Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoria de T.I.
NA PRÁTICA
Treinamento Gratuito
A C A D E M I A D E F O R E N S E D I G I TA L
SÓ PARA QUEM
FICAR ATÉ O FINAL
1. Conteúdo denso e de qualidade garantida;
2. Sorteios de bolsas de estudos em diversos treinamentos da AFD (aproximadamente 20 mil reais em bolsas)
A C A D E M I A D E F O R E N S E D I G I TA L
QUEM É A DIRETORIA
DA ACADEMIA DE FORENSE DIGITAL
A C A D E M I A D E F O R E N S E D I G I TA L
NOSSO TIME
DE PROFESSORES
• Marcus Fábio é Perito Criminal no Instituto de Criminalística do Estado do Paraná
• Dr. Pedro Mourão é Promotor de Justiça no Ministério Público do Rio de Janeiro
• Profa. Ana Paula Sanches é Gestora no Ministério Público do Estado de São Paulo
• Daniel Avilla é Agente na Polícia Civil do Estado de São Paulo
• Daniel Nering é Coordenador de Inteligência no Banco Itaú-Unibanco
• Marcelo Nagy, Renan Cavalheiro, Leandro Morales e Adnan Castro são Diretores na STWBrasil
• Caique Barqueta é analista de Malware na ISH Tecnologia
• Marcos Lamas é Escrevente no 9ª Tabelionato de Notas de Porto Alegre
• Wellington Rodrigues é Diretor na UTI dos Dados
A C A D E M I A D E F O R E N S E D I G I TA L
1. Quem já teve que mudar de área sabe como é difícil, é como se você estivesse iniciando
uma carreira do zero;
2. Dificuldade em começar uma carreira;
3. Ganhos baixos;
4. Sem contar que a área de Forense e Segurança é fechada e elitizada.
A C A D E M I A D E F O R E N S E D I G I TA L
MAS TEM UM
CAMINHO
“A Academia de Forense Digital (AFD) nasceu no ano de 2016, com a missão de apoiar o
desenvolvimento e a boa condução da Justiça em nosso país, através da educação e do
compartilhamento de conhecimentos na área de Segurança da Informação, Resposta a
Incidentes e Forense Digital e em conjunto, possibilitar o ingresso e desenvolvimento das
carreiras de profissionais da área e estudantes.”
A C A D E M I A D E F O R E N S E D I G I TA L
APRESENTAÇÃO
DO TREINAMENTO
A C A D E M I A D E F O R E N S E D I G I TA L
APRESENTAÇÃO
DO TREINAMENTO
✓ Serão apresentadas as principais guias para quem quer atuar como auditor de t.i, discutindo
sobre o dia a dia, mercado de trabalho e dando luz ao trajeto de estudantes e profissionais que
desejam entrar nesta tão renomada profissão.
✓ Objetivos pontuais
▪ Compreender o que é Auditoria de T.I.
▪ Compreender conceitos básicos de segurança da informação e LGPD
▪ Aprender como fazer um mapeamento de processos básico na prática
INTRODUÇÃO
F O R E N S E D I G I TA L
À AUDITORIA DE T.I.
ada
Auditoria de TI é o processo de analisar a área de forma detalhista, buscando entender como são realizadas
as tarefas a ela delegadas. Além disso, a auditoria de TI inclui também a análise da segurança da informação
de uma organização.
Existem dois tipos de auditoria a externa e a interna, comentaremos abaixo.
A auditoria interna é realizada pela própria empresa geralmente com objetivo de analisar os sistemas
internos, procedimento, normas e politicas.
A auditoria externa por sua vez é realizada por empresas externas que verifica todos os recursos
tecnológicos, bem como as práticas desenvolvidas com eles. Esse tipo de auditoria pode ser utilizada
também para validar as informação coletadas por uma auditoria interna.
MERCADO DE TRABALHO
F O R E N S E D I G I TA L
DO AUDITOR DE T.I.
Esse profissional pode atuar como Auditor de T.I, Auditor de LGPD, Implantação de LGPD, Gestão de Segurança
da Informação, DPO, etc.
PRINCIPAIS CERTIFICAÇÕES
F O R E N S E D I G I TA L
DA AUDITORIA DE T.I.
Atualmente as certificações que mais se destacam no mercado são as emitidas pela instituição PECB, no
total são 4 certificações, listadas abaixo.
F O R E N S E D I G I TA L
O AUDITOR DE T.I.
