Catálogo de Cursos da Antebellum

1

Catlogo de Treinamentos PCI-DSS - SEGURANA DA INFORMAO - FORENSE DIGITAL - GRC - CLOUD COMPUTING

2

Antebellum Capacitao Profissional

SOBRE A ANTEBELLUM

Criada em 1997 com a finalidade de prestar servios e treinamentos em Tecnologia da Informaa o, a

Antebellum dedica-se exclusivamente a treinamentos com temas relacionados a Segurana da

Informaa o.

Os cursos da Antebellum nasceram da observaa o de um grupo de instrutores e professores da a rea de

Tecnologia da Informaa o e Segurana da Informaa o, sobre as mudanas nos cena rios nacional e

internacional e as dificuldades encontradas pelos profissionais dessas a reas para na contrataa o de

treinamentos que se encaixassem em suas agendas, oramentos e que ale m de apresentarem seu

conteu do de forma aprofundada e objetiva, refletissem essa qualidade no material do aluno,

transformando-o em uma fonte de refere ncias futuras e apoio ao estudo para certificao es.

Sobre a Antebellum

CARACTERSTICAS DOS TREINAMENTOS

Durante anos levantamos junto a nossos alunos os pontos mais positivos em cada treinamento e as

dificuldades encontradas no aprendizado. Desse estudo nasceu um projeto que contempla soluo es

objetivas para as principais reivindicao es e problemas encontrados por alunos e empresas, destacan-

do-se os seguintes fatores:

Foco na excele ncia na criaa o de conteu do;

Programa de capacitaa o de instrutores;

Treinamentos modulares com imersa o de 1 a 3 dias em temas espec ficos;

Investimento cuidadosamente pensado que seja acess vel para empresas e profissionais indepen-

dentes;

Atendimento a diversas regio es do Brasil, atrave s de sua rede de parceiros criteriosamente sele-

cionados;

Temas atuais com cursos preparato rios para certificao es de grandes organismos internacionais.

Porque antes de tudo mais, preparar-se o segredo do sucesso.

Henry Ford

3

Treinamentos PCI Council

DEPOIMENTO

Temos o prazer de anunciar

nossa primeira parceria

internacional de treinamento e

estamos muito satisfeitos em

associar-nos Antebellum, uma

organizao com conhecimento

profundo dos padres da PCI

A educao um elemento

imprescindvel na segurana de

pagamentos, e o Conselho da PCI

est comprometido com a

expanso de oportunidades de

treinamento da PCI globalmente

Bob Russo,

General Manager, PCI SSC

A Antebellum tem a filosofia de associar-se a empresas no exterior para trazer os melhores treinamentos

em Tecnologia da Informaa o e Segurana da Informaa o para a Ame rica Latina.

A Antebellum foi a u nica empresa no mundo a receber a autorizaa o para ministrar os treinamentos

oficiais do PCI Council

October 02, 2012 10:15 AM Eastern Daylight Time

PCI Security Standards Council anuncia disponibilidade de

treinamento em portugue s no Brasil. Nova organizaa o so cia

brasileira oferecera treinamento de alta qualidade em PCI com

instrutor na l ngua local

O PCI Security Standards Council se associara a Antebellum, uma

empresa brasileira l der em treinamento em TI, para oferecer

cursos orientados por instrutores para o programa de Internal

Security Assessor (ISA) e classe de Conscientizaa o de PCI. Todos

os materiais e discusso es na sala de aula sera o fornecidos em

portugue s.

Fonte: http://www.businesswire.com/news/home/20121002006183/pt

4

OBJETIVOS DO CURSO

Capacitar os alunos a implementar os controles necessrios para atender aos requisitos do PCI DSS;

Facilitar a interao

entre os colaboradores da empresa e os QSAs.

Este curso preparatrio

para a certificao PCI Professional, do PCI Council

A prova de certificao

PCI Professional deve ser obtida diretamente no PCI Council.

Da experie ncia da Antebellum em ministrar os treinamentos oficiais de certi-

ficaa o ISA (Internal Security Assessor) e da constataa o da necessidade de

um treinamento menos focado em auditoria e mais focado na implementaa o

dos controles necessa rios para reforar a segurana de dados de carto es de

pagamento nasceu o treinamento de implementaa o do PCI DSS 3.0.

Este treinamento oferece a oportunidade de aumentar a expertise de seus

colaboradores nos padro es de segurana do PCI Council e a eficie ncia de sua

empresa na implementaa o dos controles necessa rios para atender aos re-

quisitos e alcanar a conformidade com o PCI DSS 3.0.

PR-REQUISITOS

Conhecimentos ba sicos de Tecnologia da Informaa o

PBLICO-ALVO

Todo o pessoal te cnico envolvido com o manuseio de dados cr ticos, mais especifica-

mente os custodiantes das informao es, normalmente pertencentes a a rea de tecno-

logia da informaa o. Dentre esses profissionais destacamos:

Gestores, Consultores e Pessoal de Suporte, e gerentes de projeto de servios de TI

Desenvolvedores, Integradores e arquitetos de sistemas

Engenheiros e especialistas de rede

Profissionais de segurana da informaa o

PCI 501 - Implementando o PCI DSS 3.0 (24 Horas)

5

OBJETIVOS DO CURSO

O Treinamento leva o aluno a conhecer os controles de segurana utilizados na Evolveris, uma empresa fict cia

cujo nome em Latim significa Que esta evoluindo. A Evolveris l der em educaa o ba sica, me dia e universita ria,

ale m de oferecer dezenas de cursos de extensa o e capacitaa o profissional.

Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo internacional, proprieta rio de diversas

universidades e centros de treinamento em todo o mundo. Desde enta o, a empresa tem realizando grandes es-

foros, em todos os sentidos, para se adaptar ao n vel de exige ncia das regulamentao es americanas e europei-

as, assim como atender aos anseios da governana corporativa da empresa

Dentro deste cena rio, este curso apresenta passo a passo as ao es tomadas para a implantaa o dos controles

responsa veis pela conformidade da organizaa o com os requisitos do PCI DSS 3.0, desde a conscientizaa o da

alta gesta o ate a implantaa o de cada um dos controles dentro de uma ordem sugerida pelo pro prio PCI Council.

CONTEDO PROGRAMTICO

A narrativa do curso se da em forma de histo ria, que comea com a chegada de uma nova CEO, com a missa o de

garantir a segurana de dados de carta o de pagamento na Evolveris.

O Curso e dividido em 7 partes com 28 cap tulos, durante os quais as personagens apresentam as pol ticas e as

tecnologias utilizadas para a protea o de dados cr ticos na organizaa o.

6

Parte I Identificando e isolando dados sensveis

Introduo: A Evolveris e o grupo de colaboradores mais envolvido com a segurana da informa-

a o e apresentado aos alunos. Hilda solicita que o CIO da empresa (Willian) faa um levantamento de to-

dos os tipos de dados que a empresa processa e armazena, e em seguida pede que Ol via (Jur dico) iden-

tifique as leis, normas e regulamentao es relacionadas a s atividades da empresa e a esses tipos de dados.

Juntos, Ol via e Wallace (CISO) desenham as pol ticas de retena o de dados e diretrizes para comunica-

a o com portadores de carta o de pagamento para atenderem ao PCI DSS.

Captulo 1 A Evolveris e o PCI Council: Allan, o CSO da Evolveris posiciona a segurana da infor-

maa o no organograma da empresa, explana sobre o enquadramento da Evolveris nos programas de

conformidades das bandeiras de carto es de pagamento e apresenta o PCI Council e seus padro es de segu-

rana para os outros gestores da empresa. Wallace, o CISO, apresenta os componentes de SI (processos,

pessoas e tecnologia), os conceitos de defesa em profundidade, o processo de criaa o de controles de se-

gurana e os tipos e funo es das medidas de segurana existentes.

Captulo 2 Anlise de Riscos: Allan inicia um processo de anlise de riscos baseado nas melho-

res metodologias de mercado, como a ISO 27005 e NIST SP 800-30 revision 1. Para atender ao requisito

12.2 Allan estabelece sistemas de gesta o de riscos com um processo de revisa o anual dos riscos.

Captulo 3 Localizao dos dados: Wallace desenha um diagrama de rede que identifica todos as

conexo es entre o ambiente de dados de portadores de carta o, ou CDE (Cardholder Data Environment), e

demonstra o fluxo de dados de carto es dentro dos sistemas e redes. Adicionalmente, Willian se utiliza de

ferramentas para identificar dados de carto es que possam estar em outras localidades ale m das docu-

mentadas.

Captulo 4 Reteno de Dados: Wallace apresenta os critrios utilizados para armazenamento

de dados de carto es de pagamento na Evolveris.

Captulo 5 Descarte de dados: Wallace apresenta os controles utilizados para a destruio de

dados que na o possuem mais uma necessidade legal ou de nego cio para serem armazenados.

Parte II Protegendo sistemas e redes e preparando-se para responder a falhas

Captulo 6 Definio de escopo: Wallace apresenta a Hilda as estratgias de segurana relacio-

7

nadas a identificaa o do fluxo de dados de portadores de carta o dentro da Evolveris e de todos os compo-

nentes por onde estes dados trafegam, sa o armazenados ou processados.

Captulo 7 Configurao dos ativos de rede: Alex apresenta as polticas de configurao dos ativos

de rede, incluindo as regras de firewall, NAT, te cnicas anti-spoofing e sincronizaa o dos arquivos de confi-

guraa o. Alex especifica tambe m os protocolos em uso e apresenta os mecanismos de deteca o de intrusos

nos diferentes segmentos de rede criados atrave s de per metros que separam diferentes zonas com dife-

rentes n veis de confiana atrave s de firewalls, switches e roteadores.

Captulo 8 Configurao padro: Alex apresenta as polticas definidas para a substituio de se-

nhas dos ativos de rede e dos softwares instalados na Evolveris antes da implantaa o dos mesmos na rede

corporativa.

Captulo 9 Configurao de Endpoint: Wallace apresenta as polticas e configuraes utilizadas

pela Evolveris para a configuraa o do(s) software(s) em execua o nos hosts. Que incluem o antiv rus, fire-

wall pessoal e monitor de integridade nos equipamentos dentro do ambiente de dados do portador de car-

ta o.

Captulo 10 Criptografia Assimtrica: Samuel, o coordenador de infraestrutura apresenta os fun-

damentos da criptografia assime trica, certificados digitais, autoridades certificadoras, Infraestrutura de

chaves pu blicas e assinatura digital.

