SlideShare uma empresa Scribd logo

Segurança da Informação - Onde estou e para onde eu vou?

Transferir como PPTX, PDF
D
Divina Vitorino

Overview da área de segurança e dicas de estudo e especialização

Tecnologia
1 de 17
S E G U R A N Ç A D A I N F O R M A Ç Ã O O N D E E S TO U E PA R A O N D E E U V O U ?
AGENDA O QUE É SEGURANÇA DA INFORMAÇÃO? 02 O QUE ESTUDAR 03 DICAS FINAIS
DISCLAIMER • Essa palestra não reflete a opinião do meu atual empregador nem dos anteriores; • Algumas observações são baseadas nas vozes da minha cabeça; • Hidratem-se. Bebam água.
#WHOAMI • Coordenadora de Infraestrutura e Operações de SI • 16 anos de experiência em Infraestrutura, Telecom e Segurança da Informação • Formada em Redes de Computadores – Impacta Tecnologia • Pós Graduada em Computação Aplicada a Educação – USP São Carlos • Mestranda em Cybersecurity – UCAM (Murcia, Espanha)
O Q U E É S E G U R A N Ç A D A I N F O R M A Ç Ã O ?
SEGURANÇA DA INFORMAÇÃO X CYBERSECURITY Segurança da Informação Cybersecurity A segurança cibernética é a prática de proteger computadores, redes, aplicações de software, sistemas essenciais e dados de possíveis ameaças digitais. (AWS) A segurança da informação, frequentemente chamada de InfoSec, se refere aos processos e às ferramentas projetados e implantados para proteger informações corporativas confidenciais contra modificações, interrupções, destruições e inspeções. (Cisco Systems)
ÁREAS Segurança Ofensiva Red Team Pentester • Pentest (Web, Mobile, Aplicação, Cloud) • Modelagem de Ameaças • Testes de Phishing • Avaliação de Risco do Fornecedor • Análise de Vulnerabilidades • Linguagens (Python, Go) • Frameworks de Pentest (OSSTMM) • Gestão de Vulnerabilidades • Administração de Ferramentas de Segurança • Hardening • Criptografia • Resposta a Incidentes de Segurança • Threat Intelligence • Forense • Cumprimento de Normas e Regulatórios • Auditoria • Análise de risco do negócio • Melhoria contínua de processos • ESG (Ambiente, Social e Governança) • Privacidade • Conscientização • Frameworks – ISO 270001 • Modelos de desenvolvimento (Shift Left – SDLC ou Waterfall – Cascata) • Boas práticas de desenvolvimento • Desenvolvimento Seguro • Criptografia • Gestão de Vulnerabilidades Segurança Defensiva Blue Team SOC GRC Governança, Risco e Compliance Segurança de Aplicações AppSec
O Q U E E S T U D A R ?
