Unknown

[Música] parece que se sente cheiro de dados de longe sabe quem segurança tô fraco aí começo ele mete escanear e pergunto será que vai bugar sabe usar Xbox [Música] Ai que mora o perigo não é vindo até com isso aqui mas outra coisa que nunca dá tempo não tem Band não fique rico quem eu vi foi para quem vai tá valendo Ai que moro perigoso assim mas não tá corrigido é que nunca [Música] [Aplausos] [Música] só que montei uma equipe espeta aí quando nos cantos aperta ele morria certa você sabe que eu sou capaz o

que uma Piper não faz aqui não tem mais perigo eu já tô protegido eu estudei as consequências corrigir o código [Música] eu já tô protegendo eu estudei as consequências corrigir o código e aqui vale a pena [Música] Olá boa noite boa noite que prazer imenso estar aqui com vocês e mais uma live tá eu sou o Cláudio Dote professor no idesp sócio de prático linda de prática nadarios consultoria e hoje tem uma honra de estar aqui acompanhado da Ana Moura falando aí de um tema hiper relevante tá Ana já já vou pedir para você se

apresentar para quem tá aqui nos acompanhando mas enquanto isso pessoal queria muito que vocês fossem comentando falem de onde vocês estão Quem vocês são o que que vocês fazem isso com certeza vai deixar nosso bate-papo aqui bem mais interativo bem mais interessante que essa é a ideia né nesse mundo hiper conectado manter as conexões humanas mesmo que seja aqui durante uma live Ana por favor se apresenta Fala aí um pouquinho para o pessoal dar o seu boa noite enquanto eles vão aí também se apresentando aqui no chat boa noite gente como é que vocês estão

muito obrigado vocês terem vindo fazer companhia pra gente hoje nessa noite Cláudio muito obrigada pela digníssima apresentação você é um cara que eu tenho como uma referência adoro te ouvir tô muito feliz você tá comigo hoje e quero que você saibam que a gente preparou um conteúdo especialíssimo para vocês então se conhece alguém que tem que saber de risco que tem que saber de Framework que precisa entrar na onda e esqueceu já Puxa um cafezinho liga manda o link fala Venha que tá começando agora ainda dá tempo porque a gente tem boas dicas e bom

conteúdo como sempre para passar para vocês dicas extremamente relevantes de um material que olha eu já dei uma olhadinha aqui não vou dar nenhum spoiler vou deixar a Ana falar para vocês mas eu posso dizer que tá super interessante Então boa noite a todos que estão nos acompanhando agora chegaram aqui os nomes Boa noite Wesley Soares Boa noite é o Eric Oliveira Marcos alemã de boa noite aqui a Tamires Pimenta Boa noite William Santiago alguns nomes que eu sempre vejo participando aqui das lives tá boa noite é o Fábio que é gerente de projetos olha

só que legal Boa noite é o Rodrigo lá do Rio Grande do Sul bacana a tua no time de resposta incidente Poxa me parece algo que que tem a ver né com o papo de hoje né pessoal de Curitiba e também sempre presente aqui nas nossas lives pessoal também olha o Eric a edição Sebastião do Paraíso tá falando lá do Paraíso Eric muito boa noite a todos vocês e hoje estamos aqui para falar de um dos principais não é um dos mais relevantes frame de segurança se não for mais relevante aí da da atualidade Claro

não é o único Mas é uma excelente opção e hoje vocês vão sair daqui entendendo porque que o nicho sabe se Framework é tão relevante quer dar uma palinha Ana falar mais um pouquinho aí sobre ele entrar no material quero eu já vi que que Rodrigo Moisés e que muita gente de gtsi turma que teve comigo essa semana já tá por aqui quero dar um boa noite especial para eles Adorei essa turma a gente teve uma aula de forense fantástica ontem inclusive falando muito com Leonardo a respeito de segurança e resiliência cibernética unist é uma

iniciativa do governo americano Vocês precisam conhecer para quem tá no cyber para quem tá no risco para quem tá na forense para quem tá no City para qualquer área do conhecimento da tecnologia que vocês estejam vai ter um link que liga vocês e que vai direcionar vocês para alguma determinada ação dentro do Framework essa pegada que é bem interessante né Por exemplo em projetos de consultoria o quando a gente acaba utilizando ali um tipo de framew Claro existem empresas que preferem freios mas sempre se sobressai aí o velho bom csf né no sentido de que

ele é extremamente relevante e adaptável para as organizações né você olha ali o nome sai desse kirit frame que acha que ele é limitado ali um tópico Pelo contrário né ele não tem uma abordagem digamos assim unicamente técnica não é ele também olha ali para pausas mais elevadas então por exemplo a gente consegue utilizar ele para começar ali um fazer um belo de um diagnóstico de como é que está sendo tratado o tema se persegue segurança dentro da organização e ele vai ali é não vou dar spoiler sabe Gente vou deixar a Ana falar aí

mas ele vai trazer para vocês ali uma visão de turidade com ações é bem digamos assim bem palpáveis que você pode tomar para melhorar ali a fibra de segurança da tua organização como um todo não é Eu acho que o mais fascinante que você falou aí que do neste é que ele não pega a organização de qualquer ponto para definir onde ela quer chegar ele força uma análise é uma foto atual para que ela se conheça aí me vem em Sócrates né conhece a ti mesmo para você conseguir entender para que que você veio o

que que você é se organização não consegue entender quem ela é no mercado que estão falando dela e o que ela representa para os concorrentes e para os amigos ela não tem contração um caminho até o objetivo que ela precisa alcançar então a resiliência cibernética a maturidade cibernética ela vai ser decorrente de uma caminhada não é do dia para noite também não é fácil ninguém vai dizer isso aqui mas é alguma coisa que hoje a gente não pode abrir mão não tem como viver sem um segurança da informação para você conseguir respirar manipulando o dado