Captulo 11 Criptografia aplicada transmisso de dados: Samuel continua sua explicao, de-

monstrando como a Evolveris utiliza a criptografia para atingir os objetivos de conformidade e aumentar

a segurana ao transmitir dados de carto es de pagamentos de forma segura, utilizando VPN, SSL/TLS e

WPA.

Captulo 12 Acesso remoto: Samuel apresenta as polticas de acesso remoto, que incluem autenti-

caa o forte, baseada em mais de um fator, as caracter sticas criptogra ficas para acesso administrativo.

Captulo 13 Controles Fsicos: Allan apresenta os controles de segurana fsica como a proteo

do per metro f sico, a reas sens veis, controles de acesso ao ambiente, CFTV, pontos de rede, estao es des-

bloqueadas, informao es nas estao es de trabalho, ale m das pol ticas de controle de dispositivos de paga-

mento com lista de dispositivos, e inspea o perio dica dos mesmos.

8

Captulo 14 Testes de vulnerabilidades: Samuel apresenta as polticas e as metodologias utiliza-

das para realizar os testes trimestrais de vulnerabilidades e os testes anuais de invasa o no ambiente de

dados do portador de carta o.

Captulo 15 Provedores de Servio e Plano de resposta a incidentes: Wallace apresenta as polti-

cas para controle de provedores de servio, os controles para resposta a incidentes de segurana e apre-

senta o plano de resposta a incidentes da Evolveris para o caso de vazamento de dados.

PARTE III SEGURANA EM APLICAES DE PAGAMENTO

Willian apresenta os estudos relacionados a vulnerabilidades de softwares, o processo de criaa o de ex-

ploits, zero-days, os procedimentos a serem adotados pelas empresas para mitigar essas ameaas e as

melhores pra ticas de atualizaa o, ale m das pol ticas de atualizaa o, hardening e privile gio m nimo da

Evolveris

Captulo 16 Configurao: Samuel descreve os procedimentos para criao e manuteno de pa-

dro es de instalaa o e configuraa o segura (hardening) dos componentes do sistema, assim como os pro-

cedimentos criados para que estes sistemas permanecem sempre atualizados e com uma configuraa o

segura em qualquer tipo de componente, incluindo sistemas operacionais, pa ginas WEB, e firmware de

ativos como roteadores e firewalls.

Captulo 17 - Desenvolvimento: Gabriel, o Lenda, explica como os princ pios de segurana no design

e segurana por default sa o aplicados nos desenvolvimentos internos da Evolveris. Apresenta tambe m a

separaa o entre os ambientes de desenvolvimento, teste e produa o, os procedimentos para gesta o de

mudanas em software, treinamento de desenvolvedores e os cuidados tomados na validaa o das entra-

das dos sistemas para evitar falhas de Buffer overflow, SQL Injection.

PARTE IV MONITORAO E CONTROLE DE ACESSO AOS SISTEMAS

Captulo 18 Controle de Acesso: Willian apresenta a poltica de controle de acesso da Evolveris,

as regras para criaa o e manutena o de senhas seguras e os conceitos de gesta o e identidades, identifica-

a o u nica, Need to Know, privile gio m nimo, segregaa o de funo es.

Captulo 19 Reference Monitor: Wallace apresenta os conceitos de Reference Monitor, Trile A,

DACLs, SACLs, Auditoria de eventos (Logs), assim como o processo e a pol tica de auditoria e os cuida-

dos para sincronizaa o de hosts (NTP).

9

Captulo 20 Autenticao: Willian analisa as diferenas entre os processos de autenticao mais

utilizados em sistemas operacionais, como o passwd, SAM, dom nios e Kerberos. Discute tambe m, as pol -

ticas de acesso a banco de dados e autenticaa o com Smatcards.

Captulo 21 Monitoramento: Alex apresenta as polticas e recursos de monitoramento do ambi-

ente utilizados para detectar alterao es em arquivos cr ticos, redes wireless na o autorizadas. O Cap tulo

aborda tecnologias como Scanners de vulnerabilidades, IDS, IPS e NAC.

PARTE V PROTEO DOS DADOS ARMAZENADOS

Captulo 22 Proteo dos dados armazenados: Wallace apresenta as bases da criptografia sim-

trica, truncagem e hash de dados atrave s da teoria e da demonstraa o da criptografia de arquivos, bancos

de dados, discos e backups utilizada na Evolveris para a protea o dos dados armazenados.

Captulo 23 Gerenciamento de Chaves: Samuel apresenta as polticas para gerao, transmisso,

custo dia de chaves criptogra ficas, conhecimento compartilhado, duplo controle e destruia o das chaves.

Captulo 24 Tokenizao: Samuel apresenta os conceitos de Tokenizao e como essa metodolo-

gia vem sendo aplicada dentro da Evolveris para diminuir o impacto de um eventual vazamento de dados.

PARTE VI CONTROLES ADICIONAIS

Captulo 25 Gesto de Mudanas: Wallace apresenta os controles utilizados para garantir uma

gesta o adequada das alterao es realizadas nos componentes dos sistemas da Evolveris, dentre eles a do-

cumentaa o de impacto, aprovaa o da mudana, teste de funcionalidade e procedimentos de retorno.

Captulo 26 Poltica de Segurana: Allan apresenta o processo de criao e aprovao da poltica

de segurana da Evolveris, assim como a sua divulgaa o e a capacitaa o da equipe nos assuntos referentes

a segurana da informaa o.

PARTE VII DOCUMENTAO DO PCI COUNCIL

Captulo 27 Os documentos de apoio: Allan apresenta os documentos disponibilizados pelo PCI

Council para auxiliar as empresas na obtena o da conformidade com os padro es vigentes.

Captulo 28 SAQs, ROCs, AOCs e planilha de controles compensatrios: Allan explica as diferen-

as entre os Questiona rios de auto-avaliaa o (SAQs) e Relato rios de conformidade (ROCs), e Atestados de

Conformidade (AoC), ale m de demonstrar os requisitos e passos para preenchimento da planilha de con-

troles compensato rios

10

Este curso altamente

recomendado para atender ao

requisito 12.6 do PCI DSS

(Conscientizao em

Segurana da Informao)

PCI 502 - Conhecendo o PCI DSS 3.0 (4 Horas)

Um curso aberto ao pu blico geral, feito sob medida para quem quer aprender mais sobre o PCI Council e

como os padro es do PCI ajudam a enderear os desafios de segurana da informaa o na indu stria de

pagamentos com carta o .

O curso e especialmente apropriado para Gerentes de Auditoria, Analistas de Nego cio, Analistas de Cre -

dito, Agentes de Conformidade, Gerentes Financeiros, Gerentes de Segurana da Informaa o, Especialis-

tas em TI, Gerentes de Projeto, Gestores de Risco, Analistas de Segurana, Desenvolvedores, Engenhei-

ros de Software, Administradores de Sistemas, Web Masters.

OBJETIVOS DO CURSO

Apresentar o funcionamento do PCI Council e seus diversos padro es;

Apresentar todos os requisitos do padra o PCI DSS;

Conscientizar cada colaborador de seu papel dentro da segurana dos dados de carta o.

EMENTA DO TREINAMENTO

As bandeiras e o PCI SSC (PCI Council);

Os padro es do PCI Council;

O PCI Data Security Standard (DSS) 3.0;

Visa o geral dos requisitos do PCI, e como eles aumentam a segurana

Pape is e responsabilidades dos colaboradores no programa de conformidade;

Visa o geral das vulnerabilidades;

Objetivo dos controles na o te cnicos do PCI DSS.

11

FOR 401Percia Forense Digital (8 Horas)

O Curso apresenta todos os passos de uma per cia em provas digitais e os fundamentos para uma co-

leta apropriada de evide ncias, garantindo a integridade das provas. Ale m de um conteu do u nico sobre

a legislaa o brasileira, este e o primeiro passo para qualquer certificaa o forense como o CHFI do EC-

Council, GCFA e GCFE do SANS/GIAC.

OBJETIVOS DO CURSO

Diferenciar as implicao es da coleta e ana lise de ind cios e os cuidados para sua transformaa o

em provas, em processos c veis e penais.

Compreender as responsabilidades do First Responder, e como deve ser a preparaa o do mesmo.

Comparar as leis brasileiras a s diretivas acordadas na convena o de Budapeste.

Conhecer os quesitos internacionais para coleta de provas da IOCE

Entender os processos de investigaa o e ana lise de ind cios


Objetivos da per cia digital

Histo ria da Per cia Forense

Crimes e Provas na visa o do Co digo de Processo Civil e Co digo Penal

Metodologia Forense

Provas l citas e il citas

O Papel do First Responder

Coleta de evide ncias

A Convena o de Budapeste

Provas segundo o IOCE e SWGDE

Legislaa o no Brasil

Investigaa o (Copia Forense, Cadeia de Custo dia)

Ana lise dos ind cios (evide ncias)

Ferramentas de ana lise

Encerramento do caso

Indicado para agentes da lei,

advogados, times de resposta

a incidentes, e profissionais

de TI e Segurana da

Informao.

12




de TI e Segurana da

Informao.

FOR 402 - Formao do First Responder (8 Horas)

O Treinamento prepara os profissionais de TI, SI e agentes da lei para abordar incidentes de segurana de

forma organizada e eficiente, minimizando o tempo de parada dos ativos atingidos e preservando as evide n-

cias para uma poss vel investigaa o forense. Este curso e fundamental para qualquer certificaa o forense co-

mo o CHFI do EC-Council, GCFA e GCFE do SANS/GIAC.

OBJETIVOS DO CURSO

Diferenciar os tipos de crimes por computador.

Agir de forma organizada, evitando ao ma ximo a perda ou contaminaa o de provas na hora da coleta.

Documentar de forma correta o ambiente onde encontrou as provas e os procedimentos de aquisia o

Preservar dados vola teis (memo ria) para que na o se percam ao desligar o aparelho.

Identificar a existe ncia de criptografia no disco

Realizar despejos (dumps) de memo ria em Windows, Linux e Mac.

