1
Catlogo de Treinamentos PCI-DSS - SEGURANA DA INFORMAO - FORENSE DIGITAL - GRC - CLOUD COMPUTING
2
Antebellum Capacitao Profissional
SOBRE A ANTEBELLUM
Criada em 1997 com a finalidade de prestar servios e treinamentos em Tecnologia da Informaa o, a
Antebellum dedica-se exclusivamente a treinamentos com temas relacionados a Segurana da
Informaa o.
Os cursos da Antebellum nasceram da observaa o de um grupo de instrutores e professores da a rea de
Tecnologia da Informaa o e Segurana da Informaa o, sobre as mudanas nos cena rios nacional e
internacional e as dificuldades encontradas pelos profissionais dessas a reas para na contrataa o de
treinamentos que se encaixassem em suas agendas, oramentos e que ale m de apresentarem seu
conteu do de forma aprofundada e objetiva, refletissem essa qualidade no material do aluno,
transformando-o em uma fonte de refere ncias futuras e apoio ao estudo para certificao es.
Sobre a Antebellum
CARACTERSTICAS DOS TREINAMENTOS
Durante anos levantamos junto a nossos alunos os pontos mais positivos em cada treinamento e as
dificuldades encontradas no aprendizado. Desse estudo nasceu um projeto que contempla soluo es
objetivas para as principais reivindicao es e problemas encontrados por alunos e empresas, destacan-
do-se os seguintes fatores:
Foco na excele ncia na criaa o de conteu do;
Programa de capacitaa o de instrutores;
Treinamentos modulares com imersa o de 1 a 3 dias em temas espec ficos;
Investimento cuidadosamente pensado que seja acess vel para empresas e profissionais indepen-
dentes;
Atendimento a diversas regio es do Brasil, atrave s de sua rede de parceiros criteriosamente sele-
cionados;
Temas atuais com cursos preparato rios para certificao es de grandes organismos internacionais.
Porque antes de tudo mais, preparar-se o segredo do sucesso.
Henry Ford
3
Treinamentos PCI Council
DEPOIMENTO
Temos o prazer de anunciar
nossa primeira parceria
internacional de treinamento e
estamos muito satisfeitos em
associar-nos Antebellum, uma
organizao com conhecimento
profundo dos padres da PCI
A educao um elemento
imprescindvel na segurana de
pagamentos, e o Conselho da PCI
est comprometido com a
expanso de oportunidades de
treinamento da PCI globalmente
Bob Russo,
General Manager, PCI SSC
A Antebellum tem a filosofia de associar-se a empresas no exterior para trazer os melhores treinamentos
em Tecnologia da Informaa o e Segurana da Informaa o para a Ame rica Latina.
A Antebellum foi a u nica empresa no mundo a receber a autorizaa o para ministrar os treinamentos
oficiais do PCI Council
October 02, 2012 10:15 AM Eastern Daylight Time
PCI Security Standards Council anuncia disponibilidade de
treinamento em portugue s no Brasil. Nova organizaa o so cia
brasileira oferecera treinamento de alta qualidade em PCI com
instrutor na l ngua local
O PCI Security Standards Council se associara a Antebellum, uma
empresa brasileira l der em treinamento em TI, para oferecer
cursos orientados por instrutores para o programa de Internal
Security Assessor (ISA) e classe de Conscientizaa o de PCI. Todos
os materiais e discusso es na sala de aula sera o fornecidos em
portugue s.
Fonte: http://www.businesswire.com/news/home/20121002006183/pt
4
OBJETIVOS DO CURSO
Capacitar os alunos a implementar os controles necessrios para atender aos requisitos do PCI DSS;
Facilitar a interao
entre os colaboradores da empresa e os QSAs.
Este curso preparatrio
para a certificao PCI Professional, do PCI Council
A prova de certificao
PCI Professional deve ser obtida diretamente no PCI Council.
Da experie ncia da Antebellum em ministrar os treinamentos oficiais de certi-
ficaa o ISA (Internal Security Assessor) e da constataa o da necessidade de
um treinamento menos focado em auditoria e mais focado na implementaa o
dos controles necessa rios para reforar a segurana de dados de carto es de
pagamento nasceu o treinamento de implementaa o do PCI DSS 3.0.
Este treinamento oferece a oportunidade de aumentar a expertise de seus
colaboradores nos padro es de segurana do PCI Council e a eficie ncia de sua
empresa na implementaa o dos controles necessa rios para atender aos re-
quisitos e alcanar a conformidade com o PCI DSS 3.0.
PR-REQUISITOS
Conhecimentos ba sicos de Tecnologia da Informaa o
PBLICO-ALVO
Todo o pessoal te cnico envolvido com o manuseio de dados cr ticos, mais especifica-
mente os custodiantes das informao es, normalmente pertencentes a a rea de tecno-
logia da informaa o. Dentre esses profissionais destacamos:
Gestores, Consultores e Pessoal de Suporte, e gerentes de projeto de servios de TI
Desenvolvedores, Integradores e arquitetos de sistemas
Engenheiros e especialistas de rede
Profissionais de segurana da informaa o
PCI 501 - Implementando o PCI DSS 3.0 (24 Horas)
5
OBJETIVOS DO CURSO
O Treinamento leva o aluno a conhecer os controles de segurana utilizados na Evolveris, uma empresa fict cia
cujo nome em Latim significa Que esta evoluindo. A Evolveris l der em educaa o ba sica, me dia e universita ria,
ale m de oferecer dezenas de cursos de extensa o e capacitaa o profissional.
Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo internacional, proprieta rio de diversas
universidades e centros de treinamento em todo o mundo. Desde enta o, a empresa tem realizando grandes es-
foros, em todos os sentidos, para se adaptar ao n vel de exige ncia das regulamentao es americanas e europei-
as, assim como atender aos anseios da governana corporativa da empresa
Dentro deste cena rio, este curso apresenta passo a passo as ao es tomadas para a implantaa o dos controles
responsa veis pela conformidade da organizaa o com os requisitos do PCI DSS 3.0, desde a conscientizaa o da
alta gesta o ate a implantaa o de cada um dos controles dentro de uma ordem sugerida pelo pro prio PCI Council.
CONTEDO PROGRAMTICO
A narrativa do curso se da em forma de histo ria, que comea com a chegada de uma nova CEO, com a missa o de
garantir a segurana de dados de carta o de pagamento na Evolveris.
O Curso e dividido em 7 partes com 28 cap tulos, durante os quais as personagens apresentam as pol ticas e as
tecnologias utilizadas para a protea o de dados cr ticos na organizaa o.
6
Parte I Identificando e isolando dados sensveis
Introduo: A Evolveris e o grupo de colaboradores mais envolvido com a segurana da informa-
a o e apresentado aos alunos. Hilda solicita que o CIO da empresa (Willian) faa um levantamento de to-
dos os tipos de dados que a empresa processa e armazena, e em seguida pede que Ol via (Jur dico) iden-
tifique as leis, normas e regulamentao es relacionadas a s atividades da empresa e a esses tipos de dados.
Juntos, Ol via e Wallace (CISO) desenham as pol ticas de retena o de dados e diretrizes para comunica-
a o com portadores de carta o de pagamento para atenderem ao PCI DSS.
Captulo 1 A Evolveris e o PCI Council: Allan, o CSO da Evolveris posiciona a segurana da infor-
maa o no organograma da empresa, explana sobre o enquadramento da Evolveris nos programas de
conformidades das bandeiras de carto es de pagamento e apresenta o PCI Council e seus padro es de segu-
rana para os outros gestores da empresa. Wallace, o CISO, apresenta os componentes de SI (processos,
pessoas e tecnologia), os conceitos de defesa em profundidade, o processo de criaa o de controles de se-
gurana e os tipos e funo es das medidas de segurana existentes.
Captulo 2 Anlise de Riscos: Allan inicia um processo de anlise de riscos baseado nas melho-
res metodologias de mercado, como a ISO 27005 e NIST SP 800-30 revision 1. Para atender ao requisito
12.2 Allan estabelece sistemas de gesta o de riscos com um processo de revisa o anual dos riscos.
Captulo 3 Localizao dos dados: Wallace desenha um diagrama de rede que identifica todos as
conexo es entre o ambiente de dados de portadores de carta o, ou CDE (Cardholder Data Environment), e
demonstra o fluxo de dados de carto es dentro dos sistemas e redes. Adicionalmente, Willian se utiliza de
ferramentas para identificar dados de carto es que possam estar em outras localidades ale m das docu-
mentadas.
Captulo 4 Reteno de Dados: Wallace apresenta os critrios utilizados para armazenamento
de dados de carto es de pagamento na Evolveris.
Captulo 5 Descarte de dados: Wallace apresenta os controles utilizados para a destruio de
dados que na o possuem mais uma necessidade legal ou de nego cio para serem armazenados.
Parte II Protegendo sistemas e redes e preparando-se para responder a falhas
Captulo 6 Definio de escopo: Wallace apresenta a Hilda as estratgias de segurana relacio-
7
nadas a identificaa o do fluxo de dados de portadores de carta o dentro da Evolveris e de todos os compo-
nentes por onde estes dados trafegam, sa o armazenados ou processados.
Captulo 7 Configurao dos ativos de rede: Alex apresenta as polticas de configurao dos ativos
de rede, incluindo as regras de firewall, NAT, te cnicas anti-spoofing e sincronizaa o dos arquivos de confi-
guraa o. Alex especifica tambe m os protocolos em uso e apresenta os mecanismos de deteca o de intrusos
nos diferentes segmentos de rede criados atrave s de per metros que separam diferentes zonas com dife-
rentes n veis de confiana atrave s de firewalls, switches e roteadores.
Captulo 8 Configurao padro: Alex apresenta as polticas definidas para a substituio de se-
nhas dos ativos de rede e dos softwares instalados na Evolveris antes da implantaa o dos mesmos na rede
corporativa.
Captulo 9 Configurao de Endpoint: Wallace apresenta as polticas e configuraes utilizadas
pela Evolveris para a configuraa o do(s) software(s) em execua o nos hosts. Que incluem o antiv rus, fire-
wall pessoal e monitor de integridade nos equipamentos dentro do ambiente de dados do portador de car-
ta o.
Captulo 10 Criptografia Assimtrica: Samuel, o coordenador de infraestrutura apresenta os fun-
damentos da criptografia assime trica, certificados digitais, autoridades certificadoras, Infraestrutura de
chaves pu blicas e assinatura digital.
