ESTADO DA ARTE DA SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO (SSI)

ESTADO DA ARTE DA SEGURANÇA DOS SISTEMAS DE INFORMAÇÃO (SSI)

A formação Estado da Arte da Segurança dos Sistemas de Informação (SSI) oferece a dirigentes, RSSI, DSI, arquitetos e responsáveis técnicos uma visão completa, atualizada e prática sobre as ameaças, normas, tecnologias e melhores práticas de cibersegurança. Ao longo de 3 dias, os participantes exploram os princípios essenciais da SSI, os requisitos legais e regulamentares, os referenciais internacionais como ISO 27001, ISO 27002, ISO 27005, EBIOS RM, NIS2, PCI‑DSS e eIDAS, bem como técnicas modernas de defesa, criptografia, hardening, redes seguras, proteção de endpoints, cloud security, WAF, NAC, VPNs, firewalls NGFW, DLP, CASB, SIEM, SOAR e SOC. A formação aprofunda também malware, ataques reais, vulnerabilidades, boas práticas de desenvolvimento seguro, BYOD, Zero Trust e tendências emergentes como IA aplicada à segurança. Ideal para profissionais que precisam de compreender, avaliar e evoluir a postura de segurança da organização.

  • Identificar os diferentes domínios da segurança e da gestão de riscos associados à informação
  • Apresentar os princípios e as normas de cada domínio da SSI
  • Descrever as tendências atuais ao nível das ameaças e das soluções disponíveis
  • Melhorar a comunicação entre a área de negócio, a área técnica e a segurança da informação
  • Efetuar escolhas técnicas adequadas
3 dias

INTRODUÇÃO

• Generalidades

• Estatísticas

• Definições

• Domínios abrangidos

• Integridade
• Disponibilidade
• Confidencialidade
• Autenticação
• Imputabilidade
• Rastreabilidade

• Perfis de hackers

 

ORGANIZAÇÃO DA SSI E REFERENCIAIS

• Organograma do Estado

• Intervenientes

• Serviços especializados em cibercriminalidade

 

EXIGÊNCIAS LEGAIS E ENQUADRAMENTO JURÍDICO

• Legislação

• Jurisprudência

• Correio eletrónico
• Ficheiros pessoais

• Ciber-vigilância, RGPD, RGS, eIDAS, PCI-DSS, NIS 2

 

ABORDAGEM GLOBAL E NORMAS

• Maturidade dos processos, governação, PSI, sensibilização dos utilizadores…

• Normas ISO 13335, ISO 31000, Certificações ISO 27001

• SMSI ISO 27001 (ciclo PDCA), análise de riscos ISO 20005 / EBIOS, Segurabilidade do risco, EBIOS RM…

• PSSI, ISO 27002

• Sensibilização

• Política de utilização informática.

 

CRIPTOGRAFIA

• Cifragem simétrica, cifragem assimétrica, algoritmos (DES, 3DES, AES…)

• Infraestrutura de Chave Pública (PKI), arquitetura AE/AC/OC, CSR, PKCS#12, geração de certificados, norma X509, OCSP…

• Handshake SSL, SSH, protocolos de hashing…Infraestrutura de chave pública (PKI)

 

NOÇÕES COMPLEMENTARES

• Autenticação simples / forte, Zero Trust, DSP2, OTP

• Armazenamento de palavras-passe, política de palavras-passe

• Defesa em profundidade, PCA/PRA, translation, classificação

• Desempenho do SI, Critérios Comuns / ISO 15408

• Certificação, qualificação, aprovações.

 

MALWARE, ANTIVÍRUS, ATAQUES

• Malware

• Cavalo de Troia
• Vírus
• Rootkit
• Spyware
• Bot
• Cryptovirus, ransomware

• Antivírus, anti-malware

• Análise comportamental
• Heurística
• Assinaturas
• Endpoint Detection and Response

 

ATAQUES

• Terminal

• Redes, MITM

• Aplicações (phishing, DoS, spoofing…)

• Ataques a palavras-passe, SQL Injection, CSRF, XSS, injeção de comandos, interceções nas camadas 2 e 3, hijacking.

 

BOAS PRÁTICAS DE DESENVOLVIMENTO

• Avaliar a segurança informática, reagir em caso de ataque.

