B de volta pessoal estamos começando aqui o nosso último vídeo aqui dessa sequência aqui dos resumos e bora aqui pro nosso domínio CCO domin 5 ele fala sobre governança risco e compliance o nossoo item 5.1 a gente vai falar sobre tipos de Cont controles bom a tem aqui a parte de categoria né dos controles de segurança e a comptia basicamente ela se concentrou nesses três aqui né gerencial operacional e técnico vamos falar um Pouquinho sobre cada um aqui os controles gerenciais eles estão na parte ali de gerenciamento de risco tá mais voltado ali pra parte
de política de de normas de regras Então aquela assim alto nível digamos assim parte operacional ela é o dia a dia mesmo ali né você pô a mão na massa do que o gerencial diz então se o gerencial diz por exemplo que você não pode eh reaproveitar senhas então o operacional vai ser você colocar Aquilo em prática né de não reaproveitar Senhas e utilizando controles técnicos para amarrar isso conseguiu entender aí a a intersecção desses três tipos de controle bem tranquilo né a parte de tipos de controle aqui tem uma outra categorização né aqui a
gente fala sobre os é aqui ele fala sobre as categorias de controle depois ele fala na 701 ele conseguiu segmentar um pouco mais disso aqui sabe dentro dessas categorias aqui mas aí tem esse tipo de controle aqui de segurança vai ser essa categorização por Mais que tem aquelas três lá também tá então o controle preventivo ele vai ser algo que vai evitar que algo aconteça ou seja aqui ó impedir então ele vai impedir de uma forma a gente vai ver mais paraa frente que tem um outra aqui que às vezes confunde impedir de fato tá
E aí tem essa lista aqui ó cerca fechadura biometria né enfim por isso que de segurança criptografia alo que realmente fala não se eu implementar isso aqui realmente vai ser travado vai Evitar de alguma forma tá detectivo ele vai ser uma controle de detecção você só vai detectar normalmente essa parte de detec aqui você só vai detectar quando está ocorrendo ou já ocorreu tá normalmente é mais para quando está ocorrendo para você detectar ali porque normalmente que tá vinculado a detector de movimento gravação né câmera CFTV Enfim então você vai detectar no momento que está
ocorrendo E aí ele tem essa parte aqui de descobrir Mas normalmente Tá detectar por o corretivo é após a ocorrência então preventivo é antes você vai fazer para evitar aquilo ali vou colocar lá uma porta com fechadura com a tranca isso é um controle preventivo mas eu vou colocar um sensor de abertura nessa porta para quando a porta for aberta eu detectar que ela foi aberta que ela tá sendo aberta ali mesmo que ela esteja trancada Ou seja que ela foi violada e o corretivo vai ser uma forma de eu tentar e recuperar aquilo ali
Entendeu ah eu vou ter que colocar vou recuperar aquela porta refazer a fechadura né colocar uma uma porta ali mais segura Então esse seria o controle corretivo né que você vai tentar retornar ali os sistemas ao modo nor normal e a gente tem aqui alguns controles de de recuperação né dentro disso né O que que foi feito ali para tentar recuperar isso aqui às vezes fazer um backup restauração do sistema interno nessa parte da porta como é que Você vai recuperar a porta né ou consertando ela ou trocando ela mas quando a gente fala de
sistemas né informatizados ali existem backups fazer implementação de um ha redundância enfim controle deterrente aqui que seria um controle de impedimento só que na verdade esse impedimento ele é meio que o um para você desencorajar de uma forma mais eh tipo de persuasão sabe sabe aquela plaquinha tipo assim eh cuidado cachorro bravo e tal é aquilo lá Entendeu Aí meio que a pessoa vai assiste tem um cachorro lá não vou esse controle ele impede alguma coisa de fato hum ah você fala ah na prática impede e tudo mais mas o controle em si ele não
impede tá ele tem essa intenção de persuadir mas ele mesmo não impede por isso que ele não é considerado um controle preventivo outro exemplo você tem algumas casas que tem um sensor de luz e aí você passa na porta da da da casa e acende aquela luz aí a pessoa Opa Né hoje a gente sabe que tem sensor e tal mas um tempo atrás alguns bons anos atrás era difícil você imaginar isso né você achava que era uma tecnologia e tal coisa de outro mundo mas enfim isso vai impedir alguma coisa não vai mas vai
mas vai ter a intenção ali de evitar entendeu muito ligado também a parte de câmera né de CFTV também você tá com uma câmera ali em algum lugar vai impedir alguma ação não não impede porque a câmera não impede nada né ela não é Igual uma cerca não é igual um portão que ela realmente impede Então ela só vai ali fazer essa parte aqui de essa desencorajamento essa persuasão e a gente tem um controle compensatório que aí no caso ele vai ser utilizado quando falhar seu controle primário por exemplo no caso a porta a porta