Captulo 11 Criptografia aplicada transmisso de dados: Samuel continua sua explicao, de-
monstrando como a Evolveris utiliza a criptografia para atingir os objetivos de conformidade e aumentar
a segurana ao transmitir dados de carto es de pagamentos de forma segura, utilizando VPN, SSL/TLS e
WPA.
Captulo 12 Acesso remoto: Samuel apresenta as polticas de acesso remoto, que incluem autenti-
caa o forte, baseada em mais de um fator, as caracter sticas criptogra ficas para acesso administrativo.
Captulo 13 Controles Fsicos: Allan apresenta os controles de segurana fsica como a proteo
do per metro f sico, a reas sens veis, controles de acesso ao ambiente, CFTV, pontos de rede, estao es des-
bloqueadas, informao es nas estao es de trabalho, ale m das pol ticas de controle de dispositivos de paga-
mento com lista de dispositivos, e inspea o perio dica dos mesmos.
8
Captulo 14 Testes de vulnerabilidades: Samuel apresenta as polticas e as metodologias utiliza-
das para realizar os testes trimestrais de vulnerabilidades e os testes anuais de invasa o no ambiente de
dados do portador de carta o.
Captulo 15 Provedores de Servio e Plano de resposta a incidentes: Wallace apresenta as polti-
cas para controle de provedores de servio, os controles para resposta a incidentes de segurana e apre-
senta o plano de resposta a incidentes da Evolveris para o caso de vazamento de dados.
PARTE III SEGURANA EM APLICAES DE PAGAMENTO
Willian apresenta os estudos relacionados a vulnerabilidades de softwares, o processo de criaa o de ex-
ploits, zero-days, os procedimentos a serem adotados pelas empresas para mitigar essas ameaas e as
melhores pra ticas de atualizaa o, ale m das pol ticas de atualizaa o, hardening e privile gio m nimo da
Evolveris
Captulo 16 Configurao: Samuel descreve os procedimentos para criao e manuteno de pa-
dro es de instalaa o e configuraa o segura (hardening) dos componentes do sistema, assim como os pro-
cedimentos criados para que estes sistemas permanecem sempre atualizados e com uma configuraa o
segura em qualquer tipo de componente, incluindo sistemas operacionais, pa ginas WEB, e firmware de
ativos como roteadores e firewalls.
Captulo 17 - Desenvolvimento: Gabriel, o Lenda, explica como os princ pios de segurana no design
e segurana por default sa o aplicados nos desenvolvimentos internos da Evolveris. Apresenta tambe m a
separaa o entre os ambientes de desenvolvimento, teste e produa o, os procedimentos para gesta o de
mudanas em software, treinamento de desenvolvedores e os cuidados tomados na validaa o das entra-
das dos sistemas para evitar falhas de Buffer overflow, SQL Injection.
PARTE IV MONITORAO E CONTROLE DE ACESSO AOS SISTEMAS
Captulo 18 Controle de Acesso: Willian apresenta a poltica de controle de acesso da Evolveris,
as regras para criaa o e manutena o de senhas seguras e os conceitos de gesta o e identidades, identifica-
a o u nica, Need to Know, privile gio m nimo, segregaa o de funo es.
Captulo 19 Reference Monitor: Wallace apresenta os conceitos de Reference Monitor, Trile A,
DACLs, SACLs, Auditoria de eventos (Logs), assim como o processo e a pol tica de auditoria e os cuida-
dos para sincronizaa o de hosts (NTP).
9
Captulo 20 Autenticao: Willian analisa as diferenas entre os processos de autenticao mais
utilizados em sistemas operacionais, como o passwd, SAM, dom nios e Kerberos. Discute tambe m, as pol -
ticas de acesso a banco de dados e autenticaa o com Smatcards.
Captulo 21 Monitoramento: Alex apresenta as polticas e recursos de monitoramento do ambi-
ente utilizados para detectar alterao es em arquivos cr ticos, redes wireless na o autorizadas. O Cap tulo
aborda tecnologias como Scanners de vulnerabilidades, IDS, IPS e NAC.
PARTE V PROTEO DOS DADOS ARMAZENADOS
Captulo 22 Proteo dos dados armazenados: Wallace apresenta as bases da criptografia sim-
trica, truncagem e hash de dados atrave s da teoria e da demonstraa o da criptografia de arquivos, bancos
de dados, discos e backups utilizada na Evolveris para a protea o dos dados armazenados.
Captulo 23 Gerenciamento de Chaves: Samuel apresenta as polticas para gerao, transmisso,
custo dia de chaves criptogra ficas, conhecimento compartilhado, duplo controle e destruia o das chaves.
Captulo 24 Tokenizao: Samuel apresenta os conceitos de Tokenizao e como essa metodolo-
gia vem sendo aplicada dentro da Evolveris para diminuir o impacto de um eventual vazamento de dados.
PARTE VI CONTROLES ADICIONAIS
Captulo 25 Gesto de Mudanas: Wallace apresenta os controles utilizados para garantir uma
gesta o adequada das alterao es realizadas nos componentes dos sistemas da Evolveris, dentre eles a do-
cumentaa o de impacto, aprovaa o da mudana, teste de funcionalidade e procedimentos de retorno.
Captulo 26 Poltica de Segurana: Allan apresenta o processo de criao e aprovao da poltica
de segurana da Evolveris, assim como a sua divulgaa o e a capacitaa o da equipe nos assuntos referentes
a segurana da informaa o.
PARTE VII DOCUMENTAO DO PCI COUNCIL
Captulo 27 Os documentos de apoio: Allan apresenta os documentos disponibilizados pelo PCI
Council para auxiliar as empresas na obtena o da conformidade com os padro es vigentes.
Captulo 28 SAQs, ROCs, AOCs e planilha de controles compensatrios: Allan explica as diferen-
as entre os Questiona rios de auto-avaliaa o (SAQs) e Relato rios de conformidade (ROCs), e Atestados de
Conformidade (AoC), ale m de demonstrar os requisitos e passos para preenchimento da planilha de con-
troles compensato rios
10
Este curso altamente
recomendado para atender ao
requisito 12.6 do PCI DSS
(Conscientizao em
Segurana da Informao)
PCI 502 - Conhecendo o PCI DSS 3.0 (4 Horas)
Um curso aberto ao pu blico geral, feito sob medida para quem quer aprender mais sobre o PCI Council e
como os padro es do PCI ajudam a enderear os desafios de segurana da informaa o na indu stria de
pagamentos com carta o .
O curso e especialmente apropriado para Gerentes de Auditoria, Analistas de Nego cio, Analistas de Cre -
dito, Agentes de Conformidade, Gerentes Financeiros, Gerentes de Segurana da Informaa o, Especialis-
tas em TI, Gerentes de Projeto, Gestores de Risco, Analistas de Segurana, Desenvolvedores, Engenhei-
ros de Software, Administradores de Sistemas, Web Masters.
OBJETIVOS DO CURSO
Apresentar o funcionamento do PCI Council e seus diversos padro es;
Apresentar todos os requisitos do padra o PCI DSS;
Conscientizar cada colaborador de seu papel dentro da segurana dos dados de carta o.
EMENTA DO TREINAMENTO
As bandeiras e o PCI SSC (PCI Council);
Os padro es do PCI Council;
O PCI Data Security Standard (DSS) 3.0;
Visa o geral dos requisitos do PCI, e como eles aumentam a segurana
Pape is e responsabilidades dos colaboradores no programa de conformidade;
Visa o geral das vulnerabilidades;
Objetivo dos controles na o te cnicos do PCI DSS.
11
FOR 401Percia Forense Digital (8 Horas)
O Curso apresenta todos os passos de uma per cia em provas digitais e os fundamentos para uma co-
leta apropriada de evide ncias, garantindo a integridade das provas. Ale m de um conteu do u nico sobre
a legislaa o brasileira, este e o primeiro passo para qualquer certificaa o forense como o CHFI do EC-
Council, GCFA e GCFE do SANS/GIAC.
OBJETIVOS DO CURSO
Diferenciar as implicao es da coleta e ana lise de ind cios e os cuidados para sua transformaa o
em provas, em processos c veis e penais.
Compreender as responsabilidades do First Responder, e como deve ser a preparaa o do mesmo.
Comparar as leis brasileiras a s diretivas acordadas na convena o de Budapeste.
Conhecer os quesitos internacionais para coleta de provas da IOCE
Entender os processos de investigaa o e ana lise de ind cios
EMENTA DO TREINAMENTO
Objetivos da per cia digital
Histo ria da Per cia Forense
Crimes e Provas na visa o do Co digo de Processo Civil e Co digo Penal
Metodologia Forense
Provas l citas e il citas
O Papel do First Responder
Coleta de evide ncias
A Convena o de Budapeste
Provas segundo o IOCE e SWGDE
Legislaa o no Brasil
Investigaa o (Copia Forense, Cadeia de Custo dia)
Ana lise dos ind cios (evide ncias)
Ferramentas de ana lise
Encerramento do caso
Indicado para agentes da lei,
advogados, times de resposta
a incidentes, e profissionais
de TI e Segurana da
Informao.
12
Indicado para agentes da lei,
advogados, times de resposta
a incidentes, e profissionais
de TI e Segurana da
Informao.
FOR 402 - Formao do First Responder (8 Horas)
O Treinamento prepara os profissionais de TI, SI e agentes da lei para abordar incidentes de segurana de
forma organizada e eficiente, minimizando o tempo de parada dos ativos atingidos e preservando as evide n-
cias para uma poss vel investigaa o forense. Este curso e fundamental para qualquer certificaa o forense co-
mo o CHFI do EC-Council, GCFA e GCFE do SANS/GIAC.
OBJETIVOS DO CURSO
Diferenciar os tipos de crimes por computador.
Agir de forma organizada, evitando ao ma ximo a perda ou contaminaa o de provas na hora da coleta.
Documentar de forma correta o ambiente onde encontrou as provas e os procedimentos de aquisia o
Preservar dados vola teis (memo ria) para que na o se percam ao desligar o aparelho.
Identificar a existe ncia de criptografia no disco
Realizar despejos (dumps) de memo ria em Windows, Linux e Mac.
