Translate

08 dezembro 2015

Webinar: Inteligência de Ameaças - Como Identificar os ataques que mais importam

Apresentador: Scott Simkin, Palo Alto Cybersecurity. Realização: ISACA CSX.
Para a grande maioria das equipes de segurança, há uma enorme quantidade de alertas a lidar em um determinado dia. Passando pelos vários dispositivos de segurança, feedback de terceiros até as fontes de inteligência de ameaças, o mar de informação gerada faz com que seja praticamente impossível para as organizações responderem rapidamente aos alertas antes que qualquer dano ocorra.
Como as equipes de operações, análise e investigação de segurança podem eliminar todo este ruído e acertar em cheio quais são os eventos de segurança que mais importam?
Junte-se ao Scott Simkin e à equipe da ISACA CSX (CyberSecurity Nexus), responsável pela realização desta apresentação, em um webinar que se concentrará em descobrir como a inteligência de ameaças à segurança cibernética pode ajudar as equipes de segurança a:
• Determinar que ataque é único, crítico e direcionado;
• Adicionar a (muito necessária) análise de contexto aos indicadores de comprometimento; e
•  Adotar indicadores de malícia (maliciousness) e transformá-los em novos mecanismos de proteção.

06 novembro 2015

Segurança digital nos jogos Rio 2016

Saiba quais são as principais preocupações dos especialistas
O Programa "Tema Livre" da Rádio Nacional do Rio | Rádio MEC FM promoveu uma discussão sobre segurança digital durante os Jogos Olímpicos Rio 2016. A menos de um ano para a realização das Olimpíadas no Rio de Janeiro, quando a cidade vai receber, além do grande público, 10.500 atletas, de 206 países e mais de 100 mil pessoas envolvidas em sua organização, entre voluntários e funcionários, a segurança de toda a informação que será gerada é uma questão de grande preocupação.
Para esta edição do programa, gravado em 12Ago e que foi ao ar em 03Nov2015, estiveram presentes Paulo Pagliusi, especialista em Gestão de Risco Cibernético, militar da reserva, doutor em Segurança da Informação, Diretor da Consultoria em Gestão de Riscos Cibernéticos da Deloitte, Vice-Presidente da CSA BR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association) Rio de Janeiro; Guilherme Caselli, inspetor da Polícia Civil do Estado do Rio de Janeiro, representante da Delegacia de Repressão a Crimes de Informática; e Alexandre Knoploch, analista de sistemas e presidente da Associação Brasileira de Profissionais e Empresas de Segurança da Informação e Defesa Cibernética.
Ouça esta edição do Programa na íntegra clicando aqui ou na imagem acima!

27 outubro 2015

MPSafe agora chama-se Pagliusi Cibersegurança


Informamos que a MPSafe CyberSecurity & CounterEspionage alterou o nome para Pagliusi Cibersegurança.

Os novos endereços do site e das redes sociais da empresa são:

www.pagliusi.com.br

twitter.com/PagliusiCyber

www.facebook.com/PauloPagliusi

www.linkedin.com/company/pagliusi-cybersecurity


As mensagens ao CEO poderão ser encaminhadas para:

ceo@pagliusi.com.br

Para entrar em contato com a área de Comunicação e Marketing:

marketing@pagliusi.com.br

Para contatar, respectivamente, a área de Suporte Técnico e Relacionamento com Clientes, utilize:

ciberseguranca@pagliusi.com.br e

contato@pagliusi.com.br

Abraços e bons ventos!


31 agosto 2015

MPSafe patrocina a it-sa Brasil

A MPSafe CyberSecurity tem a honra de patrocinar a it-sa Brasil – The IT Security Conference and Corporate Networking. A NürnbergMesse Brasil (NMB) realiza a segunda edição da Conferência it-sa Brasil, nos dias 01 e 02 de setembro de 2015 no Clube Transatlântico – São Paulo – SP, em virtude do sucesso do lançamento da it-sa Brasil em 2014.
A it-sa Brasil é uma plataforma de conteúdo e negócios única, que permite que executivos tomadores de decisão dos mais variados segmentos discutam o tema Segurança da Informação, com exclusividade, em painéis compostos por especialistas nessa área. É, portanto, um espaço voltado a conectar pessoas e compartilhar conhecimento, visando esclarecer e desenvolver o mercado na busca constante de soluções em Segurança da Informação. 
O evento apresenta tópicos de vanguarda apoiado em temas idôneos, relevantes e com qualidade, promovendo um entendimento estratégico em seus painéis de discussão. Obtenha aqui a grade da programação.
conteúdo dos painéis é estruturado por um Advisory Committee, formado por profissionais do mercado envolvidos diretamente em atividades voltadas à Segurança da Informação. Paulo Pagliusi, CEO da MPSafe e integrante do Comitê de Serviços da it-sa, é debatedor no painel "Cloud II: Segurança e Privacidade na Nuvem", dia 01Set2015, das 15:30 às 16:30.

