Segurança da Informação - Onde estou e para onde eu vou?
1. S E G U R A N Ç A
D A
I N F O R M A Ç Ã
O
O N D E E S TO U E PA R A
O N D E E U V O U ?
2. AGENDA
O QUE É SEGURANÇA DA
INFORMAÇÃO?
02 O QUE ESTUDAR
03 DICAS FINAIS
3. DISCLAIMER
• Essa palestra não reflete a opinião do meu atual empregador
nem dos anteriores;
• Algumas observações são baseadas nas vozes da minha cabeça;
• Hidratem-se. Bebam água.
4. #WHOAMI
• Coordenadora de Infraestrutura e Operações de
SI
• 16 anos de experiência em Infraestrutura,
Telecom e Segurança da Informação
• Formada em Redes de Computadores – Impacta
Tecnologia
• Pós Graduada em Computação Aplicada a
Educação – USP São Carlos
• Mestranda em Cybersecurity – UCAM (Murcia,
Espanha)
5. O Q U E É
S E G U R A N Ç A
D A
I N F O R M A Ç Ã O
?
6. SEGURANÇA DA INFORMAÇÃO X
CYBERSECURITY
Segurança da Informação Cybersecurity
A segurança cibernética é a
prática de proteger
computadores, redes,
aplicações de software,
sistemas essenciais e dados
de possíveis ameaças
digitais. (AWS)
A segurança da informação,
frequentemente chamada de
InfoSec, se refere aos
processos e às ferramentas
projetados e implantados para
proteger informações
corporativas confidenciais
contra modificações,
interrupções, destruições e
inspeções. (Cisco Systems)
7. ÁREAS
Segurança Ofensiva
Red Team
Pentester
• Pentest (Web, Mobile,
Aplicação, Cloud)
• Modelagem de
Ameaças
• Testes de Phishing
• Avaliação de Risco do
Fornecedor
• Análise de
Vulnerabilidades
• Linguagens (Python,
Go)
• Frameworks de Pentest
(OSSTMM)
• Gestão de
Vulnerabilidades
• Administração de
Ferramentas de
Segurança
• Hardening
• Criptografia
• Resposta a Incidentes
de Segurança
• Threat Intelligence
• Forense
• Cumprimento de
Normas e Regulatórios
• Auditoria
• Análise de risco do
negócio
• Melhoria contínua de
processos
• ESG (Ambiente, Social
e Governança)
• Privacidade
• Conscientização
• Frameworks – ISO
270001
• Modelos de
desenvolvimento (Shift
Left – SDLC ou
Waterfall – Cascata)
• Boas práticas de
desenvolvimento
• Desenvolvimento
Seguro
• Criptografia
• Gestão de
Vulnerabilidades
Segurança Defensiva
Blue Team
SOC
GRC
Governança, Risco e
Compliance
Segurança de
Aplicações
AppSec
9. ÁREAS DE AFINIDADE
SOFTWARE E
APLICAÇÕES
PROGRAMAÇÃO
FRONT END/BACK
END
FULL STACK
INFRA ESTRUTURA E
SUPORTE
BANCO DE
DADOS
JORNALISMO
HISTÓRIA
LETRAS
ESTATÍSTICA
FÍSICA
QUÍMICA
10. O CAMINHO ATÉ O TOPO DA
MONTANHA
[IDIOMA] INGLÊS
[APLICAÇÕES] ARQUITETURA DE S.O (ENDPOINT, SERVIDOR E MOBILE) – API - MONOLITO X
MICROSSERVIÇO
[REDES] MODELO OSI – PROTOCOLOS DE REDE – TIPO DE REDE - ON-PREMISSES X CLOUD
[BANCO DE DADOS] ESTRUTURA DE BANCO DE DADOS – SQL – RELACIONAMENTO ENTRE TABELAS –
TIPOS DE CAMPO
[PROGRAMAÇÃO] PROGRAMAÇÃO ORIENTADA A OBJETOS – PROGRAMAÇÃO WEB – SCRIPTS
(PYTHON, C, JAVASCRIPT)
[APLICAÇÕES] CODE REVIEW – SAST X DAST X IAST – METODOLOGIAS (SHIFT LEFT E
WATERFALL)
[REDES] SEGURANÇA DE PERÍMETRO (ON-PREMISSES E CLOUD) – HARDENING – GESTÃO DE
VULNERABILIDADES
