Mais conteúdo relacionado
Semelhante a Curso Security Officer Advanced - Overview (20)
Mais de Data Security (20)
Curso Security Officer Advanced - Overview
- 1. © 2011 Marcelo Lau
Curso Security Officer Advanced
Overview
Prof. Msc. Marcelo Lau
- 2. © 2011 Marcelo Lau
Estrutura do curso
Carga horária: 40 horas.
5 aulas (8 horas)
Coffe Break - 2 intervalos de 15 minutos.
Almoço - 1 intervalo de 60 minutos.
Necessária Frequência Mínima de 80%.
Security Officer Advanced
- 3. © 2011 Marcelo Lau
Instrutor
Prof. Msc. Marcelo Lau
E-mail: marcelo.lau@datasecurity.com.br
Diretor Executivo da Data Security.
Atuou mais de 12 anos em bancos brasileiros em Segurança da Informação e
Prevenção à Fraude.
Atualmente ministra aulas de formação em Compliance pela FEBRABAN, e
Forense Computacional na Universidade Presbiteriana Mackenzie e na FIAP.
Foi professor no MBA de Segurança da Informação da FATEC/SP
Coordenou o curso de Gestão em Segurança da Informação e Gerenciamento de
Projetos no SENAC/SP.
É Engenheiro eletrônico da EEM com pós graduação em administração pela
FGV, mestre em ciência forense pela POLI/USP e pós graduado em
comunicação e arte pelo SENAC-SP.
Ministra curso em Países como: Angola, Argentina, Colômbia, Bolívia, Perú e
Paraguai.
É reconhecido pela imprensa Brasileira e Argentina com trabalhos realizados em
vários países do mundo.
Security Officer Advanced
- 4. © 2011 Marcelo Lau
Introdução à Segurança em Bancos de Dados
A segurança dos bancos de
dados pode ser a melhor ação (e
a última fronteira) que uma
organização tem para se
proteger contra ameaças.
Os bancos de dados podem ser
comparados a cofres que
armazenam os ativos digitais
mais valiosos de uma
organização. Seu
comprometimento pode levar a
perda da confiança de
consumidores além de outros
resultados negativos.
Security Officer Advanced
- 5. © 2011 Marcelo Lau
Introdução à Segurança em Bancos de Dados
Os dados armazenados em Bancos
de Dados precisam ser protegidos
contra acessos não-autorizados,
destruição ou alteração
intencional e introdução
acidental de inconsistências.
Existem alguns aspectos a serem
considerados sobre segurança:
Aspectos legais, sociais e éticos.
Controles físicos.
Questões políticas.
Problemas operacionais.
Controle de hardware.
Segurança do sistema operacional.
Security Officer Advanced
- 6. © 2011 Marcelo Lau
Melhores práticas
Análise pontual da segurança
em bancos de dados:
Cubra todas as áreas para criar um
ecossistema de segurança:
Segurança Física:
Data Center / Sala Cofre.
Segurança Pessoal:
Treinamento / Conscientização.
Segurança Lógica:
Planos de Contingência.
Gerenciamento do Acesso às informações.
Confidencialidade.
Privacidade.
Integridade.
Disponibilidade.
Backups periódicos.
Security Officer Advanced
- 7. © 2011 Marcelo Lau
A Necessidade de Sistemas Seguros
Produtos e Vulnerabilidades
Produto Seguro: Produto que
protege a confidencialidade,
integridade e disponibilidade dos
recursos de processamento sob
controle do proprietário ou
administrador do sistema.
Vulnerabilidade de Segurança:
Defeito em um produto que torna
impossível mesmo com a utilização
adequada do produto evitar que
um invasor adquira privilégios no
sistema do usuário, regule sua
operação, comprometa os dados
ou receba confiança não-
concedida.
Security Officer Advanced
- 8. © 2011 Marcelo Lau
Fase de Projeto
É importante definir os aspectos de
segurança logo na fase de projeto,
pois são gastos 10 vezes menos
tempo, dinheiro e esforços para
corrigir um bug nessa fase de
desenvolvimento.
Deve-se escolher as pessoas certas
para considerar a segurança no
projeto, pessoas que pensem como
um invasor e tenham habilidades
para corrigir as falhas encontradas.
A segurança é um recurso do
sistema e como tal deve estar
incorporada a todos os aspectos do
aplicativo.
Security Officer Advanced
- 9. © 2011 Marcelo Lau
Armazenamento
Principais ameaças:
Revelação de Informações.
Adulteração.
Spoofing.
Ler os dados através de Depuração.
Pagefile.sys.
Hiberfil.sys.
Você realmente precisa armazenar
o segredo do usuário ou somente
armazenar um verificador basta ?
Pode-se utilizar um hash, para
comparar a entrada do usuário com o
conteúdo armazenado.
Mesmo com acesso ao hash, o
invasor não poderá determinar qual é
a senha do usuário.
Security Officer Advanced
- 10. © 2011 Marcelo Lau
Teste seguro de aplicações
Abrangência do teste:
Como pode-se ver, a maior parte
do teste de segurança é provar que
os mecanismos de defesa
funcionam corretamente, em vez
de provar que a funcionalidade do
recurso funciona.
Os testadores também devem fazer
parte do processo do projeto e da
modelagem de ameaças e revisar
os problemas de segurança nas
especificações.
Security Officer Advanced
- 11. © 2011 Marcelo Lau
Conteúdo completo da formação
Segurança da Informação em Banco de Dados:
Introdução à Segurança em Bancos de Dados.
Identificação e Autenticação.
Autorização e Auditoria.
Refinamento do controle de acesso.
Segurança no Desenvolvimento de Aplicativos:
Introdução à programação segura.
Técnicas de codificação segura.
Consideração de segurança na comunicação.
Tópicos Avançados.
Security Officer Advanced
- 12. © 2011 Marcelo Lau
Conteúdo completo da formação
Segurança em Sistemas Operacionais:
Introdução à segurança de sistemas operacionais.
Hardening do Sistema operacional.
Segurança de aplicações.
Automatização da segurança em sistemas.
Criptologia:
Introdução à Criptografia.
Criptoanálise.
Esteganografia.
Criptografia no Processo de Comunicação.
Security Officer Advanced
- 13. © 2011 Marcelo Lau
Referências adicionais para estudo
Bibliografia Data Security (http://www.datasecurity.com.br) em:
Análise de vulnerabilidade.
Forense Computacional.
Biometria.
Segurança em Sistemas Operacionais
Ameaças aos sistemas computacionais,
E muito mais...
Security Officer Advanced