no mercado e principalmente em ambiente virtual em ambientes é uma questão aí praticamente de uma sei lá de uma seleção natural digital né hoje quando você pega ali um agente de ameaça um atacante mesmo poxa menos que ele esteja muito interessado especificamente em algo que você tem geralmente ele vai buscar invadir ali o alvo que é mais fácil ele não quer perder tempo não é Então na hora que você aumenta a sua maturidade que você consegue lidar melhor com esse tipo de fibrar ameaça fica bem menos provável né de acontecer aí algum incidente mas Severo

no teu ambiente É exatamente esse tipo de propósito né que o nish vai poder ajudar ali a tua organização justamente por ele ser muito flexível também ele pode ser aí adaptado a necessidade específicas a Ana mencionou né quando você entende ali o teu contexto entende o que que você faz Fica muito melhor de definir um objetivo Claro não é Ana é tão é tão bem definido isso no Framework e ele começa isso tão da base que não tem nenhuma organização que possa olhar para ele e falar isso não é para mim eu não posso começar

com ele ele foi tão bem estruturado tão bem desenhado que qualquer organização pode pegar o nicho se já tiver 27 mil e um ou não e começar um estudo cibernético da sua empresa a partir dele e vocês vão perceber e vão se surpreender que tem muito mais coisa do que a gente imagina e não são só ambientes digitalizados ou digitais que a gente vai visitar a gente vai visitar Todo o espaço da empresa porque acaba convergindo para o ambiente cibernético e comprometendo a empresa se ela não tomar esse cuidado então eu tenho certeza que hoje

vocês vão ficar muito gratos em conhecer o nish Cyber scare Framework não será pela mão do Cláudio hoje será pela minha porque a dele já foi a semana passada esses dias aqui entendeu vocês parem de ser mimados e fiquem comigo um pouquinho tá bom perfeito pessoal anda antes de te liberar Vou só pegar esse gancho do que você falou né é interessante quando a gente olha esse conjunto de frames né porque recentemente tive alguns pedidos assimilares né de clientes que o pessoal falava Olha tô em dúvida O que que eu uso 27001 e xssff esses

controls e acaba que assim a gente precisa explicar que não precisa ser um ou o outro você pode usar um e o outro em conjunto tá não essas normas esses frameworks não conflitam muitas vezes eles apresentam ali uma visão em parte é complementar mas é às vezes só uma visão diferente de esse tema e o que eu gosto do CSS é justamente essa pegada que ele tem de ser mais direcionado ali ação né de ser mais prático flexível adaptável não é eu sou muito fã pessoalmente da 27001 mas reconheço que nesse ponto csf muitas organizações

preferem partir por aí Ana vou te deixar aí seguir aí com o conteúdo vou ficar aqui nos Bastidores acompanhando atentamente pescas colegas também faço isso por favor Ainda dá tempo de convidar algum colega seu também que ainda não chegou aqui repliquem o link a ideia a gente levar esse tipo de conteúdo para maioria das pessoas que foram interessadas Ana ótima apresentação para você tô aqui te acompanhando também Muito que bem agora somos nós e Cláudio aqui nos Bastidores que eu sei que não me deixa jamais em tempo algum e eu quero começar dando um grande

abraço almerame Isaac que já está conosco aqui já tô vendo e toda a Rapaziada do idesp os alunos principalmente da turma de forense 25 26 que eu tô vendo por aqui também da turma de gtsi que teve essa semana e de um pessoal James Bond já está falando se a gente vai falar desse pessoal todo aqui calma Estamos chegando agora e depois eu queria pedir para vocês deixarem aí o Estado De onde vocês são geralmente vocês começam falando de onde lembrança quem tem idade para isso vai lembrar do Diga seu nome e a cidade de

onde está falando mas quem não fez ligação a cobrar para telespe com ficha telefônica talvez não se lembre dessa frase Manda aí o estado para a gente saber o que que de repente tem de mais interessante para vocês quem são as referências dos Estados onde vocês estão para a gente interagir no grupo do WhatsApp que tem material para vocês lá a gente já separou algumas coisas legais para vocês saírem daqui sabendo ao final e se vocês tiverem dúvida e quiserem fazendo perguntas mandem aí nos comentários e depois lá no final a gente responde para vocês

tudo bem podemos começar agora quem já tinha que chegar chegou beijo para todo mundo nossa tem Recife tem Rio de Janeiro tem minas que legal Contagem Thiago e assim vamos Tá bom eu vou correr porque senão aqui em São Paulo dizem que quem fala demais Fala mais que a mulher do leite é meu caso Então se vocês não me interromperem não caírem meu sinal Passo das 11 aqui com todo mundo para o pessoal enlouquecer comigo hoje tô proibida de passar do horário então a gente vai fazer o que a gente vai fazer um conteúdo dinâmico

rápido aplicado para vocês terem uma ideia do que é o nist Cyber Seek E para isso a gente começa falando da razão que originou o nistisse era uma vez um presidente Obama que cria uma ordem executiva 13636 um documento americano que diz o seguinte é hora da gente se preocupar com resiliência cibernética é hora da gente se preocupar principalmente com infraestrutura crítica E aí a gente começa a entender a preocupação do governo americano e a gente vai ver também ao longo da apresentação vocês vão perceber que o governo americano lança a mão das Ferramentas que

