HACKERS DO BEM 6

Prévia do material em texto

HACKERS DO BEM – CURSO BÁSICO
Compreender os principais elementos relacionados a governança, risco e compliance
Olá! 
Boas-vindas! Você está iniciando o curso Compreender os principais elementos relacionados a governança, risco e compliance.
Neste curso, você irá aprender os conceitos de confidencialidade, integridade e disponibilidade e quais são os principais fireworks utilizados em um sistema de segurança. Além disso, conhecerá sobre os controles de segurança e treinamentos e quais são as políticas de segurança utilizadas em uma empresa.
Por fim, aprenderá as principais normas da Lei Geral de Proteção de Dados Pessoais (LGPD) e quais são os conceitos de ética e Ethical Hacking. 
Aula 1 – Confidencialidade, integridade e disponibilidade
Governança, risco e compliance são elementos fundamentais para a sustentabilidade empresarial e formam um tripé estratégico que orienta as organizações na busca por práticas éticas, conformidade legal e resiliência diante de desafios internos e externos. As características desses três elementos também podem fazer uma relação com a segurança cibernética.
Segurança da informação
A segurança da informação visa a preservação da integridade, confidencialidade e disponibilidade dos dados em um ambiente digital. Seu objetivo é garantir que as organizações possam operar de maneira segura, protegendo informações sensíveis contra ameaças internas e externas. 
A confidencialidade, a integridade e a disponibilidade são os três pilares fundamentais da segurança da informação. São eles que garantem que as boas práticas e políticas sejam implantadas de maneira eficaz. 
Muito bem! Nesta aula, você aprendeu os conceitos de confidencialidade, integridade e disponibilidade, considerados pilares da segurança da informação. Agora, siga adiante para testar seus conhecimentos.
Praticando
1. Confidencialidade na segurança cibernética se refere à: 
a. Garantia de que os dados estão disponíveis quando necessário. 
b. Proteção dos dados contra acessos não autorizados. 
c. Prevenção de erros e manipulações indevidas dos dados. 
d. Garantia de sigilo das informações. 
2. Integridade na segurança cibernética envolve: 
a. Garantir que os dados estejam sempre disponíveis. 
b. Proteger os dados contra acessos não autorizados. 
c. Certificar-se de que os dados sejam corretos, autênticos e confiáveis. 
d. Manter cópias de backup dos dados em locais remotos. 
3. Disponibilidade na segurança cibernética se concentra em: 
a. Assegurar que os sistemas e recursos estejam acessíveis sempre que necessário.
b. Garantir que apenas as pessoas autorizadas acessem os dados. 
c. Evitar a perda de dados devido a desastres naturais. 
d. Proteger os dados contra adulterações não autorizadas. 
Aula 2 – Principais frameworks
Frameworks são estruturas que fornecem diretrizes, padrões e conjuntos de ferramentas para facilitar o desenvolvimento, implementação ou gerenciamento eficiente de projetos, sistemas ou processos. Eles, também, podem ser utilizados como base o estabelecimento de programas de segurança da informação no ambiente corporativo. 
ISO 27.001
A ISO 27001 estabelece um framework para que as organizações desenvolvam, implementem, operem, monitorem, analisem e melhorem continuamente um SGSI. Isso inclui a definição de políticas de segurança, a identificação e avaliação de riscos, a implementação de controles de segurança e a promoção da conscientização entre os colaboradores. 
CIS Controls
Os CIS Controls (Critical Security Controls) são um conjunto de melhores práticas e controles de segurança cibernética projetados para proteger organizações contra as ameaças digitais. Esses controles são fundamentais para estabelecer uma postura de segurança e mitigar riscos em ambientes tecnológicos complexos. 
NIST
NIST é uma agência vinculada ao Departamento de Comércio dos Estados Unidos que promove a inovação e a competitividade industrial. Em relação à segurança cibernética, o NIST trabalha na formulação de diretrizes que ajudam organizações a fortalecerem suas posturas de segurança. Uma das contribuições mais notáveis do NIST para a segurança cibernética é o NIST Cybersecurity Framework. Este framework fornece uma estrutura flexível e baseada em práticas recomendadas que as organizações podem adotar para gerenciar e fortalecer sua postura de segurança.
Muito bem! Você aprendeu sobre os principais frameworks, entre eles a ISO 27.001, o CIS Controls e o NIST CSF. Agora, siga adiante para testar seus conhecimentos.