ali ela tá foi foi invadida né foi violada ali e depois disso você coloca sei lá uma outra porta mais resistente Ou coloca um cachorro alguma outra coisa assim entendeu para Se caso o seu primeiro controle falhar você tem um segundo controle ali que vai ser compensatório a o segundo ao primeiro na verdade né no caso aí ah você coloca lá um F de borda E aí se esse F falhar você tem um outro F Entre para chegar ali nas velans né ou você tem sei lá um IPS ids enfim que vai ser para fazer
aquela compensação ali é a gente entra naquela parte de defesa de profundidade né Tem muito isso aqui que tipo você vai ter várias camadas se uma For for ultrapassar ali ele não vai chegar direto seu tema ele vai ter outra camada de segurança beleza E para finalizar aqui os controles físicos né controle físico é justamente um controle ali pra própria instalação Física mesmo né que a gente pega né então alguns exemplos aqui que tem guardas cercas detector de movimento portas trancadas enfim o que eu dou de dica para vocês aqui essa parte de deterrente aqui
tem que tá muito Claro tá a cabeça de vocês E esse esse deterrente aqui eu não me lembro como é que ele tá traduzido na na 601 mas é controle de dissuasão na 701 já tá traduzido assim controle de dissuasão Pode ser que na prova Tenha tenha essa tradução Mas como você vai fazer a prova em português você vai ver a questão em inglês então não tem muito muito problema disso tá E aí acaba tendo essa questão de confundir o controle deterrente com preventivo tá então se lembrem compti gosta muito disso Iluminação sensor de iluminação
câmera de segurança né os famosos CFTV que mais sinalização aqui ó ó e são controles de persuasão tá não são controles preventivos beleza pessoal com isso a gente termina aqui o nosso item é 5.1 tá e a gente vai aqui já logo pro 5.2 começando nosso item 5.2 a gente vai falar aqui sobre comas regulações e parte de normatizações padrões enf regulamentações padrões e legislações ele comenta um pouquinho aqui material Comenta um pouquinho sobre isso né a gente tem que entender essa parte de conformidade aqui com o PL que é você tá de acordo com
aquelas regras políticas regulamentos Enfim então quando a gente fala assim ah tal empresa tá em compli S tem que tá em compliance é isso tá de acordo al tá em conformidade E aí ele comenta um pouquinho sobre isso enfim já cai PR gdpr a 601 não não cobra lgpd tá porque acho que na época não sei se não existia acho que não tinha ainda quando Foi feito o material mas não cobra lgpd mas na 701 já cobra um pouquinho já tem alguma coisinha de lgpd mas a lgpd foi baseada em gdpr então não tem muito
muito erro não aqui as informações pessoais dentro identificáveis né a gente precisa saber o que que é isso aqui um detalhe que gdpr ela é válida para todo mundo que faz negócio com o cidadão da União Europeia tá então se tinha alguma questãozinha lá falando Ah é uma empresa lá da índia que tem como Cliente cidadãos da União Europeia vale a gdpr Vale tem alguns detalhes aqui né consentimento da coleta e processamento cumprir as obrigações legais proteger interesse Vital da aç que tá público e tal tem aqueles detalhes de essas multas aqui não vai cobrar
para especificamente né 4% ou 20 ou 20% ou 20 milhões de euros o que eu recomendo vocês darem uma lida com bastante cautela é esse slide aqui ó essa parte de notificação até 72 horas lgpd né cont C contv essa parte Aqui de titulares tem o direito de acessar seus dados transferir para outro processador de dados direito de apagar dá uma lida com calma nesse slide aí qualquer coisa anota faz o né vou falar colinha porque não bde colar na prova né mas anota aí coloca lá na porta da geladeira lá você é importante ter
ter em mente essa parte de Nacional territorial ou leis de estados é uma questão que tipo cada Aqui no Brasil é é um pouco mais difícil né mas acho que Acho que nos Estados Unidos a segmentação de estados de autonomia entre eles é maior do que aqui por mais que aqui né enfim tem copiado algumas legislações de lá aqui não aplica muito isso mas a parte fiscal enfim né Mas seria mais ou menos nessa ideia aí entendeu que cada estado pode ter uma legislação própria cada país cada território enfim T essa ciência digamos assim PCI
dss op PCI enfim é sobre o tratamento né de da indústria de cartão De crédito aqui os padrões isso não é uma normativa não é uma lei Até onde eu sei não tem nada de de governo no meio tá não é o governo que impõe Isso é meio que um padrão que foi meio que estabelecido ali meio que eh não sei dizer exatamente como é que seria o termo que definiria isso mas aqui ele traz como padrão de segurança de dados tem alguns 12 requisitos aqui não vai cobrar especificamente isso mas é bom você ter