Criar imagens forenses dos dados vola teis e na o vola teis
Evitar as ameaas contra a autenticidade das provas
EMENTA DO TREINAMENTO
Crimes por computador
CSI O que e uma cena de crime (ou de desastre)
Volatilidade das evide ncias
Documentaa o do ambiente
Kits forenses (Cabos, bloqueadores, dispositivos mo veis, CDs, etc)
Tipos de imagem (E01, AFF, RAW)
Identificaa o de evide ncias
Live Analysis, Dump de memo ria e preservaa o de dados vola teis
Identificaa o de criptografia de disco
Utilizaa o de bloqueadores de escrita
Criaa o de imagem de discos e dispositivos USB
Preservaa o da integridade das evide ncias e Cadeia de custo dia
Aquisia o via e-discover
13
FOR 403 - Investigao em Meios Digitais (24 Horas)
O Curso aborda todos os fundamentos necessa rios, ale m das primeiras pra ticas para que os investiga-
dores encontrem, compreendam e analisem evide ncias digitais oriundas de diversas fontes, como
HDs, drives USB, Skype, browsers, P2P, etc. Este curso e fundamental para os cursos de ana lise de
Windows e Unix, assim como qualquer certificaa o forense como o CHFI do EC-Council, GCFA e GCFE
do SANS/GIAC.
OBJETIVOS DO CURSO
Preparar o aluno para localizar e analisar evide ncias digitais
EMENTA DO TREINAMENTO
Ferramentas forenses (FTK, EnCase, WinHex, Freewares)
Te cnicas de triagem
Timezones
Hashes e Fuzzy hashing
Bancos de dados de arquivos conhecidos (bons e ruins)
Procura por arquivos e strings
Histo rico de procura, documentos recentes e URLs digitadas
Exame de dispositivos USB (Primeiro e u ltimo uso, usua rio do dispositivo, etc.)
Recuperaa o de arquivos apagados, Identificaa o de Metadados e Data Carving
Ana lise de mensagens instanta neas (Skype, AIM, MSN) e Yahoo, Hotmail, Gmail, etc.
Ana lise de Browsers (histo rico, cache, downloads, buscas, etc.)
Ana lise de Ana lise de documentos do usua rio (doc, docx, PDF, etc.)
Conceito e ana lise em sistemas de arquivo (FAT, NTFS, Ext, etc.)
Dados Exif (ca mera, resolua o, coordenadas GPS, etc.) e Assinatura de arquivos (Magic Numbers)
Espaos na o alocados e Slack Space
Te cnicas anti-forense
Investigaa o em e-mails (funcionamento, tipos e formato)
Relato rios (suma rio executivo, apresentaa o, conclusa o)
Indicado para agentes da lei,
advogados, times de resposta
a incidentes, e profissionais
de TI e Segurana da
Informao.
14
DEPOIMENTO
O treinamento de GRC da
Antebellum no somente ajuda
a compreender nosso papel
dentro dos objetivos de negcio
como tambm fornece
conhecimentos que ajudam o
aluno compreender o mundo
dos negcios.
Lus Felipe Albuquerque
C&A Modas
MDULO 1 INTRODUO AO GRC
Este mo dulo demostra como incidentes ligados a falhas nas a reas de Governana, Gesta o de Riscos e Confor-
midade podem comprometer o valor de mercado e o lucro das empresas, ale m de apresentar alguns conceitos
importantes para a compreensa o da integraa o de GRC.
A necessidade do GRC
Cases de empresas afetadas por problemas de GRC
Definio es
Stakeholder; Sociedades Ano nimas; Shareholders; Bolsa de Valores
MDULO 2 A HISTRIA DO GRC
Este mo dulo explica, atrave s de eventos histo ricos, como as pessoas se comportavam em relaa o ao risco e
como a matema tica e estat stica criaram uma nova visa o sobre a causa dos eventos. Paralelamente, a histo ria
da Governana Corporativa e contada em uma linha do tempo que comea com a primeira sociedade de ao es
do mundo, em 1250, e avana ate a crise da Enron, que culminou na Lei Sarbanes-Oxley. A linha histo rica da
conformidade aparece como uma resposta a eventos como a quebra da bolsa de NY em 1929 e a quebra da
Enron. Por esse motivo, esses eventos sa o apontados como marcos de governana e conformidade.
TIC 206 - GRC (16 Horas)
15
Risco
A Vontade dos Deuses dita as regras,
Algarismos Indo-Ara bicos
1654 Luca Paccioli e o desafio da renascena
1703 a 1760 - Jabob Bernoulli e a lei dos grandes nu meros
1875 Regressa o a me dia
1952 Ovos em cestas separadas
1992 O Cubo COSO
2004 Coso II
Governana
1250 Societe des Moulins bu Bazacle
1600 Companhia das I ndias orientais
1602 Amsterdam Stock Exchange
1915 a 1929 A Economia Liberal
1929 Euforia na Bolsa de NY
1929 O Crash da Bolsa de NY
1930 A Grande Depressa o
1961 A Criaa o da OECD
1980 O Ativismo de Robert Monks
1992 O Relato rio Cadbury
1999 Os Princ pios de Governana da OECD
Enron
Compliance
1934 New Deal e a SEC
1969 A Criaa o da ISACA
1976 A CVM no Brasil
1973 A Criaa o da IASC
1977 A FCPA
1985 COSO
1992 A Convena o anti-suborno da OECD
1996 HIPAA
1996 Cobit 1.0
1998 The Anti-Bribery Act
1998 O Acordo de Basile ia
1999 Gramm-Leach-Bliley Act
2002 A Lei Sarbanes-Oxley
2004 Basile ia II
2004 IFRS
2005 O Roubo de dados de Carto es de Cre dito na TJX
2006 O PCI Council
2010 Basile ia III
16
MODULO 3 GOVERNANA
Este mo dulo apresenta os conceitos de governana (corporativa e de TI), visando criar um melhor entendi-
mento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecno-
logia da Informaa o e Segurana da Informaa o para que estas a reas estejam alinhadas aos objetivos da alta
gesta o
Governana Corporativa - Definio es do IBGC (Instituto Brasileiro de Governana Corporativa), n veis de
governana e o novo mercado da Bovespa ,transpare ncia, equidade, prestaa o de Contas, responsabilidade
corporativa, conselho de administraa o, relao es com os investidores, gesta o de riscos, relato rio anual, co digo
de conduta.
Governana de TI - Estrutura de governana de TI, estudo da norma ABNT ISO/IEC 38500.
MODULO 4 - GESTO DE RISCOS
Este mo dulo demonstra os conceitos de risco positivo e negativo, que juntos com os conceitos de apetite e to-
lera ncia a riscos demonstram a necessidade do risco para a o crescimento e sucesso das organizao es. O mo -
dulo aborda tambe m todos os conceitos e as principais normas e frameworks para a avaliaa o e tratamento de
riscos.
Definies de risco - Riscos positivos e negativos, fontes de risco, n vel de risco e probabilidade, conseque n-
cia, ana lise quantitativa , qualitativa e semi-quantitativa, matriz de riscos, percepa o de riscos, responsabilida-
de pelo risco, apetite e tolera ncia a riscos
Gesto de Riscos - Princ pios de Gesta o de Riscos, estudo da norma ABNT ISO 31000, crite rios de Risco
(ALARP As Low as Reasonable Practicable), processo de avaliaa o de riscos, tratamento de riscos, monitora-
a o do risco, reporte de riscos, gesta o de riscos atrave s da ABNT ISO 27005, comparaa o do Coso ERM (Coso
II) com a ISO 31000
MDULO 5 - CONFORMIDADE:
Este mo dulo apresenta os principais conceitos relacionados a conformidade, assim como as mais importantes
regulamentao es a s quais as empresas nacionais esta o sujeitas. Ao final dos estudos e apresentada a norma
Australiana de Compliance e os principais pontos abordados por esta.
Conceitos e definio es, sistema normativo (Leis e Regulamentao es), tipos de conformidade, CVM, CVM
358/2002 Fato Relevante, CVM 456/2007 IFRS, decreto 11.638 Contabilidade das Sociedades por
Ao es, Basile ia II e III, Banco Central, resolua o 2554, resolua o 3380, SUSEP 249/2004, culpa e dolo, respon-
sabilidades dos Administradores, lei das S.A.s, business judgement rule, conflito de Interesses, dever de quali-
17
ficar-se e informar-se, dever de informar, dever de sigilo, insider trading, concorre ncia desleal, dever de vigi-
ar, investigar e punir , co digo de e tica, pol tica de propriedade intelectual, pol tica de segurana da informa-
a o, sustentabilidade, a norma AS 3806/2006, o papel do CCO/CECO.
MDULO 6 IT GRC UTILIZANDO O COBIT
Este mo dulo complementa os tre s anteriores ao mostrar o Conjunto Cobit+Vai IT+Risk IT, delimitando o seu
relacionamento com as a reas de Governana, Gesta o de Riscos e Compliance. Em uma segunda etapa, apresen-
tamos o Cobit 5, o framework de GRC da ISACA que integrou o Val IT e RisK IT ao CobiT e tem a proposta de
ser um framework de GRC para qualquer a rea da organizaa o.
Governana de TI segundo o Cobit - A reas de foco na Governana de TI, produtos do CobiT, objetivos e Ar-
quitetura de TI, ciclo de vida de TI, dom nios do CobiT, objetivos de Controle, tabela RACI, modelo de maturi-
dade, objetivos de nego cio, objetivos de nego cio transformados em objetivos de TI, objetivos de TI transforma-
dos em objetivos de processo.
VAL IT - Definia o e Objetivos, os quatro Estamos?, Val IT x CobiT, dom nios e Processos, quadro de ativida-
des, entradas e sa das
Risk IT - Posicionando Cobit, ValIT e RiskIT, hierarquia dos riscos, resposta e priorizaa o de riscos, governan-
a de riscos, avaliaa o de riscos, articulaa o de riscos.
Cobit 5 - Princ pios e aspectos gerais, arquitetura e objetivos em cascata, objetivos de governana, modelo de
Enablers integrados, objetivos de governana, objetivos de TI, governana e gesta o, governana corporativa
de TI, novo modelo de maturidade (ISO 15504), ciclo de implementaa o.
MDULO 7 CONSIDERAES FINAIS
Neste mo dulo trazemos uma reflexa o sobre os desafios para a implantaa o do GRC desde uma definia o do
termo e de sua real funa o ate o perfil do profissional de GRC.
O que esperar do GRC, visa o do modelo de nego cio (OCEG), colaboraa o, stakeholders internos do GRC,
stakeholders externos do GRC, sistemas eficientes, eficazes e responsivos, implantaa o do GRC na organizaa o,
vencendo resiste ncias, perfil do profissional de GRC.