Criar imagens forenses dos dados vola teis e na o vola teis

Evitar as ameaas contra a autenticidade das provas


Crimes por computador

CSI O que e uma cena de crime (ou de desastre)

Volatilidade das evide ncias

Documentaa o do ambiente

Kits forenses (Cabos, bloqueadores, dispositivos mo veis, CDs, etc)

Tipos de imagem (E01, AFF, RAW)

Identificaa o de evide ncias

Live Analysis, Dump de memo ria e preservaa o de dados vola teis

Identificaa o de criptografia de disco

Utilizaa o de bloqueadores de escrita

Criaa o de imagem de discos e dispositivos USB

Preservaa o da integridade das evide ncias e Cadeia de custo dia

Aquisia o via e-discover

13

FOR 403 - Investigao em Meios Digitais (24 Horas)

O Curso aborda todos os fundamentos necessa rios, ale m das primeiras pra ticas para que os investiga-

dores encontrem, compreendam e analisem evide ncias digitais oriundas de diversas fontes, como

HDs, drives USB, Skype, browsers, P2P, etc. Este curso e fundamental para os cursos de ana lise de

Windows e Unix, assim como qualquer certificaa o forense como o CHFI do EC-Council, GCFA e GCFE

do SANS/GIAC.

OBJETIVOS DO CURSO

Preparar o aluno para localizar e analisar evide ncias digitais


Ferramentas forenses (FTK, EnCase, WinHex, Freewares)

Te cnicas de triagem

Timezones

Hashes e Fuzzy hashing

Bancos de dados de arquivos conhecidos (bons e ruins)

Procura por arquivos e strings

Histo rico de procura, documentos recentes e URLs digitadas

Exame de dispositivos USB (Primeiro e u ltimo uso, usua rio do dispositivo, etc.)

Recuperaa o de arquivos apagados, Identificaa o de Metadados e Data Carving

Ana lise de mensagens instanta neas (Skype, AIM, MSN) e Yahoo, Hotmail, Gmail, etc.

Ana lise de Browsers (histo rico, cache, downloads, buscas, etc.)

Ana lise de Ana lise de documentos do usua rio (doc, docx, PDF, etc.)

Conceito e ana lise em sistemas de arquivo (FAT, NTFS, Ext, etc.)

Dados Exif (ca mera, resolua o, coordenadas GPS, etc.) e Assinatura de arquivos (Magic Numbers)

Espaos na o alocados e Slack Space

Te cnicas anti-forense

Investigaa o em e-mails (funcionamento, tipos e formato)

Relato rios (suma rio executivo, apresentaa o, conclusa o)




de TI e Segurana da

Informao.

14

DEPOIMENTO

O treinamento de GRC da

Antebellum no somente ajuda

a compreender nosso papel

dentro dos objetivos de negcio

como tambm fornece

conhecimentos que ajudam o

aluno compreender o mundo

dos negcios.

Lus Felipe Albuquerque

C&A Modas

MDULO 1 INTRODUO AO GRC

Este mo dulo demostra como incidentes ligados a falhas nas a reas de Governana, Gesta o de Riscos e Confor-

midade podem comprometer o valor de mercado e o lucro das empresas, ale m de apresentar alguns conceitos

importantes para a compreensa o da integraa o de GRC.

A necessidade do GRC

Cases de empresas afetadas por problemas de GRC

Definio es

Stakeholder; Sociedades Ano nimas; Shareholders; Bolsa de Valores

MDULO 2 A HISTRIA DO GRC

Este mo dulo explica, atrave s de eventos histo ricos, como as pessoas se comportavam em relaa o ao risco e

como a matema tica e estat stica criaram uma nova visa o sobre a causa dos eventos. Paralelamente, a histo ria

da Governana Corporativa e contada em uma linha do tempo que comea com a primeira sociedade de ao es

do mundo, em 1250, e avana ate a crise da Enron, que culminou na Lei Sarbanes-Oxley. A linha histo rica da

conformidade aparece como uma resposta a eventos como a quebra da bolsa de NY em 1929 e a quebra da

Enron. Por esse motivo, esses eventos sa o apontados como marcos de governana e conformidade.

TIC 206 - GRC (16 Horas)

15

Risco

A Vontade dos Deuses dita as regras,

Algarismos Indo-Ara bicos

1654 Luca Paccioli e o desafio da renascena

1703 a 1760 - Jabob Bernoulli e a lei dos grandes nu meros

1875 Regressa o a me dia

1952 Ovos em cestas separadas

1992 O Cubo COSO

2004 Coso II

Governana

1250 Societe des Moulins bu Bazacle

1600 Companhia das I ndias orientais

1602 Amsterdam Stock Exchange

1915 a 1929 A Economia Liberal

1929 Euforia na Bolsa de NY

1929 O Crash da Bolsa de NY

1930 A Grande Depressa o

1961 A Criaa o da OECD

1980 O Ativismo de Robert Monks

1992 O Relato rio Cadbury

1999 Os Princ pios de Governana da OECD

Enron

Compliance

1934 New Deal e a SEC

1969 A Criaa o da ISACA

1976 A CVM no Brasil

1973 A Criaa o da IASC

1977 A FCPA

1985 COSO

1992 A Convena o anti-suborno da OECD

1996 HIPAA

1996 Cobit 1.0

1998 The Anti-Bribery Act

1998 O Acordo de Basile ia

1999 Gramm-Leach-Bliley Act

2002 A Lei Sarbanes-Oxley

2004 Basile ia II

2004 IFRS

2005 O Roubo de dados de Carto es de Cre dito na TJX

2006 O PCI Council

2010 Basile ia III

16

MODULO 3 GOVERNANA

Este mo dulo apresenta os conceitos de governana (corporativa e de TI), visando criar um melhor entendi-

mento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecno-

logia da Informaa o e Segurana da Informaa o para que estas a reas estejam alinhadas aos objetivos da alta

gesta o

Governana Corporativa - Definio es do IBGC (Instituto Brasileiro de Governana Corporativa), n veis de

governana e o novo mercado da Bovespa ,transpare ncia, equidade, prestaa o de Contas, responsabilidade

corporativa, conselho de administraa o, relao es com os investidores, gesta o de riscos, relato rio anual, co digo

de conduta.

Governana de TI - Estrutura de governana de TI, estudo da norma ABNT ISO/IEC 38500.

MODULO 4 - GESTO DE RISCOS

Este mo dulo demonstra os conceitos de risco positivo e negativo, que juntos com os conceitos de apetite e to-

lera ncia a riscos demonstram a necessidade do risco para a o crescimento e sucesso das organizao es. O mo -

dulo aborda tambe m todos os conceitos e as principais normas e frameworks para a avaliaa o e tratamento de

riscos.

Definies de risco - Riscos positivos e negativos, fontes de risco, n vel de risco e probabilidade, conseque n-

cia, ana lise quantitativa , qualitativa e semi-quantitativa, matriz de riscos, percepa o de riscos, responsabilida-

de pelo risco, apetite e tolera ncia a riscos

Gesto de Riscos - Princ pios de Gesta o de Riscos, estudo da norma ABNT ISO 31000, crite rios de Risco

(ALARP As Low as Reasonable Practicable), processo de avaliaa o de riscos, tratamento de riscos, monitora-

a o do risco, reporte de riscos, gesta o de riscos atrave s da ABNT ISO 27005, comparaa o do Coso ERM (Coso

II) com a ISO 31000

MDULO 5 - CONFORMIDADE:

Este mo dulo apresenta os principais conceitos relacionados a conformidade, assim como as mais importantes

regulamentao es a s quais as empresas nacionais esta o sujeitas. Ao final dos estudos e apresentada a norma

Australiana de Compliance e os principais pontos abordados por esta.

Conceitos e definio es, sistema normativo (Leis e Regulamentao es), tipos de conformidade, CVM, CVM

358/2002 Fato Relevante, CVM 456/2007 IFRS, decreto 11.638 Contabilidade das Sociedades por

Ao es, Basile ia II e III, Banco Central, resolua o 2554, resolua o 3380, SUSEP 249/2004, culpa e dolo, respon-

sabilidades dos Administradores, lei das S.A.s, business judgement rule, conflito de Interesses, dever de quali-

17

ficar-se e informar-se, dever de informar, dever de sigilo, insider trading, concorre ncia desleal, dever de vigi-

ar, investigar e punir , co digo de e tica, pol tica de propriedade intelectual, pol tica de segurana da informa-

a o, sustentabilidade, a norma AS 3806/2006, o papel do CCO/CECO.

MDULO 6 IT GRC UTILIZANDO O COBIT

Este mo dulo complementa os tre s anteriores ao mostrar o Conjunto Cobit+Vai IT+Risk IT, delimitando o seu

relacionamento com as a reas de Governana, Gesta o de Riscos e Compliance. Em uma segunda etapa, apresen-

tamos o Cobit 5, o framework de GRC da ISACA que integrou o Val IT e RisK IT ao CobiT e tem a proposta de

ser um framework de GRC para qualquer a rea da organizaa o.

Governana de TI segundo o Cobit - A reas de foco na Governana de TI, produtos do CobiT, objetivos e Ar-

quitetura de TI, ciclo de vida de TI, dom nios do CobiT, objetivos de Controle, tabela RACI, modelo de maturi-

dade, objetivos de nego cio, objetivos de nego cio transformados em objetivos de TI, objetivos de TI transforma-

dos em objetivos de processo.

VAL IT - Definia o e Objetivos, os quatro Estamos?, Val IT x CobiT, dom nios e Processos, quadro de ativida-

des, entradas e sa das

Risk IT - Posicionando Cobit, ValIT e RiskIT, hierarquia dos riscos, resposta e priorizaa o de riscos, governan-

a de riscos, avaliaa o de riscos, articulaa o de riscos.

Cobit 5 - Princ pios e aspectos gerais, arquitetura e objetivos em cascata, objetivos de governana, modelo de

Enablers integrados, objetivos de governana, objetivos de TI, governana e gesta o, governana corporativa

de TI, novo modelo de maturidade (ISO 15504), ciclo de implementaa o.

MDULO 7 CONSIDERAES FINAIS

Neste mo dulo trazemos uma reflexa o sobre os desafios para a implantaa o do GRC desde uma definia o do

termo e de sua real funa o ate o perfil do profissional de GRC.

O que esperar do GRC, visa o do modelo de nego cio (OCEG), colaboraa o, stakeholders internos do GRC,

stakeholders externos do GRC, sistemas eficientes, eficazes e responsivos, implantaa o do GRC na organizaa o,

vencendo resiste ncias, perfil do profissional de GRC.

