Unknown

[Música] buenas seja bem-vindo seja bem-vinda mais uma live aqui do tio Adriano meu nome é Adriano Martins Antônio sou especialista em parte de processo de governança gestão de serviço gestão de e projetos ágeis é um prazer ter você aqui eu tô fazendo uma live um pouquinho diferente né ela vai se repetir se você perceber a Live se você tá chegando agora a Live tá com algumas horas né alguns dias rodando na verdade é uma forma que eu tenho de colocar um conteúdo e de tempos em tempos eu vou respondendo as perguntas de vocês aí você

tem o chatz inho para fazer pergunta né basta se inscrever no canal E aí você vai colocando as perguntinhas e eu vou respondendo e o assunto de hoje é sobre segurança da informação A galera falou assim pô drana mas você é especialista em it C te compli riscos né Por que segurança da informação segurança da informação faz parte também do gerenciamento de serviço né a gente precisa fazer o gerenciamento de serviço e se atentar na área de segurança da informação e aí eu venho aí ao longo de quase décadas né de experiência na parte de

gestão de segurança da informação gestão de Cyber não conheço muito Tecnicamente ao ponto de ser um etical Hack né de programar ali de mexer no Linux cali Mas o importante que a gente precisa entender é sobre a parte de gestão de segurança da informação e aí e todo esse conteúdo que a gente vai ver aqui eu vou fazer uma live a gente vai bater um papo e aí logo depois eu vou soltar algumas aulas do curso oficial da ezinha ou isfs que é uma atualização da versão mais nova da Norma isu IC 27001 e 27002

esse curso ele é baseado na 271 E aí vou falar um pouquinho das normas e aí você vai entender como que é o formato da aula também mas acho que o um grande propósito aqui que se você tá chegando nessa Live você entender que segurança da informação serve para qualquer profissional inclusive para pessoas fora da área de tecnologia pessoas que estão fora da área de segurança da informação vou explorar algumas coisas a gente vai falar sobre alguns termos você vai realmente compreender o que que é essa área tão maravilhosa de segurança da informação e obviamente

né esse conteúdo aqui para quem almeja ser um gerente de segurança da informação um siso né alguém que é tá lá na lá em cima na olhando pra área de segurança e informação ou até um gestor de ti Ele interessante que você conheça as práticas né os controles que tem na Norma a norma ISO 27001 Hoje é a base de tudo de segurança da informação e aí se você quiser avançar paraa área de Cyber pra área de programação segura toda a parte de aquela parte técnica que é gostoso né que o pessoal gosta de mexer

em Firo e montar uma rede segura tudo isso você começa a aprender com essa base então hoje que eu vou passar aqui é uma base da área de segurança da informação Ok então lembrando tem o chatz inho aqui de tempos em tempos eu vou olhando as perguntas e eu vou respondendo pra gente aí poder e eh compartilhar todo o conhecimento todo mundo meio que 24 horas por dia né é difícil juntar a galera aqui no horário determinado então a gente fez esse bem bolado vamos ver se vai dar certo né deixar essa Live rodando aí

por algumas horas alguns dias e eu vou respondendo as dúvidas creio que V dar certo beleza eu V compartilhar minha tela aqui eu fiz uma apresentação bem simples sobre segurança da informação e a gente vai bater um papo você vai sair daqui entendendo o que que é segurança da informação e melhor você vai sair daqui entendendo que segurança da informação é um troço mega importante para qualquer tipo de empresa e principalmente que eu colar aqui o primeiro item que é o seguinte informação para tomada de decisão olha só a gente esquece um pouquinho dessa palavra

né segurança da informação da área de Tecnologia da Informação a gente esquece o que que é isso né O que que é informação a informação ela é essencial para qualquer tipo de profissional trabalha em qualquer área não interessa Que tipo de área até para um profissional autônomo eu até brinco nos meus cursos que eu falo que é até para um artesão que vende artesanato na praia ele precisa de informação pra tomada de decisão E aí a gente tem que lembrar que a informação Ele tá em todos os cantos da empresa tá da portaria até a

diretoria Todo mundo precisa de informação paraa tomada de decisão Ora se a informação tá desde a portaria até a diretoria significa que a gente precisa trazer uma segurança dessa informação todo mundo da empresa tá da portaria diretoria passando por todos os profissionais todos os funcionários os colaboradores parceiros todo mundo ok Adriano é por que a segurança de informação é importante desde a portaria porque imagina o seguinte eu tô chegando na tua empresa e aí simplesmente eu quero falar com você e eu posso simplesmente entrar dentro da empresa normalmente não a gente vai ter uma recepção

né que vai olhar lá o meu RG vai ligar né para você para falar que eu tô na portaria vai tirar uma foto vai pegar os meus dados vai ver se realmente eu tenho reunião agendada tudo isso traz segurança para a empresa para não deixar qualquer pessoa entrar tá vendo que a segurança é importante desde lá de fora e ó e a excepção não tem nada a ver com área de TI com área de segurança é um profissional da área administrativa que tá ali dando suporte né atendendo as pessoas que estão chegando ou as pessoas

que estão saindo devolvendo o cchá tudo isso é segunda informação eu não posso sair da empresa com o cchá comigo né a menina que tá lá na recepção o rapaz tá lá fal Ó você precisa devolver o crachá dá baixa né criar um log tudo isso é importante para fazer a proteção o quê não só proteção lógica das informações mas a proteção física também na pessoa como seria se eu pudesse entrar dentro da empresa e entrar dentro dos departamentos ter acesso aos computadores ao data center né Isso é extremamente perigoso então a área de segurança

e informação ela é importante para todo mundo tá em qualquer departamento bom informações para tomar de decisão a gente sabe que todo mundo toma decisão nos seus níveis estratégico Toma decisões estratégicas o tático Toma decisões táticas e o operacional Toma decisões operacionais isso independente da área do seu departamento é sempre assim que funciona a gente sempre tem a equipe operacional normalmente tem o tático né Que conversa que faz essa ponte entre o estratégico e operacional e a gente tem o estratégico para tomada de decisões mais estratégicas que não diz respeito com operacional e já pensou

um diretor tomando uma decisão e errada por conta de uma informação que não é confiável porque nós como profissionais de segurança não colocamos os critérios de segurança ali as informações não são confiáveis né O que que é uma informação confiável uma informação que tem que é tá disponível que ela é íntegra né que ela é confidencial Então tudo isso é tratado dentro da área de segurança da informação Adrian e quando tem ataque cibernético tal é um outro Campo tá a gente tá falando aí de cybersegurança Tá mas para você trabalhar numa área de cybersegurança você

precisa conhecer os princípios da segurança de informação antes trabalhar nesse mundo cibernético né que quando a gente fala de Cyber a gente tá imaginando aqueles ataques as pessoas que vem de fora né ror spam Fishing tudo isso ele está dentro do campo de Cyber mas ele é tratado também dentro da área de segurança O que diferencia mais ou menos segurança de Cyber que a segura informação não vai trabalhar só com informações lógicas digitais mas com informações físicas também a proteção de uma sala proteção de um documento um documento que é carimbado um documento que é

deixado em cima da mesa um documento que é deixado por exemplo na impressora um documento confidencial que é deixado dentro de uma lata de lixo aí a pessoa que tá fazendo a faxina ali vê que tem um documento escrito confidencial dentro da lata de lixo não foi triturado qual é a função dela qual é o papel dela diante da segurança de informação Você tá vendo que segurança da informação é para todo mundo não é só paraa área de segurança de informação e se você é um profissional de ti um profissional de segurança o que você

vai aprender aqui vai ser simplesmente maravilhoso inclusive todo esse conteúdo ele pode ser utilizado para conscientização dos funcionários Por que eu falo isso porque assim nossa a gente coloca fireo coloca antivírus monta uma rede dmz coloca roteador coloca VPN criptografia controle de acesso identidade biometria política a gente faz um monte de coisa aí aquele funcionário que tá ali ele resolve escrever a senha dele no papelzinho e colocar embaixo do teclado ele resolve copiar aquela tabelinha né que ele tava trabalhando ali no horário de expediente colocar no pendrive ou mandar por e-mail dele para ele terminar

o trabalho em casa ou ele acaba passando usuário e senha para um coleguinha que tá do lado porque tá bloqueado ele pra PR a continuar o serviço furou furou toda a segurança e informação a gente fez um monte de coisa e aí o funcionário não se atenta que segurança da informação é importante aí a galera fala assim Nossa essa departamento de segurança é muito restritivo a gente não pode fazer nada porque não entende o benefício da segurança e se você é um profissional de segurança de informação o teu papel é fazer a conscientização da mesma

forma que eu tô aqui né fazendo essa conscientização eu não sei se você é um profissional de segurança ou não se você for entenda que isso tem que ser levado para dentro dentro da empresa e se você não é um profissional de segurança Caio aqui de gaiato entenda que tudo isso aqui você tem que passar para seu departamento de segurança fal ass olha o que o tio adran tá falando é importante Ok Bom enfim formação para tomada de decisão Outro ponto que é bem importante sobre a segurança e reformação diz respeito à proteção física e

dos dados enquanto a gente tá falando e eh da informação lógica digital que tá ali na nuvem no servidor no e-mail tal a gente tá falando da proteção de informações eh lógicas né digitais mas segurança informação trata também da segurança física O que é segurança física é tratar os perímetros evitar que uma pessoa não entre na no estacionamento da empresa que não entre na recepção da empresa que não entre nos departamentos que eu não tenho acesso às áreas estratégicas ao data center a um servidor a um roteador um rack com Suites eu não posso ter

acesso então nosso papel como profissional de de segurança é proteger cada coisinha tá cada equipamento cada ativo cada patrimônio né esse patrimônio que pode inclusive gerar um risco de segurança da informação Adriano isso aqui não tem nada a ver comigo será que não né Será que de repente um ar condicionado de um data Cent fala Não isso não tenho nada a ver mas se tiver pingando em cima de um servidor se ele tiver parado se ele tiver quebrado ele não tá gelando e ele vai prejudicar um servidor onde tem informações ali dentro Tais informações que

são utilizadas para tomada de decisão Será que não é o nosso papel tudo isso a gente vê na Norma tudo isso a gente vê nas práticas né tudo isso que eu passo para vocês é a gente tem que parar e pensar não não é meu mas a gente precisa gerar valor a gente acha que a área de segurança e re informação é uma área de apoio uma área restritiva que vai podando faz isso que não pode isso aqui é inseguro isso aqui tem que testar e tal mas a gente tem que fazer esse tipo de

monitoramento identificar que um negócio que aparentemente não tem nada a ver com o Ti a gente tem que dar um jeito de dar um suporte por porque se der o problema vai cair no nosso colo e aí a gente vai ser responsabilizado tá então segurança da informação trata também de proteção física e dos dados tanto lógica quant fisicamente um papel é importante um cofre um armário com chave um armário a Prova de Fogo um cofre contra roubo com biometria tudo isso tá dentro do escopo de um profissional que vai trabalhar na área de segurança de

informação não é só cuidar de antivírus não tá não é não é só isso a gente quer trabalhar com isso a gente quer fazer Pain test né o teste de penetração identificar vulnerabilidade né a gente quer fazer exploração mas a gente esquece de coisas tão simples que aí pode ser um buraco infelizmente não dá para trazer 100% de segurança para uma empresa tá Adrian então se não dá Então não preciso não a gente precisa né nosso papel Nossa responsabilidade é tentar abordar tudo tá e aí a gente acaba esquecendo de algumas questões né físicas ah

a gente tem tanta proteção lógica mas deixa um consultor entrar dentro da empresa acaba abrindo a boca falando Quais são os sistemas Onde fica o datacenter começa a passar informações técnicas e o consultor ali De repente não faz nada ele pode até comentar com um colega de fora e esse colega de Fora que não tem nada a ver com a empresa ele pode hum interessante eles têm aquele sistema aquele sistema tem vulnerabilidade eu vou atacar porque eu já sei quais são as vulnerabilidades vou explorar isso vou entrar na rede Vou Pegar informação vou botar um

rer cobrar o Bitcoin né ou a sequestro de informação para tentar desbloquear Inúmeras coisas que podem acontecer sabendo de informações e internas da empresa eu posso preparar um e-mail agindo como Engenheiro social e fazer de tudo para você clicar Num Clique ou clicar no link e aí você clica no link eu instalo um um vírus né E aí eu tenho acesso às informações eu sei que você tá digitando no teclado e aí sucessivamente eu posso roubar informação vender paraa concorrente muitas coisas podem acontecer tá ai parece meio assustador Adri Não não é assustador é realidade

a gente tá cansado de ver notícias aparecendo em redes sociais de empresa que teve informações vazada ó questão de privacidade outro meu usuário e senha agora tá na internet todo mundo tem acesso ele é vendido na 25 de Março no CD tudo isso é muito sério as pessoas podem se passar por você se as informações forem vazadas tá E aí a gente tá falando de privacidade você você como cliente ou o cliente das suas empresas quer ter segurança de colocar os seus dados ali como a gente vai garantir essa segurança tá a gente precisa sair

implementando os controles de segurança e informação primeiro fazer análise de risco identificar Qual informação é importante onde que é tomada a decisão né Que tipo de decisão é tomada lembrar né que eu tenho que trabalhar com confidencialidade integridade e disponibilidade nesses três pilares eu vou colocar os controles físicos lógicos técnicos de pessoas colocar política colocar um monte de coisa Adriano é muita coisa como que eu vou saber de tudo isso dentro da Norma ISO 27000 Ah mas Adriano é muito técnico por isso existe treinamento para isso por isso que no finalzinho dessa Live aqui você

vai ver algumas aulas para você entender como qualquer pessoa pode entender sobre segurança de informação tá não precisa ser um especialista não precisa ser um profissional de ti tá hora que terminar a Live aqui você vai entender o que eu tô falando bom privacidade a gente fala muito aí de LGP pd gdpr né tem que armazenar informações sensíveis eh transmitir informações sensíveis de uma forma segura para que ninguém colete essas informações tanto que a parte de segurança de informação ela é fundamental para um possível DPO a gente fala muito de DPO né que é aquele

responsável pelo escritório de privacidade né que fala muito sobre lgpd gdpr esse curso inclusive ele é a base para um futuro de po o DP ele tem que conhecer isso normalmente aquele futuro de po ou é um advogado que precisa conhecer sobre segurança ou é um profissional de segurança que precisa conhecer sobre as leis de privacidade não só no nosso país mas na Europa nos Estados Unidos Ok então segurança da informação é a base para lidar com privacidade ela que vai dizer o que que você precisa fazer tá infelizmente não é o Como tá a

ISO não falo o como no meu treinamento eu falo algumas coisas como o o como para poder te ajudar a a a a a pensar mas na prática como seria isso né porque são muitos jargões são muitos termos coisas que a gente ouve mas a gente não entende o meu objetivo aqui é te passar inclusive nessa Live aqui vou passar uma lista de termos que a gente ouve muito mas não tem ideia o que que é e eu vou passar ok que mais toda empresa toda informação todos os processos etc etc precisa de segurança e

informação todo mundo creio que já tenha ficado claro né que desde a faxineiro que tá fazendo a limpeza ali que viu um papel escrito confidencial até a pessoa da recepção a pessoa da contabilidade o investidor o cliente ele precisa ter garantia que a informação que a tua empresa tá prestando né tá demonstrando é uma informação íntegra que não foi alterada ele ter certeza que ele vai entrar no seu site no seu e-commerce vai fazer um pedido sabe que as informações serão armazenadas privadas que não vai ter vazamento tudo isso cabe a nós segurança de informação

obviamente que simplesmente Ah vou aprender tudo aqui já vou sair aplicando não não é porque implementar um controle custa dinheiro tá vamos imaginar o seguinte Ah eu quero implementar alguma ferramenta para eliminar o spam porque normalmente spam vem muito link com Fishing a a pessoa clica instalado um vírus no computador é uma ferramenta cara não é barato existe soluções até gratuitas no mercado mas a gente sabe que dependendo do apetite ao risco Dependendo do valor da informação da tomada de decisão vale a pena colocar um sistema mais robusto a gente pode colocar coisas gratuitas ah

questão de senha né a gente pode ter um cofre um sistema de armazenamento de senha pode ser que sim pode ser que não quem é que vai dizer se vale ou não a informação as áreas de negócio vão dizer ó Isso aqui é importante a gente precisa proteger vai custar 1 milhão não então não vou proteger não porque o custo de implementar um controle acaba sendo mais caro que o valor da informação Então quem é que tem que dizer isso não somos nós da área de segurança da área de tecnologia quem tem que dizer isso

é área de negócio então a gente tem que saber vender a gente tem que saber fazer análise de risco identificar Quais são as áreas de risco identificar Quais são os processos Quais são os ativos Que tipo de informação a gente utiliza né a área utiliza para tomar de decisão então segurança da informação é para toda a empresa tá de novo é para toda a empresa segurança da informação não diz respeito apenas ao futuro ou possível atual profissional de segurança e de tecnologia não é de todo mundo Basta uma pessoa só uma que copiou as informações

de base de cliente no pen drive Acabou acabou com sua área de segurança se você não tiver um controle ali que ó não pode espetar pen drive monitorar as informações que estão saindo da empresa não só as que estão entrando tá a parte de Cyber é mais ali ó Quem tá entrando tem que monitorar né que tá vindo do mundão de F do do mundo cibernético né o mundo Cyber agora a segurança tem que ficar de molho também ó do que tá saindo as pessoas estão entrando fisicamente o comportamento das pessoas que tipo de mensagem

que chega por e-mail que tipo de site os nossos clientes estão acessando Será que el Tá acessando um site de armazenamento né de arquivos e tá colocando alguma coisa lá será que ele tem um computador pessoal dele que acessa informações da empresa esse computador pessoal ele empresta pros filhos pros parentes pros amigos que pode acessar outros sites e ser contaminado e contaminar a nossa rede gente é um emaranhado são tantas as possibilidades nesses quase quase 20 anos eu já vi de tudo tudo tudo Fi não isso não é possível acontecer e acontece por causa de

uma brecha e normalmente são coisas simples são coisas básicas que eu vou passar aqui e a gente acaba escorregando Ok Bom enfim o que que a ISO ia ser 27001 ou 27002 27.001 é onde traz os os os requisitos para você obter essa Norma né quem obt a norma é a empresa mas você também tem uma certificação como profissional que é responsável para controlar para monitorar e para implementar os controles Tá mas a gente tá falando aqui no caso da empresa então a empresa ela pode ter sim a certificação e a 27.002 seriam as boas

práticas né seriam mais ou menos o que que você precisa fazer não como tá então vamos dizer que a 27.001 é o auditor ele vai utilizar ele vai pegar o do da 271 e vai fazer bem que um checklist tem isso tem aquilo tem aquilo me mostra evidência E aí você vai evidenciando como qualquer processo de certificação sistema de gerenciamento sistema de gestão baseado na Norma ISO tá e a 272 ela é um pouquinho mais robusta ela tem mais algumas informações não para por aí Existem várias outras normas que circulam né que andam junto com

a 27.001 como por exemplo a 27701 que é de privacidade aí por conta de lgpd gdpr né Existem várias e várias várias a a família 27.000 é gigantesca tá eu acho eu não me lembro se era 50 80 normas que estavam ligadas 27.000 alguma coisa tá a família é grande a família segurança é gigantesca então a gente precisa começar da base 27.001 ou 27.02 quando você olha os itens né os tópicos são os mesmos só que uma ela é mais simples ela é voltada mais pro aitor né pro requisito e a outra são um pouco

mais aí voltado pras práticas elas se complementam Ok bom ela pode ser guia Adriano eu não tenho interesse nenhum em implementar a norma que obter a certificação ISO 27.1 eu vou precisar dela com certeza absoluta tudo isso que eu vou falar eu não não foi criado da cabeça do tio Adriano eu peguei isso da Norma né eu peguei lá da 27.001 li a 27.001 li a 27002 né Compreendo o que tem ali o como fazer né então ali no documento você consegue ver o porqu e o que o como eu vim adquirindo experiência por isso

hoje eu sou consultor não sou só professor né sou consultor de gestão de ti gestão de segurança então eu sei olhar no Norma e falar isso aqui faz isso isso isso talvez Tecnicamente ali eu me pergo um pouco porque não é minha minha área tá Adriano então você não precisa ser um profissional de segurança Expert para conhecer a norma de jeito nenhum uma coisa é conhecer as práticas os processos o que precisa ser feito para controlar monitorar fazer Gestão de Risco compli controles internos governança tudo isso isso é uma coisa agora entrar ali na parte

técnica não necessariamente e para quem tá ali Tecnicamente é bom conhecer com certeza assim como outros frameworks como por exemplo it it todo mundo tem que conhecer a it simplesmente é onde vai demonstrar como funciona uma TI os processos um devops se sua empresa for ágil um scrum um cobt se tiver governança tá segurança formação é todo mundo AD eu não tenho nada disso preciso precisa Ah eu não sei por onde começar tá aqui ó pega a norma compra a norma baixa a norma você tem a norma tá aí ó 27.1 27.000 a última versão

é de 2022 tem a a a penúltima foi a 2013 ó de 2013 para 2022 9 anos aí sendo muito utilizada houve algumas mudanças né por conta da evolução que a gente Vent tendo na área de de tecnologia inovação tá mas você pode pegar 27.000 e utilizar como guia sensacional você não precisa se preocupar ah ah eu tenho que usar a norma só para obter a certificação Não de jeito nenhum tá então a 27.001 ela pode servir como guia também como pode servir como uma Norma internacional Ah eu quero obter a certificação da empresa pô

beleza vamos utilizar a ISO 27001 Ok pontapé para quem for atuar em algumas áreas algumas posições então assim eu posso utilizar a tudo que você tá aprendendo aqui como pontapé Adriano eu quero atuar como Cyber Security Pô você precisa aprender o básico da segurança de informação antes de sair se metendo em mexer em regras de Fire e entender como funciona um Blue team Red Team um Black Hat White Hat um Pain test Calma né explorar vulnerabilidade você precisa conhecer alguns conceitos Você vai precisar porque você vai se embananar lá e a norma a 271 ela

é muito legal porque ela traz um padrão de termos para você não utilizar um termo que as pessoas não tão entendendo o que você tá falando Ela traz um padrão um jargão que é conhecido mundialmente que aí outras outros frameworks herdaram tudo isso né E para ser reconhecido internacionalmente PR você não falar um termo que pessoal não tô entendendo a gestão de incidente de segurança gestão de incidente não seria gestão de problema decidente ó gestão de problema de de de segurança gestão de incidente de segurança vamos entender o que que é gestão de incidente que

que é gestão de problema né Tem vários outros termos Gestão de Risco análise de risco avaliação de risco pô não é a mesma coisa Não não é a mesma coisa tá a ideia não é mostrar aqui qual é a diferença mas a ideia é você entender que existe toneladas de termos que a gente precisa conhecer mesmo se você for um especialista conhecer por exemplo a o met exploit sabe explorar vulnerabilidade conhece Linux cali talvez você não tem talvez você nem esteja entendendo o que eu tô falando mas é só para você você entender que mesmo

a pessoa muito técnica ela precisa conhecer as boas práticas entender aonde ele tá atuando tá aonde ele tá colocando o pé para quem não é de ti ou seja todo mundo Adriano você tá dizendo que um profissional lá de contabilidade por exemplo ele vai precisar conhecer de segurança e informação Oxe vai é informação que ele lida aquela área de negócio o RH sim o RH precisa entender como funciona segurança da informação para garantir que um profissional botou os pés ali precisa ler assinar e entender que a segurança de informação é importante que a política de

segurança e informação é importante contabilidade vai mexer com informação ele tem que garantir integridade das informações um diretor de uma área de negócio uma área de vendas precisa ter garantia que toda a tecnologia segura para ele fazer um pedido do cliente é tudo deixar isso nas mãos do profissional de segurança é arriscado a gente tem que sempre conscientizado na Norma tá dizendo isso todo mundo falece a gente precisa conscientizar os nossos funcionários e nem sempre dá certo porque de repente nós como profissionais de segurança a gente não sabe vender o benefício a gente não sabe

aí a gente precisa contratar um profissional contratar um consultor contratar o tio adrano para fazer conscientização não precisa tá um treinamento por exemplo já seria o suficiente pra pessoa Ah agora tô entendendo porque é perigoso eu colocar a senha num papel e colocar embaixo do teclado agora tô entendendo que eu posso sofrer problemas se eu passar meu usuário e senha para outra pessoa se ele fizer é besteirinha eu me lasco quase eu fiz um palavrão na mão aqui eu me lasco tá bom gestor de ti segurança é padrão é básico quando eu conheço algum gestor

de ti de segurança tudo bem gestor de ti que não conhece muito sobre a iso27000 achou absurdo é básico gente e não é um curso técnico cara é não é prático é teórico é entender os conceitos entender como funcionaria isso entender a norma saber que você tem um um resguardo no momento de de dificuldade Olha tô passando por isso eu tenho que colocar alguns controles para pessoas tá na Norma controles organizacionais como políticas cont de acesso tá na Norma tá tudo na Norma a Como que eu faço um controle físico de um data center está

na Norma e controle de rede de vulnerabilidade alguns riscos que vem pela internet está na Norma a norma aborda muita coisa tá analista em geral analista de ti de Tecnologia da Informação informação essa informação precisa seguro um desenvolvedor Com certeza para fazer desenvolvimento seguro o analista de suporte Com certeza operação sim ele tá lá fazendo backup backup é um dos requisitos né de de segurança de informação mas Adriano o cara conhece banco de dados também para criptografar as informações é um analista de suporte também para garantir que não coloque um aplicativo onde qualquer qualquer um

pode ter acesso e sobrepor as diretivas de um servidor né você deixa o usuário mexer lá começa a bagunçar o sistema e esse sistema fica totalmente e aberto né pra internet a um atacante vem porque o analista mexeu e ele vai ter acesso à rede toda para quem tá começando seja bem-vindo esse é o conteúdo ideal para quem não conhece nada tá aqui esse é o melhor conteúdo que você pode ter OK quem área da de segurança ou não tá quem era da área de segurança muitas às vezes é meio Perdidão em alguns conceitos o

cara é tão bitolado conhece uma coisa ali ó e a gente precisa do conhecimento dele da expertise né porque normalmente um profissional de segurança tem uma forma de pensar muito interessante ele pode contribuir com outras coisas mas é tão bitolado ele é fanático numa coisa só e ele não tem o conhecimento da área que ele trabalha e a ele não ele é subvalorizado ele tá ali ó ele só trabalha com aquilo ele poderia ajudar em muitas outras coisas por isso se você é um profissional desse aprenda a segurança com conhecimento tio Adriano sempre falou conhecimento

nunca é demais tenho certeza que vai agregar não só pro seu currículo mas também pra empresa OK Para que serve a ISO 27001 colocar tudo aqui opa opa opa pcei demais para que serve Oh para conscientizar quer fazer um programa de conscientização não sabe por onde começar olha a norma ali na Norma você vai começar a ler fal assim nossa isso aqui é importante porque aquele departamento Nossa aquele profissional que adora levar o computador para casa Olha aquele ali que tá toda hora fica mandando e-mail Zinho né para for ó esse aqui toda hora me

Alerta que ele tá acessando o site que não pode ali ó Ou aquele ali já teve um problema de segurança né já levou coisa para fora já recebeu conscientização vai te ajudar melhorar se você já tem os controles vai te ajudar a melhorar cada vez mais tá é praticamente vou dizer que é praticamente impossível você ter 100% dos controles implementados no no nível de maturidade má ali automatizado tá é difícil então você pode utilizar a norma para melhorar cada vez mais e também para obter a certificação talvez você trabalhe numa empresa onde exige que obtenha

essa essa Norma de de segurança ISO 27.000 por conta de regulatório por conta de mercado né V Eu trabalho aqui por exemplo no sock num C pression Center né onde eu trabalho para monitorar a área de segurança da informação os eventos de segurança de outras empresas p é legal você ter Ah eu trabalho num banco aqui é informação importante numa numa seguradora eh numa empresa onde que tem é de alta tecnologia é interessante ou aquela empresa que tá ali ligado direto ao público tem um e-commerce grande é interessante tá só esse tipo de empresa não

você pode simplesmente começar a colocar os controles e coloca a certificação tá não é não é muita diferença quando você tem a visão de melhorar e obter a certificação obviamente né que o Rigor vai ser completamente diferente na a norma se você falar que tem você tem que provar tem que evidenciar E aí vai ter um processo de auditoria tudo isso mas tirando isso nossa é sensacional A 27.1 27002 então se você De repente é um empresário que tem uma pequena empresa ou ou sei lá ou tua empresa não tem um departamento de ti não

tem um departamento de segurança investe um tempinho lendo a norma tá lá a norma vai te ajudar como pequeno empresário ou com uma empresa que trabalha numa empresa que não tem esse departamento de segurança é muito simples né tá tudo na nuvem tudo aplicativo vale a pena escuta o que eu tô te falando não é porque tá tudo na nuvem que você não precisa de segurança informação negativo né você tem acordo de confidencialidade fazer um bom contrato com o fornecedor identificar quais são os riscos dele saber se ele tá processando informações pessoais ou não armazenando

olha gente é bastante coisa então eu fico doido quando pessoal falar eu tenho uma empresa tem aqui mas eu não ten um departamento de ti é tudo terceirizado mas é questão de segurança não não tem bonitinho a gente tem antivírus aqui não é só isso né a gente precisa ampliar por se a gente não faz isso aí quando acontece um problema uma crise um ataque aí o empresário ficou assim puxa vida eu não sabia disso não tinha conhecimento pô tô trazendo conhecimento vá buscar né para depois não vir falar assim ah eu não sabia não

tem né então já te dou dando caminho vai atrás da Norma vai atrás desses conteúdos que eu gravo aqui no meu canal tá que é sobre gestão não vou te ensinar n e você não precisa aprender a programar e e a a a a colocar código script lá no Linux instalar aplicativo não não não não você precisa conhecer você precisa conhecer todo esse mundo de segurança para poder contratar uma pessoa certa olha agora já sei a importância de ter uma VPN Olha já sei a importância de ter chave criptográfica Beleza agora já sei onde eu

compro a minha criptografia o que que é chave né O que que é criptografia simétrica simétrica é importante seu negócio se você acha que não você toma a decisão toma a decisão baseada em informação e essa informação tem que ser protegida Ok integra com o quê com tudo olha gente eu podia ficar colocando todos os possíveis frameworks que existem no planeta tudo tá segurança tá em tudo eu fiz questão de colocar até devops fal mas devops desenvolvimento operação integração contínua entrega contínua segurança sim por isso que tem o Dev sec que OBS né de desenvolvimento

segurança e operação todo esse processo de mudança automatizada né que ou o desenvolvedor ele coloca já programa já faz checkin já entra em ambiente de produção várias mudanças ao mesmo dia quem é que garante que tem uma segurança ali antes de colocar alguma coisa em produção né então Dev Sec Ops é uma boa opção de você colocar a área de segurança então tem integração cobit nem se fala um Framework de governança de a gente chama de governança de TI que é um termo er errado né é uma governança corporativa de informação e tecnologia ou seja

uma governança tá dentro da governança corporativa a gente tá falando ali de governança a gente tá falando de compliance Transparência né E a gente tem que ter garantia que as informações estão ali imagina uma empresa que tá abrindo Capitão na bolsa ela vai precisar de governança até para atender cvm eh se for um banco Banco Central enfim depende da da do ramo da indústria vai precisar lá ter o as governanças nível um nível dois três e precisa trazer a transparência pro investidor pô alguém vai comprar as ações de uma empresa eu tenho que ter certeza

que aquela empresa ali ou pelo menos algumas garantias que a informação é fiel né para evitar problemas que já aconteceram no passado né que o a contabilidade tá ok isso elimina problema de 100% não a gente já viu recentemente inclusive Lojas Americanas né que ali teve governança teve tudo mas ah Olha tá vendo não tinha governança tal a gente tá falando de questões humanas também né se a gente entender um pouquinho o que aconteceu ali não foi a governança aqui ó por ter governança que houve problemas financeiros não tá foram questões humanas it dentro da

it existem diversas práticas e uma das práticas é sobre segurança da informação obviamente que a it ela não aborda né com tanta profundidade quanto a outros frameworks no mercado quanto principalmente quanto a 27.000 a família 27.000 mas ar tá dizendo ó segurança da informação é um troço importante tá aqui as práticas tá aqui alguns conceitos tá aqui algumas boas práticas né algumas coisas que é legal fazer para integrar com outras coisas com a central de serviço que vai fazer o atendimento identificar que é um chamado de segurança tá e assim sucessivamente Ok então integra com

tudo Ah eu tenho o cobt aqui não preciso de segurança ó não não não faz não faz não fala tipos de besteira tá a já tenho watch não precisa de segurança não tá cada um no seu quadrado Ok at no seu quadrado governança mais estratégico l no seu quadradinho devops no seu e todos já estão todos muito bem integrados Ok ai funciona sim a gente pode at fazer uma outra Live falando sobre a integração de cada um desses bichinhos aqui tá Eu só coloquei três gente podia colocar várias outras Podia colocar autograf Podia colocar o

vers Podia colocar eh scrum cam é tudo gerenciamento de serviço tá tudo gerenciamento de informação que é a minha prática que é a minha área por isso que eu venho trazendo tudo isso aqui com essa facilidade de integrar e segurança integraria com tudo tá porque informação todo mundo trabalha com informação Então tem que ter segurança da informação Ok e o que que tem nessa nessa Norma aí né a gente tem controle a gente tem termos e jargões deixa eu colocar tudo aqui porque já fiquei meio bom o que que tem na Norma então se você

pegar a norma vai lá compra a norma tá baixa a norma aí você vai ver que tem controles Mas é uma porrada de controle el tá separado ali né organizacionais pessoas controles técnicos controle Ou seja eu tenho o risco eu tenho o problema e eu preciso priso controlar eu preciso controlar aqu lá eu tenho problema aqui de spam de vírus como que eu controlo esse vírus controlo com controle então a norma é um conjunto de controles ai como que eu faço para evitar que as pessoas e deixem informação confidencial na tela você tem um controle

para isso né o controle de mesa limpa de tela limpa Ah eu preciso classificar as informações aqui o que que é público que é confidencial que não sei o que eu tenho um controle de classificação a norma é um conjunto de controles Ok ali tem contoles te ajuda separado bonitinho Inclusive a 2022 ele tá muito mais eh logicamente separado que nos ajuda já ir direto tem várias tabelas fazendo o link com outras coisas tá sensacional tá termos de jargões Nossa ele é fundamental Adriano ó eu não quero isso ISO aqui é chato Norma parece meio

burocrático Tá bom mas olha a a norma como um termo para você não falar besteira numa reunião por exemplo você falar um termo e o cara entender outro e vocês tem um problema de comunicação lascado que pode prejudicar a empresa tá um fala em incidente outro fala em problema né um fala em disponibilidade outro fal integridade um não sabe qual é a diferença de eu falei daqui a pouco agora a pouco né criptografia síncrona assíncrona não sabe a diferença de um rster para um Fishing e para um vírus para um spam engenharia social aí Cada

um fala uma coisa gestão de identidade gestão de acesso é a mesma coisa não é análise de risco avaliação de risco Gestão de Risco gerenciar risco vulnerabilidade ameaça são coisas distintas então para evitar inclusive passar vergonha falar bobagem besteira que eu vejo muito pral de segurança falando um monte de asneira numa reunião confundindo todos os participantes e fazendo com que os participantes tomem decisões erradas porque o cara não tem a mínima ideia o que tá falando ele tá tão imerso na parte de ali prática na na na parte ali de de configuração de sistema que

ele fala umas Neira ele solta e pode ser muito prejudicial então vá aprender os termos que é AD mundialmente não são termos que o tio Adriano criou não se você vê no treinamento todos os termos são oficiais da Norma tá que é o mesmo utilizado no planeta Terra inteiro Ah mas a norma iso é europeia mas tem lá tem a ansia esen tem lá na na Austrália tem tudo que utilizam a mesma base de termos pra gente não falar besteira tá serve como um guia para melhorar então eu vou lá falo bom Beleza não tem

interesse já sou bom já conheço todos os termos todos os jargões já sou um profissional que trabalha há 15 20 anos ok utiliza como guia para te ajudar a melhorar e ajuda a lidar com riscos tá a seguranç da informação ela só pode começar depois que você faz uma análise de risco para não ficar muito caro quantas vezes eu vejo analistas ficando triste ah a gente foi com um projeto lá para tentar vender pra diretoria a diretoria não comprou Você Fez análise de risco antes com avaliação de custo ali Quanto custa uma área parada faz

o business Impact analyses né você identificou o valor da informação né perguntou para cliente não não perguntei Eu só acho que é importante para de achar análise de risco tira esse amadorismo você analisa o risco da empresa do negócio por isso que o profissional de segurança tem que conhecer o negócio aí você pega um profissional bom caro que tá lá enfiado num numa salinha gelada mexendo com o Linux preparando script detectando vulnerabilidade mas ele não tem ideia o que acontece com o negócio não tem ideia Será que ele profissional tá sendo e subutilizado será que

a gente tá pagando muito para ter aquele cara lá dentro será o que a gente tá pagando vale mais do que a proteção da informação então análise de risco você coloca o profissional em outro patamar fica mais maduro quando eu chega numa empresa onde tem um monte de Tecnologia de segurança mas não tem uma análise de risco F imaginando quanto dinheiro essa empresa gastou Será que era necessário realmente aí quando eu pergunto pro gestor de T fala não era necessário quem gente disse a gente sabe do negócio não não é o negócio tem que responder

você tem que ir lá no negócio perguntar por isso existe processo gente processo é para isso essa é é a minha área não conheço Tecnicamente não se o o Fire ou x y z é melhor que o outro qual ferramenta não vamos ver depois isso aí vamos entender Identificar qual é o valor da informação Quais são as informações que são são necessári para tomar uma boa decisão O que que a gente precisa proteger vamos identificar se a gente tem uma arquitetura da informação saber onde as informações estão se estão no e-mail se estão na nuvem

no computador do diretor no pend Drive numa mídia aonde aonde estão essas informações se a gente nem sabe onde estão asas informações como a gente vai colocar os controles tá bom é bastante coisa e tudo tá na Norma tudo tudo ok E aí você aprende uma coisa massa ali legal aí você explora eu gostei desse negócio aqui de ah malware né tudo que é Malu né spam vírus Fishing hcer e Logic Bomb e Rot kit Ah todos esses termos aí que tá em vogga né Toda hora a gente fica ouve aí na na mídia a

gente não sabe a diferença gostou disso aí você entra numa área de Cyber numa área de etical hack para fazer teste para começar a validar ó eu gostei mais dessa área de gestão vai aprender sobre compliance riscos né Tem vários cursos várias certificações Eu gostei dessa área de desenvolvimento né proteção do site web de rede servidor computador tudo cada um vai ter sua área mas se você não conhecer o geral você não sabe nem por onde começar então isso aqui é a base Ok conteúdo Olha só eu vou falar um pouquinho de coisa que tem

dentro da Norma para você entender até onde a norma e até onde o conteúdo do curso que você vai assistir daqui a pouco poucas aulas até onde a gente pode chegar né ele vai falar sobre os perímetros de segurança né até chegar na informação mais valiosa então eu como profissional de segurança eu tenho que me tenho que ficar atento sobre a rua o muro a cerca câmera grade se a porta e as janelas estão bem trancafiadas tão bem protegidas com barra com alarme tudo isso dentro do departamento se qualquer um pode abrir quem tem tem

a chave se é biometria se é pela Iris usuário senha quem pode ter controle de acesso aí chega no computador quem pode ter acesso à aplicação ou computador ou biod né o bring your on device é o equipamento próprio da pessoa que ele utiliza para acessar as informações para trabalhar na empresa eu tenho o meu próprio celular que eu utilizo para trabalhar na empresa tá isso é o biodi Como que eu faço o controle de segurança do equipamento que não é da empresa é do profissional e questão de privacidade eu posso acessar e ali simplesmente

olhar tudo tá tem os controles E aí tá dividido entre controles organizacionais controle de pessoas ou controles pessoais físicos né que eu falei aí sobre os perímetros e controles lógicos ou técnicos que é essa parte mais técnica né onde o pessoal aborda mais a questão de rede né de de servidor da parte mais lógica de protocolo de criptografia de ataques você tem tudo dentro da Norma separado Então você tem a parte de políticas processos a parte de conscientização a parte de Treinamento a parte de controles físicos né numa porta corta fogo numa câmera do monitoramento

tudo isso ok e olha só que interessante Então a norma ela explora o quê o espaço ou seja público até chegar ao interno e cada informação ele vai ter o seu nível de criticidade Então eu preciso como profal de segurança né trabalhar o espaço público para evitar que as pessoas acessem o ambiente aí eu vou ter que ter o anel externo que a gente chama de perímetro né o anel externo provavelmente vai ser informação pública vamos imaginar que eu trabalho numa Biblioteca Municipal né Ó até aqui você pode acessar Eu trabalho no banco dentro da

agência você pode acessar até aqui daqui para cá você não pode então o profissional de segurança precisa identificar Que tipo de informação tem que tá dentro de um perímetro que é mais seguro que é público e colocar os controles não é porque é público não preciso ter controle não vamos colocar uma câmera vamos monitorar de repente fazer um registro de quem tá entrando por exemplo numa biblioteca ou é público qualquer um entra se for um museu por exemplo Mas quais departamentos quais áreas de um museu a pessoa pode entrar de um supermercado então assim se

você analisar na sua empresa a gente vai ter que detectar qua Quais coisas são públicas Ah mas Adriano eu a gente trabalha Home Office e tal tá bom na intranet na internet eu tenho um site que tipo de informação que vai tá disponível por exemplo o o aluno que compra na pmj ele vai encontrar uma série de informações para visualizar o curso tem um blog tem informações ali tem bastante coisa mas tem acesso aos cursos acesso conteúdo completo ao simulado exercício a mim ao chat ao fórum as informações de outros alunos a rede social que

a gente tem internamente não aí já é bloqueado tá é o anel Ok é o perímetro E aí trazendo pro mundo físico você tem a parte do prédio tem as informações internas Você já tem o espaço de trabalho apartamento e aí as informações são mais sensíveis até chegar no núcleo Então a nossa proteção tem que ir desde lá de fora até o objeto Aonde a informação é muito mais sensível então o que que eu coloco no público cerca muro coloco uma parede Externa uma parede interna tá Ah um cofre um armário para armazenar informações o

próprio objeto o próprio servidor Ok colocar num ambiente seguro sem colocar placas né Ó o Data Center ali quantas vezes já entrou numa empresa onde tá assim uma plaquinha ass data center pô quem é que colocou uma placa pro visitante eu tô entrando a primeira vez eu já sei que o Data Center foi pro lado esquerdo Então essas coisas essas nuances estão no conteúdos nos conteúdos do curso na própria Norma e aonde a gente acaba explorando tudo tudo tudo tudo que temro dentro da Norma Ok logicamente você tem a gente tem um treinamento que ele

é muito mais Ah requintado ele tem muito mais conteúdo ela é baseado na 27.002 tá isso é que eu tô estô falando sobre a 271 que é um termo mais genérico que é preparatório as aulas que você vai assistir é é um curso preparatório para o exame da ezin mas existe um conteúdo que é preparatório pro it Shaped que é o TF que ela é baseada na 27.002 ele é muito mais robusto né Ele fala dos mesmos controles exatamente os mesmos só que na 272 eu exploro bastante só para você ter ideia o curso eh

dazin acho que são se eu não me engano são 24 horas né o do thsf é o mesmo conteúdo é a mesma Norma só que uma é da 27.001 24 horas a 27.2 São 60 horas eu exploro muito mais aí você tem essas duas possibilidades tá gostei da 27001 vai pra 27002 que eu dou aquela aprofundada bem bacana Ok com bastante exemplo com coisa prática coisa que eu já passei como que a segurança gerenciada então normalmente a gente tem a vulnerabilidade que que é vulnerabilidade vamos vamos vamos para aqui para você entender né vulnerabilidade ameaça

exposição E aí a gente tem o risco tá então quando a gente trab tá trabalhando na área de segurança de informação o que que o profissional tem que identificar Quais são as coisas que estão vulneráveis primeiro vulnerável mas tá sobre ameaça porque assim Pode est vulnerável mas não tem ameaça Ok eu tô sem guarda-chuva tô vulnerável mas eu tenho ameaça de chuva eu eu olho pro céu o céu tá limpo tá fresquinho não tem uma nuvem então não tô exposto ao risco de de ficar molhado Então essa análise tem que fazer sempre fazer a análise

de risco é extremamente importante a tem que identificar o que que é vulnerável se existe ameaça exposição E aí atuar com risco que nem o pessoal fala assim ah ah Linux é Linux é mais seguro né olha Na verdade o Linux ele tem menos vulnerabilidade mas ameaça tem é muita gente querendo atacar tanto quanto o Windows a questão que ele não tem tantas vulnerabilidades tá então a gente precisa identificar tem ameaça ou não tem e se tem ameaça a gente tá vulnerável Com certeza pode dar um perereco perereco o pessoal fala que essa palavra é

tão estranha né pode dar algum problema se você tiver exposto Então dentro da área de segurança a gente precisa fazer isso aqui identificar se o seu sistema tá vulnerável se ele é antigo se ele precisa ser atualiz AD Não tô dizendo só sistema tá tudo política prática processo tudo isso é vulnerabilidade as pessoas não foram treinadas é uma vulnerabilidade porque a ameaça vai existir e se um atacante descobrir que você tá vulnerável que a tua equipe não foi treinada não foi conscientizada tô falando aquele profissional aquele vendedor existe uma ameaça E aí o atacante vai

explorar essa ameaça porque ele sabe que a equipe tá vulnerável pronto você já tem o risco de ser atacado tá isso aqui eu exploro muito nas aulas muito para você entender cada etapa como fazer essa análise de vulnerabilidade analisar identificar as ameaças identificar como você pode saber se se você se você tá sendo explorado ou não e fazer toda a parte de Gestão de Risco tudo na hóa de segurança tem que começar com a parte de risco Gestão de Risco ok uma das coisas mais importantes que a gente fala é o Cid né que é

confidencialidade integridade e disponibilidade eu coloquei até um texto aqui ó a segurança da informação é a disciplina que se concentra na qualidade ou seja confiabilidade gente primeira coisa que eu falei segurança de informação é tomada de decisão de uma forma segura o que que é ter uma informação segura é ter uma informação confiável o que é ter uma informação confiável uma informação de qualidade Ok adrano tô entendendo mas cara uma informação que você pode confiar que ela tá tá Correta que ela tá íntegra que ninguém acessou antes que ela é confidencial eu mandei só informação

para uma pessoa só eu recebi para você ter ideia dentro da Norma O que que a gente fala tá Principalmente dentro desse desse tripé sed né Deixa eu já colocar aqui né é o tripé disponibilidade confidencialidade integridade Ok ah de não deu Sid né deu DCI é só trocar a palavra né eu devia ter colocado confidencialidade em cima integridade e disponibilidade olha só que bacana aquelas informações que são ditas verbalmente dentro de uma sala de reunião a gente precisa proteger essas informações ok a gente só pensa em em proteger informação e lógica que tá no

servidor ou que tá em papel mas a informação falada a gente também precisa Então eu preciso garantir que reuniões que aconteçam numa sala aonde são tomadas decisões estratégicas eu preciso ter proteção contra voz né áudio Desligar o telefone garantir que as pessoas não estão vendo de fora quem um diretor tá escrevendo lá quem tá escrevendo num flip chart alguma informação confidencial eu tenho que fazer esse tipo de proteção tudo isso tá dentro da Norma tudo isso eu explico no treinamento tá então Sid é o é o tripé da segurança de informação então eu tenho que

deixar a informação disponível Adri senão se acontecer um incidente o servidor parar será que H alguma questão de segurança da informação bom se um servidor parou a informação ficou indisponível Na verdade é um termo da qualidade e da confiabilidade de uma informação como que eu vou tomar uma decisão se a informação não está disponível então diz respeito a segurança da informação sim tá confidencialidade é armazenar é proteger garantir que as pessoas não Leiam com carimbo com classificação Seja lá o que for íntegro garantir que por exemplo eu tô mandando uma informação por e-mail daqui para

lá e ninguém altere né que não tenha ali o técnicas né de por man the mirle né aqui tô falando termos de etical hacking que a gente também tem PR de etical hack garantir que ninguém interprete as informações lá dentro do protocolo consegue extrair as informações lê fazer a leitura fazer mudança E aí manda pro remetente informação errada né Como que eu faço essa checagem para saber que a mensagem saiu daqui chegou até lá na Norma tá dizendo quais são o tipo de criptografia né Por exemplo One Way né o hash você pode utilizar técnica

de hash para saber que se a mensagem que saiu daqui é exatamente o que chegou lá ok informações como por exemplo a senha que tá armazenada dentro de um servidor Será que aquela senha não foi alterada como que eu faço para não deixar aquela senha exposta eu posso colocar um hash criptografar as informações Ok tem muitas outras coisas eu fico ansioso aqui querendo falar tudo mas tá tudo muito bem explicado daqui a pouco você vai ver ciclo de vida incidente é outra coisa que a gente bem tem que tratar bastante né então a gente tem

que identificar que existe uma ameaça e a gente precisa ter controles para poder identificar isso se essa ameaça acabou se tornando o incidente a gente precisa ter controle desse incidente para não fazer com que esse dente estrague cada vez mais que piore o dano e tem que fazer também colocar controles para que evite que o dano se propague E aí também tem que ter controle para ajudar na recuperação tá esse é um ciclo de vida de incidente que é tratado aos olhos da ISO 27000 lógico se a gente pegar o do Cert pegar do cch

pegar de outros modelos até do cisp o o o ciclo de vida ele muda um pouquinho tá principalmente se tratando em cyber mas o padrão é isso aqui por que eu coloquei isso porque a gente ó a gente vai ter que ter contoles para reduzir as ameaças a gente vai ter que ter controles para prevenir que essas ameaças se tornem incidentes controles para detectar esses incidentes controles para reprimir né para evitar que aconteça danos maiores e a gente vai ter que ter controles para saber se a gente fez essa correção para poder recuperar de repente

algum sistema danificado Lano quanta coisa onde que eu encontro isso dentro da Norma Ok e dentro do nosso treinamento e aí fazer avaliação né porque ele tem que ele volta né é um ciclo infelizmente é um ciclo né constante depois você faz a recuperação aí vai acontecer novamente vai acontecer novas ameaças então a equipe tem que estar de olho em novas ameaças tem tá como que a gente faz isso aí tem todas as técnicas né acessar fórum sites de confiança sites de fornecedores etc etc etc Ok avaliar se todo o processo de ah não não

deu não deu a gente detectou ameaça não deu escapou virou um incidente o dano aconteceu a gente recuperou um sistema que foi corrompido vamos fazer a avaliação onde a gente errou né o processo de melhoria contínua a gente errou aqui na detecção ó a gente não teve um controle aqui vamos aplicar controles Ok E aí termos jargões e conceitos controle de acesso quem pode acessar física E logicamente isso é falado muito né eu eu eu coloquei alguns termos aqui que eu vejo que as pessoas acabam criando confusão né tipo controle de acesso é uma é

uma coisa controle de gestão de identidade é outra né você tem toda a parte de de identificação autenticação a liberação de acesso tal ele primeiro reconhece se o usuário e senha tá no banco de dados se tiver aí ele falou agora me dá a senha para validar se você realmente diz ser quem é E aí eu vou perguntar se ele vai ter senha se ele vai ter uma biometria se ele vai ter um ID se ele vai ter um cartão de ação são todas as fases que a gente precisa entender e identificar esses termos para

diferenciar porque falar um termo errado numa reunião onde tá acontecendo o incidente pode ser catastrófico Ok políticas de segurança da informação que que a Bendita política de segurança de Formação é o que deve o que não deve ser feito dentro de uma empresa quanto a a segurança da informação ó você não pode acessar sites que não diz respeito ao negócio você não pode respeitar o pend drive você não não pode copiar senha no papel você não pode cara extremamente importante política de segurança de informação os funcionários entenderem O que que você tá fazendo e garantir

que eles entenderam assinaram você treinou pessoal beleza ó entrou dentro da empresa botou per da empresa as política de segurança da informação é um dos itens mais importantes que o RH tem que dar pro funcionário novo mudou de área também de repente mudou de área vai acessar outro tipo de informação é bom ele reler a política atualizou também sempre tá postando atualização na internet pros funcionários por e-mail fazer tudo um plano um programa de conscientização tá backup é um dos troços mais importantes fazer backup para que se der algum problema você possa restaurar até diz

né que o backup não é tão importante quanto o restore não adianta você fazer backup e não testar tá e tem aquela outra também né quem tem um backup não tem nenhum Quem tem dois tem um tem que sempre fazer o teste a gente vê muitos profissionais fazendo backup de tudo já parou para fazer um teste para ver se aquele bicho lá tá rodando tenta fazer um teste de restor para ver se tá funcionando criptografia também é outra coisa que a gente tem que trabalhar muito com criptografia criptografar site criptografar sistema criptografar mensagem então você

tem que entender muito sobre criptografia classificação de informação ou seja rotular informação você classifica depois rotula tá você tem que rotular etiquetar mesmo um cabo de rede etiquetar um servidor etiquetar uma sal etiquetar uma informação como que etiqueta uma informação você coloca essa informação é confidencial se é confidencial eu preciso ter controle né mais rígido que aquela informação que não é confidencial continuidade de negócio também é outro tro que a gente trabalha aí bem ligado ao negócio tá não é só continuidade de Serv GTI mas é continuidade de negócio acontecer uma catástrofe um grande problema

uma enchente uma pandemia as pessoas agora vão trabalhar de casa gente tudo é questão de segurança como que a pessoa vai trabalhar de casa do computador dela ai não tinha previsto isso precisa colocar uma VPN precisa colocar um servidor ele precisa acessar as informações da empresa lá de fora então continuar de negócio faz muito sentido dentro do contexto de segurança não só né de segurança mas de governança também acordo de não divulgação ou NDA né no clos agreement a gente precisa ter um contrato de não divulgação de informações com fornecedores com funcionários com todo mundo

isso é é um dos controles organizacionais mais importantes ok que mais agora falando sobre o curso exame isso aqui é o último slide pra gente já começar a aparecer aqui algumas aulas eh o que você tá prestes a ver agora vai ser as aulas algumas aulas dessa certificação desse curso oficial para você entender como é que é como que é meu estilo falar Ah será que é legal não é será que eu vou entender ou não então são algumas aulas você falar assim pô legal GO curtir tá Ah especialmente agora a gente tá numa num

processo de lançamento desse curso por conta da atualização da Norma para 2022 eh aqui embaixo desse vídeo a gente vai colocar na descrição também no chat se alguém colocar ali a gente vai colocar o link direto pro Treinamento hoje tá numa super promoção se você tá assistindo agora nesse exato momento tá por R 69,90 um curso que você vai ter acesso por um ano eu não sei depois ok tá nesse momento você tá assistindo esse curso tá tá nesse nesse preço então dá uma consultada para ver se tá esse preço no nosso site é um

curso aí de um ano de acesso um curso preparatório Pro Exame de certificação ele tá alinhado a nova Norma da ISO 27001 tá E aí essa certificação É bem interessante para quem quer galgar outras áreas uma certificação mais avançada de segurança ou para quem quer se tornar um DPO né um data priv Officer eh essa certificação Ela é obrigatória para quem quer ser um profissional de privacidade Ok eu espero que você tenha gostado eu espero que o assunto tenha sido leve que você entendeu a importância qualquer dúvida que você tiver eu te estimulo a clicar

aqui no chat colocar as perguntas se essa Live sair do ar coloca nos comentários a gente vai deixar o máximo possível de informações de tudo que você Ah acho que aqui surg uma dúvida tal manda pra gente a gente vai colocar na descrição Ok E aí vou te deixar assistir algumas aulas e logo no finalzinho a hora que acabar eu volto a conversar com você tá bom E aí bom treinamento não esquece tá coloca aí as perguntas no chat que vai ser um prazer Zao responder valeu até daqui a [Música] [Música] pouco buenas seja bem-vindo

seja bem-vinda a mais um treinamento da pmg Academy meu nome é Adriano Martins Antônio e eu vou ser seu instrutor até o final dessa jornada Lembrando que esse curso ele é oficial ele é preparatório Pro Exame da izin o com a sigla isfs que é a famosa ISO 27001 foundation só que na versão 2022 se você já tem a certificação antiga da versão 2013 você não precisa fazer a nova notificação mas acho que é importante a gente entender aqui que existe atualizações que ocorrem constantemente no mercado e é importante você entender principalmente porque tem novos

controles tá a norma ela mudou um pouquinho ela mudou a estrutura vieram alguns controles que eu vou abordar nesse treinamento Lembrando que aqui na plataforma Você tem uma aba chamada materials que você pode clicar para fazer download constantemente a kisin faz alguns tipos de mudança e a gente vai colocando no documento Então esse documento é importante para você baixar Lembrando que não é só esse documento existem outras coisas O slide Você pode baixar inclusive também ah no final de cada módulo a gente tem aí alguns exercícios que é bem legal fazer para para você testar

o seu conhecimento e de tudo que você tá aprendendo e no final desse dessa jornada aqui você vai ter um batalhão de perguntas e respostas bem semelhante ao simulado e uma coisa que eu quero já falar logo do início Lembrando que o simulado é importante mas não é tudo ele é só um exemplo do que cai na prova do formato Como é cobrado no exame Tá então não vai se atentar somente a ele quando você for fazer o simulado nós temos a tendência de identificar o que que a gente errou Tá mas o mais importante

identifique o por você acertou uma questão Então você faz lá o simulado tranquilo não vai correr o treinamento só para chegar no simulado Não faça esse treinamento aí uma duas três vezes faça um mapa mental que eu acho que é bem importante porque você consegue explodir suas IDE ideias e no finalzinho você faz então o simulado e vai identificando tudo que errou e principalmente porque acertou por que isso porque eu vejo muitas vezes o pessoal fazendo o simulado tá mais tranquilo né não é o exame de verdade então ele tá lá Tranquilão Vai fazendo então

ele acaba meio que chutando e se cai algo semelhante na prova o aluno não vai lembrar então é importante a gente identificar porque acertou porque naturalmente O que errou a gente já vai atrás o que acertou também é importante Ok bom esse treinamento aqui é para quem nunca viu sobre segurança da informação e também para aquela pessoa que é ou pretende ser um gestor de segurança da informação por quê Porque Normalmente quando a gente fala de segurança da informação a gente tá falando de política de normas de leis de regulamentações a parte do conceito básico

sobre segurança os controles gerenciamento de risco do nível fundamentos Óbvio mas é importante que eu vejo muitos gestores de segurança não terem a base da ISO 27001 e 27002 já definindo aí a diferença de um e do outro a 27.0001 é aquela parte da Norma que é meio que utilizado como requisitos para uma empresa que tá obtendo a certificação é um documento muito utilizado inclusive pelo auditor que ele vai ticando Ah tem esse controle tem isso tem isso tem isso e a 27002 que antigamente era chamado de código né código de prática não é mais

ele na verdade tem os controles ele é mais a aprofundado e na nova versão ele tá um pouquinho maior Tá bom então vamos começar aqui eu vou trazer o meu slide pra frente e a gente já vai começar nesse primeiro modo fazendo uma introdução do curso fazendo uma introdução da Norma falar como um pouquinho Como que é o exame e aí a gente vai avançando com os conceitos Ok então esse curso ele é oficial da izin preparatório PR certificação da ISO 27001 foundation na versão 2022 vamos lá vamos vamos começar falando um pouquinho sobre o

curso o exame entender aí se você tá se preparando não é obrigatório fazer o exame pós conclusão do curso mas eu acho que é extremamente válido principalmente pro mercado pro mercado é para você comprovar que você realmente aprendeu alguma coisa aprendeu sobre seguran da informação e se você tiver galgando aí novas funções como um gpo como Security Office ele é fundamental ele é importante Aliás ele é obrigatório né para você ter essa formação aí da ezin ok então o nome dessa certificação é x information Security Management baseado na ISO IC 27001 ou 27002 nível fundamentos

Ok então vamos lá essa certificação Ela é importante porque ele pode te dar aí dois possíveis caminhos existem outros dentro dazin existem outros institutos Mas dazin eles tem duas linhas duas carreiras que é bem interessante o primeiro que é Security Office então a gente olhar na imagem do lado esquerdo que é a formação de Security Office ele vai te exigir esse treinamento e essa certificação o segundo curso que é do nível professional ok também curso e certificação E aí tem um terceiro que eu pessoalmente não conheço ninguém no Brasil né é uma prova extremamente difícil

ele não é muito fomentada pela xin que a A 27.000 exper tá então mas normalmente aí Pro Security Office a formação da Security Office que Inclusive a requisite concede um título para isso a foundation e a profession E você tem uma segunda linha que é a linha de DPO E aí para ser um DPO ou seja para trabalhar com privacidade né trabalhar como com a gdpr você tem este treinamento aqui e aí depois mais dois que é muito mais focado na privacidade na gdpr que é a pdpf que é de nível de fundamentos aí depois

você tem o pdpp que é do nível professional que é um nível um pouco mais avançado esse exige o curso oficial e também a prova tá todos esses cursos que você tá vendo na na imagem temos aqui na plataforma da pmg Academy falando sobre a formação vamos falar um pouquinho sobre ementa geral o que que a gente vai ver nesse treinamento então em linhas Gerais que a gente vai ver aqui primeiro é sobre informação a vai falar um pouquinho sobre a arquitetura da informação identificar a o o quão é importante a informação da da empresa

porque a gente sabe que qualquer tipo de empresa toma suas decisões baseadas em informações e essas informações têm que ser seguras essas informações têm que est estar disponíveis íntegras confidenciais e assim por diante que a gente vai ver aí no módulo dois sobre o famoso Sid mas não Pule o módulo dois fala ah já conheço esse Sid porque tem novidade Tem coisa mais e a gente vai contextualizar algumas coisas sobre segurança tá entender realmente que é segurança para aí a gente começar a avançar por a gente vai falar muito sobre controles de segurança que tipo

de controle controle físico lógico controle organizacional e humanos então a gente tá aí tem a norma baseada em quatro grandes temas né E a gente vai ver isso em cada módulo bem separadinho para você entender pontualmente cada uma delas que mais ameaças e riscos a gente tá faz uma confusão danada né entre ameaça risco vulnerabilidade exposição Então a gente vai diferenciar principalmente esses dois termos se você é um possível gestor de segurança ou deseja ser um gestor riscos é importante é um dos papéis mais importantes dentro da área de segurança de informação é fazer anál

análise de risco antes de sair implementando controles porque eu vejo muitas empresas né profissionais já querendo implementar antivírus fireo construir uma dmz colocar controles fazer políticas antes de fazer análise de risco avaliação de risco que é um troço extremamente importante tanto que eu tenho um módulo específico só sobre isso tá logicamente do nível fundamento o suficiente para você entender a importância dele para depois buscar uma atualização um curso mais aprofundado tá só diferenciando aqui já vou dar esse exemplo em outros modos mas já vou falar já né ameaça e risco quais seria as diferenças básicas

entre esses dois termos a Ameaça é Se eu olhar pro céu e ver que tá nublado eu tenho ameaça aí de chover né você não consegue controlar a ameaça Qual que é o meu risco eu tenho o risco por exemplo de me molhar então a gente precisa identificar que a ameaça existe e se eu estiver vulnerável o meu risco aumenta se eu não tiver vulnerável estiver protegido Meu Risco diminui Ok então a gente tem que tratar os riscos saber como que a gente vai lidar com os riscos de que forma através dos controles Ou seja

eu posso ter uma capa de chuva eu posso paraa gestão fazer a gestão desse risco simplesmente comprar um guarda-chuva eu posso nem sair de casa eu posso até inclusive tá disposto a tomar uma chuva de vez em quando Olha que bacana então assim o apetite é o risco isso vai depender muito do cliente do negócio por isso que é importante perguntar lá pro negócio fazer a Gestão de Risco análise de impacto é lá no negócio não é a fazendo ali achando né no achismo não vai no negócio tá por isso que a norma ajuda muito

e você vai entender porque no último slide quando falar sobre qualidade Qual é o objetivo da Norma e a gente não tem como escapar né vamos falar da de legislação de regulamento e normas durante o treinamento eu vou apontando toda a parte do do contexto de Norma regulamentação não vai ter um módulo específico só tratando sobre isso eu vou falando ao decorrer do treinamento Ok bom para izim que que ela tá avaliando se você obter o exame de certificação for aprovado para ela significa que você entende os princípios entende os conceitos fundamentais de segurança da

informação para não sair falando besteira por aí então ela entende que você realmente compreende os termos e também vai conseguir mitigar os principais riscos de segurança da sua área da sua empresa OK Esses são os dois objetivos com o exame de certificação comprovar que você sabe os conceitos e sabe mitigar risco tá vendo que risco é importante por isso a gente tem um módulo separado bom fala um pouquinho sobre a prova sobre o exame o exame não é difícil o exame é relativamente fácil é uma prova com 40 perguntas cada pergunta com quatro respostas somente

uma correta não pode colar não pode olhar PR os lados não pode ter pessoas junto contigo não pode desviar o olhar não pode abrir livro não pode abrir e eh o celular outras telas do computador porque ele é monitorado e você também não pode fazer anotações durante durante o exame Ok 60 minutos é um tempo suficiente para você fazer esse exame com tranquilidade você vai aí passar para um batalhão de perguntas e respostas simulando né um exame real que tem 60 minutos também faça com calma para você identificar o tempo que você vai levar para

fazer aí um o o exame com 40 perguntas ok para ser aprovado é acertando aí 26 perguntas dessas 40 ou seja totalizando 65% de aprovação é razoavelmente fácil a gente ter uma alta taxa de aprovação nesse exame mas cuidado tem muito conteúdo muito conteúdo então presta atenção nas aulas que muitas vezes ali a gente entende na aula mas não anota esquece chega na prova é você subentende alguma coisa e vai numa questão errada não é porque tem pegadinha mas porque tem coisas que são muito semelhantes principalmente conceitos vamos falar um pouquinho sobre a norma então

como eu falei a norma passou para uma atualização Eu sempre gosto de todo novo treinamento que sofre uma atualização eu falo um pouquinho da anterior pra gente Identificar qual é a evolução o que que acontece mas não Ache que a norma mudou completamente não não tem como né os grandes frameworks it CT a ISO 20.000 a 27.000 a a de continuidade né a 22 301 ela não passa para uma mudança radical ela vai evoluindo vou dar um exemplo vamos imaginar que lá na antiga na versão 2013 tava dizendo lá num dos controles que você tem

que instalar antivírus e todos os dispositivos na rede beleza aí perceberam que não adianta só instalar você tem que atualizar E aí então a a nova versão V Olha você tem que instalar e atualizar então muitas vezes a norma ela foi reescrita para facilitar então tem alguns controles que você olhar assim nossa São muito parecidos eu não consigo distinguir um do outro Será que que eu estou fazendo já tá tendência de controle ou esses então a norma ela vai sendo sendo reescrita né readaptada rearranjada para nos ajudar e ajudar a vida do auditor também então

começando a primeira coisa alterou o nome Nossa Adriano isso é importante é importante porque a o novo nome agora da 27022022 ela faz mais sentido vamos ver por quê antigamente ela era chamada de código de prática quando a gente ouve sobre práticas né a gente V muito inclusive das práticas it né então a gente entende que prática é o como e não não é o como então a gente ia na 27002 né não na 27.001 que são os requisitos a gente ia na 27.002 atrás das práticas tá então a gente esperava que tivessem por exemplo

coisas que que seriam mais ali no como no dia a dia mão na massa receitinha de bolo e não é verdade ela nunca foi né nenhuma parte dois da Norma teve essa conotação por isso que ela saiu desse nome aqui ó tecnologia da informação técnicas de segurança código de prática para controle de segurança da informação Então esse código de prática sumiu e se tornou agora um nome mais abrangente como esse aqui ó segurança formação beleza nada muda segurança cibernética e proteção à privacidade Opa dois contextos interessantes por quê Porque a gente tá falando muito de

gdpr lgpd e dentro da formação seja você um advogado ou um profissional de segurança você tem que entender as duas coisas sobre proteção e privacidade e sobre segurança como tá na mesma formação Então faz sentido a própria Norma inclui isso e segurança cibernética né A gente só tinha o conceito daquela segurança interna a segurança em papel segurança física mas a gente tem a gente sabe que tem um mundo cibernético onde a gente lida com ataques invasões eh vazamento de informação roubo fraude tudo que acontece nesse mundo cibernético foi aí trazido uma boa parte para dentro

da Norma ISO 27.000 tá alguns controles porque existem Normas em inclusive herdadas de outros frameworks que agora fazem parte da Grande Família eu vou falar dessa Grande Família da da isu que é bem gigante a 27.000 Ok tamanho da Norma ela tinha apenas 88 páginas e agora ela tem dobro 164 páginas né quase o dobro Adriano significa que teve muito mais controles não não significa que teve muito mais controles tá E e a gente vai ver isso aqui porque foi reestruturado foi reescrito foi readaptado AD tem matrizes ali que nos ajudam a a navegar na

Norma fica muito mais fácil bom os controles foram então re reordenados por que reordenados porque você não tinha meio que uma lógica dentro da 271 2013 Então você tinha que ficar pescando alguma coisa não tinha uma meio que uma sequência de vez em quando ele falava gestão de ativo depois ele é para controle de acesso Depois fala de segurança não sei o qu Então você fic meio perdido agora ele tá mais fá tá reordenado foram agrupados agrupados tá bem mais fácil a leitura e interpretação do que antes alguns controles foram mesclados e aqueles que não

fazem mais sentidos foram retirados que é natural né Toda evolução de uma Norma eles fazem esse tipo de atualização ou removendo ou incluindo E aí foram também adicionados principalmente quanto a a parte de Cyber temas dos controles isso aqui deu uma melhorada danada nas versões anteriores inclusive nos treinamentos que eram baseados na versão anterior a gente já fazia essa divisão natural né de controles lógicos ou tecnológicos os controles físicos organizacionais e humanos e a norma anteriormente ela não tinha essa divisão tão Clara agora 2022 ela ficou mais clara tá então a 27002 listava 93 a

a agora lista 93 ao invés de 114 Você tá vendo que ela diminuiu a apesar de ter aumentado a quantidade de páginas explicações ela diminuiu a quantidade de controle tá e esses controles Então são agrupados em quatro temas ao invés de 14 cláusulas E aí para quem já conhece um pouco sobre a norma ou já fez o curso da versão 2013 vai conseguir identificar o que eu tô falando então a gente tem controles que estão relacionados a pessoas humanos a gente tem controles que estão relacionados à organização temos controles tecnológicos né e os físicos os

lógicos ou tecnológicos e os controles físicos né que tá trata de controle físico mesmo controle de acesso né acesso a um data sent a um prédio enfim os anéis de proteção a gente vai ver tudo isso no treinamento então só para você entender essa evolução novos atributos de Cont controles isso aqui é sensacional isso aqui nos ajuda a a categorizar tipos de controle não a gente tem muito controle tá mais de 90 controles como que eu categorizo como que eu sei quais são aqueles controles que estão mais visando a governança que estão mais visando a

privacidade que estão visando mais a confidencialidade a disponibilidade a integridade a prevenção a correção a mitigação muito interessante Então por controle a gente tem isso e a gente tem no final uma matriz eu vou mostrar um exemplo aqui no próximo slide Então a gente vai ter tipos de controle por exemplo Ah esse controle aqui ó ele é mais preventivo ó Isso aqui é detectivo Ah isso aqui é mais para correção por que isso imagina a seguinte situação você tem lá a sua área de segurança da informação tem os processos tem as políticas tudo bonitinho você

é muito muito bom para prevenir Nossa você é bom demais você é bom para corrigir tem uma equipe fera mas você não tá conseguindo detectar você detecta depois então você vai pegar os controles que estão relacionados à detecção ou seja detectivo tipo de controle é esse esse esse esse e você vai ali atrás por eu tô falando você vai atrás porque muitas vezes as empresas vão atrás da Norma ISO não com o interesse apenas de obter a certificação pra empresa mas para poder realmente aplicar todo a parte de controle então assim você não fica inventando

não precisa a norma tá aí para isso ela já facilita a nossa vida então você vai atrás fala olha meu nosso problema aqui é detectar incidente Ok Quais são os controles que eu preciso aplicar esse esse esse esse olha que simples que mais propriedade de segurança da informação famoso o sid né confidencialidade integridade e disponibilidade conceito de segurança cibernética e fica tranquilo que a gente vai explicar cada um desses tá conceito de segurança cibernética bom agora passou para uma atualização a gente não pode mais falar só só só sobre segurança D informação a gente tem

que falar no mundo cibernético e quando a gente fala de segurança cibernética a gente entra com alguns atributos diferentes a gente tá falando de identificar a gente tá falando sobre proteger detectar responder e recuperar aí quem já conhece um pouco mais de segurança falou pera aí adano Isso aqui é de outro Framework o famoso nist sim senhor foi adaptado tá Eles foram lá buscar coisa que já existe que é boa não criaram do zero e adaptaram isso colocaram com uma nova Norma e alguns atributos na 27001 capacidades operacionais então ah eu quero focar alguma coisa

mais aqui em gestão de ativo insegurança física tá pegando mais então vai lá continuidade ó a gente tá passando um processo de continuidade de negócio continuidade de ti Quais são os controles que visam isso tá lá na Norma ou ainda os domínios de segurança a parte ah eu tô aqui no processo de governança governança da informação governança corporativa governança de corporativa de ti enfim que tipo de governança você vai lá os controles que estão listadas mais ao direcionamento controles né ou a parte do ecossistema a parte de proteção a parte de defesa Olha a gente

aqui tá ruim de defesa tá deixando passar tudo vai lá nos controles identifica Quais são os controles que são responsáveis para você ter mais defesa na sua empresa na sua ati na sua informação Ok só a título de exemplo para cada controle n go que tem mais de 90 controles para cada controle você vai encontrar um negocinho desse tá um quadradinho fo meio seg aqui vou chegar perto para ler vai lá tem tipo de controle Ah esse tipo de controle aqui é preventivo que a gente já viu lá numa listinha e fica tranquilo que eu

vou passar por isso aqui novamente no Próximo módulo tá Ah esse controle aqui ele tá mais relacionado à disponibilidade de integridade Ah esse aqui ele tem um conceito de de de Cyber mais de proteção e assim por diante então para cada controle você vai ter essa tabelinha aí mas no final da Norma você vai ter algo maior que é mais fácil de na Veg então você pode filtrar eu queroo filtrar ah por exemplo aqui no primeira segunda terceira quarta quinta sexta coluna A parte de capacidade operacional Ah eu quero listar tudo que é de governança

filtra E aí você vai ver todos os controles relacionados à governança Ok então papel desses atributos de controle é ajudar a categorização filtrar pesquisar a norma a gente tem que fazer um máximo de abstrair o máximo da de informação interessante da Norma ela não é só um simplesmente um documento que vai te servir como guia para uma processo de de de de certificação da empresa não ela é essencial você tem que saber como extrair o máximo de informação ela tem que ser um documento fácil tá ali tem bastante informação como que eu tiro o máximo

desse documento É esse aqui é um dos exemplos tá essa Matriz ajuda bom eu tô falando de Norma tô falando de ISO mas antes toda vez que a gente fala de ISO a gente fala de Norma a gente vem Norma de qualidade vem na nossa cabeça e qualidade é muito subjetivo V dar um exemplo né para mim uma música de qualidade é um R metal né para outra pessoa qualidade uma música é outro tipo de música então assim é um critério muito subjetivo para mim é bom para outras pessoas não é bom Então como que

a gente tira essa subjetividade e coloca algo mais objetivo é um critério subjetivo não tem como eu gosto de chocolate tem gente que não gosta eu gosto de Café sem açúcar tem gente que gosta café melado é critério de qualidade Então como que eu posso falar que uma música é boa que um café é bom né que um chocolate é bom no meu ponto de vista é uma coisa e outro ponto de vista é diferente então quando a gente fala de Norma quem é que vai dar o ponto de vista sobre o que é ou

não algo de qualidade é o negócio não é a ti não é área de segurança por isso que é fundamental o processo de análise de risco e essa análise de risco é feito lá no negócio não é feito na ti Ah eu vou definir aqui o que é importante pro negócio Não não faça isso vai começar errado né quem define o que é importante é o negócio quem define o valor das informações são os negócios não é ati Então vamos entender primeiro o que que é qualidade eu vou colocar alguns termos aqui eh mencionados por

exemplo pelo pelo fio Crosby que que ele fala que é qualidade é conformidade com os requisitos Então você é o futuro gestor de segurança você vai ter que definir o os requisitos de segurança você vai lá nas áreas você vai identificar o valor da informação vai fazer análise de impacto vai saber que aquela informação é importante aquela já não é tanto aquela ali é muito mais aquele é crítico você vai definir isso isso são os requisitos que são passados pelos clientes então se você atender se você tiver conforme os requisitos significa que você tá entregando

algo de qualidade a gente pode dar até o exemplo na área de desenvolvimento do software não tem análise de requisitos ou tradicional não is scun você tem lá os requisitos Ah eu quero um sistema que faça isso isso isso isso se você entregar exatamente que o cliente pediu que faça isso isso isso significa que você entregou algo de qualidade ou não só a entrega mas algo que você possa usar que é o que o Josef huran tá colocando aí que é aptidão para o uso ou seja dá para usar Olha eu comprei isso aqui tá

de acordo com o que eu queria dá para usar então é um produto de qualidade ou ainda né segundo a ISO 9001 fala que a totalidade de tudo de todas as características de uma entidade Seja lá qual for afetam a capacidade de satisfazer necessidade declarada ou seja minha necessidade é essa então o que me chama atenção ess nessa nessa definição de qualidade não é só declaradas implícitas né mas não é explícita tá implícita E aí é muito Sutil isso satisfazer as necessidades você tem que satisfazer necessidades é das áreas de negócio são dos seus clientes