18
TREINAMENTOS
SEC 201Segurana da Infor-
mao com base na ISO
27002
Todos os domnios super-
ficialmente
Preparatrio para a certifi-
cao ISFS do Exin
SEC 202Gesto da Seguran-
a da Informao
Aborda o domnio Gover-
nana e Gesto de Riscos
Preparatrio para a certifi-
cao ISMAS do Exin
SEC 103 Criptografia aplica-
da
Preparatrio para a certifi-
cao CES do EC-Council
SEC 104 Core Security
Aborda os domnios Con-
trole de Acesso, Segurana
em desenvolvimento e
Arquitetura e Design
SEC 105 Segurana em
Redes e Telecomunicaes
Aborda o domnio Segu-
rana em Telecomunica-
es e Redes
GCN 220 Fundamentos de
Continuidade de Negcios
Aborda o domnio Conti-
nuidade de Negcios
10 Domnios da Segurana da Informao segundo a ISC 2 (CBK/CISSP)
A Antebellum desenvolveu um conjunto de treinamentos que
juntos abrangem todos os dom nios da Segurana da Informa-
a o.
A modularizaa o dos treinamentos permite que os alunos
possam assistir a todos os treinamentos sem que precisassem
se ausentar por diversos dias de suas empresas, ou ainda, se-
lecionar os cursos que abordam os temas onde gostariam de
se preparar mais intensamente para provas de certificaa o e
concursos.
Para que o aluno seja recompensado desde o primeiro curso,
o conjunto de treinamentos da Antebellum procura, sempre
que aplica vel, levar o aluno a certificao es intermedia rias ba-
seadas no conteu do do dom nio estudado.
DEPOIMENTO
Os treinamentos
ministrados pela
Antebellum na
Fidelity
proporcionaram um
excelente
alinhamento entre os
conhecimentos das
rea de Segurana
da Informao e
Tecnologia,
resultando em
ganhos substanciais
para ambas as reas
no tratamento dos
assuntos
relacionados
Segurana da
Informao.
Eduardo Cabral
Diretor de GRC
Fidelity Processadora
e Servios S.A.
A Antebellum e reconhecida como uma ACP (Accredited Cour-
se Provider), AEC (Authorized Examination Center) e como
um ATP (Accredited Training Provider ) pelo Exin, um dos
maiores institutos de certificaa o do mundo.
Essas credenciais conferem a Antebellum a capacidade de
fornecer um material reconhecido pelo Exin como preparato -
rio para suas certificao es e o de ministrar cursos oficiais sob
sua chancela.
Formao em Segurana da Informao
19
O conteu do do curso SEC 201 foi cuidadosamente criado para fornecer todos os fundamentos de Segurana da
Informaa o para profissionais de TI que desejam aumentar o seu valor para sua organizaa o e para o mercado, ou
iniciarem-se na a rea de Segurana da Informaa o.
JUSTIFICATIVA
A informaa o sempre foi a mola propulsora das empresas e sua segurana uma pea fundamental para a sobrevi-
ve ncia destas. Com o advento da computaa o, essas informao es se tornaram cada vez mais informao es digitais e
com a comunicaa o em massa promovida pelas novas tecnologias, sua exposia o tornou-se ao mesmo tempo ne-
cessa ria (para as pessoas autorizadas) e um fator de risco a ser tratado com planejamento e processos maduros.
Com o aumento da demanda por servios e das du vidas da comunidade de Tecnologia da Informaa o e Segurana
da Informaa o, a indu stria passou a organizar-se em associao es para discutir soluo es e capacitar a ma o de obra,
visando garantir que os esforos sejam convergentes e que as empresas tenham em seu quadro profissionais ple-
namente capacitados para obter o ma ximo de eficie ncia e segurana dessas tecnologias.
Dentro desse contexto, a ISO desenvolveu a fam lia 27000, dedicada a segurana da informaa o. Sua principal nor-
ma e a ISO 27002 (Antiga ISO 17799), que fornece um co digo de pra ticas para a protea o da informaa o, baseado
na experie ncia de profissionais de todo o mundo, que se reu nem em associao es como a ABNT, para contribuir
para a constante evolua o dessa norma.
OBJETIVOS DO CURSO
O curso visa apresentar os fundamentos da Segurana da Informaa o de acordo com os princ pios descritos na
ISO 27002, assim como alguns tipos de medidas para reduzir os riscos a confidencialidade, integridade e disponi-
bilidade da informaa o dentro de organizao es, de qualquer tipo ou tamanho.
O curso SEC 201 apresenta aos
alunos todos os dom nios do
CBK de forma clara e objetiva.
SEC 201 - Segurana da Informao com base na ISO 27002 (16 H)
20
PBLICO-ALVO
Todo pessoal envolvido com a gesta o da segurana da informaa o, o que inclui os proprieta rios das informa-
o es e os custodiantes das mesmas. Dentre esses profissionais destacamos:
Gestores, consultores, pessoal de suporte e gerentes de projetos de servios de TI;
Analistas e gerentes de a reas de nego cio (financeiro, RH, engenharia, etc);
Desenvolvedores, integradores e arquitetos de sistemas;
Engenheiros e especialistas de rede;
Profissionais de Segurana da Informaa o.
PR-REQUISITOS
Conhecimentos ba sicos de Tecnologia da Informaa o.
CARGA HORRIA
O curso tem duraa o de 16 horas que podem ser distribu das em dois ou quatro dias.
CONTEDO PROGRAMTICO
O curso SEC 201 foi desenvolvido para apresentar os conceitos fundamentais da Segurana da Informaa o,
cobrindo os principais aspectos da ISO 27002 atrave s de exposia o de casos e um exerc cio pra tico ao final de
cada mo dulo para auxiliar na fixaa o do conhecimento adquirido em sala de aula.
O conteu do apresentado em aula e tambe m enriquecido pelo uso de diversos documentos de suporte, artigos
pu blicos sobre o assunto e material exclusivo desenvolvido pela equipe de instrutores da Antebellum.
MDULO 1 INFORMAO E SEGURANA
Apresenta os conceitos fundamentais e de construa o da informaa o e das formas de garantir sua segurana.
1. Conceitos Fundamentais - Explica os conceitos de informao em seus diversos formatos, seu ciclo
de vida, as diferenas entre dados e informaa o e a infraestrutura ba sica para armazenamento e protea o
da mesma.
2. Valor da Informao - Discorre sobre o valor estrate gico da informaa o para as organizao es, como a
informaa o pode influenciar no desempenho da organizaa o e como as pra ticas de segurana da infor-
maa o protegem esse bem da organizaa o.
3. Aspectos de confiabilidade - Apresenta os aspectos da segurana da informao: Confidencialida-
de, Integridade e Disponibilidade (CID), detalhando seus requisitos de avaliaa o.
21
MDULO 2 ALINHAMENTO ESTRATGICO
Este mo dulo introduz alguns conceitos fundamentais para estabelecer a conexa o entre os objetivos da a rea de
Segurana da Informaa o e os objetivos de nego cio das empresas.
1. Governana - Apresenta um modelo de governana corporativa, a diferenciaa o entre governana e gerenci-
amento, o funcionamento e as a reas de foco da governana de TI, um exemplo de Balanced Scorecard (BSC), a
relaa o do BSC com os objetivos de nego cio, o alinhamento dos objetivos de TI/SI com o BSC e os objetivos de
nego cio e os processos que levam a realizaa o dos objetivos de TI.
2. Modelagem de Processos - Mostra como o processo de modelagem pode ajudar a encontrar os ativos
da informaa o que suportam os processos mais cr ticos, facilitando sua classificaa o e uma posterior protea o
proporcional a sua importa ncia para a organizaa o.
3. Classificao da Informao - Mostra como os ativos de informao devem ser classificados por cate-
gorias, de acordo com seu valor para a organizaa o, para que recebam uma protea o proporcional a s suas
necessidades de confidencialidade, disponibilidade e integridade.
MDULO 3 GESTO DE RISCOS
Este mo dulo apresenta os conceitos ba sicos de risco, gesta o de riscos e ana lise e avaliaa o de riscos.
1. Ameaas - Apresenta os conceitos de ameaa, vulnerabilidade e agente de ameaa.
2. Tipos de Ameaa - Apresenta aos alunos os tipos mais comuns de ameaas a segurana da informaa o como:
Co digo Malicioso, V rus, Worm, Spyware, Trojan, Rootkit, Backdoor, Engenharia Social, Hacking, Hoax,
Phishing Scam, Bots, Botnets, Spam e Scam.
3. Dano - Discute o incidente de segurana, a probabilidade, conseque ncia, impacto e danos diretos e indiretos a
organizaa o.
4. Anlise de Riscos - Explica os processos de ana lise (quantitativa e qualitativa) e avaliaa o de riscos, a relaa o
entre uma ameaa e um risco, assim como as estrate gias para tratamento dos riscos e aceitaa o de riscos resi-
duais.
22
MDULO 4 ABORDAGEM E ORGANIZAO
Este mo dulo fornece uma visa o da construa o das pol ticas de segurana e a organizaa o da segurana da
informaa o.
1. Polticas de Segurana - Descreve os objetivos e a composia o de uma pol tica de segurana, assim co-
mo a organizaa o da segurana da informaa o.
2. Organizao da segurana - Apresenta fatores fundamentais para o bom funcionamento da pol tica de
segurana como: co digo de Conduta, propriedade de ativos e pape is principais na Segurana da Informa-
a o.
3. Gesto de Incidentes e escalao - Descreve a importa ncia de uma rotina de gesta o de incidentes,
apresentando um ciclo onde os mesmos devem ser reportados de forma correta, analisados e escalados
funcional ou hierarquicamente. Descreve tambe m os efeitos negativos de eventuais falhas neste proces-
so.
MDULO 5 MEDIDAS DE SEGURANA
Descreve a importa ncia das medidas de segurana para a organizaa o e a forma como sa o estruturadas de
acordo com sua classificaa o e poss vel impacto a organizaa o.
1. Importncia das medidas de segurana - Descreve as formas como as medidas de segurana devem
ser fundamentadas e os tipos e funo es das medidas de segurana existentes.
2. Segurana Fsica - Analisa os riscos envolvendo falhas nas medidas de segurana f sica e fornece exem-
plos de ameaas e medidas relacionadas a segurana f sica.