18

TREINAMENTOS

SEC 201Segurana da Infor-

mao com base na ISO

27002

Todos os domnios super-

ficialmente

Preparatrio para a certifi-

cao ISFS do Exin

SEC 202Gesto da Seguran-

a da Informao

Aborda o domnio Gover-

nana e Gesto de Riscos


cao ISMAS do Exin

SEC 103 Criptografia aplica-

da


cao CES do EC-Council

SEC 104 Core Security

Aborda os domnios Con-

trole de Acesso, Segurana

em desenvolvimento e

Arquitetura e Design

SEC 105 Segurana em

Redes e Telecomunicaes

Aborda o domnio Segu-

rana em Telecomunica-

es e Redes

GCN 220 Fundamentos de

Continuidade de Negcios

Aborda o domnio Conti-

nuidade de Negcios

10 Domnios da Segurana da Informao segundo a ISC 2 (CBK/CISSP)

A Antebellum desenvolveu um conjunto de treinamentos que

juntos abrangem todos os dom nios da Segurana da Informa-

a o.

A modularizaa o dos treinamentos permite que os alunos

possam assistir a todos os treinamentos sem que precisassem

se ausentar por diversos dias de suas empresas, ou ainda, se-

lecionar os cursos que abordam os temas onde gostariam de

se preparar mais intensamente para provas de certificaa o e

concursos.

Para que o aluno seja recompensado desde o primeiro curso,

o conjunto de treinamentos da Antebellum procura, sempre

que aplica vel, levar o aluno a certificao es intermedia rias ba-

seadas no conteu do do dom nio estudado.

DEPOIMENTO

Os treinamentos

ministrados pela

Antebellum na

Fidelity

proporcionaram um

excelente

alinhamento entre os

conhecimentos das

rea de Segurana

da Informao e

Tecnologia,

resultando em

ganhos substanciais

para ambas as reas

no tratamento dos

assuntos

relacionados

Segurana da

Informao.

Eduardo Cabral

Diretor de GRC

Fidelity Processadora

e Servios S.A.

A Antebellum e reconhecida como uma ACP (Accredited Cour-

se Provider), AEC (Authorized Examination Center) e como

um ATP (Accredited Training Provider ) pelo Exin, um dos

maiores institutos de certificaa o do mundo.

Essas credenciais conferem a Antebellum a capacidade de

fornecer um material reconhecido pelo Exin como preparato -

rio para suas certificao es e o de ministrar cursos oficiais sob

sua chancela.

Formao em Segurana da Informao

19

O conteu do do curso SEC 201 foi cuidadosamente criado para fornecer todos os fundamentos de Segurana da

Informaa o para profissionais de TI que desejam aumentar o seu valor para sua organizaa o e para o mercado, ou

iniciarem-se na a rea de Segurana da Informaa o.

JUSTIFICATIVA

A informaa o sempre foi a mola propulsora das empresas e sua segurana uma pea fundamental para a sobrevi-

ve ncia destas. Com o advento da computaa o, essas informao es se tornaram cada vez mais informao es digitais e

com a comunicaa o em massa promovida pelas novas tecnologias, sua exposia o tornou-se ao mesmo tempo ne-

cessa ria (para as pessoas autorizadas) e um fator de risco a ser tratado com planejamento e processos maduros.

Com o aumento da demanda por servios e das du vidas da comunidade de Tecnologia da Informaa o e Segurana

da Informaa o, a indu stria passou a organizar-se em associao es para discutir soluo es e capacitar a ma o de obra,

visando garantir que os esforos sejam convergentes e que as empresas tenham em seu quadro profissionais ple-

namente capacitados para obter o ma ximo de eficie ncia e segurana dessas tecnologias.

Dentro desse contexto, a ISO desenvolveu a fam lia 27000, dedicada a segurana da informaa o. Sua principal nor-

ma e a ISO 27002 (Antiga ISO 17799), que fornece um co digo de pra ticas para a protea o da informaa o, baseado

na experie ncia de profissionais de todo o mundo, que se reu nem em associao es como a ABNT, para contribuir

para a constante evolua o dessa norma.

OBJETIVOS DO CURSO

O curso visa apresentar os fundamentos da Segurana da Informaa o de acordo com os princ pios descritos na

ISO 27002, assim como alguns tipos de medidas para reduzir os riscos a confidencialidade, integridade e disponi-

bilidade da informaa o dentro de organizao es, de qualquer tipo ou tamanho.

O curso SEC 201 apresenta aos

alunos todos os dom nios do

CBK de forma clara e objetiva.

SEC 201 - Segurana da Informao com base na ISO 27002 (16 H)

20

PBLICO-ALVO

Todo pessoal envolvido com a gesta o da segurana da informaa o, o que inclui os proprieta rios das informa-

o es e os custodiantes das mesmas. Dentre esses profissionais destacamos:

Gestores, consultores, pessoal de suporte e gerentes de projetos de servios de TI;

Analistas e gerentes de a reas de nego cio (financeiro, RH, engenharia, etc);

Desenvolvedores, integradores e arquitetos de sistemas;

Engenheiros e especialistas de rede;

Profissionais de Segurana da Informaa o.

PR-REQUISITOS

Conhecimentos ba sicos de Tecnologia da Informaa o.

CARGA HORRIA

O curso tem duraa o de 16 horas que podem ser distribu das em dois ou quatro dias.

CONTEDO PROGRAMTICO

O curso SEC 201 foi desenvolvido para apresentar os conceitos fundamentais da Segurana da Informaa o,

cobrindo os principais aspectos da ISO 27002 atrave s de exposia o de casos e um exerc cio pra tico ao final de

cada mo dulo para auxiliar na fixaa o do conhecimento adquirido em sala de aula.

O conteu do apresentado em aula e tambe m enriquecido pelo uso de diversos documentos de suporte, artigos

pu blicos sobre o assunto e material exclusivo desenvolvido pela equipe de instrutores da Antebellum.

MDULO 1 INFORMAO E SEGURANA

Apresenta os conceitos fundamentais e de construa o da informaa o e das formas de garantir sua segurana.

1. Conceitos Fundamentais - Explica os conceitos de informao em seus diversos formatos, seu ciclo

de vida, as diferenas entre dados e informaa o e a infraestrutura ba sica para armazenamento e protea o

da mesma.

2. Valor da Informao - Discorre sobre o valor estrate gico da informaa o para as organizao es, como a

informaa o pode influenciar no desempenho da organizaa o e como as pra ticas de segurana da infor-

maa o protegem esse bem da organizaa o.

3. Aspectos de confiabilidade - Apresenta os aspectos da segurana da informao: Confidencialida-

de, Integridade e Disponibilidade (CID), detalhando seus requisitos de avaliaa o.

21

MDULO 2 ALINHAMENTO ESTRATGICO

Este mo dulo introduz alguns conceitos fundamentais para estabelecer a conexa o entre os objetivos da a rea de

Segurana da Informaa o e os objetivos de nego cio das empresas.

1. Governana - Apresenta um modelo de governana corporativa, a diferenciaa o entre governana e gerenci-

amento, o funcionamento e as a reas de foco da governana de TI, um exemplo de Balanced Scorecard (BSC), a

relaa o do BSC com os objetivos de nego cio, o alinhamento dos objetivos de TI/SI com o BSC e os objetivos de

nego cio e os processos que levam a realizaa o dos objetivos de TI.

2. Modelagem de Processos - Mostra como o processo de modelagem pode ajudar a encontrar os ativos

da informaa o que suportam os processos mais cr ticos, facilitando sua classificaa o e uma posterior protea o

proporcional a sua importa ncia para a organizaa o.

3. Classificao da Informao - Mostra como os ativos de informao devem ser classificados por cate-

gorias, de acordo com seu valor para a organizaa o, para que recebam uma protea o proporcional a s suas

necessidades de confidencialidade, disponibilidade e integridade.

MDULO 3 GESTO DE RISCOS

Este mo dulo apresenta os conceitos ba sicos de risco, gesta o de riscos e ana lise e avaliaa o de riscos.

1. Ameaas - Apresenta os conceitos de ameaa, vulnerabilidade e agente de ameaa.

2. Tipos de Ameaa - Apresenta aos alunos os tipos mais comuns de ameaas a segurana da informaa o como:

Co digo Malicioso, V rus, Worm, Spyware, Trojan, Rootkit, Backdoor, Engenharia Social, Hacking, Hoax,

Phishing Scam, Bots, Botnets, Spam e Scam.

3. Dano - Discute o incidente de segurana, a probabilidade, conseque ncia, impacto e danos diretos e indiretos a

organizaa o.

4. Anlise de Riscos - Explica os processos de ana lise (quantitativa e qualitativa) e avaliaa o de riscos, a relaa o

entre uma ameaa e um risco, assim como as estrate gias para tratamento dos riscos e aceitaa o de riscos resi-

duais.

22

MDULO 4 ABORDAGEM E ORGANIZAO

Este mo dulo fornece uma visa o da construa o das pol ticas de segurana e a organizaa o da segurana da

informaa o.

1. Polticas de Segurana - Descreve os objetivos e a composia o de uma pol tica de segurana, assim co-

mo a organizaa o da segurana da informaa o.

2. Organizao da segurana - Apresenta fatores fundamentais para o bom funcionamento da pol tica de

segurana como: co digo de Conduta, propriedade de ativos e pape is principais na Segurana da Informa-

a o.

3. Gesto de Incidentes e escalao - Descreve a importa ncia de uma rotina de gesta o de incidentes,

apresentando um ciclo onde os mesmos devem ser reportados de forma correta, analisados e escalados

funcional ou hierarquicamente. Descreve tambe m os efeitos negativos de eventuais falhas neste proces-

so.

MDULO 5 MEDIDAS DE SEGURANA

Descreve a importa ncia das medidas de segurana para a organizaa o e a forma como sa o estruturadas de

acordo com sua classificaa o e poss vel impacto a organizaa o.

1. Importncia das medidas de segurana - Descreve as formas como as medidas de segurana devem

ser fundamentadas e os tipos e funo es das medidas de segurana existentes.

2. Segurana Fsica - Analisa os riscos envolvendo falhas nas medidas de segurana f sica e fornece exem-

plos de ameaas e medidas relacionadas a segurana f sica.

3. Controles Tecnolgicos - Analisa os riscos envolvendo aspectos tecnolgicos como a m utiliza-

a o e manutena o dos ativos de tecnologia, softwares maliciosos (v rus, trojans, etc) e discute as solu-

o es tecnolo gicas para redua o de riscos como a criptografia sime trica e assime trica, funo es de hash,

certificados digitais, PKI, assinatura digital, VPN, backup e antiv rus.

