Segurança da Informação

 1. Componente Curricular:

Segurança da Informação.

2. Carga Horária:

60 horas.

3. Objetivo:

Fornecer uma visão das principais características da Segurança da Informação no contexto da sua importância dentro das organizações. Ao final da disciplina o aluno deve ser capaz de reconhecer os elementos de Segurança da Informação que implicam no uso e distribuição segura das informações no ambiente corporativo.

4. Ementa Oficial:

• • Princípios em segurança da informação. Políticas de segurança e análise de riscos. Leis, normas e padrões de segurança da informação. Auditoria de sistemas. Autenticação e controle de acesso. Criptografia. Assinatura Digital. Plano de continuidade do negócio.

5. Conteúdo Programático

• • Conceitos Básicos.

    • Organizações: A Sociedade do Conhecimento e Desafios.

    • Princípios da Segurança da Informação.

    • Auditoria de Sistemas.

    • Leis e Normas da Segurança da Informação.

  • Planejamento.

    • Plano Diretor.

    • Plano de Continuidade do Negócio.

    • Políticas de Segurança e Análise de Riscos.

  • Tecnologias de Segurança.

    • Autenticação e Controle de Acesso.

    • Criptografia e Assinatura Digital.

  • Segurança de Serviços.

    • Gestão de Vulnerabilidades.

    • Métodos de Prevenção.

    • Ataques e Sistemas de Defesa.

6. Abordagem Metodológica:

Aprender fazendo e fazer aprendendo. As ações implementadas têm como foco o aprendizado de Segurança da Informação pelo uso de recursos computacionais - privilegiando o projeto por simuladores e o desenvolvimento prático; seguido de exposições teóricas, apoiadas por: simulações, slides e vídeos. Em resumo, a metodologia tem como base a tríade Conteúdo, Atividade e Produto.

A nota final será dada pelas avaliações dos artefatos (relatório, lista de exercício - manuscritas, apresentação oral, pôster, postagem, vídeo, ...) produzidos durante as aulas e entregues em cada uma das datas especificadas. O aluno também será avaliado através de outros recursos, como p.ex. a frequência e a apresentação de artefatos não obrigatórios - os quais poderão até ter pontuação extra.

7. Plano de Aprendizagem:

Aula 1

Conteúdo: 

• • Organizações: A Sociedade do Conhecimento e Desafios.

    • Revisão e Contextualização:

      • Sociedade Em Rede.

      • A Terceira Onda.

      • Saiba a importância da informática nas empresas.

      • Sistema De Informação Gerencial.

      • Método De Informatização De Uma Pequena Empresa De Serviços Utilizando A Modelagem De Processos De Negócios.

    • Gestão da Segurança da Informação (1 e 2).

    • Sociedade da Informação.

    • O Que Faz Um Analista De Segurança Da Informação?

Atividades: 

• Obtendo automaticamente informações sobre sites.

  • Acesse o Google Planilhas e crie uma planilha em branco.

  • Em uma célula qualquer digite: =IMPORTXML("http://www.ufopa.edu.br";"//@href").

  • Observe assim a lista de links disponíveis na página principal do site da UFOPA.

  • Agora pense e responda: Qual a utilidade disso?

• Obtendo pacotes de uma Rede Local.

  • Conecte-se a rede, por conexão a cabo ou sem fio.

  • Caso não haja servidor de configuração (DHCP) espere IP auto atribuído, ou configure manualmente um IP qualquer.

  • Em um terminal UNIX execute o comando tcpdump -i <sua_interface> -s 0 -w.

  • Observe o tráfego na rede - pare com CTRL+C.

  • Agora pense e responda: Qual a utilidade disso?

• Avaliativa (em equipe):

  • Iniciando a Caracterização das estratégias de implementação da Segurança da Informação em uma Universidade.

    • Listar as ações fundamentais no processo de implementação.

    • Identificar os principais atores do processo, descrevendo suas funções.

  • Faça uma breve apresentação (5 minutos), justificando a escolha das aplicações selecionadas.

    • Os tópicos e o tempo da apresentação devem ser dividido entre cada integrante da equipe.

Produtos: 

• • A Sociedade em Rede (Castells, 1999).

  • A importância dos dados para as empresas.