Praticando
1. Qual é o principal objetivo do framework ISO 27001? 
a. Garantir que uma organização esteja em conformidade com as leis de propriedade intelectual. 
b. Fornece diretrizes para a gestão de qualidade de produtos e serviços. 
c. Estabelecer um sistema de gestão da segurança da informação (SGSI) eficaz. 
d. Definir práticas de sustentabilidade para as organizações. 
2. Qual dos seguintes é um dos 06 controles básicos do framework CIS Controls, projetado para ajudar as organizações a melhorar sua postura de segurança cibernética?
a. Backup regular de dados. 
b. Inventário e controle de ativos de software. 
c. Conformidade com regulamentos ambientais. 
d. Implementação de uma estratégia de segurança baseada em IA. 
3. Qual é a principal finalidade do framework NIST CSF? 
a. Desenvolver softwares seguros.
b. Realizar testes de penetração em sistemas.
c. Melhorar e fortalecer a segurança cibernética de uma organização.
d. Gerenciar o acesso à internet na empresa.
Aula 3 – Controle de segurança
O controle de segurança digital pode ser considerado um conjunto de políticas, procedimentos, tecnologias e práticas que visam assegurar que apenas usuários autorizados tenham acesso a informações relevantes e que essas informações sejam preservadas contra alterações não autorizadas. Para isso, alguns método são utilizados pelas empresas para garantir essas práticas.
Inventário e controle de ativos corporativos e de software
O inventário e o controle de ativos corporativos estão atrelados às atividades de identificação, catalogação e monitoramento de recursos de uma organização, que incluem desde equipamentos físicos, como computadores e maquinário, até propriedade intelectual e licenças de software.
Gestão contínua de vulnerabilidades
Uma gestão contínua visa identificar, avaliar e mitigar continuamente as vulnerabilidades em sistemas, redes e aplicativos de uma organização, garantindo mais eficiência contra potenciais ameaças.
Segurança e treinamento
A conscientização sobre segurança vai além de meras diretrizes e políticas; trata-se de internalizar a importância da cibersegurança em todas as camadas de uma organização. Desde os níveis executivos até os funcionários de linha de frente, todos desempenham um papel crucial na proteção de ativos digitais da empresa. 
Muito bem! Agora que você aprendeu quais são os controles de segurança, siga adiante para testar seus conhecimentos.
Praticando
1. Qual é a principal finalidade da gestão de respostas a incidentes em segurança cibernética? 
a. Identificar e responder de maneira eficaz a incidentes de segurança. 
b. Prevenir completamente todos os incidentes de segurança. 
c. Minimizar o tempo de inatividade do sistema durante um incidente. 
d. Desligar todos os sistemas para evitar qualquer risco de incidente. 
2. Qual é a etapa fundamental no processo de gestão de vulnerabilidades, que envolve a identificação e avaliação de ameaças potenciais em um ambiente de TI? 
a. Implementação de firewalls.
b. Criptografia de dados.
c. Análise de risco.
d. Backup regular de dados.
3. Qual é o objetivo principal do treinamento e conscientização em segurança cibernética? 
a. Identificar ameaças cibernéticas em tempo real. 
b. Desenvolver software à prova de invasões. 
c. Aumentar a velocidade de conexão com a internet. 
d. Capacitar os funcionários para reconhecer e mitigar riscos de segurança. 
Aula 4 – Políticas
A política de segurança estabelece diretrizes, responsabilidades e práticas para garantir a proteção adequada de informações sensíveis no contexto digital.Uma política eficaz desenha as medidas de segurança e cria uma cultura organizacional que valoriza e prioriza a proteção da informação. 
Resposta a incidentes
A resposta a incidentes começa muito antes de um incidente ocorrer. A organização deve estar preparada com planos detalhados de resposta, identificando papéis e responsabilidades, estabelecendo cadeias de comunicação eficazes e realizando treinamentos regulares para garantir que a equipe esteja pronta para agir quando necessário. 
Recursos tecnológicos
Quando pensamos em segurança da informação, diversas ferramentas e recursos podem ser poderosos aliados para garantir a eficácia desse método de trabalho. A utilização da criptografia na proteção de dados, firewalls como barreiras virtuais, sistemas atualizados de antivírus e o backup para recuperação de dados são alguns exemplos desses recursos tecnológicos. 
Muito bem! Agora que você aprendeu sobre as políticas de segurança cibernética, siga adiante para testar seus conhecimentos.
Praticando
1. A palavra política está presente em diversos contextos, muitas vezes associada a protestos e manifestações. Formalmente, qual é a definição de política? 
a. Representa um processo complicado e burocrático.
b. Vem do grego “polis” (cidade-Estado), designando a atividade humana relacionada à cidade, ao Estado e a interesses públicos.
c. Refere-se exclusivamente a manifestações e protestos. 
d. É um termo moderno sem raízes históricas.