4. Segurana em Software - Descreve as ameaas decorrentes da falta de uma ana lise de segurana em

todo o processo de desenvolvimento de softwares, excesso de privile gios, falhas de validaa o de entrada

de dados, buffer overflow, SQL injection e a necessidade de manutena o e atualizaa o de qualquer tipo

software, incluindo sistemas operacionais, pa ginas WEB e firmware de ativos como roteadores e fire-

walls. Sa o abordadas tambe m as certificao es do Orange Book e a Common Criteria.

23

5. Medidas organizacionais - Descreve a importa ncia das medidas organizacionais, como a segregaa o de

funo es para a segurana da informaa o e os riscos envolvendo as falhas na criaa o ou aplicaa o dessas me-

didas.

6. Controle de Acesso - Descreve as medidas de segurana relacionadas ao acesso fsico ou lgico das

informao es como o uso de senhas fortes, biometria, autenticaa o com dois fatores, segregaa o de funo es,

autorizaa o e auditoria de acessos.

7. Continuidade de Nego cios - Fornece uma visa o geral sobre as estrate gias de continuidade de nego cios e re-

cuperaa o de desastres, a necessidade de um bom plano de continuidade de nego cios, os passos para a sua

criaa o, as me tricas ba sicas como RPO, RTO, WRT, MTO, SLA e TMP, assim como a importa ncia de sua vali-

daa o e treinamentos e exerc cios para garantir a validade dos planos. .

MDULO 6 CONFORMIDADE

Neste u ltimo mo dulo sa o avaliadas a importa ncia e os efeitos da legislaa o e das regulamentao es para organiza-

a o.

1. Legislao e Regulamentao - Exemplifica leis e regulamentaes relacionadas segurana da in-

formaa o, assim como seus objetivos e controles utilizados para atende -las.

2. Avaliao - Descreve as formas de avaliaa o da efetividade da segurana da informaa o, atrave s de audito-

ria, auto avaliaa o, mensuraa o e geraa o de evide ncias da efetividade das medidas de segurana.

24

MDULO 1 PERSPECTIVAS EM SEGURANA DA INFORMAO

Este mo dulo apresenta os conceitos ba sicos de governana (corporativa e de TI), visando criar um melhor enten-

dimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnolo-

gia da Informaa o e Segurana da Informaa o para que estas a reas estejam alinhadas a s metas, missa o e objetivos

da alta gesta o.

1. Perspectiva do Negcio Trata o papel da Segurana da Informaa o no nego cio, e e capaz de distinguir os

tipos de informaa o com base em seu valor para o nego cio e explicar as caracter sticas de um sistema de gerencia-

mento para segurana da informaa o.

Processos organizacionais;

conformidade legal e regulato ria;

requisitos de privacidade;

arquitetura de segurana corporativa;

due care.

2. Gesto do ciclo de vida da informao Mostra o ciclo de vida da informaa o desde a criaa o, passando por

sua classificaa o, categorizaa o, propriedade, etc.

tipos e classificaa o da informaa o;

pape is e responsabilidades de cada colaborador;

SEC 202 - Gesto da Segurana da Informao (16 Horas)

O Curso SEC 202 aborda o dom nio

Governana e Gesta o de Riscos do CBK

25

3. Perspectiva do Cliente Aborda o ponto de vista do cliente sobre o controle da informaa o e a importa ncia

do controle da informaa o no processo de terceirizaa o.

requisitos para selea o de fornecedores;

due diligence;

evide ncias dos controles de segurana;

requisitos de continuidade de nego cios em terceiros;

mecanismos de escalaa o.

4. Perspectiva do provedor de servios / fornecedor Aborda as responsabilidades do provedor de servios

de informaa o em garantir a segurana, os aspectos da segurana em processos de gerenciamento de servios e

as atividades para conformidade do mesmo.

Alinhamento dos requisitos de segurana;

afirmaa o de gesta o da segurana;

certificaa o em segurana da informaa o;

auditoria de clientes.

MDULO 2 GERENCIAMENTO DE RISCO

Este mo dulo demonstra os conceitos de ana lise de riscos, apetite e tolera ncia a riscos e todos os conceitos e as

principais normas e frameworks para a avaliaa o e tratamento de riscos.

1. Anlise e avaliao de riscos Apresenta os princ pios de gerenciamento de risco, de acordo coma classifi-

caa o de cada ativo.

Ana lise dos riscos (ameaas e vulnerabilidades);

avaliaa o dos riscos (ativos tang veis e intang veis);

ana lise quantitativa;

ana lise qualitativa;

ana lise semi-quantitativa.

2. Controles para tratamento do risco Foca na escolha dos controles dos riscos com base nos requisitos de

Confidencialidade, Integridade e Disponibilidade (CIA) de cada ativo e nos esta gios do ciclo de vida do incidente

ale m de escolher diretrizes relevantes para a aplicaa o dos controles.

estudo da norma ISO IEC/27005;

selea o de medidas de tratamento;

retena o do risco;

redua o de riscos;

compartilhamento/transfere ncia de riscos;

eliminaa o do risco.

26

3. Riscos residuais Aborda os riscos residuais e as estrate gias para lidar com este risco atrave s da:

produa o de casos de nego cios para controles;

produa o de relato rios sobre as ana lises de risco.

4. Comunicao do risco Aborda a tradua o dos riscos de segurana da informaa o em uma linguagem ge-

rencial para atender os requisitos da gesta o e governana da empresa.

Risk Scorecard;

aceitaa o do risco.

MDULO 3 CONTROLES DE SEGURANA DA INFORMAO

Este mo dulo aborda a criaa o de controles diversos para diminuir e monitorar o risco na organizaa o, de acor-

do com o resultado da avaliaa o de riscos da empresa.

1. O Sistema de Gesto da Segurana da Informao (SGSI) Aborda a criaa o de um sistema de gesta o

cont nua da segurana da informaa o, visando identificar e manter os riscos nos patamares deseja veis pela

gesta o e governana da organizaa o.

sistemas de gerenciamento para segurana da informaa o;

o ciclo PDCA;

padro es de mercado (fam lia ISO 27000, Cobit, etc);

gesta o de incidentes de segurana;

me tricas de segurana;

conscientizaa o dos colaboradores.

2. Controles Organizacionais - O aluno adquire conhecimento sobre controles organizacionais, e e capaz de

redigir pol ticas e procedimentos de segurana da informaa o, implementar estrate gias para gerenciamento

de incidentes de segurana da informaa o, realizar uma campanha de conscientizaa o na organizaa o, imple-

mentar pape is e responsabilidades para segurana da informaa o:

co digo de conduta;

pol tica de segurana da informaa o;

Procedimentos;

Guias;

Documentaa o.

3. Controles Tcnicos - O aluno adquire conhecimento sobre controles tcnicos e capaz de explicar a

as arquiteturas de segurana, a finalidade dos servios de segurana, e a importa ncia dos elementos de segu-

rana na infraestrutura.

27

Elementos da arquitetura de segurana;

princ pios de desenho para servios seguros (performance, gesta o de capacidade, resilie ncia, funcionali-

dade, gerenciamento, etc);

princ pios de desenho para ambientes seguros (isolamento, mediaa o completa, resilie ncia, redunda n-

cia, diversidade, etc);

principais servios de segurana (identificaa o, Autorizaa o, Controle de acesso, hardening, etc).

4. Controles Adicionais - Aborda os controles relacionados a segurana f sica, gesta o de pessoas e desenvol-

vimento e teste de planos de continuidade de nego cios. Dentre eles destacamos:

co digo de conduta;

pol tica de segurana da informaa o;

procedimentos de contrataa o;

conscientizaa o e monitoraa o;

desligamento de colaboradores.

PROGRAMA DE CERTIFICAO: SEC-201 (ISFS) E SEC-202 (ISMAS)

O Conteu do dos cursos SEC 201 e SEC 202 foram desenhados pela Antebellum para adequarem-se ao progra-

ma de certificaa o em segurana da informaa o do Instituto EXIN, um dos maiores institutos de certificaa o

do mundo, sendo que o SEC 201 ja foi auditado e reconhecido como preparato rio para a certificaa o ISFS

(Information Security Foundation based on ISO/IEC 27002).

SEC 202

SEC 201

28

O Curso aborda a criptografia desde o in cio de seu uso na antiguidade, antes mesmo da matema tica, ate os dias

de hoje, explicando cada algoritmo em uma linha evolutiva e temporal.

OBJETIVOS DO CURSO

O Curso explica os conceitos criptogra ficos e mostra a utilizaa o destes algoritmos na protea o dos dados, nos

dias de hoje. O curso mostra tambe m o funcionamento de diversos dispositivos criptogra ficos da atualidade.

A grade do curso e totalmente compat vel e prepara o aluno para a certificaa o CES (Certified Encryption Specia-

list) do EC-Council.

PBLICO-ALVO

Todo o pessoal te cnico envolvido com o manuseio de dados cr ticos, mais especificamente os custodiantes das

informao es, normalmente pertencentes a a rea de tecnologia da informaa o. Dentre esses profissionais destaca-

mos:

Desenvolvedores, Integradores e arquitetos de sistemas



PR-REQUISITOS

Conhecimentos ba sicos de Tecnologia da Informaa o.

MDULO 1 CONCEITOS DE CRIPTOGRAFIA

Apresenta aos alunos a evolua o da criptografia e todo o fundamento teo rico para o estudo pra tico dos protoco-

los.

O Curso SEC 103 aborda o dom nio

Criptografia do CBK

SEC 103 - Criptografia Aplicada (16 Horas)

29

1. Conceitos gerais - Descreve a evoluo da criptografia, o conceito de chaves a criptografia sim-

trica e os conceitos de substituia o e transposia o.

2. Criptografia automatizada - Mostra as primeiras ma quinas de criptografia, a ma quina Enigma, as

operao es booleanas (M, AND, OR, XOR), a funa o de feistel e o princ pio de Kerckhoffs.

3. Algortmos simtricos - Aborda o funcionamento e compara os algoritmos LUCIFER, DES, 3DES,

DESx, Blowfish, Serpent, Twofish, Skipjack, IDEA e AES. Explica tambe m a utilidade do vetor de iniciali-

zaa o e a diferena entre a criptografia de bloco e fluxo e os modos (EBC, CBC, PCBC, CFB, OFB e CTR).

