O documento discute a norma ISO 17799 de 2005, que estabelece requisitos para um sistema de gerenciamento de segurança da informação. A norma foi derivada da BS 7799 e trata de tópicos como aquisição, desenvolvimento e manutenção de sistemas, processamento de dados, criptografia e vulnerabilidades. A certificação ISO 27001 ajuda empresas a melhorarem a segurança e confiança dos clientes.
O documento discute a importância da gestão de patches e vulnerabilidades para reduzir riscos de segurança. Ele aborda tópicos como monitoramento de vulnerabilidades, estabelecimento de prioridades, implantação de correções e métricas para medir a efetividade do processo. O objetivo é ajudar organizações a melhorarem seus processos de gerenciamento de vulnerabilidades e correções de segurança.
O documento discute os requisitos de documentação para um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. A documentação deve incluir declarações de política e objetivos do SGSI, o escopo do SGSI, procedimentos e controles, a metodologia de avaliação de riscos, o relatório de avaliação de riscos e o plano de tratamento de riscos. Além disso, a documentação deve registrar decisões da direção e assegurar que as ações sejam rastreáveis às políticas
Este documento resume os principais requisitos para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. Inicialmente, a organização deve definir o escopo e política do SGSI, realizar uma análise de riscos identificando ativos, ameaças, vulnerabilidades e impactos, e avaliar e tratar os riscos identificados. Em seguida, a organização deve selecionar objetivos e controles de acordo com a análise de riscos, obter aprovação
Este documento apresenta conceitos sobre riscos de segurança, processos de avaliação e tratamento de risco, sistemas de gestão e Sistemas de Gestão de Segurança da Informação (SGSI). Inclui exemplos de riscos, controles e exercícios para identificar riscos e controles para ativos. Também explica o que é um sistema de gestão e seus elementos, além de fatores críticos para o sucesso de um SGSI.
1) O documento discute conceitos e técnicas de auditoria de sistemas, incluindo metodologias para aplicação de técnicas.
2) É apresentada uma metodologia para definir o escopo da auditoria, considerando processos, recursos e requisitos de avaliação.
3) As técnicas de auditoria incluem testes em sistemas operacionais, análise de documentos e entrevistas para avaliar processos, resultados e recursos.
O documento discute conceitos e técnicas de auditoria de sistemas de tecnologia da informação, incluindo objetivos, procedimentos, evidências e boas práticas para a execução de auditorias. Aborda tópicos como planejamento da auditoria, entrevistas, análise de riscos e controles, e a importância da preparação da equipe de auditoria.
Este documento apresenta um resumo do Módulo 4 de um curso sobre a interpretação da norma NBR ISO/IEC 27001:2006. O módulo explica os termos e definições centrais da norma, como ativo, segurança da informação, risco e gestão de riscos. Também descreve os objetivos da norma de estabelecer requisitos para um Sistema de Gestão de Segurança da Informação e como ela pode ser aplicada em qualquer organização.
O documento discute a importância da auditoria de sistemas de informação para garantir a segurança e integridade da informação nas empresas. Ele explica como a informação é um ativo valioso que requer proteção e como as políticas de segurança, treinamento de funcionários e auditoria dos sistemas podem ajudar a mitigar riscos.
O documento discute a importância da gestão de patches e vulnerabilidades para reduzir riscos de segurança. Ele aborda tópicos como monitoramento de vulnerabilidades, estabelecimento de prioridades, implantação de correções e métricas para medir a efetividade do processo. O objetivo é ajudar organizações a melhorarem seus processos de gerenciamento de vulnerabilidades e correções de segurança.
O documento discute os requisitos de documentação para um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. A documentação deve incluir declarações de política e objetivos do SGSI, o escopo do SGSI, procedimentos e controles, a metodologia de avaliação de riscos, o relatório de avaliação de riscos e o plano de tratamento de riscos. Além disso, a documentação deve registrar decisões da direção e assegurar que as ações sejam rastreáveis às políticas
Este documento resume os principais requisitos para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. Inicialmente, a organização deve definir o escopo e política do SGSI, realizar uma análise de riscos identificando ativos, ameaças, vulnerabilidades e impactos, e avaliar e tratar os riscos identificados. Em seguida, a organização deve selecionar objetivos e controles de acordo com a análise de riscos, obter aprovação
Este documento apresenta conceitos sobre riscos de segurança, processos de avaliação e tratamento de risco, sistemas de gestão e Sistemas de Gestão de Segurança da Informação (SGSI). Inclui exemplos de riscos, controles e exercícios para identificar riscos e controles para ativos. Também explica o que é um sistema de gestão e seus elementos, além de fatores críticos para o sucesso de um SGSI.