ÁREAS DE AFINIDADE SOFTWARE E APLICAÇÕES PROGRAMAÇÃO FRONT END/BACK END FULL STACK INFRA ESTRUTURA E SUPORTE BANCO DE DADOS JORNALISMO HISTÓRIA LETRAS ESTATÍSTICA FÍSICA QUÍMICA
O CAMINHO ATÉ O TOPO DA MONTANHA [IDIOMA] INGLÊS [APLICAÇÕES] ARQUITETURA DE S.O (ENDPOINT, SERVIDOR E MOBILE) – API - MONOLITO X MICROSSERVIÇO [REDES] MODELO OSI – PROTOCOLOS DE REDE – TIPO DE REDE - ON-PREMISSES X CLOUD [BANCO DE DADOS] ESTRUTURA DE BANCO DE DADOS – SQL – RELACIONAMENTO ENTRE TABELAS – TIPOS DE CAMPO [PROGRAMAÇÃO] PROGRAMAÇÃO ORIENTADA A OBJETOS – PROGRAMAÇÃO WEB – SCRIPTS (PYTHON, C, JAVASCRIPT) [APLICAÇÕES] CODE REVIEW – SAST X DAST X IAST – METODOLOGIAS (SHIFT LEFT E WATERFALL) [REDES] SEGURANÇA DE PERÍMETRO (ON-PREMISSES E CLOUD) – HARDENING – GESTÃO DE VULNERABILIDADES [BANCO DE DADOS] AUTOMAÇÃO – PRIVACIDADE – CRIPTOGRAFIA – PROTEÇÃO DE DADOS [PROGRAMAÇÃO] ESTEIRAS CI/CD – AUTOMAÇÃO [APLICAÇÕES] DESENVOLVIMENTO SEGURO – GESTÃO DE VULNERABILIDADES – DEVSECOPS [REDES] ARQUITETURA DE REDES – SOC – CSIRT [BANCO DE DADOS] INTEGRAÇÕES [PROGRAMAÇÃO] ENGENHARIA REVERSA BÁSICO INTERMEDIÁRIO AVANÇAD O
BÁSICO [IDIOMA] INGLÊS [APLICAÇÕES] ARQUITETURA DE S.O (ENDPOINT, SERVIDOR E MOBILE) – API - MONOLITO X MICROSSERVIÇO [REDES] MODELO OSI – PROTOCOLOS DE REDE – TIPO DE REDE - ON-PREMISSES X CLOUD [BANCO DE DADOS] ESTRUTURA DE BANCO DE DADOS – SQL – RELACIONAMENTO ENTRE TABELAS – TIPOS DE CAMPO [PROGRAMAÇÃO] PROGRAMAÇÃO ORIENTADA A OBJETOS – PROGRAMAÇÃO WEB – SCRIPTS (PYTHON, C, JAVASCRIPT) COMUM A TODAS AS ÁREAS
INTERMEDIÁRIO [APLICAÇÕES] CODE REVIEW – SAST X DAST X IAST – METODOLOGIAS (SHIFT LEFT E WATERFALL) [REDES] SEGURANÇA DE PERÍMETRO (ON-PREMISSES E CLOUD) – HARDENING – GESTÃO DE VULNERABILIDADES [BANCO DE DADOS] AUTOMAÇÃO – PRIVACIDADE – CRIPTOGRAFIA – PROTEÇÃO DE DADOS [PROGRAMAÇÃO] ESTEIRAS CI/CD – AUTOMAÇÃO PRA ONDE IR?
AVANÇADO [APLICAÇÕES] DESENVOLVIMENTO SEGURO – GESTÃO DE VULNERABILIDADES – DEVSECOPS [REDES] ARQUITETURA DE REDES – SOC – CSIRT [BANCO DE DADOS] INTEGRAÇÕES [PROGRAMAÇÃO] ENGENHARIA REVERSA GOSTO DE... NÃO GOSTO DE...
OBSERVAÇÃO IMPORTANTE Caminho Feliz Caminho Real
D I C A S F I N A I S
• Atualização do conhecimento: Eventos, Fóruns Técnicos, Cursos e Workshops • Questione sempre! Excesso de confiança também pode ser uma falha de segurança • Não reinvente a roda: apoie suas decisões em Frameworks de mercado, como CIS Controls, NIST e ISO 27000
O B R I G A D A !