ciência disso até para você ter Uma noção como que o PCI funciona Tá na pentest debulha um pouquinho mais cobra um pouquinho mais disso tá mas é para ter noção então quando falar sobre cartão de crédito P excesso bom estruturas de segurança a gente já viu alguma coisinha sobre isso mas aqui ele traz algumas sobre por exemplo hipa isso aqui tem que saber tá tem que saber isso aqui várias certificações cobram ch cobra e pentest CIS casp tudo cobra casp que fou secj né Ipa tá falando de saúde Essa glba aqui ó setor financeiro Ixe
setor financeiro psss cartão de crédito e essa sarban oxley aqui se não me falha a memora ela é para Como é que chama gente Bolsa de Valores tá se não me engano mas eu acho que é isso aqui mesmo nossa a mesinha aqui tá tenso hoje então você tem a noção disso aqui tá a prova cobra mais ou menos isso essa aí ele fala sobre essas estruturas de segurança regulatória eu acho que a gente comentou sobre isso aqui eu vai falar mais pra Frente enfim não me lembro essa que são as estruturas de seguranças regulatórias
né que é uma orientação aqui ó estabelecida por um regulamento ou Lei do governo tem as não regulatórias né que aqui era para ter um exemplo de não regulatória não sei porque que não não tá aqui mas eu acho que por exemplo não governamental acho pá CS entraria nessa aqui ó que ela não é entidade não não governamental a estrutura de nacional de segurança a essa sim tá vinculada seram Legislação de um país específic Segurança Internacional serch ISO da vida lá né estrutura específica do setor por exemplo lá Ipa que é de saúde PS também
tá então não é bem segmentado isso algumas acabam meio que sobrepondo digamos assim o sis seria o Center for Internet Security ele tem alguns benchmarks lá alguns padrões que você pode utilizar para utilizar isso para fazer um hard no seu sistema alguns algumas como é que fala alguns Norteadores né digamos assim então tem um pouco de explicação dele aqui tem fala que fala no nist rmf e o csf o nist seria o Instituto Nacional de padrão de tecnologia tem o rmf que seria o Risk Management Framework seria uma estrutura ali de gerenciamento de riscos e
o csf que seria um Framework ali de segurança cibernética tá você saber isso aqui Óbvio né Mas aqui risco parte de segurança cibernética bem tranquilinho tá essas fases aqui do rmf não vai Adentrar mas isso aqui pra prática para trabalhar no dia a dia é bom saber tem alguns lugares que precisam tá tão alguns lugares que precisam estar em conformidade com isso aí né e que comenta um pouquinho mais azizo 27.001 27.002 27701 e 31.000 eu não me lembro se eu coloquei sobre todas aqui mas a 27.001 é uma é diretrizes para implementação tá então
vai falar olha o que que precisa ter não sei o que tal tal tal a 27002 ela já prescreve as melhores práticas é meio tipo assim Olha aí os 27001 é o que você precisa fazer a 27002 é como você vai fazer tá a 27701 fala sobre a privacidade que se não me falha a memória gpd lgpd coisa do tipo veio dela tá a parte de 31.000 aqui é de gerenciamento de riscos eu preciso saber mais do que isso olha 27.001 27.002 é é é você saber o que que é isso 27.001 é diretriz para
implementar 27002 como você vai implementar a 27701 sobre Privacidade e a 31.000 é sobre risco é isso precisa saber sai SII sock Type 2 Type 1 e Type 2 esses relatórios aqui eles são esses padrões aqui né cadê declaração sobre padrões para compromisso e certificação existem alguns tipos Então a prova lá ela cobra só desse site sai só que dois e aí tem um tipo um tipo dois basicamente ela vai cobrar mais dois que é o mais público Tá mas enfim ele vai a o tipo um aqui ele vai verificar se existem controles e os
Dois o tipo dois aqui evalia a eficácia e identifica se os controles estão em vigor Quando você vai lá por exemplo pratar WS da vida Tem como você ver esse relatório lá de segurança enfim tá aqui no Brasil nunca ouvi falar disso eu não sei se isso é algo muito nichado ou se ainda não veio para cá mas é basicamente isso tá então esse slide aqui tem uma explicação um pouquinho mais detalhada tá E aí Aqui tem esse resumão E aí como Plus né os relatórios que so que um soc Dois so que três só
para vocês terem uma noção porque a gente gosta de fazer um negócio bem Completão mas a prova só qu stock 2 CSA seria o cloud Security Alliance não Alliance não sei como é que seria pronúncia é fala aqui sobre esse meio que um consórcio um grupo digamos assim né Essa aliança sem fos lucrativos que fala sobre aqui computação em nuvem tem alguns padrões lá também não precisa saber muito que precisa saber é que essa Cloud control Matrix e essa arquitetura De referência tá vinculado a ela tá essa ccm aqui vai ser uma estrutura de segurança
