Seginfocast - Segurança Da Informação - Podcast

Emerson Wendt, Diretor de Departamento de Inteligência de Segurança Pública na Secretaria de Estado de Segurança Pública do Rio Grande do Sul é o convidado de Luiz Felipe Ferreira neste episódio do SegInfocast. O Dr. Emerson traz o panorama diário de um delegado especializado em crimes cibernéticos. Qual o panorama das atividades criminosas cibernéticas no Brasil? Nosso entrevistado diz que o Brasil é um campo fértil para os criminosos, sendo o setor bancário como um dos mais visados. Além das fraudes bancárias, os crimes contra a honra tem sido muito utilizados, sem contar a pedofilia, um dos crimes mais denunciados. O Brasil possui leis que amparam as investigações de crimes cibernéticos? Emerson informa que nosso país é muito bem servido de diversas leis que são usadas como base nas condenações tais como a lei "Carolina Dieckmann" e outras, assim como a recente Lei Geral de Proteção de Dados que certamente apoiará as investigações. Como é o processo de investigação de um crime cibernético? Emerson di

Neste episódio do SegInfocast, apresentamos o áudio do Webinar “LGPD: Procuram-se DPOs no Brasil” realizado pela Clavis Segurança da Informação em conjunto com o EXIN e apresentado por Luiz Felipe Ferreira. Neste webinar foram abordados um dos pontos relacionados a conformidade com a LGPD, que em 2020 entrará em vigor no Brasil. Para atender a demanda de adequação, muitas empresas terão que indicar a figura do Data Protection Officer (DPO), o encarregado pela proteção de dados. Será que teremos essa mão de obra disponível? Como se preparar para ingressar nas várias vagas que serão abertas de forma direta e indireta à Lei Geral de Proteção de Dados (LGPD)? Além disso, outros tópicos foram discutidos neste webinar: Em um ano de GDPR, quantos DPO’s já foram registrados? Quando é obrigatória a designação de um DPO? As atribuições de um DPO de acordo com a GDPR. As atribuições de um DPO de acordo com à LGPD. Quais os conhecimentos que um DPO deve ter? Quais outras oportunidades estão diretamente relacionadas à LGP

Neste episódio do SegInfoCast compartilhamos o áudio do Webinar "Segurança da Informação e Desenvolvimento Seguro na era da Privacidade de Dados" apresentado por Andréa Melo da Clavis Segurança da Informação na rodada de Webinars da EXIN. Os temas abordados no webinar foram a Segurança da Informação, Governança e Gestão de Riscos, Proteção de Dados, a lei brasileira LGPD e também o Desenvolvimento Seguro. Sobre a entrevistada Desde 2005, Andréa Melo trabalha com normas de sistemas de gestão tais como as ISO 9000, 20000, 22031 e 27000, certificando, treinando e palestrando tanto no Brasil quanto no exterior. Formada em Administração de Empresas com Especialização em Gestão de Tecnologia da Informação pela FGV.

Luiz Felipe Ferreira recebe pela primeira vez no SegInfocast a Dra. Ana Cristina Ferreira, advogada especializada em direito digital, para nos ajudar a entender a Lei Geral de Proteção de Dados, conhecida como LGPD, sancionada pelo presidente Temer em agosto de 2018. Do que se trata a LGPD? Segundo a Dra. Ana, a Lei Geral de Proteção de Dados, visa reforçar a segurança jurídica para os dados pessoais dos cidadãos brasileiros e mitigar os abusos. Ela nasceu inspirada na GDPR, lei europeia que também trata da proteção de dados pessoais. O que são dados pessoais e dados pessoais sensíveis? Nossa convidada explica que dados pessoais são informações relacionadas ao indivíduo que sejam capazes de identificá-lo tais como identidade, endereço, CPF, etc.. Já os dados pessoais sensíveis dizem respeito as preferências e convicções do indivíduo, tais como preferências religiosas, sexuais, informações biométricas, entre outros, por isso são tratados de forma especial pela lei. Quais são os direitos dos titulares dos da

SegInfoCast #66 - Norma ISO 27001 by SegInfo

Luiz Felipe Ferreira recebe Davidson Boccardo, Diretor no Grupo Clavis Segurança da Informação e CEO na Green Hat para entendermos como equipamentos computacionais são certificados. Avaliação de Conformidade de Produtos computacionais Davidson esclarece que o objetivo da avaliação é proteger o consumidor, pois equipamentos computacionais necessitam de uma certificação que ateste a sua qualidade. Através da acreditação, o Inmetro capacita os laboratórios para terem as qualificações necessárias para verificar, executar e testar a qualidade dos produtos. Qual a relação entre Certificações de Produtos e Segurança da Informação? Davidson nos conta que nos equipamentos de certificação digital (icp-brasil), por exemplo, deve haver uma preocupação muito grande com a confidencialidade, integridade e disponibilidade dos dados através da segurança "by-design", segurança computacional e a segurança lógica. Quem necessita ter seus equipamentos avaliados? Nosso convidado cita que toda empresa que tem a intenção d

