.
 Ameaças Tecnológicas
Na categoria de Códigos Maliciosos, destacam-se:

VÍRUS TROJAN RANSOMWARE BOT

BACKDOOR ZUMBIS
BOTNET
WORMS
Ameaças Tecnológicas
Nesta categoria, teremos:

SPYWARE KEYLOGGER SCREENLOGGER ADWARE

Lembre-se, seja qual for o tipo de código malicioso,

este sempre irá explorar uma ou mais
vulnerabilidades presente em um sistema
computacional.
ROOTKIT
Próxima Aula
Vamos conhecer os principais tipos de Golpes e Crimes
Cibernéticos.
Aula 3.3. Principais tipos de Golpes e
Crimes Cibernéticos
Quais são os principais tipos de
Golpes e Crimes Cibernéticos?
Com relação aos principais tipos de golpes e crimes cibernéticos,
destacamos:

• ENGENHARIA SOCIAL;
• SEQUESTRO DE DADOS;
• ATAQUES DE NEGAÇÃO DE SERVIÇO (DDoS ou DoS);
• INVASÃO POR MEIO DE VULNERABILIDADES;
• INVASÃO POR MEIO DE ATAQUES DE FORÇA BRUTA;
• EXPLORAÇÃO DE FALHAS FÍSICAS OU TECNOLÓGICAS.
Top 3
1º lugar: ENGENHARIA SOCIAL
Pode ser definida como a “ARTE” de enganar, persuadir ou
manipular pessoas, para que elas façam algo a mando de quem
está realizando a engenharia social ou forneçam algo de valor
para quem está realizando a engenharia social.
Existem diversas técnicas utilizadas para aplicar a engenharia
social, como exemplo: (a) envio de e-mails falsos, (b) solicitações
de acesso a links maliciosos, (c) enganação por meio de contato
telefônico etc.
Top 3
1º lugar: ENGENHARIA SOCIAL
Atualmente a engenharia social é considerada uma das atividades
mais realizadas por criminosos cibernéticos para aplicar um golpe
ou cometer um crime cibernético. Isto porque, explorar
vulnerabilidades no grupo de ativos de TI considerado o mais
frágil de qualquer organização, PESSOAS!
A engenharia social explorar diversos tipos de atributos que
qualquer ser humano possui, como por exemplo: (a) curiosidade,
(b) ganância, (c) solidariedade; (d) ausência de conhecimento;
dentre outros...
Top 3
2º lugar: SEQUESTRO DE DADOS
O sequestro de dados é um dos crimes cibernéticos que mais vêm
crescendo nos últimos anos e que “tira o sono” de vários
especialistas de segurança.
Neste tipo de crime, o criminoso cibernético utiliza um código
maliciosos – no caso um RANSOMWARE – para realizar a ação de
criptografar todos os dados, informações, sistemas e aplicativos
presentes em um sistema computacional e, assim que finalizado a
ação ilícita, o criminoso pede a vítima um valor de resgate que no
geral é cobrado em forma de criptomoeda.
Top 3
2º lugar: SEQUESTRO DE DADOS
Muitas das vezes a vítima paga o resgate, mas não tem de volta
os seus dados, informações, sistemas ou aplicativos. Isto porque,
na maioria dos casos, o criminoso NÃO POSSUI a chave que irá
reverter o processo de criptografia.
Por este motivo, muitos especialistas em segurança aconselham a
não pagar o resgate e sim realizar ações de prevenção contra esse
tipo de ameaça.
Top 3
3º lugar: ATAQUES DE NEGAÇÃO DE SERVIÇO
Neste tipo de crime cibernético a vitima sofre um ataque massivo
que tem como objetivo principal TORNAR INDISPONÍVEL os
sistemas de informação ou sistemas computacionais da vítima. Ou
seja, fazer com que a vítima (que em sua grande maioria são
empresas) não consiga realizar o seu modelo de negócio e assim
entregar sua proposta de valor para o mercado.
Top 3
3º lugar: ATAQUES DE NEGAÇÃO DE SERVIÇO
No geral esse tipo de ataque muita das vezes é motivado por:

• Sabotagem ao concorrente;
• Vingança;
• Ideologia Política;
• Terrorismo;
• Promoção pessoal do criminoso; dentre outros...
Próxima Aula
Vamos conhecer as principais Leis Brasileiras com relação a
golpes e crimes cibernéticos.
Aula 3.4. As Principais Leis Brasileiras com
relação a Golpes e Crimes Cibernéticos
O que é
Um Crime Cibernético?
Crimes Cibernéticos podem ser definidos como atividade ilícitas
realizadas por criminosos através do uso de dispositivos
computacionais e a internet, com o objetivo de causar algum tipo
de dano ou prejuízo a uma pessoa, sociedade ou empresa.
O que é
Um Crime Cibernético?
Como exemplo de crimes cibernéticos podemos citar: (a) fraudes;
(b) roubo ou furto de dados/informações; (c) ataques cibernéticos;
(d) invasão a dispositivos computacionais; (e) estelionato ou
falsidade ideológica; (f) engenharia social; (h) criação ou
distribuição de códigos maliciosos; (i) sequestro de dados; (j)
acesso não autorizado a sistemas, aplicativos, recursos, serviços
ou dispositivos computacionais; (l) invasão à privacidade; (m)
pirataria de software ou roubo de propriedade intelectual, dentre
outros...
Leis Brasileiras:
Marco Civil da Internet (Lei 12.965/14)
Principal objetivo é o de regulamentar e estabelecer os parâmetros
relacionados ao uso e fornecimento da Internet no Brasil por parte
de entidades públicas ou privadas. Seus principais pontos são:
a) Neutralidade da Rede – livre acesso aos usuários para qualquer
tipo de conteúdo; b) Liberdade de Expressão – garantia de que os
usuário poderão se expressar livremente na internet; c)
Privacidade – garantia de que os usuários terão privacidade com
relação aos seus dados e históricos de acessos realizados na
internet.
Leis Brasileiras:
Lei Carolina Dieckmann (Lei 12.737/12)
Principal objetivo é tipificar ações ilícitas e/ou crimes relacionados à
invasão a aparelhos eletrônicos e computacionais, incluindo os
crimes relacionados à liberdade individual, inviolabilidade de
segredos profissionais, cyberbullying, roubo, estelionato e calúnia
ou difamação.
No texto original as penas vão de 3 meses a 1 ano de detenção +
multa. Porém, com o projeto lei 4554/19 as penas passaram a ser
de 8 anos de detenção + multa, podendo ainda sofre um acréscimo
de 1/3 a 2/3 na pena conforme o grau do dano ou prejuízo causado.
Leis Brasileiras:
LGPD - Lei Geral de Proteção de Dados Pessoais
(Lei 13.709/18)
Principal objetivo é estabelecer a proteção e a privacidade no
tratamento de dados pessoais, para garantir o direito à liberdade,
privacidade e livre desenvolvimento dos cidadãos.
Considerada atualmente uma das leis mais importantes e principais
do Brasil, pois garante a qualquer pessoa física a proteção a
privacidade de seus dados e informações pessoais, não importando
a forma com que o tratamento dos dados é realizado (meio físico ou
meio digital).
Próxima Aula
Vamos começar o capítulo 4 – Frameworks e Melhores Práticas.
 Fundamentos de
Cybersecurity
Capítulo 4 - Frameworks e Melhores Práticas
Cloud & Cybersecurity
Prof. Maximiliano de Carvalho Jacomo
Aula 4.1. Frameworks e Melhores Práticas
O que são
Frameworks e Melhores Práticas?
Frameworks são conjuntos de metodologias (métodos, padrões e
técnicas) testados e aprovados por entidades ou organizações que
têm como principal objetivo disponibilizar as melhores práticas
para que uma organização alcance de forma eficiente o sucesso
com relação a proteção e salvaguarda de seus Ativos de TI.
O que são
Frameworks e Melhores Práticas?
Atualmente existem diversos tipo de frameworks para a área da
segurança da informação e segurança cibernética. Sendo alguns
deles dispostos no formato mais generalista visando atender a
qualquer tipo de empresa ou modelo de negócio e outros mais
específicos, destinados a segmentos específicos como: saúde,
finanças, educação etc.
Framework
ISO/IEC família 27000
A ISO 27000 é um conjunto de certificações de segurança da
informação e proteção de dados que pode ser utilizado por
empresas públicas ou privadas.

Seu principal objetivo é servir como base para a criação de um

Sistema de Gestão de Segurança da Informação (SGSI) que pode
ser aplicado em qualquer tipo de organização (pequeno, médio e
grande porte) e em qualquer modelo de negócio.
Framework
ISO/IEC família 27000
A ISO 27000 apresenta como princípios norteadores da segurança
da informação a confidencialidade, a integridade, a disponibilidade
e, por fim, a autenticidade.
A ISO 27000 é composta por 45 normas, sendo as principais:
• ISO 27001 – destinada a implementação de um SGSI;
• ISO 27002 – destinada a implementação de códigos de boas
práticas;
• ISO 27701 – destinada a adequação de segurança com
relação a GDPR.
Framework
NIST
O NIST (Instituto Nacional de Padrões e Tecnologia) é uma agência
governamental americana que tem como principal objetivo fornecer
padrões (práticas recomendadas) para organizações e agências
governamentais seguirem com relação à segurança da informação e
segurança cibernética.
Um dos principais padrões oferecidos pelo NIST é o NIST
Cibersecurity Framework (CSF) que trata-se de um conjunto de
diretrizes e práticas recomendadas e projetadas para auxiliar as
organizações a melhorar suas estratégias de segurança cibernética.
Framework
NIST
O NIST está pautado nos seguintes princípios:

1. IDENTIFICAÇÃO;
2. PROTEÇÃO;
3. DETECÇÃO;
4. RESPOSTA;
5. RECUPERAÇÃO.
Framework
PCI-SSC
Trata-se de um fórum aberto global que tem o objetivo de manter
o desenvolvimento contínuo, aprimoramento, armazenamento,
disseminação e implementação de padrões de segurança para a
proteção de dados de instituições financeiras e pagadoras.
No geral este tipo de framework é utilizado para garantir uma
padronização na proteção do uso de cartões de créditos e
pagamentos eletrônicos, além de avaliar as condições de
segurança para estabelecer um processo minimamente seguro
para que as transações acontecem de forma segura.
Framework
ISO 22301
Trata-se de uma norma internacional para a gestão da
continuidade dos negócios, estabelecendo diretrizes e práticas que
asseguram que o modelo de negócio irá continuar suas atividades
após sofrer um grande incidente, seja relacionado a operação,
administração, segurança da informação, segurança cibernética ou
a qualquer outro tipo de incidente ocasionado por qualquer tipo de
ameaça (natural, tecnológica ou humana).
Framework
ISO 22301
A preocupação com a continuidade do negócio por parte dos
gestores e administradores de empresas aumentou,
principalmente por conta dos ataques terroristas as torres gêmeas
em 11 de setembro de 2001 em Nova York – EUA.
Neste contexto a ISO 22301 auxilia as organização no
estabelecimento de requisitos e melhores práticas para construir
negócios mais robustos e resilientes, permitindo que elas
enfrentem incidentes de magnitudes perturbadoras.
 Fundamentos de
Cybersecurity
Capítulo 5 - Carreira e Mercado de Trabalho
Cloud & Cybersecurity
Prof. Maximiliano de Carvalho Jacomo
Aula 5.1. Empregabilidade e Mercado de Trabalho
EMPREGABILIDADE
& Mercado de Trabalho
EMPREGABILIDADE
& Mercado de Trabalho
De acordo com a Associação das Empresas de Tecnologia da
Informação e Comunicação e de Tecnologias Digitais (Brasscom)
até 2025 serão

+ 600 mil novas vagas na área de TI

EMPREGABILIDADE
& Mercado de Trabalho
Em média, o Brasil capacita 46 mil pessoas por ano para trabalhar
na área de TI em curso superiores de graduação e tecnólogo e
técnicos.

Só em 2021, de acordo com o site empregos.com.br, o setor de TI

disparou e foi uma das três áreas que mais contratou!!!

+ 100 mil vagas na área de TI em 2021

EMPREGABILIDADE
& Mercado de Trabalho
As mulheres representam hoje 35% do mercado de TI.
As áreas da TI que mais contratam, segundo o IDC Brasil, até
primeiro semestre de 2022, são:

• 1ª lugar: Segurança da Informação;

• 2º lugar: Desenvolvedor Fullstack;
• 3º lugar: Arquiteto de Soluções;
• 4º lugar: Engenheiro de Dados.
EMPREGABILIDADE
& Mercado de Trabalho
Média salarial nas áreas da TI, com maior número de vagas,
segundo o IDC Brasil, até primeiro semestre de 2022, são:

MÉDIA SALÁRIO
PROFISSÃO
Junior Master Sênior

Analista de Segurança da Informação/Cibernética R$:3k R$:7k R$:15k

Desenvolvedor FullStack R$:3K R$:6k R$:12k

Arquiteto de Soluções R$:2,5k R$:5k R$:10k

Engenheiro de Dados R$:2,5k R$:5k R$:10k

EMPREGABILIDADE
& Mercado de Trabalho
Pelo 3º ANO CONSECUTIVO, segundo o Gartner, a área da
Segurança da Informação e Segurança Cibernética ocupa o 1º
LUGAR no ranking de profissões da TI com maior procura!!!
Próxima Aula
Vamos conhecer o perfil profissional de um analista de segurança
da informação ou segurança cibernética...
Aula 5.2. Perfil Profissional – Competências
e Habilidades
Qual é o
Perfil Profissional de um profissional da área
da Segurança da Informação/Segurança
Cibernética?