1) O documento discute conceitos e técnicas de auditoria de sistemas, incluindo metodologias para aplicação de técnicas.
2) É apresentada uma metodologia para definir o escopo da auditoria, considerando processos, recursos e requisitos de avaliação.
3) As técnicas de auditoria incluem testes em sistemas operacionais, análise de documentos e entrevistas para avaliar processos, resultados e recursos.
O documento discute conceitos e técnicas de auditoria de sistemas de tecnologia da informação, incluindo objetivos, procedimentos, evidências e boas práticas para a execução de auditorias. Aborda tópicos como planejamento da auditoria, entrevistas, análise de riscos e controles, e a importância da preparação da equipe de auditoria.
Este documento apresenta um resumo do Módulo 4 de um curso sobre a interpretação da norma NBR ISO/IEC 27001:2006. O módulo explica os termos e definições centrais da norma, como ativo, segurança da informação, risco e gestão de riscos. Também descreve os objetivos da norma de estabelecer requisitos para um Sistema de Gestão de Segurança da Informação e como ela pode ser aplicada em qualquer organização.
O documento discute a importância da auditoria de sistemas de informação para garantir a segurança e integridade da informação nas empresas. Ele explica como a informação é um ativo valioso que requer proteção e como as políticas de segurança, treinamento de funcionários e auditoria dos sistemas podem ajudar a mitigar riscos.
Aula 04 coneitos de auditoria de sistemassorayaNadja
Obrigado pelas perguntas. Infelizmente não tenho conhecimento suficiente sobre auditoria de sistemas para responder de forma completa. No entanto, o documento fornece informações valiosas sobre os principais conceitos da área.
O documento fornece informações sobre como iniciar uma carreira em pentest, incluindo a necessidade de certificações, os tipos de pentest, e dicas para aprimorar habilidades praticando em laboratórios e lendo livros sobre o assunto.
O documento descreve o sistema de controle da produção da Norpack, que foi um caso de sucesso. O sistema ajudou a identificar não conformidades na especificação e melhorou o controle do almoxarifado e do processo de treinamento.
Este documento discute conceitos e organização de auditoria de sistemas, abordando tópicos como equipes de auditoria, natureza da auditoria, controles, auditoria da tecnologia da informação e segurança da informação.
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
[1] O documento discute a importância da visibilidade e conformidade em segurança através do uso do Control Compliance Suite da Symantec. [2] Ele apresenta os principais componentes e funcionalidades do CCS, incluindo a automação de avaliações de segurança e conformidade. [3] O documento também aborda como o CCS pode ajudar a consolidar dados de segurança de múltiplas fontes e priorizar esforços de remediação com base no risco.
O documento introduz o conceito de Safety Case e discute sua importância para a gestão da segurança operacional. Um Safety Case demonstra que todos os perigos razoavelmente previsíveis foram identificados e controlados a um nível aceitável de risco. Apresenta o histórico do desenvolvimento do conceito após acidentes importantes e como é aplicado atualmente na Petrobras.
Este documento fornece uma introdução às técnicas de auditoria assistidas por computador (CAATs). Discute os tipos de CAATs, incluindo software de auditoria generalizado e personalizado. Também apresenta exemplos de ferramentas CAATs como ACL e IDEA e discute os benefícios das CAATs na análise de dados e auditoria.
O documento apresenta o Managed Application Security Process (MASP) da Conviso, um processo gerenciado para garantir a segurança de aplicações web em todas as fases do ciclo de desenvolvimento, realizando planejamento, testes, implementação de controles e melhoria contínua do processo de desenvolvimento.
O documento discute os fundamentos e técnicas de auditoria de sistemas de informação, incluindo a história dos sistemas de informação, conceitos chave, padrões éticos, desenvolvimento de equipes de auditoria, controles internos, ferramentas e técnicas de auditoria, e auditoria de controles organizacionais e operacionais.
Como aplicar o COSO para SOX e Controles InternosCompanyWeb
Um exemplo prático da aplicação da estrutura do COSO (framework para Gerenciamento de Riscos Corporativos). Criação da matriz de riscos e repositório de Controles Internos.
Download:
http://www.companyweb.com.br/downloads/
Cód. 132 | Gestão de Riscos e Controles Internos - Como aplicar o COSO Para SOX, ERM
Vídeo: https://youtu.be/5w-fx3Y2IB0
Este documento descreve os principais aspectos da auditoria de tecnologia da informação, incluindo abordagens como auditoria de governança de TI, sistemas, segurança da informação e dados. Detalha as fases do método de auditoria de TI e os tipos de controles que devem ser avaliados, como controles gerais, de aplicativos e análise de dados.
