Gestão de Segurança e Auditoria de TI

  • Carga Horária

    360 horas

  • Metodologia A Distância

    • Aulas são online, ao vivo em tempo real
    • 100%  (por cento) da carga horária do curso com aulas online, ao vivo em tempo real.
    • As aulas  ministradas ao vivo, são gravadas e disponibilizadas na  Plataforma de apoio, além disso ficam disponíveis, material de aula e exercícios  obrigatórios e as notas.
    • As notas são dadas pela correção dos exercícios  ou trabalhos solicitados pelos professores de cada disciplina
    • Não haverá prova presencial em nenhuma disciplina.
    • Não há diferença entre os  certificados de cursos presenciais ou a distância.
  • Objetivos

    Capacitar os participantes para gerar metodologias e planos de proteção, recuperação e contingência, visando à proteção de redes de computadores e plataformas computacionais conectadas às redes da organização. Identificar vulnerabilidades e gaps aplicando políticas de segurança e visando garantir disponibilidade, confiabilidade e confidencialidade das informações corporativas. Capacitar os participantes para o Magistério Superior.

  • Coordenação Acadêmica

    Luiz Gustavo Bittencourt Villela

  • Programa

    GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO (18H)
    A Função Tecnologia da Informação nas empresas modernas: informações de negócio presentes nos mais diversos ambientes e sua importância para a competitividade e sobrevivência. Necessidade de se confiar nas informações providas pelos Sistemas de Informação da empresa, tanto para a operação do dia a dia, como para tomada de decisões. Riscos específicos em Sistemas de Informação: erros, fraudes, perda de informações, indisponibilidade em momentos críticos, alterações não autorizadas. Riscos de negócio: um dos componentes importantes de Gestão Empresarial, requerido por Lei para as empresas que operam com capitais norte-americanos (Lei Sarbanes-Oxley) ou mercado de capitais brasileiros (Norma CVM 480/2009), e para entidades financeiras (Acordo de Basiléia II). Entre os diversos riscos de negócio que requerem um gerenciamento estão os riscos específicos de Tecnologia da Informação. Os diversos componentes da Governança de Tecnologia da Informação e suas interdependências. Exemplos de problemas decorrentes da falta de Governança em Tecnologia da Informação.

    GESTÃO DA INFORMAÇÃO (18H)
    Visão da importância do uso de Sistemas de Informação nas organizações modernas; Problemas típicos que as organizações enfrentam com os Sistemas de Informação e como isto impacta a função TI em termos de orçamento e recursos humanos; Cadeia de valor nas organizações modernas e seu impacto no processo de gestão da informação; Arquitetura das Organizações e sua interação com a Gestão da Informação; Fluxo das informações de negócio, modelos, requisitos; O papel da TI na Gestão do Conhecimento nas organizações modernas; O papel da TI na implementação de controles internos automatizados; Modelo de valor agregado ao negócio pelos sistemas de Informação, apresentação do modelo VAL-IT da ISACA;Tipos de Sistemas de Informação, seu impacto nas organizações e cuidados a serem tomados com a gestão das informações de negócio tratadas por estes sistemas. BPM – Business Process Management, princípios, metodologia, impacto na gestão dos Sistemas de Informação. SOA – Service Oriented Architecture , princípios, metodologia, vantagens no re-aproveitamento das informações já existentes na organização, requisitos para seu uso eficaz

    GESTÃO DA SEGURANÇA DA INFORMAÇÃO (18H)
    Definição de Segurança da Informação como Confidencialidade, Disponibilidade e Integridade das Informações; Gestão de riscos baseada nas ameaças a que as organizações estão expostas por conta das vulnerabilidades dos ativos de informação, objetivos, visão, análise quantitativa x qualitativa, metodologias, aceitação de risco residual;Necessidade de proteger, resguardar e disponibilizar as informações, que são hoje ativos importantes e valiosos das organizações; Estrutura mínima necessária para a correta governança da Segurança da Informação, modelos de gestão adotados nas organizações, vantagens e desvantagens de cada modelo; A importância do apoio da alta administração para o êxito da gestão; Processos típicos envolvidos na Gestão da Segurança da Informação, dentro e fora da TI, com visão dos seus respectivos inter-relacionamentos: Gestão de Normas, Diretrizes e Instruções de Trabalho. Conscientização dos usuários.