Recomendados

Desafio: Manter.
Desafio: Manter.Desafio: Manter.
Desafio: Manter.ISH Tecnologia
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
Cloud computing
Cloud computingCloud computing
Cloud computingRoney Médice
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...José Reynaldo Formigoni Filho, MSc
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Grupo Treinar
 

Recomendados

Desafio: Manter.
Desafio: Manter.Desafio: Manter.
Desafio: Manter.ISH Tecnologia
 
Evento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialEvento IEEE 2012 - Palestra sobre segurança de automação industrial
Evento IEEE 2012 - Palestra sobre segurança de automação industrialTI Safe
 
Cloud computing
Cloud computingCloud computing
Cloud computingRoney Médice
 
CLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesCLASS 2016 - Palestra Eduardo Fernandes
CLASS 2016 - Palestra Eduardo FernandesTI Safe
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...
Cibersegurança no Setor Elétrico: Ações internacionais e proposta para mitiga...José Reynaldo Formigoni Filho, MSc
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Grupo Treinar
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na NuvemAmazon Web Services LATAM
 
Desenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsDesenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsVinicius Oliveira Ferreira
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
SYSFACTOR Soluções em Tecnologia da Informação
SYSFACTOR Soluções em Tecnologia da InformaçãoSYSFACTOR Soluções em Tecnologia da Informação
SYSFACTOR Soluções em Tecnologia da InformaçãoKal Carvalho
 
[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio RochaTI Safe
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Curriculum Vitae Paulo Pagliusi
Curriculum Vitae Paulo PagliusiCurriculum Vitae Paulo Pagliusi
Curriculum Vitae Paulo PagliusiPaulo Pagliusi, PhD, CISM
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCarlos Eduardo Motta de Castro
 
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escal
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escalDev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escal
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escalLuiz Guilherme Bauer Fraga Moreira
 
02 introdução
02 introdução02 introdução
02 introduçãoUniversidade Federal do Pará
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Java Web, o Tutorial
Java Web, o TutorialJava Web, o Tutorial
Java Web, o TutorialRildo (@rildosan) Santos
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança CibernéticaCisco do Brasil
 
CV Jorge Ramos Ago 2014
CV Jorge Ramos Ago 2014CV Jorge Ramos Ago 2014
CV Jorge Ramos Ago 2014Jorge Ramos
 
6381463 hhhghfdhdgfh
6381463 hhhghfdhdgfh6381463 hhhghfdhdgfh
6381463 hhhghfdhdgfhCleber Almeida
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Siem on cloud times
Siem on cloud timesSiem on cloud times
Siem on cloud timesEduardo Alves
 

Mais conteúdo relacionado

Semelhante a Segurança da Informação - Onde estou e para onde eu vou?

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Desenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsDesenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsVinicius Oliveira Ferreira
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
SYSFACTOR Soluções em Tecnologia da Informação
SYSFACTOR Soluções em Tecnologia da InformaçãoSYSFACTOR Soluções em Tecnologia da Informação
SYSFACTOR Soluções em Tecnologia da InformaçãoKal Carvalho
 
[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio RochaTI Safe
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escal
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escalDev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escal
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escalLuiz Guilherme Bauer Fraga Moreira
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança CibernéticaCisco do Brasil
 
CV Jorge Ramos Ago 2014
CV Jorge Ramos Ago 2014CV Jorge Ramos Ago 2014
CV Jorge Ramos Ago 2014Jorge Ramos
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 

Semelhante a Segurança da Informação - Onde estou e para onde eu vou? (20)

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Segurança na Nuvem
Segurança na NuvemSegurança na Nuvem
Segurança na Nuvem
 
Desenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsDesenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocês
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
SYSFACTOR Soluções em Tecnologia da Informação
SYSFACTOR Soluções em Tecnologia da InformaçãoSYSFACTOR Soluções em Tecnologia da Informação
SYSFACTOR Soluções em Tecnologia da Informação
 
[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha[CLASS 2014] Palestra Técnica - Silvio Rocha
[CLASS 2014] Palestra Técnica - Silvio Rocha
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Curriculum Vitae Paulo Pagliusi
Curriculum Vitae Paulo PagliusiCurriculum Vitae Paulo Pagliusi
Curriculum Vitae Paulo Pagliusi
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos Confiaveis
 
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escal
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escalDev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escal
Dev rioclaro gerenciando o ciclo de vida das suas aplicações em larga escal
 
02 introdução
02 introdução02 introdução
02 introdução
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
Java Web, o Tutorial
Java Web, o TutorialJava Web, o Tutorial
Java Web, o Tutorial
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Soluções de segurança Cibernética
Soluções de segurança CibernéticaSoluções de segurança Cibernética
Soluções de segurança Cibernética
 
CV Jorge Ramos Ago 2014
CV Jorge Ramos Ago 2014CV Jorge Ramos Ago 2014
CV Jorge Ramos Ago 2014
 
6381463 hhhghfdhdgfh
6381463 hhhghfdhdgfh6381463 hhhghfdhdgfh
6381463 hhhghfdhdgfh
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Siem on cloud times
Siem on cloud timesSiem on cloud times
Siem on cloud times
 

Segurança da Informação - Onde estou e para onde eu vou?