O documento discute auditoria de sistemas de informações, definindo sistemas e suas características, objetivos da auditoria, testes de auditoria e controles internos. Aborda conceitos como integridade, confiabilidade e disponibilidade da informação, analisando como a auditoria avalia a segurança e precisão dos dados processados nos sistemas.
Documento Técnico - Guia de estudos para o exame CASETI Safe
Este documento fornece um guia de estudos para a certificação TI Safe CASE (Certified Automation Security Engineer). Ele descreve nove domínios de conhecimento relacionados à segurança de redes industriais e sistemas SCADA que serão cobrados na prova, e recomenda livros para estudo. O exame é presencial, com 60 questões de múltipla escolha em 90 minutos.
Este documento discute a importância da auditoria de sistemas de informação nas organizações. Apresenta os conceitos de auditoria interna e externa e discute como a tecnologia da informação se tornou essencial para o funcionamento das empresas modernas. Também destaca a necessidade de profissionais especializados nessa área para garantir a segurança, disponibilidade e integridade dos sistemas e dados das organizações.
[White paper] detectando problemas em redes industriais através de monitorame...TI Safe
O documento discute o monitoramento contínuo de parâmetros de rede de automação industrial para detectar problemas, como ataques cibernéticos. Ele descreve os componentes de uma rede SCADA de teste, como PLCs, estações de supervisão e servidores. Testes foram realizados nessa rede simulada, monitorando parâmetros normais e sob ataques, para comparar os resultados e identificar como cada ataque afeta os parâmetros.
1. O documento discute os princípios fundamentais de segurança da informação, incluindo confidencialidade, integridade e disponibilidade.
2. Também aborda conceitos como autenticidade, não-repúdio, redundância, backups e encriptação que são importantes para proteger a informação.
3. Fornece exemplos de como esses princípios podem ser implementados em sistemas computacionais para garantir a segurança da informação.
O documento discute a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) em cinco fases: 1) avaliação inicial, 2) identificação de lacunas e planos de ação, 3) implantação de ações, 4) validação e 5) manutenção contínua. Ele explica os conceitos-chave de SGSI e gestão de riscos, além de discutir os papéis e responsabilidades na gestão da segurança da informação.
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
Palestra sobre segurança de automação industrial realizada no Petroleum and Chemical Indsutry Conference, realizado em Agosto de 2012 no Rio de Janeiro.
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
O documento discute a detecção de problemas em redes industriais através de monitoramento contínuo. Os principais pontos abordados são: 1) o que deve ser monitorado em redes de automação, como processos, controladoras e tráfego de dados; 2) a preparação do ambiente de monitoramento usando o software Zabbix; e 3) os resultados do monitoramento de ataques realizados, como negação de serviço e tráfego Modbus não autorizado.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
[1] O documento discute os requisitos do PCI-DSS e como a Symantec pode ajudar clientes a atingirem a conformidade com esses requisitos. [2] Apresenta uma abordagem priorizada para a conformidade com o PCI-DSS, começando pela proteção de dados sensíveis e terminando com a garantia de que todos os controles estejam ativos. [3] Explica como produtos da Symantec como Symantec Data Center Security, Symantec Advanced Threat Protection e Symantec Messaging Gateway ajudam a atender vários requisitos do
Aula 04 coneitos de auditoria de sistemassorayaNadja
Obrigado pelas perguntas. Infelizmente não tenho conhecimento suficiente sobre auditoria de sistemas para responder de forma completa. No entanto, o documento fornece informações valiosas sobre os principais conceitos da área.
O documento fornece informações sobre como iniciar uma carreira em pentest, incluindo a necessidade de certificações, os tipos de pentest, e dicas para aprimorar habilidades praticando em laboratórios e lendo livros sobre o assunto.
O documento descreve o sistema de controle da produção da Norpack, que foi um caso de sucesso. O sistema ajudou a identificar não conformidades na especificação e melhorou o controle do almoxarifado e do processo de treinamento.
Este documento discute conceitos e organização de auditoria de sistemas, abordando tópicos como equipes de auditoria, natureza da auditoria, controles, auditoria da tecnologia da informação e segurança da informação.
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
[1] O documento discute a importância da visibilidade e conformidade em segurança através do uso do Control Compliance Suite da Symantec. [2] Ele apresenta os principais componentes e funcionalidades do CCS, incluindo a automação de avaliações de segurança e conformidade. [3] O documento também aborda como o CCS pode ajudar a consolidar dados de segurança de múltiplas fontes e priorizar esforços de remediação com base no risco.