    ASPECTOS LEGAIS RELACIONADOS COM SISTEMAS DE INFORMAÇÃO (18H)
    Leis e regulamentações internas e externas relacionadas com o uso de Sistemas de Informações, incluindo o acesso à Internet e o Correio Eletrônico, na medida em que estes serviços sejam prestados para a Força de Trabalho da organização; Leis e regulamentações internas e externas relacionadas com à integridade, confidencialidade e disponibilidade das informações mantidas nos Sistemas de Informação da Organização; Aspectos legais relacionados com informações privativas da Força de Trabalho e dos clientes das organizações na medida em que estas informações sejam tratadas ou mantidas nos Sistemas de Informação destas organizações; Aspectos legais relacionados com propriedade intelectual na medida em que podem trazer impacto para as organizações em relação a seus Sistemas de Informação e em relação aos usuários internos e externos dos mesmos; Aspectos legais relacionados com privacidade de dados pessoais, como LGPD e GDPR; Cyberespaço e conceitos de extra-territorialidade; Investigação de crimes cometidos com o uso de recursos de Tecnologia da Informação da organização.

    GESTÃO DE PESSOAS (18H)
    Visão da dificuldade de se gerenciar pessoas, que tipicamente são imprevisíveis, requerem treinamento e conscientização contínuos; Capacitação na correta utilização dos sistemas de informação e de acordo com as necessidades do negócio; Conscientização contínua, técnicas para disseminação da cultura de segurança, metodologia para facilitar o engajamento da força de trabalho; Matriz de segregação de funções de trabalho; Capacitação e treinamento continuado da Equipe de TI

    GESTÃO DE RISCO DE SISTEMAS DE TI (18H)
    Identificação e priorização dos ativos de informação, baseando-se em requisitos do negócio da organização. Objetivos e visão da Análise de Riscos, análise quantitativa x qualitativa, metodologias, aceitação de risco residual; Ameaças, vulnerabilidades, risco, impacto, controles (ou contra-medidas); Gestão de Riscos por baseline, conforme apresentado na norma ISO27005:2011; Visão de Controles: para que servem, ecessidade de haver um claro proprietário ou gestor e necessidade de haver monitoramento; Associação de Controles com os respectivos Objetivos de Controle e Riscos mitigado; Controles técnicos e controles administrativos, controles preventivos, detectivos e corretivos.

    CRIPTOGRAFIA, PKI, CERTIFICAÇÃO DIGITAL E ASSINATURAS DIGITAIS (18H)
    Introdução à Criptografia: primórdios históricos, máquinas inventadas ao longo do tempo, desenvolvimento de algoritmos matemáticos; Criptosistemas: tecnologias adotadas, emprego de algoritmos fracos e fortes; motivação de uso de criptosistemas: qual o objetivo do controle, qual o risco que se quer evitar – importante ter a visão correta dos riscos para fazer a escolha correta de determinada solução específica; Problemas resolvidos pelo emprego de Criptografia: Identidade, Autenticação Forte, Sigilo, Integridade, Assinatura Digital, Não-Repúdio; Algoritmos de Criptografia Simétrica, Assimétrica ou de Chave Pública e Message Digest ou hash; Assinaturas Digitais; Uso das técnicas de criptografia na Tecnologia do Blockchain e sua aplicação em sistemas de informação; Time-Stamp – Processo de marcação de tempo, como princípio importante do processo de assinatura digital em documentos eletrônicos; PKI – Infra-estrutura de Chaves Públicas – Componentes essenciais, funcionalidades, requisitos de segurança; Inter-relacionamento de Criptografia, Assinaturas Digitais e PKI; Certificação Digital – Tecnologia e aplicação prática; Autenticação de usuários com certificados digitais; Smart cards como tecnologia de suporte para certificação digital; SSL – Tecnologia adotada para transmissão sigilosa de dados entre Web Servers e browsers.