cibernética para ambiente de nuvem bem tranquilo Ah mas como é que vi prova não cobra tá é só você precisa saber arquitetura de referência também essa aqui ó CSA como CSA enterprise architecture né ea ea CSA benchmarks e Gui segur de guias Seguros né de configuração ou guias de configuração segura quando a gente fala de benchmark pelo menos para mim eu tinha aquele Negócio falar de teste placa de vídeo teste de processador hein só que aqui tem uma parte de requisitos também ou seja como se fosse um hard ah precisa fazer um harden Então você
precisa ter uma lista ali de que que você vai seguir que que você vai fazer então seria essa parte aqui desses guias de configuração segura e desses benchmarks nich tem aquele que a gente viu se é o quê CSU o nome do negócio aqui gente csf tem então assim tem tem vários padrões para mim no Instagram vi aparecendo lá do Boom de de harding dele não sei nem por fica aparecendo isso enfim mas tem ciência disso aqui tá Os guias de de vendor específico de fabricante então o fabricante ele vai mostrar as boas práticas de
Ring ou de configuração daquele determinado equipamento para fugir daquelas Miss configuration lembra que a gente já viu tipo ah fala de configuração esqueceu de mudar senha padrão esqueceu de desativar alguns Serviços portas enfim Web Server também existem né para fazer isso de sistema operacional também e servidor de aplicação E aí tem várias aplicações tá tudo vinculado essa parte bit marketing guia de configuração segura dispositivos de rede também e com isso finalizamos aqui o nosso item 5.2 bora aqui então pro nosso item 5.3 a gente vai falar aqui sobre parte de políticas né de de Gran
organizacional bom a parte de implementação de segurança de pessoal Quando você tá falando especificamente de pessoas né de comportar mos aqui de usuário aí a gente entra Noal da aup política de uso aceitável ele vai ser meio que tipo assim o que que você pode fazer né define o que é e o que não é uma atividade prática de uso aceitável né O que que você pode fazer ali com os equipamentos da empresa você pode baixar torrente pode acessar o site do Tigrinho tudo vai est nessa política aqui de uso aceitável e às vezes ela
Existem várias Categorias né O que que você pode fazer com os equipamentos com a parte de rede enfim tá mesmo M que vez você esteja com um dispositivo seu um celular ou um notebook e você vai est e sujeito por exemplo a quando você tiver navegando a rede da empresa você se adequar aqui do link Job rotation ou rotação de tarefas seria mais ou menos o seguinte ele você tem uma uma atividade específica lá por exemplo você é responsável pelo banco de dados se é o dba ali só que aí tá tudo Na sua mão
e aí você vai ter que fazer uma rotação vai ter que mudar esse cargo seu e pegar uma outra coisa Obviamente você vai pegar coisa muito diferente vai pegar algo relacionado ali paraa outra pessoa vir no seu lugar é meio que para você fazer um ciclo né uma ciclagem ali para os contoles digamos se tudo não ficar na sua mão e a empresa ficar dependente extremamente de você e por um pouco para mudar a visão né Às vezes você faz ali para trabalha de uma forma E outra pessoa tem outra visão que seria mais eficiente
enfim férias obrigatórias é quando você quer mandar pessoa embora e você manda de férias antes aí depois quando ela volta Tá demitida é mais ou menos isso né se D ele tá dando trabalho você não tá conseguindo identificar o que que tá acontecendo no processo Bota ele de férias vamos ver se o problema continua né aí Óbvio se o problema não continuar quando ele voltar e tá demitido né então é basicamente isso né É É uma uma coisa meio meio dolorosa mas a gente sabe que acontece muito aí na prática tá separação de funções é
quando você tem ali uma os conceito muito abrangentes tá tem a questão por exemplo de eu ter o meu usuário comum e o meu usuário administrador e eu não trabalhar com meu usuário administrador essa é uma uma Peg ada né tem uma outra onde você precisa de várias pessoas para fazer uma coisa única ah por exemplo para fazer um damp do banco de dados só uma pessoa não Consegue fazer tem que ter mais de uma ali para né juntar os poderes ali e poder fazer então Existem algumas algumas linhas aí de pensamento como isso aí
