View
4
Download
0
Embed Size (px)
Citation preview
União Latino-americana de Tecnologia
__________________________________________
Nível do Curso: Curso de Extensão
Curso: Segurança da Informação
Disciplina: Segurança de Infraestrutura de Redes
Professor: Tania Costacurta
Titulação: Graduada em Processamento de Dados,
MBA em Empreendedorismo Tecnológico e
MBA em Gestão de Projetos
União Latino-americana de Tecnologia
__________________________________________
APRESENTAÇÃO
A segurança da rede é a principal prioridade para uma organização. As ameaças
internas e externas podem trazer grandes prejuízos financeiros, perda de credibilidade
e reputação, vazamento de informação, indisponibilidade de serviços e sistemas,
impossibilitar a inovação no negócio, entre muitos outros.
O módulo de Segurança em Infraestrutura de Redes visa desenvolver profissionais que
auxiliem as organizações a reduzir e corrigir os riscos neste ambiente.
EMENTA
Este módulo tem por objetivo formar um profissional de Segurança da Informação nos
conceitos técnicos e de gestão do ambiente de redes.
Os principais aspectos de Segurança de Redes serão apresentados de forma objetiva,
visando que o aluno busque se aprofundar nos conceitos e solicite o apoio do professor
para se autodesenvolver.
Cabe ressaltar que o desenvolvimento de um profissional depende também do seu
esforço e autodesenvolvimento.
BIBLIOGRAFIA GERAL
Network Security Bible, Eric Cole – Second Edition
Certified Information Systems Security Professional, Study Guide, 3rd Edition
http://gocsi.com/
União Latino-americana de Tecnologia
__________________________________________
AULA 1: BLINDAGEM DE REDES
OBJETIVOS DA AULA:
Esta aula tem como objetivo principal realizar uma análise do panorama atual
de Segurança da Informação, tanto com relação ao crescimento das ameaças e
riscos de Segurança como da mudança de abordagem da área de Segurança da
Informação.
DESENVOLVIMENTO:
AMEAÇAS – VELOCIDADE DE CRESCIMENTO
Esta aula apresenta o crescimento das ameaças relacionadas ao ambiente de rede e
como estas afetam uma organização e a Segurança da Informação.
O profissional da área de Segurança da Informação deve conduzir seu trabalho
levando em consideração estes pontos e atualizando-se constantemente com relação a
estes aspectos.
EVOLUÇÃO DA ÁREA DE SEGURANÇA
A área de Segurança da Informação, apesar de recente nas organizações, está
passando por uma mudança de abordagem, ou seja, está em processo de evolução.
A aula apresenta de que forma a área de Segurança da Informação está evoluindo e
como um profissional de sucesso deve se posicionar com relação ao que é esperado
pelas organizações.
União Latino-americana de Tecnologia
__________________________________________
FORMAS DE OBTER SEGURANÇA NAS ORGANIZAÇÕES
Os pilares de Segurança da Informação nos ambiente corporativos são Pessoas,
Processos e Ferramentas.
É importante ressaltar que os três pilares são interdependente e que sem um equilíbrio
entre eles é muito difícil implementar um ambiente seguro.
LISTA DE EXERCÍCIOS
1. Como um profissional de Segurança da Informação deve se posicionar frente ao
desafio do crescimento constante e acelerado das ameaças digitais?
2. Quais os principais benefícios da evolução da área de Segurança da Informação
nas organizações?
3. Qual a sua opinião com relação a importância das pessoas, processos e
ferramentas para Segurança da Informação?
4. Qual o futuro da Segurança da Informação nas organizações?
BIBLIOGRAFIA
Como complemento do conteúdo indico a leitura dos conteúdos disponíveis na
internet:
http://computerworld.uol.com.br/seguranca/2011/02/08/conheca-as-maiores-
ameacas-a-seguranca-da-informacao-de-2011/
http://www.watchguard.com/docs/whitepaper/wg_top10-summary_wp_pt.pdf
http://searchsecurity.techtarget.com/resources/Information-Security-Threats
http://www.sans.edu/research/security-laboratory/article/security-predict2011
União Latino-americana de Tecnologia
__________________________________________
AULA 2 E 3: MELHORES PRÁTICAS
OBJETIVOS DA AULA:
Esta aula visa apresentar e revisar ações indicadas como melhores práticas para
reduzir os riscos e ameaças existentes no ambiente de rede. Este conceito é
aplicado tanto para configuração do ambiente, como para procedimentos,
controles e ferramentas.