Não é satisfazer a necessidade do próprio ego ou seja do próprio da própria ati dos próprios funcionários não você tem que satisfazer necessidade do dono da informação que é a empresa OK E aí a gente também tem o modelo de qualidade definido aí pelo modelo famoso modelo de excelência da efqm né E aí bacana que Isso inclui também o prêmio de dem quem já viu falar de Demi né provavelmente já deve ter ter lembrado aí do fluxo PDC de melhoria contínua que tem tudo a ver com qualidade também então a gente precisa ter a melhoria

contínua melhoria e é sempre trazer a qualidade Olha tá bom vamos melhorar tá ruim então vamos melhorar Então a gente tem esse papel de aumentar a qualidade bom a gente fala de qualidade então a gente fala de Norma ISO Aí o tio Adriano vem aqui com uma definição Qual que é o objetivo de uma norma é ser chata ser burocrática guela abaixo não gente a norma ela não serve para isso Ela É Sensacional Por quê ele é o modelo internacional se é o modelo internacional se você falar um termo aqui você pode ter certeza que

qualquer outro país do planeta vai entender o que você tá falando e aí a gente evita confusão cada um falando uma coisa isso aqui é uma ameaça um risco como uma vulnerabilidade isso aqui é é um controle é uma métrica é um não sei o quê conformidade cara não não tem isso então a gente tem um glossário dentro da Norma né tudo que eu tô falando aqui em cima de termos ofici da Norma isso vai evitar o que eu coloco aqui ó confusão o mesmo termo que eu uso aqui pode ser lá adrano não é

meio sexo dos Anjos is aqui ficar discutindo termos Não não é em se tratando de segurança da informação é muito importante que se você falar uma coisa o outro lado ali entende exatamente o que você tá falando porque se você falar alguma besteira aqui o outro lado pode entender diferente e aí pode tomar uma ação catastrófica tá então a norma serve também muito para isso evitar qualquer tipo de confusão Olha eu acho que não tem acho tá Norma Tá ali tá escrito é a definição então o que você vai aprender aqui não é o que

você acha o que o tio Adriano acha Olha eu acho que isso aqui poderia Não não é é o que tá na Norma tá o que tá na norma é o que o mercado normalmente usa tá então você pode ficar tranquilo também nossa isso aqui esse negó da norma as pessoas não usam né Eu só tô colando enfatizando a importância de uma Norma porque muitas vezes infelizmente as pessoas acham que norma é só para burocratizar não é para facilitar e deixar as coisas mais ágeis Inclusive tem gente que acha que Norma deixa a empresa travada

não ela deixa mais ágil você não precisa perder tempo identificando O que é conceito vai na Norma tá lá tá escrito simples assim bom a norma 27001 2022 que é esse treinamento aqui é é uma Norma mas gente ela faz parte de uma de uma mãezona a mãe aí a famosa 27.001 a 27.000 perdão a família 27.000 ela contempla mais de 50 normas relacionadas de a sobre segurança então 27.001 27.002 27.000 e não sei o quê Tem várias eu não vou listar todas aqui que não faz sentido nenhum Tá eu vou colocar algumas outras que

não fazem parte da 27.000 mas tem tudo a ver com segurança da informação Então é só título de exemplo Ok não precisa decorar mas só para você entender por exemplo a 2713 que é equivalente como eu falei no comecinho da aula sobre o nist o Framework famosíssimo né que a gente utiliza pra área de segurança informação Então a gente tem uma Norma que é bem equivalente temos também computação inem nuven 27017 Olha eu tô tirando os recursos daqui internamente tô colocando na nuvem então estou me eximindo de responsabilidades não seus problemas vão mudar alguns que

você tinha não tem mais e aí o fato de você colocar um recurso na nuvem você vai ter outros tipos de problemas outros tipos de risco controles Quais são esses controles tem uma Norma só para isso de computação em nuvem Gestão de Risco que não faz parte desse número 27 né 27.000 alguma coisa 31.000 famosíssima Gestão de Risco tem tudo a ver com área de segurança continuidade de negócio também faz parte de segurança Lembrando que aqui na plataforma tem um curso Completão de seg da de continuidade de negócio também então 27031 27 301 ambas de

que tratam s sobre quantidade de negócios e quantidade de ti bom qual que é a importância da Bendita ISO 27001 2022 E aí esse recado é para você aí que é um futuro gestor de segurança da informação Olha a abrangência então assim o fato de você estudar esse treinamento que é baseado nessa Norma Então a gente vai passar muito mais vai falar muito mais coisa do que tem na Norma para você compreender tá veja o quão é importante você que que é o futuro gestor Você vai precisar compreender os requisitos de segurança Lembra que você

tem que ir lá no cliente perguntar o que que é importante E aí em cima dessa importância definir Quais são os requisitos ajudar o cliente a definir os requisitos então o papel do gestor de segurança é esse é ir lá compreender Quais são os requisitos Olha o cliente tem informação no pen drive Hum que que eu preciso trazer de segurança para esse pen drive hum não é legal deixar no pend Drive Vamos jogar no nosso servidor de arquivos Vamos jogar na nuvem tudo isso é trabalhado de acordo com requisito de segurança Então você tem que

entender o que que é segurança para poder ajudar quais são os requisitos e estabelecer políticas tá primordial não sai implementando o controle sem construir uma política Ah mas aden política é chato é mas é faça uma vez é importante todo funcionário novo que entrar entrega política de segurança não tô falando funcionário de segurança não qualquer funcionário da empresa porque ela é corresponsável também para manter as informações seguras Quantas vezes a gente já viu que a gente tem Firo tem dmz tem proteção tem equipamento trocou Suit separou rede VPN aí o funcionário lá da área de

contabilidade entrega o notebook pro filho acessar site qualquer E aí é invadido aí tem todas as informações da empresa e roubadas então o funcionário as pessoas têm uma responsabilidade uma boa parte da responsabilidade como a gente garante isso através de uma política então lei assina e esteja de acordo Ok é um tipo de controle essencial que mais e aí gestor implementar e operar esses controles tá para gerenciar os risco é lá tem que implementar instalar não é garantir que alguém tá fazendo isso corpo técnico tá fazendo garantir que esses controles estão sendo empregados né Para

quê para gerenciar os riscos então o gestor ele tem que entender bastante sobre gestão de risco monitorar e revisar o desempenho do sgsi sistema de gerenciamento de segurança inform toda vez que a gente fala de sistema né nesse caso de sistema de gerenciamento de segurança da informação a gente tá falando de algo muito mais complexo não é só uma ferramenta uma política são pessoas estrutura contexto conceito práticas tudo isso tá então tudo é um sistema então toda vez que a norma fala sobre sistema sistema de gestão de serviço sistema de gestão de segurança de informação

é algo muito maior do que simplesmente um documento uma política um procedimento uma instiuição de trabalho gestor também vai ter que além de monitorar e visar esse grande sistema vai ter que ajudar também na melhoria contínua Com base no quê medições quantidade de acidente quantidade de problema quantidade de ataque quantidade de vírus qu tudo mede tudo quantidade de tentativa de acesso não autorizado quantidade de ataque mede tudo isso pra gente poder melhorar cada vez mais o nosso sgsi que também a gente vai falar bastante no treinamento Ok com isso a gente encerra módulo um de

introdução e aí no módulo dois a gente já vai começar com alguns princípios alguns princípios bem conhecidos e outras que são novidades E com isso a gente vai dando seguimento ao treinamento Ok então espero no Próximo módulo [Música] [Música] valeu Olá seja bem-vindo ao módulo que a gente vai tratar sobre os conceitos e princípios no módulo anterior a gente falou sobre a atualização que teve da 27.001 e da 27002 só lembrando que 27.001 é a parte de requisitos que é a formação que é o certificado que você vai conquistar e a 27.002 a gente acaba

utilizando porque seria impossível desenvolver todo esse conteúdo para você só se baseando numa Norma que ela é pequenininha que é faz parte de requisitos é diferente pouco que acontece por exemplo é só uma curiosidade na ISO 20.000 ela não é ISO 20.00 de itsm né gerenciamento de serviço de ti não é não é 200.001 ou 20.002 é 20.000 tracinho 1 e 20.000 tracinho 2 que segue a mesma regra a número um faz parte dos requisitos e a número dois faz parte aí do código de prática e agora na 27002 já não é mais código de

prática e sim controles de segurança uma outra outra curiosidade na época kzin lançou essa certificação era 27.002 E aí depois ela trocou para 27.001 não trocou o certificado não trocou o badg né aquele simbolozinho da dazin não trocou absolutamente nada tá o exame não mudou nada porque a 27.001 e o do praticamente a mesma coisa só que a 27001 é utilizada para requisito e a base dessa certificação Ok então vamos lá vamos começar com os princípios e conceitos vamos começar a entender aí qual que é a necessidade da segur informação conceitos básicos como o famoso

Cid Quando eu falar Cid ou Cia é a mesma coisa que Sid na verdade é em português e Cia a letra A no final ela é de availability ou seja de disponibilidade por isso que normalmente a gente vê no mercado muito pessando falando Sid siia que é o famoso tripé vamos lá vamos começar antes de falar desse tripé vamos entender como que a segurança ela deve ser gerenciada dentro de uma empresa o que que acontece normal isso aqui não é o processo mas só para vocês entenderem né Então imagina que há alguma coisa com vulnerabilidade

lembra que eu dei o exemplo na na aula anterior sobre Ah se olhar pro céu e de repente tiver uma ameaça de chuva eu posso correr o risco de me molhar vamos imaginar então que eu estou vulnerável eu não tenho uma capa de chuva eu tô num local onde não é coberto E aí Eu começo por exemplo ouvir barulhos né de trovões eu começo a olhar pro céu e existe uma ameaça de chuva e se eu me expor a essa chuva ou seja começar a me molhar aí sim eu vou ter um risco de ficar

totalmente encharcado para que que serve essa imagem esse negócio que parece ser simples mas é isso que acontece por exemplo com o nosso ambiente Então vamos imaginar vulnerabilidade vamos imaginar que detectar uma vulnerabilidade e um drive de uma placa de rede de um servidor Opa tá vulnerável se toda a comunidade principalmente os hackers começam a identificar que tem essa vulnerabilidade também eles vão começar a explorar essa vulnerabilidade e se você tiver exposto ou seja se você não tiver atualizado aquela placa de rede por exemplo você tá correndo um grande risco de ser atacado isso acontece

sempre a todo momento eu tô dando um exemplo simples mas a gente pode encarar como qualquer coisa você pode estar vulnerável de qualquer forma não é só as informações de um hardware de software pode ser informação offline de um papel qualquer coisa então a gente sempre vai ter e e e sempre vai existir esse esse fluxo né a gente tem que lidar com as vulnerabilidades porque a ameaça vai existir a gente não pode se expor a esses ataques a essas ameaças E assim a gente consegue fazer a gestão do Risco então fazer gestão do risco

é exatamente isso e para fazer a gestão de segurança necessariamente a gente precisa fazer a Gestão de Risco Então como é que começa né Vamos lá eu quero começar eu quero gerenciar a segurança da minha empresa Então a primeira coisa a gente precisa entender o que e o que estamos protegendo a gente precisa saber se é uma informação falada gravada transmitida armazenada a gente precisa saber primeiro o que a gente precisa proteger Aí sim posteriormente a gente vai priorizar as ações por que priorizar porque muitas vezes eu vejo algumas empresas os analistas de segurança querem

investir toneladas de dinheiro para proteger um ativo que não vale tanto quanto a proteção exemplo Ah eu quero colocar um antivírus que custa 1 Milhão mas as informações não custam nem 100.000 Então vale a pena a gente tem que fazer essa priorização tanto quanto a gente vai levar um projeto para aprovação paraa diretoria Quantas vezes a gente recebe o não porque de repente a gente não quantificou custos os requisitos o que precisa Então a gente precisa levantar tudo então primeiro a gente identifica o que que a gente precisa proteger prioriza quanto a custo requisito pessoas

envolvidas recursos tudo isso Aí sim a gente começa a implementar os diversos controles que a gente vai ver daqui para frente tá são muitos controles bom Mas independente disso por que a segurança da informação é importante Isso serve para qualquer tipo de empresa tá empresa privada empresa pública empresa com fins lucrativos sem fins lucrativos qualquer tipo de porte da empresa pequena médio grande qualquer empresa por a empresa Toma decisões baseadas em informações se essas informações não tiverem disponíveis serem vazadas ah ou não forem íntegras a empresa não consegue tomar a decisão correta então a segurança

de informação é importante para qualquer tipo de empresa tá principalmente para aquela empresa que está vendo lucratividade ah mas adran tem empresa que é sem fins lucrativos Ok vantagem competitiva mesmo empresa sem fins lucrativos ela tem uma competição com outras empresas Ou ainda por conformidade Ah não tem competitividade não tá visando o lucro Mas tem uma regulação uma lei então de repente a empresa tá listada uma bolsa de valores nós temos a gdpr a lgpd no Brasil que aí a gente tá falando de conformidade leis regulamentações ou até para ter uma imagem comercial bacana imagina

a tua empresa ser implementado com ISO 27.001 pelas suas mãos e passar pro mercado Olha nossa empresa é segura nossa empresa tem informação de qualidade porque a gente tem uma Norma ISO 27 isso é sensacional tá isso não vale só para aquelas empresas que p um serviço de segurança né E isso que é meio não digo obrigatório Mas eu vejo muitas empresas inclusive no Brasil correndo atrás dessa certificação para prestar serviço principalmente aquelas que prestam serviço de segurança da informação Ok vamos lá começando do começo começando sobre segurança e informação vamos imaginar que você não

conheça nada tá colocando os pés aqui na área de segurança da informação primeira vez Então a gente vai começar dizendo o seguinte Antes de iniciar uma estratégia de segurança Então antes de sair comprando software hardware antes Calma a gente vai ter que seguir um processo para que lá na frente a gente veja que não gastou tempo e dinheiro dinheiro que não é nosso dinheiro que é da empresa tempo de todo mundo colocou coisa que é totalmente desnecessário então primeira coisa saber o que que a gente quer proteger como eu falei vamos levantar o que a

gente precisa proteger Que tipo de informação que tipo de recurso que tipo de ativo patrimônio então primeiro vamos identificar o que proteger para depois pois entender do que e de quem a gente quer proteger né muitas vezes a gente acaba identificando Ah eu quero proteger isso mas de quem então a gente precisa entender de quem Ah é de um atacante é de uma pessoa que vai fazer uma entrega vai entrar fisicamente dentro da empresa é de um notebook um laptop de um executivo precisamos identificar isso para isso então vamos iniciar a famosa análise de risco

a análise de risco Visa fazer justamente isso tá identificar inclusive o valor da informação quando a gente for fazer o O Chamado Business Impact analysis né análise de impacto Identificar qual que é o valor para evitar o quê começar a colocar um monte de controle que é muito caro é mais caro que o valor da informação bom que mais ao analisar os riscos e a gente vai ter um módulo só sobre risco então fica tranquilo aqui tá ao analisar esses riscos Então a primeira coisa que a vai identificar os requisitos ou seja o que precisa

para fazer a proteção de um ativo e lembra quando eu falo ativo pode ser informação pode ser recurso hardware software ideias tá qualquer tipo de coisa a gente precisa levantar os custos para ver se fica muito caro ou não até para poder levar para aprovação Ah e tudo isso vai nos guiar e vai determinar as ações antes de sair implementando o controle que nem o louco né então a gente tem que ter os pés no chão e fazer esse tipo de trabalho tem gente que acha que é muito chato deixa isso a cargo das pessoas

de Gestão de Risco dos gestores dos coordenadores eu sei que muitas vezes a gente é técnico a gente já quer meter a mão na massa a gente já quer mexer ele na segurança proteção começar a ver logo Mag identificar incidente é normal é natural a gente vai fazer isso mas primeiro a gente precisa fazer toda essa Gestão de Risco e ess essa Gestão de Risco ela é viva ela tem que ser feita continuamente não é uma vez só tá ela é sempre tem que fazer por quê Novas vulnerabilidades Novas ameaças acontecem todo dia brotam começa

a brotar quem acompanha os fóruns as notícias toda hora é novas vulnerabilidades é um aplicativo é um Plugin um site é um hardware então sempre tá surgindo isso surg novas vulnerabilidades você precisa saber se você tá exposto ou não e tratar isso aí se você encarar isso como risco olha para tratar isso a gente vai ter que fazer uma ação empresa tá disposta a investir nisso ou não análise de risco ou avaliação de risco Fica tranquilo que a gente vai diferenciar daqui a pouco um do outro não tem não precisa ficar qual é a diferença

não é o momento no momento certo a gente vai falar a diferença entre avaliação e análise tá Então nesse momento de análise de risco que a gente precisa fazer a gente precisa fazer fazer procedimento a gente precisa tem que ser feito periodicamente cria um procedimento para fazer isso periodicamente A análise de risco como eu falei não é feito uma vez só ela sempre é feita feita toda vez que é colocado alguma coisa nova quando é feito uma mudança né gerenciamento de mudança tem que ser feito isso constantemente lidar com as mudanças né como eu falei

normalmente a gente acaba colocando um aplicativo novo uma aplicação né o pessoal lado do desenvolvimento Coloca alguma coisa nova a gente tem que fazer o gerenciamento de risco então assim risco tá muito envolvido com o desenvolvimento de software também não só com as mudanças que a gente faz na infraestrutura Ah vou trocar o servidor vou trocar o roteador cabeamento uma aplicação não tudo tudo tem que passar isso pelo crio de segurança da informação bom a segurança é alcançada por meio de aplicação de controles como que eu vou gerenciar minha segurança aplicando os controles para isso

levanta o que precisa proteger de quem você precisa proteger faz uma análise de risco e nessa análise vai identificar custo o que precisa E aí sim implementa e monitora isso aí esse é o fluxo básico do segurança de informação não tem mistério mas a gente infelizmente vê muitas pessoas indo já pra última etapa né colocando as ferramentas lá a gente gosta de ferramenta né a gente já coloca ferramenta achando que vai resolver muita coisa é o que eu costumo falar se você fizer isso sem procedimento vai ter problema no futuro então assim na análise de

risco a análise de risco é um procedimento é um processo tem que ser feito p periodicamente Ok para isso então a gente vai começar falando sobre arquitetura da informação bom se a gente quer proteger a informação a gente precisa ter uma arquitetura da informação o contexto né o conceito de arquitetura da informação é um pouco complexo ele fica meio vago eu vou falar um pouquinho sobre a arquitetura aí no próximo slide eu vou falar um pouquinho sobre os conceitos mas eu tenho certeza que vai ficar claro então a arquitetura da informação é arquitetar a informação

como que eu vou acessar essa informação onde estão as informações qual é o valor dessas informações a gente tem Framework para isso tá no próximo slide eu vou mostrar então a gente precisa arquitetar a gente precisa desenhar Como tá a nossa estrutura Onde tá o Onde estão os arquivos tá na nuvem Tá no pendrive tá no computador tá no servidor Tá no e-mail tá num CD num disket né quem não conhece de sket um negocinho pequenininho de plástico né Aonde estão as informações então a gente precisa detectar mas não só isso a gente precisa de

muito mais a gente precisa de guias a gente precisa de procedimento a gente precisa tratar os riscos ferramentas pessoas Nossa quanta coisa é quanta coisa a gente se você quer saber o que que você tem que gerenciar na quanto a segurança informação você precisa saber onde as informações estão você precisa saber como tá tudo organizado como está arquitetado a informação Ok então arquitetura da informação isso aqui são frases que são utilizadas inclusive de frameworks bem conheci tá arquitetura é a arte de expressar um modelo ou um conceito de informação Então você você chega numa empresa

assim como que tá arquitetado a informação então a forma de expressar é mostrar o modelo de arquitetura é expressado em atividades em Sistemas complexos não são sistemas simples né É só um servidor de arquivo não a gente sabe que não tá lá para você para um diretor por exemplo tomar decisão ele não vai só se basear no se num arquivo que tá dentro de um servidor ele vai se basear no rel que ele recebeu no e-mail ele vai se basear em algo que tá no pend drive no computador na cabeça dele tá ISO tudo tem

que ser expressado de uma forma aí essa forma seria a arquitetura tá então através olha só os exemplos né então pr pra gente começar entender mais ou menos como é arquitetura imagina como que é o sistema de uma biblioteca como é que tá organizada as informações né É por ordem alfabética é por tema é por estilo de de de de livro né Então imagina uma biblioteca ou você pode imaginar um sistema de gerenciamento de conteúdo né então você tem de repente lá um ou algo mais simples um Wikipedia como que ele tá arquitetado como que

ele tá dividido categorizado desenvolvimento de web ele utiliza muito a arquitetura da informação né como que é organizado a gente sabe por exemplo uma página well HTML tem lá o Bud né ele tem o cabeçalho o corpo o footer né então ele tem tudo bonitinho Isso é uma espécie de arquitetura você arquiteta você desenha ele bem bonitinho ah informação sobre o não sei o quê a Ah tá aqui inclusive até protocolo a gente tem isso né o cabeçalho do protocolo então arquitetura da informação tá em tudo que a gente trabalha dentro da segurança informação e

principalmente dentro da ATI ó por exemplo interações com os usuários desenvolvimento de banco de dados programação então gente quando a gente fala de arquitetura olha quanta coisa envolvida tá de como o usuário vai interagir com a informação como que a gente modelou o banco como que tá programado isso como vai ser apresentado pro cliente né a parte de redação também faz parte da arquitetura de informação né Que tipo de informação Você coloca ali é uma informação mais concisa é uma informação mais simples mais robusta mais técnica projeto de software de sistemas críticos normalmente tem quando

é um sistema bem crítico ele tem um sistema de arquitetura ali bem desenhado para saber como que a informação trafega como que a informação é armazenada Qual que é o modelo de linguagem tudo tudo tudo isso ok então e as organizações elas conhecem elas reconhecem que a arquitetura da informação é importante se Elas Não reconhecerem elas não vão conseguir localizar a informação simples assim então assim se uma empresa não tem arquitetura não ter o mínimo de noção de como que tá arquitetada a informação provavelmente as pessoas não vão conseguir obter acesso a dita cuja informação

e se conseguir ter acesso não entenderá o valor dela e se ninguém entende o valor ninguém vai dar devida atenção quanto a proteção privacidade roubo de informação por isso que a segurança de informação Depende muito da arquitetura então o desafio é orientar a galera né através de uma vasta quantidade de informação ofertada que perceba o seu valor então não adianta saber onde que as informações estão se as pessoas não entenderem Quais são os Qual qual é o valor daquela informação que tá amazenada ali qual é o valor da informação que está sendo trafegado de fora

para dentro da empresa ou vice-versa E aí um grande modelo muito utilizado muito conhecido é o famoso togaf né seis quer dá uma olhadinha aí dá um um pause no no vídeo mas é só um exemplo de um modelo de arquitetura tá a arquitetura envolve muita coisa envolve guia pessoas recursos soft parte lógica física tudo que você podde imaginar tá aqui um modelo gigantesco completaço quer implementar uma uma arquitetura de Formação a a gente chama também de arquitetura corporativa vai atrás do togaf bom vamos agora para umas definições para deixar um pouco mais claro né

definir a arquitetura a gente tem que imaginar também que arquitetura quanto a construção civil né a gente tem os engenheiros a gente tem os arquitetos Então resumindo é o seguinte qual é o papel do arquiteto não é construir a casa não é construir um sistema é desenhar é fazer a planta tá então o arquiteto desenha E aí o engenheiro vai construindo tratando de informação é a mesma coisa então o arquiteto de informação ele pode ajudar a desenhar a estrutura enquanto os desenvolvedores e os designers vão desenhando baseado na arquitetura de Formação simples assim então vamos

lá uma definição boa para arquitetura de Formação é a combinação de um esquema né ou de vários esquemas da de organização rotulagem navegação dentro do sistema Então quando você desenha pensando em ux né user Experience com com o seu usuário você tem que imaginar puto ele vai navegar no site aqui no sistema aqui ele clica aqui ele vai navegando rotular informação até rotulagem quanto a questão de segurança de informação informação confidencial informação pública informação privada isso tudo faz parte da arquitetura que mais o design da estrutura de um espaço de informações para facilitar o quê

conclusão de tarefas e acesso intuitivo ao conteúdo a arquitetura vai ajudar fazer com que o acesso né a utilização da informação seja algo intuitivo não seja doloroso pro usuário que ele tem que Navegar buscar correr atrás não ele tem que ser algo simples quem ajuda a trazer essa facilidade é a arquitetura da informação é a arte é a ciência de estruturar e classificar sites classificar intranets para ajudar as pessoas encontrar e gerenciar informações esse aqui é um dos conceitos mais antigos em se tratando de arquitetura de informação tá ela veio a acabou sendo a origem

muito Muitas vezes em classificar a informação dentro de um site ou intranet E aí tem aqui a uma frase do tio Adriano mesmo para poder te ajudar é a planta então a arquitetura é a planta que os desenvolvedores que fazem o papel aí dos Engenheiros né os desenvolvedores e os designers construir um sistema então para construir ele tem que olhar a planta né do projeto que é a arquitetura da informação como que a informação tá arquitetada Quais são as camadas Ah vai ter uma camada de aplicação vai ter uma camada de banco de dados então

eu vou precisar de um um alguém a um especialista em tal linguagem nessa camada de aplicativo vai ter uma uma fila né vai ter apis é a planta né o desenho Ele só faz o desenho aí os arquitetos Desculpa os desenvolvedores os engenheiros né os designers vão lá e põe a mão na massa Ok bom continuando ainda vamos dar uma visão geral da segurança da informação a segurança da informação ela é a disciplina que se concentra na qualidade da informação ou seja confiabilidade vamos lá aqui é muito importante quando a gente diz que olha essa

informação aqui ó segurança da informação Ok independente onde tá essa informação a gente vai ter que lidar aí com a parte física lógica humana organizacional mas a gente tem que ter em mente que o Core ali o principal é a informação então quando a gente fala assim olha essa informação é confiável O que que a gente tá querendo dizer com confiabilidade é o que eu tô colocando aí que é a qualidade confiabilidade é a qualidade da informação é uma informação com qualidade significa que é uma informação que é confiável e quando a gente fala de

confiabilidade a gente tá falando do famoso tripé ccia tá bom e a gente vai falar sobre isso pra gente fechar esse assunto então essa informação com qualidade com confiabilidade significa que eu tô me baseando num tripé o primeiro disponibilidade segundo confidencialidade e integridade vamos tratar bem bonitinho cada um desses três o truque para execução da segurança é equilibrar esses três aspectos né o ccia Então os requisitos de qualidade que que é o requisito de qualidade é uma informação confiável né que uma organização ela pode ter com a informação que mais os riscos que estão Associados

a esses requisitos de qualidade lembra que o dos requisitos é acia então se eu tiver um risco de confidencialidade alguém pegar essa informação e jogar no mercado pô é um risco é um risco de eu perder a qualidade a confiabilidade da informação então eu vou ter que trabalhar com esse risco e é muito importante que agora na na nova Norma 2022 ele tem aquele quadro que eu falei né onde você pega o controle tá falando que tipo que é tal e lá tá dizendo se olha esse controle aqui tá mais relacionado com integridade ó com

integridade e confidencialidade por exemplo a gente vai ver controles que na verdade não é só de um ele pode est sendo envolvido em vários outros tipos né então por exemplo separação de função ele tá envolvido não só a em confidencialidade mas integridade também e aí a gente vai gerenciando o risco de acordo com todo esse esquema né identifica a a o o sid né O que que você quer atuar e faz a Gestão de Risco e vai atrás do controle específico sobre isso E aí os controles necessários para minimizar esses riscos então A ideia é

sempre Minimizar risco Ok é o que a gente costuma falar risco sempre vai ter né cabe a gente lidar né o quanto a gente vai ter de dinheiro para tentar mitigar Minimizar ou até eliminar um risco mas a gente vai tratar sobre gestão de risco Fica tranquilo Bom vamos lá vamos continuar aqui a gente vai agora até o finalzinho falando muito do do ccia ou Sid né Lembrando que a letra A aab bility é de disponibilidade Então vamos lá primeiro confidencialidade aqui já são os termos né E aí para quem tá se preparando pro exemplo

de certificação é interessante lembrar um pouquinho disso aqui então o que que significa confidencialidade é aquela informação que não é disponibilizada ou não é divulgada para uma pessoa que a gente chama de entidade né pessoas entidades ou um processo não autorizado então assim quando eu falo entidade não necessariamente pessoal eu tenho uma informação aqui at tem que ser eh confidencial Isso significa que de repente não é uma pessoa que precisa é um outro sistema é um outro aplicativo é um banco de dados é uma aplicação tá isso pode ser encado como uma entidade Ok então

tem que ser confidencial não é disponibilizado Ou divulgado para quem você vai fala não não é para ser disponibilizada pro público tá então ela tem que ser ID encial à empresa tá todo mundo que não tiver autorizado não pode acessar segundo disponibilidade ou seja estar acessível e utilizável aqui tem o pulo do gato não é só visível ah consegui enxergar informação mas você consegue utilizar a informação uma coisa você ver né acessar outra coisa você utilizar acessível e utilizável sob demanda por uma entidade autorizada de novo entidade pode ser um sistema pode ser uma pessoa

integridade proteção olha só que importante da exatidão e a integridade dos ativos a informação que eu tô vendo ali ela é íntegra né ela não foi modificada ela não foi colocada ali erroneamente no momento que ela foi transferida de um canto para outro do jeito que saiu aqui do ponto a foi ponto b é a mesma informação Ok é uma informação íntegra exata então confidencialidade integridade disponibilidade são os princípios críticos da segurança são os três pontos que a gente vai ter que lidar Quando Pensar em segurança e reação tá aí a gente precisa de deve

olhar pro Cia para proteger o valor da informação sempre nesses três aspectos o ideal que esses três aspectos eles sejam tratados para você ter uma informação confiável tá que nem eu falei no slide anterior é a qualidade qualidade da informação a confiabilidade diz respeito a esses três ok que são os requisitos então pra gente fechar que a informação satisfaça o desejo a necessidade de alguém Ok vamos falar um pouquinho agora de cada um e eu vou dar alguns exemplos para ficar bem claro sobre confidencialidade tá para cada um vou dar alguns exemplos aqui eu tenho

certeza que você vai entender diferenciar quando a gente tá falando de controles que precisam ser focados mais em confidencialidade aqueles de integridade ou disponibilidade confidencialidade também chamada de exclusividade olha vou falar uma coisa aqui queo ninguém pode saber é só você é exclusivo é confidencial Então você estabelece quem não é autorizado a obter acesso a essa informação que eu vou passar para você tá então isso é algo confidencial diz respeito a quem pode obter Que tipo de informação Olha o que eu vou te passar só você pode saber tá esse tipo de informação somente esse

departamento pode ter acesso Ok porque ela é confidencial a partir do momento que você restringe o acesso não autorizado é é um requisito de qualidade você tem que ter confidencialidade assegura que o nível necessário de sigilo seja aplicado né o mínimo de sigilo Não digo nem o mínimo né o o assegurar o nível necessário de sigilo Ok é só leitura é execução é remoção é alteração Ah eu posso fazer eu posso ter acesso aqui mas eu posso atualizar né sim ou não é o nível é o nível de acesso que você tem impede a divulgação

Não autorizada Então você tem quando a gente fala de confidencialidade você tem que colocar controles que vai impedir que as pessoas não saiam divulgando porque é informação confidencial da empresa quantas histórias a gente tá ouvindo de informações vazadas Será que são informações vazadas ou tudo acontece um roubo né vem de fora e alguém pega Será que Alguém de dentro da empresa pode ser intencional ou não ter colocado essa informação em público então a gente precisa lidar com isso tá vendo que não é só controles físicos lógicos mas também políticas né a gente vai falar sobre

isso prevalecer enquanto os dados Residem estão lá armazenados no sistema dispositivo ou até informações offline informações em papéis que estão armazenadas dentro de um cofre dentro de uma sala mantém enquanto as informações forem transmitidas do ponto a pro ponto b ela tem que ser mantida confidencial até chegarem no seu destino Então não é só informação que tá armazenada informação que está sendo transmitida também ela tem que se manter confidencial para isso a gente usa aí por exemplo criptografia tá fornecida através então de criptografia de dados tanto para armazenamento para ninguém mexer lá e se conseguir

ter acesso não vai conseguir utilizar a informação porque ela vai estar criptografada ou a informação criptografada de um canto para outro tá então vai transferir informação confidencial criptografa Porque se alguém capturar isso no meio ele não vai ter condição de descriptografar e ter acesso à informação aí você vai ter que ter controle de acesso né então lembra Ah para esse tipo de pessoa Ele só pode ler para esse aqui pode remover esse aqui pode atualizar esse aqui pode inserir Então você tem que ter níveis de acesso controle de acesso quem é que pode Ah o

Joãozinho lá do departamento de contabilidade Ah o Huguinho do RH só pode ler Então você vai tendo todo esse processo de controle de acesso que é uma das Ferramentas que é um dos controles mais importantes dentro da segurança classificação de dados Então a gente vai rotular é como colocar uma etiqueta né falar ó Isso aqui é importante a você coloca uma etiqueta rotula por essa rotulagem vai nos ajudar estabelecer novos controles identificar se quando uma informação F Olha acessaram uma informação que não podia não uma informação pública tá tranquilo então se você não tivesse rótulo

você não tem esse controle Isso faz parte do quê da arquitetura treinamento do pessoal do pessoal nos procedimentos apropriados então não adianta você colocar controle se você não avisar para as pessoas que olha não pode passar pro coleguinha não pode dar acesso não pode emprestar senha né não pode emprestar seu equipamento para familiares levar para outro canto fazer o uso inapropriado tudo isso tem que est dentro de um procedimento tem que treinar conscientizar fechando a parte de confidencialidade antes da gente dar alguns exemplos Ou seja é o grau isso aqui é importante tá é o

grau em que o acesso à informação É restrito a um grupo definido de pessoas autorizadas quem são as pessoas autorizadas são essas então define o acesso que precisa tá então confidencialidade é o grau que isso acontece e por fim Visa proteger a privacidade dos dados Ok então quando a gente fala de privacidade tá falando necessariamente né Principalmente de confidencialidade agora vamos para os exemplos de medidas de confidencialidade eu vou colocar alguns exemplos aqui eh não exaustiva essa lista é só para você ter ideia né Quais são as possíveis medidas que você pode ter sobre en

calidade então se você tem muitos arquivos muitas informações dentro da sua empresa que estão ali vulneráveis que estão muito expostas então você pode pensar em situações como essa Ok Lógico que ao longo do treinamento eu vou passar muitas outras coisas a gente vai passar por quase todos os controles vamos lá controlar o acesso de um funcionário numa área financeira fal todo mundo pode acessar a área financeira não ali são informações e confidenciais o histórico de conversa por exemplo com entes né o histórico financeiro valores de de vendas né você tem que proteger esse tipo de

informação e não é só fora é dentro também não faz sentido você pegar todo o balanço financeiro por exemplo da empresa e abrir para todo mundo não sei de repente a empresa não tem capital aberto né então a gente precisa garantir que essas informações estão seguras protegidas Ou seja a tá falando de confidencialidade aplicar política de mesa limpa o que que é a política de mesa limpa é evitar falar pro pessoal não deixa papel importante em cima da mesa por isso que todo mundo mundo envolvido na empresa na segurança da informação porque uma faxineira ela

pode estar fazendo uma limpeza ali no corredor e ver por exemplo na impressora um papel impresso escrito né e confidencial Opa é uma não conformidade né se você for encarar isso como uma uma Norma você tá né passando por um processo de de colocar Norma ISO ou não né você tem que encarar aquilo com uma não conformidade pô isso aqui não pode acontecer uma informação confidencial em cima da impressora ou em cima de uma mesa ou numa lata de Lio sem triturar o papel Ok então política ó política vai ter sendo envolvido em tudo tá

política é bem importante né se o a pessoa sair da mesa vai tomar um café ela é obrigada lá de repente na política colocar numa gaveta trancar levar chave pro café bom acesso a um usuário que não tem direito para alterar a configuração de uma estação de trabalho Quantas vezes a gente coloca uma um pólice ali no servidor mas o usuário ainda com jeitinho ele consegue driblar instalar alguma coisinha e fazer uma alteração Puxa vida Olha tem essa aplicação aqui da empresa mas esse aplicativo aqui que eu encontrei na internet ele é maravilhoso Aí baixa

aí Instala aí precisa ativar alguma coisa aí ele vai conseguindo ativar consegue mudar alguma coisa de repente ele tá como administrador da estação de trabalho isso pode ser catastrófico pra Rede Inteira não é só o computador não vai ser só destruído o computador se o atacante detectar que aquela estação de trabalho tá vulnerável e ele vai descobrir que dali ele pode ir para qualquer outro canto aí você tá perdido Então tem que controlar segregação de funções você pega as funções e divide Olha você desenvolve você testa você faz requisito você faz análise você vai separando

isso por de repente você tá lidando com informação que é sensível você separa isso você minimiza o risco né de de de passar aqui ó por exemplo quando alguém vai fazer teste não aí vai pegar banco de dados lá as informações são anonimizadas são embaralhadas não são verdadeiras né então se você separa isso é mais fácil tá então segregação de função para que um desenvolvedor de sistema não faça qualquer alteração de informação por exemplo nos salários ele tá fazendo um teste tá fazendo uma aplicação ele tá fazendo uma validação e de repente começa a fazer

mudança começa a ter acesso Não é para ter acesso então assim se ele vai fazer uma mudança no sistema por exemplo do RH que as informações que caiam na mão dele não sejam as reais que sejam anonimizadas ou dados aleatórios ok a gente tem que tomar muito cuidado que a gente fica muito tranquilo sabendo que eh eh eh ah o desenvolvedor ele vai ter acesso a tudo que é importante ele ter acesso a tudo será mesmo não é será que o dba ele precisa ter acesso a todo tipo de informação Será que o Cisa de

mim precisa ter acesso a tudo né muitas vezes a gente vê que o Cisa de mim ele tem acesso a com tudo absolutamente todas as informações da empresa a gente precisa ver se isso realmente é necessário se você vai trabalhar na área de segurança se atente a isso separação entre de ambiente de desenvolvimento teste homologação e ambiente de produção muito importante você separar isso aí porque a gente sabe que lá no ambiente de produção vai ter informação confidencial no ambiente de teste homologação tem que tomar cuidado então muitas vezes a gente simplesmente faz uma cópia

do ambiente de produção Joga lá pro ambiente de homologação para ficar homologando um ambiente de desenvolvimento e a gente não pode desenvolver é sair desenvolvendo em cima de informações reais confidenciais Então é bom separar o ambiente ter todo um processo para isso se agregação de rede também Então depende deu um exemplo aqui o departamento de RH tem uma rede separada não é só lógica tô falando fisicamente mesmo tem uma rede separada evitando o acesso a outras pessoas a informação é tão sensível que vale a pena de repente ter uma rede separada Ok controle de acesso

aos computadores de rede aí com ID com senha biometria biometria da da íris do olho é biometria digital enfim ter todos os tipos de recursos possíveis para proteger lembra a gente tem que fazer uma análise de risco para saber se vale a pena qual é o valor da informação a informação não tem tanto valor não vai gastar dinheiro com isso que mais criptografar o tráfego né a informação tá passando de um canto pro outro criptografa e aí essas informações vão estar confidenciais ou ainda utilizar a técnica de Traffic pading que que é esse Traffic ping

você vai injetando informações né ao lra Você tá jogando informação para daqui para cá E aí vai ter uns gaps vai ter momento que não vai ser enviada informações então nesses nessas lacunas nesses buracos sem injeta informação um tráfego aleatório que se o atacante conseguir roubar essas informações ele não vai ter acesso à informação como se fosse uma criptografia Mas é uma técnica que você utiliza para fazer o tráfico de Formação Ok segundo integridade vamos lá vamos ver sobre a definição de integridade que que é integridade é o grau em que informação está atualizada e

sem erro eu bato o olho e vejo posso confiar nessa informação pode ela tem erro não não tem erro tá ela tá correta ela tá ali ó tá certa ok a gente vai definir o que que é correto e certo para para não ter dúvida a gente já chega lá bom se refere a ser correto e consistente ou com com o estado informação pretendida Eu pretendo que a informação esteja exatamente aqui como deveria estar do tema quando eu venho no sistema e puxo informação do banco de dados eu espero que aquela informação que tá saindo

no banco de dados venha para mim exatamente aquela informação isso é integridade Ok é evitar modificação Não autorizada também de dados de forma deliberada ou até acidental não eu vou atacar ou Putz foi sem querer esse sem querer ele também é um furo de integridade Ok não é porque não foi feito por querer não teve intenção de fazer manipulação dos dados fazer uma alteração foi sem querer não isso não é problema de integridade É sim tá até o sem querer ele é um furo aí de integridade é garantir que programas gravem as informações corretamente e

não introduzam valores diferentes ou desejados simples assim se eu chegar aqui no meu teclado e falar olha o preço desse produto é r$ 50 eu vou digitar r$ 50 e a informação que vai ser armazenada no banco de dados é r$ 50 ninguém vai atravessar tá no meio vai modificar esse valor Se eu mandar o e-mail pro meu cliente o que eu escrevi nesse e-mail é exatamente aquilo que tem que chegar do outro lado tá isso se houver alguma mudança nisso aí no meio perdeu-se a integridade significa Que nada Está faltando na informação ela está

completa Olha tá toda a informação aqui tá aqui ó Tá faltando isso aqui e aí então você não tem integridade da informação tá pode ser que alguém Apagou sem querer pode sei que foi deliberadamente vamos lá isso aqui é importante significa então integridade significa que a informação é completa Ela é perfeita ela é intacta ninguém botou o dedo não necessariamente a informação correta eu posso dar minha informação falsa mas que ela seja íntegra ou seja não foi alterada ela está perfeita tá ela cumpriu com o meu propósito ela tá completa é louco isso né Então

nem sei sempre falar essa informação tá correta sim porque ela é íntegra não não necessariamente Ok a informação ela pode ser incorreta ou não autêntica mas possui integridade como eu falei eu posso soltar uma informação falsa mas ela é íntegra ela tá ela é completa OK ela é intacta ninguém mudou do mesma forma ela pode ser correta e autêntica mas faltar integridade ok então isso aqui é importante a integridade é comprometida quando ocorre o quê quando você fala assim Putz a integridade foi comprometida quando alguém consegue um atacante consegue inserir por exemplo um vírus um

Logic Bomb um Backdoor a gente vai explicar isso aí bonitinho nas próximas aulas qualquer tipo de vírus qualquer coisa que vá perder a integridade da informação principalmente e-mail né o e-mail sai de um jeito e chega do outro provavelmente houve algum uma coisa a informação que tá aqui no sistema quando foi pro banco de dados foi diferente Ou quando você puxou logo o banco de dados veio pra aplicação veio diferente porque alguém conseguiu colocar um vírus ali na aplicação no aplicativo web ou usuário insere ou modifica maliciosamente ou não né os dados de um sistema

Então você imputou lá a informação de uma forma errada você tá aí comprometendo a integridade exemplos de medida de integridade quando alguém de uma equipe por exemplo entra com um preço novo de um produto no site Olha não é para mudar Aí vem alguém lá sem gerenciamento de mudança vai lá no site muda o preço e não avisa ninguém pronto a empresa vai ter problemas porque vai vender pel um preço que não é real isso é problema de integridade que mais segregar funções para o desenvolvimento de um novo produto que não pode ser realizado por

apenas uma pessoa Olha a gente já falou de segregação aqui em confidencialidade para integridade serve da mesma forma assinatura digital da mesma forma que a gente criptografar ali informação para sair de um canto para outro e ninguém acessar a segurança a a assinatura digital que é uma criptografia ela vai servir para proteger para garantir que a informação saia daqui não seja somente confidencial mas que ela não foi alterada Pode ser que nem essa informação é pública Mas ela tem que ser intacta ela tem que ser íntegra qualquer pessoa pode acessar Então não preciso ter a

que essa questão de confidencialidade para essa informação porque eu rotulei essa informação como pública Mas ela tem que ser íntegra tá garantir que ninguém alterou ó Soltei uma informação e ninguém utilizou inteligência artificial para colocar palavras na minha boca exemplo Ok perdeu a integridade a política de uso de termos para cliente consumidor usuário Quantas vezes eu vou numa empresa e falar ah a gente aqui bem as informações do cliente do Consumidor falei cliente ou consumidor não tanto faz Será que tanto faz e aí você começa a perguntar para um e outro cada um tem uma

definição então a gente precisa estabelecer padrões dentro da empresa para que a hora que for inserir com essas informações em uma um sistema todo mundo utiliza o mesmo termo tá para cada um não ficar colocando ah essa informação Aqui é do cliente ou do usuário Qual a diferencia do usuário C olha independente do que que é um outro a tua empresa tem que definir isso e passar isso Dea forma numa política para todo mundo ok log de ações de usuários de forma que possa ser determinado quem modificou uma informação então é interessante aqui nessa para

medida de integridade ativar logs toda alteração não só Acesso mas alteração no arquivo alteração no sistema você vai ter esse log armazenado para que se precisar você consegue identificar quem é quem é o culpado a gente vai falar um pouquinho sobre responsabilização e culpado daqui a pouco porque o Cia só trata desses três mas a gente vê que tem mais dois que a são importantes né responsabilidade e auditi abilidade a gente vai chegar lá já bom vamos pro terceiro e último disponibilidade vamos lá disponibilidade é o grau em que a informação está disponível para o

usuário e para o sistema de informação que está em operação no momento e que a organização solicita ou seja preciso da informação ela tem que est disponível é só ir isso não e vamos ver o que que o que que traz a indisponibilidade aí tenho certeza que muitas pessoas vão se reconhecer aqui porque a gente trabalha muito com disponibilidade e indisponibilidade principalmente Quem trabalha em central de serviço né trabalha com gestão de incidente problema Ok vamos lá o que que viola a disponibilidade então toda vez fal assim olha a disponibilidade foi comprometida quando por exemplo

falta acesso à informação provocada por uma falha de de hardware ó queimou o servidor queimou a placa de rede queimou um roteador queimou um Suit tá Qualquer coisa que teve acesso a a queimou deu danificou deu uma parada travou você não tem acesso à informação Você tem uma violação da disponibilidade Você tá vendo que isso aqui muitas vezes não é segurança só segurança de informação tá envolvido com uma infraestrutura inteira ou pior muitas vezes as pessoas falam não disponibilidade é coisa lá de infra né da it não tem nada a ver com segurança e informação

tem tudo a ver a gente só precisa discernir O que é uma coisa da outra porque a gente não pode encarar todos os incidentes como incidente de segurança Mas se a pessoa não tiver acesso à informação você tá ferindo um critério de uma informação confiável que é a disponibilidade então cabe a gente sim a segurança de informação ah indisponibilidade por exemplo devido um ataque tá sofrendo um ataque as pessoas estão atacando tua empresa isso causou uma indisponibilidade atraso quecedo o nível de serviço você definiu o nível de serviço olha eu vou jogar informação daqui para

cá em tantos milisegundos Se começar a atrasar o sistema ficar lento você vê que a informação ela até não tá ela tá disponível mas tá lento para acessar não adianta nada não adianta você falar assim não tá disponível 100% olha ontem não parou nenhum momento e a lentidão então não adianta tá disponível e você ter atraso para receber informação o cliente lá clica no enter e demora demora demora para obter o resultado um sistema que que pode ser afetado por falha de um software então não somente o hardware mas o software também quais são as

possíveis medidas pra gente lidar com violação de disponibilidade por exemplo backup Então é bom a gente manter um backup para substituir bem rápido algo que deu problema não Só backup de arquivo mas backup de peças também que mais funcionários qualific né treinados parece bobo isso aqui né mas muitas vezes a gente tem backup tem tudo mas as pessoas não sabem fazer não sabem fazer uma substituição não sabe fazer os ajustes necessários para voltar à disponibilidade a gente tá falando do da área de tecnologia o que mais tem são pessoas com qualificações distintas né e a

gente precisa ter preencher todas as lacunas para poder fazer o que mais a gente faz né restaurar um serviço um sistema que ficou fora do ar lidar com questões ambientais lembra que a gente tá falando de segurança afirmação Então a gente tem que estar se preocupando com temperatura a gente tem que se preocupar com umidade eletricidade todos esse tipo de coisas né natureza naturais a gente tem que se preocupar quantas vezes né começa a chover tem gente que já começa a tremer né Aí se parar se o gerador não ligar se não aguentar né o

PS não tiver potência para segurar isso aqui por tanto tempo é uma loucura sistema de detecção de o famoso ids intruso detection né para evitar qualquer tipo de ataque né você tem que colocar um sistema desse Porque se o atacante conseguir acessar provavelmente vai deixar o seu ambiente indisponível e liberar apenas os serviços e portas necessários quantas vezes pega um servidor lá que tá com um monte de porta aberta para quê vai fechando as portas não precisa ter essa porta aqui não precisa ter esse serviço esse protocolo ativado vai desativando por qu você abre brecha

pro atacante entrar e deixar o seu amb indisponível monitorar o tráfico de rede e as atividades dos equipamentos tanto o tráfico que sai quanto de entra porque o de Sai de repente alguma pessoa de dentro tá jogando informação confidencial para fora ou o atacante conseguiu entrar pela surdina ali sem ninguém perceber e tá pegando todas as informações da tua empresa e levando para fora então o monitoramento é tanto de entrada quanto de saída qualquer coisa que você achou meio estranho Opa vamos atentar aqui OK pode ser um ataque também ddos muita gente atacando E aí

vai causar uma indisponibilidade configurações adequadas de roteadores e fos deixar Sempre atualizado bem bonitinho testar sempre e sempre toma cuidado com mudanças né muitas vezes a gente faz uma uma mudança e esquece de contemplar questões de segurança lá na rdm né na requisição de mudança vamos lá algumas características Na verdade são três características disponibilidade a gente diz um pouquinho mais você vê que eu falei né não adianta a informação tá disponível mas tá lento não tem a capacidade de acesso Então a gente tem aí mais três características quando a gente fala de disponibilidade A primeira

é a questão de oportunidade ou pontualidade ou seja Tá disponível no no momento que eu preciso e então é uma característica de disponibilidade ou ainda continuidade que que é continuidade teve algum problema teve um desastre você precisa recuperar essas informações e a precisa e as pessoas precisam continuar tendo acesso a essas informações como a gente faz isso através dos planos de continuidade ou conseguir fazer algo nesse meio tempo até que o negócio se restabeleça então a gente precisa pensar em disponibilidade como algo muito maior não é só um incidente de segurança mas é algo bem

complexo ou ainda robustez né não adianta nada você falar que tá disponível mas ele não ter capacidade de entregar Olha a gente tem servidor que esteve esteve mês passado 100% ativo não foi 99.9 não foi 100% mas todo mundo reclamando não conseguindo trabalhar porque o equipamento o acesso Seja lá o que for não era robusto não tinha capacidade suficiente de fazer a entrega e aí como sempre vamos para o exemplo de medidas de disponibilidade vamos lá exemplo gestão e o armazenamento de dados para evitar perder informações Ok manter isso num ambiente seguro protegido com controle

de acesso um dado que é armazenado em um disco e rede não um disco rígido no computador então se você identificar que tem informações importantes você identifica onde isso quando você faz quando você tem uma arquitetura da informação quando você faz uma análise de risco você identifica que tem informações importantes dentro de um HD num disco rígido de alguém e aí garantir que essa informação esteja na rede procedimento de backup muito importante procedimento backup e fazer o teste de restore atender requisitos le quanto ao armazenamento tempo de armazenamento local de armazenamento aonde eu vou armazenar

essas fitas de backup dentro do datacenter não por favor né em local externo nunca dentro do mesmo ambiente que você fez o backup criar procedimento de emergência para desastre recover para atividade que poss ser reparadas construa procedimentos tudo isso diz respeito à disponibilidade Lembrando que o conceito é muito mais amplo que só disponibilidade tá envolve capacidade envolve continuidade ok que a quantidade é uma interrupção catastrófica né de grande escala e aí a gente veem aí com dois termos novos responsabilidade e auditabilidade terha difícil de falar esses dois termos vieram graças a duas pessoas sarbanes e

oxley devido a uma Fraude que teve famosa nos Estados Unidos da a esses dois se juntaram criaram o socs E aí tudo mudou Começou a Mudar com o comportamento não só da estrutura das informações principalmente quanto questões contábeis tá porque houve uma fraude fiscal E aí criaram uma lei né a a socs para que seja implementada para aquelas empresas que tenham o capital aberto e aí Isso muda o comportamento do ccia ok não é simplesmente só o Cia a gente tem que saber quem é responsável a gente tem que ter acesso à informação então começou

né Principalmente por conta da governança né houve a fraude houve tudo isso e aí foi criada essa lei E aí demonstra que a governança ela tá sendo feita então a empresa que tá alinhada ao a socs significa que ela tem uma governança estruturada e acaba afetando o triângulo Cia né tudo como a gente gerencia informação basiada em confidencialidade integridade e disponibilidade ela é influenciada com a responsabilidade e auditabilidade então por qu responsabilidade de respeito o qu a responsabil ação diz respeito à culpabilidade ou seja quem que é a culpa a gente precisa identificar isso também

numa auditoria numa governança numa Sox você precisa colocar o nome das pessoas Ó teve algum problema a gente furou aqui a integridade quem quem é responsável quem presta conta a gente vê muito isso da Matriz rass né o responsável accountable né o informado consultado e aqui a mesma coisa as pessoas têm que ser responsabilizadas seja o dono do serviço o dono da informação a o própria área de negócio é responsabilizada a área de segurança então a gente precisa colocar nomes nomes para isso tá exigência do socs E aí vem a auditabilidade que é o poder

de fazer auditoria Então as informações tem que ter a tem que tá ali disponíveis para ser feito a auditoria isso é muito importante para informações principalmente contábeis tá então o acesso ao tipo de informação para uma auditoria ela os auditores t tem que ter acesso mas Adriano sempre não necessariamente Mas você corre o risco que tipo de risco se a informação ela não tiver disponível para auditor ela Ele vai tomar uma atitude ela vai tomar uma decisão no achismo dele isso é perigoso a gente vai chegar lá registros bem organizados e completos então para você

ter algo auditável você precisa ter o registro de absolutamente tudo olha integridade né criar log ali para monitorar tudo tem que est em conformidade com os padrões contábeis a gente tá falando do socs o socs ele tá muito focado ali em contabilidade Adri não tem nada a ver com T tem tudo a ver a informação que tá armazenado no banco de dados é responsabilidade da pessoa de segurança de informação de proteger né privacidade e é informação confidencial e informação muito importante principalmente porque muitas dessas empresas que estão sobre a socs estão com capital aberto e

os investidores querem ter transparência então a auditoria Envolve o quê avaliação de controles de qualidade ou seja o que foi definido como requisito é o que tem que ser entregue então a auditoria vai avaliar isso se o que foi definido Ali pela área de negócio é o que a ti tá entregando é então é algo de qualidade lembra que eu falei na primeira aula segundo gerenciamento de risco tá auditoria envolve gerenciamento de risco Ele quer saber se você tá fazendo a gestão de risco tá identificando novas vulnerabilidades O que que você tá fazendo o que

que a empresa faz quando encontra algo novo Olha apareceu uma vulnerabilidade a empresa só fica olhando ou ela toma uma ação e aí fechando sem acesso às informações o auditor o que que ele vai vai fazer ele vai expressar uma opinião sobre a contabilidade sobre os termos financeiros da empresa Isso é muito ruim e a gente vive ainda vendo acontecer muito no mercado inclusive no Brasil empresas grandes empresas que T governança que tem toda uma estrutura conforme o socs aqui no Brasil não necessariamente ente o socs Né o banco central ele tem as leis lá

para específicas para as empresas daqui e continua tendo coisas problemas fraudes fiscais por você não é obrigado ali liberar porque uma informação confidencial tá vendo o impacto então o auditor ele vai expressar uma opinião dele que pode ser boa ou ruim então a gente vê grandes empresas tendo estrondos né olha barulhentos os os rombos que a gente vê e normalmente você chega na auditoria e fala não posso falar porque é confidencial então a gente fica um pouco de mão atadas Ok mas é importante saber disso que a gente tem que dar acesso às informações pro

consultor mas também não somos obrigados mas a gente por outro lado corre o risco de uma ter uma interpretação errada OK bom nist além da ccia ou do ccia né o nist como eu falei é um Framework mais voltado paraa área de Cyber e como a gente tá vendo aqui vou até colocar a canetinha com o laser tá vendo que a gente tem aqui lembra que para cada controle a gente vai ter o tipo de controle a gente vai ter as propriedades de segurança se é confidencialidade integridade disponibilidade né aí a gente vai ter os

conceitos de Cyber que é o que a gente vai ver agora e depois a gente vai ter as capacidades operacionais os domínios de Segurança ao longo do treinamento a gente vai ver muito sobre isso aqui eu vou nesse momento explorar um pouquinho os o os tipos né não precisa sair querer memorizar isso que é só para você entender que para cada controle você vai encontrar alguma coisa ali e aí aquilo vai te ajudar a te a a Navegar Ok bom vamos contar um pouquinho a história do niche niche é Instituto Nacional de padrões e Tecnologia

dos Estados Unidos e ele criou em 2013 o csf que é um belíssimo Framework de segurança cibernética e esse Framework é maravilhoso pra segurança cibernética e aí o que que a norma ISO fez ela foi lá e puxou então em 2018 ela foi descrito na na Norma isc né 2773 Lógico que é o modelo limitado não é o Framework todo do csf que é muito bom é completao é maravilhoso é uma versão limitada o suficiente pra gente entender Qual é o conceito do do desse Framework tá E aí como que eles fizeram essa integração com

a 27.001 27.002 ele aborda com base nos seguintes princípios identificar tá então todo o controle que você encontrar ou ele vai tá escrito lá ó esse aqui ele trata da dos conceitos de Cyber que é a terceira Coluninha aí ó é identificação é proteção é detecção é resposta ou recuperação tá isso significa o seguinte deixa eu voltar aqui quando a gente fala que a gente tá na etapa de identificação a gente tá falando necessariamente da fase de mapear e analisar riscos tá vendo que até na área de Cyber a gente tem que analisar risco Ok

se a gente tá falando da questão de proteção significa a gente precisa tomar as medidas de proteger a informação ou detecção eu tenho que ter recurso eu tenho que ter ferramenta eu tenho que ter coisas que me possibilite detectar uma invasão detectar um problema para responder é a próxima então assim eu vou ter que ter controles específicos que me ajudem a estabelecer procedimentos Adriano tem isso na Norma tem se você tá por exemplo eu tenho problema de fazer de responder ao incidente de segurança você vai na Norma Olha a terceira coluna na matriz e fala

assim quais deles estão relacionados à resposta esse esse esse controle não é 100% OK Inclusive a gente vai ver que o pros tipos de controles que é o primeiro não tem todos tem os principais quando a gente v o o fluxo de um incidente de segurança você vai perceber que não são todos mas é o suficiente para no nos nos orientar tá ou recuperar que é para reparar um incidente caso aconteça a gente vai explorar isso aí mais ao longo do curso medidas no ciclo de vida do incidente para pegar uma outra Coluninha dessa tabela

a gente vai falar um pouquinho sobre o ciclo de vida do incidente normalmente como que é o incidente acontece vamos lá começa o seguinte a gente tem uma ameaça a gente sabe que tem alguém eh eh que pode invadir nosso ambiente corromper alguma coisa o nosso site de repente se ele consegue E aí ele pode provocar alguma coisa uma indisponibilidade então normalmente eu tem um incidente de segurança ele tá ou a gente tá sobre ataque e aí se a gente tiver sobre ataque Muito provavelmente a gente vai ter que eliminar o dano a gente tem

que né prejudicou ele tirou um site do ar Teve acidente arrancou Apagou as informações on é um rer né criptografo e tá pedindo Resgate E aí a gente tem que fazer todo o processo de recup o ambiente inicial Tá normalmente o ciclo de vida do incidente é esse temos uma ameaça se ele conseguir invadir vai ter um incidente ele vai prejudicar nosso ambiente vai ter um dano alguma coisa vai acontecer e a gente tem que entrar ali para fazer a reparação a recuperação o mais rápido possível e esse é um ciclo infelizmente eterno vai sempre

acontecer isso aí ameaças sempre vão existir bom Quais são as medidas a gente tá falando de medida então para cada etapa disso aqui para cada ponto específico desse ciclo de vida teremos ações distintas se teremos ações distintas teremos controles distintos e para cada nome de dessas ações serão um tipo de coisas que você vai encontrar no quadrinho na matriz ou no tipo de controle Então vamos lá primeiro se temos ameaça Qual é o nosso papel como profissional de segurança tentar reduzir esse tipo de ameaça então a gente precisa ter controles para isso Ou prevenir que

aconteça um tipo de incidente ó Adriano não teve como aconteceu um incidente Então vamos colocar controle para detectar os incidentes Que tipo de recurso a gente pode para detectar incidente porque muitas vezes a gente é atacado e nem sabe a gente nem sabe aconteceu um incidente danificou e nem percebemos que fomos atacados porque a gente não tem não tinha por exemplo um simples ids né um intr detection repressão evitar que se alastre tá desespero olha atacar esse servidor meu Deus tá atacar o outro cara desliga tira o cabo de rede de todos aí você evita

né você reprime você represa vamos dizer assim o o o o o problema é que nem um incidente que nem um incêndio começou a pegar o o fogo e aí o que que você faz para reprimir você vai ter que fazer tudo para que o fogo não se alastre né numa floresta faz um buraco em volta né vai fazendo um círculo em volta para que o fogo corte chegar a isso ele apague Então você tem que evitar que o negócio se lastre Ah não teve como causou dano Então a gente vai entrar para corrigir Ok

E aí fazer a recuperação do ambiente ciclo de vida de um incidente é esse bem importante Ok é interessante você D uma boa memorizada nas etapas imaginar como aconteceria realmente passar por tudo isso aqui né normalmente a repressão acontece antes da prevenção não né você tem que se prevenir antes de ter um ataque Então você precisa né não digo decorar mas entender como que funciona né imagine uma área de segurança uma área da central de serviço lidando com incidente ele passa por isso aqui OK vamos lá que mais os atributos de controle de novo né

então paraa primeira abinha é o que a gente já viu que são os tipos de controle preventivos detectivos e corretivos que tá baseado no último fluxo que a gente viu do ciclo do do do incidente o segundo domínios de segurança cara a gente vai falar aqui sobre governança ecossistema a gente vai falar sobre proteção sobre defesa resiliência você vê que para cada tipo de coisa você vai para cada tipo de controle você vai ter esse domínio ou você vai ter a matriz falar eu tô aqui muito interessado nos controles que focam em defesa ah Quais

são os outros domínios ó a gente tem aqui de resiliência né de voltar ao estado Inicial Dee e assim sucessivamente para cada controle vai ter isso de uma certa forma até tinha no passado mas agora ele tá bem descrito bem organizado bem categorizado não para por aí nós temos as capacidades operacionais E aí são várias governança aqueles controles que tratam de gestão de ativo da empresa a proteção da informação segurança pessoas segurança física da estrutura física segurança de um sistema segurança da rede segurança de aplicativo configuração segura gerenciamento de identidade gerenciamento de acesso de ameaças

e vulnerabilidades gerenciamento de continuidade segurança nos relacionamentos com os fornecedores como você lida com os fornecedores é seguro né ele passa informação você passa informação para eles como que é esse relacionamento né Tem um um acordo de nível de serviço tem um NDA né um termo de confidencialidade a questão legal conformidade tudo isso mais aqui ó gerenciamento de eventos de segurança da informação garantia de segurança da informação Gente é muita coisa tá E aí se você quiser saber cada um desses tipos de de atributos de controle quiser saber todos os atributos é o que a

gente vai ver aqui em seguida E com isso a gente chega no final desse desse módulo aqui que a gente fala sobre os conceitos e princípios bem básicos de segurança a gente só tá no comecinho a gente não falou ainda a gente falou sei lá 5% ainda do que esse Universo de segurança da informação somente baseado na Norma ISO 271 E2 e aí eu te espero na próxima aula ho a gente vai falar um pouquinho sobre gerenciamento de risco e depois vamos começar a falar sobre os controles tá bom e eu te espero lá um

grande abraço valeu [Música] [Música] Olá seja bem-vindo ao módulo que a gente vai falar sobre riscos gerenciamento de riscos uma coisa tão importante tão negligenciada por muitos né porque é um processo que a gente tem que fazer antes da gente pensar implementar qualquer prática qualquer ferramenta qualquer processo qualquer controle contramedidas salvaguardas que constam na ISO 27001 Então vamos lá vamos começar V falar tudo sobre gerenciamento de risco que eu tenho certeza que vai ficar bem claro da importância dele então primeiro eu gosto de fazer isso aqui falar um pouquinho sobre a matemática da avaliação de

risco né então toda vez que a gente é surpreendido aí com esse processo de ah a gente tem que fazer uma avaliação de risco né O que que é essa avaliação de risco e aí eu fiz uma Matemática Simples então uma avaliação de risco é a soma de três coisas muito simples primeiro a identificação do risco ou seja identificar lá fal Olha consegui identificar isso aqui a gente tá vulnerável Então esse risco é maior tem um impacto maior Então a gente vai primeiro identificar depois a gente vai fazer análise de risco que aí sim é

um processo robusto muito importante e lembrando que não é só análise de risco a gente precisa também estimar tá e quantificar Qual é a chance qual é a probabilidade de de um risco acontecer a gente vai explicar isso aqui certinho cada um deles Fica tranquilo no do meio que é análise de risco a gente vai explorar um pouquinho mais então vamos lá então a avaliação de risco ele deve incluir essas três atividades ok que é uma abordagem sistemática grande robusta para tentar o máximo estimar a magnitude dos riscos Ou seja a análise de risco assim

como que é o segundo que é o processo de ar os riscos estimados com com os critérios de riscos que foram estabelecidos pelas áreas de negócio no nosso levantamento e a gente vai mostrar aqui um pouquinho na prática como seria realmente essa análise de risco Então vou dar três cases bem curtos e aí são três perguntas que a gente consegue fazer E já consegue fazer uma análise de impacto bem interessante as pessoas têm um pouco de receio de medo por falta até de conhecimento do negócio mas a partir do momento que a área segurança da

informação começa a conhecer o negócio começa a entender fica mais fácil esse processo de análise de risco Ok E aí então o segundo é a parte de estimativa do Risco vamos ver um pouquinho cada um desses para não ficar confuso Então vamos lá dentro da avaliação de risco a gente tem então a parte de Identificação do Risco o que que é feito nessa atividade de identificar Então a gente tem primeiro é identificar Ok então é o processo de sair reconhecer encontrar quais são os riscos descrever os riscos Olha a gente tem um risco aqui de

inundação Então escreve Olha a gente tem um risco de ataque a gente tem um risco de roubo de informação de vazamento né de vírus de fich Então a gente vai anotando tudo e descrevendo quais são os riscos bom mas Adriano já logo de cara a princípio sim tá mas a gente tem um processo dentro de análise de risco que vai deixar bem claro nessa parte ainda de identificação envolve a identificação das suas fontes ou seja de onde tá vindo isso será que esses riscos são internos externos humanos não humanos a gente já vai ver isso

daí tudo bonitinho tá E também a gente aproveita já Analisa aí vê mais ou menos qual o potencial a a potencial consequência né Qual que é o dano que ele pode causar não só em termos financeiros e pode envolver também dados históricos coisas que você já tem antiga fazer uma análise teórica então muitas vezes na análise de risco a gente não não só Visa a parte quantitativa mas a qualitativa também tá E aí a gente vai precisar de um monte de coisa inclusive conversar com as pessoas pegar pareceres ir em fóruns e olhar estatística tá

não só olhar internamente mas olhar para fora também olha esse risco aqui na região é fácil de acontecer não é não é muito provável dá uma olhada na internet dá uma olhada o que tá acontecendo no setor se você tem uma tecnologia dentro de casa vai dar uma olhada para ver se ele sofre alguns riscos é o que eu costumo falar por exemplo ah o o Linux ele é muito muito mais seguro que o Windows sim mas isso não significa que as ameaças não existam el existem tá tem muita gente tentando atacar o o Linux

porém o Linux ele tem um baixo risco porque ele tá menos vulnerável tá então tem um pouco a ver sobre a vulnerabilidade e a exposição ao risco que também a gente vai tratar aqui bom aí vem a segunda coisa que é análise de risco que é o grande processo que a gente vai tratar daqui a pouco tá é um processo que compreende a natureza do risco vai ficar claro quando a gente fala sobre a natureza né Não só a origem Mas como que é esse risco o tipo de risco estratégia de risco que a gente

vai ver no final e tem a finalidade de determinar o nível de risco são até por por conta de impacto por conta de não só o custo para proteção mas de recuperação também proporciona uma base para estimar o risco se o risco é baixo se risco é alto se ele tem probabilidade de acontecer ou não base para decisões sobre o tratamento de risco Por que decisões porque eu posso simplesmente aceitar o risco eu posso ser neutro ao risco não indiferente mas neutro fazer com que todo o processo aconteça de proteção Minimizar os danos o incidente

ou até evitar o incidente Ou aquele que não tem que evitar todo o custo e aí a gente vai ter medidas para isso tá então para cada tipo de decisão a gente tem algumas medidas que estão dentro da 271 análise de risco inclui então a estimativa também que é a parte a terceira partezinha que a a gente vai atribuir valores simplesmente assim atribuir a probabilidade no ar tem 30% de chance de acontecer o impacto disso é tanto né então a gente trabalha com números e também atribuição de valor de impacto que um risco pode ter

a probabilidade da sua ocorrência Qual que é a chance dele acontecer tá então a gente pode atribuir números ou também simplesmente Baixo médio alto tá então a gente pode colocar isso estimativa faz parte aí dentro desse processo gigantesco de avaliação Adri eles estão separados não não está separado só tô dando um contexto aqui como que a gente fala muito de avaliar real a gente tem que avaliar o risco hein sempre avalia o risco antes de colocar alguma coisa antes de fazer uma mudança né então a gente tem que sempre fazer essa avaliação então a gente

costuma muito falar sobre avaliação e saiba que avaliar envolve principalmente três coisas né identifica faz análise e essa análise submit que você tá fazendo uma estimativa Ok para isso então a gente entra dentro do conceito que é desse módulo que é gerenciamento de risco que é algo muito maior né O que que é gerenciar risco então para explicar o gerenciamento de riscos a gente vai começar a pequenininho né de passo a passo para você conseguir compreender tudo então primeira coisa é a análise de risco Então a gente vai voltar a análise de risco porque análise

de risco é o processo Core aí dentro de um de uma magnitude maior sobre o gerenciamento de risco então muito normalmente fal assim olha eu trabalho na equipe de gerenciamento de de risco O que que você faz uma das coisas é isso aqui é análise de risco Então vamos ler aqui análise de risco ajuda a saber contra o que nos proteger e identificar o risco tá então a gente já viu a parte de identificação ok a gente vai identificar Quais são os possíveis riscos que nossa empresa está sendo submetida está exposta E aí a gente

vai fazer uma análise tá a gente vai detalhar isso aqui bom agora só títulos de exemplos até pra gente ficar na mesma régua né né porque a gente acaba Ouvindo ah um incidente o risco uma ameaça a gente vai começar a definir algumas coisas para ficar bem claro Tá então vamos lá quando uma ameaça surge tá inicia um processo de análise de risco Adriano Como assim uma ameaça surge a gente vê muitas vezes Olha tem um novo vírus circulando e ó vou até dar um exemplo por exemplo que eu gosto né da chuva Olha tá

ameaçando chover Qual que é o risco para mim de me molhar eu posso posso tomar algumas decisões ou não tá mediante a esse risco porém a gente sabe que a ameaça ela existe a gente não tem muito controle tá a gente não consegue ter 100% de proteção contra uma ameaça ameaça existe atacante sempre vai existir bandido sempre vai existir sempre alguém vai querer atacar a nossa empresa roubar informação tirar proveito disso sempre cabe a gente analisar se a gente aceita ou não e vai depender muito sobre a vulnerabilidade que a gente tá tá essa esse

tripé é muito importante tá ameaça sempre existe e o risco se ele é alto ou não vai depender muito do valor do nosso ativo e se a gente está vulnerável a essa ameaça ou não E se a ameaça for concretizada a gente vai ter algumas ações algumas medidas que a 27001 explica tá então exemplo Ah o novo vírus começou a circular aí ou seja uma ameaça nova apareceu Quantas vezes a gente vê aí vulnerabil idade de descoberta ou ameaças ou novo vírus novo tipo de ataque o novo tipo de Fishing a gente tá toda hora

recebendo isso nas nossas redes sociais olha Tá circulando um golpe aí né de engenharia social tá ou uma tempestade começou a se formar você já começou ouvir Trovão a tua empresa não tá numa localização geográfica favorável De repente é mais queda Então se chover pode inundar a tua estrutura um outro termo bastante importante incid quando essa ameaça ocorre ela se concretiza ela se manifesta Aí sim ele se torna um incidente E aí a gente vai ter que tratar se a gente não conseguir represar né reprimir evitar deixar que evitar que ele aconteça se acontecer a

gente vai ter que lidar com o incidente de seguranç da informação Ok exemplo então quando o hacker invadiu e houve uma falha de energia Tá então não não teve como né a gente tentou tentou tentou você proteger aqui não conseguiu a gente não conseguiu E aí atacou e prejudicou nossa empresa Ok Isso é um processo gerenciamento de riscos é um processo contínuo ele não para a gente vai ver depois um outro ciclo né que fica bem interessante com todas as partes do que eu explicar aqui mas já entenda que é um processo que não tem

e eh eh tem começo meio fim mas ele volta ele não tem um fim né Por quê ameaça toda hora tá acontecendo se não houvesse ameaça toda hora tudo bem ele teria um processo finito mas é infinito tá então mais ou menos isso a gente vai ter que trabalhar dentro do gerenciamento de risco sempre tentando identificar os riscos fazer um exame desses riscos e fazer o máximo para reduzir as consequências os danos e normalmente quem faz isso são duas pessoas importantes ou ISO ou siso né o diretor ou responsável pela segurança da informação OK agora

vamos colocar nome aos bois vamos lá o que que é um risco é o próximo slide risco Vamos definir o que é o risco aqui é aqui é importante porque a gente pode confundir risco ameaça a exposição vulnerabilidade são quatro itens bem importantes Então vamos lá vamos tratar sobre risco o que que é um risco primeiro efeito de incerteza sobre os objetivos bom lembra Fi da chuva o meu objetivo é me manter seco eu posso ou não me molhar então é uma incerteza se é uma incerteza é um risco Olha o atacante pode ou não

entrar na nossa empresa é um risco Olha esse vírus pode ou não atacar a gente é um risco Olha esse fiche esse esse span que o pessoal tá mandando né um ror qualquer tipo de coisa olha é um risco ele pode ou não Então a partir do momento que a gente tem a incerteza é um risco e olha e a gente tá falando daquele risco negativo Por que Adriano risco negativo porque a gente tem o risco positivo sei lá ah eu tenho o risco de ficar milionário de um dia pro outro é um risco Mas

isso é bom a gente tá falando aqui risco de segurança da informação que necessariamente não é tão bom assim né então os riscos eles sempre vão levar nessa nessa situação aqui a uma coisa ruim pra empresa OK então é o efeito de uma incerteza estou inseguro estou incerto é um risco Adrian não sei se isso aqui que eu vou fazer que eu vou mudar que eu vou implementar isso aqui que tá acontecendo Eu não sei se vai dar certo ou não é um risco tá bom risco também é a probabilidade de um evento ou seja

de uma ameaça se concretizar se manifestar se a gente acha que olha Pode ser que se chover eu vou me molhar eu não tenho certeza absoluta porque de repente é uma chuva com vento pode ser uma chuva com granizo né então se existe essa probabilidade de se concretizar significa que eu tenho um risco tá Adrian eu não vou sair de casa pode chover à vontade então o risco é bem pequenininho né se você tá dentro de casa a chance de você se molhar é quase zero quase Ok é a combinação da probabilidade de algo acontecer

né de um evento acontecer e as suas consequências então assim olha tem a grande chance de chover mas eu não vou me molhar então não tem consequência nenhuma então a gente tem que sempre Balancear isso agora se eu tiver andando na rua e eu tiver vulnerável o risco de eu est molhado ele sobe nas alturas Lembrando que um efeito é um desvio do que esperado então assim o que que é o risco Ah eu espero que eu chegue até a empresa se acontecer alguma coisa diferente disso tiver um desvio esse efeito né causado pelo pela

ameaça significa então que eu tô vulnerável é um risco Ok saiu do da forma que tá tá sendo esperado é um risco pode ser positivo ou negativo como eu falei né de repente saiu por um caminho e deu muito certo mas normalmente a gente tem que lidar sempre com o pessimismo é uma função ingrata né a gente é muito pessimista quem trabalha com gerenciamento de risco tem que sempre sempre enxergar o pior tá infelizmente você não enxerga o lado bom né das coisas sempre vai enxergar o lado ruim negativo vai ser o pessimista da empresa

aonde você tiver andando vai ter uma nuvem em cima de você né que mais os objetivos podem ter diferentes aspectos Como assim vamos lá pode ter aspecto financeiro Então assim V posso perder dinheiro pô tô em risco tá que mais saúde e segurança inclusive humano a gente vai V aí nos próximos módulos controles humanos então o humano ele precisa ser protegido também contra ameaças segurança da informação é a nossa área tá olha que interessante a gente aqui dentro da da da desse treinamento aqui quando a gente fala de segurança informação a gente não tá só

se importando com a segurança de informação mas a gente tá se importando com os ativos também Adriano O que que é ativo é o prédio é um servidor é o funcionário são os fornecedores os clientes que estão dentro da empresa por exemplo Ok metas ambientais também eu quero proteger quanto a meta ah poluição algum vazamento né qualquer tipo de coisa bom e pode ser aplicado também em diferentes níveis segurança da informação é a gente já sabe já já já entendemos que tem que ser em todos os cantos da empresa mas o gerenciamento de riscos também

todos os cantos da da da empresa se a gente tá falando de segurança e informação se a informação tá em todos os cantos o gerenciamento de risco tem que ser em todos os cantos ok então desde o lado nível estratégico até o nível operacional em toda a organização tá vendo que eu não tô falando de gerenciamento de risco só na ti Adriano Eu trabalho na ti eu sou gerenciamento de risco de ti mas gente não não dá para enxergar somente ti porque as informações estão em todos os cantos da empresa projeto também projeto não causa

risco pode ser um risco de não entregar no prazo risco financeiro que mais produtos geram riscos e também processo um processo não bem executado ele pode gerar um risco financeiro pode gerar um risco de segurança da informação pode gerar um risco de a saúde ao ser humano tudo isso tá então você vê que todos os tipos de diferentes riscos eles podem ter o os objetivos aí de diferentes aspectos envolvidos Ok vamos aos exemplos para ficar aí Claro de uma vez por todas exemplo de risco e aqui quando a gente vê tem alguns itens que é

muito semelhante a vulnerabilidade ameaça sim é bem semelhante mas a gente precisa entender o contexto Tá então vamos lá riscos um fal você tem um Faro lá e deixou algumas portas abertas ó Isso é um risco tá por qu a ameaça existe se você deixou a porta aberta um ladrão pode entrar é só imaginar a tua casa você deixou a tua casa foi passear foi viajar foi na padaria e deixou a porta e a janela aberta ladrão existe Qual que é a chance dele entrar na tua casa V diz eu deixei a janela aberta deixei

vulnerável tô totalmente exposto o risco aumenta Tá mesmo se você trancar a ameaça existe não é o fato de você trancar tua casa não vai eliminar a existência do do ladrão do bandido Ele sempre vai existir é isso que você precisa entender então quanto mais você fizer o gerenciamento de risco menos chance você vai ter de ser surpreendido que mais usuário sem treinamento nos processos e procedimentos aquele que se recusa a olhar procedimento ele vai lá no ambiente de produção começa a mexer Adreno ser risco de segurança é o risco de segurança Com certeza ele

pode danificar um banco de dados uma base de dados informações ele pode fazer um monte de coisa então se esse usuário não tiver treinado ele pode fazer besteira Que mais um ataque ao site não precisa nem falar né cybersegurança aqui tem que ser prioridade engenharia social com os funcionários da Titi eu coloquei funcionários da ti mas pode ser qualquer tipo de funcionário a gente sabe que o engenheiro social ele vai pegar a parte mais vulnerável e normalmente a a a equipe de ti normalmente né as pessoas são mais antenadas ficam mais espertas recebeu um e-mail

uma ligação foi abordado fora da empresa no restaurante no corredor no estacionamento fica um pouco mais ligeiro e a gente tem que ensinar todos os outros funcionários que isso é importante né engenharia social é complicado mexe aqui ó com a cabeça com o psicológico se aproveita de fragilidade e de fraqueza das pessoas vulnerabilidade de sistema operacional no servidor só exemplo tá essa lista aqui ela pode ser extensa podia ficar horas e horas falando a gente sabe que existe muitos riscos né só para estimular você entender o que que é o risco D sistema operacional desatualizado

risco enorme um incêndio ou uma enchente é um risco é risco de incêndio o risco de de Enchente não é que já aconteceu Ok é um risco pode acontecer um funcionário que não trabalha no RH e acabou obtendo acesso ao diretório lá do RH e começou a olhar dados sensíveis ou privados de todos os funcionários como por exemplo foi folha de pagamento sua empresa é atingido por uma falha de energia normal como que a gente faz para proteger um controle né A gente vai ver isso coloca lá um gerador alguma coisa a gente vai ver

lá pra frente um hacker consegue obter acesso à rede wares da ti ou da empresa né também não precisa ser só da ti o rck conseguiu acessar hora que a partir do momento que ele conseguiu acessar ali o wi-fi ele pode ter acesso a todo o ambiente vazamento de Formação confidencial de uma equipe de Cent de repente lá a pessoa no cal centro deixou vazar uma informação que não podia de repente mandou um e-mail pro cliente sem querer mandou a base do cliente inteiro quantas histórias a gente já ouviu sobre isso né manter a porta

aberta do data center não esqueci de trancar esqueci de fechar né aquelas portas que tem ã né aí para deixar o coleguinha entrar ele coloca um pedacinho de papel ali no ã pra porta não travar Ok risco besteira trava né falta de atualização de software aplicativos né tem muito a ver al também com o sistema operacional qu assim a gente tá cansado de ver olha apareceu uma nova vulnerabilidade lá do Java né E aí a versão tal aí tem que sair atualizando tudo normalmente não dá tempo né primeiro a gente descobre que tem uma ameaça