como fala aqui ó Isso res resulta em nenhum usuário tendo acesso completo ou poder sobre toda a rede servidor do sistema né enfim seria mais ou menos nessa nessa linha aí vinculado a iso tem a questão do princípio do menor privilégio né Eu sempre ter o menor privilégio ali necessário para mim Trabalhar e entra naquela linha lá de segmentação de às vezes mesmo que eu seja um administrador de sistema eu ter minha conta ali comum que ela não tem acesso eu preciso escalar o acesso tá política de mesa limpa tem a questão de organização É
nesse momento que a gente olha pra nossa mesa e fala assim que zona né mas assim tem uma pegada de questão de organização mesmo mas a questão de Às vezes você deixar papel ou alguma informação Eh sigilosa né coisa que você não deixar né anotar senha em postit esse tipo de coisa estaria mais ou menos essa linha essas verificações de antecedentes aqui né algumas empresas já adotam isso no Brasil para ver se o cara como é que tá o histórico dele né se ele tá responde algum processo na parte de cibersegurança tem um alinha o
seguinte vê se ele responde algum processo principalmente de cybersegurança né de violação de dados ou de violação do Sistema se ele já teve algum tipo de vazamento de informações né nessa linha aí pr Justamente a pessoa pô Vou contratar um cara que tá respondendo processo por ter feito Fraude em cartões de crédito e a Minha empresa trabalha com são de pagamento de cartão e aí né será você consertou mais ou menos essa linha aí tá o NDA ser o acordo de não divulgação você vai proibir ali as informações confidenciais secretas sejam vazadas sejam compartilhadas tá
Normalmente quando entra na empresa queesse processo de onboard tem um termin desse aí análise de redes sociais do mesmo jeito aqui do das verificações de antecedência você também fazer uma verificação tipo eu vou olhar aqui na rede social desse cidadão aqui que que ele que que ele faz na vida né Eu já ouvi alguns casos a pessoa tá quase contratada E aí alguém do RH foi olhar as redes sociais do cidadão e é não vai rolar hein as postagens dele aqui e aí Foi cancelaram a contratação dele acontece acontece né não é só a a
parte do da Hard Skills né tem essas soft Skills tem as questões extras aí enfim processo de on board que a gente já comentou sobre isso né quando funcionários vão entrar ali no na empresa e você faz esse gerenciamento de a né vai criar os acessos os permissões e tal e o JB é quando ela vai sair da empresa Então tem que fazer todos os bloqueios de acesso enfim o ideal é que Seja automatizado né mas é muito difícil que às vezes dependendo do tamanho da empresa o RH não conversa com ti ou às vezes
não existe um sistema que né tá tudo integrado treinamento de usuários Existem algumas formas de você treinar os usuários ali para que enfim melhore ali a conscientização de sobre segurança gamificação é um meio de desincentivar aqui conformidade engajamento e tal como que você faz aqui os joguin inhos de ganhar ponto não sei o que e tal né o Treinamento a plataforma em si seria mais ou menos nessa linha aí né eu lembro que época do fundamental tinha muito isso né Você fez as as as tarefinhas tudo você pintava lá um quadradinho não sei o que
e tal mais ou menos essa linha aí captura de Flag famosos ctfs né vai fazer ali um teste de penetração simulado então tem umas máquinas específicas onde você tem que invadir campanhas de Fishing normalmente por e-mail né você vai fazer essas Campanhas al enviando e-mails para grupos determin ou para todos os funcionários Enfim então mais ou menos nessa linha aí aqui a temos mais a parte detalhe né esse CBT que seria o treinamento baseado do computador é basicamente tramento que a gente faz vídeoaula aqui né ele pode ser ao vivo aqui ou pré-gravado enfim normalmente
tem um videozinho D uma leitura e fazer algumas atividade zinhas treinamento baseado em funções é quando você vai Fazer o treinamento focado ali De acordo com a função por exemplo o pessoal do financeiro vai ter um treinamento diferente do pessoal lá do RH os diretores da empresa vão ter um treinamento diferente enfim seria nessas linhas aí e a diversidade técnica de Treinamento você tentar ver né Toda pessoa tem uma forma de aprendizado diferente então você tentar adequar isso ou fazer um treinamento que seja né hom chal ali né que tenha todas essas formas Que tenha
leitura tem a prática tem vídeo você tentar fixar isso ao máximo ali nos seus funcionários gerenciamento de risco de terceiros de uma forma geral aqui qualquer terceiros que estejam envolvidos ali entidades externas ali você tem um um risco de contratação disso parte de fornecedores que a gente já comentou sobre isso né Acho que não precisa a gente ficar batendo na tecla aqui a gente viu aqui ó it tem 1.6 cadeir suplimentos que eu já expliquei Para vocês tudo que esver vinculado a cadeia do suplimentos essa parte aqui de partes terceiras né negócios aqui parcerias de