05 agosto 2015

Como evitar fraudes ao fornecer dados na Internet

Ouça a entrevista de Paulo Pagliusi, Doutor em Segurança da Informação, à repórter Priscila Rangel, da Radioagência Nacional - Empresa Brasil de Comunicação – EBC - Rádio Nacional de Brasília, em 05/08/2015.
Ao acessar a internet para fazer compras, entrar em redes sociais ou ouvir músicas, o consumidor quase sempre precisa preencher um cadastro. Saiba os cuidados que você deve tomar ao fornecer seus dados pessoais para não ser alvo de fraudes virtuais.

27 julho 2015

10 Passos para Aprimorar a Segurança e Privacidade na Internet

Hoje em dia, todos nós sabemos que a vigilância é onipresente. As revelações de Snowden desvendaram o grande alcance dos Five Eyes (“Cinco Olhos”), a aliança de agências de inteligência formada pelo Tratado de Segurança entre Reino Unido e EUA que inclui NSA, GCHQ, entre outras.
Mas os recentes vazamentos da empresa italiana de segurança Hacking Team expuseram um lado ainda mais sombrio dessa vigilância. A empresa foi colocada na lista de “inimigos da Internet” pela organização "Repórteres Sem Fronteiras", e os dados vazados confirmam o quão relevante é sua inclusão nessa lista:
Hacking Team: "O Sistema de Controle Remoto ‘DaVinci’ da empresa Hacking Team é capaz, segundo a própria companhia, de quebrar sistemas de criptografia permitindo o monitoramento — por parte de agências de inteligência e forças policiais — de arquivos, e-mails (mesmo que criptografados com PGP), Skype e outros serviços de comunicação que usam Voz sobre IP ou chat. Ele permite identificar a localização do alvo, bem como pessoas que fazem parte de seus círculos de relacionamento. Também permite ativar remotamente câmeras e microfones de computadores em qualquer lugar do mundo. A empresa ainda alega que seu software é capaz de monitorar centenas de milhares de computadores simultaneamente em todo o país” (Meet the Corporate Enemies of the Internet for 2013)
Depois de examinar os arquivos contidos no vazamento e de ter escrito sobre o envolvimento de outros países da Europa com a citada companhia (Irlanda, Reino Unido e França, Suíça, Luxemburgo e Alemanha e Chipre), decidimos reavaliar os mecanismos de segurança para o usuário final e ver o que pode ser feito para deixá-los mais fortes.
Encontramos algumas fontes muito boas e decidimos compartilhá-las com vocês aqui, para vocês poderem acessá-las a partir de um único lugar. Os guias “Surveillance Self-Defense”, da Electronic Frontier Foundation, são um excelente começo.
Tips, Tools and How-tos for Safer Online Communications

1 — Desabilite o Flash
Desabilite o Flash. Agora. Não iremos listar todas as muitas razões porque você tem que fazer isso, mas aqui vão listadas algumas: 1234.
Mozilla se livrou dele recentemente, e de uma vez por todas.

BIG NEWS!! All versions of Flash are blocked by default in Firefox as of now
E saiba que o Chefe de Segurança do Facebook está pedindo seu fim:

Veja como desabilitar o Flash em seu navegador:
  • Chrome: Digite o endereço chrome://plugins na barra de endereço. Desça até Adobe Flash Player. Clique em Desabilitar.
  • Safari: Vá para Safari > Preferências. Clique em “Segurança”. Clique em “Ajustes dos Sites”. Clique em “Adobe Flash Player”. Vá até o menu dropdown do item “Quando estiver visitando outros websites” e selecione “bloquear”
  • Firefox: Clique "menu do hambúrguer", no lado superior direito do browser. Clique em “Complementos”. Na coluna da esquerda, clique em “Plugins”. Vá ao menu dropdown próximo a “Shockwave Flash” e selecione “Nunca Ativar”
  • Internet Explorer: Clique no ícone da engrenagem no lado superior direito do browser. Clique em “Opções da Internet”. Clique em “Programas. Clique em “Gerenciar Complementos”. Clique em “Shockwave Flash Object” e em seguida clique em “Desabilitar”, no canto inferior direito da janela.
2 — Troque e revise suas senhas
O especialista do Intercept, Micah Lee, escreveu alguns guias excelentes sobre o assunto. Abaixo você encontra um ótimo artigo sobre como se certificar de que sua senha é realmente segura:


3 — Criptografe seu laptop
especialista em pauta também escreveu um ótimo artigo sobre este assunto. A única sugestão nossa é que, ao invés de utilizar o programa de criptografia TrueCrypt sugerido por ele - já descontinuado -, use o VeraCrypt, seu sucessor:
4— Crie uma VPN
Nós criamos uma VPN usando AWS (nuvem da Amazon), depois de ler esse excelente artigo.