Luiz Felipe Ferreira recebe um convidado muito especial pela primeira vez no SegInfocast: FabioAssolini, Analista Sênior de Segurança da Informação na Kaspersky para uma conversa sobre os ataques ao setor financeiro. Ameaças originárias do Brasil Nosso convidado revela que o cibercriminoso brasileiro é bastante imediatista focado no retorno financeiro a curto prazo, justificando o porquê de sermos um dos países com o maior número de trojans bancários e também em ataques de phishing. O foco, claro, tem sido o usuário de internet banking. No exterior, o foco é outro, a fonte do dinheiro, os bancos. Maturidade de Segurança da Informação no sistema financeiro Fabio nos conta que o sistema financeiro brasileiro em comparação com o americano, por exemplo, está mais avançado nas tecnologias de proteção, como é o caso da adoção de plugins em desktops domésticos e também na adoção de cartões com chip. A maturidade varia muito com a intensidade dos ataques. Reações aos ataques Embora o setor tenha uma maturid

Davidson Boccardo, Diretor do Grupo Clavis Segurança da Informação e CEO na GreenHat retorna ao SegInfocast e conversa com Luiz Felipe Ferreira, sobre um novo curso desenvolvido pela Clavis, que prepara o candidato para duas certificações: CompTIA Pentest+ e EXIN Ethical Hacking Foundation. Sobre o curso e as certificações Davidson nos conta que a Clavis formulou um curso pensando nos estudantes e profissionais que desejam adentrar na carreira de pentester preparando-os para duas certificações. É a melhor forma de começar. A certificação da EXIN foca nos fundamentos e atividades básicas de ethical hacking, já a da CompTIA é mais focada na parte prática do teste de invasão. As provas A CompTIA exige que a prova seja realizada em um centro autorizado, já a EXIN pode ser realizada online, no conforto da sua casa. O curso Segundo Davidson, a Clavis optou por atualizar o material do curso, trazendo a abordagem dois em um. As aulas serão online e liberadas gradativamente até o mês de novembro. Diversos temas se

Estreando no SegInfocast, Emilio Simoni , Security Director na dfndr Lab, uma divisão da PSafe Brasil, conversa com Luiz Felipe Ferreira sobre suas atividades no combate a fraudes e ameaças cibernéticas. Combate a fraudes Emilio conta que seu foco de proteção principal é a criação de tecnologias heurísticas de proteção para o usuário final, principalmente no ambiente de dispositivos móveis. Malwares para dispositivos móveis A popularização dos dispositivos móveis com acesso a internet fez com que os criminosos migrassem para esse tipo de usuário final, sabendo que eles carregam além de informações pessoais, dados corporativos. Emilio cita que seu trabalho envolve diversas proteções contra páginas maliciosas, páginas falsas e aplicativos maliciosos. Roteadores Domésticos Nosso convidado comenta que está trabalhando em um projeto direcionado a identificar vulnerabilidades que possam ser exploradas nos roteadores domésticos como senhas padrão, protocolos inseguros ativos, vulnerabilidades de firmware etc., su

Pela primeira vez no SegInfocast, Lucila Bento, Diretora Acadêmica na Clavis Segurança da Informação apresenta a Luiz Felipe Ferreira as principais novidades do novo sistema de treinamento online da Academia Clavis. A nova plataforma EAD O sistema foi reformulado visando Segundo Davidson, trata-se de uma "foto" da empresa que mostra não somente as lacunas tecnológicas, mas também nos processos e até nas pessoas, identificando falhas, entendendo os controles aplicados e gerando um plano de ação para corrigir  os erros encontrados. Quais as principais mudanças e benefícios para o aluno? Uma das principais novidades é autonomia que os alunos terão na escolha e compra dos cursos, disponíveis em poucos cliques no site da Academia Clavis. É possível adquirir os diversos cursos da Clavis como teste de invasão, análise forense, ou ainda os cursos preparatórios para as certificações internacionais como a CompTIA Security+, EXIN ISFS, entre outros. As aulas são gravadas e estarão disponíveis o tempo todo, facilita