    SEGURANÇA LÓGICA (72H)
    As dez maiores vulnerabilidades do SANS, para ambientes Microsoft e Unix; CERT Security Guide: conceitos básicos para tornar os sistemas seguros; Como se dão a maioria dos ataques e a importância de conhecer e aplicar conceitos de segurança de rede; Introdução a transmissão de dados e tecnologias de redes: tipos de redes, topologias, Equipamentos como hubs, switches, roteadores, gateways e modems, transmissão de dados por redes de pacotes; Introdução ou revisão de TCP/IP e suas tecnologias: modelo ISO/OSI, modelo TCP/IP, endereçamento IP, portas TCP e UDP, protocolos típicos de cada camada, funcionamento de TCP/IP em redes da vida real, NAT. Ferramentas básicas de diagnóstico de redes como PING, TRACEROUTE, ARP, NETSTAT, NBTSTAT, NSLOOKUP; Segurança de Perímetro: Firewalls, VPNs, problemas de segurança nos perímetros; Conceituação de Redes Seguras dentro da Rede Interna da organização, como aplicação prática de segurança em camadas; Sistemas Operacionais e sua importância no modelo de segurança lógica: o conceito do “Reference Monitor”, vulnerabilidades de sistema operacionais, configuração segura de sistemas operacionais, recomendações do CERT-CC para MS-Windows e UNIX; Cronologia dos ataques: descoberta e comunicação de vulnerabilidades, reparo das vulnerabilidades pelo fabricante do software, lançamento de patches, aplicação dos patches pelos usuários, lançamento de ferramentas de ataque pelos hackers (não necessariamente nesta ordem); Gestão de Usuários: Ataques de hackers: Definição de Carder, Hacker, Cracker, Phreaker. Tipos de Ataques: internos, externos, alvos típicos, motivação dos hackers/ crackers. Ferramentas de identificação de ações maliciosas: IDS/ IPS, Honey Pot, Logs, Ferramentas de correlacionamento. Software malicioso:. Configuração Segura de Servidores, Desktops e equipamentos de rede: visão de “hardening”, premissas, requisitos de ferramentas, processos de gestão, gestão de privilégios de administração, definição e gestão de “baselines” seguros. Atualização de Servidores, Desktops e equipamentos de rede: gerenciamento de configuração, testes de patches em ambiente específico, gestão das atualizações. Redes sem fio.

    PLANO DE CONTINUIDADE DO NEGÓCIO (36H)
    Gerência de crises: tipo de incidentes que podem causar um impacto na continuidade dos serviços de disponibilização de Sistemas de Informação; Plano Geral de Administração de Crises; Processo de robustecimento dos sistemas, para torná-los resistentes a acidentes e falhas: sistemas redundantes, sistemas dualizados, sistemas de energia ininterrupta; Plano de Contingência ou Plano de Recuperação de Desastres; Objetivos e Processo de Planejamento do Plano de Continuidade do Negócio; Ciclo de Vida do Business Continuity Planning – ou PCN; BIA – Business Impact Analysis – Análise de Impacto no Negócio – definição da prioridade e do tempo de recuperação dos Sistemas de Informação com base dos requisitos de negócio; Opções de Plano de Contingência, com análise tempo de recuperação x custo; Equipe de Tratamento de Incidentes de Segurança e seu envolvimento no PCN – necessidade de documentar o tratamento dado a incidentes para poder incluir as novas hipóteses no Plano Global de tratamento de incidentes; Plano de Contingência para Pessoas – Visão de recursos humanos críticos para manutenção das funções de TI requeridas pelo negócio.

    SEGURANÇA EM DESENVOLVIMENTO DE SISTEMAS (36H)
    O problema de riscos em Sistemas de Informação devido a falhas de controles no processo de desenvolvimento; Ciclo de Vida de Desenvolvimento de Sistemas ou SDLC – Conceito de cascata, com as etapas de Análise de Viabilidade, Definição de Requisitos, Análise, Projeto de Programação, Codificação, Testes e Operação e Manutenção – Requisitos de segurança e controle em cada etapa; Dez Princípios Básicos para Segurança em Sistemas de Informação; Ambiente seguro de desenvolvimento, separação de ambientes de desenvolvimento, qualidade e produção; Segurança da Aplicação; Cumprimento da Especificação; Análise de Riscos em Sistemas. Autenticação e Autorização em sistemas: métodos de autenticação baseados em senhas, biometria e certificação digital, autenticação pela aplicação, autenticação para aplicações web, single sign-on. Segurança de bancos de dados: autenticação de usuários no banco, cuidados com chaves de acesso a BDs para a aplicação, cuidados com DBAs. Recomendações práticas para evitar riscos com Buffer Overflows, Cross-Site Scripting, SQL Injection, Manipulação de Cookies, Cuidados com Forms e Scripts. Ferramentas de Análise de Código e de Análise de Comportamento de Aplicativos pela Rede. Trilhas de Auditoria em Sistemas de Informação

    AUDITORIA DE SISTEMAS (18H)
    Auditoria de Sistemas de Informação: Organização da Função e sua Missão; Padrões, diretrizes e procedimentos de Auditoria de Sistemas de Informação da ISACA – Information Systems Audit and Control Association; Etapas do Planejamento da Auditoria. Análise de Riscos: metodologia, componentes; Controles Internos: preventivos, detectivos e corretivos. Objetivos de Controle em Sistemas de Informação: COBIT. Controles em Sistemas de Informação: controles gerais e controles em aplicativos. Tipos de Auditoria de Sistemas: Contábil, operacional, integrada, administrativas, forenses. Etapas de Auditoria de Sistemas. Procedimentos de testes: tipos de amostragem, avaliações dos resultados, tratamento de evidências. Uso de Ferramentas Automatizadas de Auditoria (CAATs – Computer Aided Audit Tools). Avaliação dos resultados da Auditoria: materialidade/ relevância das fraquezas e deficiências encontradas. Processo de auto-avaliação de controles e seu aproveitamento pelos auditores de Sistemas de Informação. Questionários de Controles Internos (ICQs – Internal Control Questionaires): onde encontrá-los e como utilizá-los. Sistemas Gerenciadores de Bancos de Dados – Visão de controle, segurança e auditoria em SGBDs. Auditoria em ERPs – Como estruturar o processo de auditoria, o que auditar.