Vantagens de ter um servidor VPN:

  • É simples: mesmo quem não é especialista em tecnologia consegue seguir esse guia tranquilamente. 
  • Rápido: Você só precisa de 10 minutos pra criar um servidor VPN. 
  • Privado: O servidor VPN é dedicado apenas ao seu uso. 
  • Seguro: Criptografado e protegido por senha. E nada fica registrado. 
  • Funciona sob demanda: Você pode iniciar e parar o servidor quando quiser. 
  • Global: Existe pelo menos um servidor VPN em 9 regiões do mundo (incluindo EUA, Japão e Cingapura). 
  • Suporte a Dispositivos: o servidor VPN aceita PPTP e L2TP com IPsec, o que significa que você pode acessar o servidor VPN com seus dispositivos Android, iPhone, iPad, PC, Mac, e a maioria dos roteadores (para acessar Apple TV e Chromecast, por exemplo). 
  • Open Source: o código é aberto, e você pode contribuir para esse projeto
  • *Grátis: usuários novos do Amazon AWS têm um ano de serviço de graça.
5 — Use o TOR
O que é Tor?
Tor é um serviço gerido por voluntários que oferece tanto privacidade quanto anonimato online através do mascaramento da sua identidade e do local de onde você está conectando. O serviço também protege você da própria rede Tor.
Para pessoas que precisam ocasionalmente de anonimato e privacidade na rede, o Browser Tor oferece uma maneira rápida de usar a Rede Tor. O pacote Tor Browser Bundle é a forma mais fácil de usar a Rede Tor, combinando o browser, o software Tor e outros softwares úteis que lhe darão uma forma mais segura de acessar a web (Fonte: EFF). Mais detalhes sobre o Tor, vide nosso artigo sobre a Internet Profunda.
Clique aqui para obter dicas de como usar Tor no Windows; clique aqui para dicas no Mac OS.

6 — Criptografe seus emails usando PGP
Utilizar o PGP é uma forma de impedir que seus e-mails sejam lidos por qualquer pessoa que não seja o destinatário da mensagem. Pode lhe proteger contra empresas, governos ou criminosos usando sua conexão à Internet e, de certa forma, impedir que seu e-mail seja lido caso o computador em que ele está armazenado seja roubado. De fato, o ideal é utilizar a versão Gnu PG.
Para usar PGP para trocar e-mails seguros, você tem que reunir três programas: Gpg4win (GNU Privacy Guard para Windows, conhecido como GnuPG), Mozilla Thunderbird e Enigmail. GnuPG é o programa que realmente cifra e decifra o conteúdo de seus e-mails, Mozilla Thunderbird é um cliente de e-mail que lhe permite ler e escrever e-mails sem o uso de um navegador, e Enigmail é um add-on para o Mozilla Thunderbird que combina tudo junto.
Aprenda a instalar e usar PGP nos ambientes LinuxWindows e OS X



7— Use OTR Messaging
OTR (Off-the-record, na sigla em inglês) é um protocolo que permite ter conversas confidenciais nos sistemas de mensagens que você já usa. Não deve ser confundido com o “Off the record” do Google, que simplesmente desabilita a gravação de conversas, mas não criptografa nem verifica essas conversas.
OTR usa criptografia ponto a ponto. Isso significa que você pode usá-lo combinado a serviços como o Google Hangouts ou o Facebook sem que essas companhias tenham acesso a essas conversas nem ao conteúdo compartilhado nelas (Fonte: EFF).

Aprenda a instalar e usar o OTR no Windows e no OS X
8 — Utilize aplicativos de mensagens que usam criptografia
Este outro guia de Micah Lee também traz informações valiosas sobre como proteger mensagens trocadas no seu celular.
9 — Blinde seu hardware
Se você usa um notebook, é importante que você trave o firmware dele. Se o seu aparelho for roubado ou perdido, ele pode ser iniciado por meio de um HD externo ou um pendrive, e seus dados podem então ser acessados.

Aprenda como travar o firmware no Mac OS X e no Windows

10 — Utilize Anti Malwares e Limpadores
O software Malwarebytes Anti-Malware (em versão gratuita e Premium) pode lhe ajudar a remover adwares e malwares presentes no seu computador, incluindo novas ameaças que os antivírus não conseguem detectar.
Malwarebytes Anti-Malware
O software limpador CCleaner é um utilitário pequeno, eficaz para computadores que executam o Microsoft Windows, que limpa o "lixo" que se acumula ao longo do tempo: arquivos temporários, atalhos quebrados e outros problemas.
Além disto, o CCleaner pode ajudar a proteger a sua privacidade. Ele limpa seu histórico de navegação e arquivos temporários de Internet, permitindo que você se torne um usuário mais confiável e menos suscetível ao roubo de identidade.