E aí depois a gente vai tratar a vulnerabilidade a gente olha ih a gente tá vulnerável vamos tratar vamos atualizar equipamentos emprestados para um parente do funcionário Então a gente tem todo um processo tem toda da segurança tem tudo bonitinho aí o pai chega em casa com o Notebook que é da empresa ou até dele mesmo que utiliza para acessar os dados da empresa entrega pro filhotinho lá pro filho aí o filho acessa a internet acessa alguns sites dá uns clique aqui outros aculá pronto infectou o notebook a hora que o funcionário volta na empresa

espetou o computador na empresa prolifera tudo tá então é risco não pode emprestar pros filhos parentes colegas amigos né equipamento de trabalho tem que ser seguro agora vamos lá para um outro termo ameaça tá ameaçando a chover tá o risco é eu posso me molhar Ok então ameaça a causa potencial de um incidente indesejável que pode resultar em danos a um sistema ou organização ou pode resultar em eu ficar todo molhado tá vamos lá se algo resultar em dano chamaremos de ameaça se algo resultar não é ah resultou aí é um incidente se algo resultar

se algo pode resultar é uma ameaça Ok eu posso me molhar Porque existe uma ameaça de chuva pode acontecer ou não mas existe Se começar a trovejar começar a sair uns raios né a chance é cresce se o que temos é vulnerável falho ou deficitário abriremos brecha para o ataque por isso que tratar a vulnerabilidade é importante aquele que aproveita dessa vulnerabilidade Ou seja a ameaça que aproveita olha achei uma porta aberta aqui você tá vulnerável eu vou entrar essa pessoa ou essa aplicação isso que acontece é chamado de agente de ameaça ou agente ameaçador

Ok então qualquer coisa que se aproveita de uma uma vulnerabilidade é um agente de ameaça alguns tá um agente de ameaça pode ser um ladrão roubando a sua casa pode ser um invasor acessando gente quando eu falo sua casa quando eu falo outros exemplos é para tentar contextualizar Ok ah porque a gente tá focando aqui segurança da informação para empresa mas também óbvio né tudo que a gente aprende aqui tudo que a gente tá aqui explicando eu aplico inclusive na minha casa né então vamos lá um evasor da sessão na rede através de uma porta

de Firewall Lembra eu tenho risco eu manti a porta aberta lá existe a ameaça dele entrar tá vendo que ele se repetem só que num contexto diferente então o invasor acessando é uma ameaça alguém acessando indevidamente a os dados de terceiros né dep repende você mantém lá um banco de dados um servidor de diretório alguém pode acessar isso é uma ameaça ó existe a chance de isso acontecer tá a probabilidade um funcionário violando uma política de segurança muito comum né infelizmente inclusive funcionários da própria ati da própria segurança de informação violando a própria política que

ele acabou criando ameaça de terrorismo né tem a chance de acontecer uma guerra a uma nação Eu não sei onde você trabalha de repente você trabalha em países que sofrem ameaças de terrorismo constantes né ah um tornado destruindo uma instalação uma chuva uma tempestade não preciso nem falar em outros países porque falar de furacão tornado né existe essa tipo de ameaça esse tipo de ameaça no Brasil já não existe com tanta frequência né a gente tem aí no sul alguns pequenos né diferente que acontece em outros países mas a gente tem outros tipos de catástrofes

né não temos terremoto mas temos chuva eh desmoronamento né temos algumas outras coisas relacionadas à nossa a situação do país eh um funcionário cometendo um erro não intencional expondo informações confidenciais Então assim tá vendo que não é porque não foi intencional não é uma ameaça a pessoa pode sem querer né pegar achar um pendrive com vírus e espetar no notebook sem querer infectar toda a rede ele não fez isso de propósito né Mas isso não exclui uma ameaça ele pode ser uma ameaça aliás tudo é uma ameaça vai caber o nosso processo de análise de

risco para saber se a gente vai tratar ou não então no processo já de seguras da informação ameaças ou seja os efeitos indesejáveis são mapeados na medida do possível tá importante de novo essas ameaças elas são mapeadas na medida do possível por que na medida do possível porque nem sempre a gente vai conseguir mapear todas as ameaças E se a gente começar a mapear todas as ameaças a gente vai virar um funcioná chato um profissional chato que tudo acha que é risco né tudo então assim a gente tem que ter um equilíbrio Ok tem que

ter um equilíbrio aqueles mais impactantes tudo bem verifica-se se algo pode ser feito para evitar essas ameaças Então dentro do processo de segurança identifica as possíveis ameaças vê o o que dá para para ser feito Ok e determina Quais são as medidas para fazer a proteção para evitar que esse dano essa ameaça se concretize e vire um incidente e se virar um acidente como a gente pode fazer para não se alastrar e se se alastrar qual são quais serão as medidas para eliminar resolver Ok próximo vulnerabilidades que é o terceiro terceiro termo bem importante vulnerabilidade

vamos lá tá pequenininho Mas vamos ler aqui ó fragilidade de um ativo ou um grupo de ativos que pode ser explorada por um ou mais ameaça existe ameaça de chuva eu estou vulnerável estou sem capa de chuva não estou dentro do car estou sem o guarda-chuva estou sem nada tô muito mais vulnerável com uma pessoa que tá andando com guarda-chuva faz sentido então a vulnerabilidade vai depender muito de Como estão seus ativos Ok o quanto você está frágil então uma vulnerabilidade é uma fraqueza e o atacante ele vai atrás do quê da fraqueza então se

você não deixa tudo atualizado se você não deixa as portas do fire fechado ele vai testar imagina que é uma pessoa um ladrão entra no seu condomínio você mora num prédio e ele vai identificar qual apartamento tá com a porta sem trancar tá aquele que está mais vulnerável ele vai tentando uma por uma aquele que eu conseguir ele vai explorar essa vulnerabilidade ou seja não tem o trinco na porta e vai conseguir entrar é a ausência ou a fraqueza de uma proteção que pode ser explorada ausência não tem um trinco ou se eu tenho trinco

ele é muito fraco Ok eu tenho uma proteção tenho um fao mas não tá bem configur não adianta achar que tem um Fire que tem tudo bonitinho uma sei lá uma rede dmz com prox com não sei o que um servidor com duas placas de rede separação física e lógica se não tiver muito bem configurado é fraco tiver uma política e ninguém executa é fraco tá exemplo de vulnerabilidade uma porta uma janela que não trancam corretamente direito né um servidor de desenvolvimento rodando sem atualização básico isso né a gente se preocupa tanto com de produção

rodando bem atualizadinha a própria 271 272 antigo falar olha é importante instalar o vírus agora agora Nessa versão é não é só instalar o vírus Tem que manter atualizado atualiza sempre chegou a atualização dê prioridade para atualizar o quanto antes ah acesso restrito para um modem né coloca a senha protege um modem eu tô dando exemplo de mode pode ser qualquer outro tipo de equipamento tá pode ser um roteador pode ser um sut ok uma porta aberta do fire aí ó de novo tá então se você deixa a porta aberta você tá vulnerável existe a

ameaça de alguém entrar então você tem um risco grande aí de ser atacado através de uma porta de Fire a segurança física a gente vai falar muito sobre segurança física também tá não é só segurança lógica de controle humanos mas a gente vai falar muito de segurança física tá os anéis de proteção que é bem importante então uma segurança física fraca que permite que qualquer pessoa possa entrar no data center não só no Data Center no prédio onde você trabalha tudo que é canto Ok e e controle de senha fraco que permite o fácil acesso

a sistemas e ambientes senha 1 2 3 né abcd ou asdfg ou kW e RT né eu tô olhando aqui meu teclado que o pessoal normalmente faz né aquele movimento que já pega todas as técnicas é batido para caramba né existem técnicas bem fáceis inclusive de detectar isso aí e aí o último termo que a gente precisa entender é a exposição quanto eu vou est exposto né Vamos lá que que é exposição exposição é ficar exposto a essas perdas Cara você tá muito vulnerável Você tá muito exposto tá ele é meio Sinônimo é mas ele

tem uma conotação diferente aqui vamos ver aqui ó um agente ameaçador aproveita essa exposição é onde como acontece dentro do processo de um etical hacker Um etical não né de um um hacker quando ele vai atacar Ele sempre vai ele faz isso né antes dele fazer ele faz primeiro o Discovery ele identifica o que tá vulnerável e aí se você porque Nem sempre a vulnerabilidade gente traz tanta exposição então ele vai aproveitar essa exposição o agente ameaçador ele vai aproveitar isso aí e atacar ou fazer o que ele veio com com a ideia proposta né

uma vulnerabilidade expõe uma organização a possíveis ameaças tá bem que a a exposição tá muito ligada à vulnerabilidade então só exemplo de Exposição Olha aí a porta aberta novamente do fá abrir a porta é totalmente exposto se você sai da tua casa e tranca se você sai da tua empresa Você fecha a porta se você tá na internet se tem alguma conexão fora pros seus funcionários qualquer conexão tiver com porta aberta esquece Adri não tenho conexão nenhuma lá lá para fora é só internamente precisa de Fal também porque alguém com más intenções pode entrar dentro

da sua empresa e ter acesso sua rede protocolos habilitados ou que não tem necessidade Quantas vezes eu vou aem empresa eu pego um servidor que tem um monte de protocolo eu até pergunto para que que serve esse protocolo o profissional não sabe Para que que serve mas simplesmente deixa habilitado com medo de desabilitar e parar Algum serviço na rede tá absurdo entenda Quais são os protocolos entenda para que que serve cada porta e feche se não tiver necessidade se tiver necessidade abra realize o que precisa realizar depois fecha Ok porque é muito fácil você pega

qualquer ferramentinha aí bem simples na internet de sniffer né começa farejar as portas as vulnerabilidades E aí é um prato cheio pro atacante isso é muito fácil de ser feito principalmente na internet pegar sites que estão vulneráveis com porta aberta você põe os nifer lá no site ele traz todos os parâmetros tudo máximo de informação possível tá até chegar inclusive lá no servidor se a gestão de senha for fraca e as regras não forem aplicadas a empresa fica exposta tá senha fraca importante ou senha muito complexa também é um problema Por quê o funcionário normalmente

é exigido que ele troque a senha uma vez por mês com senha com 30 caracteres com código símbolo número letra maiúscula minúscula gente isso atrapalha o que que o funcionário vai fazer vai escrever a senha no papelzinho vai colocar embaixo do teclado ou na gaveta dele se uma empresa não tem cabeamento ó cabeamento inspecionado tá cabeamento e não estabelecer medidas proativas de prevenção contra incêndios tá Então você sempre tem que chegar dentro da segurança de informação não só o ataque que vem lá do mundo lá de fora que a gente sempre fala de segurança informação

e imaginando sempre Cyber né o mundo cibernético não segurança física incêndio tá questões ambientais a gente vai falar muito sobre isso tá muito relação entre ameaça e risco aqui é um fluxo um ciclo que eu gosto muito para você entender para juntar tudo que a gente viu até agora Ok vamos juntar tudo então ciclo do Risco Eu gosto muito de com começar a falar do ciclo de risco começando pela ameaça então sem sempre a gente vai falar tá tendo uma Nova Ameaça um novo vírus tá ameaçando o chover olha só que são materializadas se essa

ameaça acontecer né pode ser materializado através de um ataque e esse ataque são exploradas toda o atacante ele vai explorar o quê as vulnerabilidades teu servidor por exemplo está vulnerável o atacante ele vai explorar isso aí expondo você né ao risco Ok se você não tiver tão vulnerável você não vai est tão exposto ao risco esses riscos são controlados com salvaguardas com medidas Aonde encontra essas medidas Adriano para me resguardar disso aí para controlar 27.001 Ok a própria Norma traz uma série de contramedidas contramedidas eh controle né é sinônimo a gente já vai ver sobre

isso aí e aí essas contramedidas elas funcionam Protegendo o quê os ativos e esses mesmos ativos estão sempre sob ameaças novas ameaças tá então é um ciclo por isso que é um trabalho contínuo tá V tudo que a gente fala que gerenciamento de risco não tem fim começa a fazer o processo mas não para Ok então falei sobre medidas e a gente vai ver sobre muito agora daqui para frente falando sobre as medidas medidas de segurança para que que serve as medidas de segurança bom se eu tô em risco eu preciso tomar uma ação eu

preciso fazer alguma coisa OK então vamos lá medida de segurança é colocada em prática para mitigar o risco e potencial Olha tem o risco de um incêndio tem o risco de eu ser atacado de roubo de informação o risco de eu ficar molhado tem que fazer alguma coisa eu tenho tomar uma atitude tá então são as medidas tenho que fazer alguma coisa significa então controle né medir quando a fala toda vez que a gente fala medida de segurança é controle contramedida salvaguarda sinônimo Ok então no decorrer do curso até no exame se você for fazer

a prova você vai encontrar controlle de segurança medidas de segurança contam medida salvaguarda São sinônimos podendo ser então uma configuração de software Ok eu posso usar configuração de software um dispositivo ou um hardware tá porque a gente sabe que a gente pode se proteger não só com com software mas com hardware também né com appliances com procedimento ok a gente utiliza procedimento para eliminar a vulnerabilidade ó você não pode mexer no ambiente Ó você precisa de senha ó você não pode deixar a sua mesa cheia de papéis você não pode deixar papel na impressora Ok

tem que tá lá tem que ter procedimento e colocar isso dentro da política e aí se você quiser saber mais sobre política ter o curso avançado que é o ismp que ele fala especificamente numa construção de uma política de segurança de informação no nível mais avançado Ok procedimento que reduz a probabilidade de de um agente ameaçador ser capaz de explorar a vulnerabilidade procedimento novamente ok exemplos então de contramedidas gente ao longo do treinamento a gente só vai ver as medidas mas aqui só alguns exemplos para vocês sentir o que a gente vai explorar ainda então

lá gestão de senhas fortes tá gestão de identidade também guarda de segurança um guarda um C humano né com czin com arma com bastão alguma coisa para proteger fisicamente os funcionários segurança física patrimonial mecanismo de controle de acesso a sistemas operacionais a gente tá falando mais da questão lógica implementação de senhas de ó lembra da BS né evitar que o funcionário ali vá lá falou Putz desativar o minha USB aí ele entra na BS né dá lá a tecla o F1 F2 Daí depende do computador ele consegue entrar na BS e consegue ativar o USB

um DVD ali para ouvir uma música né para espetar alguma coisa então a gente a gente tem que colocar uma senha Ok Nossa adrano É complicado nosso Parque aqui tem mais de 2.000 máquinas é paciência trabalhar com segurança informação é complicado basta uma máquina sem a senha você tá em todo o seu Parque comprometido treinamento conscientização sobre segurança tá curtindo esse curso Aqui passa isso pra equipe pros seus funcionários tá extremamente importante software de antivírus atualizado ó software antivírus instalado e atualizado Ok Isso é são exemplos de medidas que a gente faz para minimizar os

nossos riscos Ok Minimizar os danos evitar que um incidente aconteça e se acontecer outras medidas devem ser tomadas então medidas é o sinônimo aqui que a gente tá falando em segurança de Formação Ok continuando ainda sobre análise de risco AD queria entender um pouquinho mais na prática Como funciona essa análise de risco Então você tá aprendendo tudo aqui você quer terminar a aula já começar a fazer uma análise de risco na sua empresa então saiba que a análise de risco é o processo que define e Analisa os perigos da sua empresa que ajuda você adquirir

uma visão compreender os riscos da tua empresa não só os riscos da ti porque é muito fácil você olhar pra ti e falar Ah isso aqui tem um risco de eu perder informação Ah tem um risco não sei o qu mas a gente esquece que a gente não tem que só lidar com os riscos da da informação digital Mas aquela informação que é dita que é falada impressa que está na cabeça do ser humano Então a gente tem que imaginar falar ó a gente tem aqui vários controles várias medidas Mas se a gente tem um

funcionário fraco por exemplo no calcenter que passa informação confidencial porque ele não segue uma política ele não tem conscientização nada adiantou o teu fairo que você gastou milhões botou lá um monte de cabeamento novo protegido contra não sei o quê contra incêndio inundação data center maravilhoso tudo protegido não adianta nada tem que tratar tudo é um trabalho árduo Ok a aná de risco fornece a base para tomar decisão de como lidar o risco lidar com o risco a gente para lidar com o risco a gente tem que fazer primeiro ter a base né identificar o

que que a gente quer proteger e principalmente o custo né muitas vezes não vale a pena muitas vezes a cultura da nossa empresa é de aceitar o risco então ten muitos profissionais de segurança que saem de uma empresa que tem uma cultura e vai paraa outra e ele fica bravo ele fica chateado que todo mundo tá nem aí com o risco de repente é a cultura da empresa OK que mais vai incluir então a estimativa do Risco Qual é a chance qual é a probabilidade estimar Ok relatórios antigos relatórios de análise de riscos podem ser

usados para alinhar os objetivos da tecnologia com os negócios lembrando que quando a gente fala de gerenciamento de risco a gente tá falando de gerenciamento de risco de negócio né vai até o negócio identifica quais são os riscos Qual que é o impacto se ati parar para ele tá não fica só dentro de casa você tem que sair você tem que ir pras áreas de negócio então tem que tá muito alinhado quer começar um processo provavelmente se sua empresa já fez uma análise de risco de negócio vai atrás desse relatório porque dali Você já consegue

fazer todo o trabalho de risco análise de risco gerenciamento de risco na ti não da ti na ti análise de risco pode ser quantitativo e qualitativo temos as duas formas e a gente vai ver a diferença um do outro uma nota importante os vou até ler aqui ó os riscos possuem donos Ok todo risco tem que ter um dono Ok todo risco que também deve ser envolvidos na análise e avaliação de risco então identificou o risco falou quem é o dono desse risco para quê para poder tratar Então não vai ficar a cargo do Security

Office fazer isso da equip não cada um que ó esse ativo normalmente os donos do do dos riscos normalmente são os donos dos ativos Tá mas não é uma regra por exemplo ah sobre o incêndio a gente tem o risco de incêndio quem é o dono os bombeiros Ok então a gente tem tem que ter donos para cada tipo de risco é importante E aí objetivo e propósito da análise de risco aí a gente vai entrar um pouquinho aqui mais com alguns exemplos tá então o objetivo do propósito é indentificar os ativos Ok vai lá

sai da área de TI identifica Quais são os ativos pessoas processos recursos informações vai nas áreas de negócio vai em todos os cantos da empresa identifica identifica o valor Ok Quanto custa ficar fora Quanto custa ficar fora o sistema de pagamento quanto fica fora ficar um e-commerce de uma empresa que é totalmente digital Quanto que é de prejuízo uma hora parado vai identificar os valores Quanto custa não ter uma equipe de atendimento ao suporte ao cliente a Val tudo isso dois determine vulnerabilidades e ameaças na medida do possível você vai identificar as ameaças faça aquele

trabalho gigantesco de identificar o que que é vulnerável vulnerabilidade é importante não só na parte de tecnologia né ah só vou ver se os sistemas operacionais estão atualizados Se as portas estão fechadas porque tá falando toda hora de Fire não tem muito mais coisa tá ao longo do treinamento você vai ver o quanto que você tem de vulnerabilidade que você tem que olhar na tua empresa terceiro determine o risco das ameaças se tornarem uma realidade Ok a ameaça se concretizar Ok e interromper todo o processo operacional da sua empresa e quarto Estabeleça aí um equilíbrio

entre custos de um incidente e os custos de uma medida de segurança como assim dependendo da situação é muito caro né eliminar o risco é muito caro Então você tem que tomar as medidas Você vai aceitar você vai pagar o preço porque normalmente o que eu costumo falar assim ah pagar 1 Milhão para proteger um ativo que custa 100.000 não faz sentido Ok eu tô falando em termos financeiros Ok bom tá aí os objetivos da análise de risco propósito você é usado como uma ferramenta de gerenciamento de risco então ah eu trabalho com gerenciamento de

risco então eu tenho que fazer análise de risco como ferramenta para determinar Quais são as ameaças relevantes pro processo operacional A análise de risco é o único processo que vai te ajudar Identificar qual a ameaça mais relevante porque olha o item dois dos objetivos é determinar vulnerabilidade de ameaça tá para identificar os riscos Associados aos processos operacionais tá em relacionar ao item um você sair da área de TI e nas áreas de negócio garantir que as medidas de segurança sejam implementadas para garantir que essas essas ações são implementadas primeiro a gente precisa saber o que

proteger tá por isso que é importante ir lá identificar os ativos o valor a ameaça vulnerabilidade para evitar gasto Desnecessário isso aqui é muito importante é é é onde eu bato mais forte com a maioria dos profissionais de segurança que sai implementando um monte de controle anti Fire antivírus antim não sei o que anti anti anti anti gasta uma fortuna Mas vamos a gente pode evitar gasto desnecessário de repente a gente quer implementar alguma solução bacana mas será que é realmente a empresa precisa vamos analisar vamos perguntar ok a gente tem que também parar um

pouquinho de vender muito medo né o o nosso cliente fica assustado e acaba comprando desnecessário Ok análise de risco serve para avaliar os custos envolvidos em cada medida de segurança Ok se eu tenho o ativo eu tenho uma medida Olha eu tenho isso eu tenho uma ferramenta que uma ferramenta uma appli um dispositivo para combater custa isso então eu precisou fazer esse balanço Ok e para ajudar no equilíbrio correto das medidas de segurança tá a gente vai ter muitas medidas de segurança qual que eu aplico a gente precisa ter um equilíbrio como a gente tem

equilíbrio através do processo de análise de risco Ok tipos de análise de risco aqui eu vou dar um caso e normalmente aqui acho que é um slide mais importante que as pessoas reparem eu não tô entendendo ainda como seria isso na prática vou dar três exemplos né aleatórios e bastam três perguntas três perguntas para casos que acontec que normalmente Você já consegue fazer análise de risco são três perguntas simples mas não é tão fácil responder vamos lá exemplo ó uma corretora de seguro e os detalhes das apólices dos assegurados tornaram-se sem querer públicos vazou vazou

informação Ok Isso é um caso outro caso dados pessoais de testemunha de um processo penal são divulgados e um terceiro um funcionário perdeu um p peru deixou cair tá e o seu conteúdo acabou caindo na mão de pessoas que não podi foi parar na imprensa e foi divulgado publicamente Olha só são três casos como que a gente faz análise de risco aqui análise pode fazer esses exemplos olun qu queo porque olha só o fato Vamos dar um exemplo no terceiro né no fato de um pend drive com informações ter caído na mão da empresa da

da Imprensa e ser divulgado tem gente que vai se descabelar mas tem gente que não f não normal tranquilo não tem nada de importante então a gente precisa entender qual que é Impacto Isso faz parte da análise de risco a gente tem que ser questionador não é porque as apó dos assegurado se tornaram público calma analisa o impacto primeiro Qual é a chance né disso acontecer ah a chance de testemunha de um processo penal ser divulgado praticamente zero só fica na mão lá do juiz por exemplo Então dentro da análise de risco a gente tem

que fazer a análise qualitativa e quantitativa principalmente perguntando qual é a chance disso acontecer Tá qual é a chance então a gente tem que sempre se questionar e é bom não tomar a decisão sozinho pegar alguém que seja mais pessimista alguém mais otimista e entrar num acordo Identificar qual é a chance e a terceira pergunta qual é a consequência disso acontecer pode ser que a consequência seja catastrófica pode ser que a consequência não seja tão catastrófica Pode ser que a consequência seja de uma perda financeira baixa outra pode simplesmente fazer a empresa subir do mapa

né Quebrar Ok três perguntas simples que vai te trazer muitos insights muitas respostas e eu tenho certeza que se você fizer essas perguntas você não vai ter a capacidade plena de 100% de responder como o Ti você vai ter que ir na área de negócio você vai ter que ir lá perguntar isso é muito saudável fazer um processo de análise de risco não é só olhar para ti é olhar para fora na Perspectiva dos nossos clientes e aí a gente cai então na análise quantitativa e quantitativa a gente vai explicar no próximo slide as diferenças

né mas quantitativa é baseado em números Ok baseadas em números a gente tem que ver por exemplo nível de prejuízo financeiro tá aqui normalmente é sempre a parte financeira e a probabilidade questão de números né 30% 50% 100% E temos também a a qualitativa que não é baseado em número ele é baseado mais em intuições pô adana fazer uma análise de risco baseada em intuição Sim qual é a chance de um ter remolo acontecer vai se a gente for falar em quantitativo é zero mas Será mesmo Será que não pode acontecer Vira e Mexe ter

uns tremores aí em alguns cantos de repente tua empresa não tem muito sensível ao movimento da terra Ah já não sei olha a chance tem você vê que é importante a gente discutir né fazer esse exercício esse Brainstorm eu tô dando um exemplo um contexto bem separado aí bem longe da nossa realidade para você entender Ok então vamos entender um pouquinho sobre análise de risco quantitativo que a gente fala de valor números Ok então ele é baseado no Impacto financeiro por exemplo ele é baseado na perda financeira baseado na probabilidade da ameaça tornar-se um incidente

Ok vai diferenciar do qualitativo Vai um pouquinho sim ok então vamos lá nesse tipo de análise então que é quantitativo baseado em número a gente considera o valor de cada elemento composto pelo custo custo do Risco do incidente já aconteceu de retornar Ok então das medidas de segurança tem um custo falando quantitativo eu tenho que analisar porque a análise de risco não é só implementar a medida a gente tem que saber quanto custa o ativo e quanto custa a medida Ok bem como os ativos né Falei por exemplo o ativo o edifício hardware software informação

Impacto dos negócios pode gerar perda financeira é fornecida uma imagem Clara do Risco financeiro Total então muitas ve Às vezes a gente para vender um projeto para implementar Vamos dar um exemplo aqui do fal a gente precisa comprovar financeiramente que é importante então a gente avalia o quanto custaria uma empresa ficar parada Qual é o prejuízo Quanto custa um fireo implementação tudo então a gente faz aquele cálculo ó o Roy né o retorno sobre investimento as medidas adequadas podem ser determinadas a gente só consegue definir as medidas a partir do momento que a gente fizer

análise de risco antes de sair implementando que nem um louco de medida Ah vou colocar câmara em tudo que é canto sensor de não sei o quê eh biometria para entrar em qualquer sala Calma Vamos avaliar seas informações que estão naquela sala merece ou não ter uma biometria Ah que é uma parte importante disso então é determinar quais riscos residuais são aceitáveis porque tem risco nessa nessa parte é muito importante tem aquele risco a gente pode aceitar residual Ó ficou aquele negocinho Mas a gente pode aceitar de boa né mas esse de boa tem que

ser consciente para ter consciência a gente precisa levantar esses riscos né trazer à tona que mais custos das medidas não devem ceder o valor do objeto protegido do Risco já falei isso várias vezes não adianta botar uma ferramenta lá que custa 1 Milhão para proteger uma informação que custa 100.000 uma análise de risco puramente quantitativa é praticamente impossível é Adriano é a gente tá falando de número Nem sempre é possível a gente vai ver por uma análise quantitativa de risco tenta atribuir valores a todos os aspectos mas isso nem sempre é possível principalmente por exemplo

imagem da empresa quanto isso representa financeiramente se uma empresa tiver os dados vazados é complicado estimar isso quantitativamente aí a gente cai no qualitativamente Ok então pode ser atribuído um valor a um servidor por exemplo é fácil você falar esse servidor custa tanto Ok o valor de compra de manutenção das peças do software de licença isso é mais fácil tá pode ser possível então em algumas localizações mas nem sempre não é quando a gente fala de analisar quantitativamente o risco né quando a gente avalia todo o contexto quando a gente olha um ativo é mais

fácil quando a gente olha um funcionário a gente vê a folha de paga mais fácil sabe um exemplo de análise qualitativa quantitativa um funcionário ganha R 5000 por mês se eu não ter mais esse funcionário a o risco de impacto é de R 5000 por mês não o quanto ele deixa de trazer negócios o quanto vai ficar caro entrar um novo funcionário até ele aprender né todo o procedimento o processo que aquele funcionário saiu então são coisas subjetivas que a gente então entra na parte qualitativa que aí já são baseadas em cenários se acontecer isso

tamb V que a outro é baseado em pacto ó aconteceu é isso aqui não a gente tem que imaginar cenário é imaginação tá imaginar situações e se isso acontecer Ok sentimento Olha eu acho que toda vez que você passar fazer uma análise de risco alguém falar eu acho você tá falando de situações imaginárias de sentimentos e só que a gente tem que levar isso em consideração para fazer análise de risco números e valores monetários então aqui não são atribuídos como componentes e perdas pode ser definido por exemplo como então nesse caso você não atribuir o

valor financeiro Mas você pode colocar Baixo médio alto é possível não é possível incerto nunca jamais sempre duas vezes por ano utiliza um bom senso melhores práticas intuições expectativas vai perguntar pros especialistas pro negócio dentro da área que a tua empresa atua dentro da indústria exemplo de técnicas qualitativas aí tem várias tá se tem algum D Brainstorm Brainstorm todo mundo conhece né senta todo mundo numa sala começa lá eh dar ideias cada um vai contribuindo os outros não aí tem uns que colocam o postit é isso ok tem uma lista aqui que você pode fazer

reuniões conversas individuais entrevistas com duas pessoas fazer pesquisa enfim técnicas é o que não falta a a equipe de análise de risco considera a cultura da empresa e e os indivíduos desenvolvidos na análise vai depender muito da cultura porque tem empresa que tem um apetite ao risco que é fantástico ele aceita tudo tô nem aí tipo Startup normalmente ela aceita muito mais risco que uma empresa por exemplo já listada na Bolsa de Valores uma empresa mais tradicional são duas culturas completamente diferente que reconhece a importância da segurança mas tem um apetite ao risco diferente então

a criação de um cenário de uma hipótese numa empresa que tem um apetite maior Fala Não tranquilo isso aqui a chance de acontecer é baixo Ok o mesmo risco a mesma ameaça para uma outra empresa pode ser alto pode ter um um grande Impacto é reunido o pessoal com experiências conhecimentos distintos né das ameaças que a gente tá fazendo avaliação aí esse grupo de pessoas que acabou sentando ali para discutir isso aí para analisar qualitativamente o cenário eles vão descrever as ameaças vão descrever as potenciais perdas Ok lembra que não é só termos financeiros mas

por exemplo perda de imagem é um item importante e vai responder para cada intuição que foi lançada na reunião falal se isso acontecer a gente pode fazer isso isso isso chama o pessoal lá de gerenciamento de crise também ok o que que pode resultar a mais daquela pessoal falar queimou um servidor Ah beleza o servidor custa 100.000 Mas qualitativamente qual é o impacto pro negócio se aquele servidor for o e-commerce o s S principal da empresa onde que é feito o negócio tá as análises quantitativas e qualitativas de riscos cada um tem o seu ponto

positivo e negativo tem vantagem e desvantagem a administração em consulta com os especialistas determina o método que deve ser aplicado para determinado tipo de situação Ok Ah então eu tenho que tomar a decisão se eu uso uma ou outra não você vai usar as duas análise combinada Por que você faz uma análise das duas porque acaba sendo invi você fazer uma análise apenas quantitativo abranger tudo é muito complexo assim gente eu tenho que fazer uma análise de risco financeiro para cada coisinha para cada detalhe um mouse um ataque de não sei o qu eu ser

sequestrado num avião cara é muita coisa quando você não consegue ter essa abrangência maior O que que você pode fazer uma análise combinada como que funciona então para evitar o ônus de uma avaliação extremamente abrangente de uma análise quantitativa então primeiro você inicia uma avaliação qualitativa Qual é a chance disso acontecer Ah é baixo pequeno médio alto tal vai definindo qualitativo e aquilo que for alto trabalha quantitativamente então é bem legal Ok então para os maiores riscos você faz uma análise de custo benefício E aí sim você finaliza com a quantitativa porque se você começar

com a quantitativa você nunca vai parar então começa com a qual ativa aquilo que o pessoal sentir tiver o sentimento baseado num cenário que é de maior risco maior impacto faz análise de custo benefício depois faz a quantitativa Ok Adrian Como que eu faço esses cálculos modelo muito muito simples tá sle l f a e a r são siglas em inglês tá são bem simples então o que que significa SL significa e expectativa da perda única já vou explicar e vou dar regrinha o le é a mesma coisa só que é uma perda anualizada ou

seja Olha a minha o meu sle eu tenho posso ter uma perda de tantos r000 por ano essa é minha expectativa de perda que a minha análise de risco disse que eu posso perder até 200.000 tá mas isso por ano Ah isso pode acontecer duas vezes por ano então já não é 200.000 é 400.000 tá então o Ale é a expectativa de perda anualizada Adriano a minha expectativa de perda é de 100.000 Mas pode acontecer é de 2is em 2 anos então anualizada é de 50.000 ef é um fator tá é um fator que a

gente vai utilizar aqui para definir o valor da exposição a gente já vai dar um exemplo mas em resumo geral é o seguinte imagina que você tem um data center o Data Center Vale milhões Mas se acontecer uma enchente 25% do data center vai ser prejudicado quanto representa esses 25% de milhões então V imaginar que o Data Center hipoteticamente custa custe 10 milhões e ele vai afetar sei lá 2,5 milhões tá 25% então esse é o ef a gente vai precisar ele para fazer um cálculo em cima do anualizado e o Ro significa a taxa

anual de ocorrência lembra que eu falei do ah a chance de acontecer é uma vez por ano duas vezes por ano é enchente por exemplo ah enchente em São Paulo a chance de ocorrer é é muito forte uma vez por ano né no verão ah em outros estados T acontece duas três vezes ó tem regiões chovem para caramba tem regiões que estão por exemplo na frente que é na no litoral né a chance de entrar água do mar e mais da chuva aumenta as chances probabilidade Então você tem que fazer esse cálculo quantas vezes por

ano ok Identificar qual é o prejuízo que você vai ter de uma parte dos seus ativos que nem sempre vai parar tudo né você não vai simplesmente perder porque se perder tudo a empresa deixou de desistir então qualquer incidente a empresa deixa de desistir Então você tem que ter olhar um Panorama geral Quanto custa tudo ess AL tá Olha tudo vê quanto custa aí você vai ver o quanto que vai tá exposto Qual é o fator de Exposição é o ef para ficar claro vamos dar um exemplo aqui forminha Então vamos lá ef é a

porcentagem de perda de um ativo sobre ameaça Então vamos lá qual é a porcentagem de detonar um data Cent se acontecer uma enchente é de 25% beleza já temos o ef o sle que o sle é significa a expectativa de perda única Então se acontecer uma uma enchente Então eu tenho que ver pegar o valor da ativo e multiplicar pelo os 25% então o ativo data center custa 100 milhões 25% de 100 milhões é 25.000 isso é 25 milhões Ok então eu já tenho a expectativa de perda única 25 milhões se acontecer uma enchente o

Ale é a multiplicação do sle com a taxa anual de de acontecer e como que se calcula essa taxa o aro se eu tenho uma possibilidade perante ao risco de enchente de ter um prejuízo de 25 milhões de um ativo de 100 milhões porque vai atacar só 25% quantas vezes ela acontece por ano se for uma vez multiplica por um se acontece duas vezes multiplica por dois então tua perda tua chance de perder perda financeira não é de 25 milhões é de 50 milhões porque pode acontecer duas vezes mas Adriano se for de 10 em

10 anos então é 0,1 a cada 100 anos 0,01 tá você multiplica isso para poder dividir é um cálculo simples que pode te ajudar financeiramente definir aí isso PR análise quantitativa Ok Bora medidas no ciclo de vida do incidente agora a gente vai mostrar essa imagem aqui várias vezes a gente já viu em outro módulo e a gente vai rever isso aqui porque é bem importante porque as medidas que a gente vai aplicar elas seguem alguns princípios ó ou é essa ou é essa ou essa mas vai vamos vamos entender daqu vamos entender primeiro ciclo

de vida lá vamos rever primeiro teve uma ameaça se a ameaça se concretizar virou um incidente o incidente ele pode prejudicar um dano ele pode se alastrar pode danificar bastante o seu ambiente porque o incidente eu posso identificar e tratar estão decidente mesmo e aí a gente sabe que ele volta Quais são as medidas Então se a gente tem ameaça a gente tem que ter alguma medida que reduza essa ameaça temos que ter medidas para prevenir a ameaça virar um incidente temos que ter medidas para detectar o incidente Adriano tem mais coisa tem qu começar

a ver outras medidas a vai ver que não é só detecção a gente pode fazer várias coisas aqui OK mas a princípio a gente tem o objetivo de detectar o incidente não conseguiu detectar o incidente aconteceu precisamos reprimir só lembrar de repressão de represa evitar que se alastre tá porque pode ser que o incidente aconteça já resolva e não se alastre o atacante conseguiu invadir um computador já resolve não deixa ele atacar todos os outros computadores não teve o que fazer prejudicou paralisou Nossa operação vamos ter que fazer a correção e por fim a gente

faz uma avaliação de tudo que aconteceu para evitar que se acontecer novamente não seja tão prejudicial bom vamos voltar agora na mesma imagem e vamos falar agora não só do ciclo mas as medidas para reduzir a nossa ideia aqui é reduzir incidente para isso teremos várias medidas dependendo em qual etapa E tá é na Ameaça é no incidente é no dano na recuperação são medidas distintas você não pode pode aplicar uma medida X Pro momento Y não faz sentido Ok então vamos lá medidas preventivas tá medidas são tomadas reativas não pode esperar acontecer tá então

quando a gente tá falando dessas medidas aqui se a gente tem uma ameaça a gente tem que ser rea a gente tem que ser e e e eh medidas reativas eles visam reduzir a ameaça Ok medidas reativas visam reduzir as medidas ativas ajudam a evitar que as ameaças aconteçam Ok então medidas reativas visam reduzir as ameaças por que reativas porque tá batendo ali na porta né a gente não consegue e ser proativo contra uma ameaça de chuva não dá a chuva vai acontecer a gente só tem que reagir a ela ok isso que essa a

ideia mas D da gente tem que ser o máximo proativo Sim Isso aqui é é é uma questão proativa mas entenda que a gente tem que reagir a uma ameaça a gente não consegue eliminar a ameaça Lembra que eu falei que instalar um antivírus o antim no seu ambiente não vai fazer com que os bandidos sumam Então a gente tem que tá pronto para reagir contra eles ok incidente antes de virar o incidente a gente agora sim a gente tem que ter medidas preventivas para evitar que se tornem incidentes medidas visam evitar medidas preventivas não

não visam eliminar ameaça e ameaça a gente não consegue eliminar a gente não consegue eliminar uma ameaça de chuva ok a gente não consegue eliminar uma ameaça de roubo de furto não dá tá mas a gente consegue ter medidas reativas para reduzir a ameaça aí a gente consegue algumas vezes dá para eliminar até 100% das ameaças a gente vai ver alguns exemplos na área de tecnologia dá e medidas que visam Minimizar evitar o incidente não conseguimos evitar o incidente aconteceu incidente aí a gente vai usar medidas detectivas ou seja para detectar esse incidente né a

ideia aqui é detectar incidente se a gente não conseguir detectar o incidente a gente vai ter que tomar outras ações mas aqui nesse momento qu a gente chegar aqui no próximo slide a vai ver que tem outras medidas aqui dentro né que fazem parte da parte da de detectiva próximo medida repressiva ah aconteceu a dente não tem que fazer represa segura Ok não deixa Se alastrar para interromper as consequências e aí se não teve como se o estrago for feito a gente precisa ter medidas corretivas que vão se concentrar em reparar o dano causado pela

aquela ameaça que se concretizou virou um incidente não conseguimos figurar danificou alguma coisa ou seja tirou alguma coisa do ar e e a informação foi roubada você entende que o incidente nem sempre ainda causou o dano ele tá acontecendo o incidente a gente consegue segurar se não conseguiu a gente tem um sistema de monitoramento de log que nos alertou tá um incidente aqui ó tem um atacante entrando a gente pode segurar antes que realmente ele danifique alguma coisa não conseguiu vamos ter que fazer a recuperação então prevenção Vamos para o primeiro que que são as

medidas de prevenção a prevenção torna a ameaça impossível Pô você falou que não dava que ameça a ameaça existe mas ela pode não se concretizar então a gente consegue eliminar uma ameaça exemplo desconectar a internet e bloquear portas Ah então a gente tá tendo uma ameaça de ataque alguém ó alguém pode atacar hoje né ol a gente recebe um e-mail um atacante falou assim ó amanhã às 8 horas da manhã eu vou atacar sua empresa Olha a ameaça que você recebeu recebeu por e-mail inclusive aí você vai desconectar servidor certo agora minha pergunta é é

viável isso você tirar um servidor do ar bloquear todas as portas eu já tem situações onde você você tá sobre ataque você fica desesperado ou você tira o cabo de rede ou você Fecha todas as portas do Fir você pode fazer isso ok é uma forma de prevenção reativa pode ser impraticável Pô você vai fechar todas as portas desligar o servidor que que seria mais prático então por exemplo colocar informações sensíveis em um cofre Ok então você tá sendo exposto n você foi uma alguém te ameaçou vou te roubar Amã a tua empresa você pega

todos os seus arquivos asas informações importantes põe dentro de um cofre Beleza você tá se prevenindo aí você pode virar para mim fal assim Ah tio Adriano mas o cara pode lá bandido pode roubar o cofre Pode sim aí a gente vai ter outras medidas Tá mas a gente tem que começar com medidas preventivas que a ameaça se concretize então a gente vai pro segundo primeiro detecção ok aqui a gente vai ter mais que um então primeira coisa perante ao incidente que que a gente tem que fazer detectar porque se a gente não detectar de

ameaça ele já vai pro dano e a gente depois que aconteceu o dano Nossa o que que aconteceu você fica perdido sem saber o que aconteceu então primeira coisa vamos tentar detectar Então se os efeitos do incidente não forem muito grandes Ok você pode simplesmente detectar e falar Beleza não necessariamente você já tem que agir né Mas alarmou alguma coisa você tá sentindo que tá um tráfego na rede um pouco maior tal o efeito desse incidente ele pode ser não catastrófico então você foca em medidas de detecção apenas por isso que tem outros né então

PR incidente ali que não for muito grande Você usa alguma ferramenta alguma medida de detecção se houver tempo para mitigar danos consequentes Olha a gente tem aqui uma Fer menta tal a gente detectou mas aconteceu alguns danos a gente consegue ter um tempo aqui não ter um custo muito alto as consequências não são tão altas Beleza qualquer incidente seja detectado o mais rápido possível Independente se a apenas medidas de detecção tem que detectar o mais rápido possível tá isso indiscutível Adriano aqui nessa fase a gente tá falando de detectar só não é para incidente muito

grande e a gente tem até tempo para mitigar os danos Ok mas tem que detectar o mais rápido se deixar para detectar o incidente muito lá paraa frente pode ser que ele já não essa medida de detecção já é insuficiente a pessoa já tá invadindo o estrago já tá sendo feito né ele deixou de ser Fumaça já virou fogo exemplo vigilância por vídeo e com adesivos na janela dizendo fal você tá sendo filmado é uma forma de detecção né você tá filmando ali detectando o rosto detectando todo mundo que tá passando entendeu identificou alguém suspeito

abre um um chamado ali um alerta fal Olha isso aqui é uma pessoa suspeita a esse horário com capuz sabe tô dando exemplo para ficar claro que a detecção e ele é importante detectar para prevenir que alguma coisa aconteça Ok notificação de que tudo eh todo o uso da internet é registrado Então quando você tem um funcionário que vai acessar a internet imagina aparecendo um pop-up dizendo assim olha nós da segurança de informação estamos de olho em tudo o que você tá fazendo todo o tráfego é monitorado Então se aquele funcionário tá pensando em acessar

um site que não deve ele já fica Opa Isso é uma forma tá de detectar um incidente já já é ser proativo Ok essa notificação mas temos então o papel também de evitar aqui a gente tem o papel de detectar e agora evitar a gente tem que evitar o incidente Bom vamos lá então aí já é uma opção formal de risco significa que o risco é alto já não é pequeno que ah uma ferramenta aqui uma controle de detecção já é o suficiente não aqui já não é suficiente não além de detectar a gente vai

ter que colocar controles para evitar tá Então significa que o risco é alto a gente tem que evitar todo o custo a gente tem que ou evitar mitigar ou até fazer seguro a gente vai falar um pouquinho sobre seguro também Ok quando tem uma alta probabilidade de um alto impacto Pode ser que seja necessário um seguro quando você não tem ferramenta então a gente tá falando aqui de medidas Olha não tem medidas aqui para isso isso se acontecer lascou então faz um seguro Ok De repente você não protege o ativo mas pelo menos o bem

financeiro significa que o processo de negócio deve ser abandonado só um exemplo olha deu aqui algum perereco tem que ser o processo ser desativado começar a ativar contingência ou uma atividade deve ser movida até fisicamente né Para que o risco não seja mais aplicável então assim ó tinha o risco a gente precisa evitar de qualquer forma tira move vamos sair todo mundo Olha tem um risco de incêndio tira Todo Mundo Tem que evitar aí nesse caso né no anterior a fumaça com detecção é uma medida e aí virou fogo Tem que evitar na verdade não

pode nem esperar virar fogo né Isso depende do tipo de risco né um ó eu tô dando exemplo do fogo e fogo não é só detecção é detectar e combater ok seguro é um outro tipo de coisa que você pode fazer também para eventos que não podem ser eliminados Então você tem que fazer seguro Tem coisa que você não consegue eliminar você não consegue lidar não tá no seu alcance o fato de não não tá no seu alcance você pode fazer um seguro Ok cujas consequências São inaceitáveis olha não pode ter não tem como mas

maor para colocar o outras medidas para evitar e detectar é é absurdo é muito cara mas não pode perder Então faça um seguro contra perdas Ok exemplo seguro contra incêndio como você vai fazer para recuperar um dado que foi queimado não tem como né então você tem que fazer um seguro Ok ou fazer uma cópia diária de todos os dados importantes fora da organização eu quero só chamar atenção eu tô falando do backup aqui como uma forma de seguro tá então você pode ter esse seguro você faz uma cópia coloca em outro local de onde

você fez a cópia não coloca do lado do servidor né coloca na nuvem mas o backup ele pode ser utilizado em outra situação que a gente já vai ver que causa Muita confusão aqui não causa confusão aqui é tranquilo ah backup é uma forma de manter seguro sim ok e nem sempre são baratas mas geralmente justificáveis no caso do seguro seguro muito alto mas olha é justificável vamos fazer porque sabe alguém roubou o teu carro como você vai recuperar o teu carro né Se você não conseguir de repente desmancharam o teu carro botaram fogo destruir

o teu carro como você vai recuperar através de um seguro tá é caro é mas é justificável porque o teu patrimônio é um bem que você não quer perder aceitação Olha eu também posso aceitar o incidente pode pode tá a gente pode detectar a gente pode evitar pode fazer seguro e a gente pode aceitar os o o risco né quando todas as medidas são conhecidas a gente já conhece a gente pode aceitar ou quando os Quando podemos decidir não implementar certas medidas a gente pode tomar decisão a gente que eu digo o negócio tá você

pode chegar para negócio fal assim olha existe o risco de ter um incidente grave aqui de terrorismo de guerra eu aceito tudo bem não vão colocar Nenhuma medida de segurança pode ser quando o custo é desproporcional o retorno pô mas terrorismo aqui a gente tem que fazer uma outra empresa cara se acontecer um terrorismo acabou a empresa aí eu aceito então assim ou é muito pequenininho ou é muito grande é algo muito subjetivo ou algo muito catastrófico né ou não há medidas adequadas possíveis cara não não tem como não dá para fazer seguro não tem

não sei o qu Olha eu aceito o risco Ok para isso sempre conversar com asas de negócio quem vai definir essas não as medidas mas se aceita ou não evita só detecta é o negócio repressão supressão ou seja um incidente aconteceu precisamos evitar que ele se alastre então lembre supressão repressão é lembra da palavra represa você tem que represar começou a atacar represa começou o incêndio não deixe que esse incêndio se alastre tá elimine o mais rápido possível que tiver ali veio fumaça detectamos a fumaça tentamos evitar não conseguimos independente não é porque tem seguro

deixa tudo vamos tentar reprimir Ok então limita as consequências do incidente evitar que ele se alastre por exemplo não adianta ter alarmes de incêndio Ok se a gente não saber usar o extintor se a gente não souber e não tiver ninguém que utilize Ok visam limitar o máximo de danos causados que se alastre e a aqui veio o problema fazer backup também é uma medida repressiva pô mas Adriana ali é de cópia de proteção de seguro nem sempre fazer backup imagina o seguinte você tá digitando lá no documento Word De repente dá uma queda de

luz se o Word ali não ficasse salvando fazendo um backup de tempos em tempos o teu dano seria maior entenda que a parte de backup a gente tá dizendo o seguinte o incidente já aconteceu Ele já aconteceu então o backup ele pode de garantir que o dano não se alastre tá ele protege ele previne ele não sei o qu tal tal tal mas o incidente aconteceu ele entra como uma medida repressiva também então tenha isso na tua cabeça o backup el entra aqui como repressiva como repressão supressão porque o incidente já aconteceu ele está em

curso e o backup ele pode evitar que o negócio se alastre Ok fiz backup Que bom né Eu não perdi tudo o dano não foi tão grande eu só perdi um pedacinho um pedacinho pequenininho tá no momento que w tá acontecendo o backup ele é encarado como repressão correção não teve o que fazer deu zica deu problema vamos ter que corrigir tá então se o incidente ocorre sempre há algo que pode e ser reparado Ok dependendo da medida repressiva tá os danos são limitados ou muito grandes se você não conseguiu ó o backup não tinha

backup lá no Word esqueci de ativar teu dano vai ser gigantesco Qual que é a reparação vai ter que refazer agora se você colocou conseguiu reprimir né o dano não ficou tão grande então a reparação ela é muito pequenininha Então vai depender muito das medidas repressivas é o incêndio né Se conseguiu eliminar o foco do incêndio ali que era pequenininho beleza reparação é só do que queimou ali não de tudo exemplo funcionários acidentalmente cria um novo banco de dados né lá no desenvolvimento e acaba colocando sobrepondo sobrescrevendo o banco de dados de produção foi não

sei se foi intencional ou não mas deu problema é um problema de segurança vai ter que corrigir como aí você vai ter que usar as medidas né Tenha certeza que Garanta que você tem um backup Ok é isso e agora já vamos falar um pouquinho sobre ameaças Nós temos dois tipos de ameaça ameaças humanas e não humanas Vamos explorar um pouquinho o que que seria ameaças humanas e as não humanas Então vamos lá dentro das ameaças humanas nós temos aquelas que são intencionais a pessoa tem a intenção de fazer algum mal nos seus processos operacionais

na sua empresa tá existem ameaças com os próprios funcionários que por tá descontente não tá muito legal na empresa eles podem ser uma ameaça ou pode ser tá quando é intencional então destrói informações depois que são demitidos aí ele fica com raiva e vai destroir informação de repente ele tá com acesso ainda do notebook do smartphone alguma coisa ele tem acesso à rede através de uma VPN aí a área de segurança e informação não foi avisada da demissão não deu tempo bloquear ele conseguiu entrar e detonar os arquivos exemplo é intencional tá se vingam da

empresa né vendendo inclusive informações confidenciais para os concorrentes ou por não ter recebido o aumento de salário temos aí a engenheria social que aí é o bandido que pensa estrategicamente de como ele vai entrar na empresa através da pessoa ele vai mandar um spam vai esperar que a pessoa clique alguma coisa que entre um Fishing aí o resto já era né ineria social faz uso então das pessoas ele vai induzir as pessoas a executar alguma coisa por isso que o spam é é é é é é é uma tranqueira porque o spam é ali tem

todo uma a questão do marketing né que pode ser algo para vender mas também pode ser a intenção de você clicar de repente chega lá um e-mail do engenheiro social dizendo ó a sua conta do Bradesco foi bloqueada clica aqui para digitar uma nova senha isso é um ataque típico de engenheria social Ok Engenheiro social se aproveita da fraqueza das pessoas normalmente ele vai ele vai se aproveitar da fraqueza né para realizar seus objetivos todo ser humano tem uma fraqueza e o engenheiro sabendo qual que é a fraqueza ele vai usar artifício para você cair

na armadilha dele temos então ameaça também não intencional foi Ops foi sem querer né acidentalmente acabou digitando lá tecle deletar sem querer mas é uma ameaça humana e o inseri um pendrive né que encontrou na rua infetou e tava com vírus Ok ou ele trouxe de casa dele na casa dele não tem antivírus espetou na empresa foi infectado empresa foi sem querer tá nesse caso eu tô dando um exemplo tô dizendo foi sem querer tá porque é não intencional mas pode ser pode ser intencional Se ele souber que tem um vírus ali dentro bom tá

aqui fechamos ameaças humanas agora temos ameaças não humanas então ameaças não humanas com influências externas Adriano temos ameaças não humanas pô bastante Olha só relâmpago não é humano é uma ameaça incêndio inundação enchente tempestade tá coisas da natureza não são humanas grande parte dos danos causados depende da localização nesse caso que o Tor relâmpago Inc as ameaças não humanas vai depender muito da localização da empresa se a empresa tá mais baixo no nível da rua nível do mar Ok se de repente não ter isso mas o Data Center fica no subsolo tá não seria interessante

colocar o Data Center para cima data center localizado né lugar local suscetível a goteira quantas vezes já vi aquela estrutura bonita data center o ar condicionado bonitão lá em tudo que é canto e o o ar condicionado uma goteira em cima de um rack ou localizado também no subterrâneo né geograficamente de uma forma desfavorável vai ter risco aí de água de Enchente inundação sala que não tem janela Ah para sair para saída e entrada de ar isso é importante a gente vai vir muito sobre os as medidas físicas os controles físicos bastante sobre isso aqui

podemos também então subdividir as ameaças não humanas e humanas e uma uma subdivisão tá interrupções na infraestrutura Ok ou seja nos equipamentos na software hardware ou no ambiente físico então a gente pode fazer uma subdivisão né ó tivemos uma ameaça humana eh dentro do ambiente físico tivos uma ameaça não humana que afetou o hardware né um curto circuito tal então a gente consegue fazer essas duas distinções ainda tá então o ambiente físico como Edifício documentos né instalações abastecimento de águ aquecimento ventilação refrigeração e fica tranquilo que cada uma dessas palavras que eu tô lendo aqui

a gente vai tratar isso durante o treinamento Ok vimos ameaças agora vamos ver tipos de danos temos dois dano direto e dano indireto por exemplo um dano direto alguém roubou o notebook Beleza o incêndio a gente vai ter o dano lá por conta de queimou destruiu o equipamento a sala temos também um site atacado por um hacker temos um dano direto tudo isso é um dano direto mas eu vou colocar aqui três exemplos de danos indiretos referentes aos exemplos anteriores então o roubo de informação o roubo de notebook é um dano direto pô um notebook

custa caro tivemos um prejuízo e qual que é o dano indireto tempo de recuperação dos dados Então pode até comprar um outro notebook mas a gente vai ter toda aquele tempo de recuperar né voltar todo o backup as as configurações tudo isso então isso é um dano indireto porque por que isso é importante porque muitas vezes a gente fala assim ah Quanto custa esse notebook Ah r$ 5.000 então a gente coloca no seguro r$ 5.000 então para fazer avaliação de risco a gente tem que considerar R 5.000 só que a gente esquece dos danos indiretos

quanto tempo vai levar pra gente fazer a recuperação desse notebook que foi roubado mais uma par de hora hein tem que pegar a fita de backup que tá outra localidade vai custar mais uns dois tá vendo o notebook já não é mais c é R 7.000 para incêndio então o incêndio o dano direto é o pegou fogo queimou lá o equipamento a sala e o dano indireto a água utilizada para pagar o fogo de repente é litros e litros e litros e litros também é um tipo de dano indireto site atacado pelo hacker danos à

imagem da empresa Olha só ali a gente sabe quanto custa um ataque né Desculpa quanto custa não né a gente sabe o dano que causa um site fora Mas e a imagem da empresa é um dano indireto tá você não sabe você não consegue ter essa informação e simplesmente falando ó se o servidor cair o site cair o dano é esse vamos ver a imagem também você vê que aqui já não entra mais valores financeiros né a gente tá falando de análise qualitativa e por fim tipos de estratégias de risco tipo de estratégia é a

ação é a atitude que você vai ter ter frente ao risco Ok então a gente fecha o gerenciamento de risco falando Quais são as estratégias que você pode tomar Olha você já fez a identificação analisou tem todos os riscos que que qual é a estratégia que eu posso ter então primeiro assume o risco você pode assumir o risco a gente já falou que a gente pode assumir o risco tá Ou seja eu Aceito euis Aceito o risco e por pelos motivos que já foram falado eu aceito o risco porque é pequeno ou porque é inviável

né tratar esse risco quando o custo excede o dano Ah é muito caro 1 Milhão para colocar um fao esse d Os dados aqui não custam nem 10.000 Então vou aceitar esse risco Ah é o risco de me molhar não uma chuva de vez em quando tudo bem é tranquilo não vou comprar um guarda-chuva né Aceita esse risco aceitar tá simplesmente decide não fazer nada quero pegar chuva dane-se vou pegar uma chuva tô assumindo o risco Se chover choveu as medidas são normalmente repressivas tá aqui nesse caso para assumir você tá assumindo o risco tá

assumindo o incidente Então você coloca medidas repressivas para evitar que esse problema fique cada vez maior Ok então normalmente as medidas são normalmente repressivas evitar que el se alastre e cause um dano então virou um incidente trata o incidente mas o dano não tá então normalmente é repressiva o outro é ser neutro em relação a ao risco ser neutro não é ente tá é ter uma neutralidade é tratar o risco como tem que ser tratado não é ser indiferente Ok então o seguinte então são tomadas ações que a gente já falou durante esse módulo né

até que as ameaças não se manifestem mais então a gente vai fazer todas aplicar todas as medidas para evitar que eles Parem de se manifestar as ameaças ou seja lá em cima e se manifestar os danos são minimizados então a gente tem que tratar todas as medidas ali na parte de cima as medidas ão lá de cima preventivas detectivas E repressivas lembrando que detectivas a gente tem a parte de evitar aceitar seguro Ok beleza temos então a terceira estratégia é evitar Ah aqui Tem que evitar aqui eu não tenho que estar numa situação neutra só

preventiva ou repressiva evitar que aconteça não evitar que o aconteça o dano tá lembra que o dano ó danos a gente tem o dano direto indireto ameaça se torna o incidente o incidente se ele não for represado vai danificar vai cusar o dano então a ideia aqui é evitar o risco para evitar o dano então ameaças sejam neutralizadas o máximo possível a ameaça ah a ameaça não leve a um incidente tá a gente tem que evitar o máximo se virar o incidente é muito provavelmente que vai levar a uma a um dano vai parar tua

empresa vai causar prejuízo tá então por exemplo trocar um olha só que interessante como que eu faço para evitar um risco muitas vezes as pessoas fal É só colocar controle não você tem um balde que tem a chance de ser enferrujado troca pel um plástico acabou Olha só você simplesmente evita que uma ameaça se torne um incidente trocando um balde que pode enferrujar por um balde de plástico tá ou desativar um software antigo um problema o soft tá com tanto problema tá tão vulnerável o fabricante já não tá dando mais suporte desativa acabou tá tava

era uma vulnerabilidade podia causar um dano gigantesco porque o atacante ele podia entrar nesse sistema desatualizado antigo e ter acesso ao resto do ambiente Sabe de uma coisa desativa Acabou acabou o teu problema você simplesmente tinha aquela ameaça você conseguiu eliminar de uma forma bem né ali pontual Ok tipos de estratégia de risco E com isso a gente termina esse módulo eu sei que é bem pesado bem robusto mas é importante você entender sobre gerenciamento de risco a gente vai ficando por aqui aí na próxima aula a gente já vai começar a falar sobre o

contexto da organização e aí depois a gente já emenda na nos controles nas contramedidas tá bom e eu te espero na próxima aula Valeu o eu de novo aqui e aí gostou das aulas Lembrando que as outras aulas do treinamento completo tá dentro na nossa plataforma a pmg Academy a gente tá deixando o link aqui embaixo e eu te convido qualquer dúvida que você tiver sobre o conteúdo sobre o conteúdo que você viu até agora deixa no chat se essa Live ficar fora do ar É só colocar no comentário a gente fez um bem bolado

aqui a gente vai tentar deixar essa live em loop né por isso que ela tá tão grandona e aí eu vou respondendo na medida do possível tá então eu quero atender o máximo possível responder o máximo de pergunta então para esse tá fazendo essa esse bem boladinho aqui de deixar essa live em loop Ok ah queria agradecer o teu tempo até aqui lembrando que o curso tá em lançamento então ele tá num preço bem bacana nesse exato momento que você tá vendo essa aula Pode ser que o preço esteja diferente então corra né nesse momento

tá por 69,990 um curso Completão tem exercícios entre cada módulo tem aí uma pancada de simulado mais de 10 simulados com questões preparatórias que vão te ajudar ser aprovado no exame você pode pode baixar os slides tem um ano de acesso e você vai ter direto acesso aí a a a mim né no fórum né você vai fazer perguntas ali embaixo do vídeo você vai ter uma comunidade da pmg Academy que existem já outras centenas de profissionais da área de segurança para poder compartilhar informação enfim é isso então quero te convidar clicar no link participar

aí desse curso preparatório enriquecer o seu currículo ajudar sua empresa ou simplesmente conhecer esse mundo maravilhoso da da área de segurança informação um grande abraço e eu te espero desse lado [Música] Valeu buenas seja bem-vindo seja bem-vinda a mais uma live aqui do tio Adriano meu nome é Adriano Martins Antônio sou especialista em parte de processo de governança gestão de serviço gestão de e projetos ágeis é um prazer ter você aqui eu tô fazendo uma live um pouquinho diferente né ela vai se repetir se você perceber a Live se você tá chegando agora a Live

tá com algumas horas né alguns dias rodando na verdade é uma forma que eu tenho de colocar um conteúdo e de tempos em tempos eu vou respondendo as perguntas de vocês aí você tem o chatz inho para fazer pergunta né basta se inscrever no canal E aí você vai colocando as perguntinhas e eu vou respondendo e o assunto de hoje é sobre segurança da inform ação a galera fala assim pô drana mas você é especialista em it C compli riscos né Por que segurança da informação segurança da informação faz parte também do gerenciamento de serviço

né a gente precisa fazer o gerenciamento de serviço e se atentar na área de segurança da informação e aí eu venho aí ao longo de quase décadas né de experiência na parte de gestão de segurança da informação gestão de Cyber não conheço muito Tecnicamente ao ponto de ser um etical Hack né de programar ali de mexer no Linux cali Mas o importante que a gente precisa entender é sobre a parte de gestão de segurança da informação e aí todo esse conteúdo que a gente vai ver aqui eu vou fazer uma live a gente vai bater

um papo e aí logo depois eu vou soltar algumas aulas do curso oficial da ezinha ou isfs que é uma atualização da versão mais nova da Norma ISO IC 27001 e 27002 esse curso ele é baseado na 27001 E aí vou falar um pouco das normas e aí você vai entender como que é o formato da aula também mas acho que o grande propósito aqui que se você tá chegando nessa Live você entender que segurança da informação serve para qualquer profissional inclusive para pessoas fora da área de tecnologia pessoas que estão fora da área de

segurança da informação vou explorar algumas coisas a gente vai falar sobre alguns termos você vai realmente compreender o que que é essa área tão maravilhosa de segurança da informação e obviamente né esse conteúdo aqui para quem almeja ser um gerente de segurança da reação um siso né alguém que é tá lá na cadeira lá em cima na olhando pra área de segurança da reação ou até um gestor de ti Ele é interessante que você conheça as práticas né os controles que tem na Norma a norma ISO 27001 Hoje é a base de tudo de segurança

da informação e aí se você quiser avançar pra área de Cyber pra área de programação segura toda a parte de aquela parte técnica que é gostoso né que o pessoal gosta de mexer em fireo e montar uma rede segura tudo isso você começa a aprender com essa base Então hoje que eu vou passar aqui é uma base da área de segurança da informação Ok então lembrando tem o chatz inho aqui de tempos em tempos eu vou olhando as perguntas e eu vou respondendo pra gente aí poder e compartilhar todo o conhecimento todo mundo meio que

24 horas por dia né é difícil juntar a galera aqui no horário determinado então a gente fez esse bem bolado vamos ver se vai dar certo né deixar essa Live rodando aí por algumas horas alguns dias e eu vou respondendo as dúvidas creio que vá dar certo beleza eu vou compartilhar minha tela aqui eu fiz uma apresentação bem simples sobre segurança da informação e a gente vai bater um papo você vai sair daqui entendendo o que que é segurança da informação e melhor você vai sair daqui entendendo que segurança da informação é um troço mega

importante para qualquer tipo de empresa e principalmente que eu vou colocar aqui o primeiro item que é o seguinte informação para tomada de decisão olha só a gente esquece um pouquinho dessa palavra né segurança da informação da área de Tecnologia da Informação a gente esquece o que que é isso né O que que é informação a informação ela é essencial para qualquer tipo de profissional trabalha em qualquer área não interessa Que tipo de área até para um profissional autônomo eu até brinco e nos meus cursos que eu falo que é até para um artesão que

vende de artesanato na praia ele precisa de informação paraa tomada de decisão E aí a gente tem que lembrar que a informação Ele tá em todos os cantos da empresa tá da portaria até a diretoria Todo mundo precisa de informação paraa tomada de decisão Ora se a informação tá desde a portaria até a diretoria significa que a gente precisa trazer uma segurança dessa informação todo mundo da empresa tá da portaria diretoria passando por todos os profissionais todos os funcionários os colaboradores parceiros todo mundo ok Adriano mas por que a segurança de informação é importante desde

a portaria porque imagina o seguinte eu tô chegando na tua empresa e aí simplesmente eu quero falar com você e eu posso simplesmente entrar dentro da empresa normalmente não a gente vai ter uma recepção né que vai olhar lá o meu RG vai ligar né para você para falar que eu tô na portaria vai tirar uma foto vai pegar os meus dados vai ver se realmente eu tenho reunião agendada tudo isso traz segurança para a empresa para não deixar qualquer pessoa entrar tá vendo que a segurança é importante desde lá de fora e ó e

a recepção não tem nada a ver com área de TI com área de segurança é um profissional da área administrativa que tá ali dando suporte né atendendo as pessoas que estão chegando ou as pessoas que estão saindo devolvendo o crachá tudo isso é segura informação eu não posso sair da empresa com o cchá comigo né a menina que tá lá na recepção o rapaz tá lá fal Ó você precisa devolver o crachá dá baixa né criar um log tudo isso é importante para fazer a proteção o qu não só proteção lógica das informações mas a

proteção física também da pessoa como seria se eu pudesse entrar dentro da empresa e entrar dentro das departamentos ter acesso aos computadores ao data center né Isso é extremamente perigoso então a área de segurança de informação ela é importante para todo mundo tá em qualquer departamento bom informações para tomar de decisão a gente sabe que todo mundo toma decisão no seus níveis estratégico Toma decisões estratégicas o tático Toma decisões táticas e o operacional toma decisões operacionais isso independente da área do seu departamento é sempre assim que funciona a gente sempre tem a equipe operacional normalmente

tem o tático né Que conversa que faz essa ponte entre o estratégico e operacional e a gente tem o estratégico para tomada de decisões mais estratégicas que não diz respeito com operacional e já pensou um diretor tomando uma decisão e errada por conta de uma informação que não é confiável porque nós como profissionais de segurança não colocamos os critérios de segurança ali as informações não são confiáveis né O que que é uma informação confiável uma informação que tem que é tá disponível que ela é íntegra né que ela é confidencial Então tudo isso é tratado

dentro da área de segurança da informação Adriano e quando tem ataque cibernético tal é um outro Campo tá a gente tá falando aí de cybersegurança Tá mas para você trabalhar numa área de cybersegurança você precisa conhecer os princípios da segurança de informação onde trabalhar nesse mundo cibernético né que quando a gente fala de Cyber a gente tá imaginando aqueles ataques as pessoas que que vem de fora né ror spam Fishing tudo isso ele está dentro do campo de Cyber mas ele é tratado também dentro da área de segurança O que diferencia mais ou menos segurança

de cber é que a segurança de informação não vai trabalhar só com informações lógicas digitais mas com informações físicas também a proteção de uma sala proteção de um documento um documento que é carimbado um documento que é deixado em cima da mesa um documento que é deixado por exemplo na impressora um documento confidencial que é deixado dentro de uma lata de lixo aí a pessoa que tá fazendo a faxina ali vê que tem um documento escrito confidencial dentro da lata de lixo e não foi triturado qual é a função dela qual é o papel dela

diante da segurança da informação Você tá vendo que segurança da informação é para todo mundo não é só paraa área de segurança de informação e se você é um profissional de ti um profissional de segurança o que você vai aprender aqui vai ser simplesmente maravilhoso inclusive todo esse conteúdo ele pode ser utilizado para conscientização dos funcionários Por que eu falo isso porque assim nossa a gente coloca coloca antivírus monta uma rede dmz coloca roteador coloca VPN criptografia controle de acesso identidade biometria política a gente faz um monte de coisa aí aquele funcionário que tá ali

ele resolve escrever a senha dele no papelzinho e colocar embaixo do teclado ele resolve copiar aquela tabelinha né que ele tava trabalhando ali no horário de expediente colocar no pendrive ou mandar por e-mail dele para ele terminar o trabalho em casa ou ele ele acaba passando usuário e senha para um coleguinha que tá do lado porque tá bloqueado ele precisa continuar o serviço furou furou toda a segurança da informação a gente fez um monte de coisa e aí o funcionário não se atenta que segurança da informação é importante aí a galera fala assim Nossa essa

departamento de segurança é muito restritivo a gente não pode fazer nada porque não entende o benefício da segurança e se você é um profissional de segurança de informação o teu papel é fazer a conscientização da mesma forma que eu tô aqui né fazendo essa conscientização eu não sei se você é um profissional de segurança ou não se você for entenda que isso tem que ser levado para dentro dentro da empresa e se você não é um profissional de segurança Caio aqui de gaiato entenda que tudo isso aqui você tem que passar para seu departamento de

segurança fal olha o que o tio Adriano tá falando é importante Ok Bom enfim formação para tomada de decisão Outro ponto que é bem importante sobre a segurança e reformação diz respeito à proteção física e dos dados enquanto a gente tá falando eh é da informação lógica digital que tá ali na nuvem no servidor no e-mail tal a gente tá falando da proteção de informações e lógicas né digitais mas segurança de informação trata também da segurança física O que é segurança física é tratar os perímetros evitar que uma pessoa não entre na no estacionamento da

empresa que não entre na recepção da empresa que não entre nos departamentos que eu não tenho acesso as áreas estratégicas ao data center a um servidor a um roteador um hack com Suits eu não posso ter acesso então nosso papel como profissional de segurança é proteger cada coisinha tá cada equipamento cada ativo cada patrimônio né esse patrimônio que pode inclusive gerar um risco de segurança da informação Adriano isso aqui não tem nada a ver comigo será que não né Será que de repente um ar condicionado de um data Cent fala Não isso não tenho nada

a ver mas se tiver pingando em cima de um servidor se ele tiver parado se ele tiver quebrado ele não tá gelando ele vai prejudicar um servidor onde tem informações ali dentro Tais informações que são utilizadas paraa tomada de decisão Será que não é o nosso papel tudo isso a gente vê na Norma tudo isso a gente vê nas práticas né tudo isso que eu passo para vocês é a gente tem que parar e pensar não não é meu mas a gente precisa gerar valor a gente acha que a área de segurança e informação é

uma área de apoio uma área restritiva que vai podando faz isso que não pode isso aqui é inseguro isso aqui tem que testar tal mas a gente tem que fazer esse tipo de monitoramento identificar que o negócio que aparentemente não tem nada a ver com o Ti a gente tem que dar um jeito de dar um suporte porque se der o problema vai cair no nosso colo e aí a gente vai ser responsabilizado tá então segurança da informação trata também de proteção física e dos dados tanto lógica quando fisicamente um papel é importante um cofre

um armário com chave um armário a Prova de Fogo um cofre contra roubo com biometria tudo isso tá dentro do escopo de um profissional que vai trabalhar na área de segurança de informação não é só cuidar de antivírus não tá não é não é só isso a gente quer trabalhar com isso a gente quer fazer Pain teste né o teste de penetração identificar vulnerabilidade né a gente quer fazer exploração mas a gente esquece de coisas tão simples que aí pode ser um buraco infelizmente não dá para trazer 100% de segurança para uma empresa tá Adrian

então se não dá Então não preciso não a gente precisa né nosso papel Nossa responsabilidade é tentar abordar tudo tá e aí a gente acaba esquecendo de algumas questões né físicas ah a gente tem tanta proteção lógica mas deixa um consultor tá dentro da empresa acaba abrindo a boca falando Quais são os sistemas onde fic o datacenter começa a passar informações técnicas e o consultor ali De repente não faz nada ele pode até comentar com um colega de fora e esse colega de Fora que não tem nada a ver com a empresa ele pode hum

interessante eles têm aquele sistema aquele sistema tem vulnerabilidade eu vou atacar porque eu já sei quais são as vulnerabilidades vou explorar isso vou entrar na rede Vou Pegar informação vou botar um hcer cobrar o Bitcoin né a sequestro de informação para tentar desbloquear Inúmeras coisas que podem acontecer sabendo de informações internas da empresa eu posso preparar um e-mail agindo como Engenheiro social e fazer de tudo para você clicar Num Clique ou clicar no link e aí você clica no link eu instalo um um vírus né E aí eu tenho acesso às informações eu sei que

você tá digitando no teclado e aí sucessivo ente eu posso roubar informação vend pra concorrente muitas coisas podem acontecer tá ai parece meio assustador Não não é assustador é realidade a gente tá cansado de ver notícias aparecendo em redes sociais de empresa que teve a informações vazada ó questão de privacidade outro meu usuário e senha agora tá na internet todo mundo tem acesso ele é vendido na 25 de Março no CD tudo isso é muito sério as pessoas podem se passar por você se as ações forem vazadas tá E aí a gente tá falando de

privacidade você como cliente ou cliente das suas empresas quer ter segurança de colocar os seus dados ali como a gente vai garantir essa segurança tá a gente precisa sair implementando os controles de segurança de informação primeiro fazer análise de risco identificar Qual informação é importante onde que é tomada a decisão né Que tipo de decisão é tomada lembrar né que eu tenho que trabalhar com confidencialidade integridade e disponibilidade nesses três pilares eu vou colocar os controles físicos lógicos técnicos de pessoas colocar política colocar um monte de coisa Adriano é muita coisa como que eu vou

saber de tudo isso dentro da Norma ISO 27000 Ah mas Adriano é muito técnico por isso existe treinamento para isso por isso que no finalzinho dessa Live aqui você vai ver algumas aulas para você entender como qualquer pessoa pode entender sobre seguranç informação tá não precisa ser um especialista não precisa ser um profissional de ti tá olha que a Live aqui você vai entender o que eu tô falando bom privacidade a gente fala muito aí de lgpd gdpr né tem que armazenar informações sensíveis eh transmitir informações sensíveis de uma forma segura para que ninguém colete

essas informações tanto que a parte de segurança de informação ela é fundamental para um possível DPO a gente fala muito de DPO né que é aquele responsável pelo escritório de privacidade né que fala muito sobre lgpd gdpr esse curso inclusive ele é a base para um futuro DPO o DPO tem que conhecer isso normalmente aquele futuro de Peu ou é um advogado que precisa conhecer sobre segurança ou é um profissional de segurança que precisa conhecer sobre as leis de privacidade não só no nosso país mas na Europa nos Estados Unidos Ok então segurança na informação