    GESTÃO DE AMBIENTES FÍSICOS DE TI E INTEGRAÇÃO ITIL COM SCA (18H)
    Controles de Segurança Física segundo a ISO27002:2013 e segundo o COBIT. Impactos de ameaças aos ambientes físicos em relação à Segurança Lógica dos sistemas; Meio ambiente: Controle de temperatura e umidade para equipamentos de processamento de dados; Detecção e combate de incêndio. Controles sobre alimentação elétrica: Sistemas de alimentação ininterrupta e grupos geradores, Sistemas dualizados; Testes e verificação da eficácia. Controle de acesso em ambientes de processamento de dados: Controles de acesso por crachá, biometria e smart-card; Controles administrativos: listas de autorização, processos de autorização e registro de visitas eventuais; Tipos de barreira para controle de acesso e sua eficácia relativa; Alarmes de intrusão; Vigilância e alarmes em datacenters. Integração dos ambientes de Segurança, Controle e Auditoria (SCA) com o framework ITIL. Apresentação do ITIL – IT Infrastructure Library – e sua biblioteca de processos de gestão; Interação entre os processos ITIL e os processos COBIT, diferenças de visão e complementaridade das respectivas funções; Gestão de Dados e Operações do ITIL e a correspondente visão de controle, segurança e auditoria no COBIT.

    GERENCIAMENTO DE PROJETOS DE TI (18H)
    Aspectos de gerenciamento de projetos de TI, com uma visão de controle, alinhado com os conceitos do PMBok do PMI, nas dez áreas de conhecimento: Gerenciamento de Integração do Projeto, Gerenciamento do Escopo do Projeto, Gerenciamento do Tempo do Projeto, Gerenciamento do Custo do Projeto, Gerenciamento da Qualidade do Projeto, Gerenciamento dos Recursos Humanos do Projeto, Gerenciamento da Comunicação do Projeto, Gerenciamento do Risco do Projeto, Gerenciamento das Aquisições do Projeto e Gestão da partes interessadas. Integração do Escritório de Projetos com as outras áreas de gestão da Função TI.

    TESTES DE SOFTWARE (36H)
    Conceitos. Caixa branca e Caixa preta. Integração. Ferramentas automatizadas. Modelos de confiabilidade. Desempenho. Planejamento de testes. Testes e Validações, Sistemas de Gerenciamento de Configurações. Testes de sistemas. Testes de usabilidade. Testes de Nielsen. Testes de Interjeição

    METODOLOGIA DA PESQUISA E DIDÁTICA DO ENSINO SUPERIOR (36H)
    Introdução à pesquisa / Métodos de estudo: fichamento, resenha, organização do trabalho científico / Técnicas e instrumentos de coleta de dados / Seleção de sujeitos. / Trabalhos científicos: roteiro de pesquisa. Projeto de pesquisa e monografia / Orientações TCC (Trabalho de Conclusão de Curso) / Formatos / Meios de entrega e prazos.

  • Certificação

    Serão concedidos certificados de Pós-Graduação – Lato Sensu, Especialização ou MBA, dos cursos ministrados pela Universidade Católica de Petrópolis, com a Gestão Operacional do Instituto de Pesquisa, Educação e Tecnologia, aos alunos que obtiverem aproveitamento mínimo requerido (nota 7) nas disciplinas e tiverem seu trabalho final de curso (TCC) ou monografia aprovado.

  • Documentação

    • Identidade e CPF (cópia)
    • Certidão de Nascimento ou Casamento (cópia)
    • Comprovante de Residência (cópia)
    • Diploma de Graduação (cópia autenticada)
    • Histórico Escolar
    • 3 Fotos 3×4

  • Investimento

Unidade24 Parcelas
*Mensalidade até o dia 10
Valor da Mensalidade
Rio de JaneiroR$ 372,60
R$ 496,80

*  Desconto de 25% para pagamento efetuado até o dia 10 de cada mês.

Taxa de inscrição: R$ 90,00