  • 1. S E G U R A N Ç A D A I N F O R M A Ç Ã O O N D E E S TO U E PA R A O N D E E U V O U ?
  • 2. AGENDA O QUE É SEGURANÇA DA INFORMAÇÃO? 02 O QUE ESTUDAR 03 DICAS FINAIS
  • 3. DISCLAIMER • Essa palestra não reflete a opinião do meu atual empregador nem dos anteriores; • Algumas observações são baseadas nas vozes da minha cabeça; • Hidratem-se. Bebam água.
  • 4. #WHOAMI • Coordenadora de Infraestrutura e Operações de SI • 16 anos de experiência em Infraestrutura, Telecom e Segurança da Informação • Formada em Redes de Computadores – Impacta Tecnologia • Pós Graduada em Computação Aplicada a Educação – USP São Carlos • Mestranda em Cybersecurity – UCAM (Murcia, Espanha)
  • 5. O Q U E É S E G U R A N Ç A D A I N F O R M A Ç Ã O ?
  • 6. SEGURANÇA DA INFORMAÇÃO X CYBERSECURITY Segurança da Informação Cybersecurity A segurança cibernética é a prática de proteger computadores, redes, aplicações de software, sistemas essenciais e dados de possíveis ameaças digitais. (AWS) A segurança da informação, frequentemente chamada de InfoSec, se refere aos processos e às ferramentas projetados e implantados para proteger informações corporativas confidenciais contra modificações, interrupções, destruições e inspeções. (Cisco Systems)
  • 7. ÁREAS Segurança Ofensiva Red Team Pentester • Pentest (Web, Mobile, Aplicação, Cloud) • Modelagem de Ameaças • Testes de Phishing • Avaliação de Risco do Fornecedor • Análise de Vulnerabilidades • Linguagens (Python, Go) • Frameworks de Pentest (OSSTMM) • Gestão de Vulnerabilidades • Administração de Ferramentas de Segurança • Hardening • Criptografia • Resposta a Incidentes de Segurança • Threat Intelligence • Forense • Cumprimento de Normas e Regulatórios • Auditoria • Análise de risco do negócio • Melhoria contínua de processos • ESG (Ambiente, Social e Governança) • Privacidade • Conscientização • Frameworks – ISO 270001 • Modelos de desenvolvimento (Shift Left – SDLC ou Waterfall – Cascata) • Boas práticas de desenvolvimento • Desenvolvimento Seguro • Criptografia • Gestão de Vulnerabilidades Segurança Defensiva Blue Team SOC GRC Governança, Risco e Compliance Segurança de Aplicações AppSec
  • 8. O Q U E E S T U D A R ?
  • 9. ÁREAS DE AFINIDADE SOFTWARE E APLICAÇÕES PROGRAMAÇÃO FRONT END/BACK END FULL STACK INFRA ESTRUTURA E SUPORTE BANCO DE DADOS JORNALISMO HISTÓRIA LETRAS ESTATÍSTICA FÍSICA QUÍMICA
  • 10. O CAMINHO ATÉ O TOPO DA MONTANHA [IDIOMA] INGLÊS [APLICAÇÕES] ARQUITETURA DE S.O (ENDPOINT, SERVIDOR E MOBILE) – API - MONOLITO X MICROSSERVIÇO [REDES] MODELO OSI – PROTOCOLOS DE REDE – TIPO DE REDE - ON-PREMISSES X CLOUD [BANCO DE DADOS] ESTRUTURA DE BANCO DE DADOS – SQL – RELACIONAMENTO ENTRE TABELAS – TIPOS DE CAMPO [PROGRAMAÇÃO] PROGRAMAÇÃO ORIENTADA A OBJETOS – PROGRAMAÇÃO WEB – SCRIPTS (PYTHON, C, JAVASCRIPT) [APLICAÇÕES] CODE REVIEW – SAST X DAST X IAST – METODOLOGIAS (SHIFT LEFT E WATERFALL) [REDES] SEGURANÇA DE PERÍMETRO (ON-PREMISSES E CLOUD) – HARDENING – GESTÃO DE VULNERABILIDADES [BANCO DE DADOS] AUTOMAÇÃO – PRIVACIDADE – CRIPTOGRAFIA – PROTEÇÃO DE DADOS [PROGRAMAÇÃO] ESTEIRAS CI/CD – AUTOMAÇÃO [APLICAÇÕES] DESENVOLVIMENTO SEGURO – GESTÃO DE VULNERABILIDADES – DEVSECOPS [REDES] ARQUITETURA DE REDES – SOC – CSIRT [BANCO DE DADOS] INTEGRAÇÕES [PROGRAMAÇÃO] ENGENHARIA REVERSA BÁSICO INTERMEDIÁRIO AVANÇAD O
  • 11. BÁSICO [IDIOMA] INGLÊS [APLICAÇÕES] ARQUITETURA DE S.O (ENDPOINT, SERVIDOR E MOBILE) – API - MONOLITO X MICROSSERVIÇO [REDES] MODELO OSI – PROTOCOLOS DE REDE – TIPO DE REDE - ON-PREMISSES X CLOUD [BANCO DE DADOS] ESTRUTURA DE BANCO DE DADOS – SQL – RELACIONAMENTO ENTRE TABELAS – TIPOS DE CAMPO [PROGRAMAÇÃO] PROGRAMAÇÃO ORIENTADA A OBJETOS – PROGRAMAÇÃO WEB – SCRIPTS (PYTHON, C, JAVASCRIPT) COMUM A TODAS AS ÁREAS
  • 12. INTERMEDIÁRIO [APLICAÇÕES] CODE REVIEW – SAST X DAST X IAST – METODOLOGIAS (SHIFT LEFT E WATERFALL) [REDES] SEGURANÇA DE PERÍMETRO (ON-PREMISSES E CLOUD) – HARDENING – GESTÃO DE VULNERABILIDADES [BANCO DE DADOS] AUTOMAÇÃO – PRIVACIDADE – CRIPTOGRAFIA – PROTEÇÃO DE DADOS [PROGRAMAÇÃO] ESTEIRAS CI/CD – AUTOMAÇÃO PRA ONDE IR?
  • 13. AVANÇADO [APLICAÇÕES] DESENVOLVIMENTO SEGURO – GESTÃO DE VULNERABILIDADES – DEVSECOPS [REDES] ARQUITETURA DE REDES – SOC – CSIRT [BANCO DE DADOS] INTEGRAÇÕES [PROGRAMAÇÃO] ENGENHARIA REVERSA GOSTO DE... NÃO GOSTO DE...
  • 15. D I C A S F I N A I S
  • 16. • Atualização do conhecimento: Eventos, Fóruns Técnicos, Cursos e Workshops • Questione sempre! Excesso de confiança também pode ser uma falha de segurança • Não reinvente a roda: apoie suas decisões em Frameworks de mercado, como CIS Controls, NIST e ISO 27000
  • 17. O B R I G A D A !