01 junho 2015

O mercado ilegal de cartões de crédito nas profundezas da web

A 'Deep Web' é um imenso underground na grande rede - Reprodução de ilustração de Bruno Leal Mariano ("Brads"), publicada originalmente no site http://bit.ly/bs9_anticast
RIO - O roubo de dados de cartões de crédito é um dos crimes preferidos dos hackers. Não para realizar compras fraudulentas em nome de outros, mas para vendê-los em um imenso mercado ilegal que funciona nas profundezas da internet. Sites hospedados em darknets - redes que funcionam na web profunda que protegem o anonimato - oferecem essas informações por preços que variam entre R$ 15 e R$ 30, dependendo do volume encomendado, mas também é possível encontrar ofertas de cartões físicos, que podem ser usados até para retiradas em caixas eletrônicos, por valores entre R$ 100 e R$ 300.
- É o "produto" mais ofertado nas redes anônimas - diz Marco de Melo, diretor executivo da empresa se segurança digital PSafe. - Eles conseguem essas informações em grande volume, para poderem oferecer sempre dados válidos.
A maior parte dos cartões fraudados é de americanos, mas os cibercriminosos fazem vítimas em outros países, inclusive no Brasil. O relatório "Underground Hacker Markets", elaborado no fim de 2014 pela divisão de segurança da Dell, vasculhou um desses mercados e listou 294 mil cartões de crédito brasileiros.
"Cartões de crédito roubados dos EUA, Canadá, Reino Unido, Brasil, Argentina e Geórgia parecem ser especialmente abundantes", afirma o estudo. "Esse site anunciava que tinha 14 milhões de cartões americanos para venda, 294 mil brasileiros, 342.179 de diversos países, 212.100 do Canadá, 75.992 do Reino Unido, e 26.873 da União Europeia".
E as informações são sempre renovadas para garantir o funcionamento. Uma das lojas oferece lotes com dados de cem cartões de crédito e se compromete a fazer troca caso o percentual de cartões inválidos supere 20%. No anúncio, os criminosos dizem receber "novas listas todos os dias".
Fabio Assolini, analista de segurança da empresa de antivírus Kaspersky, explica que, no Brasil, o roubo de informações se dá principalmente por ataques de phishing. Os criminosos criam sites falsos ou mandam mensagens por e-mail ou SMS pedindo essas informações para participação em sorteios ou compra de produtos com preços abaixo do normal. E muita gente cai nesses golpes.
- A recomendação é sempre desconfiar - diz Assolini. - Evite lojas desconhecidas, confira a lista do Procon de sites fraudulentos antes de fornecer as informações. Outra dica é ter um cartão secundário, com limite pequeno, para transações na internet. Também é interessante assinar um serviço oferecido pelas operadoras que emite um alerta SMS a cada compra efetuada.
Publicidade
Nos EUA, os ataques contra os pontos de venda (PoS, Point of Sale, em inglês) se tornaram frequentes nos últimos anos. Os criminosos inserem malwares nos computadores que registram as compras e conseguem milhares, ou mesmo milhões de dados em apenas um ataque. Há dois anos, a Target, segunda maior rede varejista do país, foi vítima de uma das maiores ações desse tipo em todos os tempos, com o vazamento de informações de crédito de 40 milhões de consumidores.