3. Controles Tecnolgicos - Analisa os riscos envolvendo aspectos tecnolgicos como a m utiliza-
a o e manutena o dos ativos de tecnologia, softwares maliciosos (v rus, trojans, etc) e discute as solu-
o es tecnolo gicas para redua o de riscos como a criptografia sime trica e assime trica, funo es de hash,
certificados digitais, PKI, assinatura digital, VPN, backup e antiv rus.
4. Segurana em Software - Descreve as ameaas decorrentes da falta de uma ana lise de segurana em
todo o processo de desenvolvimento de softwares, excesso de privile gios, falhas de validaa o de entrada
de dados, buffer overflow, SQL injection e a necessidade de manutena o e atualizaa o de qualquer tipo
software, incluindo sistemas operacionais, pa ginas WEB e firmware de ativos como roteadores e fire-
walls. Sa o abordadas tambe m as certificao es do Orange Book e a Common Criteria.
23
5. Medidas organizacionais - Descreve a importa ncia das medidas organizacionais, como a segregaa o de
funo es para a segurana da informaa o e os riscos envolvendo as falhas na criaa o ou aplicaa o dessas me-
didas.
6. Controle de Acesso - Descreve as medidas de segurana relacionadas ao acesso fsico ou lgico das
informao es como o uso de senhas fortes, biometria, autenticaa o com dois fatores, segregaa o de funo es,
autorizaa o e auditoria de acessos.
7. Continuidade de Nego cios - Fornece uma visa o geral sobre as estrate gias de continuidade de nego cios e re-
cuperaa o de desastres, a necessidade de um bom plano de continuidade de nego cios, os passos para a sua
criaa o, as me tricas ba sicas como RPO, RTO, WRT, MTO, SLA e TMP, assim como a importa ncia de sua vali-
daa o e treinamentos e exerc cios para garantir a validade dos planos. .
MDULO 6 CONFORMIDADE
Neste u ltimo mo dulo sa o avaliadas a importa ncia e os efeitos da legislaa o e das regulamentao es para organiza-
a o.
1. Legislao e Regulamentao - Exemplifica leis e regulamentaes relacionadas segurana da in-
formaa o, assim como seus objetivos e controles utilizados para atende -las.
2. Avaliao - Descreve as formas de avaliaa o da efetividade da segurana da informaa o, atrave s de audito-
ria, auto avaliaa o, mensuraa o e geraa o de evide ncias da efetividade das medidas de segurana.
24
MDULO 1 PERSPECTIVAS EM SEGURANA DA INFORMAO
Este mo dulo apresenta os conceitos ba sicos de governana (corporativa e de TI), visando criar um melhor enten-
dimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnolo-
gia da Informaa o e Segurana da Informaa o para que estas a reas estejam alinhadas a s metas, missa o e objetivos
da alta gesta o.
1. Perspectiva do Negcio Trata o papel da Segurana da Informaa o no nego cio, e e capaz de distinguir os
tipos de informaa o com base em seu valor para o nego cio e explicar as caracter sticas de um sistema de gerencia-
mento para segurana da informaa o.
Processos organizacionais;
conformidade legal e regulato ria;
requisitos de privacidade;
arquitetura de segurana corporativa;
due care.
2. Gesto do ciclo de vida da informao Mostra o ciclo de vida da informaa o desde a criaa o, passando por
sua classificaa o, categorizaa o, propriedade, etc.
tipos e classificaa o da informaa o;
pape is e responsabilidades de cada colaborador;
SEC 202 - Gesto da Segurana da Informao (16 Horas)
O Curso SEC 202 aborda o dom nio
Governana e Gesta o de Riscos do CBK
25
3. Perspectiva do Cliente Aborda o ponto de vista do cliente sobre o controle da informaa o e a importa ncia
do controle da informaa o no processo de terceirizaa o.
requisitos para selea o de fornecedores;
due diligence;
evide ncias dos controles de segurana;
requisitos de continuidade de nego cios em terceiros;
mecanismos de escalaa o.
4. Perspectiva do provedor de servios / fornecedor Aborda as responsabilidades do provedor de servios
de informaa o em garantir a segurana, os aspectos da segurana em processos de gerenciamento de servios e
as atividades para conformidade do mesmo.
Alinhamento dos requisitos de segurana;
afirmaa o de gesta o da segurana;
certificaa o em segurana da informaa o;
auditoria de clientes.
MDULO 2 GERENCIAMENTO DE RISCO
Este mo dulo demonstra os conceitos de ana lise de riscos, apetite e tolera ncia a riscos e todos os conceitos e as
principais normas e frameworks para a avaliaa o e tratamento de riscos.
1. Anlise e avaliao de riscos Apresenta os princ pios de gerenciamento de risco, de acordo coma classifi-
caa o de cada ativo.
Ana lise dos riscos (ameaas e vulnerabilidades);
avaliaa o dos riscos (ativos tang veis e intang veis);
ana lise quantitativa;
ana lise qualitativa;
ana lise semi-quantitativa.
2. Controles para tratamento do risco Foca na escolha dos controles dos riscos com base nos requisitos de
Confidencialidade, Integridade e Disponibilidade (CIA) de cada ativo e nos esta gios do ciclo de vida do incidente
ale m de escolher diretrizes relevantes para a aplicaa o dos controles.
estudo da norma ISO IEC/27005;
selea o de medidas de tratamento;
retena o do risco;
redua o de riscos;
compartilhamento/transfere ncia de riscos;
eliminaa o do risco.
26
3. Riscos residuais Aborda os riscos residuais e as estrate gias para lidar com este risco atrave s da:
produa o de casos de nego cios para controles;
produa o de relato rios sobre as ana lises de risco.
4. Comunicao do risco Aborda a tradua o dos riscos de segurana da informaa o em uma linguagem ge-
rencial para atender os requisitos da gesta o e governana da empresa.
Risk Scorecard;
aceitaa o do risco.
MDULO 3 CONTROLES DE SEGURANA DA INFORMAO
Este mo dulo aborda a criaa o de controles diversos para diminuir e monitorar o risco na organizaa o, de acor-
do com o resultado da avaliaa o de riscos da empresa.
1. O Sistema de Gesto da Segurana da Informao (SGSI) Aborda a criaa o de um sistema de gesta o
cont nua da segurana da informaa o, visando identificar e manter os riscos nos patamares deseja veis pela
gesta o e governana da organizaa o.
sistemas de gerenciamento para segurana da informaa o;
o ciclo PDCA;
padro es de mercado (fam lia ISO 27000, Cobit, etc);
gesta o de incidentes de segurana;
me tricas de segurana;
conscientizaa o dos colaboradores.
2. Controles Organizacionais - O aluno adquire conhecimento sobre controles organizacionais, e e capaz de
redigir pol ticas e procedimentos de segurana da informaa o, implementar estrate gias para gerenciamento
de incidentes de segurana da informaa o, realizar uma campanha de conscientizaa o na organizaa o, imple-
mentar pape is e responsabilidades para segurana da informaa o:
co digo de conduta;
pol tica de segurana da informaa o;
Procedimentos;
Guias;
Documentaa o.
3. Controles Tcnicos - O aluno adquire conhecimento sobre controles tcnicos e capaz de explicar a
as arquiteturas de segurana, a finalidade dos servios de segurana, e a importa ncia dos elementos de segu-
rana na infraestrutura.
27
Elementos da arquitetura de segurana;
princ pios de desenho para servios seguros (performance, gesta o de capacidade, resilie ncia, funcionali-
dade, gerenciamento, etc);
princ pios de desenho para ambientes seguros (isolamento, mediaa o completa, resilie ncia, redunda n-
cia, diversidade, etc);
principais servios de segurana (identificaa o, Autorizaa o, Controle de acesso, hardening, etc).
4. Controles Adicionais - Aborda os controles relacionados a segurana f sica, gesta o de pessoas e desenvol-
vimento e teste de planos de continuidade de nego cios. Dentre eles destacamos:
co digo de conduta;
pol tica de segurana da informaa o;
procedimentos de contrataa o;
conscientizaa o e monitoraa o;
desligamento de colaboradores.
PROGRAMA DE CERTIFICAO: SEC-201 (ISFS) E SEC-202 (ISMAS)
O Conteu do dos cursos SEC 201 e SEC 202 foram desenhados pela Antebellum para adequarem-se ao progra-
ma de certificaa o em segurana da informaa o do Instituto EXIN, um dos maiores institutos de certificaa o
do mundo, sendo que o SEC 201 ja foi auditado e reconhecido como preparato rio para a certificaa o ISFS
(Information Security Foundation based on ISO/IEC 27002).
SEC 202
SEC 201
28
O Curso aborda a criptografia desde o in cio de seu uso na antiguidade, antes mesmo da matema tica, ate os dias
de hoje, explicando cada algoritmo em uma linha evolutiva e temporal.
OBJETIVOS DO CURSO
O Curso explica os conceitos criptogra ficos e mostra a utilizaa o destes algoritmos na protea o dos dados, nos
dias de hoje. O curso mostra tambe m o funcionamento de diversos dispositivos criptogra ficos da atualidade.
A grade do curso e totalmente compat vel e prepara o aluno para a certificaa o CES (Certified Encryption Specia-
list) do EC-Council.
PBLICO-ALVO
Todo o pessoal te cnico envolvido com o manuseio de dados cr ticos, mais especificamente os custodiantes das
informao es, normalmente pertencentes a a rea de tecnologia da informaa o. Dentre esses profissionais destaca-
mos:
Desenvolvedores, Integradores e arquitetos de sistemas
Engenheiros e especialistas de rede
Profissionais de segurana da informaa o
PR-REQUISITOS
Conhecimentos ba sicos de Tecnologia da Informaa o.
MDULO 1 CONCEITOS DE CRIPTOGRAFIA
Apresenta aos alunos a evolua o da criptografia e todo o fundamento teo rico para o estudo pra tico dos protoco-
los.
O Curso SEC 103 aborda o dom nio
Criptografia do CBK
SEC 103 - Criptografia Aplicada (16 Horas)
29
1. Conceitos gerais - Descreve a evoluo da criptografia, o conceito de chaves a criptografia sim-
trica e os conceitos de substituia o e transposia o.
2. Criptografia automatizada - Mostra as primeiras ma quinas de criptografia, a ma quina Enigma, as
operao es booleanas (M, AND, OR, XOR), a funa o de feistel e o princ pio de Kerckhoffs.
3. Algortmos simtricos - Aborda o funcionamento e compara os algoritmos LUCIFER, DES, 3DES,
DESx, Blowfish, Serpent, Twofish, Skipjack, IDEA e AES. Explica tambe m a utilidade do vetor de iniciali-
zaa o e a diferena entre a criptografia de bloco e fluxo e os modos (EBC, CBC, PCBC, CFB, OFB e CTR).
