Segurança da Informação.
60 horas.
Fornecer uma visão das principais características da Segurança da Informação no contexto da sua importância dentro das organizações. Ao final da disciplina o aluno deve ser capaz de reconhecer os elementos de Segurança da Informação que implicam no uso e distribuição segura das informações no ambiente corporativo.
Princípios em segurança da informação. Políticas de segurança e análise de riscos. Leis, normas e padrões de segurança da informação. Auditoria de sistemas. Autenticação e controle de acesso. Criptografia. Assinatura Digital. Plano de continuidade do negócio.
Conceitos Básicos.
Organizações: A Sociedade do Conhecimento e Desafios.
Princípios da Segurança da Informação.
Auditoria de Sistemas.
Leis e Normas da Segurança da Informação.
Planejamento.
Plano Diretor.
Plano de Continuidade do Negócio.
Políticas de Segurança e Análise de Riscos.
Tecnologias de Segurança.
Autenticação e Controle de Acesso.
Criptografia e Assinatura Digital.
Segurança de Serviços.
Gestão de Vulnerabilidades.
Métodos de Prevenção.
Ataques e Sistemas de Defesa.
Aprender fazendo e fazer aprendendo. As ações implementadas têm como foco o aprendizado de Segurança da Informação pelo uso de recursos computacionais - privilegiando o projeto por simuladores e o desenvolvimento prático; seguido de exposições teóricas, apoiadas por: simulações, slides e vídeos. Em resumo, a metodologia tem como base a tríade Conteúdo, Atividade e Produto.
A nota final será dada pelas avaliações dos artefatos (relatório, lista de exercício - manuscritas, apresentação oral, pôster, postagem, vídeo, ...) produzidos durante as aulas e entregues em cada uma das datas especificadas. O aluno também será avaliado através de outros recursos, como p.ex. a frequência e a apresentação de artefatos não obrigatórios - os quais poderão até ter pontuação extra.
Conteúdo:
Organizações: A Sociedade do Conhecimento e Desafios.
Revisão e Contextualização:
Gestão da Segurança da Informação (1 e 2).
Atividades:
Obtendo automaticamente informações sobre sites.
Acesse o Google Planilhas e crie uma planilha em branco.
Em uma célula qualquer digite: =IMPORTXML("http://www.ufopa.edu.br";"//@href").
Observe assim a lista de links disponíveis na página principal do site da UFOPA.
Agora pense e responda: Qual a utilidade disso?
Obtendo pacotes de uma Rede Local.
Conecte-se a rede, por conexão a cabo ou sem fio.
Caso não haja servidor de configuração (DHCP) espere IP auto atribuído, ou configure manualmente um IP qualquer.
Em um terminal UNIX execute o comando tcpdump -i <sua_interface> -s 0 -w.
Observe o tráfego na rede - pare com CTRL+C.
Agora pense e responda: Qual a utilidade disso?
Avaliativa (em equipe):
Iniciando a Caracterização das estratégias de implementação da Segurança da Informação em uma Universidade.
Listar as ações fundamentais no processo de implementação.
Identificar os principais atores do processo, descrevendo suas funções.
Faça uma breve apresentação (5 minutos), justificando a escolha das aplicações selecionadas.
Os tópicos e o tempo da apresentação devem ser dividido entre cada integrante da equipe.
Produtos:
Conteúdo:
Atividades:
Pescando informações sobre pessoas.
Entre no Twiter ou outra ferramenta semelhante.
Faça uma busca por "meu PIX" ou "meu celular".
Especificando rede de trabalho (Intranet para as atividades do semestre).
Elementos básicos:
Rede corporativa com três redes setoriais, seus clientes e uma DMZ (para serviço Web e de e-Mail).
Rede de simulação da Internet, com um servidor dois servidores DNS Raiz e um de servidor de e-Mail.
Rede pública com um ISP e seus clientes.
Definição dos métodos de desenvolvimento:
Protótipo com Packet Tracer usando suas soluções.
Implementação real com servidores e serviços implementados em máquinas UNIX.
Avaliativa (em equipe):
Selecione um organização para a atividade. Se possível dentro do seguinte perfil geral.
Pequena ou média organização.
Preferencialmente do setor de comércio ou serviço.
Com um mínimo de 10 funcionários.
Caracterize o uso de dados da organização selecionada.
Defina fluxos de dados e seus modos de armazenamento.
Explicite a importância destes dados nas atividades (pincipalmente fins) da organização.
Identifique aplicações "seguras" para o Ciclo de Vida da Informação.
Busque aplicações para Manuseio, Armazenamento, Transporte e Descarte de dados.
Classifique estas aplicações quanto ao nível de segurança apresentado.
Identifique os principais riscos relacionados à segurança de dados.
Busque por pontos (elementos) fracos.
Relacione os riscos a estes pontos.
Liste algumas medidas voltadas à minimizar os riscos encontrados.
Faça uma breve apresentação (5 minutos), justificando a escolha das aplicações selecionadas.
Os tópicos e o tempo da apresentação devem ser dividido entre cada integrante da equipe.
Produtos:
Conteúdo:
Atividades:
Obtendo informações via MIB Browser.
Como melhorar a apresentação destas informações.
Automatizando medidas proativas através do uso de informações de monitoramento.
Debatendo:
Como selecionar as informações necessárias a uma auditoria?
Documentos, arquivos de dados, entrevistas, questionários, ...
Podemos automatizar o processo de obtenção das informações para auditorias?
Recursos como Traps SNMP, Cron Tab, ...
Existem aplicações de software para executar estas tarefas de modo intuitivo?
Especificando serviço SNMP para a rede corporativa da Intranet.
Local a ser instalado.