ele já tem e isso é muito interessante para a gente pegar como cultura Às vezes a gente vai buscar novidade em outro lugar conhecimento em outro lugar profissional em outro lugar e a gente não consegue perceber que dentro da organização ali perto do nosso lado tem alguém que pode ajudar e a gente não tá atento para isso a gente não consegue perceber então aqui vocês podem acompanhar comigo neste tá lá em cima como uma das quatro um dos quatro viés que o governo americano usa para responder a ordem 636 e ela faz e ele faz

isso puxando já pelo nist lá em cima o que é o nist o nicho é um instituto é o National institutos ele determina padrões de ação para o governo americano e para a Organizações de mais organizações em alguns casos lá nos Estados Unidos o que o nish publica força de lei tem que cumprir em alguns casos principalmente para quem está fora dos Estados Unidos não tem a mesma força mas tem um detalhe se a gente quiser conversar com os americanos a gente tem que falar o idioma deles e tem que estar com plainte como que

tá no list isso é importante porque hoje para fazer negócio com os americanos é muito simples muito fácil muito rápido com a globalização com a internet e posso pandêmica Principalmente quando as relações estreitaram ficou fácil fazer essas interações internacionais principalmente Então a gente tem que estar alinhado com o que diz os nossos os nossos parceiros de negócio a gente não pode falar eu quero assim é do meu jeito e ponto não é assim que funciona e vocês vão ver que infraestrutura crítica ela é um dos quatro pontos abordados E se eu tenho uma preocupação com

infraestrutura crítica e eu estou manobrando esse cenário ombreado por outras pessoas outras organizações de outros países eu vou querer que eles estejam alinhados comigo e aí ele mostra que o terceiro também é meu então quando eu tô definindo política para mim organização e eu tenho terceiros ligados a essa política eu tenho que trazer o meu terceiro junto comigo é isso que o governo americano faz ele estabelece as normas internas os padrões internos e fala assim atenção pessoal para interagir com a gente aqui e vocês vão se lembrar de um ataque muito conhecido que é o

play tem eu não ataco lá mas eu ataco quem tem contato lá e aí eu dou uma volta é esse é o movimento que a gente tem que bloquear por conta da força do negócio o Rabelo tá aqui eu já vou parar tudo para mandar um abraço para ele um beijo vamos lá continuando no contexto do governo americano preocupado com os negócios e preocupado com a sobrevida cibernética no momento do incidente ele não pode se preocupar só com o que tá nele ele tem que se preocupar com o que tá o round o que tá

ao redor Ele precisa disso porque senão ele não cria um escudo que faça com que os resultados dele reverberem produzam grandes efeitos ele não consegue então para isso ele cria o cinza que é uma agência que controla e que regula essas ações dentro do ambiente americano de negócio e dentro do cisão física que estabelece padrões para que essas agências estejam sempre com foco na infraestrutura e na proteção do ambiente de negócio então vocês vão ver lá no final quando eu deixo um QR Code um link para vocês acessarem eu fizma que ele faz perguntas pontuais

para o ambiente ele ele provoca e principalmente se ele está no ambiente de negócio de governo nesse caso ele tem que abastecer o governo com uma cultura daquilo que ele quer de volta o que que nós estamos fazendo com este nada mais além disso se a gente quer que o nosso colaborador seja uma pessoa segura dentro da empresa a gente tem que se preocupar com o colaborador fora da empresa também se ele for seguro em casa ele vai ser seguro dentro da empresa se ele tiver um ambiente cibernético seguro dentro do contexto dele ele vai

fazer com que a empresa tenha o mesmo comportamento e a mesma linha de ação tem que mudar a cultura já foi dito que a cultura janta a estratégia no café da manhã vocês sabem disso e aí a gente pensa assim ah não vamos conseguir mudar cultura porque é muito difícil porque não sei quê Porque Quer complicar eu não tô aqui para falar que é fácil muito pelo contrário tô aqui falar que é bem boa é braba mas a gente tem como fazer isso com os elementos que a gente dispõe no momento a gente não precisa

comprar ferramental Claro se a gente não sabe exatamente o que está acontecendo dentro da empresa Então vamos parar Qual é o convite do nítido para respira e percebe o que que tá acontecendo dentro do seu ambiente fica atento escuta né Não dá para você andar por uma empresa hoje e a empresa não ter aquela famosa caixa de sugestões onde o funcionário colocava ali uma dica um toque uma necessidade né aí que que aconteceu a caixa de sugestão era muito ostensiva ficava no meio do café ficava todo mundo meio retraído ninguém interagia com a caixa aí

o que que começou a acontecer Vamos colocar essa caixa dentro do banheiro dentro do box porque aí quando ele tiver sozinho ele interage com a caixa e quando a gente muda as coisas de lugar muda as coisas de jeito muda o caminho e muda o acesso e trabalha nisso continuamente a gente acaba acreditando porque acontece uma mudança comportamental e a gente fica sabendo do que acontece dentro da empresa Resumindo a fofoca tem que vir para o papel a gente tem que saber o que acontece dentro da empresa para poder gerenciar porque quem não controla quem

não sabe o que tem não consegue controlar não consegue ter domínio vocês estão vendo aí uma notícia foi notícia dessa semana tentaram invadir um telescópio que bloqueou operações tanto lá quanto no Chile onde ele tinha um outro telescópio tinha uma outra operação teve que parar porque porque ninguém tava esperando entre outras coisas e quando a gente não espera fica mais difícil porque a gente não tem plano de ação quem poderia prever uma pandemia a gente não previu como é que a gente combateu com a cultura de arena foi todo mundo jogado na arena para resolver