4. Algoritmos de Hash - Explica o funcionamento de um algoritmo de hash, o hash salt e a diferena
entre os principais algoritmos, como o MD2, MD5, MD6, SHA-1, SHA-256, Fork 256, RIPEND 160, GOST,
Tiger e CryptoBenc.
5. Criptografia assimtrica - Conta a histo ria da criaa o da criptografia assime trica, do algoritmo Diffie-
Helman, do paper de Diffie e a criaa o do RSA, o algoritmos de curva el ptica, o Elgamal, etc.
6. Esteganografia - Descreve as origens da te cnica de esconder as mensagens, seu uso com texto, ima-
gens, a udio, v deo e as formas de sua implementaa o.
MDULO 2 CRIPTOGRAFIA APLICADA COMUNICAO E ARMAZENAMENTO
Este mo dulo introduz aos alunos as bases da criptografia sime trica e assime trica, assim como os princi-
pais algoritmos utilizados nos meios de comunicaa o e armazenamento de dados na atualidade.
1. Certificao Digital - Explica a assinatura digital, o Certificado digital, os certificados X-509 e o funci-
onamento das PKI (Public Key Infraestructure).
2. Protocolos e a criptografia - Mostra o funcionamento e a forma como a criptografia utilizada
(ou na o) em protocolos como PAP, S-PAP, CHAP, Kerberos, PGP, WEP, WPA, WPA2, SSL, TLS, VPN, PPP,
EFS e Bitlocker.
3. Criptografia aplicada - Mostra o funcionamento de diversos dispositivos do cotidiano que se utilizam
da criptografia para transmissa o e armazenamento de dados.
4. Hardware Criptogrfico - Mostra o funcionamento dos dispositivos desenhados para criptografia,
como os chips de carto es RSA e EMV, os chips TPM e as HSM.
5. Criptoanlise - Demostra te cnicas para quebra da criptografia como Ana lise de freque ncia, Kasiski,
criptoana lise linear, diferencial e integral, rainbow tables e ferramentas de cracking.
30
MDULO 1 CONTROLE DE ACESSO
Este mo dulo discute os meios para controle de acesso lo gico, desde os modelos conceituais ate as tecnologias recentes
de controle de acesso e monitoraa o.
1. Conceitos gerais - Descreve os conceitos de Identificao e Autenticao, ID nico, Privilgio Mnimo e Ne-
ed to Know, Triple A (Autenticaa o, Autorizaa o e Auditoria), ale m de apresentar as diferenas entre os modelos
de segurana MAC (Mandato rio: Biba, Bell LaPadula,) e DAC (Discriciona rio: ClarkWilson, etc).
2. Reference Monitor - Apresenta a entidade Reference Monitor, ACLs e DACLs, Auditoria de eventos (Logs),
Protea o de Objetos, Trusted Path, Complete Mediation e o conceito de Security Kernel.
3. Implementaes - Arquivos de senha (passwd) e domnios (NTLM e NIS), X500 e LDAP, Single Sign On e
Web Single Sign On, Federaa o.
4. Administrao - Gesto de identidades e Polticas de troca de senha.
MDULO 2 ARQUITETURA DE SOFTWARE
Este mo dulo discute a arquitetura de software e sistemas operacionais, assim como os cuidados no desenvolvimento
dos mesmos para que tragam o m nimo de vulnerabilidades para o ambiente.
1. Sistemas Operacionais - Sistemas de 8, 16, 32 e 64 Bits, Modo real x Modo protegido, Multiprocessamento, Multi-
tarefa e Multithread, Arquitetura do Windows, Arquitetura do Unix, Sistemas de Arquivos, Contas de usua rio, N -
veis de privile gio, superusua rios, isolamento de processos, Ring protection, Registro de Log, Firewall Pessoal, Atu-
alizao es, Backup, Data Hiding, Arquiteturas de Virtualizaa o.
2. Arquitetura de Software - Metodologias para Desenvolvimento de Softwares, Metodologias de segurana, Con-
ceitos e Mecanismos de Protea o, Princ pios de Design Seguro, Verificaa o de entrada de dados, Regulamentao es,
Privacidade e Compliance,.
SEC 104 - Core Security (16 h)
O Curso SEC 103 aborda os dom nios con-
trole de acesso, segurana em desenvolvi-
mento, arquitetura e design e do CBK
31
3. Segurana em Software - Descreve as ameaas decorrentes da falta de uma ana lise de segurana em todo o pro-
cesso de desenvolvimento de softwares como Buffer Overflow, SQL Injection, trapdoors e a necessidade de manu-
tena o e atualizaa o de qualquer tipo software, incluindo sistemas operacionais, pa ginas WEB, e firmware de ati-
vos como roteadores e firewalls. Aborda tambe m as metodologias de desenvolvimento seguro e Fuzzing.
MDULO 3 GESTO DE VULNERABILIDADES
Este mo dulo discute os cuidados e as formas de se gerir as vulnerabilidades do ambiente da organizaa o, e diminuir a
probabilidades de ataques que se valem dessas vulnerabilidades.
1. Hardening e gerenciamento de atualizaes - Descreve o processo de criao de exploits, os zero-days, e os
procedimentos a serem adotados pelas empresas para mitigar essas ameaas, como as boas pra ticas para gesta o
de atualizao es em Windows, Unix e Aplicativos
2. Programas AntiMalware - Explica a necessidade e os requisitos de gesta o dos softwares antimalware dentro das
organizao es
3. Normatizao de Segurana - Normas e Boas Pra ticas Desenvolvimento Seguro (e.g., ISO 2700x, OWASP) ,TCSec,
ITSec, Common Criteria (ISO 15408), etc.
4. Vulnerabilidades - Vulnerabilidades em Hardware, Vulnerabilidades em Software, Vulnerabilidades Fsi-
cas, Vulnerabilidades de Configuraa o, Falhas na Pol tica, Falhas de Uso.
5. Anatomia de um ataque - Footprinting, Varredura, Enumeraa o, Obtena o de acesso, Aumento de privile gios,
Pilfering, Cobertura, Criaa o de backdoors, Negaa o de servio
6. Tipos de Ataque - Negaa o de servio, Ataque Smurf, Ataque SYN Flood, Ataque UDP Flood, Ataque ICMP Flood,
Ataque Land, Negaa o de Servio Distribu do (DDOS), Rastreamento de Portas (Port Scan), ataque passivo
(Sniffers de Rede)
7. Testes de invaso (Penetration test) - Definia o de Escopo, Objetivo, Teste Black Box, Teste White Box, Princi-
pais te cnicas, Exploraa o (Exploits), Mapeamento de Vulnerabilidades, Quebra de senhas,, spoofing, Roubo de
sessa o, Cuidados com as ferramentas de teste.
32
O curso SEC 105 aborda a segurana em redes e telecomunicao es e abrange as estruturas te cnicas de intercomu-
nicaa o utilizadas para redes locais e de longo alcance, o funcionamento dos protocolos de comunicaa o de dados
mais comumente utilizados e as medidas de segurana dispon veis para fornecer disponibilidade, integridade,
confidencialidade e autenticaa o para as transmisso es sobre redes de comunicaa o pu blicas e privadas.
1. Fundamentos de Rede - Introduz as tecnologias e protocolos utilizados para a comunicaa o de dados, abor-
dando as caracter sticas que sera o fundamentais para entender as vulnerabilidades e proteo es dispon veis
para redes de dados. To picos abordados: A Histo ria da Internet, O Modelo OSI, O TCP/IP (DoD), Camadas do
TCP/IP (Aplicaa o, Transporte, Internet, Acesso a rede), Me todos de Transmissa o, Endereo F sico (MAC
Address), CSMA/CD (Ethernet), CSMA/CA (Wireless), Token.
2. Redes locais - Estuda os componentes e Hardware e Software utilizados para a comunicaa o de dados em re-
des locais: Hubs, Bridges e Switches, Roteadores e Gateways, Firewalls (Filtros de pacotes e Statefull), IDS/
IPS/UTM.
3. Servios de Rede - Oferece ao aluno uma visa o do funcionamento dos principais servios que as empresas dis-
ponibilizam atrave s das redes locais e da Internet. Sa o abordados: DNS, HTTP, HTTPS, SMTP, IPsec, Telnet,
SSH, RDP, VPN.
4. Per metros - Analisa as redes de per metro, ou seja, aquelas que ficam na borda tecnolo gica da empresa e
prestam servios para a Internet . Temas abordados: VLANs, Extranets, acesso interno, subnets, bastion host,
Rede Perimetral, DMZ e screened subnet, roteadores de borda, NAT (esta tico e dina mico).
5. Zonas e Dom nios de confiana - Discute a necessidade de isolamento entre as redes com n veis de segurana
diferentes as tecnologias utilizadas para proporcionar este isolamento. Aborda a criaa o de per metros de
segurana, controle de acesso lo gico, instalaa o e manutena o de Firewalls, desenhos single-box, screened
host, screened subnet.
O Curso SEC 105 aborda o dom nio se-
gurana em telecomunicao es e redes
do CBK
SEC 105 - Segurana em Redes e Telecomunicaes (16 h)
33
6. IDS/IPS/UTM - Estuda as tecnologias utilizadas para detectar e bloquear ataques dentro das redes da organizaa o.
Aborda os me todos de ana lise (Pattern-matching, Anal tico), os componentes (Agente, Coletor de eventos, Base de
dados, Gerenciador central, Sistemas de alerta, Interface gra fica, Comunicaa o, Logs e relato rios, tipos de Resposta,
Timing, Consolidaa o de Logs, IDS/IPS
7. Telecomunicao es e redes de longa dista ncia (PAN, LAN, MAN e WAN) - Apresenta os tipos de redes, de acordo com
seu alcance e tecnologia utilizada. Aborda: Circuit Switched x Packet Switched, circuitos virtuais, DSL, Cable mo-
dems, HDLC e SDLC, X.25, Frame-Relay, MPLS, QoS, VOIP, redes sem fio (Wireless), PSK/Enterprise, WEP, WPA,
WPA2, Bluetooth, telefonia, uso para transmissa o de dados, caixas postais e secreta rias eletro nicas, grampos, cola-
boraa o multim dia, acesso remoto.