  • A Importância do Sistema de Informação para a Gestão de Empresas.

  • Teoria & Prática - Sistemas de Informação nas Empresas.

  • Sistemas de Informações Empresariais.

  • How To Scan IP Addresses on Network Using Command Line Tools & 3rd Party Software.

  • Tcpdump – Capturar e analisar tráfego de rede no Linux.

  • How to capture HTTP traffic using Wireshark, Fiddler, or tcpdump.

Aula 2

Conteúdo: 

• • Princípios da Segurança da Informação.

    • Gestão da Segurança da Informação (4.1).

    • O que é Segurança da Informação?

    • Segurança Da Informação: Os Principais Pilares.

    • Incidentes de Segurança: Ameaças x Vulnerabilidades x Riscos.

    • Ameaças, Vulnerabilidades e Riscos.

Atividades: 

• Pescando informações sobre pessoas.

  • Entre no Twiter ou outra ferramenta semelhante.

  • Faça uma busca por "meu PIX" ou "meu celular".

• Especificando rede de trabalho (Intranet para as atividades do semestre).

  • Elementos básicos:

    • Rede corporativa com três redes setoriais, seus clientes e uma DMZ (para serviço Web e de e-Mail).

    • Rede de simulação da Internet, com um servidor dois servidores DNS Raiz e um de servidor de e-Mail.

    • Rede pública com um ISP e seus clientes.

  • Definição dos métodos de desenvolvimento:

    • Protótipo com Packet Tracer usando suas soluções.

    • Implementação real com servidores e serviços implementados em máquinas UNIX.

• Avaliativa (em equipe):

  • Selecione um organização para a atividade. Se possível dentro do seguinte perfil geral.

    • Pequena ou média organização.

    • Preferencialmente do setor de comércio ou serviço.

    • Com um mínimo de 10 funcionários.

  • Caracterize o uso de dados da organização selecionada.

    • Defina fluxos de dados e seus modos de armazenamento.

    • Explicite a importância destes dados nas atividades (pincipalmente fins) da organização.

  • Identifique aplicações "seguras" para o Ciclo de Vida da Informação.

    • Busque aplicações para Manuseio, Armazenamento, Transporte e Descarte de dados.

    • Classifique estas aplicações quanto ao nível de segurança apresentado.

  • Identifique os principais riscos relacionados à segurança de dados.

    • Busque por pontos (elementos) fracos.

    •  Relacione os riscos a estes pontos.

    • Liste algumas medidas voltadas à minimizar os riscos encontrados.

  • Faça uma breve apresentação (5 minutos), justificando a escolha das aplicações selecionadas.

    • Os tópicos e o tempo da apresentação devem ser dividido entre cada integrante da equipe.

Produtos: 

• • Como é fácil encontrar os seus dados e aplicar golpes de phishing.

  • Segurança da informação: fundamentos, conceitos e mecanismos de segurança.

  • O que faz um ANALISTA de SEGURANÇA da INFORMAÇÃO?

Aula 3

Conteúdo: 

• • Auditoria de sistemas.

    • Gestão da Segurança da Informação (4.6 e 4.7 e 8).

    • Inventário de Hardware e Software.

    • SNMP EXPLICADO [ O que é SNMP ] Visão geral.

    • Como monitorar qualquer OID SNMP.

    • Quem é e o que faz um perito computacional forense?

Atividades: 

• Obtendo informações via MIB Browser.

  • Como melhorar a apresentação destas informações.

  • Automatizando medidas proativas através do uso de informações de monitoramento.

• Debatendo:

  • Como selecionar as informações necessárias a uma auditoria?

    • Documentos, arquivos de dados, entrevistas, questionários, ...

  • Podemos automatizar o processo de obtenção das informações para auditorias?

    • Recursos como Traps SNMP, Cron Tab, ...

    • Existem aplicações de software para executar estas tarefas de modo intuitivo?

• Especificando serviço SNMP para a rede corporativa da Intranet.

  • Local a ser instalado.

  • Elementos monitorados e dados gerados.

  • Modelos de apresentação dos dados.

  • Serviços proativo de segurança computacional.

Produtos: 

• • Entenda o que é protocolo SNMP, como ele funciona e qual sua importância.