Elementos monitorados e dados gerados.
Modelos de apresentação dos dados.
Serviços proativo de segurança computacional.
Produtos:
Conteúdo:
Leis, normas e padrões de segurança da informação.
Atividades:
Debatendo:
Existem limites para implementação de medidas de segurança em uma rede corporativa?
Usuários têm direito a privacidade na comunicação de dados usando a infra da rede corporativa?
Existem "soluções" de software que implementam gestão de dados e obedeçam a atual legislação de proteção e transparência?
O Marco Civil e a LGPD agem sobre todas as formas de acesso, armazenamento e transparência de dados?
Produtos:
Conteúdo:
Revisão de conteúdos e 1ª Avaliação.
Atividades:
Relatório de Produto 1 ou Prova Prática 1.
Conteúdo:
Atividades:
Debatendo:
Como fazer com que os usuários colaborem e cumpram com as diretrizes de um PDSI?
Quais modelos e/ou metodologias o profissional de TI pode usar para o desenvolvimento do PDSI?
Micro e Pequenas empresas efetivamente precisam de um PDSI?
Respondendo algumas perguntas para o desenvolvimento do PDSI.
Um PDSI se aplica às características da minha organização?
Podemos ter um PDSI adaptado para micro empresas?
Quais são as características principais do PDSI para a minha organização?
Quais são as estratégias principais para a implementação do PDSI para a minha organização?
Criando Equipe de Desenvolvimento.
Organizem as suas respectivas equipes como equipes de profissionais de desenvolvimento do PDSI.
Imaginem suas equipes como integrantes de uma empresas contratada para o desenvolvimento de um PDSI.
Gerente de Desenvolvimento - Responsável pela materialização do PDSI.
Analistas: Requisitos, Desenvolvimento, Segurança, Suporte, Redes, ...
Faça uma breve apresentação (5 minutos), apresentando a equipe e justificando as escolhas tomadas.
Produtos:
Conteúdo:
Plano de Continuidade do Negócio.
Atividades:
Discutindo sobre a abrangência do Plano de Continuidade.
Quais os tipos de empreendimentos realmente necessitam do Plano?
Existe a necessidade de se estabelecer um frequência de atualização do Plano?
Até onde o Plano de Continuidade deve influenciar Plano de Negócios?
Avaliativa.
Com base no empreendimento definido na primeira avaliação especifique os elementos básicos do Modelo de Negócios.
Com o foco nos elementos básicos do Plano de Negócios, especifique os principais alvos do Plano de Continuidade.
Analisar os riscos e os relacionar os potenciais impactos no negócio.
Faça uma breve apresentação (5 minutos) sobre os resultados da atividade.
Produtos:
Conteúdo:
Políticas de segurança e análise de riscos.
Atividades:
Observando o funcionamento de uma ferramenta de análise de riscos.
Qual a diferença entre vulnerabilidades e riscos?
Produtos:
Gestão de Riscos Cibernéticos: visualize a nova norma ISO/IEC 27005.
Gestão De Riscos De Segurança Da Informação No Tribunal De Contas Da União - TCU.
Conteúdo:
Atividades:
Identificando o modo de Autenticação e Controle de Acesso na rede sem fio da UFOPA.
Iniciar captura de pacotes imediatamente antes do acesso à rede.
Podemos identificar pacotes de controle de acesso?
É possível verificar uso de certificados e criptografia?
Avaliativa: Desenvolver um documento de diretrizes de implementação de controle de acesso em redes de pequenas e médias organizações.
Produtos:
Conteúdo:
Revisão de conteúdos e 2ª Avaliação.
Atividades:
Relatório de Produto 2 ou Prova Prática 2.
Conteúdo:
Criptografia e Assinatura Digital.
Atividades:
Diferenciado criptografia de chave privada (simétrica), da criptografia de chave publica (assimétrica).
Visão geral do envio de documentos assinados digitalmente.
Identificando Criptografia e Certificados Digitais no seu computador.
Produtos:
Conteúdo:
Atividades:
Verificando Por que os Sistemas São Vulneráveis.
Identificando os elementos da Gestão de Vulnerabilidade.
Analisando atividades no Ciclo da Gestão de Vulnerabilidades.
Exemplo de Fluxograma de Atividades.
Relação entre Atividades e Entidades.
Verificando Porque Sua Empresa Precisa De Um Teste De Intrusão?
Produtos:
Conteúdo:
Atividades:
Melhorando a Segurança Cibernética.
Implementando Segurança na Organização.
Produtos:
Conteúdo:
Atividades:
Entendendo o que é um ataque cibernético?
Cronologias dos principais ataques a organizações e nações.
Vírus de computador: visão geral e estrutura geral do anti-vírus.
Tipos de Malware, suas características e metodologia de ataque.
Ransomware: processo de ataque e método de acesso a dados.
Protegendo de ataques cibernéticos.
Anti-Vírus: Arquitetura para Plataforma de Conteiner e CrowdMAV.
Firewalls: visão geral e modelo de implementação.
IDSs: arquitetura geral, modelo funcional, disposição na rede corporativa e detecção de phishing.
IPSs: visão geral, arquitetura de gerenciamento e disposição na rede.
Produtos:
Conteúdo:
Revisão de conteúdos e 3ª Avaliação.
Atividades:
Relatório de Produto 3 ou Prova Prática 3.
Michael T. Goodrich, Roberto Tamassia. Introdução à Segurança de Computadores. Bookman, 2013.
Sêmola, Marcos. Gestão da Segurança da Informação - Uma Visão Executiva. Elsevier, 2a ed. Elsevier, 2014.
Stallings, William. Criptografia e Segurança de Redes. Princípios e Práticas. 6a ed. Pearson 2015.