Davidson Boccardo, Diretor do Grupo Clavis Segurança da Informação e CEO na GreenHat retorna ao SegInfocast para uma conversa com Luiz Felipe Ferreira, sobre Gap Analysis - Análise Corporativa de Segurança da Informação  O que é uma Gap Analysis em Segurança da Informação? Segundo Davidson, trata-se de uma "foto" da empresa no que tange segurança da informação, que mostra não somente as lacunas tecnológicas, mas também nos processos e até nas pessoas, identificando falhas, entendendo os controles existentes, ausentes ou insuficientes e não aplicáveis no ambiente, e gerando um plano de ação para corrigir  os erros encontrados. Qual a importância de executar uma Gap Analysis em Segurança da Informação? Nosso convidado destaca que ela traz uma visão geral, facilitando inclusive futuras aquisições de produtos ou serviços de Segurança da Informação, pois agora com o plano de ação construído, é possível ser mais assertivo na escolha, trazendo um maior retorno do investimento, aproximando a Segurança da Informação

O convidado deste episódio, entrevistado por Luiz Felipe Ferreira , é o Rafael Barros, consultor na área de Governança, Risco e Compliance da Clavis Segurança da Informação para esclarecer as dúvidas sobre a lei européia GDPR. O que é a GDPR? Segundo o nosso convidado, trata-se de uma atualização de leis anteriores da união européia visando evitar o vazamento massivo de dados dos cidadãos daquele continente. O objetivo da lei é obrigar as empresas a terem processos de segurança para coibir o mau uso das informações. Escopo da Lei Qualquer empresa européia ou não que possua dados processados ou armazenados (informações pessoais) de clientes que são cidadãos europeus faz parte do escopo da lei, principalmente em grandes quantidades, segundo Rafael.  Sanções e Multas Para as empresas que não estiverem em conformidade com a lei até o dia 22 de maio (provavelmente mais de 50%), Rafael informa que multas e sanções dependem da gravidade do vazamento de informações.  Oportunidades no  mercado de trabalho A lei tr

Neste episódio, Luiz Felipe Ferreira recebe Victor Santos, Diretor de Serviços da Clavis para uma conversa sobre a relação entre Investimento/Retorno na Implementação de um SIEM. Os desafios das equipes de segurança da informação Victor lembrou que a realidade das equipes de segurança é completamente diferente de anos atrás quando existia somente o perímetro para proteger. Hoje, há desafios como o ShadowIT, diversos dispositivos conectados na rede, necessidade de resposta ágil a incidentes e de um monitoramento contínuo de ameaças. Sobre o SIEM Victor falou sobre o conceito de SIEM (Gerenciamento de Eventos e Informações de Segurança, em português), que é uma solução que recebe os logs de diversos dispositivos, correlaciona os eventos procurando dados e metadados comuns, também gerando alertas. Por ser muito mais que um centralizador de logs, o SIEM evoluiu, adicionando inteligência, tentando predizer as ameaças. Dificuldades para a implementação de um SIEM Na sua experiência de implementações em diver

Luiz Felipe Ferreira recebe mais uma vez Luciano Lima para uma conversa sobre o seu livro: "Simulados para a Certificação CompTIA CySA+ CS0-001". Sobre a certificação CompTIA CySA+ Segundo Luciano, dois fatores contribuíram para a criação da certificação CySA+: a existência de uma lacuna entre a Certificação Security+ (considerada de nível de entrada) e a CASP (nível avançado), e o surgimento de novas tecnologias e nomenclaturas entre os lançamentos dessas certificações. A CySA+ é considerada como uma certificação de nível intermediário, indicada como o próximo passo para quem já possui a Security+. Ela também está presente no Roadmap para Certificações em Segurança da Informação da Clavis. Sobre o livro Luciano comenta que após o sucesso do livro de simulados para a certificação Security+, tema do episódio 44, muitos que foram aprovados neste exame começaram a pressioná-lo para lançar um livro, também de simulados, mas agora para a CySA+. Luciano sugere o treinamento oficial da certificação disponível

No epidósio de hoje, Luiz Felipe Ferreira recebe André Serpa para uma conversa sobre o Elastic e o X-Pack. Sobre o Elastic Stack André explicou que trata-se de um conjunto de produtos (Kibana, Elasticsearch, Beats, Logstash) utilizados para diversas soluções como busca e monitoramento de eventos de segurança, entre outros. É uma plataforma altamente escalável, open source e indexa informações em tempo real de qualquer fonte. Sobre o X-Pack Para adicionar novas funcionalidades ao Elastic Stack como segurança, autenticação com LDAP, automação de rotinas, por exemplo, André citou o X-Pack, um conjunto de plugins contidos na assinatura comercial da Elastic juntamente com o suporte. Parcerias André comentou que o Elastic Stack, por ser opensource, já é utilizado como base para diversos outros produtos desenvolvidos por empresas como a Dell, IBM, Microsoft, Salesforce além da própria Clavis, que desenvolveu o Octopus, um SIEM reconhecido até como ferramenta de defesa e já foi tema do SegInfocast no episódio #