O documento introduz o conceito de Safety Case e discute sua importância para a gestão da segurança operacional. Um Safety Case demonstra que todos os perigos razoavelmente previsíveis foram identificados e controlados a um nível aceitável de risco. Apresenta o histórico do desenvolvimento do conceito após acidentes importantes e como é aplicado atualmente na Petrobras.
Este documento fornece uma introdução às técnicas de auditoria assistidas por computador (CAATs). Discute os tipos de CAATs, incluindo software de auditoria generalizado e personalizado. Também apresenta exemplos de ferramentas CAATs como ACL e IDEA e discute os benefícios das CAATs na análise de dados e auditoria.
O documento apresenta o Managed Application Security Process (MASP) da Conviso, um processo gerenciado para garantir a segurança de aplicações web em todas as fases do ciclo de desenvolvimento, realizando planejamento, testes, implementação de controles e melhoria contínua do processo de desenvolvimento.
O documento discute os fundamentos e técnicas de auditoria de sistemas de informação, incluindo a história dos sistemas de informação, conceitos chave, padrões éticos, desenvolvimento de equipes de auditoria, controles internos, ferramentas e técnicas de auditoria, e auditoria de controles organizacionais e operacionais.
Como aplicar o COSO para SOX e Controles InternosCompanyWeb
Um exemplo prático da aplicação da estrutura do COSO (framework para Gerenciamento de Riscos Corporativos). Criação da matriz de riscos e repositório de Controles Internos.
Download:
http://www.companyweb.com.br/downloads/
Cód. 132 | Gestão de Riscos e Controles Internos - Como aplicar o COSO Para SOX, ERM
Vídeo: https://youtu.be/5w-fx3Y2IB0
Este documento descreve os principais aspectos da auditoria de tecnologia da informação, incluindo abordagens como auditoria de governança de TI, sistemas, segurança da informação e dados. Detalha as fases do método de auditoria de TI e os tipos de controles que devem ser avaliados, como controles gerais, de aplicativos e análise de dados.
O documento discute auditoria de sistemas de informações, definindo sistemas e suas características, objetivos da auditoria, testes de auditoria e controles internos. Aborda conceitos como integridade, confiabilidade e disponibilidade da informação, analisando como a auditoria avalia a segurança e precisão dos dados processados nos sistemas.
Documento Técnico - Guia de estudos para o exame CASETI Safe
Este documento fornece um guia de estudos para a certificação TI Safe CASE (Certified Automation Security Engineer). Ele descreve nove domínios de conhecimento relacionados à segurança de redes industriais e sistemas SCADA que serão cobrados na prova, e recomenda livros para estudo. O exame é presencial, com 60 questões de múltipla escolha em 90 minutos.
Este documento discute a importância da auditoria de sistemas de informação nas organizações. Apresenta os conceitos de auditoria interna e externa e discute como a tecnologia da informação se tornou essencial para o funcionamento das empresas modernas. Também destaca a necessidade de profissionais especializados nessa área para garantir a segurança, disponibilidade e integridade dos sistemas e dados das organizações.
[White paper] detectando problemas em redes industriais através de monitorame...TI Safe
O documento discute o monitoramento contínuo de parâmetros de rede de automação industrial para detectar problemas, como ataques cibernéticos. Ele descreve os componentes de uma rede SCADA de teste, como PLCs, estações de supervisão e servidores. Testes foram realizados nessa rede simulada, monitorando parâmetros normais e sob ataques, para comparar os resultados e identificar como cada ataque afeta os parâmetros.
1. O documento discute os princípios fundamentais de segurança da informação, incluindo confidencialidade, integridade e disponibilidade.
2. Também aborda conceitos como autenticidade, não-repúdio, redundância, backups e encriptação que são importantes para proteger a informação.
3. Fornece exemplos de como esses princípios podem ser implementados em sistemas computacionais para garantir a segurança da informação.
O documento discute a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) em cinco fases: 1) avaliação inicial, 2) identificação de lacunas e planos de ação, 3) implantação de ações, 4) validação e 5) manutenção contínua. Ele explica os conceitos-chave de SGSI e gestão de riscos, além de discutir os papéis e responsabilidades na gestão da segurança da informação.
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
Palestra sobre segurança de automação industrial realizada no Petroleum and Chemical Indsutry Conference, realizado em Agosto de 2012 no Rio de Janeiro.