  • Instalação do Servidor Zabbix / Zabbix Server.

  • Adicionando um Host ao Zabbix.

  • Monitorando um host via SNMP.

  • Conheça as principais ferramentas utilizadas na investigação forense computacional.

  • O que faz um Perito Forense Computacional.

Aula 4

Conteúdo: 

• • Leis, normas e padrões de segurança da informação.

    • Gestão da Segurança da Informação (4.10 e 4.11).

    • O Que É Marco Civil?

    • O QUE É LGPD? (Para leigos e iniciantes).

    • Tudo O Que Realmente Precisa Saber Sobre A LGPD.

    • Marco Civil da Internet.

    • LGPD: Um marco na regulamentação sobre dados pessoais no Brasil.

    • O Que Muda Com A LGPD.

Atividades: 

• Debatendo:

  • Existem limites para implementação de medidas de segurança em uma rede corporativa?

  • Usuários têm direito a privacidade na comunicação de dados usando a infra da rede corporativa?

  • Existem "soluções" de software que implementam gestão de dados e obedeçam a atual legislação de proteção e transparência?

  • O Marco Civil e a LGPD agem sobre todas as formas de acesso, armazenamento e transparência de dados?

Produtos: 

• CGI.br.

• Lei 12.527/2011 Comentada (Lei de Acesso à Informação).

• LGPD - Segurança Da Informação.

• LGPD: Como se adequar? Veja o passo a passo de um processo de conformidade.

Aula 5

Conteúdo: 

• • Revisão de conteúdos e 1ª Avaliação.

Atividades: 

• • Relatório de Produto 1 ou Prova Prática 1.

Aula 6

Conteúdo: 

• • Plano Diretor.

    • Gestão da Segurança da Informação (6.1 e 6.2).

    • Plano Diretor de Segurança da Informação (PDSI): O Que é?

    • Plano Estratégico de Segurança da Informação.

    • Planejamento Estratégico de TI (PETI): passo a passo para uma análise completa.

    • Plano Diretor de Tecnologia da Informação para Micro e Pequenas Empresas.

Atividades: 

• Debatendo:

  • Como fazer com que os usuários colaborem e cumpram com as diretrizes de um PDSI?

  • Quais modelos e/ou metodologias o profissional de TI pode usar para o desenvolvimento do PDSI?

  • Micro e Pequenas empresas efetivamente precisam de um PDSI?

• Respondendo algumas perguntas para o desenvolvimento do PDSI.

  • Um PDSI se aplica às características da minha organização?

  • Podemos ter um PDSI adaptado para micro empresas?

  • Quais são as características principais do PDSI para a minha organização?

  • Quais são as estratégias principais para a implementação do PDSI para a minha organização?

• Criando Equipe de Desenvolvimento.

  • Organizem as suas respectivas equipes como equipes de profissionais de desenvolvimento do PDSI.

  • Imaginem suas equipes como integrantes de uma empresas contratada para o desenvolvimento de um PDSI.

    • Gerente de Desenvolvimento - Responsável pela materialização do PDSI.

    • Analistas: Requisitos, Desenvolvimento, Segurança, Suporte, Redes, ...

  • Faça uma breve apresentação (5 minutos), apresentando a equipe e justificando as escolhas tomadas.

Produtos: 

• • INSS - Plano Diretor de Segurança da Informação.

  • PDTI - Plano Diretor de Tecnologia da Informação.

  • O que é COBIT, os benefícios e a relação com a governança de TI.

  • Hierarquia De Cargos: Aprenda A Definir A Da Sua Organização.

Aula 7

Conteúdo: 

• • Plano de Continuidade do Negócio.

    • Gestão da Segurança da Informação (6.3).

    • Como Montar um Plano de Negócio em 8 Passos Simples.

    • Introdução à ISO 22301 - Gestão de Continuidade dos Negócios.

    • Como Assegurar A Continuidade Dos Negócios?

    • Como Criar Um Plano De Continuidade De Negócios?

    • Gerenciamento de Continuidade de Negócios - Plano para continuidade do negócio.

Atividades: 

• Discutindo sobre a abrangência do Plano de Continuidade.

  • Quais os tipos de empreendimentos realmente necessitam do Plano?

  • Existe a necessidade de se estabelecer um frequência de atualização do Plano?