e aí a gente começou a se virar mas como é que a gente podia calcular que seria tudo isso a gente não teria como uma coisa importante Depois tem o QR Code aqui dessa notícia se vocês quiserem ver é que a gente tem desafios inclusive apoiado nos frameworks os frameworks eles não são garantia de que nós seremos salvos no fim do dia mas eles são a base que a gente precisa para conseguir começar a construir uma política de segurança cibernética principalmente do ponto de vista cibernético e ter dentro dessa política sucesso retorno justamente porque se

a gente não tiver interagindo com esse ambiente a gente não vai saber que ele existe e qual é o tipo de impacto que ele vai causar para o colaborador que é chão de fábrica ele pode se sentir completamente distante desse espaço distante desse ambiente e a gente vai precisar ir lá e resgatá-lo então qual é o desafio do nistisse o desafio dele é ele foi criado por uma série de especialistas baseado em uma série de frameworks que já existiam para se tornar um foi morto diferente focado no cibernético e na infraestrutura é para isso que

ele foi criado e foi criado por essas pessoas então o que que a gente já tem aqui a gente já tem um agrupamento de fui morto e vocês vão ver que a composição do nist faz referência a seis outros frameworks que são exatamente completamente interligados a ele depois disso vocês vão ver que em alguns casos ele é imposição do governo americano para defesa cibernética Americana então nos adequar e para os americanos também estar adequado à Norma foi um desafio a defesa cibernética é Um Desafio sempre sempre E para isso a gente vai perceber que a

gente não tá sozinho nessa guerra vocês vão precisar envolver a colaboração de todas as pessoas da empresa para que isso dê certo se não o nosso próprio colaborador vira alguém que tem que ser vencido alguém que tem que ser inibido Nas questões da segurança cibernética percebem isso conseguem tô conseguindo deixar isso claro depois a gente tem a resiliência cibernética se eu tomo um ataque quanto tempo eu consigo segurar quanto tempo eu consigo deter quanto tempo eu consigo bloquear e em quanto tempo eu volto para o meu estado de operação normal e com quem eu consigo

conversar a respeito disso percebe a diplomacia cibernética alguma coisa extremamente importante porque a diplomacia cibernética vai fazer com que a gente consiga interagir ciberneticamente com outros órgãos outros países outras pessoas isso é muito importante extremamente importante e quando eu falo de diplomacia cibernética que eu tô falando de compartilhamento de informação se eu não converso se eu não troco ideia se eu não consigo me entender com outras pessoas como é que eu vou saber o que tá acontecendo lá fora conseguem perceber isso consegue visualizar isso no nosso dia a dia então muito bem o Nice não

sai do escopo básico dos frameworks que a gente conhece geralmente E aí a gente tem aqui uma pequena linha de tempo que eu coloquei para vocês né de onde a gente tá falando para onde a gente tá indo em que ponto a gente tá em julho de 2013 a gente teve a primeira versão a versão preliminar em fevereiro de 2014 ela foi divulgada oficialmente e daí para frente ela vem sendo atualizada então a gente já tem aí bons anos de operação do nist aqui você tem recuperar e identificar proteger e detectar e responder é uma

sequência que faz todo sentido quando a gente fala de análise de risco porque o primeiro passo do nicho é a análise do Risco como é que eu faço uma análise de risco cibernético como é que eu tenho como é que eu organizo a minha análise de risco cidadético e aí entre a história do conhecimento eu tenho que saber como eu sou o que que eu tenho o que que é o meu ativo como ele se comporta no mercado como a minha empresa se comporta no mercado e como é que eu vou fazer para calcular o

quanto isso pesa é Impacto e probabilidade isso é importante para mim eu preciso saber fazer esse cálculo quando a gente tá em análise de risco a gente está aprendendo a conhecer os nossos problemas aquilo que a gente tem que resolver tudo bem ótimo então eu tenho um risco parcial que tá ruim a situação eu tenho um risco informado repetível e adaptado quando eu tô no nível 4 de rico adaptado Eu tô bem eu já tô Maduro e como é que a gente entende que uma empresa uma organização tá madura Nas questões cibernéticas quando ela usa

as questões cibernéticas para a tomada de decisão então eu vou gerir eu vou dirigir o meu negócio de acordo com os meus riscos cibernéticos tá certo aí tem maturidade nisso a gente tem dois dois comandos duas linhas que é o risco humano e o tecnológico a gente tem que levar os dois em consideração junto com isso a gente não pode deixar para trás o terceiro a estratégia de comunicação que eu vou usar e o meu Benchmark o que que é importante é a gente saber que o terceiro é nosso que a gente tem que envolver

o terceiro nas nossas comunicações que a gente tem que saber se comunicar com ele e deixar que ele entenda Qual a nossa estratégia Qual o nosso projeto e qual a nossa intenção dentro do projeto e o benchmark eu preciso estar em contato com outras empresas do meu setor para saber o que tá acontecendo com eles porque porque o ataque é uma organização pode ser a minha defesa amanhã conseguem analisar esse esse Flow vamos dizer assim a gente tem A equipe que trabalha dentro da empresa que precisa dominar os recursos tecnológicos e não só eles mas

deles para fora eu preciso ter uma estratégia de comunicação para que todas as pessoas que Conversem comigo Conversem no meu da minha linha de ação senão isso vai fugir do meu controle vai acabar que dentro vai funcionar mas quando isso começa a interagir não dá mais certo tudo bem Vocês estão conseguindo entender aqui eu coloquei o exemplo da covid e também a questão do risco reputacional a gente tem vários riscos para analisar a gente tem risco financeiro a gente tem risco operacional tem o risco do lincol a gente tem vários riscos para analisar mas especificamente