negócio digamos assim também tem esses riscos que ele comenta um pouco aqui sobre o bpa que a gente já comentou também o sla seria o nível de acordo de serviço aqui né o acordo de nível de serviço enfim quando a gente fala muito de aca a gente vê lá o prazo de atendimento e tal mas aca ele é um pouco mais complexo que isso aí pega um Pouco lá de it enfim tá mas é essa noção aí de acordo de nível de serviço o que que precisa o que que precisa ter ser entregue aí tem
aqui ó escopo valores qualidade prazo desempenho Enfim tudo tá vinculado da sla normalmente se tivesse alternativa altas chances D ser a resposta correta tá o m aqui seria o se memorando de entendimento é quando meio que você vai fazer uma uma essa expressão de acordo ou entre as duas entidades Olha a minha empresa com a sua Empresa vamos fazer aqui uma tratativas inha um acordo Zinha e tal vamos fazer um documento aqui mas não é bem que oficializar isso é algo que tá tipo assim a gente tá tendo uma certa relação né é algo assim
não muito oficial tá não muito técnico então tem esse M aqui ou que normalmente vai e ser antecessora a um contrato ou uma parceria técnica ou algo do tipo tá ser meio que um rascunho na prática não no Brasil a gente não tem muito isso não Seja para trás que eu vi um um acordo de duas empresas assim relativamente na verdade oeste do governo no instituto federal que fizeram um documento e colocaram lá como esse Mou né falei caramba que que massa nunca tinha visto isso no Brasil não o msa que seria esse análise sistema
de medição Se não me engano isso aqui saiu da 701 tá não me lembro de ver isso aqui não mas seria que essa avaliação formal abrangente esse processo de sistema de medição Não Lembro nem de ver questão sobre isso aqui tá E aí tem esse esse aviso aqui né que essa ela não deve ser confundida com um principal de serviços Master series agreement que é um termo comum que não faz parte do exame de certificação Como disse para vocês né na 701 eu acho que voltou isso aqui não me falha a memória Tá mas esse
msa seria esse contrato principal de serviço aqui seria um master né se não me fal a memória voltou do 701 tá precs confirmar isso aqui na Edição eu tento colocar alguma coisa aí mas enfim Nessa altura do campeonato né provavelmente você deve estar estudando isso daí bpa seria esse esse esse acordo aqui de parceria comercial né é quando você tem um acordo de comercial mesmo entre duas empresas então ele chama aqui desse bpa tem esse acordo de segurança de interconexão vinculado a esse bpa quandoo fala dessa interconexão aqui dessa posição de segurança risco tá vinculado
isso aí End of Life a gente já Comentou eu não sei se a gente comentou sobre f de suporte End of End of suort né e tem o fim de vida útil aqui ó End of support Life que aí é quando o negócio morreu de vez mesmo né que no caso ele separa isso aqui tá acho que ele não traz na verdade isso aqui segmentado mas na prática Ele é bem generalista então não não não comenta essa segmentação aqui ó de EOL Eos ou eosl Beleza o NDA de novo aqui né é tão importante trabalhar
com terceiros Vinculado esse contexto de terceiros o conceito de dados que a gente já sabe que é essencial a classificação dos dados que a gente sabe que é importante provalmente lá p gtpr enfim parte governança de segurança aqui entra naquela parte tanto da sua sua empresa interna quanto aquela parte de lei de de território de estado nação se lembram parte de retenção de dados né também vai vinculado ali a parte de de de onde o seu setor tá vinculado onde ele ele atua Se é governamental se Quantos anos precisa manter aquele tipo de documento enfim
tá nessa linha aqui políticas de credenciais a parte de criação de senha e aqui comenta um pouquinho sobre mfa essa parte pessoal né quantas as contas Gerais aqui de usuários devem ser criadas controle disso para Terceiro se algum fornecedor tem ter um acesso interno ali acesso de visitante enfim credenciais dispositivos também onde você tem que fazer esse vínculo aí no Ativo da Rex Às vezes o contador t no domínio enfim tem esse tipo de controle contas de serviço que a gente até comentou sobre isso né que são especificamente para serviço você não pode às vezes
permitir um um login nela enfim ã que fala sobre vincular essa conta de serviço a uma funcionários responsáveis conta de administrador conta Rot a gente já comentou sobre isso né que as contas de administrador ali do sistema de uma forma geral normalmente Tem que estar segmentado esse monitoramento aqui da do que que essas contas fazem políticas organizacionais a gente fala aqui sobre gerenciamento de mudanças Eu já comentei sobre isso você não sair doido lá na sexta-feira Vou atualizar sistema aqui Vou atualizar o Park todo aqui atualizar o Window Park todo né ter testes enfim ter