IMPUNIDADE INCENTIVA O CRIME
As darknets garantem aos criminosos um certo grau de anonimato, e como as transações são realizadas por bitcoins, não existe registro financeiro dessas operações. Capturar esses hackers é uma missão difícil, mas não impossível. Em outubro de 2013, Ross Ulbricht foi localizado pelo FBI e preso. Na última sexta-feira, ele foi condenado por um tribunal em Nova York à prisão perpétua por operar o Silk Road, que era o maior mercado de drogas da web profunda. Contudo, diz Melo, Ulbricht é apenas a ponta de um iceberg:
- Pegaram o Silk Road para servir de exemplo, mas ele é apenas um entre milhares. É bom que se faça progressos, mas é preciso mais. Você já viu hacker sendo preso no Brasil?
Especialistas em segurança digital pedem por maior participação de órgãos do governo e integração com as companhias nas investigações. É comum ver no noticiário grandes ataques hackers sofridos por empresas americanas, mas isso não se dá no Brasil. Não porque o nosso ambiente seja mais seguro, mas pela inexistência de regras que obriguem a comunicação desses crimes.
- De um modo geral, o cibercriminoso já se acostumou a agir com um certo grau de impunidade - diz Paulo Pagliusi, diretor executivo da consultoria MPSafe CyberSecurity. - As empresas preferem assumir as perdas causadas pelos hackers para manter a confiabilidade da marca. O cliente é roubado, o banco ressarce, cobra da seguradora, mas para por aí. Não pode. Esse ciclo estimula o crime cibernético. Em alguns países, como nos EUA, a empresa é obrigada a alertar as autoridades e o FBI é acionado para as investigações. É preciso maior maturidade para lidar com esse problema.
Na outra ponta, o comércio eletrônico tenta se proteger contra fraudes. O hacker rouba as informações e as repassa a um terceiro, que tenta usar os dados para fazer compras on-line. Segundo Maurício Salvador, presidente da Associação Brasileira de Comércio Eletrônico, em média 0,2% dos pedidos são efetuados com dados fraudados no e-commerce brasileiro, mas em algumas categorias, como smartphones e eletrônicos, o índice chega a 20%.
E caso as transações sejam concluídas, o prejuízo fica com o lojista. Para reduzir as perdas, o setor está investindo em sistemas inteligentes para detecção de fraudes. Pela análise de comportamento, compras suspeitas são sinalizadas e direcionadas para a confirmação de mais dados dos consumidores.
Publicidade
- Normalmente, as compras on-line levam um tempo. O consumidor busca as informações do produto, compara preços. Se aparece alguém e faz compras rapidamente, o sistema emite um alerta. O pedido só é finalizado após contato telefônico para confirmação dos dados cadastrais - explica Salvador.
E para o consumidor, a dica é ficar atento. Além de proteger computadores e smartphones e evitar sites desconhecidos, é recomendável estar atento ao extrato bancário e à fatura do cartão de crédito. Qualquer movimentação desconhecida, por menor valor que seja, procure imediatamente o banco.
- Os hacker fazem pequenas transações, de poucos reais, para assegurar que o cartão está funcionando. Um tempo depois é que vem a bomba - diz Marco de Melo.
Caso queira conhecer mais sobre a Deep Web, clique aqui para ler o artigo "A Internet Profunda – Segredos, Riscos & Ameaças", do Dr. Paulo Pagliusi.
 Fonte da matéria: O Globo: Sociedade - Tecnologia31/05/2015. 

15 maio 2015

Pesquisa - Desafio de Segurança da Informação

Pessoal, estou elaborando um novo e-book. Esta pesquisa com só uma pergunta é para identificar sobre o que você gostaria que eu falasse, ok?
Para responder, utilize o formulário abaixo ou visite:
https://pt.surveymonkey.com/s/C2J386J
Divulgue à vontade. Clique aqui para ver o status das respostas até o momento. Obrigado por participar. Bons Ventos! Paulo Pagliusi

Crie seu próprio questionário de feedback de usuário 

23 abril 2015

Curso de Cibersegurança - Maturidade na gestão do risco cibernético

A MPSafe apresenta seu novo curso de Cibersegurança de vinte horas do Professor Dr. Paulo Pagliusi, PhD. in Information Security, CISM. Programa em PDF.  Você ainda não viuseguranca@mpsafe.com.br
Carga Horária
Vinte (20) horas/aula.

Modalidade e Regime Escolar
Presencial In-Company. Cinco aulas, com sessões de 3 horas/aula diárias e intervalo de 20 minutos, às terças e quintas-feiras, das 18h40min às 22h00min. Há uma aula final diurna, com sessão de 5 horas/aula e intervalo de 20 minutos, em um sábado, das 08h40min às 14h00min.

Público alvo
Formado por até 20 (vinte) alunos, com perfil de membros de Conselhos, executivos C-Level, Gerentes, Chefes de Departamento, Gerentes de Projeto, Supervisores e Técnicos, das áreas de Auditoria, Negócios, Finanças, Marketing, Jurídica, TI, Administração, Recursos Humanos e Segurança Corporativa, além de profissionais gestores e técnicos de qualquer área, com necessidade profissional ou interesse em conhecer cibersegurança. O curso pode ser ajustado para campanhas internas de conscientização em Segurança da Informação.

Ementa
Fundamentos de Segurança da Informação (SI) e Cibersegurança. Conhecimento básico de gestão de riscos e vulnerabilidades. Crescente ameaça de fraudes e ataques cibernéticos ao ambiente operacional. Cenário de Espionagem Globalizada e Guerra Fria Cibernética. Implicações futuras e novos riscos trazidos pela evolução da Tecnologia na Era da Computação Social. Categorias de ataques cibernéticos. Engenharia Social e coleta não autorizada. Como evitar ser hackeado. Estar compliance é estar seguro? Necessidade de inovação na postura de Cibersegurança. Cinco Sensos (5S) da Qualidade no Estilo Japonês, aplicados à SI. Medidas práticas para proteção, continuidade e resiliência do Ciclo de Vida da Informação.

Objetivo
Aprimorar conhecimento e conscientização do Aluno, sobre a relevância da segurança da informação e da maturidade na gestão do risco cibernético, sob o escopo global da cibersegurança corporativa, a fim de se obter sucesso na gestão do risco do negócio.