  • Até onde o Plano de Continuidade deve influenciar Plano de Negócios?

• Avaliativa.

  • Com base no empreendimento definido na primeira avaliação especifique os elementos básicos do Modelo de Negócios.

  • Com o foco nos elementos básicos do Plano de Negócios, especifique os principais alvos do Plano de Continuidade.

  • Analisar os riscos e os relacionar os potenciais impactos no negócio.

  • Faça uma breve apresentação (5 minutos) sobre os resultados da atividade.

Produtos: 

• • NBR ISO/IEC 27002 - Código de prática para controles de segurança da informação.

  • ISO-22301.

  • Gerenciamento de Continuidade de Negócios - Breve guia de implementação.

  • Tudo o que você precisa saber para criar o seu plano de negócio.

  • Os 3 tipos de plano de negócios: em qual deles você se encaixa?

Aula 8

Conteúdo: 

• • Políticas de segurança e análise de riscos.

    • Gestão da Segurança da Informação (4.2 a 4.5 e 6.4 a 6.5).

    • O que é gestão de riscos da segurança da informação.

    • Gestão de RISCOS em SEGURANÇA DA INFORMAÇÃO: O que é e para que serve?

    • ISO 27005 - Gestão de Riscos.

Atividades: 

• Observando o funcionamento de uma ferramenta de análise de riscos.

  • Qual a diferença entre vulnerabilidades e riscos?

  • Como é feita uma Análise de Vulnerabilidade?

Produtos: 

• Gestão de Riscos Cibernéticos: visualize a nova norma ISO/IEC 27005.

• Tecnologia para análise de riscos.

• Política de Gestão de Riscos de Segurança da Informação.

• Política De Gestão De Riscos - ANS.

• Gestão De Riscos De Segurança Da Informação No Tribunal De Contas Da União - TCU.

Aula 9

Conteúdo: 

• • Autenticação e Controle de Acesso.

    • Gestão da Segurança da Informação (6.7).

    • Criptografia.

    • Controle de acesso à rede: saiba tudo sobre essas soluções e sua importância.

    • O que é o Controle de Acesso à rede e quais as vantagens para a sua empresa?

    • NAC - Network Access Control - Por que devemos implementar?

Atividades: 

• Identificando o modo de Autenticação e Controle de Acesso na rede sem fio da UFOPA.

  • Iniciar captura de pacotes imediatamente antes do acesso à rede.

    • Podemos identificar pacotes de controle de acesso?

    • É possível verificar uso de certificados e criptografia?

• Avaliativa: Desenvolver um documento de diretrizes de implementação de controle de acesso em redes de pequenas e médias organizações.

Produtos: 

• • O que é e para que serve o certificado digital?

  • NAC: tudo o que você precisa saber sobre Controle de Acesso à Rede.

  • Autenticação de forma segura com criptografia.

  • Soluções Para Controle De Acesso E Automação.

Aula 10

Conteúdo: 

• • Revisão de conteúdos e 2ª Avaliação.

Atividades: 

• • Relatório de Produto 2 ou Prova Prática 2.

Aula 11

Conteúdo: 

• • Criptografia e Assinatura Digital.

    • Gestão da Segurança da Informação (6.7).

    • Criptografia.

    • O que é Certificado Digital?

    • Assinatura Digital: o que é, como funciona e vantagens.

Atividades: 

• Diferenciado criptografia de chave privada (simétrica), da criptografia de chave publica (assimétrica).

• Visão geral do envio de documentos assinados digitalmente.

• Identificando Criptografia e Certificados Digitais no seu computador.

  • Como saber quais são os meus certificado digital?

  • WEP, WPA ou WPA2: qual é o melhor protocolo de segurança de Wi-Fi?

Produtos: 

• • Como a Criptografia Quântica Funciona?

  • Segurança da Informação – Criptografia AES.

  • Lei da assinatura digital: entenda a validade jurídica e regulamentação.

  • Assinatura Eletrônica do GOV.BR.

Aula 12

Conteúdo: 

• • Gestão de Vulnerabilidades.

    • Fique atento a vulnerabilidade de sistemas!

    • Vulnerabilidades de segurança: quais são as mais recorrentes?