2. Qual é o principal objetivo de uma política de segurança da informação (PSI) em uma organização? 
a. Criar restrições no acesso à internet. 
b. Estabelecer padrões estéticos para documentos internos. 
c. Regular a quantidade de dados armazenados em servidores. 
d. Gerenciar a segurança da informação por meio do estabelecimento de regras e padrões para proteção da informação. 
3. Qual é o objetivo da etapa em que se categorizam os tipos de informações, como públicas, internas, confidenciais e restritas, durante a elaboração de uma política de segurança da informação (PSI)?
a. Facilitar a definição de medidas eficazes, considerando as especificidades de cada tipo de informação e os riscos associados. 
b. Definir a estrutura do comitê multidisciplinar. 
c. Identificar os principais responsáveis pela PSI. 
d. Avaliar a maturidade da segurança dos ativos de informação. 
Aula 5 – LGPD
O mundo virtual tornou-se uma parte inseparável de nossas vidas, permeando não apenas o lazer, mas também desempenhando um papel fundamental no ambiente profissional. A convergência do mundo real com o virtual trouxe consigo uma série de benefícios, transformando a maneira como vivemos, nos conectamos e conduzimos negócios. 
Direito à privacidade
O direito à privacidade é a capacidade de uma pessoa controlar o acesso e a divulgação de suas informações pessoais. A conscientização, a legislação apropriada e a adoção de práticas éticas são cruciais para garantir que a privacidade continue sendo um direito respeitado e protegido. 
Direito dos titulares
Um dos capítulos mais importantes na LGPD é sobre os direitos dos titulares. Este capítulo da lei geral de proteção de dados pessoais apresenta série de pontos importantes quanto à segurança digital dos titulares, como:
· Os titulares têm o direito de receber informações claras e compreensíveis sobre a coleta, uso e compartilhamento de seus dados;
· Os titulares têm o direito de acessar suas informações pessoais armazenadas por organizações;
· Os titulares tem o direito de solicitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados. 
Muito bem! Agora que você aprendeu sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), siga adiante para testar seus conhecimentos. 
Praticando
1. Na exposição sobre a importância da proteção da privacidade e dos dados pessoais, quais são alguns dos riscos mencionados que podem ocorrer quando não se protege adequadamente a privacidade? 
a. Riscos de eventos climáticos. 
b. Riscos de problemas de saúde mental. 
c. Riscos de exposição indevida de dados pessoais. 
d. Riscos de atrasos em serviços de entrega online. 
2. De acordo com a LGPD, quais são as bases legais que autorizam o tratamento de dados pessoais? 
a. Apenas consentimento do titular e cumprimento de obrigação legal ou regulatória. 
b. Legítimo interesse, proteção da vida e da incolumidade física, e tutela de saúde do titular.
c. Realização de estudos e de pesquisa e proteção de crédito. 
d. Todas as opções anteriores estão corretas.
3. Qual é a finalidade do monitoramento realizado pela ANPD no contexto da fiscalização? 
a. Coletar informações para penalizar as empresas que descumprem as normas de proteção de dados. 
b. Disseminar boas práticas entre os titulares de dados e os agentes de tratamento. 
c. Promover a compreensão das normas e políticas públicas, mas não envolve medidas de segurança. 
d. Exclusivamente coletar evidências para aplicar sanções. 
Aula 6 – Ética
A ética é o estudo sistemático dos princípios que orientam o comportamento humano. Ela é uma disciplina acadêmica que busca compreender o que é moralmente certo ou errado e por quê. Apesar deste conceito ser confundido com o da moral, eles apresentam princípios diferentes entre si.
Ethical hacking
O ethical hacking é uma prática na qual profissionais de segurança, conhecidos como hackers éticos, empregam técnicas semelhantes às utilizadas por hackers maliciosos para identificar e corrigir vulnerabilidades em sistemas, redes e aplicativos. O ethical hacker utiliza uma variedade de técnicas para avaliar a segurança, incluindo testes de penetração, análise de vulnerabilidades, avaliação de conformidade e simulações de ataque controladas. 
Muito bem! Agora que você aprendeu características relacionadas ao conceito de ética, siga adiante para testar seus conhecimentos.