aqui como a gente tá falando do cibernético a gente precisa tomar determinadas cautelas que são naturalmente extensivas a outras áreas percebem muito bom ele é dividido só um minutinho aqui já dividido em funções categorias e subcategorias então o que que acontece aqui quando a gente tem cinco funções 23 categorias e 108 subcategorias Ok eu tenho aqui o arquitetura que eu tenho que seguir necessariamente inteira toda ela não não necessariamente inteira eu tenho essas categorias essa subcategorias e Essas funções e eu posso aplicar de uma maneira que me deixe mais confortável e que faça com que

eu aplique isso dentro da minha organização de um modo mais eficaz e mais convergente com o meu negócio o que que eu consigo mostrar para vocês aqui que não é um perfil que vem pré-definido alinhado para todas as empresas igualmente aqui eu tenho mudanças que eu posso fazer de acordo com ofraing que podem me levar aos resultados que eu quero de uma maneira mais eficaz e ainda personalizada para dentro da minha empresa isso vai me fazer ter sucesso nas operações então eu tenho as minhas funções e dentro de identificação que é a gestão de ativos

eu tenho inventário por exemplo então quando o nish fala assim todos os inventários da sua todas as dispositivos da sua empresa estão inventados você sabe o que você tem Ele tá dizendo para empresa você precisa controlar os seus dispositivos e agora eu vou fazer uma comparação muito simples que eu costumo fazer nas aulas do nicho para o pessoal do site e que funciona muito bem porque o pessoal acaba entendendo que não tem esse tipo de controle e o que que é como é que funciona isso funciona assim se de dentro da sua casa hoje desaparecer

algum dispositivo você vai saber o número de série e o número do IMEI dele para fazer um registro de boletim de ocorrência e dizer ó Entrar na minha casa e me levaram um determinado dispositivo e o meu dispositivo tem esse número de séries vão conseguir fazer isso quem tem o controle de todos os números de série e todos os números de e-mail dos telefones e dos dispositivos que tem dentro de casa todo mundo tem Então qual é o convite que o nish faz Venha para o chão controle o que tem dentro da sua empresa tudo

bem aí eu vou ver o meu inventário quem faz o inventário de computadores é o pessoal do help test Quem faz o inventário de servidores é o pessoal de Outra área da tecnologia Quem faz o inventário de é o pessoal de Outra área da tecnologia então eu tenho uma empresa três inventários controlados por três áreas como eu vou saber qual dispositivo foi atacado se eu tenho três núcleos de controle do meu inventário diferentes operando dentro da empresa isso vai me facilitar ou me dificultar a vida se isso vai me dificultar a vida então eu tenho

que mudar eu tenho que fazer diferente e o que ele faz ele começa a te perguntar ele começa a te provocar e a empresa tendo que responder essas perguntas ela vai mergulhando um pouco mais fundo e vai conhecendo a estrutura dela e o que ela tem que melhorar não fica só nisso na identificação na proteção na detecção na resposta e na recuperação você tem várias outras funções várias outras categorias e subcategorias que você vai ter que dar atendimento você vai ter que responder e como é que você vai fazer isso quando a gente fala de

proteção a gente fala de controle de acesso e de detecção que eu acho que é uma das mais importantes mas quando a gente vê o nicho não tem mais ou menos importante tem aquilo que mais com a duna com a sua necessidade então se eu tô completamente madura na questão do inventário se já tem um único lugar fazendo inventário de tudo se eu já tô completamente consolidada nessa questão por que que eu vou usar um nicho para me orientar em termos de inventário eu não preciso mais então eu baio passo e vou para o meu

ambiente de negócio que não tá bom para minha governança que não tá boa e para mim avaliação de risco e aí eu vou começar a contabilizar as minhas avaliações de um jeito diferente para que eu possa dar atendimento em pontos em que eu estou fragilizado vulnerável percebem que tem uma uma mudança aí então não é que ele não serve para determinadas empresas é que em um determinado momento se eu tô com a minha casa toda em ordem se tudo tá inventado E se eu consigo responder a todas as perguntas eu não preciso colocar 100% da

minha energia no meu inventário de ativos eu coloco em outro movimento vocês percebem isso tudo bem até aqui então vamos para frente o nicho tem seis referências são seis diferentes que eu posso usar de referência para ligar todos os as minhas perguntas as minhas categorias e subcategorias e fazer um relacionamento entre eles então se eu tenho a 27001 que é toda baseada em segurança em análise de risco eu posso fazer uma ligação quando eu faço análise de risco pelo nist usando a ISO o siss ele é um controle absolutamente focado em tecnologia eu posso usar

o X para fazer o meu inventário de Cláudio meu inventário de e-mail o meu inventário inteiro de tecnologia para saber quantas contas eu tenho para fazer todo o meu levantamento e com isso eu faço uma referência então reparem que ele estabelece as suas referências e eu posso lançar mão delas sempre que eu precisar Então vamos resumir aqui quais são as funções e as principais palavras eu separei palavras interessantes para vocês identificarem junto com cada uma das funções se eu tenho identificar identificar significa fazer um levantamento conhecer a minha organização saber o que eu tenho e

eu que eu não tenho e que eu posso ajustar isso é identificar eu preciso saber o que eu com o que eu estou lidando se não eu não tenho noção daquilo que eu tenho que controlar e a gestão tem um papel muito importante nisso Porque neste momento a gestão precisa ouvir as pessoas se ela não ouve as pessoas fica bastante complicado tá E aqui quando a gente vai fazer levantamento Quem faz o inventário tá atualizado não tá aqui informação eu preciso ter no momento do ataque Quais os números que eu preciso ter no momento do

ataque eu preciso saber o que eu preciso levantar quente conversar com quem quem tem que ser acionado vou acionar a equipe inteira acionou uma pessoa duas como é que eu faço quando a gente fala de proteção a gente precisa ter em mente que o nosso ambiente precisa estar protegido com que que ferramenta eu tenho que ferramenta eu estou usando e mais do que isso o meu capital humano está sendo treinado para estar protegido então eu coloco lá embaixo o treinamento e já coloco um monte de Ó ali que é para a gente não esquecer eu

