SEC 202 – Gestão da Segurança da Informação

PÚBLICO-ALVO
Todo pessoal envolvido com a gestão da segurança da informação, o que inclui os proprietários das informações e os custodiantes das mesmas. Dentre esses profissionais destacamos:
• Gestores, consultores, pessoal de suporte e gerentes de projetos de serviços de TI;
• Analistas e gerentes de áreas de negócio (financeiro, RH, engenharia, etc);
• Desenvolvedores, integradores e arquitetos de sistemas;
• Engenheiros e especialistas de rede;
• Profissionais de Segurança da Informação
JUSTIFICATIVA
A informação sempre foi a mola propulsora das empresas e sua segurança uma peça fundamental para a sobrevivência destas. Com o advento da computação, essas informações se tornaram cada vez mais informações digitais e com a comunicação em massa, promovida pelas novas tecnologias, sua exposição tornou-se ao mesmo tempo necessária (para as pessoas autorizadas) e um fator de risco a ser tratado com planejamento e processos maduros.
Com o aumento da demanda por serviços e das dúvidas da comunidade de Tecnologia da Informação e Segurança da Informação, a indústria passou a organizar-se em associações para discutir soluções e capacitar a mão de obra, visando garantir que os esforços sejam convergentes e que as empresas tenham em seu quadro profissionais plenamente capacitados para obter o máximo de eficiência e segurança dessas tecnologias.
Dentro desse contexto, a ISO desenvolveu a família 27000, dedicada a segurança da informação. Sua principal norma é a ISO 27002 (Antiga ISO 17799), que fornece um código de práticas para a proteção da informação, baseado na experiência de profissionais de todo o mundo, que se reúnem em associações como a ABNT, para contribuir para a constante evolução dessa norma
PRÉ-REQUISITO
Conhecimentos básicos de Tecnologia da Informação
CARGA HORÁRIA
O curso tem duraça o de 16 horas que podem ser distribuí das em dois ou quatro dias.
OBJETIVO
O curso visa apresentar os fundamentos da Segurança da Informação de acordo com os princípios descritos na ISO 27002, assim como alguns tipos de medidas para reduzir os riscos a confidencialidade, integridade e disponibilidade da informação dentro de organizações, de qualquer tipo ou tamanho.
CONTEÚDO PROGRAMÁTICO
O curso SEC 201 foi desenvolvido para apresentar os conceitos fundamentais da Segurança da Informação, cobrindo os principais aspectos da ISO 27002 através de exposição de casos e um exercício prático ao final de cada módulo para auxiliar na fixação do conhecimento adquirido em sala de aula.
O conteúdo apresentado em aula e também enriquecido pelo uso de diversos documentos de suporte, artigos públicos sobre o assunto e material exclusivo desenvolvido pela equipe de instrutores da Antebellum.
MÓDULO 1 – PERSPECTIVAS EM SEGURANÇA DA INFORMAÇÃO
1. Perspectiva do Negócio – Trata o papel da Segurança da Informação no negócio, e e capaz de distinguir os tipos de informação com base em seu valor para o negócio e explicar as características de um sistema de gerenciamento para segurança da informação.
• Processos organizacionais;
• conformidade legal e regulatória;
• requisitos de privacidade;
• arquitetura de segurança corporativa;
• due care.
2. Gestão do ciclo de vida da informação – Mostra o ciclo de vida da informação desde a criação, passando por sua classificação, categorização, propriedade, etc.
• tipos e classificação da informação;
• papeis e responsabilidades de cada colaborador;
3. Perspectiva do Cliente – Aborda o ponto de vista do cliente sobre o controle da informação e a importância do controle da informação no processo de terceirização.
4. Perspectiva do provedor de serviços / fornecedor – Aborda as responsabilidades do provedor de serviços de informação em garantir a segurança, os aspectos da segurança em processos de gerenciamento de serviços e atividades para conformidade do mesmo.
• Alinhamento dos requisitos de segurança;
• Afirmação de gestão da segurança;
• Certificação em segurança da informação;
• Auditoria de clientes.
MÓDULO 2 – GERENCIAMENTO DE RISCO
1. Análise e avaliação de riscos – Apresenta os princípios de gerenciamento de risco, de acordo com a classificação de cada ativo.
• Análise dos riscos (ameaças e vulnerabilidades);
• avaliação dos riscos (ativos tangíveis e intangíveis);
• análise quantitativa;
• análise qualitativa;
• análise semi-quantitativa.
2. Controles para tratamento do risco – Foca na escolha dos controles dos riscos com base nos requisitos de Confidencialidade, Integridade e Disponibilidade (CIA) de cada ativo e nos estágios do ciclo de vida do incidente além de escolher diretrizes relevantes para a aplicação dos controles.
• estudo da norma ISO IEC/27005;
• seleção de medidas de tratamento;
• retenção do risco;
• redução de riscos;
• compartilhamento/transferência de riscos;
• eliminação do risco.
3. Riscos residuais – Aborda os riscos residuais e as estratégias para lidar com este risco através da:
• produção de casos de negócios para controles;
• produção de relatórios sobre as análises de risco.
4. Comunicação do risco – Aborda a tradução dos riscos de segurança da informação em uma linguagem gerencial para atender os requisitos da gestão e governança da empresa.
• Risk Scorecard;
• aceitação do risco.
MÓDULO 3 – CONTROLES DE SEGURANÇA DA INFORMAÇÃO
1. O Sistema de Gestão da Segurança da Informação (SGSI) – Aborda a criação de um sistema de gestão contínua da segurança da informação, visando identificar e manter os riscos nos patamares desejáveis pela
gestão e governança da organização.
• sistemas de gerenciamento para segurança da informação;
• o ciclo PDCA;
• padrões de mercado (família ISO 27000, Cobit, etc);
• gestão de incidentes de segurança;
• métricas de segurança;
• conscientização dos colaboradores.
2. Controles Organizacionais – O aluno adquire conhecimento sobre controles organizacionais, e é capaz de redigir políticas e procedimentos de segurança da informação, implementar estratégias para gerenciamento de incidentes de segurança da informação, realizar uma campanha de conscientização na organização, implementar papeis e responsabilidades para segurança da informação:
• código de conduta;
• política de segurança da informação;
• Procedimentos;
• Guias;
• Documentação.
3. Controles Técnicos – O aluno adquire conhecimento sobre controles técnicos e é capaz de explicar as arquiteturas de segurança, a finalidade dos serviços de segurança, e a importância dos elementos de segurança na infraestrutura.
• Elementos da arquitetura de segurança;
• princípios de desenho para serviços seguros (performance, gestão de capacidade, resiliência, funcionalidade, gerenciamento, etc);
• princípios de desenho para ambientes seguros (isolamento, mediação completa, resiliência, redundância, diversidade, etc);
• principais serviços de segurança (identificação, Autorização, Controle de acesso, hardening, etc).
4. Controles Adicionais – Aborda os controles relacionados a segurança física, gestão de pessoas e desenvolvimento e teste de planos de continuidade de negócios. Dentre eles destacamos:
• código de conduta;
• política de segurança da informação;
• procedimentos de contratação;
• conscientização e monitoração;
• desligamento de colaboradores.
Fernando
Instrutor