é a base para lidar com privacidade ela que vai dizer o que que você precisa fazer tá infelizmente não é o Como tá a ISO não fala o como no meu treinamento eu falo algumas coisas como o o como para poder te ajudar a a a a a pensar mais na prática como seria isso né porque são muitos jargões são muitos termos coisas que a gente ouve mas a gente não entende o meu objetivo aqui é te passar inclusive nessa Live aqui vou passar uma lista de termos que a gente ouve muito mas não tem

ideia o que que é e eu vou passar ok que mais toda empresa toda informação todos os processos etc etc precisa de segurança de informação todo mundo creio que já tenha ficado claro né que desde a fachineira que tá fazendo a limpeza ali que viu um papel escrito confidencial até a pessoa da recepção a pessoa da contabilidade o investidor o cliente ele precisa ter garantia que a informação que a tua empresa tá prestando né tá demonstrando é uma informação íntegra que não foi alterada ele ter certeza que ele vai entrar no seu site no seu

e-commerce e vai fazer um pedido sabe que as informações serão armazenadas privadas que não vai ter vazamento tudo isso cabe a nós segurança da informação obviamente que simplesmente Ah vou aprender tudo aqui já vou sair aplicando Não não é porque implementar um controle custa dinheiro tá vamos imaginar o seguinte Ah eu quero implementar alguma ferramenta para eliminar o spam porque normalmente spam vem muito link com Fishing a a pessoa clica instalado um vírus no computador é uma ferramenta cara não é barato você existe soluções até gratuitas no mercado mas a gente sabe que dependendo do

apetite ao risco Dependendo do valor da informação da tomada de decisão vale a pena colocar um sistema mais robusto a gente pode colocar coisas gratuitas ah questão de senha né a gente pode ter um cofre um sistema de armazenamento de senha pode ser que sim pode ser que não quem é que vai dizer se vale ou não a informação as áreas de negócio vão dizer ó Isso aqui é importante a gente precisa proteger vai custar 1 milhão não então não vou proteger não porque o custo de implementar um controle acaba sendo mais caro que o

valor da informação Então quem é que tem que dizer isso não somos nós da área de segurança da área de tecnologia quem tem que dizer isso é área de negócio então a gente tem que saber vender a gente tem que saber fazer análise de risco identificar Quais são as áreas de risco identificar Quais são os processos Quais são os ativos Que tipo de informação a gente utiliza né a área utiliza para tomada de decisão então segurança da informação é para toda a empresa tá de novo é para toda a empresa segurança da informação não diz

respeito apenas ao futuro ou possível atual profissional de segurança e de tecnologia não é de todo mundo Basta uma pessoa só uma que copiou as informações de base de cente no pen drive Acabou acabou com sua área de segurança se você não tiver um controle ali que ó não pode espetar pen drive monitorar as informações que estão saindo da empresa não só as que estão entrando tá a parte de Cyber é mais ali ó Quem tá entrando tem que monitorar né que tá vindo do mundão de F do do mundo cibernético né o mundo Cyber

agora a segurança tem que ficar de molho também ó do que tá saindo as pessoas que estão entrando fisicamente o comportamento das pessoas que tipo de mensagem que chega por e-mail que tipo de site os nossos clientes estão acessando Será que ele tá acessando um site de armazenamento né de arquivos e tá colocando alguma coisa lá será que ele tem um computador pessoal dele que acessa informações da empresa esse computador pessoal ele empresta pros filhos pros parentes pros amigos que podem acessar outros sites e ser contaminado e contaminar a nossa rede gente é um emaranhado

são tantas as possibilidades nesses quase quase 20 anos eu já vi de tudo tudo tudo Fi não isso não é possível acontecer e acontece por causa de uma brecha e normalmente são coisas simples são coisas básicas que eu vou passar aqui e a gente acaba escorregando Ok Bom enfim o que que a ISO IC 27.001 ou 27002 27.001 é onde traz os os os requisitos para você obter essa Norma né quem obté a norma é a empresa mas você também tem uma certificação como profissional que é responsável para controlar para monitorar e para implementar os

controles Tá mas a gente tá falando aqui no caso da empresa então a empresa ela pode ter sim a certificação e a 272 seriam as boas práticas né seriam mais ou menos o que que você precisa fazer não o como Tá então vamos dizer que a 27.001 é o auditor ele vai utilizar ele vai pegar o documento da 271 e vai fazer me que um checklist tem isso tem aquilo tem aquilo me mostra evidência E aí você vai evidenciando como qualquer processo de certificação sistema de gerenciamento sistema de gestão baseado na Norma ISO tá e

a 27002 ela é um pouquinho mais robusta ela tem mais algumas informações não para por aí Existem várias outras normas que circulam né que andam junto com a 27.001 como por exemplo a 27701 que é de privacidade aí por conta de de lgpd gdpr né Existem várias e várias várias a a família 27.000 é gigantesca tá eu acho eu não me lembro se era 50 80 normas que estavam ligadas 27.000 alguma coisa tá a família é grande a família segurança é gigantesca então a gente precisa começar da base 27.001 ou 27.002 quando você olha os

itens né os tópicos são os mesmos só que uma ela é mais simples ela é voltada mais pro aitor né pro requisito e a outra são um pouco pouco mais aí voltado pras práticas ela ser complemento Ok bom ela pode ser Adriano eu não tenho interesse nenhum em implementar a norma que obter a certificação ISO 27001 eu vou precisar dela com certeza absoluta tudo isso que eu vou falar eu não não foi criado da cabeça do tio Adriano eu peguei isso da Norma né eu peguei lá da 271 li a 27.1 li a 27002 né

Compreendo o que tem ali o como fazer né então ali no documento você consegue ver o porqu e o que o como eu vim adquirindo experiência por isso hoje eu sou consultor não sou só professor né sou consultor de gestão de ti gestão de segurança então eu sei olhar Norma e falar isso aqui faz isso isso isso talvez Tecnicamente ali eu me pergo um pouco porque não é minha minha área tá Adriano então você não precisa ser um profissional de segurança Expert para conhecer a norma de jeito nenhum uma coisa é conhecer as práticas os

processos o que precisa ser feito para controlar monitorar fazer fazer Gestão de Risco compli controles internos governança tudo isso é uma coisa agora entrar ali na parte técnica não necessariamente e para quem tá ali Tecnicamente é bom conhecer com certeza assim como outros frameworks como por exemplo it it todo mundo tem que conhecer a it simplesmente é onde vai demonstrar como funciona uma TI os processos um devops sua empresa for ágil um scrum um cobt se tiver governança tá segurança formação é todo mundo AD não tem nada de isso preciso precisa Ah eu não sei

por onde começar tá aqui ó pega a norma compra a norma baixa a norma você tem a norma tá aí ó 27.000 E1 27.000 a última versão é de 2022 tem a a a penúltima foi a 2013 ó de 2013 para 2022 9 anos aí a sendo muito utilizada houve algumas mudanças né por conta da evolução que a gente vem tendo na área de de tecnologia inovação tá Mas você pode pegar 27.000 e utilizar como guia sensacional você não precisa se preocupar Ah eu tenho que usar a norma só para obter a certificação Não de

jeito nenhum tá então a 27.001 ela pode servir como guia também como pode servir como uma Norma internacional Ah eu quero obter a certificação da empresa pô beleza vamos utilizar a ISO 27001 Ok pontapé para quem for atuar e a algumas áreas algumas posições então assim eu posso utilizar a tudo que você tá aprendendo aqui como pontapé Adriano eu quero atuar como Cyber Security Pô você precisa aprender o básico da segurança de informação antes de sair se metendo em em mexer em regras de Fire e entender como funciona um Blue team Red Team um Black

Hat White Hat um Pain test Calma né explorar vulnerabilidade você precisa conhecer alguns conceitos Você vai precisar porque você vai se banana lá e a norma a 271 ela é muito legal porque ela traz um padrão de termos para você não utilizar um termo que as pessoas não tão entendendo o que você tá falando Ela traz um padrão um jargão que é conhecido mundialmente que aí outras outros frameworks herdaram tudo isso né E para ser reconhecido internacionalmente PR você não falar um termo que pessoal não tô entendendo a gestão de incidente de segurança gestão de

incidente não seria gestão de problema de incidente ó gestão de problema de de de segurança gestão de incidente de segurança vamos entender o que que é gestão de incidente o que que é gestão de problema né Tem vários outros termos Gestão de Risco análise de risco avaliação de risco pô não é a mesma coisa Não não é a mesma coisa tá a ideia não é mostrar aqui qual a diferença mas a ideia é você entender que existe toneladas de termos que a gente precisa conhecer mesmo se você for um especialista conhecer por exemplo a o

met exploit sabe explorar vulnerabilidade conhece l cale talvez você não ten talvez você nem esteja entendendo o que eu tô falando mas só para você entender que mesmo a pessoa muito técnica ela precisa conhecer as boas práticas entender aonde ele tá atuando tá aonde ele tá colocando o pé para quem não é dti Ou seja todo mundo Adriano você tá dizendo que um profissional lá de contabilidade por exemplo ele vai precisar conhecer de segurança e informação Oxe vai é informação que ele lida aquela área de negócio o er sim o RH precisa entender como funciona

segurança da informação para garantir que um profissional botou os pés ali precisa ler assinar e entender que a segurança de informação é importante que a política de segurança de informação é importante contabilidade vai mexer com informação ele tem que garantir integridade das informações um diretor de uma área de negócio uma área de vendas precisa ter garantia que toda a tecnologia segura para ele fazer um pedido do cliente é tudo deixar isso nas mãos do profissional de segurança é arriscado a gente tem que sempre conscientizado na Norma tá dizendo isso todo mundo falece a gente precisa

conscientizar os nossos funcionários e nem sempre dá certo porque de repente nós como profissionais de segurança a gente não sabe vender o benefício a gente não sabe aí a gente precisa contratar um profissional contratar um consultor contratar o tio odrano para fazer conscientização não precisa tá um treinamento por exemplo já seria o suficiente pra pessoa Ah agora tô entendendo porque é perigoso eu colocar a senha no papel e colocar embaixo do teclado agora tô entendendo que eu posso sofrer problemas se eu passar meu usuário e senha para outra pessoa se ele fizer besteirinha eu me

lasco quase eu fiz um palavrão na mão aqui eu me lasco tá bom gestor de ti de segurança é padrão é básico quando eu conheço algum gestor de ti de segurança tudo bem gestor de te que não conhece muito sobre a ISO 27.000 achou absurdo é básico gente e não é um curso técnico cara é não é prático é teórico é entender os conceitos entender como funcionaria isso entender a norma saber que você tem um resguardo no momento de dificuldade Olha tô passando por isso eu tenho que colocar alguns controles e para pessoas tá na

Norma controles organizacionais como políticas contoles de acesso tá na Norma tá tudo na Norma a Como que eu faço um controle físico de um data center está na Norma e controle de rede e de vulnerabilidade alguns riscos que vem pela internet está na Norma a norma aborda muita coisa tá analista em geral analista de ti de Tecnologia da Informação informação essa informação PR ser seguro um desenvolvedor Com certeza para fazer desenvolvimento seguro o analista de suporte Com certeza operação sim ele tá lá fazendo backup backup é um dos requisitos né de segurança de informação mas

Adriano o cara conhece banco de dados também para criptografar as informações é um analista de suporte também para garantir que não coloque um aplicativo onde qualquer qualquer um pode ter acesso e sobrepor as diretivas de um servidor né você deixa o usuário mexer lá começa a bagunçar o sistema e esse sistema fica totalmente eh aberto né pra internet aí um atacante vem porque o analista mexeu e ele vai ter acesso à rede toda para quem tá começando seja bem-vindo esse é o conteúdo ideal para quem não conhece nada tá aqui esse é o melhor conteúdo

que você pode ter OK quem de da de segurança ou não tá quem era da área de segurança muitas vezes é meio Perdidão em alguns conceitos o cara é tão bitolado conhece uma coisa ali ó e a gente precisa do conhecimento dele da expertise né porque normalmente um profissional de segurança tem uma forma de pensar muito interessante ele pode contribuir com outras coisas mas é tão bitolado ele é fanático numa coisa só e ele não tem o conhecimento da área que ele trabalha e ele não ele é subvalorizado ele tá ali ó ele só trabalha

com aquilo ele poderia ajudar em muitas outras coisas por isso se você é um profissional desse aprenda a segurança conhecimento tio adrean sempre falou conhecimento nunca é demais tem certeza que vai agregar não só pro seu currículo mas também pra empresa OK Para que serve a ISO 271 colocar tudo aqui opa opa opa demais para que serve Oh para conscientizar quer fazer um programa de conscientização não sabe por onde começar olha a norma ali na Norma você vai começar L fal assim Nossa isso aqui é importante porque aquele departamento Nossa aquele profissional que adora levar

o computador para casa Olha aquele ali que to toda hora fica mandando e-mail Zinho né para for ó esse aqui toda hora me Alerta que ele tá acessando o site que não pode ali ó Ou aquele ali já teve um problema de segurança né já levou coisa para fora já recebeu conscientização vai te ajudar melhorar se você já tem os controles vai te ajudar a melhorar cada vez mais tá é praticamente vou dizer que é Pratic impossível você ter 100% dos controles implementados no no nível de maturidade máximo ali automatizado tá é difícil então você

pode utilizar a norma para melhorar cada vez mais e também para obter a certificação talvez você trabalhe numa empresa onde exige que obt essa essa Norma de de segurança ISO 27.000 por conta de regulatório por conta de mercado né ah eu trabalho aqui por exemplo no sock num Security pration Center né onde eu trabalho para monitorar a área de segurança da informação os eventos de segurança de outras empresas Pô é legal você ter Ah eu trabalho num banco aqui é informação importante numa numa seguradora eh numa empresa onde que é de alta tecnologia é interessante

ou aquela empresa que tá ali ligado direto ao público tem um e-commerce grande é interessante tá só esse tipo de empresa não você pode simplesmente começar a colocar os controles e coloca a certificação tá não é não é muita diferença quando você tem a visão de melhorar e obter a certificação obviamente né que o Rigor vai ser completamente diferente na Norma se você falar que tem você tem que provar tem que evidenciar E aí vai ter um processo de auditoria tudo isso mas tirando isso nossa é sensacional A 27.1 27002 então se você De repente

é um empresário que tem uma pequena empresa ou ou sei lá ou tua empresa não tem um departamento de ti não tem um departamento de segurança investe um tempinho lendo a norma tá lá a norma vai te ajudar como pequeno empresário ou como empresa que trab numa empresa que não tem esse departamento de segurança é muito simples né tá tudo na nuvem tudo aplicativo vale a pena escuta o que eu tô te falando não é porque tá tudo na nuvem que você não precisa de segura informação negativo né você tem acordo de confidencialidade fazer um

bom contrato com o fornecedor identificar quais são os riscos dele saber se ele tá processando informações pessoais ou não armazenando olha gente é bastante coisa então eu fico doido quando pessoal falar eu tenho uma empresa tenho aqui mas eu não tenho departamento de ti é tudo terceirizado mas é questão de segurança não não tem bonitinho a gente tem antivírus aqui não é só isso né a gente precisa ampliar por se a gente não faz isso aí quando acontece um problema uma crise um ataque aí o empresário fic assim puxa vida eu não sabia disso não

tinha conhecimento pô tô trazendo conhecimento vá buscar né para depois não vi falar assim ah eu não sabia não tem né então já te dando caminho vai atrás da Norma vai atrás desses conteúdos que eu gravo aqui no meu canal tá que é sobre gestão não vou te ensinar e você não precisa aprender a programar e a a a colocar código script lá no Linux instalar aplicativo não não não não você precisa conhecer você precisa conhecer todo esse mundo de segurança para poder contratar uma pessoa certa olha agora eu já sei a importância de ter

uma VPN Olha já sei a importância de ter chave criptográfica Beleza agora já sei onde eu compro a minha criptografia o que que é é chave né O que que é criptografia simétrica simétrica é importante pro seu negócio se você acha que não você toma a decisão toma decisão baseada em informação e essa informação tem que ser protegida Ok integra com o qu com tudo olha gente eu podia ficar colocando todos os possíveis frameworks que existem no planeta tudo tá segurança tá em tudo eu fiz questão de colocar até devops fal mas devops desenvolvimento operação

integração contínua entrega contínua segurança sim por isso que tem O devs OBS né de desenvolvimento segurança e operação toda esse processo de mudança automatizada né que o o desenvolvedor ele coloca já programa já faz checkin já entra no ambiente de produção várias mudanças ao mesmo dia quem é que garante que tem uma segurança ali antes de colocar alguma coisa em produção né então Dev Sec Ops é uma boa opção de você colocar a área de segurança então tem integração cobt nem se fala é um Framework de governança de a gente chama de governança de TI

que é um termo errado né é uma governança corporativa de informação e tecnologia ou seja uma governança tá dentro da governança corporativa a gente tá falando ali de governança a gente tá falando de compliance Transparência né E a gente tem que ter garantia que as informações estão ali imagina uma empresa que tá abrindo o capitão na bolsa ela vai precisar de governança até para atender cvm eh se for um banco Banco Central enfim depende da da do ramo da indústria vai precisar lá ter o as governanças nível 1 nível dois nível três e precisa trazer

a transparência pro investidor pô alguém vai comprar as ações de uma empresa eu tenho que ter certeza que aquela empresa ali ou pelo menos algumas garantias que a informação é fiel né para evitar problemas que já aconteceram no passado né que o a contabilidade tá ok isso elimina problema de 100% não a gente já viu recentemente inclusive Lojas Americanas né que ali teve governança teve tudo mas ah Olha tá vendo não tinha governança tal a a gente tá falando de questões humanas também né se a gente entender um pouquinho o que aconteceu ali não foi

a governança que ó por ter governança que houve problemas financeiros não tá foram questões humanas it dentro da it existem diversas práticas e uma das práticas é sobre segurança da informação obviamente que a it ela não aborda né com tanta profundidade quanto a outros frameworks no mercado quanto principalmente quanto a 27.000 a família 27.000 mas ar tá dizendo ó segurança da informação é um troço importante tá aqui as práticas tá aqui alguns conceitos tá aqui algumas boas práticas né algumas coisas que é legal fazer para integrar com outras coisas com a central de serviço que

vai fazer o atendimento identificar que é um chamado de segurança tá e assim sucessivamente Ok então integra com tudo Ah eu tenho o cobt aqui não preciso de segurança ó não não não faz não não fala tipos de besteira tá a já tenho watch não precisa de segurança não tá cada um no seu quadrado Ok ar no seu quadrado governança mais estat no seu quadradinho devops no seu e todos já estão todos muito bem integrados Ok ai funciona sim a gente pode até fazer uma outra Live falando sobre a integração de cada um desses bichinhos

aqui tá Eu só coloquei três gente podia colocar várias outras Podia colocar autógrafo Podia colocar o vers Podia colocar e scrum cambam é tudo gerenciamento de serviço tá tudo gerenciamento de informação que é a minha prática que é a minha área por isso que eu venho trazendo tudo isso aqui com essa ade de integrar e segurança integraria com tudo tá porque informação todo mundo trabalha com informação Então tem que ter segurança informação Ok e o que que tem nessa nessa Norma aí né a gente tem controle a gente tem termos e jargões deixa eu colocar

tudo aqui porque já fiquei meio bom o que que tem na Norma então se você pegar a norma vai lá compra a norma tá baixa a norma aí você vai ver que tem controles Mas é uma porrada de controle tá separado ali né organizacionais pessoas contr controles técnicos controle Ou seja eu tenho o risco eu tenho problema e eu preciso controlar eu preciso controlar aqu lá eu tenho problema aqui de spam de vírus como que eu controlo esse vírus controlo com controle então a norma é um conjunto de controles ai como que eu faço para

evitar que as pessoas eh deixem informação confidencial na tela você tem um controle para isso né o controle de mesa limpa de tela limpa Ah eu preciso eh classificar as informações aqui o que que é público que é confidencial não sei o que eu tenho um controle de classificação a norma é um conjunto de controles Ok ali tem controle te ajuda separado bonitinho Inclusive a 2022 el tá muito mais eh logicamente separado que nos ajuda já ir direto tem várias tabelas fazendo o link com outras coisas tá sensacional tá termos e jargões Nossa ele é

fundamental Adriano ó eu não quero isso isso aqui é chato Norma parece meio burocrático Tá bom mas olha a a norma como um termo para você não fala besteira numa reunião por exemplo você falar um termo e o cara entender outro e vocês terem um problema de comunicação lascado que pode prejudicar a empresa tá um fala em incidente outro fala em problema né um fala em disponibilidade outro fala em integridade um não sabe qual é a diferença de eu falei daqui a pouco agora a pouco né criptografia síncrona assíncrona não sabe a diferença de um

rster para um Fishing É para um vírus para um spam ineria social aí Cada um fala uma coisa gestão de identidade gestão de acesso é a mesma coisa não é a análise de risco avaliação de risco Gestão de Risco gerenciar risco vulnerabilidade ameaça são coisas distintas então para evitar inclusive passar vergonha falar bobagem besteira que eu vejo muito profissional de segurança falando um monte de asneira numa reunião confundindo todos os participantes e fazendo com que os participantes tomem decisões erradas porque o cara não tem a mínima ideia o que tá falando ele tá tão imerso

na parte de ali prática na na na parte ali de de configuração de sistema que ele fala umas Neira ele solta e pode ser muito prejudicial então vá aprender os termos que é utilizado mundialmente não são termos que o tio Adriano criou não se você vê no treinamento todos os termos são oficiais da Norma tá que é o mesmo utilizado no planeta Terra inteiro Ah mas a norma iso é europeia mas tem lá tem a ansia esen tem lá na na Austrália tem tudo que utilizam a mesma base de termos pra gente não falar besteira

tá serve como um guia para melhorar então eu vou lá falo bom Beleza não tem interesse já sou bom já conheço todos os termos todos os jargões já sou um profissional que trabalha há 15 20 anos ok utiliza como guia para te ajudar a melhorar e ajuda a lidar com riscos tá a segurança da informação ela só pode começar depois que você faz uma análise de risco para não ficar muito caro quantas vezes eu vejo analistas ficando triste ah a gente foi com um projeto lá para tentar vender pra diretoria a diretoria não comprou Você

Fez análise de risco antes com avaliação de custo ali Quanto custa uma área parada faz o business Impact analyses né você identificou o valor da informação né perguntou para cliente não não perguntei Eu só acho que é importante para de achar análise de risco tira esse amadorismo você analisa o risco da empresa do negócio por isso que o profissional de segurança tem que conhecer o negócio aí você pega um profissional bom caro que tá lá enfiado num numa salinha gelada mexendo com o Linux preparando script detectando vulnerabilidade mas ele não tem ideia o que acontece

com o negócio não tem ideia Será que ele profissional tá sendo eh subutilizado Será que a gente tá pagando muito para ter aquele cara lá dentro será o que a gente tá pagando vale mais do que a proteção da informação então análise de risco você coloca o profissional em outro patamar fica mais maduro quando eu chega numa empresa onde tem um monte de Tecnologia de segurança mas não tem uma análise de risco F imagino quanto dinheiro essa empresa gastou Será que era necessário realmente aí quando eu pergunto pro gestor de T fala não era necessário

quem gente disse a gente sabe do negócio não não é o negócio tem que responder você tem que ir lá no negócio perguntar por isso existe processo gente processo é para isso essa é é a minha área eu não conheço Tecnicamente não se o o Fire ou xyz é melhor que o outro qual ferramenta não vamos ver depois isso aí vamos entender Identificar qual é o valor da informação Quais são as informações que são são necessárias para tomar uma boa decisão O que que a gente precisa proteger vamos identificar se a gente tem uma arquitetura

da informação saber onde as informações estão se estão no e-mail se estão na nuvem no computador do diretor no Pendrive numa mídia aonde aonde estão essas informações se a gente nem sabe onde estão as informações como a gente vai colocar os controles tá bom é bastante coisa e tudo tá na Norma tudo tudo Ok E aí você aprende uma coisa massa ali legal aí você explora eu gostei desse negócio aqui de malare né tudo que é mau né spam vírus Fish hcer Logic Bomb Hot kit Ah todos esses termos aí que tá em vogga né

Toda hora a gente fica ouve aí na na mídia a gente não sabe a diferença gostou disso aí você entra numa área de Cyber numa área de etical hack para fazer teste para começar a validar ó eu gostei mais dessa área de gestão vai aprender sobre compliance riscos né Tem vários cursos várias certificações Eu gostei dessa área de desenvolvimento né proteção do site web de rede servidor computador tudo cada um vai ter sua área mas se você não conhecer o geral você não sabe nem por onde começar então isso aqui é a base Ok conteúdo

Olha só eu vou falar um pouquinho de coisa que tem dentro da Norma para você entender até onde a norma e até onde o conteúdo do curso que você vai assistir daqui a pouco as aulas até onde a gente pode chegar né ele vai falar sobre os perímetros de segurança né até chegar na informação mais valiosa então eu como profissional de segurança eu tenho que tenho que ficar atento sobre a rua o muro a cerca câmera grade se a porta e as janelas Estão bem trancafiadas estão bem protegidas com barra com alarme tudo isso dentro

do departamento se qualquer um pode abrir quem tem a chave se é biometria se é pela íris usuário senha quem pode ter controle de acesso aí chega no computador quem pode ter acesso à aplicação ou computador ou biod né o bring your own device é o equipamento próprio da pessoa que ele utiliza para acessar as informações para trabalhar na empresa eu tenho meu próprio celular que eu utilizo para trabalhar na empresa tá isso é o biod Como que eu faço o controle de segurança do equipamento que não é da empresa é do profissional e questão

de privacidade eu posso acessar e ali simplesmente olhar tudo tá tem os controles E aí tá dividido entre controles organizacionais controle de pessoas ou controles pessoais físicos né que eu falei aí sobre os perímetros e controles lógicos ou técnicos que é essa parte mais técnica né onde o pessoal aborda mais a questão de rede né de de servidor da parte mais lógica de protocolo de criptografia de ataques você tem tudo dentro da Norma separado Então você tem a parte de políticas processos a parte de conscientização a parte de Treinamento a parte de controles físicos né

numa porta corta fogo numa câmera do monitoramento tudo isso ok e olha só que interessante Então a norma ela explora o quê o espaço ou seja público até chegar ao interno e cada informação ele vai ter o seu nível de criticidade Então eu preciso como profal de segurança né trabalhar o espaço público para evitar que as pessoas acessem o ambiente aí eu vou ter que ter o anel externo que a gente chama de perímetro né o anel externo provavelmente vai ser informação pública vamos imaginar que eu trabalho numa Biblioteca Municipal né Ó até aqui você

pode acessar Eu trabalho no banco dentro da agência você pode acessar até aqui daqui para cá você não pode então o profissional de segurança precisa identificar Que tipo de informação tem que tá dentro de um perímetro que é mais seguro que é público e colocar os controles não é porque é público não preciso ter controle não vamos colocar uma câmera vamos monitorar de repente fazer um registro de quem tá entrando por exemplo numa biblioteca ou é público qualquer um entra se for um museu por exemplo Mas quais departamentos quais áreas de um museu a pessoa

pode entrar de um supermercado então assim se você analisar na sua empresa a gente vai ter que detectar qua Quais coisas são públicas Ah mas Adriano eu a gente trabalha Home Office e tal tá bom na intranet na internet eu tenho site que tipo de informação que vai est disponível por exemplo o o aluno que compra na pmg Car ele vai encontrar uma série de informações para visualizar o curso tem o blog tem informações ali tem bastante coisa mas tem acesso aos cursos acesso a conteúdo completo ao simulado exercício a mim ao chat ao fórum

as informações de outros alunos a rede social que a gente tem internamente não aí já é bloqueado tá é o anel Ok é o perímetro E aí trazendo pro mundo f você tem a parte do prédio tem as informações internas Você já tem o espaço de trabalho o departamento E aí as informações são mais sensíveis até chegar no núcleo Então a nossa proteção tem que ir desde lá de fora até o objeto Aonde a informação é muito mais sensível então o que que eu coloco no público cerca muro coloca uma parede Externa uma parede interna

tá Ah um cofre um armário para armazenar informações o próprio objeto o próprio servidor Ok colocar num ambiente seguro sem colocar placas né Ó o Data Center ali quantas vezes já entrou numa empresa onde tá assim uma plaquinha assim ó data center pô quem é que colocou uma placa pro visitante eu tô entrando a primeira vez eu já sei que o data Cent Fi pro lado esquerdo Então essas coisas essas nuances estão no conteúdos nos conteúdos do curso na própria Norma e aonde a gente acaba explorando tudo tudo tudo tudo que tem dentro da Norma

Ok lógicamente você tem a gente tem um treinamento que ele é muito mais Ah requintado ele tem muito mais mais conteúdo ela é baseado na 27002 tá isso é que eu tô falando sobre a 27.001 que é um termo mais genérico que é preparatório as aulas que você vai assistir é é um curso preparatório para o exame da ezin mas existe um conteúdo que é preparatório pro it Shaped que é o TF que ela é baseada na 27002 ele é muito mais robusto né Ele fala dos mesmos controles exatamente os mesmos só que na 272

eu exploro bastante só para você ter ideia o curso eh dazin acho que são se eu não me engano são 24 horas né o do thsf é o mesmo conteúdo é a mesma Norma só que uma é da 27.001 24 horas a 27.2 São 60 horas eu exploro muito mais aí você tem essas duas possibilidades tá gostei da 27001 vai pra 27002 que eu dou aquela aprofundada bem bacana Ok com bastante exemplo com coisa prática coisa que eu já passei como que a segurança é gerenciada então norm a gente tem a vulnerabilidade que que é

vulnerabilidade vamos vamos vamos passar aqui para você entender né vulnerabilidade ameaça exposição E aí a gente tem o risco tá então quando a gente trabal tá trabalhando na área de segurança informação o que que o profissional tem que identificar Quais são as coisas que estão vulneráveis primeiro vulnerável mas tá sobre ameaça porque assim pode estar vulnerável mas não tem ameaça Ok eu tô sem guarda-chuva ch tô vulnerável mas eu tenho ameaça de chuva eu olho pro céu o céu tá limpo tá fresquinho não ten uma nuvem então não tô exposto ao risco de de ficar

molhado Então essa análise tem que fazer sempre fazer a análise de risco é extremamente importante a tem que identificar o que que é vulnerável se existe ameaça exposição E aí atuar com risco que nem o pessoal fala assim ah Linux é é Linux é mais seguro né Olha na verdade o Linux ele tem menos vulnerabilidade mas ameaça tem é muita gente querendo atacar tanto quanto o Windows a questão que ele não tem tantas vulnerabilidades tá então a gente precisa identificar tem ameaça não tem e se tem ameaça a gente tá vulnerável Com certeza pode dar

um perereco perereco o pessoal fala que essa palavra é tão estranha né pode dar algum problema se você tiver exposto Então dentro da área de segurança a gente precisa fazer isso aqui identificar se o seu sistema tá vulnerável se ele é antigo se ele precisa ser atualizado Não tô dizendo só sistema tá tudo política prática processo tudo isso é vulnerabilidade as pessoas não foram treinadas é uma vulnerabilidade porque a ameaça vai existir e se um atacante descobrir que você tá vulnerável que a tua equipe não foi treinada não foi conscientizado tô falando aquele profissional aquele

vendedor existe uma ameaça E aí o atacante vai explorar essa ameaça porque ele sabe que a equipe tá vulnerável pronto você já tem o risco de ser atacado tá isso aqui eu exploro muito nas aulas muito para você entender cada etapa como fazer essa análise de vulnerabilidade analisar identificar as ameaças identificar como você pode saber se você se você tá sendo explorado ou não e fazer toda a parte de Gestão de Risco tudo na área de segurança tem que começar com a parte de risco Gestão de Risco ok uma das coisas mais importantes que a

gente fala é o Cid né que é confidencialidade integridade e disponibilidade eu coloquei até um texto aqui ó segurança da informação é a disciplina que se concentra na qualidade ou seja confiabilidade gente primeira coisa que eu falei segurança informação é tomada de decisão de uma forma segura o que que é ter uma informação segura é ter uma informação confiável o que é ter uma informação confiável uma informação de qualidade Ok adran eu tô entendendo mas cara uma informação que você pode confiar que ela tá Correta que ela tá íntegra que ninguém acessou antes que ela

é confidencial eu mandei só informação para uma pessoa só eu recebi para você ter ideia dentro da Norma O que que a gente fala tá Principalmente dentro desse desse tripé Sid né Deixa eu já colocar aqui né é o tripé disponibilidade confidencialidade integridade Ok ah não deu Sid né deu DCI é só trocar a palavra né eu devia ter colocado confidencialidade em si cima integridade e disponibilidade olha só que bacana aquelas informações que são ditas verbalmente dentro de uma sala de reunião a gente precisa proteger essas informações ok a gente só pensa em em proteger

informação eh lógica que tá no servidor ou que tá em papel mas a informação falada a gente também precisa Então eu preciso garantir que reuniões que aconteçam numa sala aonde são tomadas decisões estratégicas eu preciso ter proteção contra voz né áudio desligar o telefone garantir que as pessoas não estão vendo de fora quem um diretor tá escrevendo lá quem tá escrevendo num flipchart alguma informação confidencial eu tenho que fazer esse tipo de proteção tudo isso tá dentro da Norma tudo isso eu explico no treinamento tá então Sid é o é o tripé da segurança de

informação então eu tenho que deixar a informação disponível Adriano senão se acontecer um incidente o servidor parar será que é alguma questão de segurança da informação bom se um servidor parou a informação ficou indisponível disponibilidade é um termo da qualidade e da confiabilidade de uma informação como que eu vou tomar uma decisão se a informação não está disponível então diz respeito a segurança da informação sim tá confidencialidade armazenar é proteger garantir que as pessoas não Leiam com carimbo com classificação Seja lá o que for íntegro garantir que por exemplo eu tô mandando uma informação por

e-mail daqu para lá e ninguém altere né que não tenha ali técnicas né de ou Mem de Miro né aqui tô falando termos de etical hack que a gente também tem termos de etical hack garantir que ninguém interprete as informações lá dentro do protocolo consegue extrair as informações ler fazer a leitura fazer mudança E aí manda pro remetente informação errada né Como que eu faço essa checagem para saber que a mensagem saiu daqui chegou até lá na Norma tá dizendo quais são o tipo de criptografia né Por exemplo One Way né o hash você pode

utilizar técnica de hash para saber que se a mensagem que saiu daqui é exatamente o que chegou lá ok informações como por exemplo a senha que tá armazenada dentro de um servidor Será que aquela senha não foi alterada como que eu faço para não deixar aquela senha exposta eu posso colocar um RH criptografar as informações Ok tem muitas outras coisas eu fico ansioso aqui querendo falar tudo mas tá tudo muito bem explicado daqui a pouco você vai ver ciclo de vida incidente é outra coisa que a gente bem tem que tratar bastante né então a

gente tem que identificar que existe uma ameaça e a gente precisa ter controles para poder identificar isso se essa ameaça acabou se tornando incidente a gente precisa ter controle desse incidente para não fazer com que esse dente estrague cada vez mais que piore o dano e tem que fazer também colocar controles para que evite que o dano se propague E aí também tem que ter controle para ajudar na recuperação tá esse é um ciclo de vida de incidente que é tratado aos olhos da ISO 27000 lógico se a gente pegar o do do cch pegar

do search pegar de outros modelos até do cisp o o ciclo de vida ele muda um pouquinho tá principalmente se tratando em cyber mas o padrão é isso aqui por que eu coloquei isso porque a gente ó a gente vai ter que ter controles para reduzir as ameaças a gente vai ter que ter controles para prevenir que essas ameaças se tornem incidentes controles para detectar esses incidentes controles para reprimir né para evitar que aconteça danos maiores e a gente vai ter que ter controles para saber se a gente fez essa correção para poder recuperar de

repente algum sistema danificado brano quanta coisa onde que eu encontro isso dentro da Norma Ok dentro do nosso treinamento e aí fazer avaliação né porque ele tem que ele volta né é um ciclo infelizmente é um ciclo né constante depois você faz a recuperação aí vai acontecer novamente vai acontecer novas ameaças então a equipe tem que estar de olho em novas ameaças tem tá como que a gente faz isso aí tem todas as técnicas né acessar fó sites de confiança sites de fornecedores etc etc etc Ok avaliar se todo o processo de Ah não deu

não deu a gente detectou a ameaça não deu escapou virou um incidente o dano aconteceu a gente recuperou um sistema que foi corrompido vamos fazer a avaliação onde a gente errou né o processo de melhoria contínua a gente errou aqui na detecção ó a gente não teve um controle aqui vamos aplicar controles Ok E aí termos jargões e conceitos controle de acesso quem pode acessar física E logicamente isso é falado muito né eu eu eu coloquei alguns termos aqui que eu vejo que as pessoas acabam criando confusão né tipo controle de acesso é uma é

uma coisa controle de gestão de identidade é outra né você tem toda a parte de de identificação autenticação a liberação de acesso tal ele primeiro reconhece se o usuário e senha tá no banco de dados se tiver aí ele falou agora me dá a senha para validar se você realmente diz ser quem é E aí aí eu vou perguntar se ele vai ter senha se ele vai ter uma biometria se ele vai ter um ID se ele vai ter um cartão de acesso são todas essas fases que a gente precisa entender e identificar esses termos

para diferenciar porque falar um termo errado numa reunião onde tá acontecendo um incidente pode ser catastrófico Ok políticas de segurança da informação que que a Bendita política de segurança da informação é o que deve o que não deve ser feito dentro de uma empresa quanto a a segurança da informação ó você não pode acessar sites que não diz respeito ao negócio você não pode espetar o pendrive você não pode copiar senha no papel você não pode cara extremamente importante política de segurança de informação para os funcionários entenderem O que que você tá fazendo e garantir

que eles entenderam assinaram você treinou pessoal beleza ó entrou dentro da empresa botou perto da empresa as política de segurança da informação é um dos itens mais importantes que o RH tem que dar pro funcionário novo mudou de área também de repente mudou de área vai acessar outro tipo de informação é bom ele reler a política atualizou também sempre tá postando atualização na internet PR os funcionários por e-mail fazer todo um plano um programa de conscientização tá backup é um dos troços mais importantes fazer backup para que se der algum problema você possa restaurar até

dizem né que o backup não é tão importante quanto o restore não adianta você fazer backup e não testar tá e tem aquela outra também né quem tem um backup não tem nenhum Quem tem dois tem um tem que sempre fazer o teste a gente vê muitos profissionais fazendo backup de tudo já parou para fazer um teste para ver se aquele bicho lá tá rodando tenta fazer um teste de restor para ver se tá funcionando criptografia também é outra coisa que a gente tem que trabalhar muito com criptografia criptografar site criptografar sistema criptografar mensagem então

você tem que entender muito sobre criptografia classificação de informação ou seja rotular informação você classifica depois rotula tá você tem que rotular etiquetar mesmo um cabo de rede etiquetar um servidor etiquetar uma sala etiquetar uma informação como que etiqueta uma informação você coloca essa informação é confidencial se é confidencial eu preciso ter controle né mais rígido que aquela informação que não é é confidencial continuidade de negócio também é outro troo que a gente trabalha aí bem ligado ao negócio tá não é só continuidade de Serv GTI mas é continuidade de negócio acontecer uma catástrofe um

grande problema uma enchente uma pandemia as pessoas agora vão trabalhar de casa gente tudo é questão de segurança como que a pessoa vai trabalhar de casa do computador dela ai não tinha previsto isso precisa colocar uma VPN precisa colocar um servidor ele precisa acessar as informações da empresa lá de fora então continar de negócio faz muito sentido dentro do contexto de segurança não só né de segurança mas de governança também acordo de não divulgação ou NDA né no disclose agreement a gente precisa ter um contrato de não divulgação de com fornecedores com funcionários com todo

mundo isso é um dos controles organizacionais mais importantes ok que mais agora falando sobre o curso exame isso aqui é o último slide pra gente já começar a aparecer aqui algumas aulas eh o que você tá prestes a ver agora vai ser as aulas algumas aulas dessa certificação desse curso oficial para você entender como é que é como que é meu estilo falar Ah será que é legal não é será que eu vou entender ou não então são algumas aulas que você vai falar assim pô legal gostei curti tá especialmente agora a gente tá numa

num processo de lançamento desse curso por conta da atualização da Norma para 2022 é aqui embaixo desse vídeo a gente vai colocar na descrição também no chat se alguém colocar ali a gente vai colocar o link direto pro Treinamento hoje tá numa super promoção se você tá assistindo agora nesse exato momento tá por R 69,990 um curso que você vai ter acesso por um ano eu não sei e depois ok tá nesse momento você tá assistindo esse curso tá nesse nesse preço então dá uma consultada para ver se tá esse preço no nosso site é

um curso aí de um ano de acesso um curso preparatório Pro Exame de certificação ele tá alinhado a nova Norma da ISO 27001 tá E aí essa certificação É bem interessante para quem quer galgar outras áreas uma certificação mais avançada de segurança ou para quem quer se tornar um DPO né um data priv Officer eh essa certifica ela é obrigatória para quem quer ser um profissional de privacidade Ok eu espero que você tenha gostado Espero que o assunto tenha sido leve que você entendeu a importância qualquer dúvida que você tiver eu te estimulo a clicar

aqui no chat colocar as perguntas se essa Live sair do ar coloca nos comentários a gente vai deixar o máximo possível de informações de tudo que você Ah acho que aqui surge uma dúvida tal manda pra gente a gente vai colocar na descrição Ok E aí vou te deixar assistir algumas aulas e logo no finalzinho a hora que acabar eu volto a conversar com você tá bom E aí bom treinamento não esquece tá coloca aí as perguntas no chat que vai ser um prazer Zao responder valeu até daqui a [Música] pouco buenas seja bem-vindo seja

bem-vinda a mais um treinamento da pmg Academy meu nome é Adriano Martins Antônio e eu vou ser seu instrutor até o final dessa jornada Lembrando que esse curso ele é oficial ele é preparatório Pro Exame da izin o com a sigla isfs que é a famosa ISO 27001 foundation só que na versão 2022 se você já tem esse certificação antiga da versão 2013 você não precisa fazer a nova certificação mas acho que é importante a gente entender aqui que existe atualizações que ocorrem constantemente no mercado e é importante você entender principalmente porque tem novos controles

tá a norma ela mudou um pouquinho ela mudou a estrutura vieram alguns controles que eu vou abordar nesse treinamento Lembrando que aqui na plataforma Você tem uma aba chamada materials que você pode clicar para fazer download constantemente kisin faz alguns tipos de mudança e a gente vai colocando num documento Então esse documento é importante para você baixar Lembrando que não é só esse documento existem outras coisas O slide Você pode baixar inclusive também ah no final de cada módulo a gente tem aí alguns exercícios que é bem legal fazer para para você testar o seu

conhecimento e de tudo que você tá aprendendo e no final desse dessa jornada aqui você vai ter um batalhão de perguntas e respostas bem semelhante ao simulado e uma coisa que eu quero já falar logo do do início Lembrando que o simulado é importante mas não é tudo ele é só um exemplo do que cai na prova do formato Como é cobrado no exame Tá então não vai se atentar somente a ele quando você for fazer o simulado nós temos a tendência de identificar o que que a gente errou Tá mas o mais importante identifique

o por você acertou uma questão Então você faz lá o simulado tranquilo não vai correr o treinamento só para chegar no simulado Não faça esse treinamento aí uma duas três vezes faça um mapa mental que eu acho que é bem importante porque você consegue explodir suas ideias e no finalzinho você faz então o simulado e vai identificando tudo que errou e principalmente porque acertou por que isso porque eu vejo muitas vezes o pessoal fazendo o simulado tá mais tranquilo né não é o exame de verdade então ele tá lá Tranquilão Vai fazendo então ele acaba

meio que chutando e se cai algo semelhante na prova o aluno não vai lembrar então é importante a gente identificar porque a acertou porque naturalmente O que errou a gente já vai atrás o que acertou também é importante Ok bom esse treinamento aqui é para quem nunca viu sobre segurança da informação e também para aquela pessoa que é ou pretende ser um gestor de segurança da informação por quê Porque Normalmente quando a gente fala de segurança da informação a gente tá falando de política de normas de leis de regulamentações a parte do conceito básico sobre

segurança os controles gerenciamento de risco do nível fundamento Óbvio mas é importante que eu vejo muitos gestores de segurança não terem a base da ISO 27001 e 27002 já definindo aí a diferença de um e do outro a 27001 é aquela parte da Norma que é meio que utilizado como requisitos para uma empresa que tá obtendo a certificação é um documento muito utilizado inclusive pelo auditor que ele vai ticando Ah tem esse controle tem isso tem isso tem isso e a 27002 que antigamente era chamado de código né é código de prática não é mais

ele na verdade tem os controles ele é mais aprofundado e na nova versão ele tá um pouquinho maior Tá bom então vamos começar aqui eu vou trazer o meu slide pra frente e a gente já vai começar nesse primeiro modo fazendo uma introdução do curso fazendo uma introdução da Norma falar como um pouquinho Como que é o exame e aí a gente vai avançando com os conceitos Ok então esse curso ele é oficial da ezin preparatório priso de certificação da ISO 27000 um foundation na versão 2022 vamos lá vamos começar falando um pouquinho sobre o

curso o exame entender aí se você tá se preparando não é obrigatório fazer o exame pós conclusão do curso mas eu acho que é extremamente válido principalmente pro mercado pro mercado é para você comprovar que você realmente aprendeu alguma coisa aprendeu sobre seguran da informação e se você tiver galgando aí novas funções como um gpo como Security Office ele é fundamental ele é importante Aliás ele é obrigatório né para você ter essa formação aí da izin Ok então o nome dessa certificação é ezin information Security Management baseado na ISO IC 27001 ou 27002 nível fundamentos

Ok então vamos lá essa certificação Ela é importante porque ele pode te dar aí dois possíveis caminhos existem outros dentro da ezin existem outros institutos Mas dezin eles tem duas linhas duas carreiras que é bem interessante o primeiro que é Security Office então qu a gente olhar na imagem do lado esquerdo que é a formação de Security Office ele vai te exigir esse treinamento e essa certificação o segundo curso que é do nível professional ok também curso e certificação E aí tem um terceiro que eu pessoalmente não conheço ninguém no Brasil né é uma prova

extremamente difícil ele não é muito fomentada pela xin a a 27.000 Expert tá então mas normalmente aí Pro Security Office a formação da Security Office que inclusive aí quein concede um título para isso a foundation e a profession E você tem uma segunda linha que é a linha de DPO E aí para ser um DPO ou seja para trabalhar com privacidade né trabalhar como com a gdpr você tem este treinamento aqui e aí depois mais dois que é muito mais focado na privacidade na gdpr que é a pdpf que é de nível de fundamentos aí

depois você tem o pdpp que é do nível professional que é um nível um pouco mais avançado esse exige o curso oficial e também a prova tá todos esses cursos que você tá vendo na na imagem temos aqui na plataforma da pmg Academy falando sobre a formação vamos falar um pouquinho sobre ementa geral o que que a gente vai ver nesse treinamento então em linhas Gerais que a gente vai ver aqui primeiro é sobre informação vai falar um pouquinho sobre a arquitetura da informação identificar a o o quão é importante a informação da empresa porque

a gente sabe que qualquer tipo de empresa toma suas decisões baseadas em informações e essas informações TM que ser seguras essas informações têm que est estar disponíveis íntegras confidenciais e assim por diante que a gente vai ver aí no módulo dois sobre o famoso Cid mas não Pule o módulo dois fal Ah já conheço esse Cid porque tem novidade tem coisa a mais e a gente vai contextualizar algumas coisas sobre segurança tá entender realmente que é segurança para aí a gente começar a avançar por a gente vai falar muito sobre controles de segurança que tipo

de controle controle físico lógico controle organizacional e humanos então a gente aí tem a norma baseada em quatro grandes temas né E a gente vai ver isso em cada módulo bem separadinho para você entender pontualmente cada uma delas que mais ameaças e riscos a gente tá faz uma confusão da nada né entre ameaça risco vulnerabilidade exposição Então a gente vai diferenciar principalmente esses dois termos se você é um possível gestor de segurança ou deseja ser um gestor riscos é importante é um dos papéis mais importantes dentro da área de segurança de informação é fazer análise

de risco antes de sair implementando controles porque eu vejo muitas empresas né profissionais já querendo implementar antivírus fireo construir uma dmz colocar controles fazer políticas antes de fazer análise de risco avaliação de risco que é um troço extremamente importante tanto que tem um módulo específico só sobre isso tá lógicamente do nível fundamento o suficiente para você entender a importância dele para depois buscar uma atualização mais aprofundado tá só diferenciando aqui já vou dar esse exemplo em outros modos mas já vou falar já né ameaça e risco qual seria as diferenças básicas entre esses dois termos

a Ameaça é Se eu olhar pro céu e ver que tá nublado eu tem ameaça aí de chover né você não consegue controlar a ameaça Qual que é o meu risco eu tenho o risco por exemplo de me molhar então a gente precisa identificar que a ameaça existe e se eu estiver vulnerável Meu Risco aumenta se eu não tiver vulnerável tiver protegido o meu risco diminui Ok então a gente tem que tratar os riscos e saber como que a gente vai lidar com os riscos de que forma através dos controles Ou seja eu posso ter

uma capa de chuva eu posso para gestão fazer a gestão desse risco simplesmente comprar um guarda-chuva eu posso nem sair de casa eu posso até inclusive tá disposto a tomar uma chuva de vez em quando Olha que bacana então assim o apetite é o risco isso vai depender muito do cliente do negócio por isso que é importante te perguntar lá pro negócio fazer a Gestão de Risco análise de impacto é lá no negócio não é a ti fazendo ali achando né no achismo não vai no negócio tá por isso que a norma ajuda muito e

você vai entender porque no último slide quando falar sobre qualidade Qual é o objetivo da Norma e a gente não tem como escapar né vamos falar da de legislação de regulamento e normas durante o treinamento eu vou apontando toda a parte do do contexto de Norma regulamentação não vai ter um módulo específico só tratando sobre isso eu vou falando ao decorrer do treinamento Ok bom pra izin que que ela tá avaliando se você obter o exame de certificação for aprovado para ela significa que você entende os princípios entende os conceitos fundamentais de segurança da informação

para não sair falando besteira por aí então ela entende que você realmente compreende os termos e também vai conseguir mitigar os principais riscos de segurança da sua área da sua empresa OK Esses são os dois objetivos com o exame de certificação comprovar que você sabe os conceitos e sabe mitigar risco tá vendo que risco é importante por isso a gente tem um módulo separado bom falar um pouquinho sobre a prova sobre o exame o exame não é difícil o exame é relativamente fácil é uma prova com 40 perguntas cada pergunta com quatro respostas somente uma

correta não pode colar não pode olhar PR os lados não pode ter pessoas junto contigo não pode desviar o olhar não pode abrir livro não pode abrir e eh o celular outras telas do comput compador porque ele é monitorado e você também não pode fazer anotações durante o exame Ok 60 minutos é um tempo suficiente para você fazer esse exame com tranquilidade você vai aí passar para um batalhão de perguntas e respostas simulando né um exame real que tem 60 minutos também faça com calma para você identificar o tempo que você vai levar para fazer

aí um o o exame com 40 perguntas ok para ser aprovado é acertando aí 26 perguntas dessas 40 ou seja totalizando 65% de aprovação é razoavelmente fácil a gente ter uma alta taxa de aprovação nesse exame mas cuidado tem muito conteúdo muito conteúdo então presta atenção nas aulas que muitas vezes ali a gente entende na aula mas não anota esquece chega na prova é você sub entende alguma coisa e vai numa questão errada não é porque tem pegadinha mas porque tem coisas que são muito semelhantes principalmente conceitos vamos falar um pouquinho sobre a norma então

como eu falei a norma passou para uma atualização Eu sempre gosto de todo novo treinamento que sofre uma atualização eu falo um pouquinho da anterior pra gente Identificar qual é a evolução o que que acontece mas não Ache que a norma mudou completamente não não tem como né os grandes frameworks zit CT a ISO 20.000 a 27.000 a a de continuidade né a 22301 ela não passa por uma mudança radical ela vai evoluindo vou dar um exemplo vamos imaginar que lá na antiga na versão 2013 tava dizendo lá num dos controles que você tem que

instalar antivírus em todos os dispositivos na rede beleza aí perceberam que não adianta só instalar você tem que atualizar E aí então a a nova versão V Olha você tem que instalar e atualizar então muitas vezes a norma ela foi reescrita para facilitar então tem alguns controles que você olhava assim nossa São muito parecidos eu não consigo distinguir um do outro Será que que eu estou fazendo já tá tendência controle ou esses então a norma ela vai sendo sendo reescrita né readaptada rearranjada para nos ajudar e ajudar a vida do auditor também então começando a

primeira coisa alterou o nome Nossa Adriano isso é importante é importante porque a o novo nome agora da 272 2022 ela faz mais sentido vamos ver por quê antigamente ela era chamada de código de prática quando a gente ouve sobre práticas né a gente vem muito inclusive das práticas it né então a gente entende que prática é o como e não não é o como então a gente ia na 27002 né não na 27.001 que são os requisitos a gente ia na 27.002 atrás das práticas tá então a gente esperava que tivessem por exemplo coisas

que que seriam mais ali no como no dia a dia mão na massa receitinha de bolo e não é verdade ela nunca foi né nenhuma parte dois da Norma teve essa conotação por isso que ela saiu desse nome aqui ó tecnologia da informação técnicas de segurança código de prática para controle de segurança da informação Então esse código de prática sumiu e se tornou agora um nome mais abrangente como esse aqui ó segurança de Formação beleza nada muda segurança cibernética e proteção à privacidade Opa dois contextos interessantes por quê Porque a gente tá falando muito de

gdpr lgpd e dentro da formação seja você um advogado ou um profissional de segurança você tem que entender as duas coisas sobre proteção e privacidade e sobre segurança como tá na mesma formação Então faz sentido a própria Norma inclui isso e segurança cibernética né A gente só tinha o conceito daquela segurança interna a segurança em papel segurança física mas a gente tem a gente sabe que tem um mundo cibernético onde a gente lida com ataques invasões eh vazamento de informação roubo fraude tudo que acontece nesse mundo cibernético foi aí trazido uma boa parte para dentro

da Norma is 27.000 tá alguns controles porque existem normas inclusive herdadas de outros frameworks que agora fazem parte da Grande Família eu vou falar dessa Grande Família da da ISO que é bem gig a 27.000 Ok tamanho da Norma ela tinha apenas 88 páginas e agora ela tem dobro 164 páginas né quase o dobro Adriano significa que teve muito mais controles não não significa que teve muito mais controles tá E e a gente a gente vai ver isso aqui porque foi reestruturado foi reescrito foi readaptado tem matrizes ali que nos ajudam a a navegar na

Norma fica muito mais fácil bom os controles foram então reorganizar eh reordenados por que reordenados porque você não tinha meio que uma lógica dentro da 27.0001 2013 Então você tinha que ficar pescando alguma coisa el não tinha uma meio que uma sequência de vez em quando ele falava gestão de ativo depois ele ia para controle de acesso depois você fala de segurança não sei o quê então você fic meio perdido agora ele tá mais fácil tá reordenado foram agrupados agrupados tá bem mais fácil a leitura e interpretação do que antes alguns controles foram mesclados e

aqueles que não fazem mais sentidos foram retirados que é natural né Toda evolução de uma Norma eles fazem esse tipo de atualização ou removendo ou incluindo E aí foram também adicionados principalmente quanto a a parte de Cyber temas dos controles isso aqui deu uma melhorada danada nas versões anteriores inclusive nos treinamentos que eram baseados na versão anterior a gente já fazia essa divisão natural né de controles lógicos ou tecnológicos os controles físicos organizacionais e humanos e a norma anteriormente ela não tinha essa divisão tão Clara agora 2022 ela ficou mais clara tá então a 27002

listava 93 a a Agora a lista 93 ao invés de 114 Você tá vendo que ela diminuiu a apesar de ter aumentado a quantidade de páginas explicações ela diminuiu a quantidade de controle tá E esses controles Então são agrupados em quatro temas ao invés de 14 cláusulas E aí para quem já conhece um pouco sobre a norma ou já fez o curso da versão 2003 vai conseguir identificar o que eu tô falando então a gente tem controles que estão relacionados a pessoas humanos a gente tem controles que estão relacionados a organização temos controles tecnológicos né

e os físicos lógicos ou tecnológicos e os controles físicos né que tá trata de controle físico mesmo controle de acesso né acesso ao dat sent a um prédio enfim os anéis de proteção a gente vai ver tudo isso no treinamento então só para você entender essa evolução novos atributos de controles isso aqui é sensacional isso aqui nos ajuda a a categorizar tipos de controle não a gente tem muito controle tá mais de 90 controles como que eu categorizo como que eu sei quais são aqueles controles que estão mais visando a governança que estão mais visando

a privacidade que estão visando mais a confidencialidade a disponibilidade a integridade a prevenção a correção a mitigação muito interessante Então por controle a gente tem isso e a gente tem no final uma matriz eu vou mostrar um exemplo aqui no próximo slide Então a gente vai ter tipos de controle por exemplo Ah esse controle aqui ó ele é mais preventivo ó Isso aqui é detectivo Ah isso aqui é mais para correção por que isso imagina a seguinte situação você tem lá a sua área de segurança da informação tem os processos tem as políticas tudo bonitinho

você é muito bom para prevenir Nossa você é bom demais você é bom para corrigir tem uma equipe fera mas você não tá conseguindo detectar você detecta depois então você vai pegar os controles que estão relacionados à detecção ou seja detectivo tipo de controle é esse esse esse esse e você vai ali atrás por eu tô falando você vai ali atrás porque muitas vezes as empresas vão atrás da Norma ISO não com o interesse apenas de obter a certificação pra empresa mas para poder realmente aplicar todo a parte de controle então assim você não fica

inventando não precisa a norma tá aí para isso ela já facilita a nossa vida então você vai atrás fal Olha meu nosso problema aqui é detectar incidente Ok Quais são os controles que eu preciso aplicar esse esse esse esse olha que simples que mais propriedade de segurança da informação famoso o sid né confidencialidade integridade e disponibilidade conceito de segurança cibernética e fica tranquilo que a gente vai explicar cada um desses tá conceito de segurança cibernética bom agora passou para uma atualização a gente não pode mais falar só só só sobre segurança da informação a gente

tem que falar no mundo cibernético e quando a gente fala de segurança cibernética a gente entra com alguns atributos diferentes a gente tá falando de identificar a gente tá falando sobre proteger detectar responder e recuperar aí quem já conhece um pouco mais de segurança falou pera aí adano Isso aqui é de outro Framework o famoso nist sim senhor foi adaptado tá Eles foram lá buscar coisa que que já existe que é boa não criaram do zero e adaptaram isso colocaram com uma nova Norma e alguns atributos na 27001 capacidades operacionais então ah eu quero focar

alguma coisa mais aqui em gestão de ativo em segurança física tá pegando mais então vai lá continuidade ó a gente tá passando um processo de continuidade de negócio continuidade de ti Quais são os controles que visam isso tá lá na Norma ou ainda os domínios de segurança a parte ah eu tô aqui no processo de governança governança da informação governança corporativa governança de corporativa de ti enfim que tipo de governança você vai lá nos controles que estão listadas mais ao direcionamento controles né ou a parte do ecossistema a parte de proteção a parte de defesa

Olha a gente aqui tá ruim de defesa gente tá deixando passar tudo vai lá nos controles identifica Quais são os controles que são responsáveis para você ter mais defesa na sua empresa na sua ati na sua informação Ok só a título de exemplo para cada controle Lembra que eu falei que tem mais de 90 contoles para cada controle você vai encontrar um negocinho desse tá um quadradinho eu sou meio segueto aqui vou chegar perto para ler vai lá tem tipo de controle Ah esse tipo de controle aqui é preventivo que a gente já viu lá

numa listinha e fica tranquilo que eu vou passar por isso aqui novamente no Próximo módulo tá Ah esse controle aqui ele tá mais relacionado à disponibilidade de integridade Ah esse aqui ele tem um conceito de de de Cyber mais de proteção e assim por diante então para cada controle você vai ter essa tabelinha aí mas no final da Norma você vai ter algo maior que é mais fácil de Navegar então você pode filtrar eu quero filtrar ah por exemplo aqui no primeira segunda terceira quarta quinta sexta coluna A parte de capacidade operacional Ah eu quero

listar tudo que é de governança filtra E aí você vai ver todos os controles relacionados à governança Ok então papel desses atributos de controle é ajudar a categorização filtrar pesquisar a norma a gente tem que fazer um máximo de abstrair o máximo da de informação interessante da Norma ela não é só um simplesmente um documento que vai te servir como guia para uma processo de de de de certificação da empresa não ela é essencial você tem que saber como extrair o máximo de informação ela tem que ser um documento fácil tá ali tem bastante informação

como que eu tiro o máximo desse documento É esse aqui é um dos exemplos tá essa Matriz ajuda bom eu tô falando de Norma tô falando de ISO mas antes toda vez que a gente fala de ISO a gente fala de Norma a gente vem Norma de qualidade vem na nossa cabeça e qualidade é muito subjetivo V dar um exemplo né para mim uma música de qualidade é um R metal né para outra pessoa a qualidade uma música é outro tipo de música então assim é um critério muito subjetivo para mim é bom para outras

pessoas não é bom Então como que a gente tira essa subjetividade e coloca algo mais objetivo é um critério subjetivo não tem como Eu gosto de chocolate tem gente que não gosta eu gosto de Café sem açúcar tem gente que gosta de café melado é critério de qualidade Então como que eu posso falar que uma música é boa que um café é bom né que um chocolate é bom no meu ponto de vista é uma coisa e outro ponto de vista é diferente então quando a gente fala de Norma quem é que vai dar o

ponto de vista sobre o que é ou não algo de qualidade é o negócio não é a ti não é área de segurança por isso que é fundamental o processo de análise de risco e essa análise de risco é feito lá no negócio não é feito na ti Ah eu vou definir aqui o que é importante pro negócio Não não faça isso vai começar errado né quem define o que é importante é o negócio quem define o valor das informações são os negócios não é ati Então vamos entender primeiro o que que é qualidade eu

vou colocar alguns termos aqui e mencionados por exemplo pelo pelo fio Crosby que que ele fala que é qualidade é conformidade com os requisitos Então você é o futuro gestor de segurança você vai ter que definir os requisitos de segurança você vai lá nas áreas você vai identificar o valor da informação vai fazer análise de impacto vai saber que aquela informação é importante aquela já não é tanto aquela ali é muito mais aquele é crítico você vai definir isso isso são os requisitos que são passados pelos clientes então se você atender se você tiver conforme

os requisitos significa que você tá entregando algo de qualidade a gente pode pode dar até o exemplo na área de desenvolvimento do software não tem análise de requisitos ou tradicional não scrum você tem lá os requisitos Ah eu quero um sistema que faça isso isso isso isso se você entregar exatamente que o cliente pediu que faça isso isso isso significa que você entregou algo de qualidade ou não só a entrega mas algo que você possa usar que é o que o Joseph huran tá colocando aí que é atid para o uso ou seja dá para

usar Olha eu comprei isso aqui tá de acordo com o que eu queria dá para usar então é um produto de qualidade ou ainda né segundo a ISO 9001 fala que a totalidade de tudo de todas as características de uma entidade Seja lá qual for afetam a capacidade de satisfazer necessidade declarada ou seja minha necessidade é essa então o que me chama atenção essa nessa nessa definição de qualidade não é só declaradas implícitas né mas não é explícita tá implícita E aí é muito isso satisfazer as necessidades você tem que satisfazer as necessidades é das

áreas de negócio são dos seus clientes Não é satisfazer a necessidade do próprio ego ou seja do próprio da própria ati dos próprios funcionários não você tem que satisfazer necessidade do dono da informação que é a empresa OK E aí a gente também tem um modelo de qualidade definido aí pelo modelo famoso modelo de excelência da efqm né E aí bacana que Isso inclui também o prêmio de Demi quem já viu falar de Demi né provavelmente já deve ter lembrado aí do fluxo PDC de melhoria contínua que tem tudo a ver com qualidade também então

a gente precisa ter a melhoria contínua melhoria e sempre trazer a qualidade Olha tá bom vamos melhorar tá ruim então vamos melhorar Então a gente tem esse papel de aumentar a qualidade bom a gente fala de qualidade então a gente fala de Norma ISO Aí o tio Adriano vem aqui com uma definição Qual que é o objetivo de uma norma é ser chata ser burocrática goela abaixo não gente a norma ela não serve para isso Ela É Sensacional Por quê ele é um modelo internacional se é o modelo internacional se você falar um termo aqui

você pode ter certeza que qualquer outro país do planeta vai entender o que você tá falando e aí a gente evita confusão cada um falando uma coisa isso aqui é uma ameaça um risco ou uma vulnerabilidade isso aqui é é um controle é uma métrica é não sei o quê conformidade cara não não tem isso então a gente tem um dentro da Norma né tudo que eu est falando aqui em cima de termos oficiais da Norma isso vai evitar o que eu coloco aqui ó confusão o mesmo termo que uso aqui pode ser lá Adriano

não é meio sexo dos Anjos isso aqui ficar discutindo termos Não não é em se tratando de segurança da informação é muito importante que se você falar uma coisa o outro lado ali entenda exatamente o que você tá falando porque se você falar alguma besteira aqui o outro lado pode entender diferente e aí po pode tomar uma ação catastrófica tá então a norma serve também muito para isso evitar qualquer tipo de confusão Olha eu acho que não tem acho tá Norma Tá ali tá escrito é a definição então o que você vai aprender aqui não

é o que você acha o que o tio Adriano acha Olha eu acho que isso aqui poderia Não não é é o que tá na Norma tá o que tá na norma é o que o mercado normalmente usa tá então você pode ficar tranquilo também nossa isso aqui ess da norma as pessoas não não usam né Eu só tô colando enfatizando a importância de ter uma Norma porque muitas vezes infelizmente as pessoas acham que norma é só para burocratizar não é para facilitar e deixar as coisas mais ágeis Inclusive tem gente que acha que Norma

deixa a empresa travada não ela deixa mais ágil você não precisa perder tempo identificando O que é conceito vai na Norma tá lá tá escrito simples assim bom a norma 27001 2022 que esse treinamento aqui é é uma Norma mas gente é ela faz parte de uma de uma mãezona a mãe é aí a famosa 27.001 a 27.000 perdão a família 27.000 ela contempla mais de 50 normas relacionadas de a sobre segurança então 27.001 27.2 27.000 e não sei o quê Tem várias eu não vou listar todas aqui que não faz sentido nenhum Tá eu

vou colocar algumas outras que não fazem parte dá 27.000 mas tem tudo a ver com segurança da informação Então é só título de exemplo Ok não precisa precisa decorar mas só para você entender por exemplo a 2713 que é equivalente como eu falei no comecinho da aula sobre o nist o Framework famosíssimo né que a gente utiliza pra área de segurança de informação Então a gente tem uma Norma que é bem equivalente temos também computação em nuvem 27017 Olha eu tô tirando os recursos daqui internamente tô colocando na nuvem então estou me eximindo de responsabilidades

não os seus problemas vão mudar alguns que você tinha não tem mais e aí o fato de você colocar um recurso na nuvem você vai ter outros tipos de problemas outros tipos de risco controles Quais são esses controles tem uma Norma só para isso de computação em nuvem Gestão de Risco que não faz parte desse número 27 né 27.000 alguma coisa 31.000 famosíssima Gestão de Risco tem tudo a ver com área de segurança continuidade de negócio também faz parte de segurança Lembrando que aqui na plataforma tem um curso Completão de segur da de continuidade de

negócio também então 27 031 27 301 ambas de que tratam sobre quantidade de negócios e quantidade de ti bom qual que é a importância da Bendita ISO 27001 2022 E aí esse recado é para você aí que é um futuro gestor de segurança da informação Olha a abrangência então assim o fato de você estudar esse treinamento que é baseado nessa Norma Então a gente vai passar muito mais vai falar muito mais coisa do que tem na Norma para para você compreender tá vej o quão é importante você que é o futuro gestor Você vai precisar

compreender os requisitos de segurança Lembra que você tem que ir lá no cliente perguntar o que que é importante E aí em cima dessa importância definir Quais são os requisitos ajudar o cliente a definir os requisitos então o papel do gestor de segurança é esse é ir lá compreender Quais são os requisitos Olha o cliente tem informação no pen drive Hum que que eu preciso trazer de segurança para esse pen drive hum não é legal deixar no Pendrive vamos jogar no nosso servidor de arquivos Vamos jogar na nuvem tudo isso é trabalhado de acordo com

requisito de segurança Então você tem que entender o que que é segurança para poder ajudar quais são os requisitos e estabelecer políticas tá primordial não sai implementando controle sem construir uma política Ah mas adren política é chato é mas é faça uma vez é importante todo funcionário novo que entrar entrega política de segurança não tô falando funcionário de segurança não qualquer funcionário da empresa porque ela é responsável também para manter as informações seguras Quantas vezes a gente já viu que a gente tem Firo tem dmz tem proteção tem equipamento trocou Suit separou rede VPN aí

o funcionário lá da área de contabilidade entrega o notebook pro filho acessar site qualquer E aí é invadido aí tem todas as informações da empresa e roubadas então o funcionário as pessoas têm uma responsabilidade uma boa parte da responsabilidade como a gente garante isso através de uma política então lei assina e esteja de acordo Ok é um tipo de controle essencial que mais e aí gestor implementar e operar esses controles tá para gerenciar os riscos é lá tem que implementar instalar não é garantir que alguém tá fazendo isso corpo técnico tá fazendo garantir que esses

controles estão sendo empregados né Para quê para gerenciar os riscos então gestor ele tem que entender bastante sobre gestão de risco monitorar e revisar o o desempenho do sgsi sistema de gerenciamento de segurança informal toda vez que a gente fala de sistema né nesse caso de sistema de gerenciamento de segurança da informação a gente tá falando de algo muito mais complexo não é só uma ferramenta uma política são pessoas estrutura contexto conceito práticas tudo isso tá então tudo é um sistema então toda vez que a norma fala sobre sistema sistema de gestão de serviço sistema

de gestão de segurança de informação é algo muito maior do que simplesmente um documento uma política um procedimento uma instrução de trabalho gestor também vai ter que além de monitorar e revisar esse grande sistema vai ter que ajudar também na melhoria contínua Com base no quê medições quantidade de acidente quantidade de problema quantidade de ataque quantidade de vírus qu tudo mede tudo quantidade de tentativa de acesso não autorizado qu quantidade de ataque mede tudo isso pra gente poder melhorar cada vez mais mais o nosso sgsi que também a gente vai falar bastante no treinamento Ok

com isso a gente encerra módulo 1 de introdução e aí no módulo dois a gente já vai começar com alguns princípios alguns princípios bem conhecidos e outras que são novidades E com isso a gente vai dando seguimento ao treinamento Ok então espero no Próximo módulo [Música] valeu [Música] Olá seja bem-vindo ao módulo que a gente vai tratar sobre os conceitos e princípios no módulo anterior a gente falou sobre a atualização que teve da 27001 e da 27002 só lembrando que 27.001 é a parte de requisitos que é a formação que é o certificado que você

vai conquistar e a 27.2 a gente acaba utilizando porque seria impossível desenvolver todo esse conteúdo para você só se baseando numa Norma que ela é pequenininha que é faz parte de requisitos é diferente o pouco que acontece por exemplo é só uma curiosidade na ISO 20.000 ela não é ISO 20.000 de itsm né gerenciamento de serviço de ti não é não é 200.001 ou 20.002 é 20.000 tracinho um e 20.000 tracinho 2 que segue a mesma regra a número um faz parte dos requisitos e a número dois faz parte aí do código de prática e

agora na 27.002 já não é mais código de prática e sim controles de segurança uma outra curiosidade na época que kzin lançou essa certificação eraa 27.002 E aí depois ela trocou para 27.001 não trocou o certificado não trocou o badg né aquele simbolozinho da da ezin não trocou absolutamente nada tá o exame não mudou nada porque a 27.0001 e o 2 praticamente a mesma coisa só que a 27.000 E1 é utilizada para requisito e a base dessa certificação Ok então vamos lá vamos começar com os princípios e conceitos vamos começar a entender aí qual que

