SEC 202 – Gestão da Segurança da Informação

Este módulo apresenta os conceitos básicos de governança (corporativa e de TI), visando criar um melhor entendimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnologia da Informação e Segurança da Informação para que estas áreas estejam alinhadas às metas, missão e objetivos da alta gestão.
SEC 202 - Gestão da Segurança da Informação

PÚBLICO-ALVO

Todo pessoal envolvido com a gestão da segurança da informação, o que inclui os proprietários das informações e os custodiantes das mesmas. Dentre esses profissionais destacamos:

• Gestores, consultores, pessoal de suporte e gerentes de projetos de serviços de TI;
• Analistas e gerentes de áreas de negócio (financeiro, RH, engenharia, etc);
• Desenvolvedores, integradores e arquitetos de sistemas;
• Engenheiros e especialistas de rede;
• Profissionais de Segurança da Informação

JUSTIFICATIVA

A informação sempre foi a mola propulsora das empresas e sua segurança uma peça fundamental para a sobrevivência destas. Com o advento da computação, essas informações se tornaram cada vez mais informações digitais e com a comunicação em massa, promovida pelas novas tecnologias, sua exposição tornou-se ao mesmo tempo necessária (para as pessoas autorizadas) e um fator de risco a ser tratado com planejamento e processos maduros.

Com o aumento da demanda por serviços e das dúvidas da comunidade de Tecnologia da Informação e Segurança da Informação, a indústria passou a organizar-se em associações para discutir soluções e capacitar a mão de obra, visando garantir que os esforços sejam convergentes e que as empresas tenham em seu quadro profissionais plenamente capacitados para obter o máximo de eficiência e segurança dessas tecnologias.

Dentro desse contexto, a ISO desenvolveu a família 27000, dedicada a segurança da informação. Sua principal norma é a ISO 27002 (Antiga ISO 17799), que fornece um código de práticas para a proteção da informação, baseado na experiência de profissionais de todo o mundo, que se reúnem em associações como a ABNT, para contribuir para a constante evolução dessa norma

PRÉ-REQUISITO

Conhecimentos básicos de Tecnologia da Informação

CARGA HORÁRIA

O curso tem duraça o de 16 horas que podem ser distribuí das em dois ou quatro dias.

OBJETIVO

O curso visa apresentar os fundamentos da Segurança da Informação de acordo com os princípios descritos na ISO 27002, assim como alguns tipos de medidas para reduzir os riscos a confidencialidade, integridade e disponibilidade da informação dentro de organizações, de qualquer tipo ou tamanho.

CONTEÚDO PROGRAMÁTICO

O curso SEC 201 foi desenvolvido para apresentar os conceitos fundamentais da Segurança da Informação, cobrindo os principais aspectos da ISO 27002 através de exposição de casos e um exercício prático ao final de cada módulo para auxiliar na fixação do conhecimento adquirido em sala de aula.

O conteúdo apresentado em aula e também enriquecido pelo uso de diversos documentos de suporte, artigos públicos sobre o assunto e material exclusivo desenvolvido pela equipe de instrutores da Antebellum.

MÓDULO 1 – PERSPECTIVAS EM SEGURANÇA DA INFORMAÇÃO
Este módulo apresenta os conceitos básicos de governança (corporativa e de TI), visando criar um melhor entendimento das necessidades das empresas, facilitando o entendimento de quais devem ser os objetivos de Tecnologia da Informação e Segurança da Informação para que estas áreas estejam alinhadas às metas, missão e objetivos da alta gestão.

1. Perspectiva do Negócio – Trata o papel da Segurança da Informação no negócio, e e capaz de distinguir os tipos de informação com base em seu valor para o negócio e explicar as características de um sistema de gerenciamento para segurança da informação.

• Processos organizacionais;
• conformidade legal e regulatória;
• requisitos de privacidade;
• arquitetura de segurança corporativa;
• due care.

2. Gestão do ciclo de vida da informação – Mostra o ciclo de vida da informação desde a criação, passando por sua classificação, categorização, propriedade, etc.
• tipos e classificação da informação;
• papeis e responsabilidades de cada colaborador;

3. Perspectiva do Cliente – Aborda o ponto de vista do cliente sobre o controle da informação e a importância do controle da informação no processo de terceirização.