Praticando
1. Qual é a responsabilidade dos especialistas em segurança cibernética em relação à ética e legalidade, conforme abordado na aula?
a. Atuar com diligência, seguindo as melhores práticas e respondendo prontamente a incidentes de segurança. 
b. Ignorar as normas internacionais para alcançar uma segurança mais eficaz. 
c. Adotar medidas protetivas apenas quando ocorrem incidentes de segurança. 
d. Disseminar apenas a cultura técnica sem considerar as implicações éticas. 
2. Qual é o propósito principal do Pentest, também conhecido como teste de penetração, conforme discutido na aula? 
a. Realizar ataques reais a sistemas e redes para avaliar a capacidade de resposta da equipe de TI. 
b. Identificar portas vulneráveis em sistemas e redes para explorar falhas de segurança. 
c. Simular ataques a redes e servidores, semelhantes aos executados por criminosos, a fim de identificar vulnerabilidades. 
d. Efetuar acessos não autorizados aos sistemas para avaliar a integridade dos dados. 
3. Qual dos seguintes princípios éticos está relacionado à responsabilidade de busca constante por aprimorar habilidades e conhecimentos para desempenhar funções de maneira eficaz e profissional? 
a. Integridade. 
b. Confidencialidade. 
c. Colaboração. 
d. Competência. 
Recapitulando
Neste curso, você aprendeu sobre a Confidencialidade, Integridade e Disponibilidade e quais são os principais fireworks utilizados em um sistema de segurança. Além disso, conheceu sobre os controles de segurança e treinamentos e quais são as políticas de segurança utilizadas em uma empresa.
Por fim, aprendeu as principais normas da Lei Geral de Proteção de Dados (LGPD) e quais são os conceitos de éticas e Ethical Hacking. 
Questionário
1- Uma empresa está revisando suas práticas de segurança da informação e está considerando implementar uma estrutura de governança para garantir que suas políticas, processos e controles de segurança estejam alinhados com seus objetivos de negócio e regulamentações aplicáveis. Assinale qual das seguintes opções descreve corretamente o conceito de governança em segurança da informação?
a. Governança em segurança da informação é a estrutura de liderança, processos e controles estabelecidos paragarantir que os objetivos de segurança estejam alinhados com os objetivos de negócio e regulamentações
b. Governança em segurança da informação refere-se apenas às políticas de segurança de TI implementadas pela empresa.
c. Governança em segurança da informação é exclusivamente responsabilidade do departamento de TI e não requer envolvimento de outras partes interessadas na empresa.
d. Governança em segurança da informação envolve a supervisão de atividades de segurança por uma única equipe de TI na empresa.
2- Uma empresa de tecnologia está revisando seus controles de segurança cibernética para garantir uma abordagem abrangente e eficaz para proteger seus ativos de informações contra ameaças cibernéticas, assim, eles estão considerando as funções essenciais que esses controles devem desempenhar. Qual das seguintes opções abaixo descreve corretamente uma das funções dos controles de segurança cibernética?
a. Monitorar: os controles de segurança cibernética visam detectar e responder a atividades suspeitas ou anômalas em tempo real para proteger contra ameaças.
b. Dissuadir: os controles de segurança cibernética têm como objetivo desencorajar a ocorrência de ataques cibernéticos por meio da implementação de medidas proativas para fortalecer a segurança dos sistemas.
c. Recuperar: os controles de segurança cibernética estão envolvidos em responder a incidentes de segurança de maneira eficaz e restaurar os sistemas afetados para um estado seguro.
d. Isolar: os controles de segurança cibernética envolvem separar fisicamente os sistemas de TI da rede principal para dificultar o acesso não autorizado
3- Qual das seguintes opções descreve corretamente um dos cinco controles destacados pelo TCU (Tribunal de Contas da União)?
a. Monitoramento de incidentes de segurança: esse controle envolve a implementação de processos para detectar, investigar e responder a incidentes de segurança cibernética conforme eles ocorrem.
b. Gerenciamento contínuo de vulnerabilidades: esse controle diz respeito à identificação, avaliação e tratamento contínuo das vulnerabilidades nos sistemas de TI da organização.
c. Conscientização sobre segurança e treinamento: esse controle se concentra em criar uma cultura de segurança cibernética na organização por meio de programas de treinamento e conscientização para os funcionários.
d. Inventário e controle de ativos corporativos: esse controle envolve o monitoramento de todos os ativos de hardware e software da organização para garantir que estejam devidamente documentados e atualizados
	Iniciado em
	Quarta-feira, 17 abr. 2024, 19:02
	Estado
	Finalizada
	Concluída em
	Quarta-feira, 17 abr. 2024, 19:07
	Tempo empregado
	4 minutos 56 segundos
	Avaliar
	15,00 de um máximo de 15,00(100,00%)
image1.wmf