Conteúdo Programático
·                         Apresentações iniciais e fundamentos de Cibersegurança.
o    Nossa “mascote” DICA e sua previsão do tempo.
o    Introdução à Segurança Cibernética – Objetivos e Papéis.
o    Diferenças entre Segurança da Informação (SI) & Segurança Cibernética.
o    Princípios de Segurança Cibernética (DICA):
§  Disponibilidade.
§  Confidencialidade.
§  Integridade.
§  Autenticação e Não repúdio.
o    A SI no cenário da gestão do ciclo de vida da informação.
o    Processos e ferramentas de arquitetura de segurança.
o    Categorias de Incidentes cibernéticos. Resposta e recuperação.
o    Conceituando forense computacional.
·                     Conhecimento básico de gestão de riscos e vulnerabilidades.
·               Crescente ameaça de fraudes e ataques cibernéticos ao ambiente operacional.
·                     Cenário de Espionagem Globalizada e Guerra Fria Cibernética.
o    Quem é a NSA e quem são os Five Eyes (FYES)?
o    Tipos de Interceptação, Back Doors em empresas de Internet.
o    Quebra de Criptografia – repercussões no Brasil.
·                         Implicações futuras e novos riscos trazidos pela evolução da Tecnologia:
o    Tecnologia nova e emergente da TI & SI.
o    Os quatro Pilares da 5ª Era da TI – Era da Computação Social.
·                     Desafios à proteção da Segurança da Informação (SI) dos quatro pilares:
o    Computação em nuvem – noções envolvendo dados e colaboração.
o    Mobilidade – Segurança móvel: riscos e vulnerabilidades.
o    Big data – implicações à privacidade.
o    Redes sociais – riscos e perigos existentes.
·                     Vulnerabilidade dos usuários não conscientizados.
·                     Desafios associados à Web Oculta (Deep Web).
·                     Riscos da Internet das Coisas.
·                     Desafio trazido pelos Malwares.
·                     Categorias de ataques cibernéticos.
o    Hacking e sua Linha do Tempo evolutiva.
o    Como reconhecer e evitar Ataques Persistentes Avançados (APA).
o    Phishing e Spear Phishing.
·                     Engenharia Social e coleta não autorizada.
·                     Sete maneiras fáceis para evitar ser hackeado.
o    Desconfie de e-mails. Verifique os locais dos links. Nunca abra anexos (exceto se tiver certeza da origem). Use autenticação de dois fatores.
o    Utilize senhas poderosas. Tenha cuidado com a nuvem.
o    Em Wi-Fi pública, não compartilhe dados pessoais.
·                Estar compliance é estar seguro? Inovação na postura de Cibersegurança.
o    Necessidade de Mudança Radical no Modelo Aceito de Segurança.
o    Hoje não estamos ganhando a luta cibernética... Mas podemos virar o Jogo. Integrando o Risco Cibernético aos Riscos do Negócio.
o    Gráfico: grau de Maturidade na Gestão de Risco Cibernético.
·                 Cinco Sensos (5S) da Qualidade no Estilo Japonês, aplicados à SI:
o    Utilização – Seiri, Organização – Seiton, Limpeza – Seisou, Saúde (melhoria contínua) – Seiketsu e Autodisciplina – Shitsuke.
§  Política de mesa limpa.
§  Cuidados no descarte de informações classificadas.
§  Documentos sigilosos em salas de reunião, copiadoras e impressoras. Uso de termos de responsabilidade.
§  Construção de senhas fortes e fáceis de memorizar.
§  Ações contra Engenharia Social, Malwares e coleta não autorizada.
§  Organização de arquivos sigilosos (tanto físicos, quanto digitais).
§  Ações contra o uso de Pendrives e e-mails de forma displicente.
§  Cuidados com os Dispositivos Móveis dos colaboradores.
·            Medidas práticas para garantir proteção, continuidade e resiliência do Ciclo de Vida da Informação corporativa:
o    No Planejamento e Produção.
o    No Acesso e Utilização.
o    No Envio e Recebimento.
o    No Armazenamento e Recuperação.
o    Na Eliminação.
o    Em Emergência e Continuidade.
·         Legislações e Referências Normativas. Sugestão de Leitura e Estudo Futuro.
·         Exercício, Dinâmica de Grupo e Avaliação:
o    Política de Mesa Limpa – Jogo dos 20 Erros.
o    Dinâmica de Grupo. Trabalho final individual.

Metodologia

Apresentações de Slides, Vídeos, Filmes e páginas na Internet. Estudo dirigido. Pesquisa. Discussões em grupo. Estudo de problemas. Trabalhos Individuais.