é a necessidade da segurança de informação conceitos básicos como o famoso Sid Quando eu falar Sid ou ccia é a mesma coisa que Sid na verdade é em português e Cia a letra A no final ela é de availability ou seja de disponibilidade por isso que normalmente a gente vê no mercado muito pessando falando S de siia que é o famoso tripé vamos lá vamos começar antes de falar desse tripé vamos entender como que a segurança ela deve ser gerenciada dentro de uma empresa o que que acontece normalmente isso aqui não é o processo mas

só para vocês entenderem né Então imagina que há alguma coisa com vulnerabilidade lembra que eu dei o exemplo na na aula anterior sobre Ah se olhar pro céu e de repente tiver uma ameaça de chuva eu posso correr o risco de me molhar vamos imaginar então que eu estou vulnerável eu não tenho uma capa de chuva eu tô no local onde não é coberto E aí Eu começo por exemplo ouvir barulhos né né de trovões eu começo a olhar pro céu e existe uma ameaça de chuva e se eu me expor a essa chuva ou

seja começar a me molhar aí sim eu vou ter um risco de ficar totalmente encharcado para que que serve essa imagem esse negócio que parece ser simples mas é isso que acontece por exemplo com o nosso ambiente Então vamos imaginar vulnerabilidade vamos imaginar que detectar uma vulnerabilidade e um drive de uma placa de rede de um servidor Opa tá vulnerável se toda a comunidade principalmente os hackers começam a identificar que tem essa vulnerabilidade também eles vão começar a explorar essa vulnerabilidade e se você tiver exposto ou seja se você não tiver atualizado aquela placa de

rede por exemplo você tá correndo um grande risco de ser atacado isso acontece sempre a todo momento eu tô dando um exemplo simples mas a gente pode encarar como qualquer coisa você pode est vulnerável de qualquer forma não é só as informações de um hardware de software pode ser a informação offline de um papel qualquer coisa então a gente sempre vai ter e e sempre vai existir esse esse fluxo né a gente tem que lidar com as vulnerabilidades porque a ameaça vai existir a gente não pode se expor a esses ataques a essas ameaças E

assim a gente consegue fazer a gestão do Risco então fazer gestão do risco é exatamente isso e para fazer a gestão de segurança necessariamente a gente precisa fazer a Gestão de Risco Então como é que começa né Vamos lá eu quero começar eu quero gerenciar a segurança da minha empresa Então a primeira coisa a gente precisa entender o que e o que estamos protegendo a gente precisa saber se é uma informação falada gravada transmitida armazenada a gente precisa saber primeiro o que a gente precisa proteger Aí sim posteriormente a gente vai priorizar as ações por

que priorizar porque muitas vezes eu vejo algumas empresas os analistas de segurança querem investir toneladas de dinheiro para proteger um ativo que não vale tanto quanto a proteção exemplo Ah eu quero colocar um antivírus que custa 1 Milhão mas as informações não custam nem 100.000 Então vale a pena a gente tem que fazer essa priorização tanto quanto a gente vai levar um projeto para aprovação paraa diretoria Quantas vezes a gente recebe oou não porque de repente a gente não quantificou custos os requisitos o que precisa Então a gente precisa levantar tudo então primeiro a gente

identifica o que que a gente precisa proteger prioriza quanto a custo requisito pessoas envolvidas recursos tudo isso aí sim a gente começa a implementar os diversos controles que a gente vai ver daqui para frente tá são muitos controles bom Mas independente disso porque a segurança da informação é importante Isso serve para qualquer tipo de empresa tá empresa privada empresa pública empresa com fins lucrativos sem fins lucrativos qualquer tipo de porte da empresa pequena médio grande qualquer empresa por qu a a empresa Toma decisões baseadas em informações se essas informações não tiverem disponíveis serem vazadas ah

ou não forem íntegras a empresa não consegue tomar a decisão correta então a segurança de informação é importante para qualquer tipo de empresa tá principalmente paraa aquela empresa que está vendo lucratividade ah mas adran tem empresa que é sem fins lucrativos Ok vantagem competitiva mesmo empresa sem fins lucrativos ela tem uma competição com outras empresas Ou ainda por conformidade Ah não tem competitividade não tá visando o lucro Mas tem uma regulação uma lei então de repente a empresa tá listado uma bolsa de valores nós temos a gdpr a lgpd no Brasil que aí a gente

tá falando de conformidade leis regulamentações ou até para ter uma imagem comercial bacana imagina a tua empresa ser implementado com ISO 27.001 pelas suas mãos e passar pro mercado Olha nossa empresa é segura nossa empresa tem informação de qualidade porque a gente tem uma Norma ISO 27000 isso é sensacional tá isso não vale só para aquelas empresas que prestam serviço de segurança né Isso que é meio não digo obrigatório Mas eu vejo muitas empresas inclusive no Brasil correndo atrás dessa certificação para prestar serviço principalmente aquelas que prestam serviço de segurança da informação Ok vamos lá

começando do começo começando sobre segurança de informação vamos imaginar que você não conheça nada tá colocando os pés aqui na área de segurança da informação primeira vez Então a gente vai começar dizendo o seguinte seguinte Antes de iniciar uma estratégia de segurança Então antes de sair comprando software hardware antes Calma a gente vai ter que seguir um processo para que lá na frente a gente veja que não gastou tempo e dinheiro dinheiro que não é nosso dinheiro que é da empresa tempo de todo mundo colocou coisa que é totalmente desnecessário então primeira coisa saber o

que que a gente quer proteger eu falei vamos levantar o que a gente precisa proteger Que tipo de informação que tipo de recurso que tipo de ativo patrimônio então primeiro vamos identificar o que proteger para depois entender do que e de quem a gente quer proteger né muitas vezes a gente acaba identificando Ah eu quero proteger isso mas de quem então a gente precisa entender de quem Ah é de um atacante é de uma pessoa que vai fazer uma entrega vai entrar fisicamente dentro da empresa é de um notebook um laptop de um executivo precisamos

identificar isso para isso então vamos iniciar a famosa análise de risco a análise de risco Visa fazer justamente isso tá identificar inclusive o valor da informação quando a gente for fazer o o chamado Business Impact analysis né análise de impacto Identificar qual que é o valor para evitar o quê começar a colocar um monte de controle que é muito caro é mais caro que o valor da informação bom que mais ao analisar os riscos e a gente vai ter um módulo só sobre risco então fica tranquilo aqui tá ao analisar esses riscos Então a primeira

coisa que a vai identificar os requisitos ou seja o que precisa para fazer a proteção de um ativo e lembra quando eu falo ativo pode ser inform inform ação pode ser recurso hardware software ideias tá qualquer tipo de coisa a gente precisa levantar os custos para ver se fica muito caro não até para poder levar para aprovação Ah e tudo isso vai nos guiar e vai determinar as ações antes de sair implementando o controle que nem o louco né então a gente tem que ter os pés no chão e fazer esse tipo de trabalho tem

gente que acha que é muito chato deixa isso a cargo das pessoas de Gestão de Risco dos gestores dos coordenadores eu sei que muitas vezes a gente é técnico a gente já quer meter a mão na massa a gente já quer mexer ele na segurança proteção começar a ver logo identificar esse dente é normal é natural a gente vai fazer isso mas primeiro a gente precisa fazer toda essa Gestão de Risco e ess essa Gestão de Risco ela é viva ela tem que ser feita continuamente não é uma vez só tá ela é sempre tem

que fazer por quê Novas vulnerabilidades Novas ameaças acontecem todo dia brotam começa a brotar quem acompanha os fóruns as notícias toda hora é novas vulnerabilidades é um aplicativo é um Plugin um site é um hardware então sempre tá surgindo isso surgiu novas vulnerabilidades você precisa saber se você tá exposto ou não e tratar isso aí se você encarar isso como risco olha para tratar isso a gente vai ter que fazer uma ação empresa tá disposta a investir nisso ou não análise de risco ou avaliação de risco Fica tranquilo que a gente vai diferenciar daqui a

pouco um do outro não tem não precisa ficar AD qual é a diferença não é o momento no momento certo a gente vai falar a diferença entre avaliação e e análise tá Então nesse momento de análise de risco que a gente precisa fazer a gente precisa fazer procedimento a gente precisa tem que ser feito periodicamente cria um procedimento para fazer isso periodicamente A análise de risco como eu falei não é feito uma vez só ela sempre é feita feita toda vez que é colocado alguma coisa nova quando é feito uma mudança né gerenciamento de mudança

tem que ser feito isso constantemente lidar com as mudanças né como eu falei normalmente a gente acaba colocando um aplicativo novo novo uma aplicação né o pessoal lá do desenvolvimento Coloca alguma coisa nova e a gente tem que fazer o gerenciamento de risco então assim risco tá muito envolvido com o desenvolvimento de software também não só com as mudanças que a gente faz na infraestrutura Ah vou trocar o servidor vou trocar o roteador cabeamento uma aplicação não tudo tudo tem que passar isso pelo crio de segurança da informação bom a segurança é alcançada por meio

de aplicação de controles como que eu vou gerenciar minha segurança aplicando os controles para isso lev Quanto que precisa proteger de quem você precisa proteger faz uma análise de risco e nessa análise vai identificar custo o que precisa E aí sim implementa e monitora isso aí esse é o fluxo básico de segurança de informação não tem mistério mas a gente infelizmente vem muitas pessoas indo já pra última etapa né colocando as ferramentas lá a gente gosta de ferramenta né a gente já coloca ferramenta achando que vai resolver muita coisa é o que eu costumo falar

se você fizer isso sem procedimento vai ter problema no futuro então então assim na análise de risco análise de risco é um procedimento é um processo tem que ser feito periodicamente Ok para isso então a gente vai começar falando sobre arquitetura da informação bom se a gente quer proteger a informação a gente precisa ter uma arquitetura da informação o contexto né o conceito de arquitetura de informação é um pouco complexo ele fica meio vago eu vou falar um pouquinho sobre arquitetura aí no próximo slide eu vou falar um pouquinho sobre os conceitos mas eu tenho

certeza que vai ficar claro então arquitetura da informação é arquitetar a informação como que eu vou acessar essa informação onde estão as informações qual é o valor dessas informações a gente tem Framework para isso tá no próximo slide eu vou mostrar então a gente precisa arquitetar a gente precisa desenhar Como tá a nossa estrutura de onde tá o Onde estão os arquivos tá na nuvem Tá no pendrive tá no computador tá no servidor Tá no e-mail tá num CD num disket né quem não conhece disket é um negocinho pequenininho de plástico né Aonde estão as

informações então a gente precisa detectar mas não só isso a gente precisa de muito mais a gente precisa de guias a gente precisa de procedimento a gente precisa tratar os riscos ferramentas pessoas Nossa quanta coisa é quanta coisa a gente se você quer saber o que que você tem que gerenciar na quanto a segurança de informação você precisa saber onde as informações estão você precisa saber como tá tudo organizado como está arquitetado a informação Ok então arquitetura da informação isso aqui são frases que são utilizadas inclusive de frameworks bem conhecidos tá arquitetura é a arte

de expressar um modelo ou um conceito de informação Então você você chega numa empresa assim como que tá arquitetado a informação então a forma de expressar é mostrar o modelo de arquitetura é expressado em atividades em Sistemas complexos não são sistemas simples né só um servidor de arquivo não a gente sabe que não tá lá para você para um diretor por exemplo tomar uma decisão ele não vai se basear no seu num arquivo que tá dentro de um servidor ele vai se basear no relatório que ele recebeu no e-mail ele vai se basear em algo

que tá no pen drive no computador na cabeça dele tá isso tudo tem que ser expressado de uma forma aí essa forma seria arquitetura tá então através olha só os exemplos né então para pra gente começar a entender mais ou menos como é arquitetura imagina como que é o sistema de uma biblioteca como é que tá organizada as informações né É por ordem alfabética é por tema é por estilo de de de de livro né Então imagina uma biblioteca ou você pode imaginar um sistema de gerenciamento de conteúdo né então você tem de repente lá

um algo mais simples um Wikipedia como que ele tá arquitetado como que ele tá dividido categorizado desenvolvimento de web ele utiliza muito a arquitetura da informação né como que é organizado a gente sabe por exemplo uma página well HTML tem lá o Bud né ele tem o cabeçalho o corpo o footer né então ele tem tudo bonitinho Isso é uma espécie de arquitetura você arquiteta você você desenha ele bem bonitinho ah informação sobre o não sei o qu Ah tá aqui inclusive até protocolo a gente tem isso né o cabeçalho do protocolo então arquitetura da

informação tá em tudo que a gente trabalha dentro da segurança de informação e principalmente dentro da ATI ó por exemplo interações com os usuários desenvolvimento de banco de dados programação então gente quando a gente fala de arquitetura olha quanta coisa envolvida tá de como o usuário vai interagir com a informação como que a gente modelou o banco como que tá PR chado isso como vai ser apresentado pro cliente né a parte de redação também faz parte da arquitetura de informação né Que tipo de informação Você coloca ali é uma informação mais concisa é uma informação

mais simples mais robusta mais técnica projeto de software de sistemas críticos normalmente tem quando é um sistema bem crítico ele tem um sistema de arquitetura ali bem desenhado para saber como que a informação trafega como que a informação é armazenada Qual que é o modelo de linguagem tudo tudo tudo isso ok então e as organizações elas conhecem elas reconhecem que a arquitetura da informação é importante se elas não reconhecerem elas não vão conseguir localizar a informação simples assim então assim se uma empresa não tem arquitetura não tem o mínimo de noção de como que tá

arquitetado a informação provavelmente as pessoas não vão conseguir obter acesso à dita cuja informação e se conseguir ter acesso não entenderá o valor dela e se ninguém entende o valor ninguém vai dar devida atenção quanto a prote privacidade roubo de informação por isso que a segurança de informação Depende muito da arquitetura então o desafio é orientar a galera né através de uma vasta quantidade de informação ofertada que percebam o seu valor então não adianta saber onde as informações estão se as pessoas não entenderem Quais são os Qual qual é o valor daquela informação que tá

armazenada ali qual é o valor da informação que está sendo trafegado de fora para dentro da empresa ou viiva E aí um grande modelo muito utilizado muito conhecido é o famoso togaf né querer dá uma olhadinha aí dá um um pause no no vídeo mas é só um exemplo de um modelo de arquitetura tá a arquitetura envolve muita coisa envolve guia pessoas recursos software parte lógica física tudo que você podem imaginar tá aqui um modelo gigantesco completaço quer implementar uma uma arquitetura de Formação Aow a gente chama também de arquitetura corporativa vai atrás do togaf

bom vamos agora para umas definições para deixar um pouco mais claro né definir a arquitetura a gente tem que imaginar também que arquitetura quanto a construção civil né a gente tem os engenheiros a gente tem os arquitetos Então resumindo é o seguinte qual é o papel do arquiteto não é construir a casa não é construir um sistema é desenhar é fazer a planta tá então o arquiteto desenha E aí o engenheiro vai construindo tratando de informação é a mesma coisa então o arquiteto de informação ele pode ajudar a desenhar a estrutura enquanto os desenvolvedores e

os designers vão desenhando baseado na arquitetura de Formação simples assim então vamos lá uma definição boa para arquitetura de informação é a combinação de um esquema né ou de vários esquemas da de organização rotulagem navegação dentro do sistema Então quando você desenha pensando em ux né user Experience com com o seu usuário você tem que imaginar ele vai navegar no site aqui no sistema aqui ele clica aqui ele vai navegando rotular informação até rotulagem quanto a questão de segurança de informação informação confidencial informação pública informação privada isso tudo faz parte da arquitetura que mais o

design da estrutura de um espaço de informações para facilitar o quê conclusão de tarefas e acesso intuitivo ao conteúdo a arquitetura vai ajudar fazer com que o acesso né a utilização da informação seja algo intuitivo não seja doloroso pro usuário que ele tem que Navegar buscar correr atrás não ele tem que ser algo simples quem ajuda a trazer essa facilidade é a arquitetura da informação é a arte é a ciência de estruturar e classificar sites classificar intranets para ajudar as pessoas a encontrar e gerenciar informações esse aqui é um dos conceitos mais antigos em se

tratando de arquitetura de informação tá ela veio a acabou sendo a origem muito Muitas vezes em classificar informação dentro de um site ou intranet E aí tem aqui a uma frase do tio Adriano mesmo para poder te ajudar é a planta então a arquitetura é a planta que os desenvolvedores que fazem o papel aí dos Engenheiros né os desenvolvedores e os designers construir um sistema então para construir ele tem que olhar planta né do projeto que é a arquitetura da informação como que a informação tá arquitetada Quais são as camadas Ah vai ter uma camada

de aplicação vai ter uma camada de banco de dados então eu vou precisar de um um alguém um especialista em tal linguagem nessa camada de aplicativo vai ter uma uma fila né vai ter apis a planta né o desenho Ele só faz o desenho aí os arquitetos Desculpa os desenvolvedores os engenheiros né os designers vão lá e põe a mão na massa Ok bom continuando ainda vamos dar uma visão geral da segurança da informação a segurança da informação ela é a disciplina que se concentra na qualidade da informação ou seja confiabilidade vamos lá que é

muito importante quando a gente diz que olha essa informação aqui ó segurança da informação Ok independente onde tá essa informação a gente vai ter que lidar aí com parte física lógica humana organizacional mas a gente tem que ter em mente que o Core ali o principal é a informação então quando a gente fala assim olha essa informação é confiável O que que a gente tá querendo dizer com confiabilidade é o que eu tô colocando aí que é a qualidade confiabilidade é a qualidade da informação é uma informação com qualidade significa que é uma uma informação

que é confiável e quando a gente fala de confiabilidade a gente tá falando do famoso tripé ccia tá bom e a gente vai falar sobre isso pra gente fechar esse assunto então essa informação com qualidade com confiabilidade significa que eu tô me baseando num tripé o primeiro disponibilidade segundo confidencialidade e integridade vamos tratar bem bonitinho cada um desses três o truque para execução da segurança é equilibrar esses três aspectos né ocia então os requisitos de qualidade que que é o requisito de qualidade é uma informação confiável né que uma organização ela pode ter com a

informação que mais os riscos que estão Associados a esses requisitos de qualidade lembra que o dos requisitos é acia então se eu tiver o risco de confidencialidade alguém pegar essa informação e jogar no mercado pô é um risco é um risco de eu perder a qualidade a confiabilidade da informação então eu vou ter que trabalhar com esse risco e é muito importante que agora na na nova Norma 2022 ele tem aquele quadro que eu falei né onde você pega o controle e tá falando que tipo que é tal e lá tá dizendo se olha esse

controle aqui tá mais relacionado com integridade ó com integridade e confidencialidade por exemplo a gente vai ver controles que na verdade não é só de um ele pode est sendo envolvido em vários outros tipos né então por exemplo separação de função ele tá envolvido não só a em confidencialidade mas integridade também e aí a gente vai gerenciando o risco de acordo com todo esse esquema né identifica a o o sid né O que que você quer atuar e faz a Gestão de Risco e vai atrás do controle específico sobre isso E aí os controles necessários

para minimizar esses riscos então A ideia é sempre Minimizar risco Ok é o que a gente costuma falar risco sempre vai ter né cabe a gente lidar né o quanto a gente vai ter de dinheiro para tentar mitigar minimizar ou até eliminar um risco mas a gente vai tratar sobre gestão de risco Fica tranquilo Bom vamos lá vamos continuar aqui a gente vai agora até o finalzinho falando muito do do CIA ou Sid né Lembrando que a letra a a valab bility é de disponibilidade Então vamos lá primeiro confidencialidade aqui já são os termos né

E aí para quem tá se preparando pro exemplo de certificação é interessante lembrar um pouquinho disso aqui então o que que significa confidencialidade é aquela informação que não é disponibilizada ou não é divulgada para uma pessoa que a gente chama de entidade né pessoas entidades ou um processo não autorizado então assim quando eu falo entidade não necessariamente pessoal eu ten uma informação aqui at tem que ser eh confidencial Isso significa que de repente não é uma pessoa que precisa é um outro sistema é um outro aplicativo é um banco de dados é uma aplicação tá

isso pode ser encado como uma entidade Ok então tem que ser confidencial não é disponibilizado divulgada para quem você é fala não não é para ser disponibilizada pro público tá então ela tem que ser confidencial à empresa tá tudo mundo que não tiver autorizado não pode acessar segundo disponibilidade ou seja estar acessível e utilizável aqui tem o pulo do gato não é só visível ah consegui enxergar a informação mas você consegue utilizar a informação uma coisa você ver né acessar outra coisa você utilizar acessível e utilizável sob demanda por uma entidade autorizada de novo entidade

pode ser um sistema pode ser uma pessoa integridade proteção olha só que importante da exatidão e a integridade dos ativos a informação que eu tô vendo ali ela é íntegra né ela não foi modificada ela não foi colocada ali erroneamente no momento que ela foi transferida de um canto para outro do jeito que saiu aqui no ponto a foi ponto b é a mesma informação Ok é uma informação íntegra exata então confidencialidade integridade disponibilidade são os princípios críticos da segurança são os três pontos que a gente vai ter que lidar Quando Pensar em segurança e

reformação tá aí a gente precisa de aí a gente precisa deve olhar pro Cia para proteger o valor da informação sempre nesses três aspectos o ideal que esses três aspectos eles sejam tratados para você ter uma informação confiável tá que nem eu falei no slide anterior é a qualidade qualidade da informação a confiabilidade diz respeito a esses três ok que são os requisitos então pra gente fechar que a informação satisfaa o desejo a necessidade de alguém Ok vamos falar um pouquinho agora de cada um e eu vou dar alguns exemplos para ficar bem claro sobre

confidencialidade tá para cada um vou dar alguns exemplos aqui eu tenho certeza que você vai entender diferenciar quando a gente tá falando de controles que precisam ser focados mais em confidencialidade aqueles de integridade ou disponibilidade confidencialidade também chamada de exclusividade olha eu vou falar uma coisa que ninguém pode saber é só você é exclusivo é confidencial Então você estabelece quem não é autorizado a obter acesso a essa informação que eu vou passar para você tá então isso é algo confidencial diz respeito a quem pode obter Que tipo de informação Olha o que eu vou te

passar só você pode saber tá esse tipo de informação somente esse departamento pode ter acesso ok porque ela é confidencial a partir do momento que você restringe o acesso não autorizado é é um requisito de qualidade você tem que ter confidencialidade assegura que o nível necessário de sigilo seja aplicado né o mínimo de sigilo não digo nemhum mínimo né o assegurar o nível necessário de sigilo Ok é só leitura é execução é remoção é alteração Ah eu posso fazer eu posso ter acesso aqui mas eu posso atualizar né sim ou não é o nível é

o nível de acesso que você tem impede a divulgação Não autorizada Então se tem quando a gente fala de confidencialidade você tem que colocar controles que vai impedir que as pessoas não saiam divulgando porque é informação confidencial da empresa quantas histórias a gente tá ouvindo de informações vazadas Será que são informações vazadas ou tudo acontece um roubo né vende fora e alguém pega Será que Alguém de dentro da empresa pode ser intencional ou não colocado essa informação em público então a gente precisa lidar com isso tá vendo que não é só controles físicos lógicos mas

também políticas né a gente vai falar sobre isso prevalecer enquanto os dados Residem estão lá armazenados no sistema dispositivo ou até informações offline informações em papéis que estão armazenadas dentro de um cofre dentro de uma sala mantém enquanto as informações forem transmitidas do ponto a proon ponto b ela tem que ser mantida confidencial até chegarem no seu destino Então não é só informação que tá armazenada informação que está sendo transmitida também ela tem que se manter confidencial para isso a gente usa aí por exemplo criptografia tá fornecida através então de criptografia de dados tanto para

armazenamento para ninguém mexer lá e se conseguir ter acesso não vai conseguir utilizar informação porque ela vai estar criptografada ou a informação criptografada de um canto para outro tá então Então vai transferir informação confidencial criptografa Porque se alguém capturar isso no meio ele não vai ter condição de descriptografar e ter acesso à informação aí você vai ter que ter controle de acesso né então lembra Ah para esse tipo de pessoa Ele só pode ler para esse aqui pode remover esse aqui pode atualizar isso aqui pode inserir Então você tem que ter níveis de acesso controle

de acesso quem é que pode Ah o Joãozinho lá do departamento de contabilidade Ah o Huguinho do RH só pode ler Então você vai tendo todo esse processo de controle de acesso que é uma das Ferramentas que é um dos controles mais importantes dentro da segurança classificação de dados Então a gente vai rotular Como colocar uma etiqueta né falar ó Isso aqui é importante a você coloca uma etiqueta rotula por essa rotulagem vai nos ajudar estabelecer novos controles identificasse quando uma informação F Olha acessaram uma informação que não podia não uma informação pública tá tranquilo

então se você não tivesse rótulo você não tem esse controle Isso faz parte do quê da arquitetura treinamento do pessoal do pessoal nos Proc entos apropriados então não adianta você colocar controle se você não avisar para as pessoas que olha não pode passar pro coleguinha não pode dar acesso não pode emprestar senha né não pode emprestar seu equipamento para familiares levar para outro canto fazer uso inapropriado tudo isso tem que estar dentro de um procedimento tem que treinar conscientizar fechando a parte de confidencialidade antes da gente dar alguns exemplos Ou seja é o grau isso

aqui é importante tá é o grau em que o acesso à informação É restrito a um grupo definido de pessoas autorizadas quem são as pessoas autorizadas são essas então define o acesso que precisa tá então confidencialidade é o grau que isso acontece e por fim Visa proteger a privacidade dos dados Ok então quando a gente fala de privacidade tá falando necessariamente né Principalmente de confidencialidade agora vamos para os exemplos de medidas de confidencialidade eu vou colocar alguns exemplos aqui eh não exaustiva essa lista é só para você ter ideia né Quais são as possíveis medidas

que você pode ter sobre confidencialidade então se você tem muitos arquivos muitas informações dentro da sua empresa que estão ali vulneráveis que estão muito expostas então você pode pensar em situações como essa Ok Lógico que ao longo do treinamento eu vou passar muitas outras coisas a gente vai passar por quase todos os controles vamos lá controlar o acesso de um funcionário numa área financeira falei todo mundo pode acessar área financeira não a al são informações eh eh confidenciais o histórico de conversa por exemplo com clientes né o histórico financeiro valores de de vendas né você

tem que proteger esse tipo de informação e não é só fora é dentro também não faz sentido você pegar todo o balance financeiro por exemplo da empresa e abrir para todo mundo não sei de repente a empresa não tem capital aberto né então a gente precisa garantir que essas informações estão seguras protegidas Ou seja a tá falando de confidencialidade aplicar política de mesa limpa o que que é política de de mesa limpa é evitar falar pro pessoal não deixa papel importante em cima da mesa por isso que todo mundo é envolvido na empresa na segurança

da informação porque uma fachineira ela pode estar fazendo uma limpeza ali no corredor e ver por exemplo na impressora um papel impresso escrito né Eh confidencial Opa é uma não conformidade e né se você for encarar isso como uma uma Norma você tá né passando por um processo de e de colocar Norma ISO ou não né você tem encarar aquilo com uma não conformidade pô isso aqui não pode acontecer uma informação confidencial em cima da impressora ou em cima de uma mesa ou numa lata de lixo sem triturar o papel Ok então política ó política

vai ter sendo envolvido em tudo tá política é bem importante né se o a pessoa sair da mesa vai tomar um café ela é obrigada lá de repente na política colocar numa gaveta trancar levar chave pro café bom acesso a um usuário que não tem direito para alterar a configuração de uma estação de trabalho Quantas vezes a gente coloca uma um pólice ali no servidor mas o usuário ainda com jeitinho ele consegue driblar instalar alguma coisinha e fazer uma alteração Puxa vida Olha tem essa aplicação aqui da empresa mas esse aplicativo aqui que eu encontrei

na internet ele é maravilhoso Aí baixa aí Instala aí precisa ativar alguma coisa aí ele vai conseguindo ativar consegue mudar alguma coisa de repente ele tá como administrador da estação de trabalho isso pode ser catastrófico pra Rede Inteira não é só o computador não vai ser só destruído o computador se o atacante detectar que aquela estação de trabalho tá vulnerável e ele vai descobrir que dali ele pode ir para qualquer outro canto aí você tá perdido Então tem que controlar segregação de funções você pega as funções e divide Olha você desenvolve você testa você faz

requisito você faz análise você vai separando isso por de repente você tá lidando com informação que é sensível você separa isso você minimiza o risco né de de de passar aqui ó por exemplo quando alguém vai fazer teste não aí vai banco de dados lá as informações são anonimizadas são embaralhadas não são verdadeiras né então se você separa isso é mais fácil tá então segregação de função para que um desenvolvedor de sistema não faça qualquer alteração de informação por exemplo nos salários ele tá fazendo um teste tá fazendo uma aplicação ele tá fazendo uma validação

e de repente começa a fazer mudança começa a ter acesso Não é para ter acesso então assim se ele vai fazer uma mudança no sistema por exemplo do RH que as informações que caiam na na mão dele não sejam as reais que sejam anonimizadas ou dados aleatórios ok a gente tem que tomar muito cuidado que a gente fica muito tranquilo sabendo que e eh eh ah o desenvolvedor ele vai ter acesso a tudo que é importante ele ter acesso a tudo será mesmo né Será que o dba ele precisa ter acesso a todo tipo de

informação Será que o cis de mim precisa ter acesso a tudo né muitas vezes a gente vê que o Cisa de mim ele tem acesso a com tudo absolutamente todas as informações da empresa a gente precisa ver se Isso realmente é necessário se você vai trabalhar na área de segurança se atente a isso separação entre ambiente desenvolvimento teste homologação e ambiente de produção muito importante você separar isso aí porque a gente sabe que lá no ambiente de produção vai ter informação confidencial no ambiente de teste homologação tem que tomar cuidado então muitas vezes a gente

simplesmente faz uma cópia do ambiente de produção Joga lá pro ambiente de homologação para ficar homologando um ambiente de desenvolvimento e a gente não pode desenvolver é sair desenvolvendo em cima de informações reais confidenciais Então é bom separar o ambiente ter todo um processo para isso segregação de rede também Então depende deu um exempo aqui o departamento de RH tem uma rede separada não é só lógica tô falando fisicamente mesmo tem uma rede separada evitando o acesso a outras pessoas a informação é tão sensível que vale a pena de repente ter uma rede separada Ok

controle de acesso aos computadores de rede aí com ID com senha biometria biometria da da íris do olho é biometria digital enfim ter todos os tipos de recursos possíveis para proteger lembra a gente tem que fazer uma análise de risco para saber se vale a pena qual é o valor da informação a informação não tem tanto valor não vai gastar dinheiro com isso que mais criptografar o tráfego né a informação tá passando de um canto pro outro criptografa e aí essas informações vão estar confidenciais ou ainda utilizar a técnica de Traffic pading que que é

esse Traffic que perem você vai injetando informações né ao L Você tá jogando informação para daqui para cá E aí vai ter uns gaps vai ter momento que não vai ser enviado informações então nesses nessas lacunas nesses buracos você injeta informação um tráfico aleatório que se o atacante conseguir roubar essas informações ele não vai ter acesso à informação como se fosse uma criptografia Mas é uma técnica que você utiliza para fazer o tráfego de informação Ok segundo integridade vamos lá vamos ver sobre a definição de integridade que que é integridade é o grau em que

a informação está atualizada e sem erro eu bato o olho e vejo posso confiar nessa informação pode ela tem erro não não tem erro tá ela tá correta ela tá ali ó tá certa ok a gente vai definir o que que é correto e certo para para não ter dúvida a gente já chega lá bom se refere a ser correto e consistente ou com com o estado a informação pretendido Eu pretendo que a informação esteja exatamente aqui como deveria estar do sistema quando eu venho no sistema e puxo informação do banco de dados eu espero

que aquela informação que tá saindo no banco de dados venha para mim exatamente aquela informação isso é integridade Ok é evitar modificação Não autorizada também de dados de forma deliberada ou até acidental não eu vou atacar ou Putz foi sem querer esse sem querer Ele também é um furo de integridade Ok não é porque não foi feito por querer não teve a intenção de fazer manipulação dos dados fazer uma alteração foi sem querer não isso não é problema de integridade É sim tá até o sem querer ele é um furo aí de integridade é garantir

que programas gravem as informações corretamente e não introduzam valores diferentes ou desejados simples assim se eu chegar aqui no meu teclado e falar olha o preço desse produto é r$ 50 eu vou digitar R 50 e a informação que vai ser armazenada no banco de dados é r$ 50 ninguém vai atravessar no meio e vai modificar esse valor Se eu mandar o e-mail pro meu cliente o que eu escrev nesse e-mail é exatamente aquilo tem que chegar do outro lado tá isso se houver alguma mudança nisso aí no meio perdeu-se a integridade significa Que nada

Está faltando na informação ela está completa Olha tá toda a informação aqui tá aqui ó Tá faltando isso aqui e aí então você não tem integridade da informação tá pode ser que alguém Apagou sem querer Pode ser que foi deliberadamente vamos lá isso aqui é importante significa então integridade significa que a informação é completa Ela é perfeita ela é intacta ninguém botou o dedo não necessariamente a informação correta eu posso dar minha informação falsa mas que ela seja íntegra ou seja não foi alterada ela está perfeita Feita tá ela cumpriu com o meu propósito ela

tá completa é louco isso né então nem sempre falar essa informação tá correta sim porque ela é íntegra não não necessariamente Ok a informação ela pode ser incorreta ou não autêntica mas possui integridade como eu falei eu posso soltar uma informação falsa mas ela é íntegra ela tá ela é completa OK ela é intacta ninguém mudou do mesma forma ela pode ser correta e autêntica mas faltar integridade Ok então isso aqui é importante a integridade é comprometida quando ocorre o quê quando você fala assim Putz a integridade foi comprometida quando alguém consegue um atacante consegue

inserir por exemplo um vírus um Logic Bomb um Backdoor a gente vai explicar isso aí bonitinho nas próximas aulas qualquer tipo de vírus qualquer coisa que vá perder a integridade da informação principalmente e-mail né o e-mail sai de um jeito e chega do outro provavelmente Houve alguma coisa a informação que tá aqui no sistema quando foi pro banco de dados foi diferente Ou quando você puxou logo o banco de dados veio pra aplicação veio diferente porque alguém conseguiu colocar um vírus ali um na aplicação no aplicativo web ou o usuário insere ou modifica maliciosamente ou

não né os dados de um sistema Então você imputou lá a informação de uma forma errada você tá aí comprometendo a integridade exemplos de medida de integridade quando alguém de uma equipe por exemplo entra com um preço novo de um produto no site Olha não é para mudar Aí vem alguém lá sem gerenciamento de mudança vai lá no site muda o preço e não avisa ninguém pronto a empresa vai ter problemas porque vai vender pel um preço que não é real isso é problema de integridade que mais segregar funções para o desenvolvimento de um novo

produto que não pode ser realizado por apenas uma pessoa olha a gente já falou de segregação aqui em confidencialidade para integridade serve da mesma forma assinatura digital da mesma forma que a gente criptografo ali informação para sair de um canto para outro ninguém acessar a segurança a assinatura digital que é uma criptografia ela vai servir para proteger para garantir que a informação saia daqui não seja somente confidencial mas que ela não foi alterada Pode ser que nem se essa essa informação é pública Mas ela tem que ser intacta ela tem que ser íntegra qualquer pessoa

pode acessar Então não preciso ter a que essa questão de confidencialidade para essa informação porque eu rotulei essa informação como pública Mas ela tem que ser íntegra tá garantir que ninguém alterou ó Soltei uma informação e ninguém utilizou inteligência artificial para colocar palavras na minha boca exemplo Ok perdeu a integridade a política de uso de termos para cliente consumidor usuário Quantas vezes eu vou numa empresa falar ah a gente aqui põe as informações do cliente do Consumidor falei cliente é consumidor não tanto faz Será que tanto faz e aí você começa a perguntar para um

e outro cada um tem uma definição então a gente precisa estabelecer padrões dentro da empresa para que a hora que for inserir com essas informações em uma um sistema todo mundo utiliza o mesmo termo tá para cada um não ficar colocando ah essa informação Aqui é do cliente ou do usuário Qual a diferença do usuário olha independente do que que é um outro a tua empresa tem que definir isso e passar isso de uma forma numa política para todo mundo ok log de ações de usuários de forma que possa ser determinado quem modificou uma informação

então é interessante aqui nessa para medida de integridade ativar logs toda alteração não só Acesso mas alteração no arquivo alteração no sistema você vai ter no esse log armazenado para que se precisar você consega identificar quem é é quem é o culpado a gente vai falar um pouquinho sobre responsabilização e culpado daqui a pouco porque o Cia só trata desses três mas a gente vê que tem mais dois que a são importantes né responsabilidade e auditi bilil a gente vai chegar lá já bom vamos pro terceiro e último disponibilidade vamos lá disponibilidade é o grau

em que a informação está disponível para o usuário e para o sistema de informação que está em operação no momento e que a anização solicita ou seja preciso da informação ela tem que estar disponível é só isso não e vamos ver o que que o que que traz a indisponibilidade aí tenho certeza que muitas pessoas vão se reconhecer aqui porque a gente trabalha muito com disponibilidade e indisponibilidade principalmente Quem trabalha em central de serviço né trabalha com gestão de incidente problema Ok vamos lá o que que viola a disponibilidade então toda vez fal assim olha

a disponibilidade foi comprometida quando por exemplo falta acesso à informação provocada por uma falha de hardware ó queimou o servidor queimou uma placa de rede queimou um roteador queimou um Suit tá Qualquer coisa que teve acesso a a queimou deu danificou deu uma parada travou você não tem acesso à informação Você tem uma violação da disponibilidade Você tá vendo que isso aqui muitas vezes não é segurança só segurança de informação tá envolvido com uma infraestrutura inteira ou pior muitas vezes as pessoas falam não disponibilidade é coisa lá de infra né da it não tem nada

a ver com segurança de informação tem tudo a ver a gente só precisa discernir O que é uma coisa da outra porque a gente não pode encarar todos os incidentes como incidente de segurança Mas se a pessoa não tiver acesso à informação você tá ferindo um critério de uma informação confiável que é a disponibilidade então cabe a gente sim a segura informação ah indisponibilidade por exemplo devido um ataque tá sofrendo um ataque as pessoas pessoas estão atacando tua empresa isso causou uma indisponibilidade atraso que é ser do nível de serviço você definiu o nível de

serviço olha eu vou jogar informação daqui para cá em tantos milissegundos Se começar a atrasar o sistema ficar lento você vê que a informação ela até não tá ela tá disponível mas tá lento para acessar não adianta nada não adianta você falar assim não tá disponível 100% olha ontem não parou nenhum momento e a lentidão então não adianta tá disponível e você ter atraso para receber informação o cliente lá clica no enter demora demora demora para obter o o resultado um sistema que que pode ser afetado por falha de um software então não somente o

hardware mas o software também quais são as possíveis medidas pra gente lidar com violação de disponibilidade por exemplo backup Então é bom a gente manter um backup para substituir bem rápido algo que deu problema não Só backup de arquivo mas backup de peças também que mais funcionários qualificados né treinados parece bobo isso aqui né mas muitas vezes a gente tem backup tem tudo mas as pessoas não sabem fazer não sabem fazer uma substituição não sabem fazer os ajustes necessários para voltar à disponibilidade a gente tá falando do da área de tecnologia o que mais tem

são pessoas com qualificações distintas né e a gente precisa ter preencher todas as lacunas para poder fazer o que mais a gente faz né restaurar um um serviço um sistema que ficou fora do ar lidar com questões ambientais lembra que a gente tá falando de segurança e afirmação Então a gente tem que estar se preocupando com temperatura a gente tem que se preocupar com umidade eletricidade todos ess tipo de coisas né natureza naturais a gente tem que se preocupar quantas vezes né começa a chover tem gente que já começa a tremer né Aí se parar

se o gerador não ligar se não aguentar né o p não tiver potência para segurar issso aqui por tanto tempo é uma loucura sistema de detecção de intrusão famoso ids intrusion detection né para evitar qualquer tipo de ataque né você tem que colocar um sistema desse Porque se o atacante conseguir acessar provavelmente vai deixar o seu ambiente indisponível ah liberar apenas os serviços e portas necessários quantas vezes Peg um servidor lá que tá com um monte de porta aberta para quê vai fechando as portas não precisa ter essa porta aqui não precisa ter esse serviço

esse protoc Cola ativado vai desativando por qu você abre brecha pro atacante entrar e deixar o seu ambiente indisponível monitorar o tráfico de rede e as atividades dos equipamentos tanto o tráfico que sai quanto de entra porque onde sai de repente alguma pessoa de dentro tá jogando informação confidencial para fora ou o atacante conseguiu entrar pela surdina ali sem ninguém perceber e tá pegando todas as informações da tua empresa e levando para fora então o monitoramento é tanto de entrada quanto de saída qualquer coisa que você achou meio estranho Opa vamos atentar aqui OK pode

ser um ataque também um ddos muita gente atacando E aí vai causar uma indisponibilidade configurações adequadas de roteadores e Fares deixar Sempre atualizado bem bonitinho testar sempre e sempre toma cuidado com mudanças né muitas vezes a gente faz uma uma mudança e esquece de contemplar questões de segurança lá na rdm né na requisição de mudança vamos lá algumas características Na verdade são três características disponibilidade a gente diz um pouquinho mais você vê que eu falei né não adianta a informação tá disponível mas tá lento não tem a capacidade de acesso Então a gente tem aí

mais três características quando a gente fala de disponibilidade A primeira é a questão de oportunidade ou pontualidade ou seja Tá disponível no no momento que eu preciso Ok então é uma característica de disponibilidade ou ainda continuidade que que é continuidade teve algum problema teve um desastre você precisa recuperar essas informações e a precisa e as pessoas precisam continuar tendo acesso a essas informações como a gente faz isso através dos planos de continuidade ou conseguir fazer algo num nesse meio tempo até que o negócio se restabeleça então a gente precisa pensar em disponibilidade como algo muito

maior não é só um incidente de segurança mas é algo bem complexo ou ainda robustez né não adianta nada você falar que tá disponível mas ele não ter capacidade de entregar Olha a gente tem servidor que esteve esteve mês passado 100% ativo não foi 99.9 não foi 100% mas todo mundo reclamando não conseguindo trabalhar porque o equipamento o acesso seja log o que for não era robusto não tinha capacidade suficiente de fazer a entrega e aí como sempre vamos para o exemplo de medidas de disponibilidade vamos lá exemplo gestão e o armazenamento de dados para

evitar de informações Ok manter isso num ambiente seguro protegido com controle de acesso um dado que é armazenado em um disco e rede não disco rígido no computador então se você identificar que tem informações importantes você identifica onde isso quando você faz quando você tem uma arquitetura da informação quando você faz uma análise de risco você identifica que tem informações importantes dentro de um HD de um disco rígido de alguém e aí garantir que essa informação esteja na rede procedimento de backup muito importante procedimento backup e fazer o teste de restore atender requisitos legais quanto

ao armazenamento tempo de armazenamento local de armazenamento aonde eu vou armazenar essas fitas de backup dentro do data center não por favor né em o local externo nunca dentro do mesmo ambiente que você fez o backup criar procedimento de emergência para desastre recover para atividade que possam ser reparadas construa procedimentos tudo isso diz respeito à disponibilidade Lembrando que o conceito é muito muito mais amplo que só disponibilidade tá envolve capacidade envolve continuidade Ok ou que a continuidade é uma interrupção catastrófica né de grande escala e aí a gente veem aí com dois termos novos responsabilidade

e a auditabilidade terinho difícil de falar esses dois termos vieram graças a duas pessoas sarbanes e oxley devido a uma Fraude que teve famosa nos Estados Unidos da em esses dois se juntaram criaram o socs E aí tudo mudou Começou a Mudar o comportamento não só da estrutura das informações principalmente quanto questões contábeis tá porque houve uma fraude fiscal E aí criaram uma lei né a a socs para que seja implementada para aquelas empresas que t o capital aberto e aí Isso muda o comportamento do CIA Ok não é simplesmente só o Cia a gente

tem que saber quem é responsável a gente tem que ter acesso à informação então começou né Principalmente por conta da governança né houve a fraude houve tudo isso e aí foi criada essa lei E aí demonstra que a governança ela tá sendo feita então a empresa que tá alinhada ao a socs significa que ela tem uma governança estruturada e acaba afetando o triângulo Cia né tudo como a gente gerencia informação basiado em confidencialidade integridade e disponibilidade ela é influenciada com a responsabilidade e a auditabilidade Então por quê responsabilidade diz respeito o qu a responsabilização diz

respeito à culpabilidade ou seja quem que é a culpa a gente precisa identificar isso também numa auditoria numa governança numa Sox você precisa colocar o nome das pessoas Ó teve algum problema a gente furou aqui integridade quem quem é responsável quem presta conta a gente vê muito isso da Matriz Race né o responsável o a accountable né o informado consultado e aqui a mesma coisa as pessoas têm que ser responsabilizadas seja o dono do serviço o dono da informação a o própria área de negócio é responsabilizada a área de segurança então a gente precisa colocar

nomes nomes para isso tá exigência do socs E aí vem a auditabilidade que é o poder de fazer auditoria Então as informações tem que ter a a tem que tá ali disponíveis para ser feito auditoria isso é muito importante para informações principalmente contábeis tá então o acesso ao tipo de informação para uma auditoria ela os auditores têm que ter acesso mas Adriano sempre não necessariamente Mas você corre o risco que tipo de risco se a informação ela não tiver disponível para auditor ela Ele vai tomar uma atitude ela vai tomar uma decisão no achismo dele

isso é perigoso a gente vai chegar lá registros bem organizados e completos então para você ter algo auditado você precisa ter o registro de absolutamente tudo olha integ idade né criar log ali para monitorar tudo tem que estar em conformidade com os padrões contábeis tá falando socs Sox ele tá muito focado ali em contabilidade AD não tem nada a ver com T tem tudo a ver a informação que tá armazenada no banco de dados é responsabilidade da pessoa de segurança informação de proteger né privacidade e é informação confidencial e informação muito importante principalmente porque muitas

dessas empresas que estão sobre a socs estão com capital aberto e os investidores querem ter Transparência então a auditoria Envolve o quê avaliação de controles de qualidade ou seja o que foi definido como requisito é o que tem que ser entregue então a auditoria vai avaliar isso se o que foi definido Ali pela área de negócio é o que a ti tá entregando é então é algo de qualidade lembra que eu falei na primeira aula segundo gerenciamento de risco tá auditoria envolve gerenciamento de risco Ele quer saber se você tá fazendo a gestão de risco

tá identificando novas vulnerabilidades o que que que você tá fazendo o que que a empresa faz quando encontra algo novo Olha apareceu uma vulnerabilidade a empresa só fica olhando ou ela toma uma ação e aí fechando sem acesso às informações o auditor o que que ele vai vai fazer ele vai expressar uma opinião sobre a contabilidade sobre os termos financeiros da empresa Isso é muito ruim e a gente vive ainda vendo acontecer muito no mercado inclusive no Brasil Empresas Grandes Empresas que tem governança que tem toda uma estrutura conforme o socs aqui no Brasil não

necessariamente o socs Né o banco central ele tem as leis lá para específicas para as empresas daqui e continua tendo coisas problemas fraudes fiscais por você não obrigado ali liberar porque uma informação confidencial tá vendo o impacto então o auditor ele vai expressar uma opinião dele que pode ser boa ou ruim então a gente vê grandes empresas tendo estrondos né olha barulhentos os os rombos que a gente vê e normalmente você chega na auditoria e fala ah não posso falar porque é confidencial então a gente fica um pouco de mão atadas Ok mas é importante

saber disso que a gente tem que dar acesso às informações pro consultor mas também não somos obrigados mas a gente por outro lado corre o risco de uma ter uma interpretação errada OK bom niste além da Cia ou do ccia né o list como eu falei é um Framework mais voltado pra área de Cyber e como a gente tá vendo aqui eu vou até colocar a canetinha com laser tá vendo que a gente tem aqui lembra que para cada controle a gente vai ter o tipo de controle a gente vai ter as propriedades de segurança

se é confidencialidade integridade disponibilidade né aí a gente vai ter os conceitos de Cyber que é o que a gente vai ver agora e depois a gente vai ter as capacidades operacionais os domínios de Segurança ao longo do treinamento a gente vai vai ver muito sobre isso aqui eu vou nesse momento explorar um pouquinho os os tipos né não precisa sair querer memorizar isso que é só para você entender que para cada controle você vai encontrar alguma coisa ali e aí aquilo vai te ajudar a te a a Navegar Ok bom vamos contar um pouquinho

a história do niche nich é Instituto Nacional de padrões e Tecnologia dos Estados Unidos e ele criou em 2013 o csf que é um belíssimo Framework de segurança cibernética e esse Framework é maravilhoso pra segurança cibernética e aí o que que a norma ISO fez ela foi lá e puxou então em 2018 ela foi descrito na na Norma ISO IC né 2773 Lógico que é o modelo limitado não é o Framework todo do csf que é muito bom é completaço é maravilhoso é uma versão limitada o suficiente pra gente entender Qual é o conceito do

do desse Framework tá E aí como que eles fizeram essa integração com a 27.001 27002 ele aborda com base nos seguintes princípios identificar tá então todo o controle que você encontrar ou ele vai tá escrito lá ó esse aqui ele trata da dos conceitos de Cyber que é a terceira Coluninha aí ó é identificação é proteção é detecção é resposta ou recuperação tá isso significa o seguinte deixa eu voltar aqui quando a gente fala que a gente tá na etapa de identificação a gente tá falando necessariamente da fase de mapear e analisar riscos tá vendo

que até na área de Cyber a gente tem que analisar risco Ok se a gente tá falando da questão de proteção significa a gente precisa tomar as medidas de proteger a informação ou detecção eu ten que ter recurso eu ten que ter ferramenta eu tem que ter coisas que me possibilite detectar uma invasão detectar um problema para responder é a próxima então assim eu vou ter que ter controles específicos que me ajuda a estabelecer procedimentos Adriano tem isso na Norma tem se você tá por exemplo eu tenho o problema de fazer de responder ao incidente

de segurança você vai na Norma Olha a terceira coluna na matriz e fala assim quais deles estão relacionados à resposta esse esse esse controle não é 100% OK Inclusive a gente vai ver que o pros tip de controles que é o primeiro não tem todos tem os principais quando a gente vê o o fluxo de um incidente de segurança você vai perceber que não são todos mas é o suficiente para no nos nos orientar tá ou recuperar que é para reparar um incidente casuso aconteça a gente vai explorar isso aí mais ao longo do curso

medidas no ciclo de vida do incidente para pegar uma outra Coluninha dessa tabela a gente vai falar um pouquinho sobre o ciclo de vida de incidente normalmente como que é o incidente acontece vamos lá começa o seguinte a gente tem uma ameaça a gente sabe que tem alguém e e que pode invadir nosso ambiente corromper alguma coisa o nosso site de repente se ele consegue E aí ele pode provocar alguma coisa uma indisponibilidade então normalmente Eu tenho um incidente de segurança ele tá ou a gente tá sobre ataque e aí se a gente tiver sobre

ataque Muito provavelmente a gente vai ter que eliminar o dano a gente tem que né prejudicou ele tirou um site do ar teve incidente arrancou Apagou as informações ou é um né criptografo e tá pedindo Resgate E aí a gente tem que fazer todo o processo de recuperar o ambiente inicial Tá normalmente o ciclo de vida do incidente é esse temos uma ameaça se ele conseguir invadir vai ter um incidente ele vai prejudicar nosso ambiente vai ter um dano alguma coisa vai acontecer e a gente tem que entrar ali para fazer a reparação a recuperação

o mais rápido possível e esse é um ciclo infelizmente eterno vai sempre acontecer isso aí ameaças sempre vão existir bom Quais são as medidas a gente tá falando de medida então para cada etapa disso aqui para cada ponto específico desse ciclo de vida teremos ações distintas se teremos ações distintas teremos controles distintos e para cada nome dessas ações serão o tipo de coisas que você vai encontrar no quadrinho na matriz ou no tipo de controle Então vamos lá primeiro se temos ameaça Qual é o nosso papel como profissional de segurança tentar reduzir esse tipo de

ameaça então a gente precisa ter controles para isso Ou prevenir que aconteça um tipo de incidente ó Adriano não teve como aconteceu um incidente Então vamos colocar controle para detectar os incidentes Que tipo de recurso a gente pode para detectar incidente porque muitas vezes a gente é atacado e nem sabe a gente nem sabe aconteceu o incidente danificou e nem percebemos que fomos atacados porque a gente não tem não tinha por exemplo um simples ids né um intru setion repressão evitar que se alastre tá no desespero olha atacar esse servidor meu Deus tá atacar o

outro cara desliga tira o cabo de rede de todos aí você evita né você reprime você represa vamos dizer assim o o o o o problema é que nem um incidente que nem um incêndio começou a pegar o o fogo e aí o que que você faz para reprimir você vai ter que fazer tudo para que o fogo não se alastre né numa floresta faz um buraco em volta né vai fazendo o um círculo em volta para que o fogo corte chegar a isso ele apague Então você tem que evitar que o negócio se alastre

Ah não teve como causou dano Então a gente vai entrar para corrigir Ok E aí fazer a recuperação do ambiente ciclo de vida de um incidente é esse bem importante Ok interessante você dar uma boa memorizada nas etapas imaginar como aconteceria realmente passar por tudo isso aqui né normalmente a repressão acontece antes da prevenção não né você tem que se prevenir antes de ter um ataque Então você precisa né não digo decorar mas entender como que funciona né imagine uma área de segurança uma área da central de serviço lidando com o incidente ele passa por

isso aqui OK vamos lá que mais os atributos de controle de novo né então para primeira abinha é o que a gente já viu que são os tipos de controle preventivos IOS e corretivos que tá baseado no último fluxo que a gente viu do ciclo do do do incidente o segundo domínios de segurança cara a gente vai falar aqui sobre governança ecossistema a gente vai falar sobre proteção sobre defesa resiliência você vê que para cada tipo de coisa você vai para cada tipo de controle você vai ter esse domínio ou você vai ter a matriz

fal eu tô aqui muito interessado nos controles que focam em defesa ah ah quais são os outros domínios ó a gente tem aqui de resiliência né de voltar ao estado inicial de proteção e assim sucessivamente para cada controle vai ter isso de uma certa forma até tinha no passado mas agora ele tá bem descrito bem organizado bem categorizado não para por aí nós temos as capacidades operacionais E aí são várias governança aqueles controles que tratam de gestão de ativo da empresa a proteção da informação segurança pessoas segurança física da estrutura física segurança de um sistema

segurança da rede segurança de aplicativo configuração segura gerenciamento de identidade gerenciamento de acesso de ameaças e vulnerabilidades gerenciamento de continuidade segurança nos relacionamentos com os fornecedores como você lida com os fornecedores é seguro né ele passa informação você passa informação para eles como que é esse relacionamento né Tem um um um acordo de nível de serviço tem um NDA né um termo de confidencialidade a questão legal conformidade tudo isso mais aqui ó gerenciamento de eventos de segurança da informação garantia de segurança da informação Gente é muita coisa tá E aí se você quiser saber cada

um desses tipos de de atributos de controle quiser saber todos os atributos é o que a gente vai ver que em seguida E com isso a gente chega no final desse desse módulo aqui que a gente fala sobre os conceitos em princípios bem básicos de segurança a gente só tá no comecinho a gente não falou ainda a gente não falou sei lá 5% ainda do que esse Universo de segurança da informação somente baseado na Norma ISO 27001 E2 e aí eu te espero na próxima aula onde a gente vai falar um pouquinho sobre gerenciamento de

risco e depois vamos começar a falar sobre os controles tá bom e eu espero lá um grande abraço [Música] [Música] valeu Olá seja bem-vindo ao módulo que a gente vai falar sobre riscos gerenciamento de riscos uma coisa tão importante tão negligenciada por muitos né porque é um processo que a gente tem que fazer antes da gente pensar implementar qualquer prática qualquer ferramenta qualquer processo qualquer controle contramedidas salvaguardas que constam na ISO 27001 Então vamos lá vamos começar vamos falar tudo sobre gerenciamento de risco que eu tenho certeza que vai ficar bem claro da importância dele

então primeiro eu gosto de fazer isso aqui falar um pouquinho sobre a matemática da avaliação de risco né então toda vez que a gente é surpreendido aí com esse processo de ah a gente tem que fazer uma avaliação de risco né O que que é essa avaliação de risco e aí eu fiz uma Matemática Simples então uma avaliação de risco é a soma de três coisas muito simples primeiro a identificação do risco ou seja identificar lá fal Olha consegui identificar isso aqui a gente tá vulnerável Então esse risco é maior tem um impacto maior Então

a gente vai primeiro identificar depois a gente vai fazer a análise de risco que aí sim é um processo robusto muito importante e lembrando que não é só análise de risco a gente precisa também em estimar tá e quantificar Qual é a chance qual é a probabilidade de um risco acontecer a gente vai explicar isso aqui certinho cada um deles Fica tranquilo no do meio que é análise de risco a gente vai explorar um pouquinho mais então vamos lá então a avaliação de risco ele deve incluir essas três atividades ok que é uma abordagem sistemática

grande robusta para tentar o máximo estimar a magnitude dos riscos Ou seja a análise de risco assim como que é o segundo que é o processo de comparar os riscos estimados com com os critérios de riscos que foram estabelecidos pelas áreas de negócio no nosso levantamento e a gente vai mostrar aqui um pouquinho na prática como seria realmente essa análise de risco Então vou dar três cases bem curtos e aí são três perguntas que a gente consegue fazer E já consegue fazer uma análise de impacto bem interessante as pessoas têm um pouco de rece meio

de medo por falta até de conhecimento do negócio mas a partir do momento que a área de segurança da informação começa a conhecer o negócio começa a entender fica mais fácil esse processo de análise de risco Ok E aí então o segundo é a parte de estimativa do Risco vamos ver um pouquinho cada um desses para não ficar confuso Então vamos lá dentro da avaliação de risco a gente tem então a parte de Identificação do Risco o que que é feito nessa atividade de identificar Então a gente tem primeiro é identificar Ok então é o

processo de sair reconhecer encontrar quais são os riscos descrever os riscos Olha a gente tem um risco aqui de inundação Então escreve Olha a gente tem um risco de ataque a gente tem um risco de roubo de informação de vazamento né de vírus de fich Então a gente vai anotando tudo e descrevendo quais são os riscos bom mas Adriano já logo de cara a princípio sim tá mas a gente tem um processo dentro de análise de risco que vai deixar bem claro nessa parte ainda de envolve a identificação das suas fontes ou seja de onde

tá vindo isso será que esses riscos são internos externos humanos não humanos a gente já vai ver isso tudo bonitinho tá E também a gente aproveita já Analisa aí ver mais ou menos qual o potencial a potencial consequência né Qual que é o dano que ele pode causar não só em termos financeiros e pode envolver também dados históricos coisas que você já tem antiga fazer uma análise teó então muitas vezes na análise de risco a gente não não só Visa a parte quantitativa mas a qualitativa também tá E aí a gente vai precisar de um

monte de coisa inclusive conversar com as pessoas pegar pareceres e fóruns e olhar estatística tá não só olhar internamente mas olhar para fora também olha esse risco aqui na região é fácil de acontecer não é não é muito provável dá uma olhada na internet dá uma olhada o que tá acontecendo no setor se você tem uma tecnologia dentro de casa vai dar uma uma olhada para ver se ele sofre alguns riscos é o que eu costumo falar por exemplo ah o o Linux ele é muito mais seguro que o Windows sim mas isso não significa

que as ameaças não existam el existem tá tem muita gente tentando atacar o o Linux porém o Linux ele tem um baixo risco porque ele tá menos vulnerável tá então tem um pouco a ver sobre a vulnerabilidade e a exposição ao risco que também a gente vai tratar aqui bom aí vem a segunda coisa que é a análise de risco que é o grande processo que a gente a gente vai tratar daqui a pouco tá é um processo que compreende a natureza do risco vai ficar claro quando a gente fala sobre a natureza né Não

só a origem Mas como que é esse risco o tipo de risco estratégia de risco que a gente vai ver no final e tem a finalidade de determinar o nível de risco são até por por conta de impacto por conta de não só o custo para proteção mas de recuperação também proporciona uma base para estimar o risco se o risco é baixo se o risco é alto se ele tem probabilidade de acontecer ou não base para decisões sobre o tratamento de risco Por que decisões porque eu posso simplesmente aceitar o risco eu posso ser neutro

ao risco não indiferente mas neutro fazer com que todo o processo aconteça de proteção Minimizar os danos o incidente ou até evitar o incidente Ou aquele que não tem que evitar todo o custo e aí a gente vai ter medidas para isso tá então para cada tipo de decisão a gente tem algumas medidas que estão dentro da 27.000 um A análise de risco inclui então a estimativa também que é a parte a terceira partezinha que a gente vai atribuir valores simplesmente assim atribuir a probabilidade no a tem 30% de chance de acontecer o impacto disso

é tanto né então a gente trabalha com números e também atribuição de valor de impacto que um risco pode ter a probabilidade da sua ocorrência Qual que é a chance dele acontecer tá então a gente pode atribuir números ou também simplesmente baixo médio alto tá então a gente pode colocar isso estimativa faz parte aí dentro desse processo gigantesco de avaliação Adrian eles estão separados não não está separado só tô dando um contexto aqui como que a gente fala muito de avaliar real a gente tem que avaliar o risco hein sempre avalia o risco antes de

colocar alguma coisa antes de fazer uma mudança né então a gente tem que sempre fazer essa avaliação então a gente costuma muito falar sobre avaliação e saiba que avaliar envolve principalmente três coisas né identifica faz análise e essa análise subit que você tá faz fazendo uma estimativa Ok para isso então a gente entra dentro do conceito que é desse módulo que é gerenciamento de risco que é algo muito maior né O que que é gerenciar risco então para explicar o gerenciamento de riscos a gente vai começar a pequenininho né de passo a passo para você

conseguir compreender tudo então primeira coisa é análise de risco Então a gente vai voltar a análise de risco porque a análise de risco é o processo Core aí dentro de um de um uma magnitude maior sobre o gerenciamento de risco então mundo normalmente fala assim olha eu trabalho na equipe de gerenciamento de risco O que que você faz uma das coisas é isso aqui é análise de risco Então vamos ler aqui a análise de risco ajuda a saber contra o que nos proteger e identificar o risco tá então a gente já viu a parte de

identificação ok a gente vai identificar Quais são os possíveis riscos que nossa empresa está sendo submetida está exposta E aí a gente vai fazer uma análise tá a gente vai detal ISO aqui bom agora só títulos de exempl até pra gente ficar na mesma régua né porque a gente acaba ouvindo há um incidente o risco uma ameaça a gente vai começar a definir algumas coisas para ficar bem claro Tá então vamos lá quando uma ameaça surge tá inicia um processo de análise de risco Adriano Como assim uma ameaça surge a gente vê muitas vezes Olha

tem um novo vírus circulando e ó vou até dar um exemplo por exemplo que eu gosto né da chuva Olha tá ameaçando chover Qual que é o risco para mim de me molhar eu posso tomar algumas decisões ou não tá mediante a esse risco porém a gente sabe que a ameaça ela existe a gente não tem muito controle tá a gente não consegue ter 100% de proteção contra uma ameaça ameaça existe atacante sempre vai existir bandido sempre vai existir sempre alguém vai querer atacar a nossa empresa roubar informação tirar proveito disso sempre cabe a gente

analisar se a gente aceita ou não e vai depender muito sobre a vulnerabilidade que a gente tá tá essa esse tripé é muito importante tá ameaça sempre existe e o risco se ele é alto ou não vai depender muito do valor do nosso ativo e se a gente está vulnerável a essa ameaça ou não E se a ameaça for concretizada a gente vai ter algumas ações algumas medidas que a 27001 explica tá então exemplo ah novo vírus começou a circular aí ou seja uma ameaça nova apareceu Quantas vezes a gente vê aí vulnerabilidade de descoberta

ou ameaças ou novo vírus um novo tipo de ataque um novo tipo de Fishing a gente tá toda hora recebendo isso nas nossas redes sociais olha Tá circulando um golpe aí né de engenharia social tá ou uma tempestade começou a se formar você já começou a ouvir Trovão a tua empresa não tá numa localização geográfica favorável De repente é mais queda Então se chover pode inundar a tua estrutura um outro termo bastante importante incidente quando essa ameaça ocorre ela se concretiza ela se manifesta Aí sim ele se torna um incidente E aí a gente vai

ter que tratar se a gente não conseguir represar né reprimir evitar deixar que evitar que ele aconteça se acontecer a gente vai ter que lidar com o incidente de segurança da informação Ok exemplo então quando o hacker invadiu e houve uma falha de energia Tá então não não teve como né a gente tentou tentou tentou você proteger aqui não conseguiu a gente não conseguiu E aí atacou e prejudicou nossa empresa Ok Isso é um processo gerenciamento de riscos é um processo contínuo ele não para a gente vai ver depois um outro ciclo né que fica

bem interessante com todas as partes do que eu explicar aqui mas já entenda que é um processo que não tem tem começo meio fim mas ele volta ele não tem um fim né porque ameaça toda hora tá acontecendo se não houvesse ameaça toda hora tudo bem ele teria um processo finito mas é infinito tá então mais ou menos isso a gente vai ter que trabalhar dentro do gerenciamento de risco sempre tentando identificar os riscos fazer um um exame desses riscos e fazer o máximo para reduzir as consequências os danos e normalmente quem faz isso são

duas pessoas importantes ou ISO ou siso né o diretor ou responsável pela segurança da ação OK agora vamos colocar nome aos bois vamos lá o que que é um risco é o próximo slide risco Vamos definir o que é o risco aqui é que é importante porque a gente pode confundir risco ameaça a exposição vulnerabilidade são quatro itens bem importantes Então vamos lá vamos tratar sobre risco o que que é um risco primeiro efeito de incerteza sobre os objetivos bom lembra falei da chuva o meu objetivo é me manter seco eu Posso ou não me

molhar então é uma incerteza se é uma incerteza é um risco Olha o atacante pode ou não entrar na nossa empresa é um risco Olha esse vírus pode ou não atacar a gente é um risco Olha esse fiche esse esse espan que o pessoal tá mandando né um ror qualquer tipo de coisa olha é um risco ele pode ou não Então a partir do momento que a gente tem a incerteza é um risco e olha e a gente tá falando daquele risco negativo Por que Adriano risco negativo porque a gente tem o risco positivo sei

lá ah eu tenho o risco de ficar milionário de um dia pro outro é um risco Mas isso é bom a gente tá falando aqui risco de segurança da informação que necessariamente não é tão bom assim né então os riscos eles sempre vão levar nessa nessa situação aqui a uma coisa ruim pra empresa OK então é o efeito de uma incerteza estou inseguro estou incerto é um risco Adrian não sei se isso aqui que eu vou fazer que eu vou mudar que eu vou implementar isso aqui que tá acontecendo Eu não sei se vai dar

certo ou não é um risco tá bom risco também é a probabilidade de um evento ou seja de uma ameaça se concretizar se manifestar se a gente acha que olha Pode ser que se chover eu vou me molhar eu não tenho certeza absoluta porque de repente é uma chuva com vento pode ser uma chuva com granizo né então se existe essa probabilidade de se concretizar significa que eu tenho um risco tá Adriano eu não vou sair de casa pode chover à vontade então o risco é bem pequenininho né se você tá dentro de casa a

chance de você se molhar é quase zero quase Ok é a combinação da probabilidade de algo acontecer né de um evento acontecer e as suas consequências então assim olha tem a grande chance de chover mas eu não vou me molhar então não tem consequência nenhuma então a gente tem que sempre Balancear isso agora se eu tiver andando na rua e eu tiver vulnerável o risco de eu est molhado ele sobe nas alturas lembra que um efeito é um desvio do que esperado então assim o que que é o risco Ah eu espero que eu chegue

seco até a empresa se acontecer alguma coisa diferente disso tiver um desvio esse efeito né causado pelo pela ameaça significa então que eu tô vulnerável é um risco Ok saiu do da forma que tá sendo esperado é um risco pode ser positivo ou negativo como eu falei né de repente saiu por um caminho e deu muito certo mas normalmente a gente tem que lidar sempre com o o pessimismo é uma função ingrata né a gente é muito pessimista quem trabalha com gerenciamento de risco tem que sempre sempre enxergar o pior tá infelizmente você não enxerga

o lado bom né das coisas sempre vai enxergar o lado ruim Negativo você vai ser o pessimista da empresa aonde você estiver andando vai ter uma nuvem em cima de você né que mais os objetivos podem ter diferentes aspectos Como assim vamos lá pode ter aspecto financeiro Então assim posso perder dinheiro tô tô em risco tá que mais saúde e segurança inclusive humano a gente vai ver aí nos próximos módulos controles humanos então o humano ele precisa ser protegido também contra ameaças segurança da informação é a nossa área tá olha que interessante a gente não

aqui dentro da da da desse treinamento aqui quando a gente fala de segurança e informação a gente não tá só se importando com a segurança de informação mas a gente tá se importando com os ativos também Adriano O que que é ativo é o prédio é um servidor é o funcionário são os fornecedores os clientes que estão dentro da empresa por exemplo Ok metas ambientais também eu quero proteger quanto a meta ah poluição algum vazamento né qualquer tipo de coisa bom e pode ser aplicado também em diferentes níveis segurança da informação e a gente já

sabe já já já entendemos que tem que ser em todos os cantos da empresa mas o gerenciamento de riscos também todos os cantos da da da empresa se a gente tá falando segurança informação se a informação tá em todos os cantos o gerenciamento de risco tem que ser em todos os cantos Ok então desde do lado nível estratégico até o nível operacional em toda a organização tá vendo que eu não tô falando de gerenciamento de risco só na ti Adrian Eu trabalho na ti eu sou gerenciamento de risco de ti mas gente não não dá

para enxergar somente ti porque as informações estão em todos os cantos da empresa projeto também projeto não causa risco pode ser um com risco de não entregar no prazo risco financeiro que mais produtos geram riscos e também processo um processo não bem executado ele pode gerar um risco financeiro pode gerar um risco de segurança da informação pode gerar um risco de a saúde ao ser humano tudo isso tá então você vê que todos os tipos de diferentes riscos eles podem ter o os objetivos aí de diferentes aspectos envolvidos Ok vamos aos exemplos para ficar aí

Claro de uma vez por todas exemplo de risco e aqui quando a gente vê tem alguns itens que é muito semelhante a vulnerabilidade ameaça sim é bem semelhante mas a gente precisa entender o contexto Tá então vamos lá riscos um fal você tem um fal lá e deixa algumas portas abertas ó Isso é um risco tá por a ameaça existe se você deixou a porta aberta um ladrão pode entrar é só imaginar tua casa você deixou a tua casa foi passear foi viajar foi na padaria e deixou a porta e a janela aberta ladrão existe

Qual que é a chance dele entrar na tua casa vou di eu deixei a janela aberta deixei vulnerável tô totalmente exposto o risco aumenta Tá mesmo se você trancar a ameaça existe não o fato de você trancar a tua casa não vai eliminar a existência do do ladrão do bandido Ele sempre vai existir é isso que você precisa entender então quanto mais você fizer o gerenciamento de risco menos chances você vai ter de ser surpreendido que mais usuário sem treinamento nos processos e procedimentos aquele se recusa a olhar procedimento ele vai lá no ambiente de

produção e começa a mexer ADR se risco de segurança é o risco de segurança Com certeza ele pode danificar um banco de dados uma base de dados informações ele pode fazer um monte de coisa então se esse usuário não tiver treinado ele pode fazer besteira Que mais um ataque ao site não precisa nem falar né Cyber segurança aqui tem que ser prioridade engenharia social com os funcionários da Titi eu coloquei funcionários da ti mas pode ser qualquer tipo de funcionário a gente sabe que o engenheiro social ele vai pegar a parte mais vulnerável e normalmente

a a a equipe de te normalmente né as pessoas são mais antenadas ficam mais espertas recebeu um e-mail uma ligação foi abordado fora da empresa no restaurante no corredor no estacionamento fica um pouco mais ligeiro e a gente tem que ensinar todos os outros funcionários que são importante né engenharia social é complicado mexe aqui ó com a cabeça com o psicológico se aproveita de fragilidade e de fraqueza das pessoas vulnerabilidade de sistema opercional no servidor é só exemplo tá essa lista aqui ela pode ser ex podia ficar horas e horas falando a gente sabe que

existe muitos riscos né só para estimular você entender o que que é o risco tá sistema operacional desatualizado risco enorme um incêndio ou uma enchente é um risco é risco de incêndio risco de incêndio de Enchente não é que já aconteceu Ok é um risco pode acontecer um funcionário que não trabalha no RH e acabou obtendo acesso o diretório lá do RH e começou a olhar dados sensíveis ou privados de todos os funcionários como por exemplo folha de pagamento sua empresa é atingido por uma falha de energia normal como que a gente faz para proteger

um controle né A gente vai ver isso coloca lá um gerador alguma coisa a gente vai ver lá pra frente um hacker consegue obter acesso à rede wirs da ti ou da empresa né também não precisa ser só dat o hacker conseguiu acessar a hora que a partir do momento que ele consegiu acessar ali o WiFi ele pode ter acesso a todo o ambiente vazamento de Formação confidencial de uma equipe de cal Cent da repente lá a pessoa no calcenter deixou vazar uma informação que não podia de repente mandou um e-mail pro cliente sem querer

mandou a base do cliente inteiro quantas histórias a gente já ouviu sobre isso né manter a porta aberta do data center ou esqueci de trancar esqueci de fechar né aquelas portas que tem ã né aí para deixar o coleguinha entrar ele coloca um pedacinho de papel ali no ã paraa porta não travar Ok risco besteira trava né falta de atualização de softwares aplicativos né tem muito a ver também com o sistema operacional assim a gente tá cansado de ver olha apareceu uma nova vulnerabilidade lá do Java N E aí a versão tal aí tem que

sair atualizando tudo normalmente não dá tempo né primeiro a gente descobre que tem uma ameaça E aí depois a gente vai tratar a vulnerabilidade a gente olha ih a gente tá vulnerável vamos tratar vamos atualizar equipamento emprestados para um parente do funcionário Então a gente tem todo o processo tem toda segurança tem tudo bonitinho aí o pai chega em casa com notebook que é da empresa ou até dele mesmo que utiliza para acessar os dados da empresa entrega pro filhotinho lá pro filho aí o filho acessa a internet acessa alguns sites dá uns cliqu aqui

outros aculá pronto infectou o notebook a hora que o funcionário volta na empresa espetou o computador na empresa prolifera tudo tá então é risco não pode emprestar filhos parentes colegas amigos né equipamento de trabalho tem que ser seguro agora vamos lá para um outro termo ameaça tá ameaçando a chover tá o risco é eu posso me molhar Ok então ameaça a causa potencial de um incidente indesejável que pode resultar em danos a um sistema ou organização ou pode resultar e eu ficar todo molhado tá vamos lá se algo resultar em dano chama os de ameaça

se algo resultar não é ah resultou aí é um incidente se algo resultar se algo pode resultar é uma ameaça Ok eu posso me molhar Porque existe uma ameaça de chuva pode acontecer ou não mas existe Se começar a trovejar começar a sair uns raios né a chance é cresce se o que temos é vulnerável falho ou deficitário abriremos brecha para o ataque por isso que tratar a vulnerabilidade é aquele que aproveita dessa vulnerabilidade Ou seja a ameaça que aproveita olha achei uma porta aberta aqui você tá vulnerável eu vou entrar essa pessoa ou essa

aplicação isso que acontece é chamado de agente de ameaça ou agente ameaçador Ok então qualquer coisa que se aproveita de uma uma vulnerabilidade é um agente de ameaça alguns tá um agente de ameaça pode ser um ladrão roubando a sua casa pode ser um invasor acessando gente quando eu falo sua casa quando eu falo outros exemplos é para tentar contextualizar Ok ah porque a gente tá focando aqui segurança da informação para empresa mas também óbvio né tudo que a gente aprende aqui tudo que a gente tá aqui eu explicando eu aplico inclusive na minha casa

né então vamos lá um evasor a sessão na rede através de uma porta de Firewall Lembra eu tenho risco eu manti a porta aberta lá existe a ameaça dele entrada tá vendo o que ele se repete só que num contexto diferente então um invasor acessando é uma ameaça alguém acessando indevidamente os dados de terceiros né dep repende você mantém lá um banco de dados um servidor de diretório alguém pode acessar isso é uma ameaça ó existe a chance de isso acontecer tá a probabilidade um funcionário violando uma política de segurança muito comum né infelizmente inclusive

funcionários da própria a da própria segurança de informação violando a própria política que que ele acabou criando ameaça de terrorismo né tem a chance de acontecer uma guerra a uma nação Eu não sei onde você trabalha de repente você trabalha em países que sofrem ameaças de terrorismo constantes né ah um tornado destruindo uma instalação uma chuva uma tempestade não preciso nem falar em outros países Porque fala de furacão tornado né existe essa tipo de ameaça esse tipo de ameaça no Brasil já não existe com tanta frequência né a gente tem aí no sul alguns pequenos

né diferente que acontece em outros países mas a gente tem outros tipos de catástrofes né não temos terremoto mas temos chuva eh desmoronamento né temos algumas outras coisas relacionadas à nossa a situação do país eh um funcionário cometendo um erro não intencional expondo informações confidenciais Então assim tá vendo que não é porque não foi intencional não é uma ameaça a pessoa pode sem querer né pegar achar um pendrive com vírus e espetar no notebook sem querer infectar toda a rede el não fez isso de propósito né Mas isso não exclui uma ameaça ele pode ser

uma ameaça aliás tudo é uma ameaça vai caber o nosso processo de análise de risco para saber se a gente vai tratar ou não então no processo já de segurança da informação ameaças ou seja os efeitos indesejáveis são mapeados na medida do possível tá importante de novo essas ameaças elas são mapeadas na medida do possível por que na medida do possível porque nem sempre a gente vai conseguir mapear todas as ameaças E se a gente começar a mapear todas as ameaças a gente vai virar um funcionário chato um profissional chato que tudo acha que é

risco né tudo então assim a gente tem que ter um equilíbrio Ok tem que ter um equilíbrio aqueles mais impactantes tudo bem verifica-se se algo pode ser feito para evitar essas ameaças Então dentro do processo de segurança identifica as possíveis ameaças vê o que dá para para ser feito Ok e determina Quais são as medidas para fazer a proteção para tá que esse dano essa ameaça se concretize e vire um incidente e se virar um incidente como a gente pode fazer para não se alastrar e se se alastrar qual são quais serão as medidas para

eliminar resolver Ok próximo vulnerabilidades que é o terceiro terceiro termo bem importante vulnerabilidade vamos lá tá pequenininho Mas vamos L aqui ó fragilidade de um ativo ou um grupo de ativos que pode ser explorada por um ou mais ameaça existe aa de chuva eu estou vulnerável estou sem capa de chuva não estou dentro do carro estou sem o guarda-chuva estou sem nada tô muito mais vulnerável com uma pessoa que tá andando com guarda-chuva faz sentido então a vulnerabilidade vai depender muito de Como estão seus ativos Ok o quanto você está frágil então uma vulnerabilidade é

uma fraqueza e o atacante ele vai atrás do quê da fraqueza então se você não deixa tudo atualizado se você não deixa as portas do fire fechado ele vai testar imagina que é uma pessoa um ladrão entra no seu condomínio você mora num prédio e ele vai identificar qual apartamento tá com a porta sem trancar tá aquele que está mais vulnerável ele vai tentando uma por uma aquele que eu conseguir ele vai explorar essa vulnerabilidade ou seja não tem o trinco na porta e vai conseguir entrar é a ausência ou a fraqueza de uma proteção

que pode ser explorada ausência não tem um trinco ou se eu tenho trinco ele é muito fraco Ok eu tenho uma proteção tenho Fire mas não tá bem configurado não adianta achar que tem um Fire que tem tudo bonitinho uma Sei lá uma rede dmz com prox com não sei o qu um servidor com duas placas de rede separação física e lógica se não tiver muito bem configurado é fraco tiver uma política e ninguém executa é fraco tá exemplo de vulnerabilidade uma porta uma janela que não trancam corretamente direito né um servidor de desenvolvimento rodando

sem atualização básico isso né a gente se preocupa tanto com o servidor de produção rodando bem atualizadinha tudo atualizado e o desenvolvimento não por que a gente não faz isso ele não tá conectado na rede então o atacante ele pode entrar ali e fazer o escalonamento né escalar privilégio e conseguir ter acesso a admin e ter acesso a todo o resto do ambiente eh aplicações os sistemas operacionais desatualizados tá gente e queria a a própria 27001 27002 antigo falar olha é importante instalar o vírus agora Nessa versão é não é só instalar o vírus Tem

que manter atualizado atualiza sempre chegou a atualização dê prioridade para atualizar o quanto antes ah acesso e restrito para um modem né coloca a senha protege um modem eu tô dando exemplo de modem pode ser qualquer outro tipo de equipamento tá pode ser um roteador pode ser um Suit ok uma Porta Aberta do fire ol ó de novo tá então se você deixa a porta aberta você tá vulnerável existe ameaça de alguém entrar então você tem um risco grande aí de ser atacado através de uma porta de Fire a segurança física a gente vai falar

muito sobre segurança física também tá não é só segurança lógica de controle humanos mas a gente vai falar muito segurança física tá os anéis de proteção que é bem importante então uma segurança física fraca que permite que qualquer pessoa possa entrar no data Center não só no Data Center no prédio onde você trabalha tudo que é canto Ok e controle de senha fraco que permite o fácil acesso a sistemas e ambientes senha 1 2 3 né abcd ou asdfg ou qw e RT né eu tô olhando aqui o meu teclado que o pessoal normalmente faz

né aquele movimento que já pega todas as tcas é batido para caramba né existem técnicas bem fáceis inclusive de detectar isso aí e aí o último termo que a gente precisa entender a exposição quanto eu vou est exposto né Vamos lá que que é exposição exposição é ficar exposto a essas perdas Cara você tá muito vulnerável Você tá muito exposto tá ele é meio Sinônimo é mas ele tem uma conotação diferente aqui vamos ver aqui ó um agente ameaçador aproveita essa exposição é onde como acontece dentro do processo de um etical hacker Um etical não

né num um hacker quando ele vai atacar Ele sempre vai ele faz isso né antes de ele fazer ele faz primeiro o Discovery ele identifica o que tá vulnerável e aí se você porque nem sempre a vulnerabilidade gente traz tanta exposição então ele vai aproveitar essa exposição o agente ameaçador ele vai aproveitar isso aí e atacar ou fazer o que ele veio com com a ideia proposta né uma vulnerabilidade expõe uma organização a possíveis ameaças tá bem que a exposição tá muito ligada à a vulnerabilidade então só exemplo de Exposição Olha aí a porta porta

aberta novamente do fá abrir a porta é totalmente exposto se você sai da tua casa e tranca se você sai da tua empresa Você fecha a porta se você tá na internet se tem alguma conexão fora pros seus funcionários qualquer conexão tiver com porta aberta esquece AD não tenho conexão nenhuma lá lá para fora é só internamente precisa de F também porque alguém com mais intenções pode entrar dentro da sua empresa e ter acesso a sua rede protocolos habilitados ou que não tem necessidade Quantas vezes eu vou a empresa eu pego um servidor que tem

um monte de protocolo eu até pergunto para que que serve esse protocolo o profissional não sabe Para que que serve mas simplesmente deixa habilitado com medo de desabilitar e parar Algum serviço na rede tá absurdo entenda Quais são os protocolos entenda para que que serve cada porta e feche se não tiver necessidade se tiver necessidade abra realize o que precisa realizar depois fecha ok que é muito fácil você pega com qualquer ferramentinha aí bem simples na internet de sniffer né começa farejar as portas as vulnerabilidades E aí é um prato cheio pro atacante isso é

muito fácil de ser feito principalmente na internet pegar sites que estão vulneráveis com porta aberta você põe os niffer lá no site ele traz todos os parâmetros tudo o máximo de informação possível tá até chegar inclusive lá no servidor se a gestão de senha for fraca e as regras não forem aplicadas a empresa fica exposta tá senha fraca importante ou senha muito complexa também é um problema por o funcionário normalmente exigido que ele troque a senha uma vez por mês com senha com 30 caracteres com código símbolo número letra maiúscula minúscula gente isso atrapalha o

que que o funcionário vai fazer vai escrever a senha no papelzinho vai colocar embaixo do teclado ou na gaveta dele se uma empresa não tem cabeamento ó cabeamento inspecionado tá ciamento e não estabelecer medidas proativas de prevenção contra incêndios tá então você sempre tem que chegar dentro da segurança informação não só o ataque que vem lá do mundo lá de fora que a gente sempre fala de segurança informação e imaginando sempre Cyber né o mundo cibernético não segurança física incêndio tá questões ambientais a gente vai falar muito sobre isso tá muito relação entre ameaça e

risco aqui é um fluxo um ciclo que eu gosto muito para você entender para juntar tudo que a gente viu agora Ok vamos juntar tudo então ciclo do Risco Eu gosto muito de começar a falar do ciclo de risco começando pela ameaça Então você sempre a gente vai falar tá tendo uma Nova Ameaça um novo vírus tá ameaçando o chover olha só que são materializadas se essa ameaça acontecer né pode ser materializado através de um ataque e esse ataque são exploradas toda o atacante ele vai explorar o quê as vulnerabilidades teu servidor por exemplo está

vulnerável o atacante ele vai explorar isso aí expondo você né ao risco Ok se você não tiver tão vulnerável você não vai est tão exposto ao risco esses riscos são controlados com salvaguardas com medidas Aonde encontra essas medidas Adriano para me resguardar disso aí para controlar 27.001 Ok a própria Norma traz uma série de contramedidas contramedidas eh cont controles né é sinônimo a gente já vai ver sobre isso aí e aí essas contramedidas elas funcionam Protegendo o quê os ativos e esses mesmos ativos estão sempre sob ameaças novas ameaças tá então é um ciclo por

isso que é um trabalho contínuo tá V tudo que a gente fala que gerenciamento de risco não tem fim começa a fazer o processo mas não para Ok então então falei sobre medidas e a gente vai ver sobre muito agora daqui para frente falando sobre as medidas medidas de segurança para que que serve as medidas de segurança bom se eu tô em risco eu preciso tomar uma ação eu preciso fazer alguma coisa OK então vamos lá medida de segurança é colocada em prática para mitigar o risco e potencial Olha tem o risco de um incêndio

tem o risco de eu ser atacado de roubo de informação tem o risco de eu ficar molhado tem que fazer alguma coisa eu tenho tomar uma atitude tá então são as medidas tenho que fazer alguma coisa significa então controle né medir quando a fala toda vez que a gente fala medida de segurança é controle contramedida salvaguarda sinônimo Ok então no decorrer do curso até no exame se você for fazer a prova você vai encontrar controle de segurança medidas de segurança contramedida salvaguarda são sinônimos podendo ser então uma configuração de software Ok eu posso usar a

configuração do software um dispositivo ou um hardware tá porque a gente sabe que a gente pode se proteger não só com com software mas com hardware também né com appliances com procedimento ok a gente utiliza procedimento para eliminar a vulnerabilidade ó você não pode mexer no ambiente Ó você precisa de 100 ó você não pode deixar a sua mesa cheia de papéis você não pode deixar papel na impressora Ok tem que tá tem que ter procedimento e colocar isso dentro da política e aí se você quiser saber mais sobre política tem o curso avançado que

