A palestra abordou a segurança da informação, destacando a evolução das normas e metodologias para proteger dados em um cenário tecnológico complexo. Diogo Pereira J. Manoel apresentou diversas ferramentas e frameworks, como a ISO/IEC 17799, que ajudam na gestão de segurança, além de discutir a importância da educação sobre vulnerabilidades. O evento enfatizou a necessidade de adaptação a novas ameaças e a aplicação de melhores práticas para garantir a integridade dos sistemas e informações.

1. Palestra: Segurança da informação . Palestrante: Diogo Pereira J. Manoel Email: [email_address] Contatos: www.dihpereira.com

2. Introdução a Segurança. Vimos no final do século passado coalizões, pactos, “ joint-ventures” , associações de livre comércio entre nações, e um grande “ boom” tecnológico ocasionado pela utilização da Internet, interconectou todos estes personagens e obrigou-nos a rever os processos de negócios para dinamizá-los e torná-los mais rentáveis e competitivos, temos em um cenário de convergência de tecnologias temos uma ampla rede mundial que representa a cada instante uma nova ameaça, integração de processos entre empresas, parceiros e fornecedores. Devido a necessidade do século XXI de proteger a INFORMAÇÃO, devemos estar sempre à frente e entender todas as disciplinas de segurança da informação, com o intuito de proteger este bem tão valioso que exposto a estas ameaças, pode ocasionar impactos incalculáveis às nações e corporações de todo o mundo. Institutos, universidades, governos e outras associações pelo mundo estão desenvolvendo normas e propondo mecanismos que ajudem a gestão da segurança da informação, como o BSI (British Standard Institute), na Inglaterra, que criou a norma BS-7799, considerado atualmente o mais completo padrão para o Gerenciamento da Segurança da Informação. No final do ano 2000, a Parte 1 da BS-7799 torna-se uma norma oficial da ISO (International Organization for Standardization), sob o código ISO/IEC 17799. O Brasil adotou a ISO/IEC 17799 como seu padrão em Agosto de 2001, publicação feita pela ABNT da NBR ISO/IEC 17799 - Tecnologia da Informação - Código de prática para a gestão da segurança da informação. Neste cenário em que devemos garantir a autonomia de processos que geram, tratam e manejam a informação, motor propulsor desta nova sociedade, devemos estar preparados para gerenciar a segurança da informação de maneira eficiente, através do conhecimento.

3. Segurança! O problema é meu?

4. Metodologias CCTA Risk Analysis and Management Methodology: Originalmente desenvolvido pelo Governo Britânico em 1985, teve grande aceitação no campo militar e na administração pública. Em 2001, a Insight Consulting adaptou o CRAMM à framework ISO 17799. È provavelmente a ferramenta informática mais usada no campo da análise de riscos e em particular em implementações de SGSI. ISO/IEC TR 13335-3:1998 - Guidelines for the Management of IT Security - Techniques for the management of IT Security : Este standard publicado em 1998 incide sobre a análise de risco e apresenta um método que em parte foi subscrito por vários especialistas na implementação de SGSI - Sistema de Gestão da Segurança da Informação. Neste momento o standard está a ser revisto pela mesma equipa responsável do ISO 27000. Operationally Critical Threat, Asset, and Vulnerability Evaluation: Este é o mais bem documentado método, com um site muito completo. O OCTAVE preconiza um processo de sessões onde os colaboradores, que trabalham na área analisada da organização, definem os riscos, medidas de proteção e participam em sessões de formação. NIST SP 800-30: Risk Management : Documento da metodologia do organismo de standards dos EUA. Mantém os conceitos do SP 800-14 , tais como a distinção entre entre controlos operacionais, técnicos e de gestão. Constitui uma boa introdução aos conceitos principais da gestão de risco. CORAS: Metodologia de análise de riscos orientada para sistemas, mas de acordo com o processo de gestão de risco do ISO 17799. O CORAS emprega ferramentas de identificação e análise de riscos oriundos da prevenção de acidentes . Ao longo das suas várias fases, o risco é descrido usando UML. O CORAS é um esforço europeu para criar uma metodologia de análise baseada na modelação uniformizada. IT Baseline Protection Manual: Metodologia de protecção para sistemas, eventualmente neste campo o melhor do seu género. Inclui riscos típicos para os mais frequentes recursos informáticos, facilitando deste modo a sua aplicação. Cumulativamente, apresenta controles técnicos muito actuais.