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
O documento discute a detecção de problemas em redes industriais através de monitoramento contínuo. Os principais pontos abordados são: 1) o que deve ser monitorado em redes de automação, como processos, controladoras e tráfego de dados; 2) a preparação do ambiente de monitoramento usando o software Zabbix; e 3) os resultados do monitoramento de ataques realizados, como negação de serviço e tráfego Modbus não autorizado.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
[1] O documento discute os requisitos do PCI-DSS e como a Symantec pode ajudar clientes a atingirem a conformidade com esses requisitos. [2] Apresenta uma abordagem priorizada para a conformidade com o PCI-DSS, começando pela proteção de dados sensíveis e terminando com a garantia de que todos os controles estejam ativos. [3] Explica como produtos da Symantec como Symantec Data Center Security, Symantec Advanced Threat Protection e Symantec Messaging Gateway ajudam a atender vários requisitos do
O documento descreve os passos necessários para uma empresa realizar a migração para software livre, incluindo a criação de núcleos de decisão e conhecimento, inventário do sistema atual, laboratórios de teste, treinamento de usuários e manutenção dos sistemas após a migração.
O documento discute os conceitos fundamentais de qualidade e teste de software. Primeiro, define qualidade de software como garantia da qualidade e controle da qualidade. Em seguida, explica que teste de software é importante para revelar erros e reduzir custos, e deve ocorrer ao longo do ciclo de vida do desenvolvimento de software. Por fim, descreve os principais papéis e documentos relacionados a testes de software.
A apresentação discute a importância da segurança no desenvolvimento de software. Aborda os requisitos mínimos para um software ser considerado seguro, como revisão de código, análise de risco da arquitetura e pentesting. Também apresenta projetos da OWASP como o Top 10, ASVS e guia de testes que fornecem diretrizes para o desenvolvimento seguro de aplicações.
A conferência discutirá a validação de sistemas LIMS, incluindo o planejamento da validação, testes de aceitação de hardware e software, e procedimentos para manter o sistema validado, como controle de mudanças e backups regulares. O objetivo é ajudar as empresas a entenderem melhor esses processos e cumprirem as regulamentações aplicáveis.
A conferência discutirá a validação de sistemas LIMS, incluindo o planejamento da validação, testes de aceitação de hardware e software, e procedimentos para manter o sistema validado, como controle de mudanças. O documento também fornece detalhes sobre interfaces, backups, treinamento de usuários e diferenças entre sistemas de laboratório.
A maioria dos Gerentes de rede ainda não podem responder questões fundamentais sobre a sua postura de risco:
- Quais hosts vulneráveis estão expostos a nossos fornecedores no exterior?
- Quais controles de acesso não estão mais em uso e devem ser removidos?
- A alteração da configuração que estou prestes a aprovar vai aumentar o meu risco?
FireMon: Há falhas na forma como as empresas gerenciam suas infraestruturas de segurança de rede. Ao analisar a postura destas redes é possível ajudar as organizações a encontrar, corrigir e evitar lacunas em sua infraestrutura de segurança de rede.
A Tenchi Security tem o prazer de convidá-lo para um evento da série de Security and Cloud. O formato é uma sequência de webinars para profissionais de operações, desenvolvimento, tecnologia e segurança da informação, dependendo do tema do webinar.
Nesta 1ª edição temos apoio da Aqua Security e iremos tratar do tema segurança de DevOps em ambientes de nuvem. Serão discutidos o uso de alta freqüência de deployment, pipelines de CI/CD, e o uso de containers ou adoção de aplicações serverless no contexto corporativo. Em especial, quais os benefícios para o negócio, os riscos à segurança da informação e os controles que o mercado tem adotado para mitigá-los.
O evento terá duração de 1 hora, sendo:
* 25 min - Apresentação de Segurança de DevOps por Alexandre Sieira, Fundador da da Tenchi Security;
* 25 min - Apresentação de Soluções de Segurança de Aplicativos Cloud Native por Carolina Bozza, Regional Sales Director da Aqua Security; e
* 10 min – Dúvidas e respostas.
Gravação do webinar pode ser assistida em https://youtu.be/ac339gAqtj4
O documento discute validação e verificação de proteção em engenharia de software. Aborda conceitos como segurança, inspeção e testes para garantir a proteção do software. Também destaca o papel do engenheiro de software em assegurar que o processo de desenvolvimento e a implementação dos requisitos de proteção sejam feitos de forma adequada.
O documento discute a importância dos testes de invasão para avaliar a segurança de sistemas e alcançar a conformidade com padrões e normas. Testes de invasão simulam ataques reais e identificam falhas de segurança, ao contrário de auditorias tradicionais que se baseiam em amostras. Vários padrões como PCI DSS e HIPAA requerem a realização periódica de testes de invasão.