documentação disso processo de controle de mudanças tá vinculado a essa parte aqui do gerenciamento né você teu Processo de fato como vai ser feito fazer um playbook disso de teste de verificação enfim a Vamos fazer uma atualização do Windows no nosso par como é que a gente vai fazer isso vai ser por partes qual departamento vai ser primeiro enfim tá e avalia gerenciamento de ativos gente que já comentou isso no início né que você tem que ter os ativos ali tem que ter esse controle dele e é isso finalizamos aqui Qual item mas que eu
nem lembro o item 5.3 bora aqui pro Nosso item 5.4 falar aqui sobre gerenciamento de riscos os tipos de risco risco externo né que se origina aqui fora da organização são risco interno que esses são os mais perigosos né Normalmente quando a gente tem um funcionário ali que é um risco interno ameaça interna que é difícil às vezes ele tem permissão de admin é difícil segmentar isso sistemas legados coisa antiga desatualizada né que a gente tem que tentar separar isso o máximo Possível né segmentar isso ou tentar desativar o mais rápido possível esse risco multiparte
quando várias entidades organizações estão envolvidas que sempre né como eles falam lá que cachorro que não tem dono morre de fome né Tem um monte de gente ali envolvida e ninguém trata negócio direito roubo de propriedade intelectual é quando tem roubo de informações ali né propriedades intelectuais de fato compli de software licenciamento você tá com o seu Parque Todo um dia ali com parte de licenciamento né o licenciamento tá adequado enfim as licenças ali todas em dia nada de Cracked Edition enfim estratégia de gerenciamento de riscos aqui são algumas dessas aqui que a gente vai
ver um pouquinho mais em detalhes aceitação de risco é simplesmente Quando você vê e fala assim olha é muito caro para tentar contornar mitigar enfim esse risco a gente aceita Ok é isso a vo seria uma parte de evitação do risco né Você evitar o risco mesmo Tipo olha como é que eu vou fazer isso para para evitar esse risco né Normalmente quando a gente vai evitar o risco ali é quando você suspende aquele serviço n você suspende aquele serviço você não não não vai ter aquele serviço ali tá parte de transferência você contratar um
seguro para passar isso pra mão de alguém ou terceirizar então você não quer mais ter aquele isso você terceiriza para alguém tipo um carro você não quer ter o risco De você bater o carro e at o então você paga alguém para suportar aquele risco ali para você existem e seguros na parte de de ti a 600 não pega tanto assim tem vai provavelmente vai ter uma ou duas questões mas a 700 já pega um pouquinho mais mas quando falar de risco poss certeza que vai ter alguma de evitar e algum de transferir que é
questão dada né Seguro cibernético foi o que eu acabei de comentar né que seria uma forma de você transferir a mitigação é a Redução de risco né quando você vai fazer algum controle para você tentar diminuir o risco diferente de o evitar evitar você simplesmente vai cortar aquele serviço ah eu tenho um site web aqui que eu não eu quero evitar que eu seja invadido você vai tirar o site web do ar Ah mas eu quero mitigar o risco vai colocar ele de trás num AF beleza por mais que tem vi uma questão específica de
um livro aí que falou que seria Evitar enfim não concordei análise de risco avaliação de risco é você fazer o tratamento daquilo lá né você fazer todo o processo de análise mesmo qual que vai ser o impacto quais são os riscos se isso já aconteceu no passado enfim e aqui ele comenta um pouquinho mais fala sobre vulnerabilidade e tal coisa que vocês precisam ter em mente disso aí registro de risco você vai documentar esse risco ali fazer acompanhamento disso a tratativa essa Matriz de risco ou mapa de calor seria isso daqui tá você fazer esse
tratamento e classificar ele cuidado com esse mapa de calor aqui com aquele que a gente viu lá de wi-fi tá de S Survey o nome é o mesmo mas o conceito aqui muda um pouquinho aí esse controle de risco que essa avaliação a gente entra em duas siglas aqui que é o tal do Ale e o outra coisa que eu acho que deve ter mais pra frente tá se não tiver eu volto comento isso aqui no final lá essa parte do Controle de risco tipo de fazer interno né você fazer alta avaliação é quando você