DESENVOLVIMENTO:
MELHORES PRÁTICAS
O conteúdo das aulas é uma consolidação de práticas indicadas para implementação
de conceitos de segurança no ambiente de redes.
A aula contempla questões básicas até avançadas que vão desde uma simples revisão
de contas de usuários e serviços que estão ativos, desenvolvimento e atualização do
diagrama de rede, ativação e revisão de log, aplicação de patches, até a
implementação de Firewall, IDS e IPS, análise de vulnerabilidades, gerenciamento de
riscos e monitoramento do ambiente.
LISTA DE EXERCÍCIOS
1. Qual a importância e aplicabilidade dos conceitos apresentados para um
profissional de Segurança da Informação?
2. Quais conceitos você já utiliza em sua rotina de trabalho?
União Latino-americana de Tecnologia
__________________________________________
3. Qual a sua opinião com relação a melhores práticas?
4. Dentre os conceitos apresentados qual ou quais você considera mais difícil de
implementar ou defender em uma organização?
BIBLIOGRAFIA
http://www.faustiniconsulting.com/artigo01.htm
http://eval.symantec.com/mktginfo/enterprise/other_resources/b-
best_practices_for_managing_information_security-february_2010_OR_2876547.en-
us.pdf
http://www.businessofgovernment.org/report/best-practices-guide-information-
security
União Latino-americana de Tecnologia
__________________________________________
AULA 4: RISK MANAGEMENT
OBJETIVOS DA AULA:
Esta aula tem objetivo de revisar e reforçar as definições teóricas e prática de
como um gerenciamento de risco deve ser realizado em um ambiente
corporativo.
DESENVOLVIMENTO:
GERENCIAMENTO DE RISCOS
Durante esta apresentará os conceitos de gerenciamento de riscos, suas metodologias,
etapas e resultados e principalmente como um profissional da área de Segurança da
Informação deve proceder para obter sucesso e explorar os benefícios desta
ferramenta.
CONTROLES E OBJETIVOS DE CONTROLE
Durante esta aula apresentamos o conceito de controle e a diferença entre um
controle e uma atividade.
Baseados na ISO IEC 27001 discutimos como é possível identificar controles para cada
objetivo existente, baseado no risco existente e na necessidade de adaptação do
controle para cada organização e para cada ambiente.
União Latino-americana de Tecnologia
__________________________________________
LISTA DE EXERCÍCIOS
1. Como a avaliação de risco auxilia a obtenção de um patamar avançado de
Segurança da Informação?
2. Quais os benefícios de se implementar uma metodologia de Gerenciamento de
Riscos?
3. Qual a importância dos controles para a Segurança da Informação?
4. Como um identificar o melhor controle para uma organização?
BIBLIOGRAFIA
ISO IEC 27001
http://informatizado.com.br/2011/12/artigo-gestao-de-riscos-em-seguranca-da-
informacao/
http://www.theirm.org/publications/documents/rm_standard_portugais_15_11_04.pdf
União Latino-americana de Tecnologia
__________________________________________
AULA 5 e 6: ANÁLISE DE VULNERABILIDADE
OBJETIVOS DA AULA:
O objetivo desta aula é apresentar a parte conceitual da análise de
vulnerabilidade, seus benéficos e resultados e apresentar sugestão de
ferramentas para prática deste conceito.
DESENVOLVIMENTO:
ANÁLISE DE VULNERABILIDADE
A aula apresenta o conceito de análise de vulnerabilidade, sua aplicabilidade e
importância para gestão da Segurança da Informação.
Os principais benefícios de utilizar esta metodologia e como os resultados obtidos
devem ser endereçados dentro da organização.
União Latino-americana de Tecnologia
__________________________________________
LISTA DE EXERCÍCIOS
1. Qual/quais as principais diferenças entre gestão de risco e análise de
vulnerabilidade?
2. O que são objetivos de negócio e qual a sua importância para a análise de
vulnerabilidades?
3. Quando a análise de vulnerabilidade é uma aliada à gestão de Segurança da
Informação?
4. Qual é o principal desafio de um profissional da área de Segurança da
Informação com relação à análise de vulnerabilidade?
5. Quais ações corretivas devem ser tomadas com base em uma análise de
vulnerabilidade?
6. Com base na sua experiência quais são os benefícios e malefícios de utilizar
ferramentas para análise de vulnerabilidades?
7. Realize a instalação das ferramentas sugeridas OpenVas, SCM e WSUS e relate
a sua percepção de utilização e benefício de cada uma delas.
BIBLIOGRAFIA
http://reports.informationweek.com/abstract/15/9009/Risk-Management/a-guide-to-
network-vulnerability-management.html