Notas do Editor

  1. Segurança em camadas e modelo OSI não tem relação, são modelos diferentes para funções diferentes. Aqui em Segurança falamos muito mais sobre delimitação de perímetro do que arquitetura. E qual é a grande questão aqui. Dividir pra conquistar. Se você pensar em uma rede como algo gigante, vai assustar, vai dar aquela crise de ansiedade bacana e vc vai querer sair correndo.
  2. Uma mudança muito clara que ocorreu com a pandemia foi a alteração de perímetro da rede. O que antes era uma idéia, um conceito, acelerou muito rápido: a Cloud. Vi várias e várias vezes conversando com colegas uma mudança as pressas para a Cloud de uma aplicação X, ou até coisas mais simples, como a implementação de uma VPN. E com a adoção do trabalho híbrido por grande parte das empresas, a tendência é realmente que este modelo se consolide. “Ah, então em uma empresa cloud native eu não teria este problema, certo?” Errado. Onde há escritório, há infraestrutura. Agora, se a empresa é totalmente remota e nem tem escritório, aí sim, esse problema não existe.
  3. Aqui estou usando como base a AWS, porém se aplica para outras Clouds, provavelmente com algumas diferenças entre uma e outra
  4. Aqui estou usando como base a AWS, porém se aplica para outras Clouds, provavelmente com algumas diferenças entre uma e outra
  5. Aqui estou usando como base a AWS, porém se aplica para outras Clouds, provavelmente com algumas diferenças entre uma e outra