[BANCO DE DADOS] AUTOMAÇÃO – PRIVACIDADE – CRIPTOGRAFIA – PROTEÇÃO DE DADOS
[PROGRAMAÇÃO] ESTEIRAS CI/CD – AUTOMAÇÃO
[APLICAÇÕES] DESENVOLVIMENTO SEGURO – GESTÃO DE VULNERABILIDADES –
DEVSECOPS
[REDES] ARQUITETURA DE REDES – SOC – CSIRT
[BANCO DE DADOS] INTEGRAÇÕES
[PROGRAMAÇÃO] ENGENHARIA REVERSA
BÁSICO
INTERMEDIÁRIO
AVANÇAD
O
11. BÁSICO
[IDIOMA] INGLÊS
[APLICAÇÕES] ARQUITETURA DE S.O (ENDPOINT, SERVIDOR E MOBILE) – API - MONOLITO X
MICROSSERVIÇO
[REDES] MODELO OSI – PROTOCOLOS DE REDE – TIPO DE REDE - ON-PREMISSES X CLOUD
[BANCO DE DADOS] ESTRUTURA DE BANCO DE DADOS – SQL – RELACIONAMENTO ENTRE TABELAS –
TIPOS DE CAMPO
[PROGRAMAÇÃO] PROGRAMAÇÃO ORIENTADA A OBJETOS – PROGRAMAÇÃO WEB – SCRIPTS
(PYTHON, C, JAVASCRIPT)
COMUM A TODAS AS ÁREAS
12. INTERMEDIÁRIO
[APLICAÇÕES] CODE REVIEW – SAST X DAST X IAST – METODOLOGIAS (SHIFT LEFT E
WATERFALL)
[REDES] SEGURANÇA DE PERÍMETRO (ON-PREMISSES E CLOUD) – HARDENING – GESTÃO DE
VULNERABILIDADES
[BANCO DE DADOS] AUTOMAÇÃO – PRIVACIDADE – CRIPTOGRAFIA – PROTEÇÃO DE DADOS
[PROGRAMAÇÃO] ESTEIRAS CI/CD – AUTOMAÇÃO
PRA ONDE IR?
13. AVANÇADO
[APLICAÇÕES] DESENVOLVIMENTO SEGURO – GESTÃO DE VULNERABILIDADES –
DEVSECOPS
[REDES] ARQUITETURA DE REDES – SOC – CSIRT
[BANCO DE DADOS] INTEGRAÇÕES
[PROGRAMAÇÃO] ENGENHARIA REVERSA
GOSTO DE...
NÃO GOSTO DE...
16. • Atualização do conhecimento:
Eventos, Fóruns Técnicos, Cursos e
Workshops
• Questione sempre! Excesso de
confiança também pode ser uma falha
de segurança
• Não reinvente a roda: apoie suas
decisões em Frameworks de mercado,
como CIS Controls, NIST e ISO 27000
Segurança em camadas e modelo OSI não tem relação, são modelos diferentes para funções diferentes. Aqui em Segurança falamos muito mais sobre delimitação de perímetro do que arquitetura. E qual é a grande questão aqui. Dividir pra conquistar. Se você pensar em uma rede como algo gigante, vai assustar, vai dar aquela crise de ansiedade bacana e vc vai querer sair correndo.
Uma mudança muito clara que ocorreu com a pandemia foi a alteração de perímetro da rede. O que antes era uma idéia, um conceito, acelerou muito rápido: a Cloud. Vi várias e várias vezes conversando com colegas uma mudança as pressas para a Cloud de uma aplicação X, ou até coisas mais simples, como a implementação de uma VPN. E com a adoção do trabalho híbrido por grande parte das empresas, a tendência é realmente que este modelo se consolide.
“Ah, então em uma empresa cloud native eu não teria este problema, certo?” Errado. Onde há escritório, há infraestrutura. Agora, se a empresa é totalmente remota e nem tem escritório, aí sim, esse problema não existe.
Aqui estou usando como base a AWS, porém se aplica para outras Clouds, provavelmente com algumas diferenças entre uma e outra
Aqui estou usando como base a AWS, porém se aplica para outras Clouds, provavelmente com algumas diferenças entre uma e outra
Aqui estou usando como base a AWS, porém se aplica para outras Clouds, provavelmente com algumas diferenças entre uma e outra