faço um teste da minha resiliência comigo mesmo eu tenho uma parceira eu tenho uma empresa que faz Open teste da minha empresa não fico eu me testando mas eu peço para que outra faça os testes eu peço para que outra empresa venha me visitar e vem a tentar vai passar as minhas proteções eu faço isso quando eu faço isso pessoal eu estou indo definitivamente ao encontro dos meus desafios eu não tô me furtando a saber quais são as minhas fraquezas percebem que definitivamente quem procura acha e a gente precisa procurar e achar a gente necessariamente

precisa estar disposto a saber quais são as nossas fragilidades que senão a gente se acomoda e acaba pensando que tá tudo bem que nem o pessoal telescópio não tá a gente tá sempre na mira de alguém Sempre tem alguém interessado no negócio da empresa Sempre tem alguém interessado na organização e a gente tem que agir e pensar dessa forma porque senão a gente pode ser surpreendido então o que que acontece aqui a proteção tá diretamente ligada ao capital humano cada colaborador da empresa tem que ser um defensor da empresa é que nem a cultura do

compliance todo mundo tem fiscalizar não pode ser só um setor que fiscaliza a empresa inteira todo mundo tem que ser um agente fiscalizador se todo mundo foram a gente fiscalizador fica muito mais fácil administrar se todo colaborador tiver noção de segurança a empresa vai estar bloqueada ela vai estar mais segura e nesse momento quando a gente detecta o que acontece quando a gente escuta e tá tento E aí a atenção é monitoramento eu tenho que estar de olho na minha empresa eu tenho que estar percebendo o que acontece eu vou fazer por exemplo uma equipe

de sitiai eu vou criar uma equipe de sitiai para fazer monitoramento de internet eu vou participar de grupos eu vou conseguir confiança de integrantes de grupos como eu vou fazer para saber o que estão falando da minha empresa na Deep web por exemplo eu vou fazer qualquer tipo de interação nesses ambientes eu tô como é que eu vou operacionalizar isso dentro da empresa como é que eu vou fazer essa informação chegar até mim com que equipe eu vou fazer isso qual vai ser o meio que eu vou utilizar Quais são as pessoas eu tenho que

ter a pessoa certa para a função certa porque senão a gente pode ter um problema lá na frente tô falando de perfil Às vezes a gente pega um colaborador que não tem nada a ver com tem teste por exemplo põe para fazer Pinterest não vai dar certo a gente tem alguém que é super bacana para fazer infiltração web mas de repente não dá certo então a gente precisa escolher os perfis certos para fazer esse monitoramento tanto no risco cibernético do possível ataque quanto na defesa cibernética e no monitoramento do que se fala da empresa em

vários ambientes tá monitoramento é extremamente importante quando eu respondo eu faço a contenção o plano de resposta de incidente que eu tenho tá documentado e foi testado Se hoje eu perco um colaborador chave e amanhã vem outro esse outro continua de onde eu parei quanto tempo ele vai demorar para engrenar na equipe quanto eu preciso investir nele não tô falando de humor gente tô falando de treino quanto tempo ele demora para crescer para tá pronto para a função eu tenho isso planejado tenho isso no papel eu já testei as minhas respostas Eu Já criei um

ambiente por exemplo para colocar a minha equipe debaixo de ataque para saber se na hora da expectativa da pressão e das dificuldades eles vão conseguir agir conforme o combinado Como estão as pessoas quando elas estão debaixo de situações desconfortantes como é que a gente resolve isso percebem então a resposta ela tem um único objetivo voltar em menor tempo e trazer de volta ao dado o mais íntegro possível o mais inteiro possível com mais confiável possível lembra da confiabilidade lembra da redução da perda quando eu recupero eu reduzo perda quando eu volto a operar eu ponho

tudo funcionando de novo isso para mim é determinante porque vai depender do tipo de estratégia que eu tenho para voltar quando eu volto em quanto tempo o ponto de ataque localizo eu consigo lançar mão do meu backup eu consigo quando eu trago o dado de volta ele tá confiável ele tá íntegro ele tá disponível lembra disso da Tríade quando eu falo de perfil gente no final quando a gente tem o nicho aplicado e de acordo com o que manda a minha empresa de acordo com o que minha empresa precisa quando eu falo disso eu não

tô falando de uma obrigação mas de uma adaptação de boa prática então eu consigo trazer para empresa aquilo que é melhor para ela e com uma certa Liberdade entre as funções que eu tô operando dentro do ambiente internet então aqui ó eu vi que alguém já fez um comentário sobre o fisma eu separei para vocês um QR code para vocês chegarem direto no documento que eu citei que é o fy23 aqui no FIFA quando ele faz a pergunta ele ele cita assim o que que os o que que os usuários.gov Precisam fazer né e eu

fiz uma vem com a documentação e fala a gente sugere que vocês usem softwares que façam a gerência da senhas e que a senhas sejam longas e complexas E que sejam usadas exclusivamente no ambiente então o que que o governo americano tá falando quando ele solta uma documentação dessa Ele tá dizendo assim ó quando você for entrar no ambiente cibernético.gov use senhas aqui que você não vai usar para fazer compra no ebay para fazer cadastro na New York Times e etc você não vai usar fora do ambiente você vai ficar só dentro do ambiente se

o governo faz um documento e orienta isso para os seus usuários ele quer esse retorno de volta e ele pode cobrar Porque ele pediu Quando você vai para o misti e quer ter acesso ao conteúdo do Framework você vai encontrar todo o suporte que você precisa lá eu deixei aqui um QR Code separado para vocês que fala do que tá aberto né no site direto do Framework onde vocês vão conseguir encontrar e eu já separei de propósito a entrada do site que fala assim eles já estão esperando o Elise próximo release para para comentário que