Avaliação
A avaliação é realizada por nota de 0 a 10 (zero a dez), envolvendo: participação em sala de aula (Valor: 2 pontos); entrega e apresentação de trabalho (2000 palavras – Valor 8 pontos). O trabalho expõe exemplo de serviço voltado para segurança da informação da entidade a que o aluno pertence, em que seriam destacadas duas medidas de segurança adotadas, com os respectivos riscos minimizados. O aluno deve incluir as dificuldades encontradas no processo de implementação das medidas, bem como relatar iniciativas para superá-las, adotadas com base no conhecimento adquirido no curso. Receberá certificado de conclusão do curso o aluno que obtiver avaliação igual ou superior a 7 (sete).

Bibliografia (Básica e Complementar)
  • Andress, Jason.  The Basics of Information Security – Understanding the Fundamentals of InfoSec in Theory and Practice.  Elsevier, 2011.
  • Campbel, D. Inside ECHELON. The history, structure and function of the global surveillance system known as Echelon. Eridu, 2000. Clique


  • Cockram, Dominic and Van Den Heuvel, Claudia. Organisational Resilience.  BCI Membership Subgroup, 2012. Clique
  • Hinson, Gary. Business case for an Information Security Awareness Program. IsecT, 2010.Clique
  • NIST – National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity. Version 1.0. EUA, 12Fev2014. Clique
  • Pagliusi, P.S. Livro:  Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Saarbrücken, Alemanha, Jul2013. Clique
  • Pagliusi, P.S. 7 Maneiras Fáceis para Evitar ser Hackeado, em 14Abr2015, no blog MPSafe. Clique
  • Pagliusi, P.S. A Internet Profunda – Segredos, Riscos e Ameaças, em 26Fev2015, no portal CryptoID. Clique e Blog MPSafe. Clique
  • Pagliusi, P.S. A Máscara – Brasil entre Maiores Alvos, Jul2014, pg. 22 e 23, Revista do Clube Naval nº 371. Clique Blog MPSafe. Clique Revista Linux Magazine nº 110. Clique
  • Pagliusi, P.S. Segurança de Dispositivos Móveis – Como proteger Smartphones & Tablets, em Set2014 pela Revista Linux Magazine nº 114, da Linux New Media do Brasil. Clique  e pelo Blog MPSafe. Clique
  • Pagliusi, P.S. O cibercrime joga no ataque, em Ago2014, Revista Linux Magazine nº 113, da Linux New Media. Clique e PDF
  • Pagliusi, P.S. Ciberespionagem e inovação em cibersegurança, em Jul2014 pela Revista Linux Magazine nº 112, da Linux New Media do Brasil. Clique e no Blog MPSafe. Clique
  • Pagliusi, P.S. A Era da Computação Quântica, em 13Fev2014 no blog MPSafe. Clique e no blog Segurança da Informação. Clique
  • Pagliusi, P.S. Criptografia pode servir de mapa da mina, matéria de capa do jornal “O Globo”, Rio de Janeiro, de 09Set2013. Página 3 do jornal impresso, e link do Portal G1. Clique 
  • Pagliusi, P.S. Nuvem como Arma Secreta? Agentes Silenciosos da Guerra, no blog MPSafe, em 24Mar2013. Clique
  • Pagliusi, P.S. Novos desafios de segurança da nuvem e do BYOD, na Revista CIO - Estratégias de negócios e TI para líderes corporativos - seção Opinião, de 12Dez2012. Clique
  • Pagliusi, P.S. O Anonymous e Os Pássaros, de Hitchcock, no Jornal “O Globo”, Rio de Janeiro, de 09Abr2012, blog e coluna do repórter especialista em TI André Machado. Clique
  • Pagliusi, P.S. Reduzir custos sem abrir mão da proteção. Decision Report, 12Mar2012. Clique
  • Pagliusi, P.S. Quem está compliance também está seguro? Jornal Brasil Econômico, versão impressa e em mídia, 27 a 29Jan2012. Clique
  • Pagliusi, P.S. Fraudes financeiras & Segurança da Informação. Information Week, 02Nov2011. Clique
  • Pagliusi, P.S. Correio Eletrônico na Nuvem - Migração, Riscos e Recomendações de Proteção. Portal Segurança da Informação – Blog SegInfo, 21Mar2012. Clique e blog MPSafe. Clique
  • Pagliusi, P.S. A segurança da geração que voa na Nuvem. Portal Decision Report, 10Jul2011. Clique e blog MPSafe. Clique
  • Pagliusi, P.S. Conversa na Nuvem sobre SIEM e BYOD. Podcast de 17/04/2013, blog SegInfo. Clique
  • Pagliusi, P.S. PSSPodcast #6 - Segurança em Cloud Computing. Podcast de 08/06/2011, Information Week Brasil. Info | SegInfocast. Clique
  • Ross, Steven and Masters, Risk.  Creating a Culture of Security.  ISACA, 2011.
  • Salomon, David.  Elements of Computer Security.  Springer, 2010.
  • Senado Federal. Audiência pública do Dr. Paulo Pagliusi, outros especialistas em SI e diversas autoridades à CPI da Espionagem - destinada a investigar a denúncia de existência de um sistema de espionagem estruturado pelo governo dos Estados Unidos. Brasília – DF, em 22Out2013. [Senado] Clique [EBC] Clique [Relatório Final da CPI] PDF
  • Sommer, Peter and Brown Ian.  Reducing Systemic Cybersecurity Risk. OECD/IFP “Project on Future Global Shocks”, 2011. Clique
  • Suter, Manuel. A Generic National Framework for Critical Information Infrastructure Protection. Center of Security Studies, ETH Zurich. Clique
  • Whitcher, Robert.  BS25999 – White PaperBCI Seminar, 2009. Clique
Plano de Aula