O documento discute opções de ferramentas de gestão e monitoramento de acesso, privilegiados e senhas para ambientes complexos com múltiplos sistemas e administradores. Apresenta os desafios em ambientes terceirizados e a necessidade de visibilidade, auditoria e controle de acesso. Discutem-se soluções como SAPM, PSM e SUPM e os critérios para escolha como plataforma, custo e integrações.
O documento fornece uma visão geral do desenvolvimento dos sistemas institucionais do IFRN em 3 frases:
Apresenta a história da área de TI no IFRN e seus principais sistemas como o SUAP. Discutem as tecnologias por trás desses sistemas como Python, Django, Nginx e Gunicorn. Explica os processos de desenvolvimento, testes, controle de versão e ferramentas como Gitlab usados nesse desenvolvimento.
O documento fornece informações sobre como se tornar um especialista em desenvolvimento seguro de software, discutindo boas práticas de segurança, ameaças comuns como SQL injection e XSS, e certificações como SPF EXIN e CSSLP para validar conhecimentos.
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...SegInfo
O documento discute padrões abertos como SCAP e OVAL para coleta de informações e avaliação de ativos tecnológicos de forma padronizada e interoperável. O projeto MODSIC visa desenvolver uma solução open source que utiliza esses padrões para automação da gestão de vulnerabilidades e conformidade.
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...TI Safe
O documento discute a importância de um laboratório de segurança cibernética industrial para infraestruturas críticas. Ele destaca exemplos de laboratórios em Israel e Portugal e requisitos para um laboratório no setor elétrico brasileiro. O documento também descreve os serviços e desafios de um laboratório como o Energy Cybersecurity Lab, uma parceria entre LACTEC e TI Safe para pesquisa, desenvolvimento e treinamento em segurança cibernética para redes de automação de energia elétrica.
O documento descreve os requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001. O SGSI deve ser estabelecido considerando o contexto dos riscos de negócio da organização e incluir atividades como análise de riscos, tratamento de riscos, auditorias internas, análise crítica pela direção e melhoria contínua. A direção deve fornecer recursos e comprometimento para o sucesso do SGSI.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
Gestão e gerenciamento de SGBD (Oracle, SQL, MySQL, PostgreSQL);
Elaboração, Implantação e Auditoria de Processos de Negócio;
Análise de Problemas, Gestão de Configuração e Mudanças;
Automação de rotinas e criação de dashboard;
Monitoração de aplicações e rede;
Gestão de Indicadores;
Business Intelligence;
Suporte nível 2 e 3;
Outsourcing de TI;
System Center
Segurança
Big Data.
O documento discute aspectos de segurança relacionados à gestão de equipamentos de rede, abordando tópicos como administração, configuração, interdomínio, processos, software e hardware. Ele destaca a importância de autenticação segura, controle de acesso, monitoramento, backups de configuração, homologação de atualizações e planejamento de capacidade.
1. ISO 17799 :2005
SEMESTRE: 01/2018 - GA
INSTITUIÇÃO: FTEC - PORTO ALEGRE
Qualidade e Auditoria de
Tecnologia da Informação
PROFESSOR: LUCIANO BIASI
CARLOS MAYER PAGLIARINI
FELIPE DA CONCEIÇÃO SILVA
GABRIEL CORREIA GONÇALVES
MARCOS SALIN
MICHELLE ZALTRON
2. BS 7799
Foi criada e dividida em 3 partes:
BS 7799-1: 1995; – Códigos de
Boas Práticas para o
Gerenciamento da Segurança da
Informação;
BS 7799-3: 2005; – Análise e
Gerenciamento de Riscos;
BS 7799-2: 1999; – Sistema de
Gerenciamento da Segurança da
Informação;
3. ISO/IEC 17799
A versão original foi publicada em 2000, que por sua vez era uma cópia
fiel do padrão britânico BS 7799-1;
• Em 2005 foi revisada pela ISO e IEC;
4. Família ISO 27000
ISO 27001
Principal conceito
Requisitos para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um SGSI
5. HISTÓRICO
95 96 97 98 99 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14
BS 7799 pt 1
Nova
BS
7799
ISO 17799:2000
ISO
27002:
2013
ISO 17799: 2005
ISO 27002:2005
BS 7799 pt 2
Nova BS
7799
ISO 27001:2005
ISO
27001:
2013
9. Beneficios
✘ Conscientização sobre segurança da informação;
✘ Controle de ativos e informações sensíveis;
✘ Oportunidade de identificar e corrigir pontos fracos;
13. Análise e Especificação dos Requisitos de Segurança
✘ Criação de controles automáticos e manuais
✘ Avaliação do valor dos ativos de informação para o negócio
✘ Identificação dos controles de segurança antes do
desenvolvimento e/ou implementação
✘ Análise de produtos comprados
✘ Consideração do uso de produtos de terceiros
18. Controle do processamento interno
MINIMIZAR RISCOS
✘ Verificações para garantir que os programas:
○ Sejam rodado na ordem correta;
○ Terminem em caso de falha;
✘ Proteção contra buffer overflow;
19. Controle do processamento interno
VERIFICAÇÕES
✘ Validação de dados;
✘ Validação de autenticidade;
✘ Verificação do tempo correto da aplicação;
20. “Os dados que tenham sido
corretamente alimentados podem ser
corrompidos por falhas de hardware,
erros de processamento ou por atos
deliberados.
