Curso CISSP - Certified Information Systems Security Professional

Segurança e Gerenciamento de Risco

• Princípios que regem a tríade confidencialidade, integridade, e disponibilidade.
• Governança da segurança – objetivo, meta, missão, papéis e responsabilidades, estratégias.
• Programa completo e efetivo de segurança – frameworks de controle, “due care”, “due diligence”.
• Conformidade – “GRC”, leis, regulamentos, privacidade.
• Aspectos legais globais e regulamentos – crime cibernético, propriedade intelectual, importação/exportação, fluxo de dados entre fronteiras, privacidade.
• Entendendo a ética profissional – programas éticos, falácias, “hacking” e “hacktivismo”.
• Desenvolvendo e implantando políticas de segurança.
• Requerimentos de BCP e DRP – escopo, BIA, exposição de ativos, RPO.
• Gerenciando a segurança pessoal – seleção do candidato, políticas de contratação e término, controles para terceirizados, privacidade.
• Conceitos de gerenciamento de risco – metodologias de avaliação, qualitativa, quantitativa, identificação de ameaças e vulnerabilidades, seleção de contramedidas, tipos de controles, ativos tangíveis e intangíveis, frameworks para gerenciamento de risco.
• Modelagem de ameaças – determinando potenciais ataques, tecnologias e processos para remediar ameaças.
• Práticas e estratégias em aquisições – hardware, software, serviços, governança de terceiros, segurança mínima, requerimentos de nível de serviço.
• Conscientização, treinamento, e educação em segurança – treinamento formal, atividades de conscientização, criando a cultura de segurança na empresa.

Segurança dos Ativos da Informação.

• Gerenciando os dados – política, papéis e responsabilidades, qualidade, documentação e organização.
• Padronização dos dados – controle do ciclo de vida, modelagem, manutenção da base de dados, auditoria dos dados, armazenagem e arquivamento.
• Longevidade e uso dos dados – segurança, acesso, compartilhamento, disseminação, publicação.
• Suporte aos ativos e classificação da informação.
• Gerenciamento dos ativos – licenciamento de software, ciclo de vida dos equipamentos. Proteção da privacidade.
• Garantir a retenção apropriada – mídias, hardware, política.
• Determinar os controles de segurança dos dados – dados em descanso, dados em trânsito, “baselines”.
• Padrões internacionais – “Cyber Security” e “Critical Infrasctructure Framework”.

Engenharia da Segurança.

• Uso dos princípios de projeto seguro no ciclo de vida da engenharia.
• Conceitos fundamentais de modelos de segurança – componentes, ESA, Zachman Framework, análise de requerimentos, documentando a arquitetura segura.
• Modelos de avaliação da segurança em sistemas de informação – modelos para avaliação de produtos.
• Capacidade de segurança dos sistemas de informação – mecanismos de controle de acesso, gerenciamento de memória.
• Vulnerabilidades das arquiteturas de segurança – “SPOF”, vulnerabilidade em “client-based” e “server-based”.
• Segurança em bases de dados – sistemas paralelos, distribuídos, criptográficos.
• Ameaças e vulnerabilidades em sistemas e software – baseados na web.
• Vulnerabilidades em sistemas móveis – riscos envolvendo computadores e trabalhadores remotos.
• Vulnerabilidades em sistemas embarcados e sistemas físicos cibernéticos – “Industrial Control Systems (ICS)”, “Supervisory Control and Data Acquisition (SCADA)”.
• Aplicação e uso da criptografia – origem, PKI, criação, distribuição e gerenciamento da chave, assinatura digital, gerenciamento de direitos digitais (DRM), não repúdio, funções “hash”, ataques.
• Considerações de projeto do site e das instalações – “security survey”.
• Planejamento do site – “Crime Prevention through Environmental Design (CPTED)”, janelas.
• Projeto e implantação de segurança nas instalações.
• Implantando e operando a segurança das instalações – sala das comunicações e sala dos servidores, área restrita e área de segurança, segurança em “data center”.