4. Perspectiva do provedor de serviços / fornecedor – Aborda as responsabilidades do provedor de serviços de informação em garantir a segurança, os aspectos da segurança em processos de gerenciamento de serviços e atividades para conformidade do mesmo.

• Alinhamento dos requisitos de segurança;
• Afirmação de gestão da segurança;
• Certificação em segurança da informação;
• Auditoria de clientes.

MÓDULO 2 – GERENCIAMENTO DE RISCO
Este módulo demonstra os conceitos de análise de riscos, apetite e tolerância a riscos e todos os conceitos e as principais normas e frameworks para a avaliação e tratamento de riscos.

1. Análise e avaliação de riscos – Apresenta os princípios de gerenciamento de risco, de acordo com a classificação de cada ativo.

• Análise dos riscos (ameaças e vulnerabilidades);
• avaliação dos riscos (ativos tangíveis e intangíveis);
• análise quantitativa;
• análise qualitativa;
• análise semi-quantitativa.

2. Controles para tratamento do risco – Foca na escolha dos controles dos riscos com base nos requisitos de Confidencialidade, Integridade e Disponibilidade (CIA) de cada ativo e nos estágios do ciclo de vida do incidente além de escolher diretrizes relevantes para a aplicação dos controles.

• estudo da norma ISO IEC/27005;
• seleção de medidas de tratamento;
• retenção do risco;
• redução de riscos;
• compartilhamento/transferência de riscos;
• eliminação do risco.
3. Riscos residuais – Aborda os riscos residuais e as estratégias para lidar com este risco através da:

• produção de casos de negócios para controles;
• produção de relatórios sobre as análises de risco.

4. Comunicação do risco – Aborda a tradução dos riscos de segurança da informação em uma linguagem gerencial para atender os requisitos da gestão e governança da empresa.
• Risk Scorecard;
• aceitação do risco.

MÓDULO 3 – CONTROLES DE SEGURANÇA DA INFORMAÇÃO
Este módulo aborda a criação de controles diversos para diminuir e monitorar o risco na organização, de acordo com o resultado da avaliação de riscos da empresa.

1. O Sistema de Gestão da Segurança da Informação (SGSI) – Aborda a criação de um sistema de gestão contínua da segurança da informação, visando identificar e manter os riscos nos patamares desejáveis pela
gestão e governança da organização.

• sistemas de gerenciamento para segurança da informação;
• o ciclo PDCA;
• padrões de mercado (família ISO 27000, Cobit, etc);
• gestão de incidentes de segurança;
• métricas de segurança;
• conscientização dos colaboradores.

2. Controles Organizacionais – O aluno adquire conhecimento sobre controles organizacionais, e é capaz de redigir políticas e procedimentos de segurança da informação, implementar estratégias para gerenciamento de incidentes de segurança da informação, realizar uma campanha de conscientização na organização, implementar papeis e responsabilidades para segurança da informação:

• código de conduta;
• política de segurança da informação;
• Procedimentos;
• Guias;
• Documentação.
3. Controles Técnicos – O aluno adquire conhecimento sobre controles técnicos e é capaz de explicar as arquiteturas de segurança, a finalidade dos serviços de segurança, e a importância dos elementos de segurança na infraestrutura.
• Elementos da arquitetura de segurança;
• princípios de desenho para serviços seguros (performance, gestão de capacidade, resiliência, funcionalidade, gerenciamento, etc);
• princípios de desenho para ambientes seguros (isolamento, mediação completa, resiliência, redundância, diversidade, etc);
• principais serviços de segurança (identificação, Autorização, Controle de acesso, hardening, etc).

4. Controles Adicionais – Aborda os controles relacionados a segurança física, gestão de pessoas e desenvolvimento e teste de planos de continuidade de negócios. Dentre eles destacamos:

• código de conduta;
• política de segurança da informação;
• procedimentos de contratação;
• conscientização e monitoração;
• desligamento de colaboradores.

Fernando

Instrutor