é o ismp que ele fala especificamente de uma a construção de uma política de segurança de informação no nível mais avançado Ok procedimento que reduz a probabilidade de um agente ameaçador ser capaz de explorar a vulnerabilidade procedimento novamente ok exemplos então de contramedidas gente ao longo do treinamento a gente só vai ver as medidas mas aqui só alguns exemplos para você sentir o que a gente vai explorar ainda então lá gestão de senhas fortes tá gestão de identidade também guarda de segurança um guarda um ser humano né com capz inho com arma com bastão alguma

coisa para proteger fisicamente os funcionários segurança física patrimonial mecanismo de controle de acesso a sistemas operacionais a gente tá falando mais da questão lógica implementação de senhas de ó lembra da BS né evitar que o funcionário ali vá lá falou Putz desativaram me a USB aí ele entra na Bios né dá lá a tecla o F1 F2 Daí depende do computador ele consegue entrar na Bios e consegue consegue ativar o USB um DVD ali para ouvir uma música né para espetar alguma coisa então a gente tem que colocar uma senha Ok Nossa ado é complicado

nosso Parque aqui tem mais de 2.000 máquinas é paciência trabalhar com segurança de informação é complicado basta uma máquina sem a senha você tá em todo o seu Parque comprometido treinamento conscientização sobre segurança tá curtindo esse curso Aqui passa isso pra equipe pros seus funcionários tá extremamente importante software de antivírus atualizado ó software de antivírus instalado e atualizado Ok Isso é são exemplos de medidas que a gente faz para minimizar os nossos riscos Ok Minimizar os danos evitar que um incidente aconteça e se acontecer outras medidas devem ser tomadas então medidas é o sinônimo aqui

que a gente tá falando em segurança de Formação Ok continuando ainda sobre análise de risco queria entender um pouquinho mais na prática Como funciona essa de risco Então você tá aprendendo tudo aqui você quer terminar a aula já começar a fazer uma análise de risco na sua empresa então saiba que a análise de risco é o processo que define e Analisa os perigos da sua empresa que ajuda você adquirir uma visão compreender os riscos da tua empresa não só os riscos da ti porque é muito fácil você olhar paraa ti e falar Ah isso aqui

tem um risco de eu perder informação Ah tem um risco não sei o quê mas a gente esquece que a gente não tem que só lidar com os riscos da da informação digital Mas aquela informação que é dita que é falada impressa que está na cabeça do ser humano Então a gente tem que imaginar falar ó a gente tem aqui vários controles várias medidas Mas se a gente tem um funcionário fraco por exemplo no call center que passa informação confidencial porque ele não segue uma política ele não tem conscientização nada adiantou o teu fao que

você gastou milhões botou lá um monte de cabeamento novo protegido contra não sei o qu contra incêndio inundação um data center maravilhoso tudo protegido não adianta nada tem que tratar tudo é um trabalho árduo Ok A análise de risco fornece a base para tomar decisão de como lidar o risco lidar com o risco porque a gente para lidar com o risco a gente tem que fazer primeiro ter a base né identificar o que que a gente quer proteger e principalmente o custo né muitas vezes não vale a pena muitas vezes a cultura da nossa empresa

é de aceitar o risco então tem muitos profissionais de segurança que sai de uma empresa que tem uma cultura e vai para outra e ele fica bravo ele fica chateado que todo mundo tá nem aí com o risco de repente é a cultura da empresa OK que mais vai incluir então a estimativa do Risco Qual é a chance qual é a probabilidade estimar Ok relatórios antigos relatórios de análise de riscos podem ser usados para alinhar os objetivos da tecnologia com bos negócios lembrando que quando a gente fala de gerenciamento de risco a gente tá falando

de gerenciamento de risco de negócio né vai até o negócio identifica quais são os riscos Qual que é o impacto se ati parar para ele tá não fica só dentro de casa você tem que sair você tem que ir pras áreas de negócio então tem que est muito alinhado quer começar um processo provavelmente se sua empresa já fez uma análise de risco de negócio vai atrás desse relatório porque dali Você já consegue fazer todo o trabalho de risco risco análise de risco gerenciamento de risco na ti não da ti na ti análise de risco pode

ser quantitativo e qualitativo temos as duas formas e a gente vai ver a diferença um do outro uma nota importante os vou até ler aqui ó os riscos possuem donos Ok todo risco tem que ter um dono Ok todo risco que também deve ser envolvidos na análise e avaliação de risco então identificou o risco falei quem é o dono desse risco Para quê Para poder tratar também não vai ficar a cargo do Security Office fazer isso da equip não cada um que esse ativo normalmente os donos do do dos riscos normalmente são os donos dos

ativos Tá mas não é uma regra por exemplo ah sobre o incêndio a gente tem o risco de incêndio quem é o dono os bombeiros Ok então a gente tem tem que ter donos para cada tipo de risco é importante E aí objetivo e propósito da análise de risco aí a gente vai entrar um pouquinho aqui mais com alguns exemplos tá então o objetivo do propósito é identificar os ativos Ok vai lá sai da área de TI identifica Quais são os ativos pessoas processos recursos informações vai nas áreas de negócio vai em todos os cantos

da empresa identifica identifica o valor Ok Quanto custa ficar fora Quanto custa ficar fora o sistema de pagamento quanto fica fora ficar um e-commerce de uma empresa que é totalmente digital quanto quer de prejuízo uma hora parado vai identificar os valores Quanto custa não ter uma equipe de atendimento ao suporte ao cliente avalie tudo isso dois determine vulnerabilidades e ameaças na medida do possível você vai identificar as ameaças faça aquele trabalho gigantesco de identificar o que que é vulnerável vulnerabilidade é importante não só na parte de tecnologia né ah eu só vou ver se os

sistemas operacionais estão atualizados Se as portas estão fechadas porque quadr tá falando toda hora de Fire não tem muito mais coisa tá do treinamento você vai ver o quanto que você tem de vulnerabilidade que você tem que olhar na tua empresa terceiro determine o risco das ameaças se tornarem uma realidade Ok a ameaça se concretizar Ok e interromper todo o processo operacional da sua empresa e quarto Estabeleça aí um equilíbrio entre custos de um incidente e os custos de uma medida de segurança como assim dependendo da situação é muito caro né eliminar o risco é

muito caro Então você tem que tomar as medidas Você vai aceitar você vai pagar o preço porque normalmente o que eu costumo falar assim a pagar 1 Milhão para proteger um ativo que custa 100.000 não faz sentido Ok eu tô falando em termos financeiros Ok bom tá aí os objetivos da análise de risco propósito ser usado como uma ferramenta de gerenciamento de risco então ah eu trabalho com gerenciamento de risco Então eu tenho que fazer análise de risco como ferramenta para determinar Quais são as ameaças relevantes para processo operacional A análise de risco é o

único processo que vai te ajudar Identificar qual a ameaça mais relevante porque olha o item dois dos objetivos é determinar vulnerabilidade e ameaça tá para identificar os riscos Associados aos processos operacionais tá em relacionar ao item um você sair da área de TI e nas áreas de negócio garantir que as medidas de segurança sejam implementadas para garantir que essas essas ações são implementadas primeiro a gente precisa saber o que proteger tá por isso que tem é importante lá identificar os ativos o valor ameaça vulnerabilidade para evitar gasto Desnecessário isso aqui é muito importante é é

onde eu bato mais forte com a maioria dos profissionais de segurança que sai implementando um monte de controle anti Fire antivírus antim an não sei o que Ant Ant Ant Ant gasta uma fortuna Mas vamos a gente pode evitar gasto desnecessário de repente a gente quer implementar alguma solução bacana mas será que realmente a empresa precisa vamos analisar vamos perguntar ok a gente tem que também parar um pouquinho de vender muito medo né o o nosso cliente fica assustado e acaba comprando desnecessário Ok A análise de risco serve para avaliar os custos envolvidos em cada

medida de segurança Ok se eu tenho o ativo eu tenho uma medida Olha eu tenho isso eu tenho uma ferramenta que uma ferramenta um appli um dispositivo para combater custa isso então eu preciso fazer esse balanço Ok e para ajudar no equilíbrio correto das medidas de segurança tá a gente vai ter muitas medidas de segurança qual que eu aplico a gente precisa ter um equilíbrio como a gente tem equilíbrio através do processo de análise de risco Ok tipos de análise de risco aqui eu vou dar um caso e normalmente aqui eu acho que é um

slide mais importante que as pessoas eu não tô entendendo ainda como seria isso na prática vou dar três exemplos né aleatórios e bastam três perguntas três perguntas para casos que acontecem que normalmente Você já consegue fazer análise de risco são três perguntas simples mas não é tão fácil responder vamos lá exemplo ó uma corretora de seguro e os detalhes das apólices dos assegurados tornaram-se sem querer públicos vazou vazou a informação Ok Isso é um caso outro caso dados pessoais de testemunha de um processo penal são divulgados e um terceiro um funcionário perdeu um pendrive perdeu

deixou cair tá e o seu conteúdo acabou caindo na mão de pessoas que não podiam foi parar na imprensa e foi divulgado publicamente Olha só são três casos como que a gente faz análise de risco aqui né análise a gente pode fazer fazer para esses três exemplos qual Olha a pergunta qual que é o impacto da porque olha só o fato Vamos dar um exemplo no terceiro né no fato de um pen drive com informações ter caído na mão da empresa da da Imprensa e ser divulgado tem gente que vai se descabelar mas tem gente

que não f não normal tranquilo não tem nada de importante então a gente precisa entender Qual que é o impacto Isso faz parte da análise de risco a gente tem que ser questionador não é porque as apó dos assegurados se tornaram público calma analisa o impacto primeiro Qual é a chance né disso acontecer ah a chance de testemunha de um processo penal ser divulgado é praticamente zero só fica na mão lá do juiz por exemplo Então dentro da análise de risco a gente tem que fazer a análise qualitativa e quantitativa principalmente perguntando qual é a

chance disso acontecer Tá qual é a chance a gente tem que sempre se questionar e é bom não tomar a decisão sozinho pegar alguém que seja mais pessimista alguém mais otimista e entrar num acordo Identificar qual é a chance e a terceira pergunta qual é a consequência disso acontecer pode ser que a consequência seja catastrófica pode ser que a consequência não seja tão catastrófica Pode ser que a consequência seja de uma perda financeira baixa outra pode simplesmente fazer a empresa sumir do mapa né Quebrar Ok três perguntas simples que vai te trazer muitos insights muitas

respostas e eu tenho certeza que se você fizer essas perguntas você não vai ter a capacidade plena de 100% de responder como ti você vai ter que na área de negócio você vai ter que ir lá perguntar isso é muito saudável fazer um processo de análise de risco não é só olhar para Teia olhar para fora na Perspectiva dos nossos clientes e aí a gente cai então na análise quantitativa e quantitativa a gente vai explicar no próximo slide as diferenças né mas quantitativo é baseado em números Ok baseadas em números a gente tem que ver

por exemplo nível de prejuízo financeiro tá aqui normalmente é sempre a parte financeira e a probabilidade questão de números n 30% 50% 100% e temos também a a qualitativa que não é baseado em número ele é baseado mais em intuições pô Adriana fazer uma análise de risco baseada em intuição Sim qual é a chance de um terremoto acontecer vai se a gente for falar em quantitativo é zero mas Será mesmo Será que não pode acontecer Vira e Mexe tem uns tremores aí em alguns cantos de repente tua empresa não tem muito sensível ao movimento da

terra Ah já não sei olha a chance tem você vê que é importante a gente discutir né fazer esse exercício esse Brainstorm eu tô dando um exemplo um contexto bem separado aí bem longe da nossa realidade para você entender ok Então vamos entender um pouquinho sobre análise de risco quantitativo que a gente fala de valor números Ok então ele é baseado no Impacto financeiro por exemplo ele é baseado na perda financeira baseado na probabilidade da ameaça tornar-se um incidente Ok vai diferenciar do qualitativo Vai um pouquinho sim ok então vamos lá nesse tipo de análise

então que é quantitativo baseado em número a gente considera o valor de cada Elo composto pelo custo custo do Risco do incidente de acontecer de retornar Ok então das medidas de segurança tem um custo Ah então gente falando quantitativo eu tenho que analisar porque a análise de risco não é só implementar a medida a gente tem que saber quanto custa o ativo e quanto custa a medida Ok bem como os ativos né Falei bem por exemplo o ativo o edifício hardware software informação Impacto dos negócios pode gerar perda financeira é fornecida uma imagem Clara do

Risco financeiro Total então muitas vezes a gente para vender um projeto para implementar Vamos dar um exemplo aqui do fal a gente precisa comprovar financeiramente que é importante então a gente avalia o quanto custaria uma empresa ficar parada Qual é o prejuízo Quanto custa um Fire implementação tudo então a gente faz aquele cálculo o Ro né o retorno sobre investimento as medidas adequadas podem ser determinadas a gente só consegue definir as medidas a partir do momento que a gente fizer análise de risco antes de sair implementando que nem um louco um monte de medida Ah

vou colocar câmara em tudo que é canto sensor de não sei o que eh biometria para entrar em qualquer sala Calma Vamos avaliar essas informações que estão naquela sala merece ou não ter uma biometria Ah que é uma parte importante disso então é determinar quais riscos residuais são aceitáveis porque tem risco nessa nessa parte é muito importante at aquele risco a gente pode aceitar residual Ó ficou aquele negocinho mas a gente pode aceitar de boa né mas esse de boa tem que ser consciente para ter consciência a gente precisa levantar esses riscos né trazer a

tona que mais custos das medidas não devem ceder o valor do objeto protegido do Risco já falei isso várias vezes não adianta botar uma ferramenta lá que custa 1 Milhão para proteger uma informação que custa 100.000 uma análise de risco puramente quantitativa é praticamente impossível é Adriano é a gente tá falando de número Nem sempre é possível a gente vai ver por quê uma análise quantitativa de risco tenta atribuir valores a todos os aspectos mas isso nem sempre é possível principalmente por ex imagem da empresa quanto isso representa financeiramente se uma empresa tiver os dados

vazados é complicado estimar isso quantitativamente aí a gente cai no qualitativamente Ok então pode ser atribuído um valor a um servidor por exemplo é fácil você falar esse servidor custa tanto Ok o valor de compra de manutenção das peças do software de licença isso é mais fácil tá pode ser possível então em algumas acusações mas nem sempre não é quando a gente fala de analisar quantitativamente o risco né quando a gente avalia todo o contexto quando a gente olha um ativo é mais fácil quando a gente olha um funcionário a gente vê folha de pagamento

é mais fácil sabe um exemplo de análise qualitativa quantitativa um funcionário ganha R 5000 por mês se eu não tem mais esse funcionário a a o risco de impacto é de r$ 5.000 por mês não o quanto ele deixa de trazer negócios o quanto vai ficar caro entrar um novo funcionário até ele aprender né todo o procedimento o processo que aquele funcionário saiu então são coisas subjetivas que a gente então entra na parte qualitativa que aí já são baseadas em cenários se acontecer isso tá vendo que a outra é baseado em Impacto ó aconteceu é

isso aqui não a gente tem tem que imaginar cenário é imaginação tá imaginar situações e se isso acontecer Ok sentimento Olha eu acho que toda vez que você passar fazer uma análise de risco alguém falar eu acho você tá falando de situações imaginárias de sentimentos e só que a gente tem que levar isso em consideração para fazer análise de risco números e valores monetários então aqui não são atribuídos com como componentes e perdas pode ser definido por exemplo como Então nesse caso você não atribuir o valor financeiro Mas você pode colocar Baixo médio alto é

possível não é possível é incerto nunca jamais sempre duas vezes por ano utiliza um bom senso melhores práticas intuições expectativas vai perguntar pros especialistas pro negócio dentro da área que a tua empresa atua dentro da Indústria exemplo de técnicas qualitativas aí tem várias tá ci algumas Delf Brainstorm bror todo mundo conhece né senta todo mundo numa sala começa lá eh dar ideias cada um vai contribuindo os outros não aí tem uns que colocam o postit é isso ok tem uma lista aqui que você pode fazer reuniões conversas individuais entrevistas com duas pessoas fazer pesquisa enfim

técnicas é o que não falta a a equipe de análise de risco considera a cultura da empresa e eh e os indivíduos envolvidos na análise vai depender muito da cultura porque tem empresa que tem um apetite ao risco que é fantástico ele aceita tudo f t aí tipo Startup normalmente ela aceita muito mais risco que uma empresa por exemplo já listada na Bolsa de Valores uma empresa mais tradicional são duas culturas completamente diferentes que reconhece a importância da segurança mas tem um apetite ao risco diferente então aqui de um cenário de uma hipótese numa empresa

que tem um apetite maior ele vai falar não tranquilo isso aqui a chance de acontecer é baixo Ok o mesmo risco a mesma ameaça para uma outra empresa pode ser alto pode ter um grande Impacto é reunido o pessoal com experiências conhecimento distintos né das ameaças que a gente tá fazendo avaliação aí esse grupo de pessoas que acabou sentando ali para discutir isso aí para analisar qualitativamente o cenário eles vão descrever as ameaças vão descrever as potenciais perdas Ok lembra que não é só termos financeiros mas por exemplo perda de imagem é um item importante

e vai responder para cada intuição que foi lançado na reunião falar ISS só acontecer a gente pode fazer isso isso isso chama o pessoal lá de gerenciamento de crise também ok o que que pode resultar a mais daquela o pessoal falar queimou um servidor Ah beleza o servidor custa 100.000 mas qualitativamente Qual é o impacto pro negócio se aquele servidor for o e-commerce o site principal da empresa onde que é feito o negócio tá as análises quantitativas e qualitativas de riscos cada um tem o seu ponto positivo e negativo tem vantagem e desvantagem a administração

em consulta com os especialistas determina o método que deve ser aplicado para determinado tipo de situação Ok Ah então eu tenho que tomar a decisão se eu uso uma ou outra não você vai usar as duas análise combinada Por que você faz uma análise das duas porque acaba sendo inviável você fazer uma análise apenas quantitativo abranger tudo é muito complexo F assim gente eu tenho que fazer uma análise de risco financeiro para cada coisinha para cada detalhe um mouse um ataque de não sei o qu eu ser sequestrado num avião cara é muita coisa quando

você não consegue ter essa abrangência maior O que que você pode fazer uma análise combinada como que funciona então para evitar o ônus de uma avaliação extremamente abrangente de uma análise quantitativa então primeiro você inicia uma avaliação qualitativa Qual é a chance disso acontecer Ah é baixo pequeno médio alto tal vai definindo qualitativo e aquilo que for alto trabalha quantitativamente então é bem legal Ok então para os maiores riscos você faz uma análise de custo benefício E aí sim você finaliza com a a quantitativa porque se você começar com a quantitativa você nunca vai parar

então começa com a qualitativa aquilo que o pessoal sentir tiver o sentimento baseado num cenário que é de maior risco maior impacto faz a análise de custo benefício depois faz a quantitativa Ok Adriano Como que eu faço esses cálculos modelo muito muito simples tá sle a f e aro são siglas em inglês tá são bem simples então o que que significa sle significa eh expectativa da perda única já vou explicar e vou dar regrinha o Ale é a mesma coisa só que é uma perda anualizada ou seja Olha a minha o meu sle eu tenho

uma posso ter uma perda de tantos r000 por ano essa é minha expectativa de perda que a minha análise de risco disse que eu posso perder até 200.000 tá mas isso por ano Ah isso pode acontecer duas vezes por ano então já não é 200.000 é 400.000 tá então o o Ale é a de perda anualizada Adriano a minha expectativa de perda é de 100.000 Mas pode acontecer de dois em 2 anos então anualizada é de 50.000 ef é um fator tá é um fator que a gente vai utilizar aqui para definir o valor da

exposição a gente já vai dar um exemplo mas em resumo geral o seguinte imagina que você tem um data center o Data Center Vale milhões Mas se acontecer uma enchente 25% data center vai ser prejudicado quanto representa esses 25% de milhões Então vou imaginar que o Data Center hipoteticamente custe 10 milhões e ele vai afetar sei lá 2,5 milhões tá 25% então esse é o ef a gente vai precisar ele para fazer um cálculo em cima do anualizado e o Ro significa a taxa anual de ocorrência lembra que eu falei do ah a chance de

acontecer é uma vez por ano duas vezes por ano é enchente por exemplo ah enchente São Paulo a chance de correr é é muito forte e uma vez por ano né no verão ah em outros estados tá acontece duas três vezes Ah tem regiões que chovem para caramba tem regiões que estão por exemplo na frente que é na no litoral né a chance de entrar água do mar mais da chuva aumenta as chances probabilidade Então você tem que fazer esse cálculo quantas vezes por ano ok Identificar qual é o prejuízo que você vai ter de

uma parte dos seus ativos porque nem sempre vai parar tudo né você não vai simplesmente perder porque se perder tudo a empresa deixou desistir então qualquer incidente a empresa deixa de existir Então você tem que ter olhar um Panorama geral Quanto custa tudo SL tá Olha tudo vê quanto custa aí você vai ver o quanto que vai tá exposto Qual é o fator de Exposição é o ef para ficar claro vamos dar um exemplo aqui forminha Então vamos lá ef é a porcentagem de perda de um ativo sobre ameaça Então vamos lá qual é a

porcentagem de detonar um data Cent se acontecer uma enchente é de 25% beleza já temos o EF o sle que o sle é significa a expectativa de perda única Então se acontecer uma uma enchente Então eu tenho que ver pegar o valor da ativo e multiplicar pelo os 25% então o ativo data center custa 100 milhões 25% de 100 milhões é 25.000 isso é 25 milhões Ok então eu já tenho a expectativa de perda único 25 milhões se acontecer uma enchente o a é a multiplicação do sle com a taxa anual de de acontecer e

como que se calcula esse essa taxa o aro se eu tenho uma possibilidade perante ao risco de enchente de ter um prejuízo de 25 milhões de um ativo de 100 milhões porque vai atacar só 25% quantas vezes ela acontece por ano se for uma vez multiplica por um se acontece duas vezes multiplica por dois então tua perda tua chance de perder a perda financeiro não é de 25 milhões é de 50 milhões porque pode acontecer duas vezes mas Adriano se for de 10 em 10 anos então é 0,1 a cada 100 anos 0,01 tá você

multiplica isso para poder dividir é um cálculo simples que pode te ajudar financeiramente definir aí isso para análise quantitativa Ok Bora medidas no ciclo de vida do incidente agora a gente vai mostrar essa imagem aqui várias vezes a gente já viu em outro módulo e a gente vai rever isso aqui porque é bem important porque as medidas que a gente vai aplicar elas seguem alguns princípios ó ou é essa ou é essa ou é essa entender daqui vamos entender primeiro ciclo de vida lá vamos rever primeiro teve uma ameaça se a ameaça se concretizar virou

um incidente o incidente ele pode prejudicar um dano ele pode se alastrar pode danificar bastante seu ambiente porque o incidente eu posso identificar e tratar repres né esse dano acontecer a gente vai ter que tomar alguma ação para fazer uma recuperação gestão de incidente mesmo e aí a gente sabe que ele volta Quais são as medidas Então se a gente tem ameaça a gente tem que ter alguma medida que reduza essa ameaça temos que ter medidas para prevenir a ameaça virar um incidente temos que ter medidas para detectar o incidente Adriano tem mais coisa tem

qu ele começar a ver outras medidas a gente vai ver que não é só detecção a gente pode fazer várias coisas aqui OK mas a princípio a gente tem o objetivo de detectar o incidente não conseguiu detectar o incidente aconteceu precisamos reprimir só lembrar de repressão de represa evitar que se alastre tá porque pode ser que o acidente aconteça já resolva e não se alastre o atacante conseguiu invadir um computador já resolve não deixa ele atacar todos os outros computadores não teve o que fazer prejudicou paraliz Nossa operação vamos ter que fazer a correção e

por fim a gente faz uma avaliação de tudo que aconteceu para evitar que se aconteceu novamente não seja tão prejudicial bom vamos voltar agora na mesma imagem e vamos falar agora não só do ciclo mas as medidas para reduzir a nossa ideia aqui é reduzir incidente para isso teremos várias medidas dependendo em qual etapa é na Ameaça é no incidente é no dano na recuperação são medidas distintas você não pode aplicar uma medida X Pro momento Y não faz sentido Ok então vamos lá medidas preventivas tá medidas são tomadas reativas não pode esperar acontecer tá

então quando a gente tá falando dessas medidas aqui se a gente tem uma ameaça a gente tem que ser rea a gente tem que ser e e e eh medidas reativas eles visam reduzir a ameaça Ok medidas reativas visam reduzir as medidas ativas ajudam a evitar que as ameaças aconteçam Ok então medidas reativas visam reduzir as ameaças por que reativas porque tá batendo ali na porta né a gente não consegue ser proativo contra uma ameaça de chuva não dá a chuva vai acontecer a gente só tem que reagir a ela ok isso que essa a

ideia mas a gente tem que ser o máximo proativo Sim Isso aqui é é uma questão proativa mas entenda que a gente tem que reagir a uma ameaça a gente não consegue eliminar a ameaça Lembra que eu falei que instalar um antivírus o antim no seu ambiente não vai fazer com que os bandidos sumam Então a gente tem que tá pronto para reagir contra eles ok incidente antes de virar o incidente a gente agora sim a gente tem que ter medidas preventivas para evitar que se tornem incidentes medidas preventivas visam evitar medidas preventivas não não

visam eliminar ameaça e ameaça a gente não consegue eliminar a gente não consegue eliminar uma ameaça de chuva ok a gente não consegue eliminar uma ameaça de roubo de furto não dá tá mas a gente consegue ter medidas reativas para reduzir a ameaça aí a gente consegue algumas vezes D para eliminar até 100% das ameaças a gente vai ver algum alguns exemplos na área de tecnologia dá e medidas preventivas que visam Minimizar evitar o incidente não conseguimos evitar o incidente aconteceu o incidente aí a gente vai usar medidas detectivas ou seja para detectar esse incidente

né a ideia aqui é detectar incidente se a gente não conseguir detectar o incidente a gente vai ter que tomar outras ações mas aqui nesse momento qu a gente chegar aqui no próximo slide a vai ver que tem outras medidas aqui dentro né que fazem parte da parte da de detectiva próximo medida repressiva ah aconteceu acidente não tem o que fazer represa segura Ok não deixa Se alastrar para interromper as consequências e aí se não teve como se o estrago for feito a gente precisa ter medidas corretivas que vão se concentrar em reparar o dano

causado pela aquela ameaça que se concretizou virou um incidente não conseguimos segurar danificou alguma coisa ou seja tirou alguma coisa do ar é a informação foi roubada você entende que o incidente nem sempre ainda causou o dano ele tá acontecendo o incidente a gente consegue segurar se não conseguiu a gente tem um sistema de monitoramento de log que nos alertou ó tá um incidente aqui ó tem um atacante entrando a gente pode segurar antes que realmente ele danifique alguma coisa não conseguiu vamos ter que fazer a recuperação então prevenção Vamos para o primeiro que que

são as medidas de prevenção a prevenção torna a ameaça impossível Pô você falou que não dava que a ameça a ameaça existe mas ela pode não se concretizar então a gente consegue eliminar uma ameaça exemplo desconectar a internet e bloquear portas Ah então a gente tá tendo uma ameaça de ataque alguém ó alguém pode atacar hoje né ol a gente recebe um e-mail um atacante falou assim ó amanhã às 8 hor da manhã eu vou atacar sua empresa Olha a ameaça que você recebeu recebeu por e-mail inclusive aí você vai desconecta o servidor certo agora

minha pergunta é é viável isso você tirar um servidor do ar bloquear todas as portas eu já tem situações onde ó você tá sobre ataque você fica desesperado ou você tira o cabo de rede ou você Fecha todas as portas do F você pode fazer isso ok é uma forma de prevenção reativa pode ser impraticável Pô você vai fechar todas as portas desligar o servidor que que seria mais prático então por exemplo colocar informações sensíveis em um cofre Ok então você tá sendo exposto né Você foi uma alguém te ameaçou vou te roubar a mã

a tua empresa você pega todos os seus arquivos as suas informações importantes põe dentro de um cofre Beleza você tá se prevenindo aí você pode virar para mim e fal assim Ah tio Adriano mas o cara pode lá bandido pode roubar o cofre pode sim aí a gente vai ter outras medidas Tá mas a gente tem que começar com medidas preventivas prevenir que a ameaça se concretize então a gente vai pro segundo primeiro detecção ok aqui a gente vai ter mais que um então primeira coisa perante ao incidente que que a gente tem que fazer

detectar porque se a gente não detectar de ameaça ele já vai pro dano e a gente depois que aconteceu Dan F Nossa o que que aconteceu você ficar perdido sem saber o que aconteceu então primeira coisa vamos tentar detectar Então se os efeitos de incidente não forem muito grandes Ok você pode simplesmente detectar e falar ó beleza não necessariamente você já tem que agir né Mas alarmou alguma coisa você tá sentindo que tá um tráfego na rede um pouco maior tal o efeito desse incidente ele pode ser não catastrófico então você foca em medidas de

detecção apenas por isso que tem outros né então para incidente ali que não for muito grande Você usa alguma ferramenta alguma medida de detecção se houver tempo para mitigar danos consequentes Olha a gente tem aqui uma ferramenta tal a gente detectou mas aconteceu alguns danos a gente consegue ter um tempo aqui não ter um custo muito alto as consequências não são tão altas Beleza qualquer incidente seja detectado o mais rápido possível Independente se a apenas medidas de detecção tem que detectar o mais rápido possível tá isso indiscutível Adriano aqui nessa fase a gente tá falando

de detectar só não é para incidente muito grande é é a gente até tempo para mitigar os danos Ok mas tem que detectar o mais rápido se deixar para detectar o incidente muito lá pra frente pode ser que ele já não essa medida de detecção já é insuficiente a pessoa já tá invadindo o estrago já tá sendo feito né ele deixou de ser Fumaça já virou fogo exemplo vigilância por vídeo e com adesivos na janela dizendo falar você tá sendo filmado é uma forma de detecção né você tá filmando ali detectando o rosto detectando todo

mundo que tá passando entendeu identificou alguém suspeito abre um chamado ali um alerta fal Olha isso aqui é uma pessoa suspeita a esse horário com capuz sabe tô dando exemplo para ficar claro que a detecção e ele é importante detectar para prevenir que alguma coisa aconteça Ok notificação de que tudo todo o uso da internet é registrado Então quando você tem um funcionário que vai acessar Inter net imagina aparecendo um popup dizendo assim olha nós da segurança de informação estamos de olho em tudo que você tá fazendo todo o tráfego é monitorado Então se aquele

funcionário tá pensando em acessar um site que não deve ele já fica Opa Isso é uma forma tá de detectar um incidente já já é ser proativo Ok essa notificação mas temos então o papel também de evitar aqui a gente tem o papel de detectar e agora evitar a gente Tem que evitar o incidente Bom vamos lá então aí já é uma opção formal de risco significa que o risco é alto já não é pequeno que ah uma ferramenta aqui uma controle de detecção já é o suficiente não aqui já não é o suficiente não

além de detectar a gente vai ter que colocar controles para evitar tá Então significa que o risco é alto a gente tem que evitar todo o custo a gente tem que ou evitar mitigar a a ou até fazer seguro a gente vai falar um pouquinho sobre Seguro também Ok quando tem uma alta probabilidade de um alto impacto Pode ser que seja necessário um seguro quando você não tem ferramenta então a gente tá falando aqui de medidas Olha não tem medidas aqui para isso isso se acontecer lascou então faz um seguro Ok De repente você não

protege o ativo mas pelo menos o bem financeiro significa que o processo de negócio deve ser abandonado só um exemplo olha deu aqui algum perereco tem que ser o processo ser desativado começar a ativar contingência ou uma atividade deve ser movida até fisicamente né Para que o risco não seja mais aplicável então assim ó tinha o risco a gente precisa evitar de qualquer forma tira move vamos sair todo mundo Olha tem um risco de incêndio tira Todo Mundo Tem que evitar aí nesse caso né no anterior a fumaça com detecção é uma medida e aí

virou o fogo Tem que evitar na verdade não pode nem esperar virar fogo né Isso depende do tipo de risco né ó eu tô dando exemplo do fogo e fogo não é só detecção é detectar e combater Ok seguro é um outro tipo de coisa que você pode fazer também para eventos que não podem ser eliminados Então você tem que fazer seguro Tem coisa que você não consegue eliminar você não consegue lidado não tá no seu alcance e o fato de não não tá no seu alcance você pode fazer um seguro Ok cujas consequências São

inaceitáveis olha não pode ter não tem como mas maor para colocar o a outras medidas para evitar e detectar é é absurdo é muito cara mas não pode perder então faça um seguro contra perdas Ok exemplo seguro contra incêndio como você vai fazer para recuperar um dado que foi queimado não tem como né então você tem que fazer um seguro Ok ou fazer uma cópia diária de todos os dados importantes fora da organização eu quero só chamar atenção eu tô falando do backup aqui como uma forma de seguro tá então você pode ter esse seguro

você faz uma cópia coloca em outro local de onde você fez a cópia não coloca do lado do servidor a fita né coloca na nuvem mas o backup ele pode ser utilizado em outra situação que a gente já vai ver que causa Muita confusão aqui não causa confusão aqui é tranquilo ah backup é uma forma de manter seguro sim Ok eh nem sempre são baratas mas geralmente justificáveis no caso do seguro seguro muito alto mas olha é justificável vamos fazer porque sabe alguém roubou teu carro como você vai recuperar o teu carro né Se você

não conseguir de repente desmanchar o teu carro botar o fogo destruir o teu carro como você vai recuperar através de um seguro tá é caro é mas é justificável porque o teu patrimônio é um bem você não quer perder aceitação Olha eu também posso aceitar o incidente pode pode tá a gente pode detectar a gente pode evitar pode fazer seguro e a gente pode aceitar o o o o risco né quando todas as medidas são conhecidas a gente já conhece a gente pode aceitar ou quando os Quando podemos decidir não implementar certas medidas a gente

pode tomar decisão a gente que eu digo o negócio tá você pode chegar pro negócio fal assim olha existe a o risco de ter um incidente grave aqui de terrorismo de guerra eu aceito Tudo bem não vou colocar Nenhuma medida de segurança pode ser quando o custo é desproporcional a retorno pô mas terrorismo aqui a gente tem que fazer uma outra empresa cara se acontecer um terrorismo acabou a empresa a eu aceito então assim ou é muito pequenininho ou é muito grande é algo muito subjetivo ou algo muito catastrófico né ou não há medidas adequadas

possíveis cara não tem como não dá para fazer seguro não tem não sei o qu Olha eu aceito o risco Ok para isso sempre conversar com asas de negócio quem vai definir essas não as medid mas se aceita ou não evita só detecta é o negócio repressão supressão ou seja o incidente aconteceu precisamos evitar que ele se alastre então lembre supressão repressão é lembra da palavra represa você tem que represar começou a atacar represa começou o incêndio não deixe que esse incêndio se alastre tá elimine o mais R possível que tiver ali veio fumaça detectamos

a fumaça tentamos evitar não conseguimos independente não é porque ter seguro deixa tudo vamos tentar reprimir Ok então limita as consequências do incidente evitar que ele se alastre por exemplo não adianta ter alarmes de incêndio Ok se a gente não saber usar o extintor se a gente não souber e não tiver ninguém que utilize Ok visam limitar o máximo de danos causados que se alastre e aqui veio o problema fazer backup também é uma medida repressiva pô mas Adriana ali é de cópia de proteção de seguro nem sempre fazer backup imagina o seguinte você tá

digitando lá no documento Word De repente dá uma queda de luz se o Word ali não ficasse salvando fazendo um backup de tempos em tempos o teu dano seria maior entenda que a parte de a gente tá dizendo o seguinte o incidente já aconteceu Ele já aconteceu então o bap Ele Pode garantir que o dano não se alastre tá ele protege ele previne ele não sei o qu tal T tal mas o incidente aconteceu ele entra como uma medida repressiva também então tenha isso na tua cabeça o backup entra aqui como repressiva como repressão supressão

porque o incidente já aconteceu ele está em curso e o b ele pode evitar que o negócio se alastre Ok fiz backup Que bom né Eu não perdi tudo o dano não foi tão grande eu só perdi um pedacinho pedacinho pequenininho tá no momento que o is tá acontecendo o backup ele é encarado como repressão correção não teve o que fazer deu zica deu problema vamos ter que corrigir tá então se ocidente ocorre sempre há algo que pode e eh ser reparado Ok dependendo da medida repressiva tá os danos são limitados ou muito grandes se

você não conseguiu ó o backup então não tinha backup lá no Word esqueci de ativar teu dano vai ser gigantesco Qual que é a reparação vai ter que refazer agora se você colocou conseguiu reprimir né o dano não ficou tão grande então a reparação ela é muito pequenininha Então vai depender muito das medidas repressivas é o incêndio né Se conseguiu eliminar o foco do incêndio ali que era pequenininho beleza reparação é só do que queimou ali não de tudo exemplo funcionários acidentalmente criam um novo banco de dados né lá no desenvolvimento e acaba colocando sobrepondo

sobrescrevendo o banco de dados de produção foi não sei se foi intencional ou não mas deu problema é um problema de segurança vai ter que corrigir como aí você vai ter que usar as medidas né Tenha certeza que Garanta que você tem um backup Ok é isso e agora vamos falar um pouquinho sobre ameaças Nós temos dois tipos de ameaça ameaças humanas e não humanas Vamos explorar um pouquinho o que que seria ameaças humanas e as não humanas Então vamos lá dentro das ameaças humanas nós temos aquelas que são intencionais a pessoa tem a intenção

de fazer algum mal nos seus processos operacionais na sua empresa tá existem ameaças com os próprios funcionários que por Desc não tá muito legal na empresa eles podem ser uma ameaça ou pode ser tá quando é intencional então destrói informações depois que são demitidos aí ele fica com raiva e vai destrói informação de repente ele tá com acesso ainda do notebook do smartphone alguma coisa ele tem acesso à rede através de uma VPN aí a área de segurança de informação não foi avisada da demissão não deu tempo bloquear ele conseguiu entrar e detonar os arquivos

exemplo ional tá se vingam da empresa né vendendo inclusive informações confidenciais para os concorrentes ou por não ter recebido o aumento de salário temos aí a engenharia social que aí é o bandido que pensa estrategicamente de como ele vai entrar na empresa através da pessoa ele vai mandar um spam vai esperar que a pessoa clique alguma coisa que entre um Fishing aí o resto já era né engenheria social faz uso então das pessoas ele vai induzir as pessoas a executar alguma coisa por isso que o spam é é uma tranqueira porque o spam ali tem

todo uma a questão do marketing né que pode ser algo para vender mas também pode ser a intenção de você clicar de repente chega lá um e-mail do engenheiro social dizendo ó a sua conta do Bradesco foi bloqueada clica aqui para digitar uma nova senha isso é um ataque típico de engenheria social Ok Engenheiro social se aproveita da fraqueza das pessoas normalmente ele vai ele vai se aproveitar da fraqueza né para realizar seus objetivos todo ser humano tem uma fraqueza e o engenheiro sabendo qual que é a fraqueza ele vai usar artifício para você cair

na armadilha dele temos então ameaça também não intencional foi Ops foi sem querer né acidentalmente acabou digitando lá te Clei deletar sem querer mas é uma ameaça humana e o inseriu um pend drive né que encontrou na rua espetou e tava com vírus Ok ou ele trouxe de casa dele na casa dele não tem antivírus espetou na empresa foi infectado a empresa foi sem querer tá nesse caso eu tô dando um exemplo tô dizendo foi sem querer tá porque é não intencional mas pode ser pode ser intencional Se ele souber que tem um vírus ali

dentro bom tá aqui fechamos ameaças humanas agora temos ameaças não não humanas então ameaças não humanas com influências externas Adriano temos ameaças não humanas pô bastante Olha só relâmpago não é humano é uma ameaça incêndio inundação enchente tempestade tá coisas da natureza não são humanas grande parte dos danos causados depende da localização nesse caso que to relâmpago ente as ameaças não humana vai depender muito da localização da empresa se a empresa tá mais baixo do nível da rua nível do mar Ok se de repente não tem isso mas o Data Center fica no subsolo tá

não seria interessante colocar o Data Center para cima data center localizado né no lugar local suscetível a goteira quantas vezes já vi aquela estrutura bonita data center o ar condicionado bonitão lá em tudo que é canto e o o ar condicionado uma goteira em cima de um rack ou localizada também no subterrâneo né geograficamente de uma forma desfavorável vai ter risco aí de água de Enchente inundação sala que não tem janela Ah para sair para saída e entrada de ar isso é importante a gente vai vir muito sobre os as medidas físicas os controles físicos

bastante sobre isso aqui podemos também então subdividir as ameaças não humanas e humanas e uma uma subdivisão tá interrupções na infraestrutura Ok ou seja nos equipamentos na software hardware ou no ambiente físico então a gente pode fazer uma subdivisão né ó tivemos uma ameaça humana eh dentro do ambiente físico tivesse uma ameaça não humana que afetou o hardware né um curto circuito tal então a gente consegue fazer essas duas distinções ainda tá então o ambiente físico como Edifício documentos né instalações abastecimento de água aquecimento ventilação refrigeração e fica tranquilo que cada uma dessas palavras que

eu tô lendo aqui a gente vai tratar isso durante o treinamento Ok vimos ameaças agora vamos ver tipos de danos temos dois dano direto e dano indireto por exemplo um dano direto alguém roubou um notebook beleza um incêndio a gente vai ter o dano lá por conta de queimou destruiu o equipamento a sala temos também um site atacado por um hacker temos um dano direto tudo isso é um dano direto mas eu vou colocar aqui três exemplos de danos indiretos referentes aos exemplos anteriores então o roubo de informação o roubo de notebook é um dano

direto pô o notebook custa caro tivemos um prejuízo e qual que é o dano indireto tempo de recuperação dos dados Então pode até comprar um outro notebook mas a gente vai ter todo aquele tempo de recuperar né voltar todo backup as as configurações tudo isso então isso é um dano indireto porque por que isso é importante porque muitas vezes a fala assim ah Quanto custa esse notebook Ah r$ 5.000 então a gente coloca no seguro r$ 5.000 então para fazer avaliação de risco a gente tem que considerar r$ 5.000 só que a gente esquece o

dos danos indiretos quanto tempo vai levar pra gente fazer a recuperação desse notebook que foi roubado mais uma par de hora hein tem que pegar a fita de backup que tá outra localidade vai custar mais uns 2.000 tá vendo o notebook já não é mais cinco é 7.000 para incêndio então o incêndio o dano direto é o pegou fogo queimou lá o equipamento a sala e o dano indireto a água utilizada para pagar o fogo de repente é litros e litros e litros e litros também é um tipo de dano indireto site atacado pelo hacker

danos a imagem da empresa Olha só ali a gente sabe quanto custa um ataque né Desculpa quanto custa não né a gente sabe o dano que causa um site fora mas a imagem da empresa é um dano indireto tá você não sabe você não consegue ter essa informação e e e simplesmente falando ó se o servidor caiu o site ca o dano é esse vamos ver a imagem também você vê que aqui já não entra mais valores financeiros né a gente tá falando de análise qualitativa e por fim tipos de estratégias de risco tipo de

estratégia é a ação é a atitude que você vai ter frente ao risco Ok então a gente fecha o gerenciamento de risco falando Quais são as estratégias que você pode tomar Olha você já fez a identificação analisou tem todos os riscos que que qual é a estratégia que eu posso ter então primeiro assume o risco você pode assumir o risco a gente já falou que a gente pode assumir o risco tá Ou seja eu Aceito euis Aceito o risco e pelos motivos que já foram falado eu aceito o risco porque é pequeno ou porque é

inviável né tratar esse risco quando o custo excede o dano Ah é muito caro 1 Milhão para colocar um fireo esse d Os dados aqui não custam nem 10.000 Então vou aceitar esse risco Ah é o risco de me molhar não uma chuva de vez em quando tudo bem é tranquilo não vou comprar um guarda-chuva né aceito esse risco aceitar tá simplesmente decide não fazer nada quero pegar chuva dane-se vou pegar uma chuva tô assumindo o risco Se chover choveu as medidas são normalmente repressivas tá aqui nesse caso para assumir você tá assumindo o risco

tá assumindo o incidente Então você coloca medidas repressivas para evitar que esse problema fique cada vez maior Ok então normalmente as medidas são normalmente repressivas evitar que se alastre e cause um dano então virou um incidente trata o incidente mas o dano não tá então normalmente é repressivo o outro é ser neutro em relação a ao risco ser neutro não é indiferente tá é ter uma neutralidade é tratar o risco como tem que ser tratado não é ser indiferente Ok então o seguinte então são tomadas ações que a gente já falou durante esse módulo né

até que as ameaças não se manifestem mais então a gente vai fazer todas aplicar todas as medidas para evitar que eles Parem de se manifestar as ameaças ou seja lá em cima e se manifestar os danos são minimizados Então a gente tem que tratar todas as medidas ali na parte de cima as medidas estão lá de cima preventivas detectivas E repressivas lembrando que detectivas a gente tem a parte de evitar aceitar seguro Ok beleza temos então a terceira estratégia é evitar Ah aqui Tem que evitar aqui eu não tenho que numa situação neutra só preventiva

ou repressivo evitar que acontea não evitar que o aconteça o dano tá lembra que o dano ó danos a gente tem o dano direto indireto ameaça se torna um incidente o incidente se ele não for represado vai danificar vai causar o dano então a ideia aqui é evitar o risco para evitar o dano então ameaças sejam neutralizadas o máximo possível a ameaça ah a ameaça não leve a um incidente tá a gente tem que evitar o máximo se virar o incidente é muito provavelmente que vai levar a uma um dano vai parar tua empresa vai

causar prejuízo tá então por exemplo trocar um olha só que interessante como que eu faço para evitar um risco muitas vezes as pessoas fal É só colocar controle não você tem um balde que tem a chance de ser enferrujado troca o pelo no plástico acabou Olha só você simplesmente evita que uma ameaça se torne um incidente trocando o um balde que pode enferrujar por um balde de plástico tá ou desativar um software antigo com problema o software tá com tanto problema tá tão vulnerável o fabricante não tá dando mais suporte desativa acabou tá tava era

uma vulnerabilidade podia causar um dano gigantesco porque o atacante ele podia entrar nesse sistema desatualizado antigo e ter acesso ao resto do ambiente sabe uma coisa desativa Acabou acabou o teu problema você simplesmente tinha aquela ameaça você conseguiu eliminar de uma forma forma bem né ali pontual Ok tipos de estratégia de risco e com isso a gente termina esse módulo eu sei que é bem pesado bem robusto mas é importante você entender sobre gerenciamento de risco a gente vai ficando por aqui aí na próxima aula a gente já vai começar a falar sobre o contexto

da organização e aí depois a gente já emenda na nos controles nas contramedidas tá bom e eu te espero na próxima aula Valeu ó eu de novo aqui e aí gostou das aulas Lembrando que as outras aulas do treinamento completo tá dentro da nossa plataforma a pmg Academy a gente tá deixando o link aqui embaixo e eu te convido qualquer dúvida que você tiver sobre o conteúdo sobre o conteúdo que você viu até agora deixa no chat se essa Live ficar fora do ar É só colocar no comentário a gente fez um bem bolado aqui

a gente vai tentar deixar essa live em loop né por isso que ela tá tão grandona e aí eu vou respondendo na medida do possível tá então eu quero atender o máximo possível responder o máximo de pergunta então para isso a gente tá fazendo essa esse bem boladinho aqui de deixar essa live em loop Ok ah queria agradecer o teu tempo até aqui lembrando que o curso tá em lançamento então ele tá no preço bem bacana nesse exato momento que você tá vendo essa aula Pode ser que o preço esteja diferente então corra né nesse

momento tá por R 69,990 um curso Completão tem exercícios entre cada módulo tem aí uma pancada de simulado mais de 10 simulados com questões preparatórias que vão te ajudar a ser aprovado no exame Você pode baixar os slides tem um ano de acesso você vai ter direto acesso aí a a a mim né no fórum né você vai fazer perguntas ali embaixo do vídeo você vai ter uma comunidade da pmg Academy que existem já outras centenas de profissionais da área de segurança para poder compartilhar informação enfim é isso então quero te convidar clicar no link

participar aí desse curso preparatório Henrique quecer o seu currículo ajudar sua empresa ou simplesmente conhecer esse mundo maravilhoso da área de segurança e informação um grande abraço e eu te espero desse lado [Música] Valeu buenas seja bem-vindo seja bem-vinda a mais uma live aqui do tio Adriano meu nome é Adriano Martin Antônio sou especialista em parte de processo de governança gestão de serviço gestão de eh projetos ágeis é um prazer ter você aqui eu tô fazendo uma live um pouquinho diferente né ela vai se repetir se você perceber a Live se você tá chegando agora

a Live tá com algumas horas né alguns dias rodando na verdade é uma forma que eu tenho de colocar um conteúdo e de tempos em tempos eu vou respondendo as perguntas de vocês aí você tem o chatz inho para fazer pergunta né basta se inscrever no no canal E aí você vai colocando as perguntinhas e eu vou respondendo e o assunto de hoje é sobre segurança da informação a galera fala assim pô dreno Mas você é especialista em it CT compliance riscos né Por que segurança da informação segurança da informação faz parte também do gerenciamento

de serviço né a gente precisa fazer o gerenciamento de serviço e se atentar na área de segurança da informação e aí eu venho aí ao longo de quase décadas né de experiência na parte de gestão de segurança da informação gestão de Cyber não conheço muito Tecnicamente ao ponto de ser um etical Hack né de programar ali de mexer no Linux cali Mas o importante que a gente precisa entender é sobre a parte de gestão de segurança da informação e aí todo esse conteúdo que a gente vai ver aqui eu vou fazer uma live a gente

vai bater um papo e aí logo depois eu vou soltar algumas aulas do curso oficial da Izinha ou isfs que é uma atualização da versão mais nova da Norma ISO ser 27.001 e 27.002 esse curso ele é baseado na 27.001 E aí vou falar um pouquinho das normas e aí você vai entender como que é o formato da aula também mas acho que o grande propósito aqui que se você tá chegando nessa Live você entender que segurança da informação serve para qualquer profissional inclusive para pessoas fora da área de tecnologia pessoas que estão fora da

área de segurança da informação vou explorar algumas coisas a gente vai falar sobre alguns termos você vai realmente compreender o que que é essa área tão maravilhosa de segurança da informação e obviamente né esse conteúdo aqui para quem almeja ser um gerente de segurança da informação um Ciso né alguém que eh tá lá na cadeira lá em cima na olhando pra área de segurança e informação ou até um gestor de ti Ele interessante que você conheça as práticas né os controles que tem na Norma a norma ISO 27001 Hoje é a base de tudo de

segurança da informação e aí se você quiser avançar paraa área de Cyber paraa área de programação segura toda a parte parte de aquela parte técnica que é gostoso né que o pessoal gosta de mexer em fao e montar uma rede segura tudo isso você começa aprender com essa base Então hoje que eu vou passar aqui é uma base da área de segurança da informação Ok então lembrando tem o chatz inho aqui de tempos em tempos eu vou olhando as perguntas e eu vou respondendo pra gente aí poder e e compartilhar todo o conhecimento todo mundo

meio que 24 horas por dia né é difícil juntar a galera aqui no horário da terminado então a gente fez esse bem bolado vamos ver se vai dar certo né deixar essa Live rodando aí por algumas horas alguns dias e eu vou respondendo nas dúvidas creio que vá dar certo beleza eu vou compartilhar minha tela aqui eu fiz uma apresentação bem simples sobre segurança da informação e a gente vai bater um papo você vai sair daqui entendendo o que que é segurança da informação e melhor você vai sair daqui entendendo que segurança da informação é

um troço mega importante para qualquer tipo de empresa e principal que eu vou colocar aqui o primeiro item que é o seguinte informação para tomada de decisão olha só a gente esquece um pouquinho dessa palavra né segurança da informação da área de Tecnologia da Informação a gente esquece o que que é isso né O que que é informação a informação ela é essencial para qualquer tipo de profissional Trabalha qualquer área não interessa Que tipo de área até para um profissional autônomo eu até brinco nos meus que eu falo que é até para um artesão que

vem de artesanato na praia ele precisa de informação pra tomada de decisão E aí a gente tem que lembrar que a informação Ele tá em todos os cantos da empresa tá da portaria até a diretoria Todo mundo precisa de informação pra tomada de decisão or se a informação tá desde a portaria até a diretoria significa que a gente precisa trazer uma segurança dessa informação todo mundo da empresa tá da portaria diretoria passando por todos os profissionais todos os funcionários os colaboradores parceiros todo mundo ok Adriano mas por que a segurança de informação é importante desde

a portaria porque imagina o seguinte eu tô chegando na tua empresa e aí simplesmente eu quero falar com você e eu posso simplesmente entrar dentro da empresa normalmente não a gente vai ter uma recepção né que vai olhar lá o meu RG vai ligar né para você para falar que eu tô na portaria vai tirar uma foto vai pegar os meus dados vai ver se realmente eu tenho reunião agendada tudo isso traz segurança para a empresa para não deixar qualquer pessoa entrar tá vendo que a segurança é importante desde lá de fora e ó e

a recepção não tem nada a ver com área de TI com área de segurança é um profissional da área administrativa que tá ali dando suporte né atendendo as pessoas que estão chegando ou as pessoas que estão saindo devolvendo o cchá tudo isso é segunda informação eu não posso sair da empresa com o crachá comigo né a menina que tá lá na recepção o rapaz tá lá falou ó você precisa devolver o cchá dá baixa né criar um log tudo isso é importante para fazer a proteção o quê não só proteção lógica das informações mas a

proteção física também PR pessoa como seria se eu pudesse entrar dentro da empresa e entrar dentro dos departamentos ter acesso aos computadores ao data center né Isso é extremamente perigoso então a área de segurança e informação ela é importante para todo mundo tá em qualquer departamento bom informações para tomar de decisão a gente sabe que todo mundo toma decisão nos seus níveis estratégico Toma decisões estratégicas do tático Toma decisões táticas e o operacional Toma decisões operacionais isso independente da área do seu departamento é sempre assim que funciona a gente sempre tem a equipe operacional normalmente

tem o tático né Que conversa que faz essa ponte entre o estratégico e operacional e a gente tem o estratégico para tomada de decisões mais estratégicas que não diz respeito com operacional e já pensou um diretor tomando uma decisão eh errada por conta de uma informação que não é confiável porque nós como profissionais de segurança não colocamos os critérios de segurança ali as informações não são confiáveis né O que que é uma informação confiável uma informação que tem que é tá disponível que ela é íntegra né que ela é confidencial Então tudo isso é tratado

dentro da área de segurança da informação Adriano e quando tem ataque cibernético tal é um outro Campo tá a gente tá falando aí de cybersegurança Tá mas para você trabalhar numa área de cibersegurança você precisa conhecer os princípios da segurança de informação onde trabalhar nesse esse mundo cibernético né que quando a gente fala de Cyber a gente tá imaginando aqueles ataques as pessoas que vem de fora né ror spam Fishing tudo isso ele está dentro do campo de Cyber mas ele é tratado também dentro da área de segurança O que diferencia mais ou menos segurança

de Cyber é que a segurança de informação não vai trabalhar só com informações lógicas digitais mas com informações físicas também a proteção de uma sala proteção de um documento um documento que é carimbado um documento que é deixado em cima da mesa um documento que é deixado por exemplo na impressora um documento confidencial que é deixado dentro de uma lata de lixo aí a pessoa que tá fazendo a faxina ali vê que tem um documento escrito confidencial dentro da lata de lixo e não foi triturado qual é a função dela qual é o papel dela

diante da segurança de informação Você tá vendo que segurança da informação é para todo mundo não é só paraa área de segurança da informação e se você é um profissional de ti um profissional de segurança o que você vai aprender aqui vai ser simplesmente maravilhoso inclusive todo esse conteúdo ele pode ser utilizado paraa conscientização dos funcionários Por que eu falo isso porque assim nossa a gente coloca fao coloca antivírus monta uma rede dmz coloca roteador coloca VPN criptografia controle de acesso identidade biometria política a gente faz um monte de coisa aí aquele funcionário que tá

ali ele resolve escrever a senha dele no papelzinho e colocar embaixo do teclado ele resolve copiar aquela tabelinha né que ele tava trabalhando ali no horário expediente colocar no Pen Drive ou mandar por e-mail dele para ele terminar o trabalho em casa ou ele acaba passando usuário e senha para um coleguinha que tá do lado porque tá bloqueado ele precisa continuar o serviço furou furou toda a segurança de informação a gente fez um monte de coisa e aí o funcionário não se atenta que segurança da informação é importante aí a galera fala assim Nossa essa

departamento de segurança é muito restritivo a gente não pode fazer nada porque não entende o benefício da segurança e se você é um profissional de segurança de informação o teu papel é fazer a conscientização da mesma forma que eu tô aqui né fazendo essa conscientização eu não sei se você é um profissional de segurança ou não se você for entenda que isso tem que ser levado para dentro dentro da empresa e se você não é um profissional de segurança Caio aqui de gaiato entenda que tudo isso aqui você tem que passar para seu departamento de

segurança fal ass olha o que o tio Adriano tá falando é importante Ok Bom enfim formação para tomada de decisão Outro ponto que é bem importante sobre a segurança e reformação diz respeito à proteção física e dos dados enquanto a gente tá falando e eh da informação lógica digital que tá ali na nuvem no servidor no e-mail tal a gente tá falando da proteção de informações eh lógicas né digitais mas segurança de informação trata também da segurança física O que é segurança física é tratar os perímetros evitar que uma pessoa não entre na no estacionamento

da empresa que não entre na recepção da empresa que não entre nos departamentos que eu não tenho acesso as áreas estratégicas ao data center a um servidor a um roteador um haack com Suites eu não posso ter acesso então nosso papel como profissional de segurança é proteger cada coisinha tá cada equipamento cada ativo cada patrimônio n esse patrimônio que pode inclusive gerar um risco de segurança da informação Adriano isso aqui não tem nada a ver comigo será que não né Será que de repente um ar condicionado de um data center fala Não isso eu não

tenho nada a ver Mas se tiver pingando em cima de um servidor se ele tiver parado se ele tiver quebrado ele não tá gelando e ele vai prejudicar um servidor onde tem informações ali dentro Tais informações que são utilizadas para tomada de decisão Será que não é o nosso papel tudo isso a gente vê na Norma tudo isso a gente vê nas práticas né tudo isso que eu passo para vocês é a gente tem que parar e pensar não não é meu mas a gente precisa gerar valor a gente acha que a área de segurança

e reformação é uma área de apoio uma área restritiva que vai podando faz isso que não pode que ins seguro isso aqui tem que testar tal mas a gente tem que fazer esse tipo de monitoramento e identificar que um negócio que aparentemente não tem nada a ver com o Ti a gente tem que dar um jeito de dar um suporte porque se der o problema vai cair no nosso colo e aí a gente vai ser responsabilizado tá então segurança da informação trata também de proteção física e dos dados tanto lógica quant fisicamente o papel é

importante um cofre um armário com chave um armário a Prova de Fogo um cofre com contra roubo com biometria tudo isso tá dentro do escopo de um profissional que vai trabalhar na área de segurança de informação não é só cuidar de antivírus não tá não é não é só isso a gente quer trabalhar com isso a gente quer fazer Pain test né o teste de penetração identificar vulnerabilidade né a gente quer fazer exploração mas a gente esquece de coisas tão simples que aí pode ser um buraco infelizmente não dá para trazer 100% de segurança para

uma empresa Adrian então se não dá Então não preciso não a gente precisa né nosso papel Nossa responsabilidade é tentar abordar tudo tá e aí a gente acaba esquecendo de algumas questões né físicas ah a gente tem tanta proteção lógica mas deixa um consultor entar dentro da empresa acaba abrindo a boca falando Quais são os sistemas Onde fica o datacenter começa a passar informações técnicas e o consultor ali De repente não faz nada ele pode até comentar com um colega de fora e esse colega de Fora que não tem nada a ver com a empresa

ele pode hum interessante eles têm aquele sistema aquele sistema tem vulnerabilidade eu vou atacar porque eu já sei quais são as vulnerabilidades vou explorar isso vou entrar na rede Vou Pegar informação vou botar um hcer cobrar o Bitcoin né o a a sequestro de informação para tentar desbloquear Inúmeras coisas que podem acontecer sabendo de informações e internas da empresa eu posso preparar um e-mail agindo como Engenheiro social e fazer de tudo para você clicar Num Clique ou clicar no link e aí você clica no link eu instalo um um vírus né E aí eu tenho

acesso às informações eu sei que você tá digitando no teclado e aí sucessivamente eu posso roubar informação VD para concorrente muitas coisas podem acontecer tá ai parece meio assustador Adri Não não é assustador é realidade a gente tá cansado de ver notícias aparecendo em redes sociais de empresa que teve informações vazadas ó questão de privacidade outro meu usuário e senha agora tá na internet todo mundo tem acesso ele é vendido na 25 de mar no CD tudo isso é muito sério as pessoas podem se passar por você se as informações forem vazadas tá E aí

a gente tá falando de privacidade você como cliente ou cliente das suas empresas quer ter segurança de colocar os seus dados ali como a gente vai garantir essa segurança tá a gente precisa sair implementando os controles de segurança e informação primeiro fazer análise de risco identificar Qual informação é importante onde que é tomada a decisão né Que tipo de decisão é Tom ada lembrar né que eu tenho que trabalhar com confidencialidade integridade e disponibilidade nesses três pilares eu vou colocar os controles físicos lógicos técnicos de pessoas colocar política colocar um monte de coisa Adriano é

muita coisa como que eu vou saber de tudo isso dentro da Norma ISO 27.000 Ah mas AD é muito técnico por isso existe treinamento para isso por isso que no finalzinho dessa Live aqui você vai ver algumas aulas para você entender como qualquer pessoa pode entender sobre seguranç informação tá não precisa ser um especialista não precisa ser um profissional de ti tá olha que terminar a Live aqui você vai entender o que eu tô falando bom privacidade a gente fala muito aí de lgpd gdpr né tem que armazenar informações sensíveis eh transmitir informações sensíveis de

uma forma segura para que ninguém colete essas informações tanto que a parte de segurança informação ela é fundamental para um possível DPO a gente fala muito de DPO né que é aquele responsável pelo escritório de privacidade né que fala muito sobre lgpd gdpr esse curso inclusive ele é a base para um futuro DPO o DPO ele tem que conhecer isso normalmente aquele futuro de pe ou é um advogado que precisa conhecer sobre segurança ou é um profissional de segurança que precisa conhecer sobre as leis de privacidade não só no nosso país mas na Europa nos

Estados Unidos Ok então segurança na informação é a base para lidar com privacidade ela que vai dizer o que que você precisa fazer tá infelizmente não é o Como tá a ISO não fala o como no meu treinamento eu falo algumas coisas como o o como para poder te ajudar a a a a a pensar mais na prática como seria isso né porque são muitos jargões são muitos termos coisas que a gente ouve mas a gente não entende o meu objetivo aqui é te passar inclusive nessa Live aqui vou passar uma lista de termos que

a gente ouve muito mas não tem ideia o que que é e eu vou passar ok que mais todo empresa toda a informação todos os processos etc etc precisa de segurança informação todo mundo creio que já tenha ficado claro né que desde a faxineira que tá fazendo a limpeza ali que viu um papel escrito confidencial até a pessoa da recepção a pessoa da contabilidade o investidor o cliente ele precisa ter garantia que a informação que a tua empresa tá prestando né tá demonstrando é uma informação íntegra que não foi alterada ele ter certeza que ele

vai entrar no seu site no seu e-commerce vai fazer um pedido sabe que as informações serão armazenadas privadas que não vai ter vazamento tudo isso cabe a nós segurança da informação obviamente que simplesmente Ah vou aprender tudo aqui já vou sair aplicando Não não é porque implementar um controle custa dinheiro tá vamos imaginar o seguinte Ah eu quero implementar alguma ferramenta para eliminar o spam porque normalmente spam vem muito link com Fishing aí a pessoa clica instalado um vírus no computador é uma ferramenta cara não é barato você existe soluções até gratuitas no mercado masag

gente sabe que dependendo do apetite ao risco Dependendo do valor da informação da tomada de decisão vale a pena colocar um sistema mais robusto a gente pode colocar coisas gratuitas ah questão de senha né a gente pode ter um cofre um sistema de armazenamento de senha pode ser que sim pode ser que não quem é que vai dizer se vale ou não a informação as áreas de negócio vão dizer ó Isso aqui é importante a gente precisa proteger vai custar 1 milhão não então não vou proteger não porque o custo de implementar um controle acaba

sendo mais caro que o valor da informação Então quem é que tem que dizer isso não somos nós da área de segurança da área de tecnologia quem tem que dizer isso é área de negócio então a gente tem que saber vender a gente tem que saber fazer análise de risco identificar Quais são as áreas de risco identificar Quais são os processos Quais são os ativos Que tipo de informação a gente utiliza né a área utiliza para tomada de decisão então segurança da informação é para toda a empresa tá de novo é para toda a empresa

segurança da informação não diz respeito apenas ao futuro ou possível atual profissional de segurança e de tecnologia não é de todo mundo Basta uma pessoa só uma que copiou as informações de base de cliente no pen drive Acabou acabou com sua área de segurança se você não tiver um controle ali que ó não pode espetar pendrive monitorar as informações que estão saindo da empresa não só as que estão entrando tá a parte de Cyber é mais ali ó Quem tá entrando tem que monitorar né que tá vindo do mundão de do do mundo cibernético né

o mundo Cyber agora a segurança tem que ficar de olho também ó do que tá saindo as pessoas que estão entrando fisicamente o comportamento das pessoas que tipo de mensagem que chega por e-mail que tipo de site os nossos clientes estão acessando Será que el Tá acessando um site de armazenamento né de arquivo tá colocando alguma coisa lá será que ele tem um computador pessoal dele que acessa informações da empresa esse computador pessoal ele empresta PR os filhos pros parentes pros amigos que podem acessar outros sites e ser contaminado e contaminar a nossa rede gente

é um emaranhado são tantas as possibilidades nesses quase quase 20 anos eu já vi de tudo tudo tudo falei não isso não é possível acontecer e acontece por causa de uma brecha e normalmente são coisas simples são coisas básicas que o vou passar aqui e a gente acaba escorregando Ok Bom enfim o que que a ISO I ser 27.001 ou 27.002 27.001 é onde traz os os os requisitos para você obter essa Norma né quem obt a norma é a empresa mas você também tem uma certificação como profissional que é responsável para controlar para monitorar

e para implementar os controles Tá mas a gente tá falando aqui no caso da empresa então a empresa ela pode ter sim a certificação e a 27 seriam as boas práticas né seriam mais ou menos o que que você precisa fazer não o como tá então vamos dizer que a 27.001 é o auditor ele vai utilizar ele vai pegar o documento da 271 e vai fazer meio que um checklist tem isso tem aquilo tem aquilo me mostra evidência E aí você vai evidenciando como qualquer processo de certificação sistema de gerenciamento sistema de gestão baseado na

Norma ISO tá e a 272 ela é um pouquinho mais robusta ela tem mais algumas informações não para por aí Existem várias outras normas que circulam né que andam junto com a com a 27.001 como por exemplo a 27701 que é de privacidade aí por conta de lgpd gdpr né Existem várias e várias várias a a família 27.000 é gigantesca tá eu acho eu não me lembro se era 50 80 normas que estavam ligadas 27.000 alguma coisa tá a família é grande a família de segurança é gigantesca então a gente precisa começar da base 27.001

ou 27.002 quando você olha os itens né os tópicos são os mesmos só que uma ela é mais simples ela é voltada mais pro auditor né pro requisito e a outra são um pouco mais aí voltado pras práticas ela se complemento Ok bom ela pode ser o Adriano eu não tenho interesse nenhum em implementar a norma que obter a certificação ISO 27001 eu vou precisar dela com certeza absoluta tudo isso que eu vou falar eu não não foi criado da cabeça do tio Adriano eu peguei isso da Norma né eu peguei lá da 27.1 li

a 27 Lia 27002 né Compreendo o que tem ali o como fazer né então ali no documento você consegue ver o porqu e o que o como eu vim adquirindo experiência por isso hoje eu sou consultor não sou só professor né sou consultor de gestão de ti gestão de segurança então eu sei olhar a norma e falar isso aqui faz isso isso isso talvez Tecnicamente ali eu me pergo um pouco porque não é minha minha área tá Adrian então você não precisa ser um profissional de segurança experto para conhecer a norma de jeito nenhum uma

coisa é conhecer as práticas os processos o que precisa ser feito para controlar monitorar fazer Gestão de Risco compli controles internos governança tudo isso é uma coisa agora entrar ali na parte técnica não necessariamente e para quem tá ali Tecnicamente é bom conhecer com certeza assim como outros frameworks como por exemplo itel it todo mundo tem que conhecer a it simplesmente é onde vai demonstrar como funciona uma TI os processos um devops sua empresa for ágil um scr um CT se tiver governança tá segurança formação é todo mundo AD não tem nada disso preciso precisa

Ah eu não sei por onde começar tá aqui ó pega a norma compra a norma baixa a norma você tem a norma tá aí ó 27.1 27 a última versão é de 2022 tem a a a penúltima foi a 2013 ó de 2013 para 2022 9 anos aí a sendo muito utilizada houve algumas mudanças né por conta da evolução que a gente vemo na área de de tecnologia inovação tá mas você pode pegar 27.000 e utilizar como guia sensacional você não precisa se preocupar a Ah eu tenho que usar a norma só para obter a

certificação Não de jeito nenhum tá então a 27.001 ela pode servir como guia também como pode servir como uma Norma internacional Ah eu quero obter a certificação da empresa pô beleza vamos utilizar a ISO 27000 Ok pontapé para quem for atuar em algumas áreas algumas posições então assim eu posso utilizar a tudo que você tá aprendendo aqui como pontapé Adriano eu quero atuar como cyb Security P Você precisa aprender o básico da segurança de informação antes de sair se metendo em mexer em regras de Fire entender como funciona um Blue team Red Team um Black