4. Algoritmos de Hash - Explica o funcionamento de um algoritmo de hash, o hash salt e a diferena

entre os principais algoritmos, como o MD2, MD5, MD6, SHA-1, SHA-256, Fork 256, RIPEND 160, GOST,

Tiger e CryptoBenc.

5. Criptografia assimtrica - Conta a histo ria da criaa o da criptografia assime trica, do algoritmo Diffie-

Helman, do paper de Diffie e a criaa o do RSA, o algoritmos de curva el ptica, o Elgamal, etc.

6. Esteganografia - Descreve as origens da te cnica de esconder as mensagens, seu uso com texto, ima-

gens, a udio, v deo e as formas de sua implementaa o.

MDULO 2 CRIPTOGRAFIA APLICADA COMUNICAO E ARMAZENAMENTO

Este mo dulo introduz aos alunos as bases da criptografia sime trica e assime trica, assim como os princi-

pais algoritmos utilizados nos meios de comunicaa o e armazenamento de dados na atualidade.

1. Certificao Digital - Explica a assinatura digital, o Certificado digital, os certificados X-509 e o funci-

onamento das PKI (Public Key Infraestructure).

2. Protocolos e a criptografia - Mostra o funcionamento e a forma como a criptografia utilizada

(ou na o) em protocolos como PAP, S-PAP, CHAP, Kerberos, PGP, WEP, WPA, WPA2, SSL, TLS, VPN, PPP,

EFS e Bitlocker.

3. Criptografia aplicada - Mostra o funcionamento de diversos dispositivos do cotidiano que se utilizam

da criptografia para transmissa o e armazenamento de dados.

4. Hardware Criptogrfico - Mostra o funcionamento dos dispositivos desenhados para criptografia,

como os chips de carto es RSA e EMV, os chips TPM e as HSM.

5. Criptoanlise - Demostra te cnicas para quebra da criptografia como Ana lise de freque ncia, Kasiski,

criptoana lise linear, diferencial e integral, rainbow tables e ferramentas de cracking.

30

MDULO 1 CONTROLE DE ACESSO

Este mo dulo discute os meios para controle de acesso lo gico, desde os modelos conceituais ate as tecnologias recentes

de controle de acesso e monitoraa o.

1. Conceitos gerais - Descreve os conceitos de Identificao e Autenticao, ID nico, Privilgio Mnimo e Ne-

ed to Know, Triple A (Autenticaa o, Autorizaa o e Auditoria), ale m de apresentar as diferenas entre os modelos

de segurana MAC (Mandato rio: Biba, Bell LaPadula,) e DAC (Discriciona rio: ClarkWilson, etc).

2. Reference Monitor - Apresenta a entidade Reference Monitor, ACLs e DACLs, Auditoria de eventos (Logs),

Protea o de Objetos, Trusted Path, Complete Mediation e o conceito de Security Kernel.

3. Implementaes - Arquivos de senha (passwd) e domnios (NTLM e NIS), X500 e LDAP, Single Sign On e

Web Single Sign On, Federaa o.

4. Administrao - Gesto de identidades e Polticas de troca de senha.

MDULO 2 ARQUITETURA DE SOFTWARE

Este mo dulo discute a arquitetura de software e sistemas operacionais, assim como os cuidados no desenvolvimento

dos mesmos para que tragam o m nimo de vulnerabilidades para o ambiente.

1. Sistemas Operacionais - Sistemas de 8, 16, 32 e 64 Bits, Modo real x Modo protegido, Multiprocessamento, Multi-

tarefa e Multithread, Arquitetura do Windows, Arquitetura do Unix, Sistemas de Arquivos, Contas de usua rio, N -

veis de privile gio, superusua rios, isolamento de processos, Ring protection, Registro de Log, Firewall Pessoal, Atu-

alizao es, Backup, Data Hiding, Arquiteturas de Virtualizaa o.

2. Arquitetura de Software - Metodologias para Desenvolvimento de Softwares, Metodologias de segurana, Con-

ceitos e Mecanismos de Protea o, Princ pios de Design Seguro, Verificaa o de entrada de dados, Regulamentao es,

Privacidade e Compliance,.

SEC 104 - Core Security (16 h)

O Curso SEC 103 aborda os dom nios con-

trole de acesso, segurana em desenvolvi-

mento, arquitetura e design e do CBK

31

3. Segurana em Software - Descreve as ameaas decorrentes da falta de uma ana lise de segurana em todo o pro-

cesso de desenvolvimento de softwares como Buffer Overflow, SQL Injection, trapdoors e a necessidade de manu-

tena o e atualizaa o de qualquer tipo software, incluindo sistemas operacionais, pa ginas WEB, e firmware de ati-

vos como roteadores e firewalls. Aborda tambe m as metodologias de desenvolvimento seguro e Fuzzing.

MDULO 3 GESTO DE VULNERABILIDADES

Este mo dulo discute os cuidados e as formas de se gerir as vulnerabilidades do ambiente da organizaa o, e diminuir a

probabilidades de ataques que se valem dessas vulnerabilidades.

1. Hardening e gerenciamento de atualizaes - Descreve o processo de criao de exploits, os zero-days, e os

procedimentos a serem adotados pelas empresas para mitigar essas ameaas, como as boas pra ticas para gesta o

de atualizao es em Windows, Unix e Aplicativos

2. Programas AntiMalware - Explica a necessidade e os requisitos de gesta o dos softwares antimalware dentro das

organizao es

3. Normatizao de Segurana - Normas e Boas Pra ticas Desenvolvimento Seguro (e.g., ISO 2700x, OWASP) ,TCSec,

ITSec, Common Criteria (ISO 15408), etc.

4. Vulnerabilidades - Vulnerabilidades em Hardware, Vulnerabilidades em Software, Vulnerabilidades Fsi-

cas, Vulnerabilidades de Configuraa o, Falhas na Pol tica, Falhas de Uso.

5. Anatomia de um ataque - Footprinting, Varredura, Enumeraa o, Obtena o de acesso, Aumento de privile gios,

Pilfering, Cobertura, Criaa o de backdoors, Negaa o de servio

6. Tipos de Ataque - Negaa o de servio, Ataque Smurf, Ataque SYN Flood, Ataque UDP Flood, Ataque ICMP Flood,

Ataque Land, Negaa o de Servio Distribu do (DDOS), Rastreamento de Portas (Port Scan), ataque passivo

(Sniffers de Rede)

7. Testes de invaso (Penetration test) - Definia o de Escopo, Objetivo, Teste Black Box, Teste White Box, Princi-

pais te cnicas, Exploraa o (Exploits), Mapeamento de Vulnerabilidades, Quebra de senhas,, spoofing, Roubo de

sessa o, Cuidados com as ferramentas de teste.

32

O curso SEC 105 aborda a segurana em redes e telecomunicao es e abrange as estruturas te cnicas de intercomu-

nicaa o utilizadas para redes locais e de longo alcance, o funcionamento dos protocolos de comunicaa o de dados

mais comumente utilizados e as medidas de segurana dispon veis para fornecer disponibilidade, integridade,

confidencialidade e autenticaa o para as transmisso es sobre redes de comunicaa o pu blicas e privadas.

1. Fundamentos de Rede - Introduz as tecnologias e protocolos utilizados para a comunicaa o de dados, abor-

dando as caracter sticas que sera o fundamentais para entender as vulnerabilidades e proteo es dispon veis

para redes de dados. To picos abordados: A Histo ria da Internet, O Modelo OSI, O TCP/IP (DoD), Camadas do

TCP/IP (Aplicaa o, Transporte, Internet, Acesso a rede), Me todos de Transmissa o, Endereo F sico (MAC

Address), CSMA/CD (Ethernet), CSMA/CA (Wireless), Token.

2. Redes locais - Estuda os componentes e Hardware e Software utilizados para a comunicaa o de dados em re-

des locais: Hubs, Bridges e Switches, Roteadores e Gateways, Firewalls (Filtros de pacotes e Statefull), IDS/

IPS/UTM.

3. Servios de Rede - Oferece ao aluno uma visa o do funcionamento dos principais servios que as empresas dis-

ponibilizam atrave s das redes locais e da Internet. Sa o abordados: DNS, HTTP, HTTPS, SMTP, IPsec, Telnet,

SSH, RDP, VPN.

4. Per metros - Analisa as redes de per metro, ou seja, aquelas que ficam na borda tecnolo gica da empresa e

prestam servios para a Internet . Temas abordados: VLANs, Extranets, acesso interno, subnets, bastion host,

Rede Perimetral, DMZ e screened subnet, roteadores de borda, NAT (esta tico e dina mico).

5. Zonas e Dom nios de confiana - Discute a necessidade de isolamento entre as redes com n veis de segurana

diferentes as tecnologias utilizadas para proporcionar este isolamento. Aborda a criaa o de per metros de

segurana, controle de acesso lo gico, instalaa o e manutena o de Firewalls, desenhos single-box, screened

host, screened subnet.

O Curso SEC 105 aborda o dom nio se-

gurana em telecomunicao es e redes

do CBK

SEC 105 - Segurana em Redes e Telecomunicaes (16 h)

33

6. IDS/IPS/UTM - Estuda as tecnologias utilizadas para detectar e bloquear ataques dentro das redes da organizaa o.

Aborda os me todos de ana lise (Pattern-matching, Anal tico), os componentes (Agente, Coletor de eventos, Base de

dados, Gerenciador central, Sistemas de alerta, Interface gra fica, Comunicaa o, Logs e relato rios, tipos de Resposta,

Timing, Consolidaa o de Logs, IDS/IPS

7. Telecomunicao es e redes de longa dista ncia (PAN, LAN, MAN e WAN) - Apresenta os tipos de redes, de acordo com

seu alcance e tecnologia utilizada. Aborda: Circuit Switched x Packet Switched, circuitos virtuais, DSL, Cable mo-

dems, HDLC e SDLC, X.25, Frame-Relay, MPLS, QoS, VOIP, redes sem fio (Wireless), PSK/Enterprise, WEP, WPA,

WPA2, Bluetooth, telefonia, uso para transmissa o de dados, caixas postais e secreta rias eletro nicas, grampos, cola-

boraa o multim dia, acesso remoto.