Comunicações e Segurança da Rede

• Projeto e arquitetura de uma rede segura – OSI, TCP/IP, redes IP, serviços de diretório.
• Implicações dos protocolos multicamada.
• Protocolos convergentes – VoIP, segurança em “wi-fi”, criptografia nas comunicações.
• Proteção dos componentes da rede – mídias de transmissão, segurança “end point”, controle de acesso à rede.
• Canais seguros de comunicação – voz, colaboração multimídia, acesso remoto, redes virtualizadas.
• Ataques à rede – a rede como canal de ataque, “bastion of defense”, técnicas de “scanning”, gerenciamento de eventos de segurança (SEM), ataques de fragmentação IP, Dos/DDoS, “spoofing”, “session highjack”.

Identidade e Gerenciamento de Acesso.

• Acesso físico e lógico aos ativos.
• Identificação e autenticação de pessoas e dispositivos – tecnologias de identificação, autenticação, e autorização.
• Implantando gerenciamento de identidade – gerenciamento de senhas, contas, perfis, diretórios, autenticação simples e múltiplo fator, “accountability”, gerenciamento da sessão, gerenciamento de credenciais, registro e prova de identidade.
• Identidade como serviço (IDaaS).
• Integração de serviços de terceiros.
• Implantando e gerenciando mecanismos de autorização – controles de acesso “role-based”, “rule-based”, MAC, DAC.
• Prevenindo ou mitigando ataques ao controle de acesso.
• Identidade e provisionamento do ciclo de vida do acesso – provisionamento, revisão, revogação.

Testes e Avaliação da Segurança

• Avaliação e estratégia dos testes – revisão de “logs”, transações, revisão e teste de código, uso indevido de testes, teste da interface.
• Coletar dados de processos de segurança.
• Auditoria interna e de terceiros – SAS 70, “Service Organization Control (SOC)”.

Operações Seguras

• Investigações – cena do crime, política, papéis, responsabilidades, resposta a incidentes, fase de recuperação, coleta e manuseio de evidências, monitoração contínua de tráfego de saída, vazamento de dados (DLP).
• Provisionamento de recursos através do gerenciamento de configurações.
• Conceitos fundamentais de operações seguras – controle de contas privilegiadas, grupos e papéis, “SOD”, rotação de funções, SLAs.
• Proteção dos recursos – ativos tangíveis, intangíveis, gerenciamento de mídias.
• Resposta a incidentes – gerenciamento de incidentes, medições, métricas, relatórios, detecção, resposta, recuperação, revisão com lições aprendidas.
• Medidas preventivas contra ataques – divulgação não autorizada, IDS, serviços de segurança terceirizados, “sandbox”, “anti-malware”, “honeypots”, “honeynets”.
• Patch e gerenciamento de vulnerabilidades.
• Gerenciamento de mudanças e configurações – estratégias de recuperação do site, sites de processamentos múltiplos, resiliência e tolerância a falhas.
• O processo de recuperação de desastres – documentação do plano, resposta, pessoal, envolvido, comunicações, restauração, treinamento, exercício, avaliação, e manutenção do plano.
• Revisão do plano de teste – “tabletop”, “walk-through”, “simulation”, “parallel”, “full-interruption”, atualização e manutenção do plano.
• Continuidade do negócio e outras áreas de risco – implantando e operando a segurança de perímetro.
• Controle de acesso – cartões de acesso, CCTV.
• Segurança interna – IDS interno.
• Segurança interna e do prédio - portas.
• Segurança pessoal. – privacidade, viagens e coação do colaborador.

Segurança no Ciclo de Vida do Desenvolvimento de Software.

• Esboço da segurança no desenvolvimento de software – ciclo de vida, modelo de maturidade, gerencia de mudanças.
• Ambiente e controles de segurança – métodos de desenvolvimento, ”data warehouse”, vulnerabilidades em base de dados, aplicações web.
• Segurança do ambiente de software – ferramentas, bibliotecas, código fonte, proteção contra malware.
• Mecanismos de proteção de software – “security kernel”, “reference monitor”, “TCB”, gerenciamento de configuração, segurança do repositório de código, segurança de “Application Programming Interfaces (API)”.
• Avaliando a efetividade da segurança do software – certificação, acreditação, auditoria de mudanças, análise e mitigação de riscos.
• Avaliando a segurança do software adquirido.