Hat White Hat um Pain test calma né explorar vulnerabilidade você precisa conhecer alguns conceitos Você vai precisar porque você vai se emban lá e a norma a 271 ela é muito legal porque ela traz um padrão de termos para você não utilizar um termo que as pessoas não tô entendendo o que você tá falando Ela traz um padrão um jargão que é conhecido mundialmente que aí outras outros frameworks herdaram tudo isso né E para ser reconhecido internacionalmente PR você não falar um termo que pessoal não tô entendendo a gestão de incidente de segurança gestão decidente

não seria gestão de problema decidente ó gestão de problema de de de segurança gestão de incidente de segurança vamos entender o que que é gestão de acidente que que é gestão de problema né Tem vários outros termos Gestão de Risco análise de risco avaliação de risco pô não é a mesma coisa Não não é a mesma coisa tá a ideia não é mostrar aqui qual é a diferença mas a ideia é você entender que existe toneladas de termos que a gente precisa conhecer mesmo se você for um especialista conhecer por exemplo a o met exploit

sabe explorar vulnerabilidade conhece Linux Kali talvez você não tem talvez você não nem esteja entendendo o que eu tô falando mas só para você entender que mesmo a pessoa muito técnica ela precisa conhecer as boas práticas entender aonde ele tá atuando tá aonde ele tá colocando o pé para quem não é de ti ou seja todo mundo Adriano você tá dizendo que um profissional lá de contabilidade por exemplo ele vai precisar conhecer de segurança de informação Oxe vai é informação que ele lida aquela área de negócio o RH sim o RH precisa entender como funciona

segurança da informação para garantir que um profissional botou os pés ali precisa ler assinar e entender que a segurança de informação é importante que a política de segurança de informação é importante contabilidade vai mexer com informação ele tem que garantir integridade das informações um diretor de uma área de negócio uma área de vendas precisa ter garantia que toda a tecnologia segura para ele fazer um pedido do cliente é tudo deixar isso nas mãos do profissional de segurança é arriscado a gente tem que sempre conscientizado na Norma tá dizendo isso todo mundo falece a gente precisa

conscientizar os nossos funcionários e nem sempre dá certo porque de repente nós como profissionais de segurança a gente não sabe vender o benefício a gente não sabe aí a gente precisa contratar um profissional contratar um consultor contratar o tirano para fazer conscientização não precisa tá um treinamento por exemplo já seria o suficiente pra pessoa Ah agora tô entendendo Porque é perigoso eu colocar a senha no papel e colocar embaixo do teclado agora tô entendendo que eu posso sofrer problemas se eu passar meu usuário e senha para outra pessoa se ele fizer besteirinha eu me lasco

quase eu fiz um palavrão na mão aqui eu me lasco tá bom gestor de ti segurança é padrão é básico quando eu conheço algum gestor de ti de segurança tudo bem gestor de ti que não conhece muito sobre a ISO 27000 achou absurdo é básico gente e não é um curso técnico cara é não é prático é teórico é entender os conceitos entender como funcionaria isso entender a norma saber que você tem um um resguardo no momento de dificuldade Olha tô passando por isso eu tenho que colocar alguns controles eh para pessoas tá na Norma

controles organizacionais como políticas controle de acesso tá na Norma tá tudo na Norma ai como que eu faço um controle físico de um data center está na Norma e controle de rede e de vulnerabilidade alguns riscos que vem pela internet está na Norma a norma aborda muita coisa tá analista em geral analista de ti de Tecnologia da Informação informação essa informação precisa seguro um desenvolvedor Com certeza para fazer desenvolvimento seguro um analista de suporte Com certeza operação sim ele tá lá fazendo backup backup é um dos requisitos né de segurança de informação mas Adriano o

cara conhece banco de dados também para criptografar as informações é um analista de suporte também para garantir que não coloque um aplicativo onde qualquer qualquer um pode ter acesso e sobrepor as diretivas de um servidor né você deixa o usuário mexer lá começa a bagunçar o sistema e esse sistema fica totalmente eh aberto né paraa internet aí um atacante vem porque o analista mexeu e ele vai ter acesso à rede toda para quem tá começando seja bem-vindo esse é o conteúdo ideal para quem não conhece nada tá aqui esse é o melhor conteúdo que você

pode ter OK quem da área da de segurança ou não tá quem era da área de segurança muitas vezes é meio Perdidão em alguns conceitos o cara é tão bitolado conhece uma coisa ali ó e a gente precisa do conhecimento dele da expertise né porque normalmente um profissional de segurança tem uma forma de pensar muito interessante ele pode contribuir com outras coisas mas é tão bitolada ele é fanático numa coisa só e ele não tem o conhecimento da área que ele trabalha e ele não ele é subvalorizado ele tá ali ó ele só trabalha com

aquilo ele poderia ajudar em muitas outras coisas por isso se você é um profissional desse aprenda segurança conhecimento tio Adriano sempre falou conhecimento nunca é demais tem certeza que vai agregar não só pro seu currículo mas também pra empresa OK Para que serve a ISO 27001 colocar tudo aqui opa opa opa demais para que serve ó para conscientizar quer fazer um programa de cons conscientização não sabe por onde começar olha a norma ali na Norma você vai começar fala assim Nossa isso aqui é importante porque ele departamento Nossa aquele profissional que adora levar o computador

para casa Olha aquele ali que to toda hora fica mandando e-mail Zinho né para for ó esse aqui toda hora me Alerta que ele tá acessando o site que não pode ali ó Ou aquele ali já teve um problema de segurança né já levou coisa para fora já recebeu conscientização vai te ajudar melhorar se você já ter os controles vai te ajudar a melhorar cada vez mais tá é praticamente vou dizer que é praticamente impossível você ter 100% dos controles implementados no no nível de maturidade máximo ali automatizado tá é difícil então você pode utilizar

a norma para melhorar cada vez mais e também para obter a certificação talvez você trabalhe numa empresa onde exige que obtenha essa essa Norma de de segurança a ISO 27.000 por conta de regulatório por conta de mercado né vá eu trabalho aqui por exemplo no sock num Security PR Center né onde eu trabalho para monitorar a área de segurança da informação os eventos de segurança de outras empresas Pô é legal você ter Ah eu trabalho num banco aqui é informação importante numa numa seguradora eh numa empresa onde que tem é de alta tecnologia é interessante

ou aquela empresa que tá ali ligado direto ao público tem um e-commerce grande é interessante tá só esse tipo de empresa não você pode simplesmente começar a colocar os controles e coloca a certificação tá não é não é muita diferença quando você tem a visão de melhorar e obter a certificação obviamente né que o Rigor vai ser completamente diferente na Norma se você falar que tem você tem que provar tem que evidenciar E aí vai ter um processo de auditoria tudo isso mas tirando isso nossa é sensacional A 27.1 27002 então se você De repente

é um empresário que tem uma pequena empresa ou ou sei lá ou tua empresa não tem um departamento de ti não tem um departamento de segurança inv um tempinho lendo a norma tá lá a norma vai te ajudar como pequeno empresário ou como empresa que trabalha numa empresa que não tem esse departamento de segurança é al muito simples né tá tudo na nuvem tudo aplicativo vale a pena escuta o que eu tô te falando não é porque tá tudo na nuvem que você não precisa de segurança informação negativo né você tem acordo de confidencialidade fazer

um bom contrato com o fornecedor identificar quais são os riscos dele saber se ele tá processando informações pessoais ou não armazenando olha gente é bastante coisa então é eu fico doido quando pessoal falar eu tenho uma empresa tenho aqui mas eu não tenho um departamento de ti é tudo terceirizado mas is questão de segurança não não tem bonitinho a gente tem antivírus aqui não é só isso né a gente precisa ampliar por qu se a gente não faz isso aí quando acontece um problema uma crise um ataque aí o empresário ficou assim puxa vida eu

não sabia disso não tinha conhecimento pô tô trazendo conhecimento vá buscar né para depois não vi falar assim ah eu não sabia não tem né então já te tô dando caminho vai atrás da Norma vai atrás desses conteúdos que eu gravo aqui no meu canal tá que é sobre gestão não vou te ensinar e você não precisa aprender a programar e e a a a a colocar código script lá no Linux instalar aplicativo não não não não você precisa conhecer você precisa conhecer todo esse mundo de segurança para poder contratar uma pessoa certa olha agora

eu já sei a importância de ter uma VPN Olha já sei a importância de ter chave criptográfica Beleza agora já sei onde eu compro a minha criptografia o que que é chave né O que que é criptografia simétrica simétrica é importante pro seu negócio se você acha que não você toma a decisão toma a decisão baseada em informação e essa informação tem que ser protegida Ok integra com o quê com tudo olha gente eu podia ficar colocando todos os possíveis frameworks que existem no planeta tudo tá segurança tá em tudo eu fiz questão de colocar

até devops Fala mas devops desenvolvimento operação integração contínua entrega contínua segurança sim por isso que tem o Dev Sec OBS né de desenvolvimento segurança e operação todo esse processo de mudança automatizada né que o desenvolvedor ele coloca já programa já faz checkin já entra em ambiente de produção várias mudanças ao mesmo dia quem é que garante que tem uma segurança ali antes de colocar alguma coisa em produção né então Dev sec é uma boa opção de você colocar área de segurança então tem integração cobt nem se fala um Framework de governança de a gente chama

de governança de TI que é um termo errado né uma governança corporativa de informação e tecnologia ou seja uma governança tá dentro da governança corporativa a gente tá falando ali de governança a gente tá falando de compliance e transparência né E a gente tem que ter garantia que as informações estão ali imagina uma emesa que tá abrindo o capitão na bolsa ela vai precisar de governança até para atender cvm e se for um banco Banco Central enfim depende da da do ramo da indústria vai precisar lá ter as governanças nível um nível dois nível TR

e precisa trazer transparência pro investidor pô alguém vai comprar as ações de uma empresa eu tenho que ter certeza que aquela empresa ali ou pelo menos algumas garantias que a informação é fiel né para evitar problemas que já aconteceram no passado né que a contabilidade tá ok isso elimina problema de 100% não a gente já viu recentemente inclusive Lojas Americanas né que ali teve governança teve tudo mas ah Olha tá vendo não tinha governança tal a gente tá falando de questões humanas também né se a gente entender um pouquinho que aconteceu ali não foi a

governança que ó por ter governança que houve problemas financeiros não tá foram questões humanas it dentro da it existem diversas práticas e uma das práticas é sobre segurança da informação obviamente que a it ela não aborda né com tanta profundidade quanto a outros frameworks no mercado quanto principalmente quanto a 27.000 a família 27.000 mas a tá dizendo ó segurança da informação é um troço importante tá aqui as práticas tá aqui alguns conceitos ão aqui algumas boas práticas né algumas coisas que é legal fazer para integrar com outras coisas com a central de serviço que vai

fazer o atendimento identificar que um chamado de segurança tá e assim sucessivamente Ok então integra com tudo Ah eu tenho o cobt aqui não preciso de segurança ó não não não faz não faz não fala tipos de besteira tá Ah já tenho watch não precisa de segurança não tá cada um no seu quadrado Ok ar no seu quadrado governança mais estratégico l no seu quadradinho devops no seu e todos já estão todos muito bem integrados Ok ai funciona sim a gente pode até fazer uma outra Live falando sobre a integração de cada um desses bichinhos

aqui tá Eu só coloquei três gente podia colocar várias outras Podia colocar autf Podia colocar o verm Podia colocar eh scrum cambam é tudo gerenciamento de serviço tá tudo gerenciamento de informação que é a minha prática que é a minha área por isso que eu venho trazendo tudo isso aqui com essa facilidade de integrar e segurança integraria com tudo tá porque informação todo mundo trabalha com informação Então tem que ter segurança da informação Ok e o que que tem nessa nessa Norma aí né a gente tem controle a gente tem termos e jargões deixa eu

colocar tudo aqui porque já fiquei meio bom o que que tem na Norma então se você pegar a norma vai lá compra a norma tá baixa a norma aí você vai ver que tem controle Mas é uma porrada de controle tá separado ali né organizacionais pessoas controles técnicos controle Ou seja eu tenho o risco eu tenho problema e eu preciso controlar eu preciso controlar aqui lá eu tenho problema aqui de spam de vírus como que eu controlo esse vírus controlo com controle então a norma é um conjunto de controles ai como que eu faço para

evitar que as pessoas e deixa informação confidencial na tela você tem um controle para isso né o controle de mesa limpa de tela limpa Ah eu preciso eh classificar as informações aqui o que que é público que é confidencial que não sei o qu eu tenho um controle de classificação a norma é um conjunto de controles Ok ali tem contoles te ajuda separado bonitinho Inclusive a 2022 já tá muito mais eh logicamente separado que nos ajuda já ir direto tem várias tabelas fazendo o link com outras coisas tá sensacional tá termos e jargões Nossa ele

é fundamental Adriano ó eu não quero isso issso aqui é chato Norma parece meio burocrático Tá bom mas olha a a norma como um termo para você não falar besteira numa reunião por exemplo você falar um termo e o cara entender outro e vocês terem um problema de comunicação lascado que pode prejudicar a empresa tá um fala incidente outro fala em problema né um fala em disponibilidade outro fala em integridade um não sabe qual é a diferença de eu falei daqui a pouco agora a pouco né criptografia síncrona assíncrona não sabe a diferença de um

rer para um Fishing É para um vírus para um spam engia social aí Cada um fala uma coisa gestão de identidade gestão de acesso é a mesma coisa não é análise de risco avaliação de risco Gestão de Risco gerenciar risco vulnerabilidade ameaça são coisas distintas então para evitar inclusive passar vergonha falar bobagem besteira que eu vejo muito profissional de segurança falando um monte de asneira numa reunião confundindo todos os participantes e fazendo com que os participantes tomem decisões erradas porque o cara não tem a mínima ideia o que tá falando ele tá tão imerso na

parte de ali prática né na na parte ali de de configuração de sistema que ele fala umas Neira ele solta e pode ser muito prejudicial então vá aprender os termos que é utilizado mundialmente não são termos que o tio Adriano criou não se você vê no treinamento todos os termos são oficiais da Norma tá que é o mesmo utilizado no planeta Terra inteiro Ah mas a norma iso é europeia mas tem lá tem a ania skn tem lá na na Austrália tem tudo que utilizam a mesma base de termos paraa gente não falar tá serve

como um guia para melhorar então eu vou lá falo bom Beleza não tem interesse já sou bom já conheço todos os termos todos os jargões já sou um profissional que trabalha há 15 20 anos ok utiliza como guia para te ajudar a melhorar e ajuda lidar com riscos tá a segurança da informação ela só pode começar depois que você faz uma análise de risco para não ficar muito caro quantas vezes eu vejo analistas ficando triste ah a gente foi com um projeto lá para tentar vender pra diretoria a diretoria não comprou Faz o business Impact

analyses né você identificou o valor da informação né perguntou para cliente não não perguntei Eu só acho que é importante para de achar análise de risco tira esse amadorismo você analisa o risco da empresa do negócio por isso que o profissional de segurança tem que conhecer o negócio aí você pega um profissional bom caro que tá lá enfiado numa salinha gelada mexendo com o Linux preparando script detectando vulner verdade mas ele não tem ideia o que acontece com o negócio não tem ideia Será que ele profissional tá sendo eh subutilizado Será que a gente tá

pagando muito para ter aquele cara lá dentro será o que a gente tá pagando vale mais do que a proteção da informação então A análise de risco você coloca o profissional em outro patamar fica mais maduro quando eu chega numa empresa onde tem um monte de Tecnologia de segurança mas não tem uma análise de risco F imagino quanto dinheiro essa empresa gastou Será que era necessário realmente aí quando eu pergunto pro gestor de T fal não era necessário Quem te disse a gente sabe do negócio não não é o negócio tem que responder você tem

que ir lá no negócio perguntar por isso existe processo gente processo é para isso essa a minha área eu não conheço Tecnicamente não se o o Fire x y z é melhor que o outro qual ferramenta não vamos ver depois isso aí vamos Identificar qual é o valor da informação Quais são as informações que são são necessárias para tomar uma boa decisão O que que a gente precisa proteger vamos identificar se a gente tem uma arquitetura da informação saber onde as informações estão se estão no e-mail estão na nuvem no computador do diretor no Pendrive

numa mídia aonde aonde estão essas informações se a gente nem sabe onde estão asas informações como a gente vai colocar os controles tá bom é bastante coisa e tudo tá na Norma tudo tudo ok E aí você vende uma coisa massa ali legal aí você explora pô eu gostei desse negócio aqui de ah malware né tudo que é mal né spam vírus Fishing hcer Logic Bomb e hot kit ah toda esses termos aí que tá em vogga né Toda hora a gente fica ouve aí na na mídia a gente não sabe a diferença gostou disso

aí você entra numa área de Cyber numa área de etical hack para fazer teste para começar validar ó eu gostei mais dessa área de gestão vai aprender sobre compliance riscos né Tem vários cursos várias certificações Eu gostei dessa área de desenvolvimento né proteção do site web de rede servidor computador tudo cada um vai ter sua área mas se você não conhecer o geral você não sabe nem por onde começar então isso aqui é a base Ok conteúdo Olha só eu vou falar um pouquinho de coisa que tem dentro da Norma para você entender até onde

a e até onde o conteúdo do curso que você vai assistir daqui a pouco as aulas até onde a gente pode chegar né ele vai falar sobre os perímetros de segurança né até chegar na informação mais valiosa então eu como profissional de segurança eu tenho que me tenho que ficar atento sobre a rua o muro a cerca câmera grade se a porta e as janelas estão bem trancafiadas tão bem protegidas com barra com alarme tudo isso dentro departamento se qualquer um pode abrir quem tem a chave se é biometria se é pela íris usuário senha

quem pode ter controle de acesso aí chega no computador quem pode ter acesso à aplicação ou computador ou biod né o bring your on device é o equipamento próprio da pessoa que ele utiliza para acessar as informações para trabalhar na empresa eu tenho meu próprio celular que eu utilizo para trabalhar na empresa tá isso é o biodi Como que eu faço o controle de segurança do equipamento que não é da empresa é do professor e questão de privacidade eu posso acessar e ali simplesmente olhar tudo tá tem os controles E aí tá dividido entre controles

organizacionais controle de pessoas ou controles pessoais físicos né que eu falei aí sobre os perímetros e controles lógicos ou técnicos que é essa parte mais técnica né onde o pessoal aborda mais a questão de rede né de de servidor da parte mais lógica de protocolo de criptografia de ataques você tem tudo dentro da Norma separado Então você tem a parte de políticas processos a parte de conscientização a parte de Treinamento a parte de controles físicos né de uma porta corta fogo de umaa câmera do monitoramento tudo isso ok e olha só que interessante Então a

norma ela explora o quê o espaço ou seja público até chegar ao interno e cada informação ele vai ter o seu nível de criticidade Então eu preciso como profal de segurança né trabalhar o espaço público para evitar que as pessoas acessem o ambiente aí eu vou ter que ter o anel externo que a gente chama de perímetro né o anel externo provavelmente vai ser informação pública vamos imaginar que eu trabalho numa Biblioteca Municipal né Ó até aqui você pode acessar Eu trabalho no banco dentro da agência você pode acessar até aqui daqui para cá você

não pode então o profissional de seguranç precisa identificar Que tipo de informação tem que tá dentro de um perímetro que é mais seguro que é público e colocar os controles não é porque é público não preciso ter controle não vamos colocar uma câmera vamos monitorar de repente fazer um registro de quem tá entrando por exemplo numa biblioteca ou é público qualquer um entra se for um museu por exemplo Mas quais departamentos quais áreas de um museu a pessoa pode entrar de um supermercado então assim se você analisar na sua empresa a gente vai ter que

detectar qu Quais coisas são públicas Ah mas Adriano eu a gente trabalha Home Office tal tá bom na intranet na internet eu tenho um site que tipo de informação que que vai est disponível por exemplo o o aluno que compra na pmg acarm ele vai encontrar uma série de informações para visualizar o curso tem um blog tem informações ali tem bastante coisa mas tem acesso aos cursos acesso a conteúdo completo ao simulado exercício a mim ao chat ao fórum as informações de outros alunos a rede social que a gente tem internamente não aí já é

bloqueado tá é o anel Ok é o perímetro E aí trazendo pro mundo físico você tem a parte do prédio tem as inform ações internas Você já tem o espaço de trabalho o departamento E aí as informações são mais sensíveis até chegar no núcleo Então a nossa proteção tem que desde lá de fora até o objeto Aonde a informação é muito mais sensível então o que que eu coloco no público cerca muro coloca uma parede Externa uma parede interna tá Ah um cofre um armário para armazenar informações o próprio objeto o próprio servidor Ok colocar

num ambiente seguro sem colocar placas né ó D dat Center ali quantas vezes já entrando numa empresa onde tá assim uma plaquinha assim ó data center pô quem é que colocou uma placa pro visitante eu tô entrando na primeira vez eu já sei que o Data Center fiou pro lado esquerdo Então essas coisas essas nuances estão no conteúdos nos conteúdos do curso na própria Norma e aonde a gente acaba explorando tudo tudo tudo tudo que tem dentro da Norma Ok logicamente você tem a gente tem um treinamento que ele é muito mais Ah requintado ele

tem muito mais conteúdo ela é baseado na A 27002 tá isso é que eu tô falando sobre a 27.001 que é um termo mais genérico que é preparatório as aulas que você vai assistir é é um curso preparatório para o exame da ezin mas existe um conteúdo que é preparatório pro it Shaped que é o TF que ela é baseada na 27002 ele é muito mais robusto né Ele fala dos mesmos controles exatamente os mesmos só que na 272 eu exploro bastante só para você ter ideia o curso eh dazin acho que são se eu

não me engano são 24 horas né o do thsf é o mesmo conteúdo é a mesma Norma só que uma é da 27.001 24 horas a 27.2 São 60 horas eu exploro muito mais aí você tem essas duas possibilidades tá gostei da 27001 vai pra 27002 que eu dou aquela aprofundada bem bacana Ok com bastante exemplo com coisa prática coisa que eu já passei como que a segurança É gerenciada então normalmente a gente tem a vulnerabilidade que que a vulnerabilidade vamos vamos vamos passar aqui para você entender né vulnerabilidade ameaça exposição E aí a gente

tem o risco tá então quando a gente trabalha tá trabalhando na área de segurança e informação o que que o profissional tem que identificar Quais são as coisas que estão vulneráveis tá primeiro vulnerável mas tá sobre ameaça porque assim pode estar vulnerável mas não tem ameaça Ok eu tô sem guarda-chuva tô vulnerável mas eu tenho ameaça de chuva eu olho pro céu o céu tá limpo tá fresquinho não tem uma nuvem então não tô exposto ao risco de de ficar molhado Então essa análise tem que fazer sempre fazer a análise de risco é extremamente importante

a gente tem que identificar o que que é vulnerável se existe ameaça exposição E aí atuar com o risco que nem o pessoal fala assim ah ah Linux é Linux é mais seguro né Olha na verdade o Linux ele tem menos vulnerabilidade mas ameaça tem é muita gente querendo atacar tanto quanto o Windows a questão que ele não tem tantas vulnerabilidades tá então a gente precisa identificar tem ameaça ou não tem e se tem ameaça a gente tá vulnerável Com certeza pode dar um perereco perereco pessoal fala que essa palavra é tão estranha né pode

dar algum problema se você tiver exposto Então dentro da área de segurança a gente precisa fazer isso aqui identificar se o seu sistema vulnerável se ele é antigo se ele precisa ser atualizado Não tô dizendo só sistema tá tudo política prática processo tudo isso é vulnerabilidade as pessoas não foram treinadas é uma vulnerabilidade porque a ameaça vai existir e se um atacante descobrir que você tá vulnerável que a tua equipe não foi treinada não foi conscientizada tô falando aquele profissional aquele vendedor existe uma ameaça E aí o atacante vai explorar essa ameaça por porque ele

sabe que a equipe tá vulnerável pronto você já tem o risco de ser atacado tá isso aqui eu exploro muito nas aulas muito para você entender cada etapa como fazer essa análise de vulnerabilidade analisar identificar as ameaças identificar como você pode saber se você se você tá sendo explorado ou não e fazer toda a parte de Gestão de Risco tudo na área de segurança tem que começar com a parte de risco Gestão de Risco ok uma das coisas mais importantes que a gente fala é o Cid né que é confidencialidade integridade e disponibilidade eu coloquei

até um texto aqui ó segurança da informação e a disciplina que se concentra na qualidade ou seja confiabilidade gente primeira coisa que eu falei segurança de informação é tomada de decisão de uma forma segura o que que é ter uma informação segura é ter uma informação confiável o que é ter uma informação confiável uma informação de qualidade Ok adrano eu tô entendendo mas cara uma informação que você pode confiar que ela tá Correta que ela tá íntegra que ninguém acessou antes que ela é confidencial eu mandei só informação para uma pessoa se eu receb para

você ter ideia dentro da Norma O que que a gente fala tá Principalmente dentro desse desse tripé Sid né Deixa eu já colocar aqui né é o tripé disponibilidade confidencialidade e integridade Ok AD não deu Sid né deu DCI é só trocar a palavra né eu devia ter colocado confidencialidade em cima integridade e disponibilidade olha só que bacana aquelas informações que são ditas verbalmente dentro de uma sala de reunião a gente precisa proteger essas informações ok a gente só pensa em em proteger informação eh lógica que tá no servidor ou que tá em papel mas

a informação falada a gente também precisa Então eu preciso garantir que reuniões que aconteçam numa sala aonde são tomadas decisões estratégicas eu preciso ter proteção contra a voz né áudio desligar o telefone garantir que as pessoas não estão vendo de fora quem um diretor tá escrevendo lá quem tá escrevendo num flipchart alguma informação confidencial eu tenho que fazer esse tipo de proteção tudo isso tá dentro da Norma tudo isso eu explico no treinamento tá então Cid é o é o tripé da segurança de informação então eu tenho que deixar a informação disponível Adriano senão se

acontecer um incidente o servidor parar será que é alguma questão de segurança da informação bom se um servidor para a informação ficou indisponível disponibilidade é um termo da qualidade e da confiabilidade de uma informação como que eu vou tomar uma decisão se a informação não está disponível então diz respeito a segurança da informação sim tá confidencialidade armazenar é proteger garantir que as pessoas não Leiam com carimbo com classificação Seja lá o que for íntegro garantir que por exemplo eu tô mandando uma informação por e-mail daqui para lá e ninguém altere né que não tenha ali

técnicas né de m demiro né aqui tô falando termos de etical hacking que a gente também tem term de etical hacking garantir que ninguém interprete as informações lá dentro do protocolo consegue extrair as informações ler fazer a leitura fazer mudança E aí manda pro remetente informação errada né Como que eu faço essa checagem para saber que a mensagem saiu daqui e chegou até lá na Norma tá dizendo quais são o tipo de criptografia né Por exemplo One Way né o hash você pode utilizar técnica de hash para saber que se a mensagem que saiu daqui

é exatamente o que chegou lá Ok informações como por exemplo a senha que tá armazenada dentro de um servidor Será que aquela senha não foi alterada como que eu faço para não deixar aquela senha exposta eu posso colocar um hash criptografar as informações Ok tem muitas outras coisas eu fico ansioso aqui querendo falar tudo mas tá tudo muito bem explicado daqui a pouco você vai ver ciclo de vida de incidente é outra coisa que a gente bem tem que tratar bastante né então a gente tem que identificar que existe uma ameaça e a gente precisa

PR ter controles para poder identificar isso se essa ameaça acabou se tornando incidente a gente precisa ter controle desse incidente para não fazer com que esse dente estrague cada vez mais que piore o dano e tem que fazer também colocar controles para que evite que o dano se propague E aí também tem que ter controle para ajudar na recuperação tá esse é um ciclo de vida de incidente que é tratado aos olhos da ISO 27000 lógico se a gente pegar o do C search pegar do search pegar de outros modelos até do cisp o o

o ciclo de vida ele muda um pouquinho tá principalmente se tratando em cyber mas o padrão é isso aqui por que eu coloquei isso porque a gente ó a gente vai ter que ter controles para reduzir as ameaças a gente vai ter que ter controles para prevenir que essas ameaças se tornem ess dentes controles para detectar esses acidentes controles para reprimir né para evitar que aconteça danos maiores e a gente vai ter que ter controles para saber se a gente fez essa correção para poder recuperar de repente algum sistema danificado Grando quanta coisa onde que

eu encontro isso dentro da Norma Ok dentro do nosso treinamento e aí fazer avaliação né porque ele tem que ele volta né é um ciclo infelizmente é um ciclo né constante depois você faz a recuperação aí vai acontecer novamente vai acontecer novas ameaças então a equipe tem que estar de olho em novas ameaças tem tá como que a gente faz isso aí tem todas as técnicas né acessar fórum sites de confiança sites de fornecedores etc etc etc Ok avaliar se todo o processo de ah não não deu não deu a gente detectou ameaça não deu

escapou virou um incidente o dano aconteceu a gente recuperou um sistema que foi corrompido vamos fazer a avaliação onde a gente errou né o processo de melhoria contínua a gente errou aqui na detecção ó a gente não teve um controle aqui vamos aplicar controles Ok E aí termos jargões e conceitos controle de acesso quem pode acessar física e logicamente isso é falado muito né eu eu eu coloquei alguns termos aqui que eu vejo que as pessoas acabam criando confusão né tipo controle de acesso é uma é uma coisa controle de gestão de identidade é outra

né você tem toda a parte de de identificação a autenticação a liberação de acesso tal ele primeiro reconhece se o usuário e senha tá no banco de dados se tiver aí ele falou agora me dá senha para validar se você realmente diz ser quem é E aí eu vou perguntar se ele vai ter senha se ele vai vai ter uma biometria se ele vai ter um ID se ele vai ter um cartão de acesso são todas essas fases que a gente precisa entender e identificar esses termos para diferenciar porque falar um termo errado numa reunião

onde tá acontecendo um incidente pode ser catastrófico Ok políticas e segurança da informação que que a Bendita política de segurança da informação é o que deve o que não deve ser feito dentro de uma empresa quanto a à segurança da informação ó você não pode acessar sites que não diz respeito ao negócio você não pode respeitar o pend drive você não pode copiar senha no papel você não pode cara extremamente importante política de segurança de informação para os funcionários entenderem O que que você tá fazendo e garantir que eles entenderam assinaram você treinou pessoal beleza

ó entrou dentro da empresa botou perto da empresa as política de segurança da informação é um dos itens mais importantes que o RH tem que dar pro funcionário novo mudou de área também de repente mudou de área vai acessar outro tipo de informação é bom ele reler a política atualizou também sempre tá postando atualização na internet pros funcionários por e-mail fazer todo um plano um programa de conscientização tá backup é um dos troços mais importantes fazer backup para que se der algum problema você possa restaurar até dizem né que o backup não é tão importante

quanto o restore não adianta você fazer backup e não testar tá e tem aquela outra também né quem tem um backup não tem nenhum porque tem dois tem um tem que sempre fazer o teste a gente vê muitos profissionais fazendo backup de tudo já parou para fazer um teste para ver se aquele bicho lá tá rodando tenta fazer um teste de restor para ver se tá funcionando criptografia também é outra coisa que a gente tem que trabalhar muito com criptografia criptografar site criptografar sistema criptografar mensagem então você tem que entender muito sobre criptografia classificação de

informação ou seja rotular informação você classifica depois rotula tá você tem que rotular etiquetar mesmo um cabo de rede etiquetar um servidor etiquetar uma sala etiquetar uma informação como que etiqueta uma informação você coloca essa informação é confidencial se é confidencial eu preciso ter controle né mais rígido que aquela informação que não é é confidencial continuidade de negócio também é troa que a gente trabalha aí bem ligado ao negócio tá não é só continuidade de serviço de ti mas é continuidade de negócio acontecer uma catástrofe um grande problema uma enchente uma pandemia as pessoas agora

vão trabalhar de casa gente tudo é questão de segurança como que a pessoa vai trabalhar de casa do computador dela a não tinha previsto isso precisa colocar uma VPN precisa colocar um servidor ele precisa acessar as informações da empresa lá de fora então continuidade de negócio faz muito sentido dentro do contexto de segurança não só né de segurança mas de governança também acordo de não divulgação ou NDA né no clos agreement a gente precisa ter um contrato de não divulgação de informações com fornecedores com cionários com todo mundo isso é é um dos controles organizacionais

mais importantes ok que mais agora falando sobre o curso exame isso aqui é o último slide pra gente já começar a aparecer aqui algumas aulas eh o que você tá prestes a ver agora vai ser as aulas algumas aulas dessa certificação desse curso oficial para você entender como é que é como que é meu estilo pesso falar Ah será que é legal não é será que eu vou entender ou não Então são algumas aulas você falar assim pô legal gostei curti tá Ah especialmente agora a gente tá numa num processo de lançamento desse curso por

conta da atualização da Norma para 2022 é aqui embaixo desse vídeo a gente vai colocar na descrição também no chat se alguém colocar ali a gente vai colocar o link direto pro Treinamento hoje tá numa super promoção se você tá assistindo agora nesse exato momento tá por R 69,990 um curso que você vai ter acesso por um ano eu não sei depois ok tá nesse momento você tá assistindo esse curso tá nesse nesse preço então dá uma consultada para ver se tá esse preço no nosso site é um curso aí de um ano de acesso

um curso preparatório Pro Exame de certificação ele tá alinhado a nova Norma da ISO 27001 tá E aí essa certificação bem interessante para quem quer galgar outras áreas uma certificação mais avançada de segurança ou para quem quer se tornar um DPO né um data priv Officer eh essa certificação Ela é obrigatória para quem quer ser um profissional de privacidade Ok eu espero que você tenha gostado eu espero que o assunto tenha sido leve que você entendeu a importância qualquer dúvida que você tiver eu te estimulo a clicar aqui no chat colocar as perguntas se essa

Live sair do ar coloca nos comentários a gente vai deixar o máximo possível de informações de tudo que você Ah acho que aqui surg uma dúvida tal manda pra gente a gente vai colocar na descrição ok E aí vou te deixar assistir algumas aulas e logo no finalzinho a hora que acabar eu volto a conversar com você tá bom E aí bom treinamento não esquece tá coloca aí as perguntas no chat que vai ser um prazer Zao responder valeu até daqui a [Música] [Música] pouco buenas seja bem-vindo seja bem-vinda a mais um treinamento da pmg

Academy meu nome é Adriano Martins Antônio e eu vou ser seu instrutor até o final dessa jornada Lembrando que esse curso ele é oficial ele é preparatório pro exame dazin o com a sigla isfs que é a famosa ISO 27001 foundation só que na versão 2022 se você já tem a certificação antiga da versão 2013 você não precisa fazer a nova certificação mas acho que é importante a gente entender aqui que existe atualizações que ocorrem constantemente no mercado e é importante você entender principalmente porque tem novos controles tá a norma ela mudou um pouquinho ela

mudou a estrutura vieram alguns controles que eu vou abordar nesse treinamento Lembrando que aqui na plataforma Você tem uma aba chamada materials que você pode clicar para fazer download constantemente aqui faz alguns tipos de mudança e a gente vai colocando num documento Então esse documento é importante para você baixar Lembrando que não é só esse documento existem outras coisas O slide Você pode baixar inclusive também ah no final de cada módulo a gente tem aí alguns exercícios que é bem legal fazer para para você testar o seu conhecimento e de tudo que você tá aprendendo

e no final desse dessa jornada aqui você vai ter um batalhão de perguntas e respostas bem semelhante ao simulado e uma coisa que eu quero já falar logo do início Lembrando que o simulado é importante mas não é tudo ele é só um exemplo do que cai na prova do formato Como é cobrado no exame Tá então não vai se atentar somente a ele quando você for fazer o simulado nós temos a tendência de identificar o que que a gente errou Tá mas o mais importante identifique o por você acertou uma questão Então você faz

lá o simulado tranquilo não vai correr o treinamento só para chegar no simulado Não faça esse treinamento aí uma duas três vezes faça um mapa mental que eu acho que é bem importante porque você consegue explodir suas ideias e no finalzinho você faz então o simulado e vai identificando tudo que errou e principalmente porque acertou por que isso porque eu vejo muitas vezes o pessoal fazendo o simulado tá mais tranquilo né não é o exame de verdade então ele tá lá Tranquilão Vai fazendo então ele acaba meio que chutando e se cai algo semelhante na

prova o aluno não vai lembrar então é importante a gente identificar por acertou porque naturalmente O que errou a gente já vai atrás o que acertou também é importante Ok bom esse treinamento aqui é para quem nunca viu sobre segurança da informação e também para aquela pessoa que é ou pretende ser um gestor de segurança da informação por quê Porque Normalmente quando a gente fala de segurança da informação a gente tá falando de política de normas de leis de regulamentações a parte do conceito básico sobre segurança os controles gerenciamento de risco do nível fundamentos Óbvio

mas é importante que eu vejo muitos gestores de segurança não terem a base da ISO 27001 e 27002 já definindo aí a diferença de um e do outro a 27001 é aquela parte da Norma que é meio que utilizado como requisitos para uma empresa que tá obtendo a certificação é um documento muito utilizado inclusive pelo auditor que ele vai ticando Ah tem esse controle tem isso tem isso tem isso e a 27002 que antigamente era chamado de código né código de prática não é mais ele na verdade tem os controles ele é mais aprofundado e

na nova versão ele tá um pouquinho maior Tá bom então vamos começar aqui eu vou trazer o meu slide pra frente e a gente já vai começar nesse primeiro modo fazendo uma introdução do curso fazendo uma introdução da Norma falar como um pouquinho Como que é o exame e aí a gente vai avançando com os conceitos Ok então esse curso ele é oficial da ezin preparatório pres de certificação da ISO 27001 foundation na versão do 2022 vamos lá vamos começar falando um pouquinho sobre o curso o exame entender aí se você tá se preparando não

é obrigatório fazer o exame pós conclusão do curso mas eu acho que é extremamente válido principalmente pro mercado pro mercado é para você comprovar que você realmente aprendeu alguma coisa aprendeu sobre seguranza da informação e se você tiver galgando aí novas funções como um DPO ou como Security Office ele é fundamental ele é importante Aliás ele é obrigatório né para você ter essa formação aí da izin Ok então o nome dessa certificação é ezin information Security Management baseado na ISO EC 27001 ou 27002 nível fundamentos Ok então vamos lá essa certificação Ela é importante porque

ele pode te dar aí dois possíveis caminhos existem outros dentro da ezin existem outros institutos Mas dazin eles tem duas linhas duas carreiras que é bem interessante o primeiro que é Security Office então a gente olhar na imagem do lado esquerdo que é a formação de Security Office ele vai te exigir esse treinamento e essa certificação o segundo curso que é do nível professional ok também curso e certificação E aí tem um terceiro que eu pessoalmente não conheço ninguém no Brasil né é uma prova extremamente difícil ele não é muito fomentada é pela xin que

a a 27.000 Expert tá então mas normalmente aí Pro Security Office a formação da Security Office que Inclusive a exin concede um título para isso a fund e a profession E você tem uma segunda linha que é a linha de DPO E aí para ser um DPO ou seja para trabalhar com privacidade né trabalhar como com a gdpr você tem este treinamento aqui e aí depois mais dois que é muito mais focado na privacidade na gdpr que é a pdpf que é de nível de fundamentos aí depois você tem o pdpp que é do nível

professional que é um nível um pouco mais avançado esse exige o curso oficial e também a prova tá todos esses cursos que você tá vendo na na imagem temos aqui na plataforma da pmg Academy falando sobre a formação vamos falar um pouquinho sobre ementa geral o que que a gente vai ver nesse treinamento então em linhas Gerais que a gente vai ver aqui primeiro é sobre informação já falar um pouquinho sobre a arquitetura da informação identificar a o o quão é importante a informação da empresa porque a gente sabe que qualquer tipo de empresa toma

suas decisões baseadas em informações e essas informações tem que ser seguras essas informações T que est estar disponíveis íntegras confidenciais e assim por diante que a gente vai ver aí no módulo do sobre o famoso Cid mas não Pule o módulo dois fal Ah já conheço esse Cid porque tem novidade Tem coisa mais e a gente vai contextualizar algumas coisas sobre segurança tá entender realmente que é segurança para aí a gente começar a avançar por a gente vai falar muito sobre controles de segurança que tipo de controle controle físico lógico controle organizacional e humanos então

a gente aí tem a norma baseada em quatro grandes temas né E a gente vai ver isso em cada módulo bem separadinho para você entender pontualmente cada uma delas que mais ameaças e riscos a gente tá faz uma confusão da nada né entre ameaça risco vulnerabilidade exposição Então a gente vai diferenciar principalmente esses dois termos se você é um possível gestor de segurança ou deseja ser um gestor riscos é importante é um dos papéis mais importantes dentro da área de segurança de informação é fazer análise de risco antes de sair implementando controles porque eu vejo

muitas empresas né profissionais já querendo implementar antivírus fireo construir uma dmz colocar controles fazer políticas antes de fazer análise de risco avaliação de risco que é um troço extremamente importante tanto que tem um módulo específico só sobre isso tá logicamente do nível fundamento suficiente para você entender a importância dele para depois buscar uma atualização um curso mais aprofundado tá só diferenciando aqui já vou dar esse exemplo em outros modos mas já vou falar já né ameaça e risco quais seria as diferenças básicas entre esses dois termos a Ameaça é Se eu olhar pro céu e

ver que tá nublado eu tenho ameaça aí de chover né você não consegue controlar a ameaça Qual que é o meu risco eu tenho o risco por exemplo de me molhar então a gente precisa identificar que ameaça existe se eu estiver vulnerável Meu Risco aumenta se eu não tiver vulnerável estiver protegido o meu risco diminui Ok então a gente tem que tratar os riscos e saber como que a gente vai lidar com os riscos de que forma através dos controles Ou seja eu posso ter uma capa de chuva eu posso para gestão fazer a gestão

desse risco simplesmente comprar um guarda-chuva eu posso nem sair de casa eu posso até inclusive tá disposto a tomar uma chuva de vez em quando Olha que bacana então assim o apetite é o risco isso vai depender muito do cliente do negócio por isso que é importante perguntar lá pro negócio fazer a Gestão de Risco análise de impacto é lá no negócio não é a fazendo ali achando né no achismo não vai no negócio tá por isso que a norma ajuda muito e você vai entender por no último slide Quando eu falar sobre qualidade Qual

é o objetivo da Norma e a gente não tem como escapar né vamos falar da de legislação de regulamento e normas durante o treinamento eu vou apontando toda a parte do do contexto de Norma regulamentação não vai ter um módulo específico só tratando sobre isso eu vou falando ao decorrer do Trein Ok bom para izin que que ela tá avaliando se você obter o exame de certificação for aprovado para ela significa que você entende os princípios entende os conceitos fundamentais de segurança da informação para não sair falando besteira por aí então ela entende que você

realmente compreende os termos e também vai conseguir mitigar os principais riscos de segurança da sua área da sua empresa OK Esses são os dois objetivos com o exame de certificação comprovar que sabe os conceitos e sabe mitigar risco tá vendo que risco é importante por isso que a gente tem um módulo separado bom falar um pouquinho sobre a prova sobre o exame o exame não é difícil o exame é relativamente fácil é uma prova com 40 perguntas cada pergunta com quatro respostas somente uma correta não pode colar não pode olhar PR os lados não pode

ter pessoas junto contigo não pode desviar o olhar não pode abrir livro não pode abrir e eh o celular outras telas do computador porque ele é monitorado e você também não pode fazer anotações durante o exame Ok 60 minutos é um tempo suficiente para você fazer esse exame com tranquilidade você vai aí passar para um batalhão de perguntas e respostas simulando né um exame real que tem 60 minutos também faça com calma para você identificar o tempo que você vai levar para fazer aí um o o exame com 40 perguntas ok para ser aprovado é

acertando aí 26 perguntas dessas 40 ou seja totalizando 65% de aprovação é razoavelmente fácil a gente ter uma alta taxa de aprovação nesse exame mas cuidado tem muito conteúdo muito conteúdo então presta atenção nas aulas que muitas vezes ali a gente entende na aula mas não anota esquece chega na prova é você Sum entende alguma coisa e vai numa questão errada não é porque tem pegadinha mas porque tem coisas que são muito semelhantes principalmente conceitos vamos falar um pouquinho sobre a norma então como eu falei a norma passou para uma atualização Eu sempre gosto de

todo novo treinamento que sofre uma atualização eu falo um pouquinho da anterior pra gente Identificar qual é a evolução o que que acontece mas não Ache que a norma mudou completamente não não tem como né os grandes frameworks it copt a is 20.000 a 27.000 a a de continuidade né a 22301 ela não passa para uma mudança radical ela vai evoluindo vou dar um exemplo vamos imaginar que lá na antiga na versão 2013 tava dizendo dizendo lá num dos controles que você tem que instalar antivírus em todos os dispositivos na rede beleza aí perceberam que

não adianta só instalar você tem que atualizar E aí então a a nova versão V Olha você tem que instalar e atualizar então muitas vezes a norma ela foi reescrita para facilitar então tem alguns controles que você olh assim nossa São muito parecidos eu não consigo distinguir um do outro Será que que eu estou fazendo já tá tendência Esse controle ou esses então a norma ela vai sendo sendo reescrita né readaptada rearranjada para nos ajudar e ajudar a vida do auditor também então começando a primeira coisa alterou o nome Nossa Adriano isso é importante é

importante porque a o novo nome agora da 272 2022 ela faz mais sentido vamos ver por quê antigamente ela era chamada de código de prática quando a gente ouve sobre práticas né a gente vem muito inclusive das práticas it né então a gente entende que prática é o como e não não é o como então a gente ia na 27002 né não na 27.001 que são os requisitos a gente ia na 27.2 atrás das práticas tá então a gente esperava que tivessem por exemplo coisas que que seriam mais ali no como no dia a dia

mão na massa receitinha de bolo e não é verdade ela nunca foi né nenhuma parte dois da Norma teve essa conotação por isso que ela saiu desse nome aqui ó tecnologia da informação técnicas de segurança código de prática para controle de segurança da informação Então esse código de prática sumiu e se tornou agora um nome mais abrangente como esse aqui ó segurança de Formação beleza nada muda segurança cibernética e proteção à privacidade Opa dois contextos interessantes por quê Porque a gente tá falando muito de gdpr lgpd e dentro da formação seja você um advogado ou

um profissional de segurança você tem que entender as duas coisas sobre proteção privacidade e sobre segurança como tá na mesma formação Então faz sentido a própria Norma inclui isso e segurança cibernética né A gente só tinha o conceito daquela segurança interna a segurança em papel segurança física mas a gente tem a gente sabe que tem um mundo cibernético onde a gente lida com ataques invasões eh vazamento de informação roubo fraude tudo que acontece nesse mundo cibernético foi aí trazido uma boa parte para dentro da Norma ISO 27.000 tá alguns controles porque existem normas inclusive herdadas

de outros frameworks que agora fazem parte da Grande Família eu vou falar dessa Grande Família da da ISO que é bem gigante a 27.000 Ok tamanho da Norma ela tinha apenas 88 páginas e agora ela tem dobro 164 páginas né quase o dobro Adriano significa que teve muito mais controles não não significa que teve muito mais controles tá E e a gente vai ver isso aqui porque foi re estruturado foi reescrito foi readaptado tem matrizes ali que nos ajudam a a navegar na Norma fica muito mais fácil bom os controles foram então re reordenados por

que reordenados porque você não tinha meio que uma lógica dentro da 271 2013 Então você tinha que ficar pescando alguma coisa ele não tinha uma meio que uma sequência de vez em quando ele falava gestão de ativo depois ele ia para controle de acesso depois eu fala de segurança não sei o quê então você tá meio perdido agora ele tá mais fácil tá reordenado foram agrupados agrupados tá bem mais fácil a leitura e interpretação do que antes alguns controles foram mesclados e aqueles que não fazem mais sentidos foram retirados que é natural né Toda evolução

de uma Norma eles fazem esse tipo de atualização ou removendo ou incluindo E aí foram também adicionados principalmente quanto a a parte de Cyber temas dos controles isso aqui deu uma melhorada danada nas versões anteriores inclusive nos treinamentos que eram baseados na versão anterior a gente já fazia essa divisão natural né de controles lógicos ou tecnológicos os controles físicos organizacionais e humanos e a norma anteriormente ela não tinha essa divisão tão Clara agora 2022 ela ficou mais clara tá então a 27002 listava 93 a agora lista 93 ao invés de 114 Você tá vendo que

ela diminuiu a apesar de ter aumentado a quantidade de páginas explicações ela diminuiu a quantidade de controle tá E esses contoles então são agrupados em quatro temas ao invés de 14 cláusulas E aí para quem já conhece um pouco sobre a norma ou já fez o curso da versão 2013 vai conseguir identificar o que eu tô falando então a gente tem controles que estão relacionados a pessoas humanos a gente tem controles que estão relacionados à organização temos controles ah tecnológicos né e os físicos os lógicos ou tecnológicos e os controles físicos né que tá trata

de controle físico mesmo controle de acesso né acesso a um dat sent a um prédio enfim os anés de proteção a gente vai ver tudo isso no treinamento então só para você entender essa evolução novos atributos de contoles isso aqui é sensacional isso aqui nos ajuda a a categorizar tipos de controle não a gente tem muito controle tá mais de 90 controles como que eu categorizo como que eu sei quais são aqueles controles que estão mais visando a governança que estão mais visando a privacidade que estão visando mais a confidencialidade a disponibilidade a integridade a

prevenção a correção a mitigação muito interessante Então por controle a gente tem isso e a gente tem no final uma matriz eu vou mostrar um exemplo aqui no próximo slide Então a gente vai ter tipos de controle por exemplo Ah esse controle aqui ó ele é mais preventivo ó esse aqui é detectivo Ah isso aqui é mais para correção por que isso imagina a seguinte situação você tem lá a sua área de segurança da informação tem os processos tem as políticas tudo bonitinho você é muito bom para prevenir Nossa você é bom demais você é

bom para corrigir tem uma equipe fera mas você não tá conseguindo detectar você detecta depois então você vai pegar os controles que estão relacionados à detecção ou seja detectivo tipo de controlle é esse esse esse esse e você vai ali atrás por eu tô falando você vai ali atrás porque muitas vezes as empresas vão atrás da Norma ISO não com o interesse apenas de obter a certificação pra empresa mas para poder realmente aplicar todo o a parte de de controle então assim você não fica inventando não precisa a norma tá aí para isso ela já

facilita a nossa vida então você vai atrás fal Olha meu nosso problema aqui é detectar incidente Ok Quais são os controles que eu preciso aplicar esse esse esse esse olha que simples que mais propriedade de segurança da informação famoso o sid né confidencialidade integridade e disponibilidade conceito de segurança cibernética e fica tranquilo que a gente vai explicar cada um desses tá conceito de segurança cibernética bom agora passou para uma atualização a gente não pode mais falar só só só sobre segurança da informação a gente tem que falar no mundo cibernético e quando a gente fala

de segurança cibernética a gente entra com alguns atributos diferentes a gente tá falando de identificar a gente tá falando sobre proteger detectar responder e recuperar aí quem já conhece um pouco mais de segurança falou pera aí adrano Isso aqui é de outro Framework o famoso nist sim senhor foi adaptado tá Eles foram lá buscar coisa que já existe que é boa num criaram dos zero e adaptaram isso colocaram com uma nova Norma e alguns atributos na 27001 capacidades operacionais então ah eu quero focar alguma coisa mais aqui em gestão de ativo em segurança física tá

pegando mais então vai lá continuidade ó a gente tá passando um processo de continuidade de negócio continuidade de ti Quais são os controles que visam isso tá lá na Norma ou ainda os domínios de segurança a parte ah eu tô aqui no processo de governança governança da informação governança corporativa governança de corp de ti enfim que tipo de governança você vai lá nos controles que estão listadas mais ao direcionamento controles né ou a parte do ecossistema a parte de proteção a parte de defesa Olha a gente aqui tá ruim de defesa a gente tá deixando

passar tudo vai lá nos controles identifica Quais são os controles que são responsáveis para você ter mais defesa na sua empresa na sua ati na sua informação Ok só a título de exemplo para cada controle Lembra que eu falei que tem mais de 90 controles para cada controle você vai encontrar um negocinho desse tá um quadradinho sou meio segueto aqui vou chegar perto para ler vai lá tem tipo de controle Ah esse tipo de controle é que é preventivo que a gente já viu lá numa listinha e fica tranquilo que eu vou passar por isso

aqui novamente no Próximo módulo tá Ah esse controle aqui ele tá mais relacionado à disponibilidade de integridade Ah esse aqui ele tem um conceito de de de Cyber mais de proteção e assim por diante então para cada controle você vai ter essa tabelinha aí mas no final da nor você vai ter algo maior que é mais fácil de Navegar então você pode filtrar eu quero filtrar ah por exemplo aqui no primeira segunda terceira quarta quinta sexta coluna A parte de capacidade operacional Ah eu quero listar tudo que é de governança filtra E aí você vai

ver todos os controles relacionados à governança Ok então papel desses atributos de controle é ajudar a categorização filtrar pesquisar a norma a gente tem que fazer o máximo de abstrair o máximo da de informação interessante da Norma ela não é só um simplesmente um documento que vai te servir como guia para uma processo de de de de certificação da empresa não ela é essencial você tem que saber como extrair o máximo de informação ela tem que ser um documento fácil tá ali tem bastante informação como que eu tiro o máximo desse documento É esse aqui

é um dos exemplos tá essa Matriz ajuda bom eu tô falando de Norma tô falando de ISO mas antes toda vez que a gente fala de ISO a gente fala de Norma a gente vem Norma de qualidade vem na nossa cabeça e qualidade é muito subjetivo Vamos dar um exemplo né para mim uma música de qualidade é um rev metal né para outra pessoa a qualidade uma música é outro tipo de música então assim é um critério muito subjetivo para mim é bom para outras pessoas não é bom Então como que a gente tira essa

subjetividade e coloca algo mais objetivo é um critério subjetivo não tem como eu gosto de chocolate tem gente que não gosto eu gosto de Café sem açúcar tem gente que gosta café melado é critério de qualidade Então como que eu posso falar que uma música é boa que um café é bom né que um chocolate é bom no meu ponto de vista é uma coisa e ponto de vista diferente então quando a gente fala de Norma quem é que vai dar o ponto de vista sobre o que é ou não algo de qualidade é o

negócio não é a ti não é área de segurança por isso que é fundamental o processo de análise de risco e essa análise de risco é feito lá no negócio não é feito na ti Ah eu vou definir aqui o que é importante pro negócio Não não faça isso vai começar errado né quem define o que é importante é o negócio quem define o valor das informações são os negócios não é ati Então vamos entender primeiro o que que é qualidade eu vou colocar alguns termos aqui eh mencionados por exemplo pelo pelo Fi Crosby que

que ele fala que é qualidade é conformidade com os requisitos então você é o futuro gestor de segurança você vai ter que definir os requisitos de segurança você vai lá nas áreas você vai identificar o valor da informação vai fazer a análise de impacto vai saber que aquela informação é importante aquela já não é tanto aquela ali é muito mais aquele é crítico você vai definir isso isso são os requisitos que são passados pelos clientes então se você atender se você tiver conforme os requisitos significa que você tá entregando algo de qualidade a gente pode

dar at o exemplo na área de desenvolvimento ment do software não tem análise de requisitos o tradicional não scrum você tem lá os requisitos Ah eu quero um sistema que faça isso isso isso isso se você entregar exatamente que o cliente pediu que faça isso isso isso significa que você entregou algo de qualidade ou não só a entrega mas algo que você possa usar que é o que o Joseph huran tá colocando aí que é aptidão para o uso ou seja dá para usar Olha eu comprei isso aqui tá de acordo com o que eu

queria dá para usar então é um produto de de qualidade ou ainda né segundo a ISO 9001 fala que é a totalidade de tudo de todas características de uma entidade Seja lá qual for afetam a capacidade de satisfazer necessidade declarada ou seja minha necessidade é essa então o que me chama atenção nessa nessa definição de qualidade não é só declaradas implícitas né mas não é explícita tá implícita E aí é muito Sutil isso satisfaz as necessidades você tem que satisfazer as necessidades é das áreas de negócio são dos seus clientes Não é satisfazer a necessidade

do próprio ego ou seja do próprio da própria ati dos próprios funcionários não você tem que satisfazer a necessidade do dono da informação que é a empresa OK E aí a gente também tem o modelo de qualidade definido aí pelo modelo famoso modelo de excelência da efqm né E aí bacana que Isso inclui também o prêmio de dem quem já viu falar de dem né provavelmente já deve ter lembrado aí do fluxo PDC de melhoria contínua que tem tudo a ver com qualidade também então a gente precisa ter a melhoria contínua melhoria sempre trazer a

qualidade Olha tá bom vamos melhorar tá ruim então vamos melhorar Então a gente tem esse papel de aumentar a qualidade bom a gente fala de qualidade então a gente fala de Norma ISO Aí o tio Adriano vem aqui com uma definição Qual que é o objetivo de uma norma é ser chata ser burocrática goela abaixo não gente a norma ela não serve para isso Ela É Sensacional Por quê ele é um modelo internacional se é o modelo internacional se você falar um termo aqui você pode ter certeza que qualquer outro país do planeta vai entender

o que você tá falando e aí a gente evita confusão cada um falando uma coisa isso aqui é uma ameaça um risco ou uma vulnerabilidade isso aqui é é um controle é uma métrica é não sei o quê conformidade cara não não tem isso então a gente tem um glossário dentro da Norma né tudo que eu estô falando aqui em cima de termos oficiais da Norma isso vai evitar o que eu coloco aqui ó confusão o mesmo termo que eu uso aqui pode ser lá ser Adriano não é meio sexo dos Anjos ISO aqui ficar

discutindo termos Não não é em se tratando de segurança da informação é muito importante que se você falar uma coisa o outro lado ali entenda exatamente o que você tá falando porque se você falar alguma besteira aqui o outro lado pode entender diferente e aí pode tomar uma ação catr trófica tá então a norma serve também muito para isso evitar qualquer tipo de confusão Olha eu acho que não tem acho tá Norma Tá ali tá escrito é a definição então o que você vai aprender aqui não é o que você acha o que o tio

Adriano acha Olha eu acho que isso aqui poderia Não não é é o que tá na Norma tá o que tá na norma é o que o mercado normalmente usa tá então você pode ficar tranquilo também nossa isso aqui é negócio da norma as pessoas não usam né Eu só tô colando enfatizando a importância de ter uma Norma porque muitas vezes infelizmente as pessoas acham que norma é só para burocratizar não é para facilitar e deixar as coisas mais ágeis Inclusive tem gente que acha que Norma deixa a empresa travada não ela deixa mais ágil

você não precisa perder tempo identificando O que é conceito vai na Norma tá lá tá escrito simples assim bom a norma 27001 2022 que esse treinamento aqui é é uma Norma mas gente ela faz parte de uma de uma M zona a mãe é aí a famosa 27.001 a 27.000 perdão a família 27.000 ela contempla mais de 50 normas relacionadas de a sobre segurança então 27.001 27.002 27.000 e não sei o quê Tem várias eu não vou listar todas aqui que não faz sentido nenhum Tá eu vou colocar algumas outras que não fazem parte da

27.000 mas tem tudo a ver com segurança da informação Então é só título de exemplo Ok não precisa decorar mas só para você entender por exemplo a 2713 que é equivalente como eu falei no comecinho da aula sobre o nist o Framework famosíssimo né que a gente utiliza pra área de segurança de informação Então a gente tem uma Norma que é bem equivalente temos também computação em nuvem 27017 Olha eu tô tirando os recursos daqui internamente tô colocando na nuvem então estou me eximindo de responsabilidades não os seus problemas vão mudar alguns que você tinha

não tem mais E aí o fato de você colocar um recurso na nuvem você vai ter outros tipos de problemas outros tipos de risco controles Quais são esses controles tem uma Norma só para isso de computação em nuvem Gestão de Risco que não faz parte desse número 27 né 27.000 alguma coisa 31.000 famosíssima Gestão de Risco tem tudo a ver com área de segurança continuidade de negócio também faz parte de segurança Lembrando que aqui na plataforma tem um curso Completão de segur da de continuidade de negócio também então 27031 27 301 ambas de que tratam

sobre quantidade de negócios e quantidade de ti bom qual que é importância da Bendita ISO 27001 2022 E aí esse recado é para você aí que é um futuro gestor de segurança da informação Olha a abrangência então assim o fato de você estudar esse treinamento que é baseado nessa Norma então a vai passar muito mais vai falar muito mais coisa do que tem na Norma para você compreender tá vej o quão é importante você que é o futuro gestor Você vai precisar compreender os requisitos de segurança Lembra que você tem que ir lá no cliente

perguntar o que que é importante E aí em cima dessa importância definir Quais são os requisitos ajudar o cliente a definir os requisitos então o papel do gestor de segurança é esse é ir lá compreender Quais são os requisitos Olha o cliente tem informação no pen drive Hum que que eu preciso trazer de segurança para esse pen drive não é legal deixar no pen drive Vamos jogar no nosso servidor de arquivos Vamos jogar na nuvem tudo isso é trabalhado de acordo com o requisito de segurança Então você tem que entender o que que é segurança

para poder ajudar quais são os requisitos e estabelecer políticas tá primordial não sai implementando o controle sem construir uma política Ah mas adeno política é chato é mas é faça uma vez é importante todo funcionário novo que entrar entrega política de segurança não tô falando funcionário de segurança não qualquer funcionário da empresa porque ela é corresponsável também para manter as informações seguras Quantas vezes a gente já viu que a gente tem Firo tem dmz tem proteção tem equipamento trocou Suit separou rede VPN aí o funcionário lá da área de contabilidade entrega o notebook pro filho

acessar site qualquer E aí é invadido aí tem todas as informações da empresa eh roubadas então o funcionário as pessoas têm uma responsabilidade uma boa parte da responsabilidade como a gente garante isso através mesma política então lei assina e esteja de acordo Ok é um tipo de controle essencial que mais e aí gestor implementar e operar esses controles tá para gerenciar os riscos é lá tem que implementar instalar não é garantir que alguém tá fazendo isso corpo técnico tá fazendo garantir que esses controles estão sendo empregados né Para quê para gerenciar os riscos então o

gestor ele tem que entender bastante sobre gestão de risco monitorar e revisar o desempenho do SG si sistema de gerenciamento de segurança da informção toda vez que a gente fala de sistema né nesse caso de sistema de gerenciamento de segurança da informação a gente tá falando de algo muito mais complexo não é só uma ferramenta uma política são pessoas estrutura contexto conceito práticas tudo isso tá então tudo é um sistema então toda vez que a norma fala sobre sistema sistema de gestão de serviço sistema de gestão de segurança de informação é algo muito maior do

que simplesmente um documento uma política um procedimento uma instrução de trabalho gestor também vai ter que além de monitorar e revisar esse grande sistema vai ter que ajudar também na melhoria contínua Com base no quê medições quantidade de acidente quantidade de problema quantidade de ataque quantidade de vírus qu tudo mede tudo quantidade de tentativa de acesso não autorizado quantidade de ataque mede tudo isso pra gente poder melhorar cada vez mais o nosso s GSI que também a gente vai falar bastante no treinamento Ok com isso a gente encerra módulo um de introdução e aí no

módulo dois a gente já vai começar com alguns princípios alguns princípios bem conhecidos e outras que são novidades E com isso a gente vai dando segmento ao treinamento Ok então espero no Próximo módulo [Música] valeu [Música] Olá seja bem-vindo ao módulo que a gente vai tratar sobre os conceitos e princípios no módulo anterior a gente falou sobre a atualização que teve da 27001 e da 27002 só lembrando que 27001 é a parte de requisitos que é a formação que é o certificado que você vai conquistar e a 27002 a gente acaba utilizando porque seria impossível

desenvolver todo esse conteúdo para você só se baseando numa Norma que ela é pequenininha que é faz parte de requisitos é diferente o pouco que acontece por exemplo é só uma curiosidade na ISO 20.000 ela não é ISO 20.000 de ITM né gerenciamento de serviço de ti não é não é 20.001 ou 20.002 é 20.000 tracinho um e 20.000 tracinho do que segue a mesma regra a número um faz parte dos requisitos e a número dois faz parte aí do código de prática e agora na 27002 já não é mais código de prática e sim

controles de segurança uma outra curiosidade na época que azin lançou essa certificação era 27.002 E aí depois ela trocou para 27.001 não trocou o certificado não trocou o badet né aquele simbolozinho da dazin não trocou absolutamente nada tá o exame não mudou nada porque a 27.001 e o 2 praticamente a mesma coisa só que a 27001 é utilizada para requisito e a base dessa certificação Ok então vamos lá vamos começar com os princípios e conceitos vamos começar entender aí qual que é a necessidade da segurança de informação conceitos básicos como o famoso Cid Quando eu

falar Sid ou Cia é a mesma coisa que Sid na verdade é em português e Cia a letra A no final ela é de avel ability ou seja de disponibilidade por isso que normalmente a gente vê no mercado muito Pens falando Sid siia que é o famoso tripé vamos lá vamos começar antes de falar desse tripé vamos entender como que a segurança ela deve ser gerenciada dentro de uma empresa o que que acontece normalmente isso aqui não é o processo mas só para vocês entenderem né Então imagina que há alguma coisa com vulnerabilidade lembra que

eu dei um exemplo na na aula anterior sobre Ah se olhar pro céu e de repente tiver uma ameaça de chuva eu posso correr o risco de me molhar vamos imaginar então que eu estou vulnerável eu não tenho uma capa de chuva eu tô num local onde não é coberto E aí Eu começo por exemplo ouvir barulhos né de trovões eu começo a olhar pro céu existe uma ameaça de chuva e se eu me expor a essa chuva ou seja começar a me molhar aí sim eu vou ter um risco de ficar totalmente encharcado para

que que serve essa imagem esse negócio que parece ser simples mas é isso que acontece por exemplo com o nosso ambiente Então vamos imaginar vulnerabilidade vamos imaginar que detectar uma vulnerabilidade e um drive de uma placa de rede de um servidor Opa tá vulnerável se toda a comunidade principalmente os hackers começem identificar que tem essa vulnerabilidade também eles vão começar a explorar essa vulnerabilidade e se você tiver exposto ou seja se você não tiver atualizado aquela placa de rede por exemplo você tá correndo um grande risco de ser atacado isso acontece sempre a todo momento

eu tô dando um exemplo simples mas a gente pode encarar como qualquer coisa você pode estar vulnerável de qualquer forma não é só as informações de um hardware de software pode ser informação offline de um papel qualquer então a gente sempre vai ter e sempre vai existir esse esse fluxo né a gente tem que lidar com as vulnerabilidades porque a ameaça vai existir a gente não pode se expor a esses ataques a essas ameaças E assim a gente consegue fazer a gestão do Risco então fazer gestão do risco é exatamente isso e para fazer a

gestão de segurança necessariamente a gente precisa fazer a Gestão de Risco Então como é que começa né Vamos lá eu quero começar eu quero gerenciar a segurança da minha empresa Então a primeira primeira coisa a gente precisa entender o que e o que estamos protegendo a gente precisa saber se é uma informação falada gravada transmitida armazenada a gente precisa saber primeiro o que a gente precisa proteger Aí sim posteriormente a gente vai priorizar as ações por que priorizar porque muitas vezes eu vejo algumas empresas os analistas de segurança querem investir toneladas de dinheiro para proteger

um ativo que não vale tanto quanto a proteção exemplo Ah eu quero colocar um antivírus que custa 1 Milhão mas as informações não custam nem 100.000 Então vale a pena a gente tem que fazer essa priorização tanto quanto a gente vai levar um projeto para aprovação pra diretoria Quantas vezes a gente recebe o não porque de repente a gente não quantificou custos os requisitos o que precisa Então a gente precisa levantar tudo então primeiro a gente identifica o que que a gente precisa proteger prioriza quanto a custo requisito pessoas envolvidas recursos tudo isso aí sim

a gente começa a implementar os diversos controles que a gente vai ver daqui paraa frente tá são muitos controles bom Mas independente disso por que a segurança da informação é importante Isso serve para qualquer tipo de empresa tá empresa privada empresa pública empresa com fins lucrativos sem fins lucrativos qualquer tipo de porte da empresa pequena médio ou grande qualquer empresa por a empresa Toma decisões baseadas em informações se essas informações não tiverem disponíveis serem vazadas ah ou não forem íntegras a empresa não consegue tomar a decisão correta então a segurança de informação é importante para

qualquer tipo de empresa tá principalmente paraa aquela empresa que está vendo lucratividade Ah mas Adrian tem empresa que é sem fins lucrativos Ok vantagem competitiva mesmo empresa sem fins lucrativos ela tem uma competição com outras empresas Ou ainda por conformidade ah não tem competitividade não tá visando o lucro Mas tem uma regulação uma lei então de repente a empresa tá listada uma bolsa de valores nós temos a gdpr a lgpd no Brasil que aí a gente tá falando de conformidade leis regulamentações ou até para ter uma imagem comercial bacana imagina a tua empresa ser implementado

com ISO 27.001 pelas suas mãos e passar pro mercado Olha a nossa empresa é segura nossa empresa tem informação de qualidade porque a gente tem uma Norma ISO 27000 is é sensa I tá isso não vale só para aquelas empresas que prestam serviço de segurança né Isso que é meio não digo obrigatório Mas eu vejo muitas empresas inclusive no Brasil correndo atrás dessa certificação para prestar serviço principalmente aquelas que prestam serviço de segurança da informação Ok vamos lá começando do começo começando sobre segurança e informação vamos imaginar que você não conheça nada tá colocando os

pés aqui na área de segurança da informação primeira vez Então a gente vai começar dizendo o seguinte antes de iar uma estratégia de segurança Então antes de sair comprando software hardware antes Calma a gente vai ter que seguir um processo para que lá na frente a gente veja que não gastou tempo e dinheiro dinheiro que não é nosso dinheiro que é da empresa tempo de todo mundo colocou coisa que é totalmente desnecessário então primeira coisa saber o que que a gente quer proteger como eu falei vamos levantar o que a gente precisa proteger Que tipo

de informação que tipo de recurso que tipo de ativo patrimônio então primeiro vamos identificar o que proteger para depois entender do que e de quem a gente quer proteger né muitas vezes a gente cabe identificando Ah eu quero proteger isso mas de quem então a gente precisa entender de quem Ah é de um atacante é de uma pessoa que vai fazer uma entrega vai entrar fisicamente dentro da empresa é de um notebook um laptop de um executivo precisamos identificar isso para isso então vamos iniciar a famosa análise de risco análise de risco Visa fazer justamente

isso tá identificar inclusive o valor da informação quando a gente for fazer o o chamado Business Impact analysis né análise de impacto Identificar qual que é o valor para evitar o quê começar colocar um monte de controle que é muito caro é mais caro que o valor da informação bom que mais ao analisar os riscos e a gente vai ter um módulo só sobre risco então fica tranquilo aqui tá ao analisar esses riscos Então a primeira coisa que ele vai identificar os requisitos ou seja o que precisa para fazer a proteção de um ativo e

lembra quando eu falo ativo pode ser informação pode ser recurso hardware do software ideias tá qualquer tipo de coisa a gente precisa levantar os custos para ver se fica muito caro ou não até para poder levar para aprovação Ah e tudo isso vai nos guiar e vai determinar as ações antes de sair implementando o controle que nem o louco né então a gente tem que ter os pés no chão e fazer esse tipo de trabalho tem gente que acha que é muito chato deixa isso a cargo das pessoas de Gestão de Risco dos gestores dos

coordenadores eu sei que muitas vezes a gente é técnico a gente já quer meter a mão na massa a gente já quer mexer ele na segurança proteção começar a ver logo identificar ess dente é normal é natural a gente vai fazer isso mas primeiro a gente precisa fazer toda essa Gestão de Risco e essa essa Gestão de Risco ela é viva ela tem que ser feita continuamente não é uma vez só tá ela é sempre tem que fazer por quê Novas vulnerabilidades Novas ameaças acontecem todo dia brotam começa a brotar quem acompanha os foros as

notícias toda hora é novas vulnerabilidades é um aplicativo é um Plugin um site é um hard então sempre tá surgindo isso surgiu novas vulnerabilidades você precisa saber se você tá exposto ou não e tratar isso aí se você encarar isso como risco olha para tratar isso a gente vai ter que fazer uma ação empresa tá disposta a investir nisso ou não a análise de risco ou avaliação de risco Fica tranquilo que a gente vai diferenciar daqui a pouco um do outro não tem não precisa ficar Ah qual é a diferença não é o momento no

momento certo a gente vai falar a diferença entre avaliação e e análise tá Então nesse momento de análise de risco que a gente precisa fazer a gente precisa fazer procedimento a gente precisa tem que ser feito periodicamente cria um procedimento para fazer isso periodicamente A análise de risco como eu falei não é feito uma vez só ela sempre é feita feita toda vez que é colocado alguma coisa nova quando é feito uma mudança né gerenciamento de mudança tem que ser feito isso constantemente lidar com as mudanças né como eu falei normalmente a gente acaba colocando

um aplicativo novo uma aplicação né o pessoal lado do desenvolvimento Coloca alguma coisa nova e a gente tem que fazer o gerenciamento de risco então assim risco tá muito envolvido com o desenvolvimento de software também não só com as mudanças que a gente faz na infraestrutura Ah vou trocar o servidor vou trocar o roteador cabeamento uma aplicação não tudo tudo tem que passar isso pelo crio de segurança da informação bom a segurança é alcançada por meio de aplicação de controles como que eu vou gerenciar minha segurança aplicando os controles para isso levanta o que precisa

proteger de quem você precisa proteger faz uma análise de risco e nessa análise vai identificar custo o que precisa E aí sim implementa e monitora isso aí esse é o fluxo básico de segurança de informação não tem mistério mas a gente infelizmente vê muitas pessoas indo já pra última etapa né colocando as ferramentas lá a gente gosta de ferramenta né a gente já coloca ferramenta achando que vai resolver muita coisa é o que eu costumo falar se você fizer isso sem procedimento vai ter problema no futuro então assim na análise de risco a na gisco