AULA
DATA
ATIVIDADES
01
3ª-Feira
(3 horas)
Apresentações iniciais e fundamentos de Cibersegurança.
Conhecimento básico de gestão de riscos e vulnerabilidades.
02
5ª-Feira
(3 horas)
Crescente ameaça de fraudes e ataques cibernéticos ao ambiente operacional.
Cenário de Espionagem Globalizada e Guerra Fria Cibernética.
Implicações futuras e novos riscos trazidos pela evolução da Tecnologia.
03
3ª-Feira
(3 horas)
Desafios à proteção da Segurança da Informação (SI) dos quatro pilares (Nuvem, Mobilidade, Big data, Redes sociais).
Vulnerabilidade dos usuários não conscientizados.
Desafios associados à Web Oculta (Deep Web).
Riscos da Internet das Coisas.
Desafio trazido pelos Malwares.
04
5ª-Feira
(3 horas)
Categorias de ataques cibernéticos.
Engenharia Social e coleta não autorizada.
Sete maneiras fáceis para evitar ser hackeado.
Estar compliance é estar seguro?
(Necessidade de) Inovação na postura de Cibersegurança.
05
3ª-Feira
(3 horas)
Cinco Sensos (5S) da Qualidade no Estilo Japonês, aplicados à SI.
Medidas práticas para garantir proteção, continuidade e resiliência do Ciclo de Vida da Informação corporativa.
Exercício (Política de Mesa Limpa – Jogo dos 20 Erros).
Legislações e Referências Normativas.
Sugestão de Leitura e Estudo Futuro.
06
Sábado
(5 horas)
Entrega e Apresentação dos Trabalhos Individuais.
Dinâmica de Grupo e Avaliação.
Dinâmica do Curso
Data de início – Em uma terça-feira, a ser definida.
Local – Instalação (auditório, sala de aula ou reunião) provida pela corporação Cliente.
Infraestrutura – Solicitamos à corporação Cliente providenciar: suporte computacional para slides (PowerPoint), equipamentos de áudio (microfones, alto-falantes), projetor, recursos de mídia digital para passar vídeos (imagem e som) e acesso à Internet.

Valor e Condições do Investimento
O valor do curso é R$ 2.500,00 (dois mil e quinhentos reais) por aluno, em turma composta por, no mínimo 6 (seis) e, no máximo, 20 (vinte) alunos. O valor é pago em duas parcelas, como a seguir. Estão inclusos no investimento: autorização de uso de nome e imagem do Professor, h/h referente à preparação, despesas de viagem, hospedagem, alimentação, e deslocamentos. Não estão inclusos direitos autorais nem exclusividade.

Forma de pagamento
O pagamento da primeira parcela ocorrerá em até 10 (dez) dias corridos antes da atividade prevista e o da segunda parcela, ao término do serviço prestado e em até 10 (dez) dias corridos após a atividade, mediante recebimento de nota fiscal com o valor da parcela, por parte do cliente.

Parcela
Período de:
Valor (R$)
Atividade
 
20%)
Em até 10 (dez) dias corridos antes da atividade
   500,00 por Aluno
Sinal e Preparativos
(80%)
Em até 10 (dez) dias corridos após a atividade
2.000,00 por Aluno
Realização do Curso
Total:
R$ 2.500,00 por Aluno

Mini curriculum do Professor Dr. Paulo Pagliusi
         Consultor PhD. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC – RJ e certificado CISM (Certified Information Security Manager).  O Dr. Paulo Pagliusi é autor de livro e conferencista conhecido com mais de 20 anos de atuação em SI, CEO e Sócio-Diretor da MPSafe CyberSecurity & CounterEspionage, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro. Reconhecido pelo Governo Federal com especialista em contraespionagem, fez parte da audiência pública da CPI (Comissão Parlamentar de Inquérito) da Espionagem do Senado Federal sobre Segurança Cibernética. É também um dos mentores do movimento denominado “Cyber Manifesto”, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.
E-mail: seguranca@mpsafe.com.br
Programa do Curso: em PDF 
Você ainda não viu?