No cargo de Auditor de TI se inicia ganhando R$ 5.473,00 de salário e pode vir a ganhar até R$ 10.353,00. A
média salarial para Auditor de TI no Brasil é de R$ 7.876,00 os valores em questão são baseados em
pesquisas realizadas por empresas de RH que anunciam vagas online.
F O R E N S E D I G I TA L
À SEGURANÇA DA INFORMAÇÃO
Conceito: Segurança da informação se refere à proteção de informações e sistemas de informação
contra acessos, uso, divulgação, ruptura, modificação ou destruição não autorizados, visando
garantir a confidencialidade, integridade e disponibilidade da informação. – Tradução livre -
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-12r1.pdf
PILARES
F O R E N S E D I G I TA L
DA SEGURANÇA DA INFORMAÇÃO
Confidencialidade: princípio que visa garantir que as informações estarão disponíveis somente
para indivíduos autorizados, portanto que não vá ser acessada, divulgada ou obtida a quaisquer
indivíduos sem autorização
INCIDENTES DE
SEGURANÇA
O termo “Incidente” se refere a um evento adverso
em um sistema de informação ou rede ou uma
ameaça desse evento. (CyberSecurity Operations
Handbook, pg 88)
Um incidente sempre irá causar distúrbios a um dos
3 pilares citados da segurança da informação, a
saber: Confidencialidade, Integridade e
Disponibilidade
O incidente pode ser ocasionado por uma ação de
um autor (“malfeitor”)
O QUE SÃO
F O R E N S E D I G I TA L
POLÍTICAS DE
SEGURANÇA DA
INFORMAÇÃO
Prover orientação da Direção e apoio para a segurança da
informação de acordo com os requisitos do negócio e com as
leis e regulamentos relevantes (ABNT ISO/IEC 27002(2013,
p.02)
F O R E N S E D I G I TA L
Basicamente qualquer evento que cause
perturbações ao tripé da segurança da
informação.
TIPOS Exemplos:
DE INCIDENTES • Malwares
• Invasão
• Paralização de serviços
• Uso inadequado
• Espionagem
F O R E N S E D I G I TA L
O QUE SÃO
VULNERABILIDADES
“
Vulnerabilidade é uma falha ou fraqueza
que pode permitir danos a um sistema
de informação, quando explorada por
uma pessoa mal intencionada.
(CyberSecurity Operations Handbook, pg 120)
F O R E N S E D I G I TA L
EXEMPLOS DE
VULNERABILIDADES
Bugs de desenvolvimento
FRAUDES
F O R E N S E D I G I TA L
INTERNAS
Geralmente profissionais de
Segurança não consideram as
fraudes internas como incidentes
de Segurança
Fonte: http://www.anpad.org.br/admin/pdf/2013_EnANPAD_CON2118.pdf
CONHECENDO O
F O R E N S E D I G I TA L
ATACANTE
O PENTÁGONO DA
FRAUDE E O CIBERCRIME
Modelo que possibilita
compreender o que leva
um indivíduo a realização
de um ato fraudulento ou
criminoso
O IPRC recentemente lançou
mais um livro:
https://materiais.iprcbrasil.com.b
r/doce-ilusao-
06ed984b94a81103535b
Fonte: https://s2consultoria.com.br/wp-content/uploads/2020/06/Pent%C3%A1gono-da-Fraude_Infogr%C3%A1fico.pdf
INTRODUÇÃO
F O R E N S E D I G I TA L
À ABNT IEC/ISO 27001
A norma ISO 27001 é o padrão e a referência
Internacional para a gestão da Segurança da
informação.
Fonte: https://www.stwbrasil.com/blog/lei-geral-de-protecao-de-dados-passo-a-passo/
ANÁLISE DE MATURIDADE TECNOLÓGICA
F O R E N S E D I G I TA L
O processo de levantamento de maturidade tecnológica é a etapa
que nos norteia quanto a adoção de tecnologia dentro do cliente.
F O R E N S E D I G I TA L
Abaixo exemplo de uma planilha baseada na ISO27001/ISO27002,
utilizada para documentar o levantamento de maturidade de uma
organização.
APLICAÇÃO DA ABNT IEC/ISO 27001
F O R E N S E D I G I TA L
A implementação da ISO 27001 tem como principio a adoção dos requisitos,
políticas, processos, procedimentos, controles e práticas descritas e requeridas
pela norma, de maneira personalizada para cada empresa, abaixo os principais
pontos que devem ser abordados.