é a versão 2.0 eles abrem para comentário então a gente já tem aí algumas notícias vindo sobre comentários a gente pode opinar pode contribuir pode colaborar aí vocês vão dizer assim pô mas qual o próximo passo para a gente dar e cuidar da resiliência cibernética da empresa O que que a gente pode fazer para ajudar tem muita coisa que dá para fazer mas o foco de qualquer Framework e de qualquer ação de segurança é sempre nas pessoas antes das empresas porque o risco que vem das pessoas desconhecerem uma cultura adequada é bem maior tá então

o que que a gente recomenda o do que que a gente viu da nossa experiência que deu mais certo quando a gente investe em treinamento quando a gente percebe as pessoas e atende a necessidade das pessoas as coisas funcionam bem melhor então qual seria o nosso próximo passo e aqui vai ficar minha dica para vocês a gente tem um curso totalmente desenhado para o nisti para vários tipos de negócio e que conta com um conteúdo teórico que é não muito atingido atacado pelo curso a gente vai para um conteúdo mais prático e a gente aplica

o Framework para um estudo de caso para a condição real da empresa Então o que acontece Vocês estarão comigo por 16 horas tendo que aguentar essa voz de radialista que eu não tenho é online e ao vivo com certificado e agora com desconto aproveitem porque não dura muito a Fatinha me contou que é só 10 dias de desconto para a gente se acabar de se divertir fazendo aplicação do eu tenho certeza que vocês vão sair com outra ideia de aplicação de Framework desse treinamento Ele é super rápido ele é super simples e eu tenho certeza

que eles vão adorar Cláudio pode dar opinião dele eu tenho certeza que ele vai concordar comigo você não concordar Concordo eu concordo tá gente mesmo sem ameaça eu concordo tá brincadeira dessa parte a gente sabe que isso é um conteúdo extremamente prático né se você está pensando por exemplo em melhorar silêncio cibernética da tua organização ou até mesmo atuar prestando serviços na área enfim é uma forma de ampliar o teu leque né de avançar aí na tua carreira o csf ele tem uma abordagem aí extremamente pragmática então caber você também dá um passo aí pragmático

e aproveitar essa ótima oportunidade tenho certeza que vão ser 16 horas aí muito ricas e olha com esse desconto válido aí só para os próximos dias né 40% de desconto acho que não dá para ninguém tá perdendo isso tá pessoal então aproveitem aí e acompanhe com a grande namoro aqui fez a excelente a apresentação aproveita aí para ampliar o conhecimento e participar dessa visão bem prática aí do nicho sai desse Framework o pessoal aqui do time de apoio tá me sinalizando perguntando se temos perguntas Será que estão colocando vai no chat Olha só Ana para

você aí são nova na área de segurança de informação e minha chefe falou para estudar o nist Por onde começa tão perdida pergunta da Sueli se ele começa fazendo o curso Sueli Aproveita que menina aí por favor e é suado é difícil suado que nem eu tô agora porque eu tô num calor aqui de morrer mas tudo bem eu tô Resistindo é difícil quando você não tem alguém para traduzir para mim usar para te dar o toque do que que é melhor em qual hora e de que jeito fazer quando a gente começa pela mão

de alguém que já ralou já apanhou e agora já tá com a carcaça mais mais grossa fica mais interessante porque já vem o conteúdo já vem mais amigável então é claro que você tem opção de desbravar essa Seara sozinha e vai conseguir com certeza mas quando você vem pela mão de alguém que já apanhou e já já tem tudo mais ou menos no jeito fica bem mais fácil fica mais amigável e a gente não fica com ódio né de não ter entendido nada e aí a hora que alguém vem explica você fala era isso e

eu não consegui enxergar Então dentro do frameword você vai encontrar vários caminhos que de repente você vai abordar e vai falar Putz que legal isso aqui por exemplo quando você faz comunicações unist traz para você estratégia de comunicação se eu vou falar com Cláudio que é um homem de pleno conhecimento Nas questões de risco eu falo de um jeito você não fala com a minha mãe que é idosa e que usa telefone para as noções básicas para as necessidades básicas é outra maneira de conversar o Nice ele ensina que comunicação é assunto sério dentro da

empresa você tem que estabelecer estratégia só que tem jeito de falar com cada um com cada setor como cada maneira e tudo isso envolve um certo traquejo é por isso que é bom quando a gente treina com alguém conhece fica mais fácil tá então se eu fosse você eu aproveitava essa oportunidade que tá com desconto e tá muito barato responde isso ele acho que respondeu muito bem a pergunta eu vou só aproveitar para complementar não é meramente a questão do conteúdo do curso né Toda essa rica troca de experiência tanto com facilitador ali com instrutor

que tá no treinamento mas às vezes até com colega ali que tá acompanhando e Poxa tá passando pela mesma situação que você então é um investimento que realmente vale a pena você fazer é investir em conhecimento investir na sua carreira então muito boa a tua resposta temos aqui a pergunta do Marcelo curso serve como preparatório para certificação Ana por favor não ele não serve você tá falando de certificação qual 27 mil e outra Pois é essa quando fala de nicho sempre surge essa pergunta né Qual é a certificação ele não tem certificação então assim você