8. Ataques a redes - Analisa as formas conhecidas de ataque a s redes de dados, tais como Dos, DDos e spoofing

34

MDULO 1 HISTRICO DA DISCIPLINA

1. Apresenta uma visa o geral das disciplinas relacionadas com a continuidade aplicadas em cena rios diver-

sos ao longo da Histo ria, sua evolua o como instrumento estrate gico e a aplicabilidade como pra tica de

adequaa o da resilie ncia organizacional em diferentes abordagens.

MDULO 2 CONCEITOS FUNDAMENTAIS

1. Apresentaa o dos conceitos que estruturam as pra ticas de continuidade, onde e abordada a definia o de

incidente, a composia o e uso das estrate gias de resposta e os crite rios que devem ser empregados para

definir a composia o e uso de uma Estrate gia para a Continuidade dos Nego cios.

2. Apresenta as teorias que fundamentam a necessidade de resposta e manutena o da continuidade sa o ain-

da explicadas, atrave s da conceituaa o e entendimento dos valores estabelecidos para o Recovery Point

Objective e a composia o do Maximum Tolerable Downtime pelo uso do Recovery Time Objective e Work

Recovery Time.

MDULO 3 O CICLO DA CONTINUIDADE

1. Abordando os componentes da Estrate gia e seus relacionamentos, e apresentado o uso do processo de

resposta a incidentes e compartilhadas experie ncias pra ticas de como fundamentar a tomada de decisa o

para o acionamento da continge ncia.

O Curso GCN 220 aborda o dom nio

Continuidade de Nego cios do CBK

GCN 220 - Fundamentos de Continuidade de Negcios (8 h)

35

2. Apo s o entendimento deste processo, o uso e relacionamentos entre os diversos planos que compo e a Estrate gia

sa o apresentados e fundamentados: o papel dos planos de recuperaa o de desastres e continuidade operacional, o

entendimento do processo de retorno ao Modo Regular e a pra tica de Lio es Aprendidas para a melhoria cont nua

da estrate gia.

MDULO 4 NORMAS E REGULAMENTAES

1. O papel das normas e regulamentao es como direcionadores da Continuidade de Nego cios, abrangendo a adere n-

cia em determinados setores, a aplicabilidade da responsabilidade compartilhada e o entendimento no Co digo Ci-

vil, Sarbanes-Oxley, Basile ia, Resolua o 3380 do Banco Central do Brasil e nos programas de qualidade da Bolsa de

Mercadorias e Futuros.

A Antebellum entende que existem va rias certificao es em segurana da informaa o, cada uma com

foco em diferentes dom nios da mesma. Por este motivo optamos por desenvolver treinamentos indi-

viduais, que da o liberdade para os alunos se capacitarem no (os) dom nio (os) abordado (os) pelo

treinamento que selecionar.

Nossos treinamentos sa o complementares, sem sobreposia o de to picos, para que nossos alunos pos-

sam obter gradualmente diversas certificao es.

Certificaes de Segurana da Informao x Cursos Antebellum

36

TREINAMENTOS

TIC 211 Cloud Computing Preparato rio para

as certificao es

Cloud Foundations

do Exin e Cloud

Essentials da Com-

pTIA

SEC 212 Cloud

Security

Preparato rio para

a certificaa o

CCSK, da Cloud

Security Alliance

TIC 213 - Cloud Ad-

vanced

Preparato rio para a

certificaa o Cloud

advanced do Exin e

Cloud+ da CompTIA

Os Cursos da Antebellum abrangem desde os fundamentos da

computaa o em nuvem (Cloud Computing) ate os requisitos

te cnicos para a criaa o de assim como os princ pios para au-

mentar a segurana dentro desses ambientes.

PBLICO ALVO

Este curso foi desenvolvido para profissionais que utilizam

ou pretendem utilizar servios de TI baseados na Internet.

Dentre esses profissionais destacamos:

Equipe proveniente de provedores de servios inter-

nos e externos

Gestores, Consultores e Pessoal de Suporte, e geren-

tes de projeto de servios de TI

Analistas e gerentes de nego cio

Desenvolvedores, Integradores e arquitetos de siste-

mas



Formao Cloud Computing

DEPOIMENTO

Os treinamentos

ministrados pela

Antebellum na Fidelity

proporcionaram um

excelente alinhamento

entre os

conhecimentos das

rea de Segurana da

Informao e

Tecnologia, resultando

com excelentes

resultados de ambas

as reas no

tratamento dos

assuntos relacionados

Segurana da

Informao.

Eduardo Cabral

Diretor de GRC

Fidelity Processadora e

Servios S.A.

37

Nosso curso abrange todos os to picos abordados nas principais certificao es de mercado, sendo elas CompTIA

Cloud Essentials (CEP), Exin Cloud Fundations (CLOUDF) e parte dos to picos necessa rios para a certificaa o

Certificate of Cloud Security Knowledge (CCSK) da Cloud Security Aliance(CSA)

MDULO 1 PRINCPIOS DE CLOUD COMPUTING

Atrave s do entendimento dos conceitos fundamentais e do histo rico da Computaa o em Nuvem os alunos

estudam as arquiteturas existentes e compreendem os benef cios e limitao es deste modelo.

1) Conceitos Fundamentais - Descreve atrave s das definio es do NIST o que e Cloud Computing, o que e

virtualizaa o, a relaa o entre Cloud Computing e virtualizaa o, os termos mais comumente utilizados e

exemplifica os principais tipos de Cloud Computing, entre eles SaaS, IaaS e Paas.

2) Histrico da Disciplina -Apresenta as origens e evolua o da Computaa o em nuvem, o papel dos

servidores, da virtualizaa o, das redes, da Internet e dos servios gerenciados no Cloud Computing.

3) Arquiteturas de Cloud Computing - Descreve as diferenas do ponto de vista te cnico entre as nuvens

pu blicas e privadas, o que e Service Oriented Architecture e as estruturas em camadas e multipropo sitos de

Datacenter.

4) Benefcios e limitaes da Cloud Computing - Discute os benef cios e limitao es do uso de Cloud

Computing, ale m de indicar os tipos de organizao es que podem se beneficiar mais ou menos com o uso de

Cloud Computing.

5) O Valor da Cloud Computing para o negcio - Indica as semelhanas e benef cios entre Outsourcing e

Cloud Computing. Aborda as caracter sticas de escalabilidade, segurana, independe ncia de hardware, custos

flex veis, Time to Market, distribuia o pela Internet e como elas podem incrementar o valor de nego cio.

TIC 211Cloud Computing (16h)

38

MDULO 2 UTILIZAO DA NUVEM

Neste mo dulo os estudantes aprendem como os usua rios podem acessar as nuvens atrave s de browsers, Thin

Clients e dispositivos mo veis.

1) Acessando a Nuvem - Descreve as caracter sticas de rede para como acessar a nuvem atrave s de

browsers e Thin Clients.

2) Mobilidade e Cloud Computing - Descreve as plataformas dispon veis para acessar a nuvem atrave s de

dispositivos mo veis e as limitao es dessas plataformas.

3) Automao e Self-service - Descreve o papel e o impacto da automaa o das tarefas e do modelo de

servios self-service na nuvem.

MDULO 3 SEGURANA EM CLOUD COMPUTING

Este mo dulo fornece uma extensa preparaa o para as questo es sobre segurana na nuvem, revisando os

conceitos de segurana, riscos, autorizaa o, gesta o de identidades e autorizaa o.

1) Segurana em Cloud Computing - Revisando os conceitos fundamentais de segurana em nuvem

(Confidencialidade, Integridade e Disponibilidade), de autenticaa o (Autenticaa o Autorizaa o e Auditoria) e

os principais riscos de segurana para os ambientes virtualizados.

2) Gesto de Identidades - Descreve o uso de ambientes em federaa o, da gesta o de identidades e os

aspectos de privacidade e conformidade no Cloud Computing.

3) Riscos e desafios tcnicos - Explica os riscos organizacionais, legais e te cnicos espec ficos ou na o do

ambiente de Cloud e os desafios te cnicos e me todos para mitigar os riscos atrave s de te cnicas de gesta o e

recursos tecnolo gicos.

MDULO 4 IMPLEMENTAO E GERENCIAMENTO DE CLOUD COMPUTING

Este mo dulo descreve os componentes, riscos e benef cios para a criaa o de um ambiente privado de Cloud, o

uso de VPNs, alternativas para back-up, e o objetivo do uso de protocolos padra o em Cloud como IPSec,

DMFT, OpenID, etc.

1) Construo de Nuvens Privadas - Descreve os benef cios, elementos da composia o de custos,

principais componentes a serem conectados em uma Private Cloud, ale m dos riscos ao conecta-la a Internet.

39

2) Suporte ao uso e Cloud Computing - Descreve o uso de VPN para acesso a rede local, linguagens de

script e abordagens de back-up em um ambiente de Cloud.

3) Padres em Cloud Computing - Explica detalhadamente os objetivos da padronizaa o e os principais

padro es e protocolos utilizados em Cloud Computing, como WBAM, DMFT, SMI-S, SMASH, HTTP, IPSec,

OpenID.

4) Arquitetura e Desenvolvimento de Aplicaes - Descreve o impacto do ambiente de Cloud

Computing na arquitetura, na segurana e no processo de desenvolvimento de aplicao es.

5) Fatores de sucesso para Adoo de Cloud Computing - Projeto piloto, relaa o com os objetivos

organizacionais, capacidade dos fornecedores, abordagens para migraa o de aplicao es.

6) Impacto e mudanas no servio de TI - Entender estrate gia, desenho, operaa o e transia o de

servios para a nuvem e utilizar uma abordagem baseada no ITIL para explorar o potencial impacto da

Cloud Computing na organizaa o.

MDULO 5 AVALIAO DE CLOUD COMPUTING

Atrave s do entendimento dos conceitos fundamentais e do histo rico da Computaa o em Nuvem os alunos

estudam as arquiteturas existentes e compreendem os benef cios e limitao es deste modelo.

1) Business Case - Discute o processo de seleo dos fornecedores, os custos, possveis economias

e principais benef cios operacionais e de pessoal na utilizaa o do Cloud Computing.

2) Avaliao de Implementaes - Descrevem os fatores para avaliaa o de desempenho, requisitos de

gesta o e fatores de satisfaa o a serem utilizados na avaliaa o dos provedores e de seus servios de Cloud

Computing.

3) Gesto de contratos de Cloud - Discute a gesta o de riscos e as recomendao es para o gerenciamento

de terceiros, os requisitos de segurana a serem inclu dos nas cla usulas contratuais.