8. Ataques a redes - Analisa as formas conhecidas de ataque a s redes de dados, tais como Dos, DDos e spoofing
34
MDULO 1 HISTRICO DA DISCIPLINA
1. Apresenta uma visa o geral das disciplinas relacionadas com a continuidade aplicadas em cena rios diver-
sos ao longo da Histo ria, sua evolua o como instrumento estrate gico e a aplicabilidade como pra tica de
adequaa o da resilie ncia organizacional em diferentes abordagens.
MDULO 2 CONCEITOS FUNDAMENTAIS
1. Apresentaa o dos conceitos que estruturam as pra ticas de continuidade, onde e abordada a definia o de
incidente, a composia o e uso das estrate gias de resposta e os crite rios que devem ser empregados para
definir a composia o e uso de uma Estrate gia para a Continuidade dos Nego cios.
2. Apresenta as teorias que fundamentam a necessidade de resposta e manutena o da continuidade sa o ain-
da explicadas, atrave s da conceituaa o e entendimento dos valores estabelecidos para o Recovery Point
Objective e a composia o do Maximum Tolerable Downtime pelo uso do Recovery Time Objective e Work
Recovery Time.
MDULO 3 O CICLO DA CONTINUIDADE
1. Abordando os componentes da Estrate gia e seus relacionamentos, e apresentado o uso do processo de
resposta a incidentes e compartilhadas experie ncias pra ticas de como fundamentar a tomada de decisa o
para o acionamento da continge ncia.
O Curso GCN 220 aborda o dom nio
Continuidade de Nego cios do CBK
GCN 220 - Fundamentos de Continuidade de Negcios (8 h)
35
2. Apo s o entendimento deste processo, o uso e relacionamentos entre os diversos planos que compo e a Estrate gia
sa o apresentados e fundamentados: o papel dos planos de recuperaa o de desastres e continuidade operacional, o
entendimento do processo de retorno ao Modo Regular e a pra tica de Lio es Aprendidas para a melhoria cont nua
da estrate gia.
MDULO 4 NORMAS E REGULAMENTAES
1. O papel das normas e regulamentao es como direcionadores da Continuidade de Nego cios, abrangendo a adere n-
cia em determinados setores, a aplicabilidade da responsabilidade compartilhada e o entendimento no Co digo Ci-
vil, Sarbanes-Oxley, Basile ia, Resolua o 3380 do Banco Central do Brasil e nos programas de qualidade da Bolsa de
Mercadorias e Futuros.
A Antebellum entende que existem va rias certificao es em segurana da informaa o, cada uma com
foco em diferentes dom nios da mesma. Por este motivo optamos por desenvolver treinamentos indi-
viduais, que da o liberdade para os alunos se capacitarem no (os) dom nio (os) abordado (os) pelo
treinamento que selecionar.
Nossos treinamentos sa o complementares, sem sobreposia o de to picos, para que nossos alunos pos-
sam obter gradualmente diversas certificao es.
Certificaes de Segurana da Informao x Cursos Antebellum
36
TREINAMENTOS
TIC 211 Cloud Computing Preparato rio para
as certificao es
Cloud Foundations
do Exin e Cloud
Essentials da Com-
pTIA
SEC 212 Cloud
Security
Preparato rio para
a certificaa o
CCSK, da Cloud
Security Alliance
TIC 213 - Cloud Ad-
vanced
Preparato rio para a
certificaa o Cloud
advanced do Exin e
Cloud+ da CompTIA
Os Cursos da Antebellum abrangem desde os fundamentos da
computaa o em nuvem (Cloud Computing) ate os requisitos
te cnicos para a criaa o de assim como os princ pios para au-
mentar a segurana dentro desses ambientes.
PBLICO ALVO
Este curso foi desenvolvido para profissionais que utilizam
ou pretendem utilizar servios de TI baseados na Internet.
Dentre esses profissionais destacamos:
Equipe proveniente de provedores de servios inter-
nos e externos
Gestores, Consultores e Pessoal de Suporte, e geren-
tes de projeto de servios de TI
Analistas e gerentes de nego cio
Desenvolvedores, Integradores e arquitetos de siste-
mas
Engenheiros e especialistas de rede
Profissionais de segurana da informaa o
Formao Cloud Computing
DEPOIMENTO
Os treinamentos
ministrados pela
Antebellum na Fidelity
proporcionaram um
excelente alinhamento
entre os
conhecimentos das
rea de Segurana da
Informao e
Tecnologia, resultando
com excelentes
resultados de ambas
as reas no
tratamento dos
assuntos relacionados
Segurana da
Informao.
Eduardo Cabral
Diretor de GRC
Fidelity Processadora e
Servios S.A.
37
Nosso curso abrange todos os to picos abordados nas principais certificao es de mercado, sendo elas CompTIA
Cloud Essentials (CEP), Exin Cloud Fundations (CLOUDF) e parte dos to picos necessa rios para a certificaa o
Certificate of Cloud Security Knowledge (CCSK) da Cloud Security Aliance(CSA)
MDULO 1 PRINCPIOS DE CLOUD COMPUTING
Atrave s do entendimento dos conceitos fundamentais e do histo rico da Computaa o em Nuvem os alunos
estudam as arquiteturas existentes e compreendem os benef cios e limitao es deste modelo.
1) Conceitos Fundamentais - Descreve atrave s das definio es do NIST o que e Cloud Computing, o que e
virtualizaa o, a relaa o entre Cloud Computing e virtualizaa o, os termos mais comumente utilizados e
exemplifica os principais tipos de Cloud Computing, entre eles SaaS, IaaS e Paas.
2) Histrico da Disciplina -Apresenta as origens e evolua o da Computaa o em nuvem, o papel dos
servidores, da virtualizaa o, das redes, da Internet e dos servios gerenciados no Cloud Computing.
3) Arquiteturas de Cloud Computing - Descreve as diferenas do ponto de vista te cnico entre as nuvens
pu blicas e privadas, o que e Service Oriented Architecture e as estruturas em camadas e multipropo sitos de
Datacenter.
4) Benefcios e limitaes da Cloud Computing - Discute os benef cios e limitao es do uso de Cloud
Computing, ale m de indicar os tipos de organizao es que podem se beneficiar mais ou menos com o uso de
Cloud Computing.
5) O Valor da Cloud Computing para o negcio - Indica as semelhanas e benef cios entre Outsourcing e
Cloud Computing. Aborda as caracter sticas de escalabilidade, segurana, independe ncia de hardware, custos
flex veis, Time to Market, distribuia o pela Internet e como elas podem incrementar o valor de nego cio.
TIC 211Cloud Computing (16h)
38
MDULO 2 UTILIZAO DA NUVEM
Neste mo dulo os estudantes aprendem como os usua rios podem acessar as nuvens atrave s de browsers, Thin
Clients e dispositivos mo veis.
1) Acessando a Nuvem - Descreve as caracter sticas de rede para como acessar a nuvem atrave s de
browsers e Thin Clients.
2) Mobilidade e Cloud Computing - Descreve as plataformas dispon veis para acessar a nuvem atrave s de
dispositivos mo veis e as limitao es dessas plataformas.
3) Automao e Self-service - Descreve o papel e o impacto da automaa o das tarefas e do modelo de
servios self-service na nuvem.
MDULO 3 SEGURANA EM CLOUD COMPUTING
Este mo dulo fornece uma extensa preparaa o para as questo es sobre segurana na nuvem, revisando os
conceitos de segurana, riscos, autorizaa o, gesta o de identidades e autorizaa o.
1) Segurana em Cloud Computing - Revisando os conceitos fundamentais de segurana em nuvem
(Confidencialidade, Integridade e Disponibilidade), de autenticaa o (Autenticaa o Autorizaa o e Auditoria) e
os principais riscos de segurana para os ambientes virtualizados.
2) Gesto de Identidades - Descreve o uso de ambientes em federaa o, da gesta o de identidades e os
aspectos de privacidade e conformidade no Cloud Computing.
3) Riscos e desafios tcnicos - Explica os riscos organizacionais, legais e te cnicos espec ficos ou na o do
ambiente de Cloud e os desafios te cnicos e me todos para mitigar os riscos atrave s de te cnicas de gesta o e
recursos tecnolo gicos.
MDULO 4 IMPLEMENTAO E GERENCIAMENTO DE CLOUD COMPUTING
Este mo dulo descreve os componentes, riscos e benef cios para a criaa o de um ambiente privado de Cloud, o
uso de VPNs, alternativas para back-up, e o objetivo do uso de protocolos padra o em Cloud como IPSec,
DMFT, OpenID, etc.
1) Construo de Nuvens Privadas - Descreve os benef cios, elementos da composia o de custos,
principais componentes a serem conectados em uma Private Cloud, ale m dos riscos ao conecta-la a Internet.
39
2) Suporte ao uso e Cloud Computing - Descreve o uso de VPN para acesso a rede local, linguagens de
script e abordagens de back-up em um ambiente de Cloud.
3) Padres em Cloud Computing - Explica detalhadamente os objetivos da padronizaa o e os principais
padro es e protocolos utilizados em Cloud Computing, como WBAM, DMFT, SMI-S, SMASH, HTTP, IPSec,
OpenID.
4) Arquitetura e Desenvolvimento de Aplicaes - Descreve o impacto do ambiente de Cloud
Computing na arquitetura, na segurana e no processo de desenvolvimento de aplicao es.
5) Fatores de sucesso para Adoo de Cloud Computing - Projeto piloto, relaa o com os objetivos
organizacionais, capacidade dos fornecedores, abordagens para migraa o de aplicao es.
6) Impacto e mudanas no servio de TI - Entender estrate gia, desenho, operaa o e transia o de
servios para a nuvem e utilizar uma abordagem baseada no ITIL para explorar o potencial impacto da
Cloud Computing na organizaa o.
MDULO 5 AVALIAO DE CLOUD COMPUTING
Atrave s do entendimento dos conceitos fundamentais e do histo rico da Computaa o em Nuvem os alunos
estudam as arquiteturas existentes e compreendem os benef cios e limitao es deste modelo.
1) Business Case - Discute o processo de seleo dos fornecedores, os custos, possveis economias
e principais benef cios operacionais e de pessoal na utilizaa o do Cloud Computing.
2) Avaliao de Implementaes - Descrevem os fatores para avaliaa o de desempenho, requisitos de
gesta o e fatores de satisfaa o a serem utilizados na avaliaa o dos provedores e de seus servios de Cloud
Computing.