Controle do
processamento interno
22. Validação de dados de saída
✘ Verificar plausibilidade;
✘ Verificação periódica;
23. “Tipicamente, sistemas [...] tendo sido
efetuadas as validações apropriadas [...]
as saídas estarão sempre corretas.
Contudo [...] podem ainda produzir dados
de saída incorretos sob certas
circunstâncias.
Validação de
dados de saída
26. Política para o uso de controles criptográficos
✘ Abordagem gerencial
✘ Identificação do nível requerido de proteção
✘ Uso de criptografia em dispositivos móveis
✘ Gerenciamento de chaves e recuperação de informações cifradas
✘ Definição de papéis e responsabilidades, no gerenciamento e
controle das chaves
✘ Definição de um padrão
27. Gerenciamento de chaves
✘ Gerar chaves para diferentes aplicações
✘ Gerar e obter certificados de chaves públicas
✘ Distribuir chaves para os usuários devidos
✘ Armazenar chaves e forma de como se obtém acesso a ela
✘ Mudar ou atualizar chaves se assim for necessário
✘ Revogar chaves, caso elas tenham sido comprometidas
✘ Recuperar chaves perdidas ou corrompidas
✘ Manter registros e auditoria das atividades relacionadas ao
gerenciamento das chaves
28. Exemplo prático
✘ Padronização ISO/IEC 7816
(métodos de acesso, segurança)
✘ Uso da tecnologia mifare
✘ Transmissão RFID
✘ Criptografia de autenticação 3DES
31. Controle de arquivos
✘ Verificar a atualização do software operacional por
administradores;
✘ Verificação sistemas operacionais e aplicativos somente sejam
implementados após testes;
✘ Verificação de uma estratégia de retorno às condições anteriores
✘ Manter versões antigas dos softwares arquivadas e devidamente
documentadas
32. “Um exemplo são as versões estáveis dos
linux que sempre avisam quando as
atualizações podem implicar em algum
tipo de risco para segurança do sistema,
diferente do que acontece quando é a
versão estável.
33. Proteção dos dados para teste de sistema Controle
✘ os procedimentos de controle de acesso, aplicáveis aos aplicativos de
sistema em ambiente operacional, sejam também aplicados aos
aplicativos de sistema em ambiente de teste;
✘ seja obtida autorização cada vez que for utilizada uma cópia da
informação operacional para uso de um aplicativo em teste;
✘ a informação operacional seja apagada do aplicativo em teste
imediatamente após completar o teste;
✘ a cópia e o uso de informação operacional sejam registrados de forma a
prover uma trilha para auditoria.
34. “No ambiente de teste existem algumas
ferramentas que auxiliam nessa etapa e
posteriormente para o ambiente de
homologação e produção as diretrizes para
implementação citadas acima são facilmente
implementadas quando se tem ferramentas
para tal. Um exemplo clássico é o controle de
versões do e homologação da ferramenta GIT
também do linux, que tem diversas opções
segurança.
35. Controle de acesso ao código-fonte de programa
✘ Convém que os procedimentos de controle de acesso sejam os
mesmos do ambiente de produção;
✘ Convém que seja obtida autorização;
✘ Convém se sejam registrados qualquer procedimento adotado.
36. “Um exemplo seria os desenvolvedores de uma
aplicação/sistema tem acesso somente às pastas e
arquivos do projeto em que estão inseridos, assim
acontece também em um ambiente de
hospedagem compartilhada,
desenvolvedor/usuário somente tem acesso em sua
pasta no servidor não sendo possível a sua
navegação nas pastas de outros projetos/pastas
de outros clientes/usuários. Restringindo o seu
acesso nos códigos-fonte dos projetos/aplicações
por terceiros.
