Conceitos de segurança da informação. Classificação de informações; procedimentos de segurança; auditoria e conformidade; confiabilidade, integridade e disponibilidade; controle de acesso; autenticação; segurança física e lógica; identificação, autorização e autenticação; gestão de identidades; métricas e indicadores em segurança da informação. Processos de definição, detecção de vulnerabilidade, implantação e gestão de políticas de segurança e auditoria. Gerência de riscos: ameaça, vulnerabilidade e impacto; planejamento, identificação e análise e tratamento de riscos de segurança. Segurança de aplicações. desenvolvimento seguro de software. Controle de acesso baseado em papéis (Role Based Access Control - RBAC);
Segurança em redes. Segmentação de redes, sistemas de firewall, Firewall de Aplicação Web (WAF), detectores de intrusão (IDS e IPS), DMZ, proxies, defesa de perímetros. Topologias seguras. Antivírus. Segurança de ativos de rede (switches e roteadores). Security Information and Event Management (SIEM) - Sistema de Correlação de Eventos relacionados à Segurança da Informação. Análise de Logs e trilhas de auditoria; Segurança de infraestrutura de TI. Sistemas de anti-Spam, filtro de conteúdo web, sistema de detecção de intrusos.
Virtual Private Networks (IPSEC VPN e SSL VPN); comunicação segura: TLS
Ataques a redes de computadores. Prevenção e tratamento de incidentes, tipos de ataques (spoofing, flood, DoS, DDoS, phishing). Segurança de aplicativos web: conceitos de segurança de aplicativos web; vulnerabilidades em aplicativos web; análise de vulnerabilidades em aplicações web; ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web; testes de invasão em aplicativos web; metodologia Open Web Application Security Project (OWASP); técnicas de proteção de aplicações web; gestão de patches e atualizações; ataques de dicionário e ataques de força bruta. Ameaças e vulnerabilidades em aplicações: Injection [SQL, LDAP], Cross-Site Scripting (XSS), quebra de autenticação e gerenciamento de sessão, referência insegura a objetos, Cross-Site RequestForgery, armazenamento inseguro de dados criptografados. Respostas a incidentes. Phishings, SCAMS e SPAMs; engenharia social; cybercrime; ameaças em redes sociais; procedimentos de resposta a incidentes; Softwares maliciosos (v
Criptografia: conceitos de criptografia, aplicações, sistemas criptográficos simétricos e de chave pública; modos de operação de cifras; certificação e assinatura digital; tokens e smartcards; protocolos criptográficos; características do RSA, DES e AES; funções hash; MD5 e SHA-1; esteganografia; análise de vulnerabilidade. (Parte 1)
Criptografia: conceitos de criptografia, aplicações, sistemas criptográficos simétricos e de chave pública; modos de operação de cifras; certificação e assinatura digital; tokens e smartcards; protocolos criptográficos; características do RSA, DES e AES; funções hash; MD5 e SHA-1; esteganografia; análise de vulnerabilidade. (Parte 2)
Segurança em redes wireless. Mecanismos de autenticação.
Analisadores de tráfegos de rede (Sniffers)
Segurança em servidores WWW, SMTP, POP, FTP e DNS.
Sistemas de backup. Tipos de backups, planos de contingência e meios de armazenamento para backups.
Política de segurança da informação. Normas de segurança da informação: NBR 27001:2013; NBR 27002:2013; Gestão de segurança da informação. Classificação e controle de ativos de informação, segurança de ambientes físicos e lógicos, controles de acesso, segurança de serviços terceirizados. Identificação e gestão de ativos. Gestão de mudanças. Segurança em operações.
NBR 27005:2019; NBR 22313:2015. 22301
TCP e UDP [não explícito no edital]
Segurança de servidores e estações de trabalho. Configurações de segurança em servidores Linux e Windows (Hardening). Configurações de segurança para estações Windows XP, 7 e 8 e versões mais atuais.