 

TÉCNICAS, TECNOLOGIAS E EQUIPAMENTOS

• Soluções de gestão de palavras-passe

• Infraestrutura de messaging

• Open Relay, Spam, StartTLS, Domain Key Identified Mail (DKIM), Sender Policy Framework (SPF), DMARC , S/MIME

• Hardening de sistemas Windows, Linux e servidores Web

• Segmentação de fluxos através de redes virtuais (VLAN)

• Encriptação de dados em trânsito (VPN SSL e VPN IPsec)

• Mandatory Access Control (MAC)

• Discretionary Access Control (DAC)

• Controlo de acessos

• 802.1x / EAP Networks Access Control (NAC)
• Role Based Access Control (RBAC)
• IAM (Identity and Access Management)

• Protocolos Wi-Fi

• Tecnologias rádio
• Modo pessoal
• Modo empresarial
• WPA3

• Filtragem

• Proxy, Interceção SSL
• Reverse proxy
• Firewalls de protocolo, de conteúdo, de aplicação, de identidade
• NGFW
• DMZ, Matriz de fluxos

• Filtragem de aplicações Web: WAF (Web Access Firewall)

• DLP (Data Loss Prevention) – Data Masking

• IDS / IPS, Honeypots

• Virtualização e contentorização

• Hypervisor
• Emulador
• Isolamento de contexto

 

BYOD

• Utilização de equipamentos pessoais em contexto profissional

• Desafios
• Riscos
• MDM
• App Wrapping

• Teletrabalho (TS Web Access, VDI)

• Segurança no Cloud

• Modelo de responsabilidades
• ISO 27017
• ISO 27018
• Encriptação
• Exfiltração de dados
• Fluxos de dados
• Cloud Access Security Broker (CASB)
• SWG
• Zero Trust Network Access
• Secure Service Edge

 

SUPERVISÃO, GESTÃO E PLATAFORMAS ESPECIALIZADAS

• SNMP (Simple Network Management Protocol)

• Netconf (Network Configuration Protocol)

• SIEM (Security Information and Event Management)

• SOAR (Security Orchestration, Automation and Response)

• SOC (Security Operation Center)

• Plataforma de gestão e segurança de dispositivos móveis EMM (Enterprise Mobility Management)

• Plataforma de segurança Cloud (SecaaS: Security as a Service)

 

TENDÊNCIAS ATUAIS

• Recurso à Inteligência Artificial e ao Machine Learning

• Security Self Healing System

• Software Defined Security

• Blockchain.

 

SÍNTESE DAS ÚLTIMAS CIBERAMEAÇAS

Facilitador que combina know-how com experiência empresarial e competências pedagógicas, para dar resposta a necessidades operacionais e potenciar a aprendizagem.

Objetivos da formação

  • Identificar os diferentes domínios da segurança e da gestão de riscos associados à informação
  • Apresentar os princípios e as normas de cada domínio da SSI
  • Descrever as tendências atuais ao nível das ameaças e das soluções disponíveis
  • Melhorar a comunicação entre a área de negócio, a área técnica e a segurança da informação
  • Efetuar escolhas técnicas adequadas

Duração da formação

3 dias

Programa da formação

INTRODUÇÃO

• Generalidades

• Estatísticas

• Definições

• Domínios abrangidos

• Integridade
• Disponibilidade
• Confidencialidade
• Autenticação
• Imputabilidade
• Rastreabilidade

• Perfis de hackers

 

ORGANIZAÇÃO DA SSI E REFERENCIAIS

• Organograma do Estado

• Intervenientes

• Serviços especializados em cibercriminalidade

 

EXIGÊNCIAS LEGAIS E ENQUADRAMENTO JURÍDICO

• Legislação

• Jurisprudência

• Correio eletrónico
• Ficheiros pessoais

• Ciber-vigilância, RGPD, RGS, eIDAS, PCI-DSS, NIS 2

 

ABORDAGEM GLOBAL E NORMAS

• Maturidade dos processos, governação, PSI, sensibilização dos utilizadores…

• Normas ISO 13335, ISO 31000, Certificações ISO 27001

• SMSI ISO 27001 (ciclo PDCA), análise de riscos ISO 20005 / EBIOS, Segurabilidade do risco, EBIOS RM…

• PSSI, ISO 27002

• Sensibilização

• Política de utilização informática.