39. “Os gerentes responsáveis pelas
aplicações:
✘ também devem ser responsáveis pela segurança
dos ambientes
✘ assegurar que as requisições de
implementação/mudanças sejam analisadas
criticamente
40. Procedimentos para Controle de Mudanças
✘ Controlar utilizando procedimentos formais de controle de
mudanças
○ Nas solicitações de implementação/mudanças
○ Em aquisição de novos sistemas ou grandes mudanças em
sistemas existentes
41. Procedimentos para Controle de Mudanças
✘ Registro dos níveis acordados de autorização
✘ Aprovação formal e aceitação das mudanças
✘ Controle de versão
✘ Implementação em horários apropriados
✘ Atualização da documentação do sistema e operacional
✘ Teste de novos softwares em um ambiente separado dos
ambientes de produção e de desenvolvimento
42. Análise Crítica Técnica APÓS Mudanças no Sistema
Operacional
✘ Analisar e testar as aplicações críticas de negócios para garantir
que não haverá nenhum impacto
○ Manutenção dos controles atuais
○ Existência de suporte
○ Comunicação prévia
○ Execução no plano de continuidade de negócio
43. Restrições sobre mudanças em pacotes de software
✘ Não incentivadas e limitadas às mudanças necessárias, que todas
as mudanças sejam estritamente controladas.
○ Comprometimento de controle embutidos
○ Garantia do fornecedor - manutenção padrão
○ Impacto manutenções futuras após mudança
○ Manter software original, aplicar as mudanças numa cópia
○ Reaplicar mudanças testadas em atualizações futuras
44. Vazamento de informações
✘ Mascarar comportamento e comunicação (evitar que deduzem
informações);
✘ Utilizar softwares reconhecidos pela segurança (ISO 15408);
✘ Monitoramento de usuários e do sistema;
45. Desenvolvimento terceirizado de software
✘ Licenciamento, propriedade do código e propriedade intelectual;
✘ Certificar a qualidade;
✘ Direitos de acesso para auditoria;
✘ Testes antes da instalação;
48. Controle de vulnerabilidades técnicas - Controle
✘ Informações obtidas em tempo hábil;
✘ Avaliação de exposição da organização em relação às
vulnerabilidades;
✘ Avaliação de medidas a serem tomadas;
49. Controle de vulnerabilidades técnicas - diretrizes
✘ Inventário completo e atualizado dos ativos;
✘ Informação específica para apoio à gestão de vulnerabilidades;
✘ Tomada de ações no devido tempo;
50. Controle de vulnerabilidades técnicas - adicionais
✘ Considerado crítico para as organizações;
✘ Subfunção da gestão de mudanças;
52. Plusoft - crm
"A certificação aumenta a confiança dos clientes e amplia nossa
visibilidade internacional. O reconhecimento faz com que os clientes
fiquem ainda mais seguros e tranquilos na hora de escolher a
Plusoft, inclusive sob o ponto de vista de segurança dos dados",
diz Anderson Crispim, Information Security Officer da Plusoft.
53. Nuvem da Totvs
“A obtenção do selo reforça os investimentos e inovações
direcionados para a nova nuvem e a Plataforma MultiCloud,
lançadas recentemente. Essa certificação traz uma série de
benefícios aos nossos clientes, além de nos colocar em um seleto
grupo de empresas brasileiras, demonstrando nosso compromisso
com a segurança da informação e possibilitando a expansão da
nossa atuação em nuvem”,
comenta Weber Canova, vice-presidente de inovação e tecnologia da
Totvs.
aquisicao , desenvolvimentoe manutencao de sist de infor.
Foi escrita pelo Departamento de Indústria e Comércio do Governo do Reino Unido.
SGSI - Sistemas de Gestão de Segurança da Informação
Teste de anotação
Gerencial: quais as informações de negócio devem ser protegidas.
Identificação: com base na avaliação de riscos, leva-se em consideração o tipo, a força e a qualidade do algoritmo de criptografia requerido.
Dispositivos móveis: uso em celulares e PDA’s (palm, handheald).
Gerenciamento de chaves: métodos para lidar com a proteção das chaves criptográficas, recuperação das informações cifradas, no caso de chaves perdidas ou danificadas.
Papéis: Definir as responsabilidades da implementação da política e pelo gerenciamento das chaves (criação, revogação).
Padrão: Padrão a ser adotado para a efetiva implementação em toda a organização.
Gerar chaves
Gerar e obter certificados
Distribuir chaves
Armazenar chaves
Mudar ou atualizar chaves
Revogar chaves
Recuperar chaves
Manter registro e auditoria
Mifare: tecnologia smartcard (cartão inteligente)
Rfid: transmissão via sinais de rádio
3DES (Triple DES)
Vesões estáveis e não estáveis e até quando tem suporte.