ORNITORRINCO
Qual é o
Perfil Profissional de um profissional da área
da Segurança da Informação/Segurança
Cibernética?
No geral, um profissional para atuar na área da segurança da
informação ou segurança cibernética deve ter como perfil
profissional dois tipos de competências:

• Competências Técnicas;
• Competências Comportamentais.
Quais são as
Competências Técnicas?
Dentro do universo de competências técnicas, destacam-se:
capacidade de desenvolver raciocino lógico, conhecimento em
redes de computadores, conhecimento em programação,
conhecimento em banco de dados, capacidade de resolver
problemas, capacidade de análise e aprendizado, capacidade de
visão holística, conhecimento em infraestrutura de TI,
conhecimento em sistemas operacionais, conhecimento de gestão
de risco e compliance, conhecimento em proteção e privacidade
de dados, dentre outras...
Quais são as
Competências Comportamentais?
Dentro do universo de competências comportamentais,
destacam-se: capacidade de liderança, capacidade de trabalho em
equipe, ética e responsabilidade, capacidade de gestão do tempo,
inovação e empreendedorismo, visão estratégica, disciplina,
credibilidade, controle emocional, criatividade, marketing pessoal,
obstinado, iniciativa, autoconfiança, comunicação, flexibilidade,
adaptabilidade, autodesenvolvimento, colaborativo, networking,
dentre outras...
Próxima Aula
Vamos falar sobre certificações e especializações na área da
Segurança da Informação e Segurança Cibernética.
Aula 5.3. Certificações e Especializações
Por onde começar minha
Carreira na área da Segurança?
Bem, o primeiro passo é CRIAR UMA BASE SÓLIDA. Isto
significa buscar uma formação ACADÊMICA e depois buscar
ESPECIALIZAÇÕES específicas da área!

#ficadica:
Ter conhecimento na língua INGLESA é fundamental!!!
E as Certificações na área da Segurança
são importantes?
Sim!!!
Hoje as empresas buscam profissionais certificados. Atualmente
existem diversas entidades especializadas na certificação de
profissionais da área de segurança.
Próxima Aula
Vamos falar sobre blue team (time azul) na segurança.
Aula 5.4. Blue Team – Time Azul
O que é
Blue Team na área da Segurança?
Bem, blue team ou equipe azul são equipes formadas por
profissionais da área da segurança da informação ou segurança
cibernética que atuam em conjunto para garantir a proteção dos
ativos de TI dentro de uma organização.

São profissionais especializados em atuar e criar estratégias de

defesa para fortalecer as medidas de proteção e salvaguarda dos
ativos de TI.
O que é
Blue Team na área da Segurança?
Com relação às responsabilidades do blue team, destacam-se:
monitoramento e gestão das redes, sistemas, recursos e serviços
de TI e de segurança; detecção e erradicação de ameaças e
ataques cibernéticos; gerenciamento de vulnerabilidades; análise
de eventos e informações de segurança; implementação de
melhorias de segurança; criação de estratégias de segurança etc.
O que é
Blue Team na área da Segurança?
No geral, atuam dentro do SOC – Security Network Center ou
Centro de Operações de Segurança, e o grande benefício de um
blue team é o de um sistema de segurança sempre atualizado e
preparado para enfrentar as diversas ameaças cibernéticas.
Próxima Aula
Vamos falar sobre red team (time vermelho) na segurança.
Aula 5.5. Red Team – Time Vermelho
O que é
Red Team na área da Segurança?
Bem, red team ou equipe vermelha são equipes formadas por
profissionais da área da segurança da informação ou segurança
cibernética que atuam como ethical hackers realizando diversas
ações similares a um criminoso cibernético, com o propósito de
descobrir falhas de segurança e testar/verificar os mecanismos de
proteção implementados pelos blue team.
O que é
Red Team na área da Segurança?
O red team tem como principal objetivo realizar ataques de
cibersegurança nas medidas de proteção, utilizando as mesmas
técnicas que um criminoso cibernético utilizaria para tentar ganhar
acesso e/ou roubar dados e informações.
O que é
Red Team na área da Segurança?
No geral, o red team utiliza diversas técnicas, dos quais
destacam-se: o uso de engenharia social, o uso de códigos
maliciosos para tentativa de ganho de acesso, técnicas de ataques
de força bruta, técnicas de negação de serviços, dentre outras...
O que é
Red Team na área da Segurança?
Já com relação a suas atividades, podemos citar como uma das
principais a realização de um teste de intrusão ou pentester que
reúne diversos métodos e técnicas que visam explorar
vulnerabilidades, ganhar acesso ao ambiente de TI e, por fim,
coletar o máximo de dados possível.
Qual é o
FUTURO na área da Segurança?
Muito Obrigado!
https://www.linkedin.com/in/maxjacomo/
O conhecimento é transformador, a cada aprendizado um novo
horizonte Surge!