 

CRIPTOGRAFIA

• Cifragem simétrica, cifragem assimétrica, algoritmos (DES, 3DES, AES…)

• Infraestrutura de Chave Pública (PKI), arquitetura AE/AC/OC, CSR, PKCS#12, geração de certificados, norma X509, OCSP…

• Handshake SSL, SSH, protocolos de hashing…Infraestrutura de chave pública (PKI)

 

NOÇÕES COMPLEMENTARES

• Autenticação simples / forte, Zero Trust, DSP2, OTP

• Armazenamento de palavras-passe, política de palavras-passe

• Defesa em profundidade, PCA/PRA, translation, classificação

• Desempenho do SI, Critérios Comuns / ISO 15408

• Certificação, qualificação, aprovações.

 

MALWARE, ANTIVÍRUS, ATAQUES

• Malware

• Cavalo de Troia
• Vírus
• Rootkit
• Spyware
• Bot
• Cryptovirus, ransomware

• Antivírus, anti-malware

• Análise comportamental
• Heurística
• Assinaturas
• Endpoint Detection and Response

 

ATAQUES

• Terminal

• Redes, MITM

• Aplicações (phishing, DoS, spoofing…)

• Ataques a palavras-passe, SQL Injection, CSRF, XSS, injeção de comandos, interceções nas camadas 2 e 3, hijacking.

 

BOAS PRÁTICAS DE DESENVOLVIMENTO

• Avaliar a segurança informática, reagir em caso de ataque.

 

TÉCNICAS, TECNOLOGIAS E EQUIPAMENTOS

• Soluções de gestão de palavras-passe

• Infraestrutura de messaging

• Open Relay, Spam, StartTLS, Domain Key Identified Mail (DKIM), Sender Policy Framework (SPF), DMARC , S/MIME

• Hardening de sistemas Windows, Linux e servidores Web

• Segmentação de fluxos através de redes virtuais (VLAN)

• Encriptação de dados em trânsito (VPN SSL e VPN IPsec)

• Mandatory Access Control (MAC)

• Discretionary Access Control (DAC)

• Controlo de acessos

• 802.1x / EAP Networks Access Control (NAC)
• Role Based Access Control (RBAC)
• IAM (Identity and Access Management)

• Protocolos Wi-Fi

• Tecnologias rádio
• Modo pessoal
• Modo empresarial
• WPA3

• Filtragem

• Proxy, Interceção SSL
• Reverse proxy
• Firewalls de protocolo, de conteúdo, de aplicação, de identidade
• NGFW
• DMZ, Matriz de fluxos

• Filtragem de aplicações Web: WAF (Web Access Firewall)

• DLP (Data Loss Prevention) – Data Masking

• IDS / IPS, Honeypots

• Virtualização e contentorização

• Hypervisor
• Emulador
• Isolamento de contexto

 

BYOD

• Utilização de equipamentos pessoais em contexto profissional

• Desafios
• Riscos
• MDM
• App Wrapping

• Teletrabalho (TS Web Access, VDI)

• Segurança no Cloud

• Modelo de responsabilidades
• ISO 27017
• ISO 27018
• Encriptação
• Exfiltração de dados
• Fluxos de dados
• Cloud Access Security Broker (CASB)
• SWG
• Zero Trust Network Access
• Secure Service Edge

 

SUPERVISÃO, GESTÃO E PLATAFORMAS ESPECIALIZADAS

• SNMP (Simple Network Management Protocol)

• Netconf (Network Configuration Protocol)

• SIEM (Security Information and Event Management)

• SOAR (Security Orchestration, Automation and Response)

• SOC (Security Operation Center)

• Plataforma de gestão e segurança de dispositivos móveis EMM (Enterprise Mobility Management)

• Plataforma de segurança Cloud (SecaaS: Security as a Service)

 

TENDÊNCIAS ATUAIS

• Recurso à Inteligência Artificial e ao Machine Learning

• Security Self Healing System

• Software Defined Security

• Blockchain.

 

SÍNTESE DAS ÚLTIMAS CIBERAMEAÇAS

Formador

Facilitador que combina know-how com experiência empresarial e competências pedagógicas, para dar resposta a necessidades operacionais e potenciar a aprendizagem.

Indisponível

Quer uma formação à medida para a sua empresa?

Peça-nos uma proposta!
Clique na imagem para expandir

Os nossos espaços de formação oferecem todas as condições para continuar o seu desenvolvimento pessoal e profissional em absoluta segurança

Não se esqueça de subscrever o blog RhBizz e de nos seguir no LindekInFacebookInstagram Youtube.

Formações ajustadas ao seu negócio

FORMAÇÕES À MEDIDA

Provocamos e aceleramos processos de mudança com a implementação e desenvolvimento de soluções pragmáticas orientadas para os resultados

SABER MAIS