    • Gestão De Vulnerabilidades, O Básico Nunca Foi Tão Importante com Gustavo Sartoni.

Atividades: 

• Verificando Por que os Sistemas São Vulneráveis.

• Identificando os elementos da Gestão de Vulnerabilidade.

• Analisando atividades no Ciclo da Gestão de Vulnerabilidades.

  • Exemplo de Fluxograma de Atividades.

  • Relação entre Atividades e Entidades.

• Verificando Porque Sua Empresa Precisa De Um Teste De Intrusão?

  • Plataforma de Gestão de Vulnerabilidades - HAS.

Produtos: 

• • Core Impact.

  • Análise de Vulnerabilidades com Nessus e OpenVAS em Distribuição Kali Linux.

  • Encontre Vulnerabilidades Em Sites E Sistemas Usando Um Comando.

Aula 13

Conteúdo: 

• • Métodos de Prevenção.

    • Prevenção Detecção e Correção - A Segurança da Informação se Começa Pelo Básico.

    • Avaliação da prevenção de falhas em processos utilizando métodos de tomada de decisão.

    • O que são mecanismos de SEGURANÇA DA INFORMAÇÃO?

    • Identificação, Combate e Resposta a Incidentes de Segurança.

    • IDS e IPS: os dois agentes de SEGURANÇA!

Atividades: 

• Melhorando a Segurança Cibernética.

  • Entenda como se prevenir de crimes cibernéticos.

  • Usuário Seguro, Organização segura.

    • Cibersegurança.

    • Sugestões para manter sua casa Ciber segura.

    • 10 dicas de segurança para usuários comuns.

    • 10 passos simples para proteger seus dados.

    • 10 Discas Para Um Home Office Seguro.

• Implementando Segurança na Organização.

  • 8 dicas para garantir a segurança em redes da sua empresa.

  • A linha de frente: Firewall e DMZ.

  • Detecção e prevenção de ataques com IDS e IPS.

  • Integrando serviços de prevenção com SASE.

Produtos: 

• Guia Segurança de Redes: o que é, para que serve e tipos existentes.

• IDS e o sistema de detecção de intrusão.

Aula 14

Conteúdo: 

• • Ataques e Sistemas de Defesa.

    • Ataques cibernéticos – O que você precisa saber.

    • Principais Tipos de Ataques Cibernéticos.

    • Os 7 tipos de ataques cibernéticos mais comuns.

    • O Que É Firewall E Seu Papel Na Segurança Da Informação.

    • IDS e IPS (Conceitos e diferenças).

Atividades: 

• Entendendo o que é um ataque cibernético?

  • Tipificação básica e anatomia. 

  • Cronologias dos principais ataques a organizações e nações.

  • Vírus de computador: visão geral e estrutura geral do anti-vírus.

  • Tipos de Malware, suas características e metodologia de ataque.

  • Ransomware: processo de ataque e método de acesso a dados.

• Protegendo de ataques cibernéticos.

  • Anti-Vírus: Arquitetura para Plataforma de Conteiner e CrowdMAV.

  • Firewalls: visão geral e modelo de implementação.

  • IDSs: arquitetura geral, modelo funcional, disposição na rede corporativa e detecção de phishing.

  • IPSs: visão geral, arquitetura de gerenciamento e disposição na rede.

Produtos: 

• • Tratamento de Incidentes de Segurança na Internet, explicado pelo NIC.br.

  • ISO 27002:2022 - Gerenciamento de Incidentes e Segurança da Informação.

  • Como se preparar adequadamente para ataques cibernéticos?

  • Invasões Cibernéticas: Relembre Quais Foram Os Principais Ataques Hackers Em 2022.

Aula 15

Conteúdo: 

• • Revisão de conteúdos e 3ª Avaliação.

Atividades: 

• • Relatório de Produto 3 ou Prova Prática 3.

8. Bibliografia:

• • Michael T. Goodrich, Roberto Tamassia. Introdução à Segurança de Computadores. Bookman, 2013.

  • Sêmola, Marcos. Gestão da Segurança da Informação - Uma Visão Executiva. Elsevier, 2a ed. Elsevier, 2014.

  • Stallings, William. Criptografia e Segurança de Redes. Princípios e Práticas. 6a ed. Pearson 2015.