O SegInfocast agora tem um novo apresentador, Luiz Felipe Ferreira, substituindo Paulo Sant'anna nesta nova temporada. O tema deste podcast é o livro: "Simulados para a Certificação CompTIA Security+ SY0-401" de autoria do entrevistado Luciano Lima. Sobre a certificação CompTIA Security+ Luciano explica que trata-se de uma certificação reconhecida internacionalmente, vendor neutra que aborda os fundamentos de diversas tecnologias e conceitos de Segurança da Informação. Ele também comenta sobre o preço, duração, idiomas disponíveis, local da prova e pontuação necessária para aprovação. A certificação é indicada para todos os profissionais que desejam migrar ou iniciar sua carreira na área de Segurança da Informação. Ela está presente no Roadmap para Certificações em Segurança da Informação da Clavis. Sobre a CompTIA A CompTIA é uma associação internacional com mais de 20 anos com diversas certificações reconhecidas em vários países pelo mundo e solicitada por diversas empresas. Sobre o livro Nosso entr

Neste episódio, Paulo Sant’anna recebe Alan Oliveira, que é um dos tradutores do livro Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon de Kim Zetter. Além disso, ele comenta sobre a relevância do Stuxnet como a primeira arma digital, e como essa primeira arma pode levar à criação de outras e o que podemos esperar deste novo cenário. Em adição, correlaciona os fatos ocorridos com a maneira como o ataque foi realizado e o que ele representa no contexto da segurança da informação de sistema cibernéticos. No livro, a jornalista especializada em cibersegurança conta a história por traz do vírus que sabotou os esforços iranianos para criação de um programa nuclear, mostrando como sua criação inaugurou um novo tipo de guerra, em que ataques digitais podem ter o mesmo poder destrutivo de uma bomba física. Sobre o livro O livro Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon descreve o funcionamento do malware Stuxnet, que atacou centrífugas d

Nesse episódio, Alan Oliveira, que é o responsável pela tradução do livro, comenta sobre a abordagem abrangente quanto à Segurança da Informação adotada na obra, detalhando uma série de conceitos sobre segurança, como confidencialidade, criptografia, controle de acesso, integridade de dados, riscos, ameaças (BOTNET, worms, trojans) e as possíveis contramedidas que devem ser utilizadas para proteção contra tais ameaças.   Além disso, o livro discute como a segurança da informação tem sido uma grande preocupação, sobretudo no ambiente corporativo, onde a perda, o vazamento ou o comprometimento da integridade de informações pode gerar um grande impacto no negócio.         Sobre o livro   A obra é uma tradução para o português do livro Foundations of Information Security: Based on ISO27001 and ISO27002 escrito por Jule Hintzbergen, Kees Hintzbergen, André Smulders e Hans Baars. Trata-se de um guia preparatório altamente recomendado para os interessados em realizar o exame de certificação EXIN Information Securit

Neste episódio, Paulo e Rafael Barros, instrutor da Clavis, analisam uma boa ideia: A certificação EXIN Information Security Foundation baseada na ISO/IEC 27001. Esta certificação é a base para as demais certificações em Segurança da Informação, pois, apresenta os processos operacionais de SI listados nas ISO/IEC 27001 e ISO/IEC 27002. Eles analisam o conteúdo do curso, incluindo o livro recomendado pela EXIN e os benefícios da certificação para os profissionais da área, destacando: Diferenças entre as ISO e como elas se complementam; Foco na implantação dos controles sugeridos para um SGSI (Sistema de Gestão da SI); Uso de experiências reais para apresentação dos controles. Sobre o curso Rafael explica que durante o treinamento preparatório para a certificação Information Security Foundation (based on ISO/IEC 27002), o aluno vai se familiarizar com um conjunto de termos comuns à área de Segurança da Informação e que fazem parte do escopo do exame, além de receber capacitação em tópicos correspondentes a

Neste quinquagésimo e comemorativo episódio, Paulo Sant’anna recebe novamente Carlos Botelho, Gerente Técnico de Contas da MarkMonitor, para uma conversa bastante interessante a respeito dos Serviços de Proteção de marcas. Carlos explicou que o Serviço de Proteção de marcas foi criado pela própria MarkMonitor no ano 2000, tornando-se líder mundial no que tange ao monitoramento do uso de marca de terceiros na Internet. O serviço atua na identificação de infrações e situações com determinada marca de uma empresa sendo utilizada indevidamente por outros como, por exemplo, em registro de domínios, logotipos utilizados no conteúdo de sites, páginas e anúncios falsos. entre outros exemplos. Durante o podcast, Carlos apresentou cada módulo que compõe o Serviço de proteção de marcas. São eles: Módulo Websites - Módulo criado para a monitoração do uso da marca em registro de domínios, em conteúdo de sites e logotipos sendo utilizados indevidamente. Módulo MarketPlace - Responsável por realizar a monitoração de 98%