F O R E N S E D I G I TA L
• Definir como será mensurado o nível de eficácia dos controles.
• Implementar todos os controles e procedimentos aplicáveis de acordo com a
declaração de aplicabilidade.
• Implementar programas de treinamentos e conscientização.
• Executar todas as atividades diárias definidas pela documentação do Sistema
de Gestão de Segurança da Informação.
• Monitorar e avaliar o Sistema de Gestão de Segurança da Informação.
• Realizar auditoria interna e análise crítica.
• Implementar ações corretivas caso seja necessário.
INTRODUÇÃO AO MAPEAMENTO DE
F O R E N S E D I G I TA L
DADOS
O que é mapeamento de dados?
O mapeamento de dados, também conhecido como data mapping ou inventário
de dados, é a análise do percurso do dado desde o momento em que é coletado
pela empresa até o seu descarte.
F O R E N S E D I G I TA L
DADOS
Agora que entendemos o conceito de mapeamento de dados podemos pensar
em como aplicar isso na pratica, a forma mais simples seria criar uma planilha
detalhando o caminho dos dados.
Se o nosso objetivo for analisar dados com foco em LGPD (Lei Geral de
proteção de dados), podemos criar uma planilha que responda os
questionamentos a seguir.
MAPEAMENTO DE DADOS NA PRATICA
F O R E N S E D I G I TA L
Quais Setores serão mapeados?
P. ex. RH
Quem são os responsáveis por estes setores?
P. ex. Maria.
Quais dados são tratados?
P. ex. CPF, RH
Qual o fluxo de tratamento dos dados? Coleta, tratamento e descarte.
Onde os dados ficam armazenados?
Com quem os dados são compartilhados?
Como estudo de caso criem uma planilha que reflita os questionamentos
descritos acima.
Análise da Estrutura da Empresa para
criação de políticas em compliance
F O R E N S E D I G I TA L
com a LGPD
Após o levantamento de maturidade tecnológica e do mapeamento de dados já
saberemos o que devemos proteger, o próximo passo é criar politicas e
procedimentos para isso.
F O R E N S E D I G I TA L
com a LGPD e ISO27001
• Todas politicas precisam refletir a missão, visão e valores da empresa;
• As politicas precisam ser estruturadas contendo, escopo, objetivo, definições,
referencias e versionamento;
• Pensando em LGPD em toda as politicas a proteção de dados pessoais deve
ser o foco principal;
• Toda politica precisa ser revisadas periodicamente;
• Toda politica deve ser comunicada sobre sua existência;
• Planejar e realizar reuniões e treinamentos;
• Toda politica deve ter um proprietário ou seja alguém responsável.
Revisão do novo cenário de
maturidade tecnológica após a
F O R E N S E D I G I TA L
implantação do projeto
E por fim agora que temos as boas praticas de segurança implementada na
empresa (cliente), é recomendados que seja feito um novo levantamento de
maturidade para demostrar a evolução da segurança da informação.
Novamente como boa pratica pode ser utilizado os pontos da ISO 27001 como
base para esse relatório final.
Prova Teórica e Prática com base em
F O R E N S E D I G I TA L
Estudo de Caso proposto
A C A D E M I A D E F O R E N S E D I G I TA L
✓ Principais conceitos
MISSÃO CUMPRIDA! ✓
✓
Metodologias
Mercado de Trabalho
✓ Procedimentos Práticos
GOSTOU DESSE
CONTEÚDO GRATUITO?
A C A D E M I A D E F O R E N S E D I G I TA L
DEPOIMENTOS ESPONTÂNEOS!
A C A D E M I A D E F O R E N S E D I G I TA L
PRINCIPAIS DÚVIDAS
✓ O treinamento Auditor de T.I. na Prática ficará gravado? Sim!!!!
✓ O combo é gravado ou ao vivo? Todos os nossos alunos recebem acesso a um ano na
plataforma, podendo assistir tanto ao conteúdo gravado como participar das turmas ao vivo que
eventualmente são realizadas
✓ Como obtenho acesso à gravação, ao certificado, slides e aos demais arquivos
demonstrados na aula? Basta acessar a plataforma EAD!
A C A D E M I A D E F O R E N S E D I G I TA L
SORTEIOS
✓ 10 combos Auditor de T.I. somente para
quem concluiu o questionário teórico na
plataforma.