5. A.P.C.M . A (Analise, Planejamento,Controle,Monitoramento e Aplicação) APCMA é uma metodologia compactada de inúmeros processos criada por Diogo P. J Manoel para definir e compactar outras metodologias de grande importância visando a aplicação destas para se obter resultados maiores para o negócio e garantir a integridade dos colaboradores e da Infra-estrutura.

6. Análise e Planejamento. Normas e Regulamentações (NBR ISO/IEC 17799, BS 7799, ISO): Conhecer os principais institutos e os mais relevantes padrões e normas, atualmente é obrigação de um Security Officer. Este diferencial competitivo muitas vezes pode se tornar uma ameaça quando aplicado de maneira errônea. Entender estas normas, estudá-las e aplicá-las no dia-a-dia é o objetivo desta disciplina. Entre as normas que serão vistas estão a NBR ISO/IEC 17799:2005 e a BS 7799-2:2002. Detecção de Vulnerabilidades em TI: Técnicas disponíveis para análises de risco em TI; como contratar, como apresentar, como analisar os resultados e, principalmente , como montar planos de ação para mitigar os riscos. Gestão de Risco em Segurança da Informação: Detalhes jurídicos e que podem ser aplicados no dia-a-dia para que as corporações diminuam suas vulnerabilidades. Plano de Continuidade dos Negócios (PCM): Processo que é um dos mais ricos em resultados para uma corporação, serve para identificar o ambiente crítico e os maiores impactos aos negócios, que poderão ser ocasionados por processos de negócios suportados por ativos. Entendê-los, mapear as ameaças e, principalmente, detalhar estes processos, suas autonomias e impactos é o objetivo desta disciplina, que realmente ensina como podemos fazer este tipo de trabalho sem necessitar de grandes ferramentas. Política de Segurança da Informação: É usada para a montagem de uma política de SI, requisitos, necessidades, termos e outros; aderência às normas e padrões existentes; melhores práticas internacionais; como fazer, conscientizar, divulgar, aplicar controles e auditar aos usuários finais . Classificação da Informação: Classificar a informação é preciso. Apresentar as necessidades, conceitos e técnicas disponíveis para a realização deste processo que comumente é falho nas corporações. Os objetivos desta são muito necessários nos dias atuais nas empresas, porém, nem sempre as equipes conseguem identificar o caminho crítico e as técnicas simples que poderiam ser aplicadas para minimizar riscos corporativos. Gestão de Projetos( PMI ): Aplicar as áreas de conhecimento do PMI para a gestão de projetos de segurança, considerando os caminhos críticos de um projeto de segurança a rigidez e muitas vezes confidencialidade necessária ao mesmo, bem como as necessidades de comunicação e confidencialidade.

7. Análise e Planejamento.

8. Análise e Planejamento.

9. Controle e Monitoramento Camada de Controle e Monitoramento Tecnologias de Controle e Monitoramento: Apresentar as técnicas de controle e monitoramento necessárias para garantir que os controles de segurança estejam correspondendo às expectativas necessárias, e sendo efetivos por meios processuais/operacionais ou de ferramentas de software Auditoria e Prevenção de Fraudes: Manter os processos e controles em dia, correspondendo aos seus propósitos originais, medir sua eficácia e corrigir desvios, este é o propósito desta disciplina. Capacitar os profissionais para conhecer técnicas e conceitos para uma forte auditoria de segurança da informação, apresentando as não conformidades com normas e leis exigíveis. Conhecer, entender e aplicar algumas técnicas e software para tal serão os recursos desta disciplina Função do Security Officer: A estruturação de uma boa área de segurança pode ser um diferencial competitivo para muitas empresas. Forense Computacional: São as técnicas, formas e recursos para realizar auditorias forenses, que têm a finalidade de colher evidências de um determinado incidente de segurança para que sirvam de provas para análises técnicas, de qualidade, ou até mesmo de medidas de segurança.