pode usar o nist para te dar uma base cibernética com foco na infra e com foco na resiliência cibernética para depois implementar ou agregar conhecimento para outra certificações aí ajuda Tá mas o nist mesmo não tem perfeito mas só falando aqui um pouquinho do curso tá pessoal cabe lembrar que Claro nem todo o curso é preparatório para certificação Mas você recebe ali Um certificado de participação no curso e olha a grande grande sacada aqui desse treinamento é a riqueza do conteúdo prático que você vai sair são ações que literalmente você aprende ali no treinamento e

de certa forma dá para colocar em prática dentro da tua organização Qualquer que seja ela legal pergunta do Rubens Qual o grau de conhecimento prévio que é necessário para o curso por favor Ana olha conhecimento para o curso você pode ter em análise de risco Você pode ter em defesa cibernética Você pode ter em tecnologia Você pode ter eu tô vendo aqui por exemplo na Live a gente tem alunos de city que eu vi o pessoal aqui comentando então para qualquer área da tecnologia que você tiver você vai conseguir se adaptar ao conteúdo do nist

porque porque o foco dele é segurança então não existe nada de requisito básico que você tem que ter para começar até porque a gente começa o nicho de um ponto de base dele então se você tem informação em tecnologia ou tá na área de tecnologia que é migrar para segurança ele é um começo muito interessante para você startar e depois descobrir qual é o viés que você vai querer abordar uma pergunta do Anderson Ribeiro seguindo a Opa cortaram teria possibilidade de uma proposta para realizar esse treinamento para os colaboradores da minha empresa de forma presencial

Olha a perguntinha capciosa né que que você acha né Eu adoro o presencial mas eu vou falar um negócio para vocês a gente fica até passado horário e aí não tem né no presencial não tem jeito ninguém me arranca da sala eu saio escoltada brincadeira tem sim mas aí não consigo te dar a previsão de agenda não consigo te dar nenhum tipo de dado melhor vou te encaminhar para Camila para Ju para Paola que elas é que são feras nisso elas vão conseguir te atender mas existe essa possibilidade se não tem problema perfeito gente então

só para reforçar atendemos também nessa modalidade claro que aí é precisamos de fazer um acerto entendeu o cenário da tua organização Anderson quantas pessoas participarem mas o nosso time tá tudo aqui acompanhando a Live então com certeza eles vão deixar aqui algum canal que você possa mandar mais informações aí para que a gente possa te orientar quanto a isso tá continuidade de negócios é abordado nesse curso perguntinha do Rubens é relevante para reverência eu continuo operando debaixo de ataque como é que eu traço uma estratégia para conseguir respirar enquanto estão fazendo a cirurgia no cardíaco

né porque na verdade é isso a gente tá operando o coração e o e o paciente está cantando ele tem que continuar ele não pode parar a continuidade do negócio é ricamente abordada no curso do nicho Mas o mais importante é você conseguir fazer isso sem matar a equipe toda entendeu sem tirar sem ficar louco e sem destruir a empresa sabe a Teoria da Terra devastada quando você sai de um ataque cibernético todo mundo demitido é isso que o nicho te ajuda a evitar é ficar todo mundo na empresa todo mundo apanhou as lições foram

apreendidas o negócio continua e lá no final a gente sai salvo Vivo e respirando né um ataque cibernético é só uma tipificação de um tipo de crise então a resiliência pela própria natureza Exatamente isso é tá preparado para enfrentar isso daí sem matar o amiguinho com a Ana falou garantido ali o trabalho de todo mundo e claro garantido aí a sobrevivência do negócio uma última perguntinha Antes aqui da gente encerrar telecomunicações também abrange essa área E aí tem Telecom aliás Telecom é uma área altamente crítica e com casos riquíssimos para a gente analisar a gente

fala disso no curso mas a gente não volta para uma área específica dentro do treinamento porque a gente tem financeiro a gente tem a gente tem nctores né eu tenho indústria automobilística tem indústria financeira tenho indústria tem o rural eu tenho um monte de negócio junto e todos eles estão debaixo do chapéu da tecnologia então a gente não aborda especificamente um ramo mas quando você for colocar as questões da Telecom junto com você vai conseguir entender que ele se adapta perfeitamente Essa foi a nossa última pergunta Ana muito obrigada aqui pela maravilhosa apresentação pessoal não

poderia deixar de dar aquele recadinho do YouTube se você ainda não se inscreveu no canal ainda não ativou o Sininho por favor faça isso nos ajuda bastante a trazer cada vez mais conteúdo relevante para vocês é isso faz parte da nossa missão então A ideia é essa juntar pessoas para falar de um tema tão relevante quanto esse ano muito obrigado aí pela apresentação até a próxima Obrigada Cláudio um prazer para mim tá aqui com você o pessoal do idasp Camila Fatinha Paola todo mundo muito obrigada um beijo até a próxima e tudo de bom não

esqueçam de seguir o canal aqui dá o like E participar da nossa próxima live com certeza vai ajudar vocês a tocar o barco aí nos negócios tá bom Um grande beijo eu escolhi o débito porque eu gosto do conceito de lecionamento tem uma didática muito tranquila é bastante explicativo e é uma escola que eu já conheço há algum tempo porque eu já me formei em outras em outros cursos aqui ele possui uma consultoria e os professores está trazem exemplos de mercado de situações que ocorrem nos negócios e como Aquela informação acadêmica aquela base os fundamentos

como que elas poderiam auxiliar no dia a dia do profissional contato com os professores é muito facilitado você consegue contar com a qualquer hora né com o pessoal sempre muito solicito muito atencioso parece todas as nossas dúvidas os professores super didáticos também super atenciosos fazer o MBA possibilitou o acesso à informação diversa de mercado com profissionais de diversas áreas e professores altamente qualificados passar quase dois anos com com essa turma aqui interagindo no durante o curso [Música]