3) Gesto de contratos de Cloud - Discute a gesta o de riscos e as recomendao es para o gerenciamento
de terceiros, os requisitos de segurana a serem inclu dos nas cla usulas contratuais.
4) Compliance em Cloud - Discute os requisitos de Compliance nos contratos de Cloud Computing,
dentre eles as questo es legais, a divisa o de responsabilidades legais, considerao es sobre as capacidades de
eDyscovery, SAS 70, ISO 27001, BS 25999 do contratado, requisitos de auditoria, jurisdia o e localizaa o dos
dados.
40
Prepare-se para obter a certificaa o CCSK (Certificate of Cloud Security Knowledge) emitida pela CSA (Cloud
Security Alliance) e conhea principais aspectos de segurana defendidos na Europa (Enisa) e Estados Unidos
(CSA)
Indicado para profissionais que ja atenderam ao curso TIC 211 Cloud Computing da Antebellum, ou possuem
conhecimento similar.
O curso aborda os to picos da certificaa o CCSK da CSA (Cloud Security Alliance), entidade que promove as me-
lhores pra ticas em cloud computing, e leva o aluno a compreender as implicao es de segurana do uso de servi-
os em nuvem para, se optar por esse modelo, avaliar a forma mais segura de proceder a migraa o.
OBJETIVOS DO CURSO
Ao final do curso o aluno estara apto a explicar, avaliar e planejar:
Conceitos de segurana em Cloud Computing, apresentados no CSA Guide e no Enisa Report;
Definio es de Cloud Computing do NIST;
Considerao es sobre as caracter sticas de portabilidade de provedor;
As seis fases do ciclo de vida da segurana de dados e seus principais elementos;
Considerao es legais, jurisdio es e localizaa o dos dados;
Os custos reais em se portar cada tipo de operaa o para Cloud.
O certificado CCSK (Certificate of Cloud Security Knowledge) atesta que um determinado indiv duo conseguiu
concluir com sucesso um exame que cobre os principais conceitos das orientao es da CSA, bem como dos que
constam no whitepaper da ENISA [European Network and Information Security Agency].
O Curso SEC 212 complementa os concei-
tos aprendidos no TIC 211, cobrindo o
conteu do necessa rio para a certificaa o
CCSK, da Cloud Security Alliance.
SEC 212 - Segurana em Cloud Computing (8 h)
41
Ementa do Treinamento
Segurana em Cloud Computing
Privacidade e Conformidade
Riscos legais e tcnicos
Integrao com o GRC da empresa
Resposta, notificao e remediao de incidentes.
Criptografia de dados na nuvem
Aspectos de Segurana em mquinas virtuais
Conformidade com normas e regulamentaes (Ex: 27001, ISO 27031, BS 25999, SAS 70, e-Discovery, etc.)
Portabilidade entre provedores
Data Security Lifecycle
Segurana para o PCI DSS
42
O Curso SEC 213 aborda as qualificao es
te cnicas dos profissionais envolvidos na
criaa o de ambientes de Cloud Computing..
MDULO 1 CONCEITOS E MODELOS DE CLOUD COMPUTING
Conceitos Fundamentais - Descreve atrave s das definio es do NIST o que e Cloud Computing,, os modelos SaaS, IaaS,
CaaS, Paas, XaaS, DaaS e BPaaS. Modelos de entrega de Cloud - Privada, Pu blica, H brida, Community, hosting on- pre-
misse e off-premisse, diferenas na segurana entre os modelos. Termos e caracter sticas de Cloud - Elasticidade, self-
servisse sob demanda, pay-as-you-grow, chargeback, etc.
MDULO 2 VIRTUALIZAO
Tipos de Hypervisor (I e II), Bare Metal x OS, performance e sobrecarga, proprieta rio e open source,. Criaa o, importa-
a o e exportaa o de templates e ma quinas virtuais, Instalaa o e configuraa o, Snapshots e clonagem, backups de ima-
gens e de arquivos, NIC Virtual, Switches Virtuais, discos virtuais (SCSI/ATA ID), switches virtuais, VLAN. P2V, V2V,
V2P, elasticidade, recursos compartilhados, isolamento de rede e aplicao es, datacenter virtual (NIC, HBA e Router).
MDULO 3 INFRAESTRUTURA
NAS, DAS, SAN, Ethernet, iSCSI, SSDs, RAID, UFS, EXT, NTFS, ZFS, NAT, PAT, VLAN, Subnetting/Supernetting, WLAN,
LAN, MAN, Load Balancing, Utilita rios IP, portas, protocolos, intranets, extranets,
MDULO 4 GERENCIAMENTO DE REDE
SNMP, WMI, IPMI, Syslog, Alertas (SMTP, SMS, SNMP, Servios WEB, Syslog), CPU Virtual, Gesta o de cotas, CPU, Memo -
ria, SSH, RDP, Porta de console, HTTP, etc.
MDULO 5 SEGURANA
ACLs, VPNs, IDS/IPS, DMZ, Logs, Ataques, Segurana em Storages, PKI, IPSEC, SSL/TLS, AES, RSA, Single Sign-on, fede-
raa o, Role Based, MAC, DAC, autenticaa o multifator, hardning, antiv rus, patching, etc.
MDULO 6 GERENCIAMENTO DE SISTEMAS
Planejamento e documentaa o de IP e Rede, CMDB, Upgrades e patches de servidores, performance de disco, melhores
pra ticas para configuraa o de Hipervisor, banda, late ncia de rede, load balancing, etc.
MDULO 7 CONTINUIDADE DE NEGCIOS EM CLOUD
Redunda ncia, failover, diversidade geogra fica, replicaa o, site mirroring, hot site, cold site, etc
TIC 213 - Cloud Advanced (16 h)
43
Fernando Fonseca e analista/programador desde 1985. Graduou-se em proces-
samento de dados pela FUMEC-MG em 1996, e po s graduou-se em Multim dia e
Internet (UFES 2000), Segurana da Informaa o (UNIRIO 2005), Administraa o
de Redes Linux (UFLA 2006) e Strategic Management (La Verne Univer-
sity 2006) ale m de certificar-se por diversos institutos, como o ISC2 (CISSP,
CISSP-ISSAP), EC-Council (CHFI), CompTIA (Security+), Microsoft (MCSE Secu-
rity), Exin (ISFS, ISMAS), Access Data (ACE), Mo dulo MCSO, dentre outras.
Fernando e instrutor certificado pelo PCI Council, EC-Council, Exin e Microsoft,
Fernando atua como instrutor desde 1993, quando ministrava cursos de DOS, Wordstar, Lotus 123 e Dbase no SENAC-
MG, e durante todas as funo es que exerceu em sua carreira continuou a ministrar treinamentos sobre as tecnologias
que trabalhava (Microsoft, Unicenter TNG, Redes, Segurana da Informaa o e computaa o forense). Atua tambe m como
professor universita rio desde 2004, tendo trabalhado nos cursos de graduaa o e po s-graduaa o na Universidade
Anhembi-Morumbi, UNIP, Faculdade Impacta de Tecnologia, Escola Paulista de Direito e UNI-BH.
Na Microsoft, atuou como Test Engineer, e Consultor de segurana da Informaa o, onde foi responsa vel pelo conteu do
dos programas Academia de Segurana da Informaa o, Technet Security Experience e do Fast Start Security. Atuou tam-
be m como Gerente de conteu do da Mo dulo Security Solutions , Coordenador de treinamentos na Techbiz Forense Digi-
tal. Dentro da comunidade de segurana, atuou como Diretor de Comunicaa o do ISSA Brasil Chapter entre 2006 e
2010, e como Vice-presidente entre 2010 a 2012, Sendo o u nico brasileiro a receber o t tulo de Senior Member pela IS-
SA International.
Eduardo V. C. Neves, CISSP, trabalha com Segurana da Informaa o desde 1998. Iniciou sua
carreira profissional em uma das principais empresas de consultoria do mercado brasileiro,
posteriormente trabalhando como executivo de uma empresa Fortune 100 por quase 10
anos.
Em 2008 fundou a primeira empresa brasileira especializada em Segurana de Aplicao es e
hoje dedica-se a prestar servios de consultoria nas pra ticas de Risk Management, Security
Awareness e Business Continuity. Serve ainda como volunta rio no OWASP e (ISC)2 e contri-
bui para iniciativas de evangelizaa o nas pra ticas de protea o da informaa o para federa-
o es e associao es no Brasil.
Anchises de Paula, CISSP, Analista de Intelige ncia em Segurana da iDefense, Verisign. Pos-
sui extensa experie ncia ha quase 15 anos na coordenaa o e implantaa o de projetos de Se-
gurana da Informaa o em empresas de grande porte como Editora Abril, Compugraf, Ame-
ricel (DF), Telesp Celular (Vivo) e CPM.
Formado em Cie ncia da Computaa o pelo IME-USP, po s-graduado em Marketing pela ESPM
e certificado CISSP, GIAC e ITIL. Tambe m leciona em cursos de po s graduaa o, ale m de pales-
trar em eventos locais e internacionais e ter presidido o Cap tulo Brasil da ISSA de 2008 a
2009. Tambe m e um dos fundadores do cap tulo brasileiro da Cloud Security Alliance e do
primeiro HackerSpace brasileiro.
Nossos Autores e Instrutores
44
NOSSA MISSO
Levar ao pblico tcnico e
gerencial de todo o pas trei-
namentos de alta qualidade
desenvolvidos e continuamen-
te atualizados por uma equipe
de profissionais experientes
que mantm conhecimento
terico nas disciplinas apre-
sentadas e extensa experin-
cia em projetos na rea de
Segurana da Informao.
SATISFAO E CONHECIMENTO EM PRIMEIRO LUGAR
A Antebellum se orgulha de ser sempre bem recebida e avaliada por seus
clientes.
Consideramos a formao profissional uma parceria, entre o provedor de
treinamentos e a organizao patrocinadora para melhorar a qualidade dos
servios prestados, a satisfao e a capacitao dos colaboradores.
Dentre nossos clientes, destacamos algumas empresas conhecidas no cen-
rio nacional e internacional.
Fernando Fonseca, CISSP-ISSAP
Diretor de Ensino
Mobile (11) 96161-1701 | (31) 9887-1701
E-mail: [email protected]
Apostilas coloridas "Ekolgicas"
Este catlogo e todo nosso material didtico impresso na Ekofootprint, utilizando a
tecnologia de cera da Xerox, proporcionando cores vivas utilizando papel reciclado ou
de bagao de cana, com impacto ambiental 92% menor que impressos a laser.