10. Aplicação de Tecnologias Camada de Aplicação de Tecnologias . Tecnologias de Segurança em Telecomunicações e Internet : Com a crescente convergência de telecomunicações e informática, temos a necessidade de aplicar controles de segurança para garantir que estes recursos de telecomunicações não se tornem ameaças. Atualmente, com a Internet e a utilização crescente de meios sem fio temos mais . Tecnologias de Segurança Patrimonial e de Pessoas: É a técnicas e necessidades para a proteção de perímetro físico. Apresentar ferramentas, recursos, controles e outros fatores que se façam necessários para garantir os controles de segurança físicos e patrimoniais adequados. Resposta a emergências e proteções ambientais serão apresentadas, e também normas e regulamentações. Novas Tecnologias de Segurança da Informação: Visa identificar as novas tecnologias, tendências e melhores práticas que serão implementadas nos próximos anos. Segurança em Redes de Computadores: Técnicas e necessidades para a segurança de perímetro lógico, iniciando pelas redes LAN das corporações e avançando às redes WAN. Testes de segurança, ameaças, vulnerabilidades, ataques, response-team e hackers serão constantemente necessários para garantir a integridade do ambiente. Se possível contratar terceiros para efetuarem os testes. . .

11. Perfil. White hat (hacker ético): Vem do inglês " chapéu branco " e indica um hacker interessado em segurança. Utiliza os seus conhecimentos na exploração e detecção de erros de concepção, dentro da lei. A atitude típica de um white hat assim que encontra falhas de segurança é a de entrar em contacto com os responsáveis pelo sistema e informar sobre o erro, para que medidas sejam tomadas, normalmente o hacker white hat não é publicamente chamados de hacker e sim de especialista em TI, analista de sistema ou outro cargo na área de informática. No entanto, realmente são hackers. Gray hat - Tem as habilidades e intenções de um hacker de chapéu branco na maioria dos casos, mas por vezes utiliza seu conhecimento para propósitos menos nobres. Um hacker de chapéu cinza pode ser descrito como um hacker de chapéu branco que às vezes veste um chapéu preto para cumprir sua própria agenda. Hackers de chapéu cinza tipicamente se enquadram em outro tipo de ética, que diz ser aceitável penetrar em sistemas desde que o hacker não cometa roubo, vandalismo ou infrinja a confidencialidade. Black hat - I ndica um hacker criminoso ou malicioso, comparável a um terrorista. Em geral são de perfil abusivo ou rebelde. Newbie, Noob ou a sigla NB, vem do inglês "novato". Indica uma pessoa aprendiz na área, ainda sem muita habilidade, porém possui uma sede de conhecimento notável. Pergunta muito, mas freqüentemente é ignorado ou ridicularizado por outros novatos. Hackers experientes normalmente não ridicularizam os novatos, por respeito ao desejo de aprender. Phreaker , corruptela do inglês "freak" que significa "maluco", essencialmente significa a mesma coisa que o original "hacker", no entanto é um decifrador aplicado à area de telefonia (móvel ou fixa). No uso atual, entende-se que um Hacker modifica computadores, e um Phreaker modifica telefones. Cracker , do inglês "quebrador", originalmente significa alguém que "quebra" sistemas. Hoje em dia, pode tanto significar alguém que quebra sistemas de segurança na intenção de obter proveito pessoal (como por exemplo modificar um programa para que ele não precise mais ser pago), como também pode ser um termo genérico para um Black Hat. Lammer indica uma pessoa que acredita que é um hacker (decifrador), demonstra grande arrogância, no entanto sabe pouco ou muito pouco e é geralmente malicioso. Algumas pessoas acreditam que essa é uma fase natural do aprendizado, principalmente quando o conhecimento vem antes da maturidade.

12. Agradecimentos. Diogo Pereira de Jesus Manoel. MCSE+S+I (Microsoft Certified Systems Engineer + Segurança + Internet). CCNA (Cisco Certified Network Associate Routing & Switching ). MCTS ( Microsoft Certified Technology Specialist Windows 2008 Server). LPI1 ( Linux ), ITIL Foundation V3. Agradeço a oportunidade ao Centro de Estudos Microlins pela oportunidade aos seus dirigentes e a todos os alunos, instrutores e amantes do mundo digital.