é um procedimento é um processo tem que ser feito periodicamente Ok para isso então a gente vai começar falando sobre arquitetura da informação bom se a gente quer proteger a informação a gente precisa ter uma arquitetura da informação o contexto né o conceito de arquitetura de informação é um pouco complexo ele fica meio vago eu vou falar um pouquinho sobre arquitetura aí no próximo slide eu vou falar um pouquinho sobre os conceitos mas eu tenho certeza que vai ficar claro então a arquitetura da informação é arquitetar a informação como que eu vou acessar essa informação

onde estão as informações qual é o valor dessas informações a gente tem Framework para isso tá no próximo slide eu vou mostrar então a gente precisa arquitetar a gente precisa desenhar Como tá a nossa estrutura Onde tá o Onde estão os arquivos tá na nuvem tá no pend Drive tá no computador tá no servidor Tá no e-mail tá num CD num disquete né quem não conhece disquete um negocinho pequenininho de plástico né A onde estão as informações então a gente precisa detectar mas não só isso a gente precisa de muito mais a gente precisa de

guias a gente precisa de procedimento a gente precisa tratar os riscos ferramentas pessoas Nossa quanta coisa é quanta coisa a gente se você quer saber o que que você tem que gerenciar na quanto a segurança de informação você precisa saber onde as informações estão você precisa saber como tá tudo organizado como está arquitetado a informação Ok então arquitetura da informação isso aqui são frases que são utilizadas inclusive de frameworks bem conhecidos tá arquitetura é a arte de expressar um modelo ou um conceito de informação Então você só chega numa empresa assim como que tá arquitetado

a informação Qual é Então a forma de expressar é mostrar o modelo de arquitetura é expressado em atividades em Sistemas complexos não são sistemas simples não é só um servidor de arquivo não a gente sabe que não tá lá para você para um diretor por exemplo tomar uma decisão ele não vai só se basear no seu num arquivo que tá dentro de um servidor ele vai se basear no relatório que ele recebeu no e-mail ele vai se basear em algo que tá no pen drive no computador na cabeça dele tá isso tudo tem que ser

expressado de uma forma aí essa forma seria a arquitetura tá então através olha só os exemplos né então para pra gente começar a entender mais ou menos como arquitetura imagina como que é o sistema de uma biblioteca como é que tá organizada as informações né É por ordem alfabética é por tema é por estilo de de de de livro né Então imagina uma biblioteca ou você pode imaginar um sistema de gerenciamento de conteúdo né então você tem de repente lá um ou algo mais simples um Wikipedia como que ele tá arquitetado como que ele tá

dividido categorizado desenvolvimento de web ele utiliza muito arquitetura da informação né como que é organizado a gente sabe por exemplo uma página well HTML tem lá o Bud né ele tem o cabeçalho o corpo o fter né então ele tem tudo bonitinho Isso é uma espécie de arquitetura você arquiteta você desenha ele bem bonitinho ah informação sobre o não sei o qu Ah tá aqui inclusive até protocolo a gente tem isso né o cabeçalho do protocolo então arquitetura da informação tá em tudo que a gente trabalha dentro da segurança de informação e principalmente dentro da

a ah por exemplo interações com os usuários desenvolvimento de banco de dados programação então gente quando a gente fala de arquitetura olha quanta coisa envolvida tá de como o usuário vai interagir com a informação como que a gente modelou o banco como que tá programado isso como vai ser apresentado pro cliente né a parte de redação também faz parte da arquitetura de informação né Que tipo de informação Você coloca ali uma informação mais concisa é uma informação mais simples mais robusta mais técnica projeto de software de sistemas críticos normalmente tem quando é um sistema bem

crítico ele tem um sistema de arquitetura ali bem desenhado para saber como que a informação trafega como que a informação é armazenada Qual que é o modelo de linguagem tudo tudo tudo isso ok então e as organizações elas elas reconhecem que a arquitetura da informação é importante se elas não reconhecerem elas não vão conseguir localizar a informação simples assim então assim se uma empresa não tem arquitetura não tem o mínimo de noção de como que tá arquitetada a informação provavelmente as pessoas não vão conseguir obter acesso à dita cuja informação e se conseguir ter acesso

não entenderá o valor dela e se ninguém entende o valor ninguém vai dar a devida atenção quanto a proteção privacidade roubo de informação por isso que a segurança de informação Depende muito da arquitetura então o desafio é orientar a galera né através de uma vasta quantidade de informação ofertada que percebam o seu valor então não adianta saber onde as informações estão se as pessoas não entenderem Quais são os Qual qual é o valor daquela informação que tá armazenada ali qual é o valor da informação que está sendo trafegado de fora para dentro da empresa ou

vice-versa E aí um grande modelo muito utilizado muito conhecido é o famoso togaf né Se querer dá uma olhadinha aí dá um um pause no no vídeo mas é só um exemplo de um modelo de arquitetura tá a arquitetura envolve muita coisa envolve guia pessoas recursos software parte lógica física tudo que você podde imaginar tá aqui um modelo gigantesco completaço quer implementar uma uma arquitetura de Formação a a gente chama também de arquitetura corporativa vai atrás do togaf bom vamos agora para umas definições para deixar um pouco mais claro né definir a arquitetura a gente

tem que imaginar também que arquitetura quanto a construção civil né a gente tem os engenheiros a gente tem os arquitetos Então resumindo é o seguinte qual é o papel do arquiteto não é construir a casa não é construir um sistema é desenhar é fazer a planta tá então o arquiteto desenha E aí o engenheiro vai construindo tratando de informação é a mesma coisa então o arquiteto de Formação ele pode ajudar a desenhar a estrutura enquanto os desenvolvedores e o e os designers vão desenhando baseado na arquitetura de Formação simples assim então vamos lá uma definição

boa para arquitetura de informação é a combinação de um esquema né ou de vários esquemas da de organização rotulagem navegação dentro do sistema Então quando você desenha pensando em ux né user Experience com com o seu usuário você tem que imaginar ele vai navegar no site aqui no sistema aqui ele clica aqui ele vai navegando rotular informação até rotulagem quanto a questão de segurança de informação informação confidencial informação pública informação privada isso tudo faz parte da arquitetura que mais o design da estrutura de um espaço de informações para facilitar o quê conclusão de tarefas e

acesso intuitivo ao conteúdo a arquitetura vai ajudar fazer com que o acesso né a utilização da informação seja algo intuitivo não seja doloroso pro usuário que ele tem que navegar buscar correr atrás não ele tem que ser algo simples quem ajuda a trazer essa facilidade é a arquitetura da informação é a arte é a ciência de estruturar e classificar sites classificar intranets para ajudar as pessoas encontrarem gerenciar informações esse aqui é um dos conceitos mais antigos em se tratando de arquitetura de informação tá ela veio a acabou sendo a origem muito Muitas vezes em classificar

informação dentro de um site ou intranet E aí tem aqui a uma frase do tio Adriano mesmo para poder te ajudar é a planta então a arquitetura é a planta que os desenvolvedores que fazem o papel aí dos Engenheiros né os desenvolvedores e os designers construir um sistema então para construir ele tem que olhar a planta né do projeto que é a arquitetura da informação como que a informação tá arquitetada Quais são as camadas Ah vai ter uma camada de aplicação vai ter uma camada de banco de dados então eu vou precisar de um um

alguém a um especialista em tal linguagem nessa camada de aplicativo vai ter uma uma fila né vai ter apis é a planta né o desenho Ele só faz o desenho aí os arquitetos o os Desculpa os desenvolvedores os engenheiros né os designers vão lá e põe a mão na massa Ok bom continuando ainda vamos dar uma visão geral da segurança da informação a segurança da informação ela é a disciplina que se concentra na qualidade da informação ou seja confiabilidade vamos lá aqui é muito importante quando a gente diz que o olha essa informação aqui ó

segurança da informação Ok independente onde tá essa informação a gente vai ter que lidar aí com a parte física lógica humana organizacional mas a gente tem que ter em mente que o Core ali o principal é a informação então quando a gente fala assim olha essa informação é confiável O que que a gente tá querendo dizer com confiabilidade é o que eu tô colocando aí que é a qualidade confiabilidade é a qualidade da informação é uma informação com qualidade significa que é uma informação que é confiável e quando a gente fala de confiabilidade a gente

tá falando do famoso tripé ccia tá bom e a gente vai falar sobre isso pra gente fechar esse assunto então essa informação com qualidade com confiabilidade significa que eu tô me baseando num tripé o primeiro disponibilidade segundo confidencialidade e integridade vamos tratar bem bonitinho cada um desses três o truque para execução da segurança é equilibrar esses três aspectos né o ccia Então os requisitos de qualidade que que é o requisito de qualidade é uma informação confiável né que uma organização ela pode ter com a informação que mais os riscos que estão Associados a esses requisitos

de qualidade lembra que o dos requisitos é acia então se eu tiver um risco de confidencialidade alguém pegar essa informação e jogar no mercado pô é um risco é o risco de eu perder a qualidade a confiabilidade da informação então eu vou ter que trabalhar com esse risco e é muito importante an que agora na na nova Norma 2022 ele tem aquele quadro que eu falei né onde você pega o controle tá falando que tipo que é tal e lá tá dizendo se olha esse controle aqui tá mais relacionado com integridade ó com integridade e

confidencialidade por exemplo a gente vai ver controles que na verdade não é só de um ele pode tá sendo envolvido em vários outros tipos né então por exemplo separação de função ele tá envolvido não só a em confidencialidade mas integridade também e aí a gente vai gerenciando risco de acordo com todo esse esquema né identifica a o o sid né O que que você quer atuar e faz a Gestão de Risco e vai atrás do controle específico sobre isso E aí os controles necessários para minimizar esses riscos então A ideia é sempre Minimizar risco Ok

é o que a gente costuma falar risco sempre vai ter né cabe a gente lidar né o quanto a gente vai ter de dinheiro para tentar mitigar Minimizar ou até eliminar um risco mas a gente vai tratar sobre gestão de risco Fica tranquilo Bom vamos lá vamos continuar aqui a gente vai agora até o finalzinho falando muito do do CIA ou Sid né Lembrando que a letra a Av valab bility é de disponibilidade Então vamos lá primeiro confidencialidade aqui já são os termos né E aí para quem tá se preparando pro exempo de certificação é

interessante lembrar um pouquinho disso aqui então o que que significa confidencialidade é aquela informação que não é disponibilizada ou não é ada para uma pessoa que a gente chama de entidade né pessoas entidades ou um processo não autorizado então assim quando eu falo entidade não necessariamente pessoal eu tenho uma informação aqui tem que ser eh confidencial Isso significa que de repente não é uma pessoa que precisa é um outro sistema é um outro aplicativo é um banco de dados é uma aplicação tá isso pode ser encarado como uma entidade Ok então tem que ser confidencial

não é disponibilizado divulgado para quem você vai falar Não não é é para ser disponibilizada pro público tá então ela tem que ser confidencial à empresa tá todo mundo que não tiver autorizado não pode acessar segundo disponibilidade ou seja estar acessível e utilizável aqui tem o pulo do gato não é só visível ah consegui enxergar informação mas você consegue utilizar a informação uma coisa você ver né acessar outra coisa você utilizar acessivel e utilizável sob demanda por uma entidade autorizada de novo entidade pode ser um sistema po po ser uma pessoa integridade proteção olha só

que importante da exatidão e a integridade dos ativos a informação que eu tô vendo ali ela é íntegra né ela não foi modificada ela não foi colocada ali erroneamente no momento que ela foi transferida de um canto para outro do jeito que saiu aqui do ponto a foi ponto b é a mesma informação Ok é uma informação íntegra exata então confidencialidade integridade disponibilidade são os princípios críticos da segurança são os três pontos que a gente vai ter que lidar Quando Pensar em seguranç de informação tá aí a gente precisa de deve olhar pro Cia para

proteger o valor da informação sempre nesses três aspectos o ideal que esses três aspectos eles sejam tratados para você ter uma informação confiável tá que nem eu falei no slide anterior é a qualidade qualidade da informação a confiabilidade diz respeito a esses três ok que são os requisitos então pra gente fechar que a informação satisfaça o desejo a necessidade de alguém Ok vamos falar um pouquinho agora de cada um e eu vou dar alguns exemplos para ficar bem claro sobre confidencialidade tá para cada um vou dar alguns exemplos aqui eu tenho certeza que você vai

entender diferenciar quando a gente tá falando de controles que precisam ser focados mais em confidencialidade aqueles de integridade ou disponibilidade confidencialidade também chamada de exclusividade olha eu vou falar uma coisa que ninguém pode saber é só você é exclusivo é confidencial Então você estabelece quem não é autorizado a obter acesso a essa informação que eu vou passar para você tá então isso é algo confidencial diz respeito a quem pode obter Que tipo de informação Olha o que eu vou te passar só você pode saber tá esse tipo de informação somente esse departamento pode ter acesso

Ok porque ela é confidencial a partir do momento você restringe o acesso não autorizado é é um requisito de qualidade você tem que ter confidencialidade assegura que o nível necessário de sigilo seja aplicado né o mínimo de sigilo Não digo nem o mínimo né o o assegurar o nível necessário de sigilo Ok é só leitura é execução é remoção é alteração Ah eu posso fazer eu posso ter acesso aqui mas eu posso atualizar né sim ou não é o nível é é o nível de acesso que você tem impede a divulgação Não autorizada Então você

tem quando a gente fala de confidencialidade você tem que colocar controles que vai impedir que as pessoas não saiam divulgando porque é informação confidencial da empresa quantas histórias a gente tá ouvindo de informações vazadas Será que são informações vazadas ou tudo acontece um roubo né vem de fora e alguém pega Será que Alguém de dentro da empresa pode ser intencional ou não ter colocado essa informação em público então a gente precisa lidar com isso tá vendo que não é só controles físicos lógicos mas também políticas né a gente vai falar sobre isso prevalecer enquant os

dados Residem estão lá armazenados no sistema dispositivo ou até informações offline informações em papéis que estão armazenadas dentro de um cofre dentro de uma sala mantém enquanto as informações forem transmitidas do ponto a pro ponto b ela tem que ser mantida confidencial até chegar no seu destino Então não é só informação que tá armazenada informação que está sendo transmitida também ela tem que se manter confidencial para isso a gente usa aí por exemplo criptografia tá fornecida através então de criptografia de dados tanto para armazenamento para ninguém mexer lá e se conseguir ter acesso não vai

conseguir utilizar a informação porque ela vai estar criptografada ou a informação criptografada de um canto para outro tá então vai transferir informação confidencial criptografa porque se alguém capturar isso no meio ele não vai ter condição de descriptografar e ter acesso à informação aí você vai ter que ter controle de acesso né então lembra Ah para esse tipo de pessoa Ele só pode ler para esse aqui pode remover esse aqui pode atualizar esse aqui pode inserir Então você tem que ter níveis de acesso contoles de acesso quem é que pode Ah o Joãozinho lá do departamento

de contabilidade Ah o Huguinho do RH só pode ler Então você vai tendo todo esse processo de controle de acesso que é uma das Ferramentas que é um dos controles mais importantes dentro da segurança classificação de dados Então a gente vai rotular Como colocar uma etiqueta né falar ó Isso aqui é importante você coloca uma etiqueta rotula por essa rotulagem vai nos ajudar estabelecer novos controles identificar se quando uma informação fal olha acessar uma informação que não podia não uma informação pública tá tranquilo então se você não tivesse rótulo você não tem esse controle Isso

faz parte do quê da arquitetura treinamento do pessoal do pessoal nos procedimentos apropriados então não adianta você colocar controle se você não avisar para as pessoas que olha não pode passar pro coleguinha não pode dar acesso não pode emprestar senha né não pode emprestar seu equipamento para familiares levar para outro canto fazer uso inapropriado tudo isso tem que estar dentro de um procedimento tem que treinar conscientizar fechando a parte de confidencialidade antes da gente dar alguns exemplos Ou seja é o grau isso aqui é importante tá é o grau em que o acesso à informação

É restrito a um grupo definido de pessoa autorizadas quem são as pessoas autorizadas são essas então define o acesso que precisa tá então confidencialidade é o grau que isso acontece e por fim Visa proteger a privacidade dos dados Ok então quando a gente fala de privacidade tá falando necessariamente né Principalmente de confidencialidade agora vamos para os exemplos de medidas de confidencialidade eu vou colocar alguns exemplos aqui não exaustiva essa lista é só para você ter ideia né Quais são as possíveis medidas que você pode ter sobre confidencialidade então se você tem muitos arquivos muitas informações

dentro da sua empresa que estão ali vulneráveis que estão muito expostas então você pode pensar em situações como essa Ok Lógico que ao longo do treinamento eu vou passar muitas outras coisas a gente vai passar por quase todos os controles vamos lá controlar o acesso de um funcionário num área financeira falei todo mundo pode acessar a área financeira não ali são informações e eh confidenciais o histórico de conversa por exemplo com clientes né o histórico financeiro valores de de vendas né você tem que proteger esse tipo de informação e não é só fora é dentro

também não faz sentido você pegar todo o balanço financeiro por exemplo da empresa e abrir para todo mundo não sei de repente a empresa não tem capital aberto né então a gente precisa garantir que essas informações estão seguras protegidas Ou seja a gente tá falando de confidencialidade aplicar política de mesa limpa o que que é política de mesa limpa é evitar falar pro pessoal não de deixa papel importante em cima da mesa por isso que todo mundo é envolvido na empresa na segurança da informação porque uma faxineira ela pode estar fazendo uma limpeza ali no

corredor e vê por exemplo na impressora um papel impresso escrito né e confidencial Opa é uma não conformidade né se você for encarar isso como uma uma Norma você tá né passando por um processo de de colocar Norma ISO ou não né você tem encarar aquilo com uma não conformidade pô isso aqui não pode acontecer uma informação confidencial em cima da impressora ou em cima de uma mesa ou numa lata de lixo sem triturar o papel Ok então política ó política vai ter sendo envolvido em tudo tá política é bem importante né se o a

pessoa sair da mesa vai tomar um café ela é obrigada lá de repente na política colocar numa gaveta trancar levar chave pro café bom acesso a um usuário que não tem direito para alterar a configuração de uma estação de trabalho Quantas vezes a gente coloca uma um pólice ali no servidor mas o usuário ainda com jeitinho ele consegue driblar instalar alguma coisa e fazer uma alteração Puxa vida Olha tem essa aplicação aqui da empresa mas esse aplicativo aqui que eu encontrei na internet ele é maravilhoso Aí baixa a instala e precisa ativar alguma coisa aí

ele vai conseguindo ativar consegue mudar alguma coisa de repente ele tá como administrador da estação de trabalho isso pode ser catastrófico pra Rede Inteira não é só o computador não vai ser só destruído o computador se o atacante detectar que aquela estação de trabalho tá vulnerável e ele vai descobrir que dali ele pode pode ir para qualquer outro canto aí você tá perdido Então tem que controlar segregação de funções você pega as funções e divide Olha você desenvolve você testa você faz requisito você faz análise você vai separando isso porque de repente você tá lidando

com informação que é sensível você separa isso você minimiza o risco né de de de passar aqui ó por exemplo quando alguém vai fazer teste não aí vai pegar banco de dados lá as informações são anonimizadas São embaralhadas não são verdadeiras né então se você separa isso é mais fácil tá então segregação de função para que um desenvolvedor de sistema não faça qualquer alteração de informação por exemplo nos salários ele tá fazendo um teste tá fazendo uma aplicação ele tá fazendo uma validação e de repente começa a fazer mudança começa a ter acesso Não é

para ter acesso então assim se ele vai fazer uma mudança no sistema por exemplo do RH que as informações que caiam na mão dele não sejam as reais que seja anonimizadas ou dados aleatórios ok a gente tem que tomar muito cuidado que a gente fica muito tranquilo sabendo que eh eh eh ah o desenvolvedor ele vai ter acesso a tudo que é importante ele ter acesso a tudo será mesmo né Será que o dba ele precisa ter acesso a todo tipo de informação Será que o cis admin precisa ter acesso a tudo né muitas vezes

a gente vê que o cis admin Ele tem acesso a com tudo absolutamente todas as informações da empresa a gente precisa ver se isso realmente é necessário se você vai trabalhar na área de segurança se atente a isso separação entre ambiente de desenvolvimento teste homologação e ambiente de produção muito importante você separar isso aí porque a gente sabe que lá no ambiente de produção vai ter informação confidencial no ambiente de teste homologação tem que tomar cuidado então muitas vezes a gente simplesmente faz uma cópia do ambiente de produção Joga lá pro ambiente de homologação para

ficar homologando um ambiente de desenvolvimento e a gente não pode desenvolver é sair desenvolvendo em cima de informações reais confidenciais Então é bom separar o ambiente tem todo um processo para isso segregação de rede também Então depende deu um exemplo aqui o departamento de RH tem uma rede separada não é só lógica eu tô falando fisicamente mesmo tem uma rede separada evitando o acesso a outras pessoas a informação é tão sensível que vale a pena de repente ter uma rede separada Ok controle de acesso aos computadores de rede aí com ID com 100ha biometria biometria

da da íris do olho é biometria digital enfim ter todos os tipos de recursos possíveis para proteger lembra a gente tem que fazer uma análise de risco para saber se vale a pena qual é o valor da informação a informação não tem tanto valor não vai gastar dinheiro com isso que mais criptografar o tráfego né a informação tá passando de um canto pro outro criptografa e aí essas informações vão estar confidenciais ou ainda utilizar a técnica de Traffic pading que que é esse Traffic pading você vai injetando informações né aomb Você tá jogando informação para

daqui para cá E aí vai ter uns gaps vai ter momento que não vai ser enviado informações então nesses nessas lacunas nesses buracos você injeta informação um tráfico aleatório que se o atacante conseguir roubar essas informações ele não vai ter acesso à informação como se fosse uma criptografia Mas é uma técnica que você utiliza para fazer o tráfico de informação Ok segundo integridade vamos lá vamos ver sobre a definição de integridade que que é integridade é o grau em que a informação está atualizada e sem erro eu bato o olho e vejo posso confiar nessa

informação pode ela tem erro não não tem erro tá ela tá correta ela tá ali ó tá certa ok a gente vai definir o que que é correto e certo para para não ter dúvida a gente já chega lá bom se refere a ser correto e consistente ou com com o estado a informação pretendida Eu pretendo que a informação esteja ex examente aqui como deveria estar do sistema quando eu venho no sistema e puxo informação do banco de dados eu espero que aquela informação que tá saindo no banco de dados venha para mim exatamente aquela

informação isso é integridade Ok é evitar modificação Não autorizada também de dados de forma deliberada ou até acidental não eu vou atacar ou Putz foi sem querer esse sem querer ele também é um furo de integridade ok a não é porque não foi feito por querer não teve a intenção de fazer manipulação dos dados fazer uma alteração foi sem querer não isso não é problema de integridade É sim tá até o sem querer ele é um furo aí de integridade é garantir que programas gravem as informações corretamente e não introduzam valores diferentes ou desejados simples

assim se eu chegar aqui no meu teclado e falar olha o preço desse produto é r$ 50 eu vou digitar r$ 50 e a informação que vai ser armazenada no banco de dados é r$ 50 ninguém vai atravessar no meio e vai modificar esse valor Se eu mandar o e-mail pro meu cliente o que eu escreve nesse meio é exatamente aquilo que tem que chegar do outro lado tá isso se houver alguma mudança nisso aí no meio perdeu-se a integridade significa Que nada Está faltando na informação ela está completa Olha tá toda a informação aqui

tá aqui ó Tá faltando isso aqui e aí então você não tem integridade da informação tá Pode ser que alguém Apagou sem querer Pode ser que foi deliberadamente vamos lá isso aqui é importante significa então integridade significa que a informação é completa Ela é perfeita ela é intacta ninguém botou o dedo não necessariamente a informação correta eu posso dar min informação falsa mas que ela seja íntegra ou seja não foi alterada ela está perfeita tá ela cumpriu com o meu propósito ela tá completa é louco isso né então nem sempre falar se a informação tá

correta sim porque ela é íntegra não não necessariamente Ok a informação ela pode ser incorreta ou não autêntica mas possui integridade como eu falei eu posso soltar uma informação falsa mas ela é íntegra ela tá ela é completa OK ela é intacta ninguém mudou do mesma forma ela pode ser correta e autêntica mas faltar integridade Ok então isso aqui é importante a integridade é comprometida quando ocorre o quê quando você fala assim Putz a integridade foi comprometida quando alguém consegue um atacante consegue inserir por exemplo um vírus um Logic Bomb um Backdoor a gente vai

explicar isso aí bonitinho nas próximas aulas qualquer tipo de vírus qualquer coisa que vá perder a integridade da informação principalmente em e-mail né o e-mail sai de um jeito chega do outro provavelmente Houve alguma coisa a informação que tá aqui no sistema quando foi pro banco de dados foi diferente Ou quando você puxou logo Ban de dados veio pra aplicação veio diferente porque alguém conseguiu colocar um vírus ali um na aplicação no aplicativo web ou um usuário insere ou modifica maliciosamente ou não né os dados de um sistema Então você imputou lá a informação de

uma forma errada você tá aí comprometendo a integridade exemplos de medida de integridade quando alguém de uma equipe por exemplo entra com um preço novo de um produto no site Olha não é para mudar Aí vem alguém lá sem gerenciamento de mudança vai lá no site muda o preço e não avisa ninguém pronto a empresa vai ter problemas porque vai vender pel um preço que não é real isso é problema de integridade que mais segregar funções para o desenvolvimento de um novo produto que não pode ser realizado por apenas uma pessoa olha a gente já

falou de segregação aqui em confidencialidade para integridade serve da mesma forma assinatura digital da mesma forma que a gente criptografias a assinatura digital que é uma criptografia ela vai servir para proteger para garantir que a informação saia daqui não seja somente confidencial mas que ela não foi alterada Pode ser que nem se essa informação é pública Mas ela tem que ser intacta ela tem que ser íntegra qualquer pessoa pode acessar Então não preciso ter a que essa questão de confidencialidade para essa informação porque eu rotulei essa informação como pública Mas ela tem que ser íntegra

tá garantir que ninguém alterou ó Soltei uma informação e ninguém utilizou inteligência artificial para colocar palavras na minha boca exemplo Ok perdeu a integridade a política de uso de termos para cliente consumidor usuário Quantas vezes eu vou numa empresa fala ah a gente aqui põe as informações do cliente do Consumidor falei cliente ou consumidor não tanto faz Será que tanto faz e aí você começa a perguntar para um e outro cada um tem uma definição então a gente precisa estabelecer padrões dentro da empresa para que a hora que for inserir com essas informações em uma

um sistema todo mundo utiliza o mesmo termo tá para cada um não ficar colocando ah essa informação Aqui é do cliente ou do usuário Qual a diferença do usuário do cliente olha independente do que que é um outro a tua empresa tem que definir isso e passar isso de uma forma numa política para todo mundo ok log de ações de usuários de forma que possa ser determinado quem modificou uma informação então é interessante aqui nessa para medida de integridade ativar logs toda alteração não só Acesso mas alteração no arquivo alteração no sistema você vai ter

esse log armazenado para que se precisar você consegue identificar quem é quem é o culpado a gente vai falar um pouquinho sobre responsabilização e culpado daqui a pouco porque o Cia só trata desses três mas a gente vê que tem mais dois que aí são importantes né responsabilidade e auditi bilil didade a gente vai chegar lá já bom vamos pro terceiro e último disponibilidade vamos lá disponibilidade éo grau em que a informação está disponível para o usuário e para o sistema de informação que está em operação no momento e que a organização solicita ou seja

preciso da informação ela tem que est disponível é só isso não e vamos ver o que que o que que traz a indisponibilidade aí tenho certeza que muitas pessoas vão se reconhecer aqui porque a gente trabalha muito com disponibilidade e indisponibilidade principalmente Quem trabalha em central de serviço né trabalha com gestão de incidente problema Ok vamos lá o que que viola a disponibilidade então toda vez fal assim olha a disponibilidade foi comprometida quando por exemplo falta sua informação provocada por uma falha de hardware ó queimou o servidor queimou a placa de rede queimou um roteador

queimou um Suit tá Qualquer coisa que teve acesso a a queimou deu danificou deu uma parada travou você não tem acesso à informação Você tem uma violação da disponibilidade Você tá vendo que isso aqui muitas vezes não é segurança só segurança de informação tá envolvido com uma infraestrutura inteira ou pior muitas vezes as pessoas falam não disponibilidade é coisa lá de infra né da it não tem nada a ver com segurança de informação tem tudo a ver a gente só precisa discernir O que é uma coisa da outra porque a gente não pode encarar todos

os incidentes como incidente de segurança Mas se a pessoa não tiver acesso à informação você tá ferindo um critério de uma informação confiável que é a disponibilidade então cabe a gente sim a seguranç de informação Ah e disponibilidade por exemplo devido um ataque tá sofrendo um ataque as pessoas estão atacando tua empresa ISO isso causou uma indisponibilidade atraso que é C do nível de serviço você defini o nível de serviço olha eu vou jogar a informação daqui para cá em tantos milissegundos Se começar a atrasar o sistema ficar lento você vê que a informação ela

até não tá ela tá disponível mas tá lento para acessar não adianta nada não adianta você falar assim não tá disponível 100% olha ontem não parou nenhum momento e a lentidão então não adianta est disponível e você ter atraso para receber informação o cliente lá clica no enter demora demora demora para obter o o resultado um sistema que que pode ser afetado por falha de um software então não somente o hardware mas o software também quais são as possíveis medidas pra gente lidar com violação de disponibilidade por exemplo backup Então é bom a gente manter

um backup para substituir bem rápido algo que deu problema não Só backup de arquivo mas backup de peças também que mais funcionários qualificados né treinados parece bobo isso aqui né mas muitas vezes a gente tem backup tem tudo mas as pessoas não sabem fazer não sabem fazer uma substituição não sabem fazer os ajustes necessários para voltar à disponibilidade a gente tá falando do na área de tecnologia o que mais tem são pessoas com qualificações distintas né e a gente precisa ter preencher todas as lacunas para poder fazer o que mais a gente faz né restaurar

um um serviço um sistema que ficou fora fora do ar lidar com questões ambientais lembra que a gente tá falando de seguranç de afirmação Então a gente tem que estar se preocupando com temperatura a gente tem que se preocupar com umidade eletricidade todos esse tipo de coisas né natureza naturais a gente tem que se preocupar quantas vezes né começa a chover tem gente que já começa a tremer né Aí se parar se o gerador não ligar se não aguentar né o PS não tiver potência para segurar isso aqui por tanto tempo é uma loucura sistema

de detecção de intrusão famoso ids intruso detection né para evitar qualquer tipo de ataque né você tem que colocar um sistema desse Porque se o atacante conseguir acessar provavelmente vai deixar o seu ambiente indisponível ah liberar apenas os serviços e portas necessárias Quantas vezes a pega um servidor lá que tá com um monte de porta aberta para quê vai fechando as portas não precisa ter essa porta aqui não precisa ter esse serviço esse protocolo ativado vai desativando por qu você abre brecha pro atacante entrar e deixar o seu ambiente indisponível monitorar o tráfego de rede

e as atividades dos equipamentos tanto o tráfico que sai quanto de entra porque ho de Sai de repente alguma pessoa de dentro tá jogando informação confidencial para fora ou o atacante conseguiu entrar pela surdina ali sem ninguém perceber e tá pegando todas as informações da tua empresa e levando para fora então o monitoramento é tanto de entrada quanto de saída qualquer coisa que você achou meio estranho Opa vamos atentar aqui OK pode ser um ataque também ddos muita gente atacando E aí vai causar uma indisponibilidade configurações adequadas de roteadores e fos deixar Sempre atualizado bem

bonitinho testar sempre e sempre toma cuidado com mudanças né muitas vezes a gente faz uma uma mudança e esquece de contemplar questões de segurança lá na rdm né n a requisição de mudança vamos lá algumas características Na verdade são três característica disponibilidade a gente diz um pouquinho mais você vê que eu falei né não adianta a informação tá disponível mas tá lento não tem a capacidade de acesso Então a gente tem aí mais três características quando a gente fala de disponibilidade A primeira é a questão de oportunidade ou pontualidade ou seja Tá disponível no momento

que eu preciso então é uma característica de disponibilidade ou ainda continuidade que que é continuidade teve algum problema teve um desastre você precisa recuperar essas informações a precisa e as pessoas precisam continuar tendo acesso a essas informações como a gente faz isso através dos planos de continuidade ou conseguir fazer algo nesse meio tempo até que o negócio se restabeleça então a gente precisa pensar em disponibilidade como algo muito maior não é só um incidente de segurança mas é algo bem complexo ou ainda robustez né não adianta nada você falar que tá disponível mas ele não

ter capacidade de entregar Olha a gente tem servidor que esteve esteve mês passado 100% ativo não foi 99.9 não foi 100% mas todo mundo reclamando não conseguindo trabalhar porque o equipamento o acesso Seja lá o que for não era robusto não tinha capacidade suficiente de fazer a entrega e aí como sempre vamos para o exemplo de medidas de disponibilidade vamos lá exemplo gestão e o armazenamento de dados para evitar perder informações Ok manter isso no ambiente Seguro protegido com controle de acesso um dado que é armazenado em um disco e rede não disco rígido no

computador então se você identificar que tem informações importantes você identifica onde isso quando você faz quando você tem uma arquitetura da informação quando você faz uma análise de risco você identifica que tem informações importantes dentro de um HD de um disco rígido de alguém e aí garantir que essa informação esteja na rede procedimento de backup muito importante procedimento backup e fazer o teste de restore atender requisitos legais quanto ao armazenamento tempo de armazenamento local de armazenamento aonde eu vou armazenar essas fitas de backup dentro do datacenter não por favor né em local externo nunca dentro

do mesmo ambiente que você fez o backup criar procedimento de emergência para desastre recover para atividade que possam ser reparadas construa procedimentos tudo isso diz respeito à disponibilidade Lembrando que o conceito é muito mais amplo que só disponibilidade tá envolve capacidade envolve continuidade Ok ou que a continuidade é uma interrupção catastrófica né de grande escala e aí a gente veem aí com dois termos novos responsabilidade e auditabilidade minha difícil de falar esses dois termos vieram graças a duas pessoas sarbanes e oxley devido a uma Fraude que teve famosa nos Estados Unidos da enrow esses dois

se juntaram criaram o socs E aí tudo mudou Começou a Mudar o comportamento não só da estrutura das informações principalmente quanto questões contábeis tá porque houve uma fraude fiscal E aí criaram uma lei né a a socs para que seja implementada para aquelas empresas que Ten o capital aberto e aí Isso muda o comportamento do ccia ok não é simplesmente só o si a gente tem que saber quem é responsável a gente tem que ter acesso à informação e então começou né Principalmente por conta da governança né houve a fraude houve tudo isso e aí

foi criada essa lei E aí demonstra que a governança ela tá sendo feita então a empresa que tá alinhada ao a socs significa que ela tem uma governança estruturada e acaba afetando o triângulo Cia né tudo como a gente gerencia informação basiada em confidencialidade integridade e disponibilidade ela é influenciada com a responsabilidade e auditabilidade Então por quê responsabilidade diz respeito o qu a responsabilização diz respeito à culpabilidade ou seja quem que é a culpa a gente precisa identificar isso também numa auditoria numa governança numa Sox você precisa colocar o nome das pessoas ah teve algum

problema a gente furou aqui a integridade quem quem é responsável quem presta conta a gente vê muito isso da Matriz Race né o responsável o accountable Né o informado consultado e aqui é mesma coisa as pessoas TM ser responsabilizada seja o dono do serviço o dono da informação a o própria área de negócio é responsabilizada a área de segurança então a gente precisa colocar nomes nomes para isso tá exigência do socs E aí vem a auditabilidade que é o poder de fazer auditoria Então as informações tem que ter a tem que tá ali disponíveis para

ser feito a auditoria isso é muito importante para informações principalmente contábeis tá então o acesso ao tipo de informação para uma auditoria ela os auditores têm que ter acesso mas Adriano sempre não necessariamente Mas você corre o risco que tipo de risco se a informação ela não tiver disponível para auditor ela Ele vai tomar uma atitude ela vai tomar uma decisão no achismo dele isso é perigoso a gente vai chegar lá registros bem organizados e completos então para você ter algo auditado você precisa ter o registro de absolutamente tudo olha integridade né criar log ali

para monitorar Para tudo tem que est em conformidade com os padrões contábeis A tá falando do socs o socs ele tá muito focado ali em contabilidade Adri não tem nada a ver com T tem tudo a ver a informação que tá armazenada no banco de dados é responsabilidade da pessoa de segurança de informação de proteger né privacidade e é informação confidencial e a informação muito importante principalmente porque muitas dessas empresas que estão sobre a socs estão com capital aberto e os investidores querem ter transparência então a auditoria Envolve o quê avaliação de contoles de qualidade

ou seja o que foi definido como requisito é o que tem que ser entregue então a auditoria vai avaliar isso se o que foi definido Ali pela área de negócio é o que a ti tá entregando é então é algo de qualidade lembra que eu falei na primeira aula segundo gerenciamento de risco tá auditoria envolve gerenciamento de risco Ele quer saber se você tá fazendo a gestão de risco tá identificando novas vulnerabilidades O que que você tá fazendo o que que a empresa faz quando encontra algum novo Olha apareceu uma vulnerabilidade a empresa só fica

olhando ou ela toma uma ação e aí fechando sem acesso às informações o auditor o que que ele vai vai fazer ele vai expressar uma opinião sobre a contabilidade sobre os termos financeiros da empresa Isso é muito ruim e a gente vive ainda vendo acontecer muito no mercado inclusive no Brasil empresas grandes empresas que T governança que tem toda uma estrutura com conforme o socs aqui no Brasil não necessariamente o socs Né o banco central ele tem as leis lá para específicas para as empresas daqui e continua tendo coisas problemas fraudes fiscais por você não

é obrigado ali liberar porque uma informação confidencial tá vendo o impacto então o auditor ele vai expressar uma opinião dele que pode ser boa ou ruim então a gente vê grandes empresas tendo estrondos né olha barulhentos os rombos que a gente vê e normalmente você chega na auditoria e fala ah não posso falar porque é confidencial então a gente fica um pouco de mão atadas Ok mas é importante saber disso que a gente tem que dar acesso às informações pro consultor mas também não somos obrigados mas a gente por outro lado corre o risco de

uma ter uma interpretação errada OK bom nist além da ccia ou do ccia né o nist como eu falei é um Framework mais voltado para área de Cyber e como a gente tá vendo aqui eu vou até colocar a canetinha com o laser tá vendo que a gente tem aqui lembra que para cada controle a gente vai ter o tipo de controle a gente vai ter as propriedades de segurança se é confidencialidade integridade disponibilidade né aí a gente vai ter os conceitos de Cyber que é o que a gente vai ver agora e depois a

gente vai ter as capacidades operacionais os domínios de Segurança ao longo do treinamento a gente vai ver muito sobre isso aqui eu vou nesse momento explorar um pouquinho os os tipos né não precisa sair querer memorizar isso que é só para você entender que para cada controle você vai encontrar alguma coisa ali e aí aquilo vai te ajudar a te a a Navegar Ok bom vamos contar um pouquinho a história do niche niche é Instituto Nacional de padrões e Tecnologia dos Estados Unidos e ele criou em 2013 o csf que é um belíssimo Framework de

segurança C ética e esse Framework é maravilhoso pra segurança cibernética e aí o que que a norma ISO fez ela foi lá e puxou então em 2018 ela foi descrito na na Norma isc né 2773 Lógico que é o modelo limitado não é o Framework todo do csf que é muito bom é completaço é maravilhoso é uma versão limitada o suficiente pra a gente entender Qual é o conceito do do desse Framework tá e E aí como que eles fizeram essa integração com a 271 272 ele aborda com base nos seguintes princípios identificar tá então

todo o controle que você encontrar ou ele vai tá escrito lá ó esse aqui ele trata da dos conceitos de Cyber que é a terceira Coluninha aí ó é identificação é proteção é detecção é resposta ou recuperação tá isso significa o seguinte deixa eu voltar aqui quando a gente fala que a gente tá na etapa de identificação a gente tá falando necessariamente da fase de mapear e analisar riscos tá vendo que até na área de Cyber a gente tem que analisar risco Ok se a gente tá falando da questão de proteção significa a gente precisa

tomar as medidas de proteger a informação ou detecção eu tenho que ter recurso eu tenho que ter ferramenta eu tenho que ter coisas que me possibilite detectar uma evasão detectar um problema para responder é a próxima então assim eu vou ter que ter controles específicos que me ajudem a estabelecer procedimentos Adriano tem isso na Norma tem se você tá por exemplo eu tenho problema de fazer de responder ao incidente de segurança você vai na Norma olha terceira coluna na matriz e fala assim quais deles estão relacionados à resposta esse esse esse controle não é 100%

OK Inclusive a gente vai ver que o pros tipos de controles que é o primeiro não tem todos tem os principais quando a gente ver o o fluxo de um incidente de segurança você vai perceber que não são todos mas é o suficiente para no nos nos orientar tá ou recuperar que é para reparar um incidente caso aconteça a gente vai explorar isso aí mais ao longo do curso medidas no ciclo de vida do incidente para pegar uma outra Coluninha dessa tabela a gente vai falar um pouquinho sobre o ciclo de vida do incidente normalmente

como que é o incidente acontece vamos lá começa o seguinte a gente tem uma ameaça a gente sabe que tem alguém eh é que pode invadir nosso ambiente corromper alguma coisa o nosso site de repente se ele consegue E aí ele pode provocar alguma coisa uma indisponibilidade então normalmente Eu tenho um incidente de segurança ele tá ou a gente tá sobre ataque e aí se a gente tiver sobre ataque Muito provavelmente a gente vai ter que eliminar o dano a gente tem que né prejudicou ele tirou um site do ar Teve acidente arrancou Apagou as

informações ou é um rer né criptografo e tá pedindo Resgate E aí a gente tem que fazer todo o processo de recuperar o ambiente inicial Tá normalmente o ciclo de vida do incidente é esse temos uma ameaça se ele conseguir invadir vai ter um incidente ele vai prejudicar nosso ambiente vai ter um dano alguma coisa vai acontecer e a gente tem que entrar ali para fazer a reparação a recuperação o mais rápido possível e esse é um ciclo infelizmente eterno vai sempre acontecer isso aí ameaças sempre vão existir bom Quais são as medidas a gente

tá falando de medida então para cada etapa disso aqui para cada ponto específico desse ciclo de vida teremos ações distintas se teremos ações distintas teremos cont controles distintos e para cada nome dessas ações serão um tipo de coisas que você vai encontrar no quadrinho na matriz ou no tipo de controle Então vamos lá primeiro se temos ameaça Qual é o nosso papel como profissional de segurança tentar reduzir esse tipo de ameaça então a gente precisa ter controles para isso ou prevenir que aconteça um tipo de incidente ó Adriano não teve como aconteceu um incidente Então

vamos colocar controle para detectar os incidentes Que tipo de recurso a gente pode para detectar incidente porque muitas vezes a gente é atacado e nem sabe a gente nem sabe aconteceu um incidente danificou e nem percebemos que fomos atacados porque a gente não tem não tinha por exemplo um simples ids né um intruso detection repressão evitar que se alastre tá no desespero Olha atacaram esse servidor meu Deus tá atacar o outro cara desliga tira o cabo de rede de todos aí você evita né você reprime você represa vamos dizer assim o o o o o

problema é que nem um incidente que nem um incêndio começou a pegar o o fogo e aí o que que você faz para reprimir você vai ter que fazer tudo para que o fogo não se alastre né numa floresta faz um buraco em volta né vai fazendo um círculo em volta para que o fogo cor chega a isso ele apague Então você tem que evitar que o negócio se alastre Ah não teve como causou dano Então a gente vai entrar para corrigir Ok E aí fazer a recuperação do ambiente ciclo de vida de um incidente

é esse bem importante Ok é interessante você dar uma boa memorizada nas etapas imaginar como aconteceria realmente passar por tudo isso aqui né normalmente a repressão acontece antes da prevenção não né você tem que se prevenir antes de ter um ataque aqui então você precisa né não digo decorar mas entender como que funciona né imagine uma área de segurança uma área da Central dos serviço lidando com o incidente ele passa por isso aqui OK vamos lá que mais os atributos de controle de novo né então paraa primeira abinha é o que a gente já viu

que são os tipos de controle preventivos detectivos e corretivos que tá baseado no último fluxo que a gente viu do ciclo do do do incidente o segundo domínios de segurança cara a gente vai falar aqui sobre governança ecossistema a gente vai falar sobre proteção sobre defesa resiliência você vê que para cada tipo de coisa você vai para cada tipo de controle você vai ter esse domínio ou você vai ter a matriz falar eu tô aqui muito interessado nos controles que focam em defesa ah ah Quais são os outros domínios ó a gente tem aqui de

resiliência né de voltar ao estado inicial de proteção e assim sucessivamente para cada controle vai ter isso de uma certa forma até tinha no passado mas agora ele tá bem descrito bem organizado bem categorizado não para por aí nós temos as capacidades operacionais E aí são várias governança aqueles controles que tratam de gestão de ativo da empresa a proteção da informação segurança pessoas segurança física da estrutura física segurança de um sistema segurança da rede segurança de aplicativo configuração segura gerenciamento de identidade gerenciamento de acesso de ameaças e vulnerabilidades gerenciamento de continuidade segurança nos relacionamentos com

os fornecedores como você lida com os fornecedores é seguro né ele passa informação você passa informação para eles como que é esse relacionamento né Tem um um acordo de nível de serviço tem um NDA né um termo de confidencialidade a questão legal conformidade tudo isso mas aqui ó gerenciamento de eventos de segurança da informação garantia de segurança da informação Gente é muita coisa tá E aí se você quiser saber cada um desses tipos de de atributos de controle quiser saber todos os atributos é o que a gente vai ver aqui em seguida E com isso

a gente chega no final desse desse módulo aqui que a gente fala sobre os conceitos e princípios bem básicos de segurança a gente só tá no comecinho a gente não falou ainda a gente não falou sei lá 5% ainda do que esse Universo de segurança da informação somente baseado na Norma ISO 27001 E2 e aí eu te espero na próxima aula on a gente vai falar um pouquinho sobre gerenciamento de risco e depois vamos começar a falar sobre os controles tá bom e eu te espero lá um grande abraço valeu [Música] [Música] Olá seja bem-vindo

ao módulo que a gente vai falar sobre riscos gerenciamento de riscos uma coisa tão importante tão negligenciada por muitos né porque é um processo que a gente tem que fazer antes da gente pensar implementar qualquer prática qualquer ferramenta qualquer processo qualquer controle contramedidas salvaguardas que constam na ISO 27001 Então vamos lá vamos começar vamos falar tudo sobre gerenciamento de risco que eu tenho certeza que vai ficar bem claro da importância dele então primeiro eu gosto de fazer isso aqui falar um pouquinho sobre a matemática da avaliação de risco né então toda vez que a gente

é surpreendido aí com esse processo de ah a gente tem que fazer uma avaliação de risco né O que que é essa avaliação de risco e aí eu fiz uma matemática Simples então uma avaliação de risco é a soma de três coisas muito simples primeiro a identificação do risco ou seja identificar lá fal Olha consegui identificar isso aqui a gente tá vulnerável Então esse risco é maior tem um impacto maior Então a gente vai primeiro identificar depois a gente vai fazer a análise de risco que aí sim é um processo robusto muito importante e lembrando

que não é só análise de risco a gente precisa também estimar tá e quantificar Qual é a chance qual é a probabilidade de um risco acontecer a gente vai explicar isso aqui certinho cada um deles Fica tranquilo no do meio que é análise de risco a gente vai explorar um pouquinho mais então vamos lá então a avaliação de risco ele deve incluir essas três atividades ok que é uma abordagem sistemática grande robusta para tentar o máximo estimar a magnitude dos riscos Ou seja a análise de risco a assim como que é o segundo que é

o processo de comparar os riscos estimados com com os critérios de riscos que foram estabelecidos pelas áreas de negócio no nosso levantamento e a gente vai mostrar aqui um pouquinho na prática como seria realmente essa análise de risco Então vou dar três cases bem curtos e aí são três perguntas que a gente consegue fazer E já consegue fazer uma análise de impacto bem interessante as pessoas têm um pouco de receio de medo por falta até de conhecimento do o negócio mas a partir do momento que a área de segurança da informação começa a conhecer o

negócio começa a entender fica mais fácil esse processo de análise de risco Ok E aí então o segundo é a parte de estimativa do Risco vamos ver um pouquinho cada um desses para não ficar confuso Então vamos lá dentro da avaliação de risco a gente tem então a parte de Identificação do Risco o que que é feito nessa atividade de identificar Então a gente tem primeiro é identificar Ok então é o processo de sair reconhecer encontrar quais são os riscos descrever os riscos Olha a gente tem um risco aqui de inundação Então escreve Olha a

gente tem um risco de ataque a gente tem um risco de roubo de informação de vazamento né de vírus de ficha Então a gente vai anotando tudo e descrevendo quais são os riscos bom mas Adriano já logo de cara a princípio sim tá mas a gente tem um processo dentro de análise de risco que vai deixar bem claro nessa parte ainda de identificação envolve a identificação das suas fontes ou seja de onde tá vindo isso será que esses riscos são internos externos humanos não humanos a gente já vai ver isso daí tudo bonitinho tá E

também a gente aproveita já Analisa aí V mais ou menos qual o potencial a potencial consequência né Qual que é o dano que ele pode causar não só em termos financeiros e pode envolver também dados históricos coisas que você já tem antiga fazer uma análise teórica então muitas vezes na análise de risco a gente não só Visa a parte quantitativa mas a qualitativa também tá E aí a gente vai precisar de um monte de coisa inclusive conversar com as pessoas pegar pareceres ir em fóruns e olhar estatística tá não só olhar internamente mas olhar para

fora também olha esse risco aqui na região é fácil de acontecer não é não é muito provável dá uma olhada na internet dá uma olhada o que tá acontecendo no setor se você tem uma tecnologia dentro de casa vai dar uma olhada para ver se ele sofre alguns riscos é o que eu costumo fal falar por exemplo ah o o Linux ele é muito mais seguro que o Windows sim mas isso não significa que as ameaças não existam ela existem tá tem muita gente tentando atacar o o Linux porém o Linux ele tem um baixo

risco porque ele tá menos vulnerável tá então tem um pouco a ver sobre a vulnerabilidade e a exposição ao risco que também a gente vai tratar aqui bom aí vem a segunda coisa que é análise de risco que é o grande processo que a gente vai tratar daqui a pouco tá é um processo que compreende a natureza do risco vai ficar claro quando a gente falar sobre a natureza né Não só a origem Mas como que é esse risco o tipo de risco estratégia de risco que a gente vai ver no final e tem a

finalidade de determinar o nível de risco ão até por por conta de impacto por conta de não só o custo paraa proteção mas de recuperação também proporciona uma base para estimar o risco se o risco é baixo se o risco é alto se ele tem probabilidade de acontecer ou não base para decisões sobre o tratamento de risco Por que decisões porque eu posso simplesmente aceitar o risco eu posso ser neutro ou risco não indiferente mas neutro fazer com que todo o processo aconteça de proteção Minimizar os danos o incidente ou até evitar o incidente Ou

aquele que não tem que evitar todo o custo e aí a gente vai ter medidas para isso tá então para cada tipo de decisão a gente tem algumas medidas que estão dentro da 27.001 análise de risco inclui então a estimativa também que é a parte a terceira partezinha que a gente vai atribuir valores simplesmente assim atribuir a probabilidade no a tem 30% de chance de acontecer o impacto disso é tanto né então a gente trabalha com números e também atribuição de valor de impacto que um risco pode ter a probabilidade da sua ocorrência Qual que

é a chance dele acontecer tá então a gente pode atribuir números ou também simplesmente Baixo médio alto tá então a gente pode colocar isso estimativa faz parte aí dentro desse processo gigantesco de avaliação Adri eles estão separados não não está separado só tô dando um contexto aqui como que a gente fala muito de avaliar real a gente tem que avaliar o risco hein sempre avalia o risco antes de colocar alguma coisa antes de fazer uma mudança né então a gente tem que sempre fazer essa avaliação então a gente costuma muito falar sobre avaliação e saiba

que avaliar envolve principalmente três coisas né identifica faz análise e essa análise submit que você tá fazendo uma estimativa Ok para isso então a gente entra dentro do conceito que é desse módulo que é gerenciamento de risco que é algo muito maior né O que que é gerenciar risco então para explicar o gerenciamento de riscos a gente vai começar a pequenininho né de passo a passo para você conseguir compreender tudo então primeira coisa é a análise de risco Então a gente vai voltar análise de risco porque análise de risco é o processo Core aí dentro

de um de uma magnitude maior sobre o gerenciamento de risco então ente fala assim olha eu trabalho na equipe de gerenciamento de risco O que que você faz uma das coisas é isso aqui é análise de risco Então vamos ler aqui análise de risco ajuda a saber contra o que nos proteger e identificar o risco tá então a gente já viu a parte de identificação ok a gente vai identificar Quais são os possíveis riscos que nossa empresa está sendo submetida está exposta E aí a gente vai fazer uma análise tá a gente vai detalhar isso

aqui bom agora só títulos de exemplos até pra gente ficar na mesma régua né porque a gente acaba Ouvindo ah um incidente um risco uma ameaça a gente vai começar a definir algumas coisas para ficar bem claro Tá então vamos lá quando uma ameaça surge tá inicia um processo de análise de risco Adriano Como assim uma ameaça surge a gente vê muitas vezes Olha tem um novo vírus circulando e ó vou dar um exemplo por exemplo que eu gosto né da chuva Olha tá ameaçando chover Qual que é o risco para mim de me molhar

eu posso tomar algumas decisões ou não tá mediante a esse risco porém a gente sabe que a ameaça ela existe a gente não tem muito controle tá a gente não consegue ter 100% de proteção contra uma ameaça ameaça existe atacante sempre vai existir bandido sempre vai existir sempre alguém vai querer atacar a nossa empresa roubar informação tirar proveito disso sempre cabe a gente analisar se a gente aceita ou não e e vai depender muito sobre a vulnerabilidade que a gente tá tá essa esse tripé é muito importante tá ameaça sempre existe e o risco se

ele é alto ou não vai depender muito do valor do nosso ativo e se a gente está vulnerável a essa ameaça ou não E se a ameaça for concretizada a gente vai ter algumas ações algumas medidas que a 27001 explica tá então exemplo Ah o novo vírus começou a circular aí ou seja uma ameaça nova apareceu Quantas vezes a gente vê aí vulnerabilidade de descoberta ou ameaças ou novo vírus novo tipo de ataque novo tipo de Fishing a gente tá toda hora recebendo isso nas nossas redes sociais olha Tá circulando um golpe aí né de

engenharia social tá ou uma tempestade começou a se formar você já começou a ouvir Trovão a tua empresa não tá numa localização geográfica favorável De repente é mais queda Então se chover pode inundar a tua estrutura um outro termo bastante importante incidente quando essa ameaça ocorre ela se concretiza ela se manifesta Aí sim ele se torna um incidente E aí a gente vai ter que tratar se a gente não conseguir represar né reprimir evitar deixar que evitar que ele aconteça se acontecer a gente vai ter que lidar com o incidente de seguras da informação Ok

exemplo então quando o hacker invadiu e houve uma falha de energia tá então não não teve como né a gente tentou tentou tentou você proteger aqui não conseguiu a gente não conseguiu E aí atacou e prejudicou nossa empresa Ok Isso é um processo gerenciamento de riscos é um processo contínuo ele não para a gente vai ver depois um outro ciclo né que fica bem interessante com todas as partes do que eu explicar aqui mas já entenda que é um processo que não tem e e tem começo meio fim mas ele volta ele não tem um

fim né Por quê ameaça toda hora tá acontecendo se não houver esse ameaça toda hora tudo bem ele teria um processo finito mas é infinito tá então mais ou menos isso a gente vai ter que trabalhar dentro do gerenciamento de risco sempre tentando identificar os riscos fazer um um exame desses riscos e fazer o máximo para reduzir as consequências os danos e normalmente quem faz isso são duas pessoas importantes ou ISO ou siso né o diretor ou o responsável pela segurança da informação OK agora vamos colocar nome aos bois vamos lá o que que é

um risco é o próximo slide risco Vamos definir o que é um risco aqui é que é importante porque a gente pode confundir risco ameaça a exposição vulnerabilidade são quatro itens bem importantes Então vamos lá vamos tratar sobre risco o que que é um risco primeiro efeito de incerteza sobre os objetivos bom lembra falei da chuva o meu objetivo é me manter seco eu posso ou não me molhar então é uma uma incerteza se é uma incerteza é um risco Olha o atacante pode ou não entrar na nossa empresa é um risco Olha esse vírus

pode ou não atacar a gente é um risco Olha esse fiche esse esse span que o pessoal tá mandando né um ror qualquer tipo de coisa olha é um risco ele pode ou não Então a partir do momento que a gente tem a incerteza é um risco e olha e a gente tá falando daquele risco negativo Por que Adriano o risco negativo porque a gente tem o risco positivo sei lá a eu tenho o risco de ficar milionário de um dia pro outro é um risco Mas isso é bom a gente tá falando aqui risco

de segurança da informação que necessariamente não é tão bom assim né então os riscos eles sempre vão levar nessa nessa situação aqui a uma coisa ruim pra empresa OK então é o efeito de uma incerteza estou inseguro estou incerto é um risco Adrian não sei se isso aqui que eu vou fazer que eu vou mudar que eu vou implementar isso aqui que tá acontecendo Eu não sei se vai dar certo ou não é um risco tá bom risco também a probabilidade de um evento ou seja de uma ameaça se concretizar se manifestar se a gente

acha que olha Pode ser que se chover eu vou me molhar eu não tenho certeza absoluta porque de repente é uma chuva com vento pode ser uma chuva com granizo né então se existe essa probabilidade de se concretizar significa que eu tenho um risco tá Adrian eu não vou sair de casa pode chover à vontade então o risco é bem pequenininho né se você tá dentro de casa a chance de você se molhar é quase zero quase Ok é a combinação da probabilidade de algo acontecer né de um evento acontecer e as suas consequências então

assim olha tem a grande chance de chover mas eu não vou me molhar então não tem consequência nenhuma então a gente tem que sempre Balancear isso agora se eu tiver andando na rua e eu tiver vulnerável o risco de eu est molhado ele sobe nas alturas Lembrando que um efeito é um desvio do que esperar então assim o que que é o risco Ah eu espero que eu chegue seco até a empresa se acontecer alguma coisa diferente disso tiver um desvio esse efeito né causado pelo pela ameaça significa então que eu tô vulnerável é um

risco Ok saiu do da forma que tá sendo esperado é um risco pode ser positivo ou negativo como eu falei né de repente saiu por um caminho e deu muito certo mas normalmente a gente tem que lidar sempre com o pessimismo é uma função ingrata né a gente é muito pessimista quem trabalha com gerenciamento de risco tem que sempre sempre enxergar o pior tá infelizmente você não enxerga o lado bom né das coisas sempre vai enxergar o lado ruim Negativo você vai ser o pessimista da empresa aonde você estiver andando vai ter uma nuvem em

cima de você né que mais os objetivos podem ter diferentes aspectos Como assim vamos lá pode ter aspecto financeiro Então assim V posso perder dinheiro pô tô em risco tá que mais saúde e segurança inclusive humano a gente vai ver aí nos próximos módulos controles humanos então o humano ele precisa ser protegido também contra ameaças segurança da informação é a nossa área tá olha que interessante a gente aqui dentro da da da desse treinamento aqui quando a gente fala de segurança de informação a gente não tá só se importando com a segurança de informação mas

a gente tá se importando com os ativos também Adriano O que que é ativo é o prédio é um servidor é o funcionário são os fornecedores os clientes que estão dentro da empresa por exemplo Ok metas ambientais também eu quero proteger quanto a meta ah poluição algum vazamento né qualquer tipo de coisa bom e pode ser aplicado também em diferentes níveis segurança da informação é a gente já sabe já já entendemos que tem que ser em todos os cantos da empresa mas o gerenciamento de riscos também todos os cantos da da da empresa se a

gente tá falando de segurança informação se a informação tá em todos os cantos pamento de risco tem que ser em todos os cantos Ok então desde o lado nível estratégico até o nível operacional e em toda a organização tá vendo que eu não tô falando gerenciamento de risco só na ti Adrian Eu trabalho na ti eu sou gerenciamento de risco de ti mas gente não não dá para enxergar somente ti porque as informações estão em todos os cantos da empresa projeto também projeto não causa risco pode ser um risco de não entregar no prazo risco

financeiro que mais produtos geram riscos e também processo um processo não bem executado ele pode gerar um risco financeiro pode gerar um risco de segurança da informação pode gerar um risco de a saúde ao ser humano tudo isso tá então você vê que todos os tipos de diferentes riscos eles podem ter o os objetivos aí de diferentes aspectos envolvidos Ok vamos aos exemplos para ficar aí Claro de uma vez por todas exemplo de risco e aqui quando a gente vê tem alguns itens que é muito semelhante a vulnerabilidade ameaça sim é bem semelhante mas a

gente precisa entender o contexto Tá então vamos lá riscos um fal você tem um fal lá e deixa algumas portas abertas ó Isso é um risco tá por qu a ameaça existe se você deixou a porta aberta um ladrão pode entrar é só imaginar a tua casa você deixou a tua casa foi passear foi viajar foi na padaria e deixou a porta e a janela aberta ladrão existe Qual que é a chance dele entrar na tua casa o eu deixei a janela aberta deixei vulnerável tô totalmente exposto o risco aumenta Tá mesmo se você trancar

a ameaça existe não é o fato de você trancar a tua casa não vai eliminar a existência do do ladrão do bandido Ele sempre vai existir isso que você precisa entender então quanto mais você fizer o gerenciamento de risco menos chance você vai ter de ser surpreendido que mais usuário sem treinamento nos processos e procedimentos aqu ele se recusa a olhar procedimento ele vai lá no ambiente de produção e começa a mexer adren ser risco de segurança é o risco de segurança Com certeza ele pode danificar um banco de dados uma base de dados informações

ele pode fazer um monte de coisa então se esse usuário não tiver treinado ele pode fazer besteira Que mais um ataque ao site não precisa nem falar né cybers segurança aqui tem que ser prioridade engenharia social com os funcionários da Titi eu coloquei funcionários da ti mas pode ser qualquer tipo de funcionário a gente sabe que o engenheiro social ele vai pegar a parte mais vulnerável e normalmente a a a equipe de ti normalmente né as pessoas são mais antenadas ficou mais espertas recebeu um e-mail uma ligação foi abordado fora da empresa no restaurante no

corredor no estacionamento fica um pouco mais ligeiro e a gente tem que ensinar todos os outros funcionários que isso é importante né engenharia social é complicado mexe aqui ó com a cabeça com o psicológico se aproveita de fragilidade e de fraqueza das pessoas vulnerabilidade de sistema operacional no servidor é só exemplo tá essa lista aqui ela pode ser extens podia ficar horas e horas falando a gente sabe que existe muitos riscos né só para estimular você entender o que que é o risco tá sistema operacional desatualizado risco enorme um incêndio ou uma enchente é o

risco é risco de incêndio risco de incêndio de Enchente não é que já aconteceu Ok é o risco pode acontecer um funcionário que não trabalha no RH e acabou obtendo acesso ao diretório lá do RH e começou a olhar dados sensível ou privados de todos os funcionários como por exemplo folha de pagamento sua empresa é atingido por uma falha de energia normal como que a gente faz para proteger um controle né A gente vai ver isso coloca lá um gerador alguma coisa a gente vai ver lá pra frente um hacker consegue obter acesso à rede

Wars da ti ou da empresa né também não precisa ser só da ti um hacker conseguiu acessar a hora a partir do momento que ele conseguiu acessar ali o wi-fi ele pode ter acesso a todo o ambiente vazamento de Formação confidencial de uma equipe de cal Cent de repente lá a pessoa no cal centro deixou vazar uma informação que não podia de repente mandou um e-mail pro cliente sem querer mandou a base do cliente inteiro quantas histórias a gente já ouviu sobre isso né manter a porta aberta do data center não esqueci de trancar esqueci

de fechar né aquelas portas que tem ã né aí para deixar o coleguinha entrar ele coloca um pedacinho de papel ali no ã pra porta não travar Ok risco besteira né falta de atualização de softwares aplicativos né tem muito a ver al também com o sistema operacional assim a gente tá cansado de ver olha apareceu uma nova vulnerabilidade lá do Java né E aí a versão tal aí tem que sair atualizando tudo normalmente não dá tempo né primeiro a gente descobre que tem uma ameaça E aí depois a gente vai tratar a vulnerabilidade a gente

olha ih a gente tá vulnerável vamos tratar vamos atualizar equipamentos emprestados para um parente do funcionário Então a gente tem todo o processo tem toda a segurança tem tudo bonitinho aí o pai chega em casa com o Notebook que é da empresa ou até dele mesmo que utiliza para acessar os dados da empresa entrega pro filhotinho lá pro filho aí o filho acessa a internet acessa alguns sites dá uns cliqu aqui outras acular pronto infectou o notebook a hora que o funcionário volta na empresa espetou o computador na empresa prolifera tudo tá então é risco

não pode emprestar pros filhos parentes colegas amigos né equipamento de trabalho tem que ser seguro agora vamos lá para um outro termo ameaça tá ameaçando a chover tá o risco é eu posso me molhar Ok então ameaça a causa potencial de um incidente indesejável que pode resultar em danos a um sistema ou organização ou pode resultar em eu ficar todo molhado tá vamos lá se algo resultar em dano chamaremos de ameaça se algo resultar não é ah resultou aí é um incidente se algo resultar se algo pode resultar é uma ameaça Ok eu posso me

molhar Porque existe uma ameaça de chuva pode acontecer ou não mas existe Se começar a trovejar começar a sair uns raios n a chance é cresce se o que temos é vulnerável falho ou deficitário abriremos brecha para o ataque por isso que tratar a vulnerabilidade é importante aquele que aprove dessa vulnerabilidade Ou seja a ameaça que aproveita olha achei uma porta aberta aqui você tá vulnerável eu vou entrar essa pessoa ou essa aplicação isso que acontece é chamado de agente de ameaça ou agente ameaçador Ok então qualquer coisa que se aproveita de uma vulnerabilidade é

um agente de ameaça alguns tá um agente de ameaça pode ser um ladrão roubando a sua casa pode ser um invasor a acessando gente quando eu falo sua casa quando eu falo outros exemplos é para tentar contextualizar Ok ah porque a gente tá focando aqui segurança da informação para a empresa mas também óbvio né tudo que a gente aprende aqui tudo que a gente tá aqui explicando eu aplico inclusive na minha casa né então vamos lá um evasor da sessão na rede através de uma porta de Firewall Lembra eu tenho risco eu manti a porta

aberta lá existe a ameaça dele entrar tá vendo que eles se repetem só que num contexto diferente então um invasor acessando é uma ameaça alguém acessando indevidamente a os dados de terceiros né Depende você mantém lá um banco de dados um servidor de diretório alguém pode acessar isso é uma ameaça ó existe a chance dis isso acontecer tá a probabilidade um funcionário violando uma política de segurança muito comum né infelizmente inclusive funcionários da própria atti da própria segurança de informação violando a própria política que ele acabou criando ameaça de terr terorismo né tem a chance

de acontecer uma guerra a uma nação Eu não sei onde você trabalha de repente você trabalha em países que sofrem ameaças de terrorismo constantes né ah um tornado destruindo uma instalação uma chuva uma tempestade não preciso nem falar em outros países Porque fala de furacão tornado né existe essa tipo de ameaça esse tipo de ameaça no Brasil já não existe com tanta frequência né a gente tem aí no sul alguns pequenos né diferente que acontece em outros países mas a gente tem outros tipos de catar né não temos terremoto mas temos chuva desmoronamento né temos

algumas outras coisas relacionadas à nossa a situação do país um funcionário cometendo um erro não intencional expondo informações confidenciais Então assim tá vendo que não é porque não foi intencional não é uma ameaça a pessoa pode sem querer né pegar achar um pendrive com vírus espetar no notebook sem querer infectar toda a rede ele não fez isso de propósito né mas isso não exclui uma ameaça ele pode ser uma ameaça aliás tudo é uma ameaça vai caber o nosso processo de análise de risco para saber se a gente vai tratar ou não então no processo

já de seguras da informação ameaças ou seja os efeitos indesejáveis são mapeados na medida do possível tá importante de novo essas ameaças elas são mapeadas na medida do possível por que na medida do possível porque nem sempre a gente vai conseguir mapear todas as ameaças E se a gente começar a mapear todas as ameaças a gente vai virar um funcionário chato um profissional chato que tudo acha que é risco né tudo então assim a gente tem que ter um equilíbrio Ok tem que ter um equilíbrio aqueles mais impactantes tudo bem verifica-se se algo pode ser

feito para evitar essas ameaças Então dentro do processo de segurança identifica as possíveis ameaças vê o o que dá para para ser feito Ok e determina Quais são as medidas para fazer a proteção para evitar que esse dano essa ameaça se concr e vire um incidente e se virar um incidente como a gente pode fazer para não se alastrar e se se alastrar qual reção quais serão as medidas para eliminar resolver Ok próximo vulnerabilidades que é o terceiro terceiro termo bem importante vulnerabilidade vamos lá tá pequenininho Mas vamos L aqui ó fragilidade de um ativo

ou um grupo de ativos que pode ser explorada por um ou mais ameaça existe ameaça de chuva eu estou vulnerável estou sem capa de chuva não estou dentro do carro estou sem o guarda-chuva estou sem nada tô muito mais vulnerável com uma pessoa que tá andando com guarda-chuva faz sentido então a vulnerabilidade vai depender muito de Como estão seus ativos Ok o quanto você está frágil então uma vulnerabilidade é uma fraqueza e o atacante ele vai atrás do quê da fraqueza então se você não deixa tudo atualizado se você não deixa as portas do firel

fechado ele vai testar imagina que é uma pessoa um ladrão entra no seu condomínio você mora num prédio e ele vai identificar qual apartamento to com a porta sem trancar tá aquele que está mais vulnerável ele vai tentando uma por uma aquele que eue conseguir ele vai explorar essa vulnerabilidade ou seja não tem o trinco na porta e vai conseguir entrar é a ausência ou a fraqueza de uma proteção que pode ser explorada ausência não ten um trinco ou se eu tenho trinco ele é muito fraco ok eu tenho uma proteção ten um Fire mas

não tá bem configurado não adianta achar que tem um Fire que tem tudo bonitinho uma sei lá uma rede dmz com prox com não sei o qu um servidor com duas placas de rede separação física e lógica se não tiver muito bem configurado é fraco tiver uma política e ninguém executa é fraco tá exemplo de vulnerabilidade uma porta uma janela que não trancam corretamente direito né um servidor de desenvolvimento rodando sem atualização básico isso né a gente se preocupa tanto com servidor de produção rodando bem atualizadinha tudo atualizado e o desenvolvimento não por que a

gente não faz isso ele não tá conectado na rede então o atacante ele pode entrar ali e fazer o escalonamento né escalar privilégio e conseguir ter acesso a admin e ter acesso a todo o resto do ambiente e aplicações os sistemas operacionais desatualizados né gente queria a própria 271 272 antigo falar olha é importante instalar o vírus agora Nessa versão é não é só instalar o vírus Tem que manter atualizado atualiza sempre chegou a atualização dê prioridade para atualizar o quanto antes ah acesso e restrito para um modem né coloca a senha protege um modem

eu tô dando exemplo de modem pode ser qualquer outro tipo de equipamento tá pode ser um roteador pode ser um suí ok uma porta aberta do fire aí ó de novo tá tá então se você deixa a porta aberta você tá vulnerável existe ameaça de alguém entrar então você tem um risco grande aí de ser atacado através de uma porta de Fire a segurança física a gente vai falar muito sobre segurança física também tá não é só segurança lógica de controle humanos mas a gente vai falar muito de segurança física tá os anéis de proteção

que é bem importante então uma segurança física fraca que permite que qualquer pessoa possa entrar no data center não só no Data Center no prédio onde você é trabalho tudo que é canto Ok e controle de senha fraco que permite o fácil acesso a sistemas e ambientes senha 1 2 3 né A CD ou as dfg ou kW e RT né eu tô olhando aqui meu teclado que o pessoal normalmente faz né aquele movimento que já pega todas as técnicas é batido para caramba né existem técnicas bem fáceis inclusive de detectar isso aí e aí

o último termo que a gente precisa entender é a exposição quanto eu vou est exposto né Vamos lá que que é exposição exposição é ficar exposto a essas perdas Cara você tá muito vulnerável Você tá muito exposto tá ele é meio Sinônimo é mas ele tem uma conotação diferente aqui vamos ver aqui ó um agente ameaçador aproveita essa exposição é onde como acontece dentro do processo de um etical Hack Um etical não né de um um Hack quando ele vai atacar ele sempre ele faz isso né antes dele fazer ele faz primeiro o Discovery ele

identifica o que tá vulnerável e aí se você porque nem sempre a vulnerabilidade a traz tanta exposição então ele vai aproveitar essa exposição o agente ameaçador ele vai aproveitar isso aí e atacar ou fazer o que ele veio com com a ideia proposta né uma vulnerabilidade expõe uma organização a possíveis ameaças tá bem que a exposição tá muito ligada à vulnerabilidade então só exemplo de disposição olhei a porta aberta novamente do fá abri a porta é totalmente exposto se você sai da tua casa e tranca se você sai da tua empresa Você fecha a porta

se você tá na internet se tem alguma conexão fora pros seus funcionários qualquer conexão tiver com porta aberta esquece AD não tenho conexão nenhuma lá lá para fora é só internamente precisa de F também porque alguém com má intenções pode entrar dentro da sua empresa e ter acesso sua rede protocolos habilitados ou que não tem necessidade Quantas vezes eu vou em empresa eu pego um servidor que tem um monte de protocolo eu até pergunto para que que serve esse protocolo o profissional não sabe Para que que serve mas simplesmente deixa habilitado com medo de desabilitar

e parar Algum serviço na rede tá absurdo entenda Quais são os protocolos entendo para que que serve cada porta e feche se não tiver necessidade se tiver necessidade abra realize o que precisa realizar depois fecha ok que é muito fácil você pega qualquer ferramentinha aí bem simples na internet disne né começa farejar as portas as vulnerabilidades E aí é um prato cheio pro atacante isso é muito fácil de ser feito principalmente na internet pegar sites que estão vulneráveis com porta aberta você põe os niffer lá no site ele traz todos os parâmetros tudo o máximo

de informação possível tá até chegar inclusive lá no servidor se a gestão de senha for fraca e as regras não forem aplicadas a empresa fica exposta tá senha fraca importante ou senha muito complexa também é um problema por o funcionário normalmente exigido que ele troque a senha uma vez por mês com senha com 30 caracteres com código símbolo número letra maiúscula minúscula gente isso atrapalha que que o funcionário vai fazer vai escrever a senha no papelzinho vai colocar embaixo do teclado ou na gaveta dele se uma empresa não tem cabeamento ó cabeamento inspecionado tá cabeamento

e não estabelecer medidas proativas de prevenção contra incêndios tá então você sempre tem que chegar dentro da segurança de informação não só o ataque que vem lá do mundo lá de fora que a gente sempre fala de segurança informação e imaginando sempre Cyber né mundo cibernético não segurança física incêndio tá questões ambientais a gente vai falar muito sobre isso tá muito relação entre ameaça e risco aqui é um fluxo um ciclo que eu gosto muito para você entender para juntar tudo que a gente viu até agora Ok vamos juntar tudo então ciclo do Risco Eu

gosto muito de começar a falar do ciclo de risco começando pela ameaça então ass sempre a gente vai falar ó tá tendo uma Nova Ameaça um novo vírus tá ameaçando o chover olha só que são materializadas se essa ameaça acontecer né pode ser materializado através de um ataque e esse ataque são exploradas toda o atacante ele vai explorar o quê as V ilidade se teu servidor por exemplo está vulnerável o atacante ele vai explorar isso aí expondo você né ao risco Ok se você não tiver tão vulnerável você não vai estar tão exposto ao risco

esses riscos são controlados com salvaguardas com medidas Aonde encontra essas medidas Adriano para me resguardar disso aí para controlar 27.1 Ok a própria Norma traz uma série de contramedidas cont contramedidas eh controles né é sinônimo a gente já vai ver sobre isso aí e aí essas contramedidas elas funcionam Protegendo o quê os ativos e esses mesmos ativos estão sempre sob ameaças novas ameaças tá então é um ciclo por isso que é um trabalho contínuo tá tudo que a gente fala que gerenciamento de risco não tem fim começa a fazer o processo mas não para Ok

então falei sobre medidas e a gente vai ver sobre muito agora daqui para frente falando sobre as medidas medidas de segurança para que que serve as medidas de segurança bom se eu tô em risco eu preciso tomar uma ação eu preciso fazer alguma coisa OK então vamos lá medida de segurança é colocada em prática para mitigar o risco e potencial Olha tem o risco de um incêndio tem o risco de eu ser atacado de roubo de informação Ten o risco de eu ficar molhado ten que fazer uma coisa eu tenho tomar uma atitude tá então

são as medidas tem que fazer alguma coisa significa então controle né e quando a gente fala toda vez que a gente fala medida de segurança é controle contramedida salvaguarda sinônimo Ok então no decorrer do curso até no exame se você for fazer a prova você vai encontrar controle de segurança medidas de segurança contra medida salvaguarda São sinônimos podendo ser então uma configuração de software Ok eu posso usar a configuração de software um dispositivo ou um hardware tá porque a gente sabe que a gente pode se proteger não só com com com software mas com hardware

também né com appliances com procedimento ok a gente utiliza procedimento para eliminar vulnerabilidade ó você não pode mexer no ambiente Ó você precisa de 100ha ó você não pode deixar a sua mesa cheia de papéis você não pode deixar papel na impressora Ok tem que tá tem que ter procedimento e colocar isso dentro da política e aí se você quiser saber mais sobre política ter o curso avançado que é o ismp que ele fala especificamente Dea construção de uma política de segurança de informação no nível mais avançado Ok procedimento que reduz a probabilidade de um

agente ameaçador ser capaz de explorar a vulnerabilidade procedimento novamente ok exemplos então de contramedidas gente ao longo do treinamento a gente só vai ver as medidas mas aqui só alguns exemplos para você sentir o que a gente vai explorar ainda então lá gestão de senhas fortes tá gestão de identidade também guarda de segurança um guarda um ser humano né com capinho com arma com bastão alguma coisa para proteger fisicamente os funcionários segurança física patrimonial mecanismo de controle de acesso a sistemas operacionais a gente tá falando mais da questão lógica implementação de senhas de ó lembra

da BS né evitar que o funcionário Ali vai lá falou Putz desativaram me a USB aí ele entra na BS né dá lá a tecla o F1 F2 Daí depende do computador ele consegue entrar na Bios e consegue ativar USB um DVD ali para ouvir uma uma música né para espetar alguma coisa então a gente tem que colocar uma senha Ok Nossa ado é complicado nosso Parque aqui tem mais de 2.000 máquinas é paciência trabalhar com segurança informação é complicado basta uma máquina sem a senha você tá em todo o seu Parque comprometido treinamento conscientização

sobre segurança tá curtindo esse curso Aqui passa isso pra equipe pros seus funcionários tá extremamente importante software de antivírus atualizado ó software de antivírus instalado e atualizado Ok Isso é são exemplos de medidas que a gente faz para minimizar os nossos riscos Ok Minimizar os danos evitar que um incidente aconteça e se acontecer outras medidas devem ser tomadas então medidas é o sinônimo aqui que a gente tá falando em segurança de Formação Ok continuando ainda sobre análise de risco AD queria entender um pouquinho mais na prática Como funciona essa análise de risco Então você tá

aprendendo tudo aqui você quer terminar a aula já começar a fazer uma análise de risco na sua empresa então saiba que a análise de risco é o processo que define e Analisa os perigos da sua empresa que ajuda você adquirir uma visão compreender os riscos da tua empresa não só os riscos da ti porque é muito fácil você olhar pra ti e falar Ah isso aqui tem um risco de eu perder informação Ah tem um risco não sei o qu mas a gente esquece que a a gente não tem que só lidar com os riscos

da da informação digital Mas aquela informação que é dita que é falada impressa que está na cabeça do ser humano Então a gente tem que imaginar falar ó a gente tem aqui vários controles várias medidas Mas se a gente tem um funcionário fraco por exemplo no call center que passa informação confidencial porque ele não segue uma política ele não tem conscientização nada adiantou o teu fao que você gastou milhões botou lá um monte de cabeamento novo egido contra não sei o qu contra incêndio inundação um data center maravilhoso tudo protegido não adianta nada tem que

tratar tudo é um trabalho árduo Ok a anál de risco fornece a base para tomar decisão de como lidar o risco lidar com o risco a gente para lidar com o risco a gente tem que fazer primeiro ter a base né identificar o que que a gente quer proteger e principalmente o custo né muitas vezes não vale a pena muitas vezes a cultura da nossa empresa é de aceitar o risco ten muitos profissionais de segurança que sai de uma empresa que tem uma cultura e vai para outra e ele fica bravo ele fica chateado que

todo mundo tá nem aí com o risco de repente é a cultura da empresa OK que mais vai incluir então a estimativa do Risco Qual é a chance qual é a probabilidade estimar Ok relatórios antigos relatórios de análise de riscos podem ser usados para alinhar os objetivos da tecnologia com os negócios lembrando que quando a gente fala de gerência Gero de risco a gente tá falando de gerenciamento de risco de negócio né vai até o negócio identifica quais são os riscos Qual que é o impacto se ati parar para ele tá não fica só dentro

de casa você tem que sair você tem que ir pras áreas de negócio então tem que est muito a