4) Compliance em Cloud - Discute os requisitos de Compliance nos contratos de Cloud Computing,

dentre eles as questo es legais, a divisa o de responsabilidades legais, considerao es sobre as capacidades de

eDyscovery, SAS 70, ISO 27001, BS 25999 do contratado, requisitos de auditoria, jurisdia o e localizaa o dos

dados.

40

Prepare-se para obter a certificaa o CCSK (Certificate of Cloud Security Knowledge) emitida pela CSA (Cloud

Security Alliance) e conhea principais aspectos de segurana defendidos na Europa (Enisa) e Estados Unidos

(CSA)

Indicado para profissionais que ja atenderam ao curso TIC 211 Cloud Computing da Antebellum, ou possuem

conhecimento similar.

O curso aborda os to picos da certificaa o CCSK da CSA (Cloud Security Alliance), entidade que promove as me-

lhores pra ticas em cloud computing, e leva o aluno a compreender as implicao es de segurana do uso de servi-

os em nuvem para, se optar por esse modelo, avaliar a forma mais segura de proceder a migraa o.

OBJETIVOS DO CURSO

Ao final do curso o aluno estara apto a explicar, avaliar e planejar:

Conceitos de segurana em Cloud Computing, apresentados no CSA Guide e no Enisa Report;

Definio es de Cloud Computing do NIST;

Considerao es sobre as caracter sticas de portabilidade de provedor;

As seis fases do ciclo de vida da segurana de dados e seus principais elementos;

Considerao es legais, jurisdio es e localizaa o dos dados;

Os custos reais em se portar cada tipo de operaa o para Cloud.

O certificado CCSK (Certificate of Cloud Security Knowledge) atesta que um determinado indiv duo conseguiu

concluir com sucesso um exame que cobre os principais conceitos das orientao es da CSA, bem como dos que

constam no whitepaper da ENISA [European Network and Information Security Agency].

O Curso SEC 212 complementa os concei-

tos aprendidos no TIC 211, cobrindo o

conteu do necessa rio para a certificaa o

CCSK, da Cloud Security Alliance.

SEC 212 - Segurana em Cloud Computing (8 h)

41

Ementa do Treinamento

Segurana em Cloud Computing

Privacidade e Conformidade

Riscos legais e tcnicos

Integrao com o GRC da empresa

Resposta, notificao e remediao de incidentes.

Criptografia de dados na nuvem

Aspectos de Segurana em mquinas virtuais

Conformidade com normas e regulamentaes (Ex: 27001, ISO 27031, BS 25999, SAS 70, e-Discovery, etc.)

Portabilidade entre provedores

Data Security Lifecycle

Segurana para o PCI DSS

42

O Curso SEC 213 aborda as qualificao es

te cnicas dos profissionais envolvidos na

criaa o de ambientes de Cloud Computing..

MDULO 1 CONCEITOS E MODELOS DE CLOUD COMPUTING

Conceitos Fundamentais - Descreve atrave s das definio es do NIST o que e Cloud Computing,, os modelos SaaS, IaaS,

CaaS, Paas, XaaS, DaaS e BPaaS. Modelos de entrega de Cloud - Privada, Pu blica, H brida, Community, hosting on- pre-

misse e off-premisse, diferenas na segurana entre os modelos. Termos e caracter sticas de Cloud - Elasticidade, self-

servisse sob demanda, pay-as-you-grow, chargeback, etc.

MDULO 2 VIRTUALIZAO

Tipos de Hypervisor (I e II), Bare Metal x OS, performance e sobrecarga, proprieta rio e open source,. Criaa o, importa-

a o e exportaa o de templates e ma quinas virtuais, Instalaa o e configuraa o, Snapshots e clonagem, backups de ima-

gens e de arquivos, NIC Virtual, Switches Virtuais, discos virtuais (SCSI/ATA ID), switches virtuais, VLAN. P2V, V2V,

V2P, elasticidade, recursos compartilhados, isolamento de rede e aplicao es, datacenter virtual (NIC, HBA e Router).

MDULO 3 INFRAESTRUTURA

NAS, DAS, SAN, Ethernet, iSCSI, SSDs, RAID, UFS, EXT, NTFS, ZFS, NAT, PAT, VLAN, Subnetting/Supernetting, WLAN,

LAN, MAN, Load Balancing, Utilita rios IP, portas, protocolos, intranets, extranets,

MDULO 4 GERENCIAMENTO DE REDE

SNMP, WMI, IPMI, Syslog, Alertas (SMTP, SMS, SNMP, Servios WEB, Syslog), CPU Virtual, Gesta o de cotas, CPU, Memo -

ria, SSH, RDP, Porta de console, HTTP, etc.

MDULO 5 SEGURANA

ACLs, VPNs, IDS/IPS, DMZ, Logs, Ataques, Segurana em Storages, PKI, IPSEC, SSL/TLS, AES, RSA, Single Sign-on, fede-

raa o, Role Based, MAC, DAC, autenticaa o multifator, hardning, antiv rus, patching, etc.

MDULO 6 GERENCIAMENTO DE SISTEMAS

Planejamento e documentaa o de IP e Rede, CMDB, Upgrades e patches de servidores, performance de disco, melhores

pra ticas para configuraa o de Hipervisor, banda, late ncia de rede, load balancing, etc.

MDULO 7 CONTINUIDADE DE NEGCIOS EM CLOUD

Redunda ncia, failover, diversidade geogra fica, replicaa o, site mirroring, hot site, cold site, etc

TIC 213 - Cloud Advanced (16 h)

43

Fernando Fonseca e analista/programador desde 1985. Graduou-se em proces-

samento de dados pela FUMEC-MG em 1996, e po s graduou-se em Multim dia e

Internet (UFES 2000), Segurana da Informaa o (UNIRIO 2005), Administraa o

de Redes Linux (UFLA 2006) e Strategic Management (La Verne Univer-

sity 2006) ale m de certificar-se por diversos institutos, como o ISC2 (CISSP,

CISSP-ISSAP), EC-Council (CHFI), CompTIA (Security+), Microsoft (MCSE Secu-

rity), Exin (ISFS, ISMAS), Access Data (ACE), Mo dulo MCSO, dentre outras.

Fernando e instrutor certificado pelo PCI Council, EC-Council, Exin e Microsoft,

Fernando atua como instrutor desde 1993, quando ministrava cursos de DOS, Wordstar, Lotus 123 e Dbase no SENAC-

MG, e durante todas as funo es que exerceu em sua carreira continuou a ministrar treinamentos sobre as tecnologias

que trabalhava (Microsoft, Unicenter TNG, Redes, Segurana da Informaa o e computaa o forense). Atua tambe m como

professor universita rio desde 2004, tendo trabalhado nos cursos de graduaa o e po s-graduaa o na Universidade

Anhembi-Morumbi, UNIP, Faculdade Impacta de Tecnologia, Escola Paulista de Direito e UNI-BH.

Na Microsoft, atuou como Test Engineer, e Consultor de segurana da Informaa o, onde foi responsa vel pelo conteu do

dos programas Academia de Segurana da Informaa o, Technet Security Experience e do Fast Start Security. Atuou tam-

be m como Gerente de conteu do da Mo dulo Security Solutions , Coordenador de treinamentos na Techbiz Forense Digi-

tal. Dentro da comunidade de segurana, atuou como Diretor de Comunicaa o do ISSA Brasil Chapter entre 2006 e

2010, e como Vice-presidente entre 2010 a 2012, Sendo o u nico brasileiro a receber o t tulo de Senior Member pela IS-

SA International.

Eduardo V. C. Neves, CISSP, trabalha com Segurana da Informaa o desde 1998. Iniciou sua

carreira profissional em uma das principais empresas de consultoria do mercado brasileiro,

posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10

anos.

Em 2008 fundou a primeira empresa brasileira especializada em Segurana de Aplicao es e

hoje dedica-se a prestar servios de consultoria nas pra ticas de Risk Management, Security

Awareness e Business Continuity. Serve ainda como volunta rio no OWASP e (ISC)2 e contri-

bui para iniciativas de evangelizaa o nas pra ticas de protea o da informaa o para federa-

o es e associao es no Brasil.

Anchises de Paula, CISSP, Analista de Intelige ncia em Segurana da iDefense, Verisign. Pos-

sui extensa experie ncia ha quase 15 anos na coordenaa o e implantaa o de projetos de Se-

gurana da Informaa o em empresas de grande porte como Editora Abril, Compugraf, Ame-

ricel (DF), Telesp Celular (Vivo) e CPM.

Formado em Cie ncia da Computaa o pelo IME-USP, po s-graduado em Marketing pela ESPM

e certificado CISSP, GIAC e ITIL. Tambe m leciona em cursos de po s graduaa o, ale m de pales-

trar em eventos locais e internacionais e ter presidido o Cap tulo Brasil da ISSA de 2008 a

2009. Tambe m e um dos fundadores do cap tulo brasileiro da Cloud Security Alliance e do

primeiro HackerSpace brasileiro.

Nossos Autores e Instrutores

44

NOSSA MISSO

Levar ao pblico tcnico e

gerencial de todo o pas trei-

namentos de alta qualidade

desenvolvidos e continuamen-

te atualizados por uma equipe

de profissionais experientes

que mantm conhecimento

terico nas disciplinas apre-

sentadas e extensa experin-

cia em projetos na rea de

Segurana da Informao.

SATISFAO E CONHECIMENTO EM PRIMEIRO LUGAR

A Antebellum se orgulha de ser sempre bem recebida e avaliada por seus

clientes.

Consideramos a formao profissional uma parceria, entre o provedor de

treinamentos e a organizao patrocinadora para melhorar a qualidade dos

servios prestados, a satisfao e a capacitao dos colaboradores.

Dentre nossos clientes, destacamos algumas empresas conhecidas no cen-

rio nacional e internacional.

Fernando Fonseca, CISSP-ISSAP

Diretor de Ensino

Mobile (11) 96161-1701 | (31) 9887-1701

E-mail: [email protected]

Apostilas coloridas "Ekolgicas"

Este catlogo e todo nosso material didtico impresso na Ekofootprint, utilizando a

tecnologia de cera da Xerox, proporcionando cores vivas utilizando papel reciclado ou

de bagao de cana, com impacto ambiental 92% menor que impressos a laser.

Documents

Catálogo de Cursos da Antebellum