não vai contratar uma uma auditoria externa você mesmo vai fazer isso aí conscientização de risco isso aqui é muito amplo mas basicamente você fazer a conscientização interna dos seus funcionários que existem risco desde alta cúpula até funcionário ali que sei lá tá de vez em quando na sua emesa ele tem que ter noção disso risco inerente esse risco natural aqui né ele existe um Risco risco ali antes do gerenciamento ser ser executado antes de fazer um gerenciamento de risco ele vai ser um risco inerente ali entendeu Olha tem um risco de sei lá de eu
bater o carro ali é um risco inerente que eu tenho que a partir do momento que eu comprei um carro como para ter um seguro fiz um gerenciamento de risco ali aí eu evitei cortei todos os riscos O que é difícil né sempre vai ter um risco Então você tem um risco residual olha fiz a Contramedida aqui a implementação contratei um seguro Mas ainda tem um risco de bater entendeu se eu bater o no caso do carro né aprofundando um pouco mas que se eu bater o custo ali ficar mais baixo que a minha franquia
Eu tenho um risco ainda esse seria o meu risco residual digamos assim que eu não tô 100% coberto tá eh o risco total a quantidade de risco que a organização enfrentaria se alguma salvaguarda fosse implementada nenhuma salvaguarda temho Aqui umas conas de Risco Total menos e risco residual controle de risco é você fazer o controle desse risco esse acompanhamento né apetite de risco Ele é separado por cada cada instituição cada organização vai ver o o o quanto de risco ela consegue suportar seria justamente isso né esse risco total que ela escolhe ou capaz de suportar
e essa tolerância ao risco e a capacidade organização absorver as perdas associadas ali aos riscos em caso de uma Ameaça tá essa parte aqui de regulamentos que afetam uma postura de risco algumas coisas específicas vão vão tratar disso né enfim às vezes Existem algumas regulamentações do governo mesmo vem de cima para baixo ol vocês tem que fazer análise de risco para cada contratação que vocês fizeram for fazer né então você tem que tá em cima daquilo ali de fazer acompanhamento ai qual que é o gerenciamento de risco que a organização tá fazendo de um modo
geral Como que a vai fazer isso é parado departamento enfim dois tipos de riscos aqui o qualitativo e o quantitativo o qualitativo você vai fazer uma análise ali né algo mais assim em situação né tipo ah gente foi invadido qual que vai ser o risco disso aí de de reputação é alo que você não vai ter curo específico né você não vai ter um valor ali quando é quantitativo aí sim você tem os riscos envolvidos tá deixa eu ver aqui se a gente fala ah tá bom ele fala aqui sobre Esses esses cálculos aqui específicos
né Não sei se vai falar mas já vou comentar essa parte do valor do ativo né você tem que fazer um quantitativo esse Ale sle e aro Isso aqui vai a gente vai ver mais pra frente tá vou não vou comentar tem essa essa colinha de siglas aqui né que seria taxa de corrência anualizada expectativa de perda anualizada fator de Exposição valor da ativo enfim a probabilidade é a possibilidade disso ocorrer normalmente dentro de um período Normalmente a gente trata isso por ano né Então dessa parte de verossimilhança que é medida anualmente enfim essa medida
é chamada de taxa taxa anualizada de ocorrência Não exatamente né exatamente probabilidade estatística um pouco diferente né mas enfim tem a parte do impacto aqui que que vai causar de Fato né o impacto desse risco aí tem essa parte desse fator de posição aqui aí aou um pouco de histórico né de de valor enfim o valor do ativo quanto que Esse ativo Vale aí isso é muito amplo né a gente pode estar falando tanto de valor eh financeiro de um ativo físico ali ah sei lá um um Switch tob queimou ou às vezes você perdeu
dados da empresa sei lá dos últimos dois meses mais ou menos essa linha e aí a gente entra aqui nessa single los expin que seria algum essas essas siglas inhas um pouco meio delicadas né O que que seria então esse sle seria single loss expectancy é o valor moeda corrente ali das perdas e é Do que acontece em uma única ocorrência de realização de risco ou seja ali meu servidor queimou queimou a fonte do servidor o servidor só tem uma fonte só esse risco pode acontecer de novo pode mas ele aconteceu somente uma vez e
quanto que ficaria para mim trocar essa fonte desse servidor aí tem alguma alguns cálculos aqui né dessa ocorrência aqui nessaa expectativa seria o fator de Exposição mais o valor do ativo enfim Às vezes você não você faz esse cálculo Aqui muito simples né no caso Ah queimou uma fonte Quando que a fonte para trocar ah r$ 2000 é isso com mão de obra importação e coisas do tipo essa expectativa anualizada ou seja dentro de um ano quanto que eu vou perder disso o que que vai ser isso essa expectativa anualizada aqui ela vai ser o
sle que é o quê a expectativa de perda única vezes o aro o que que é o aro mesmo agora aqui para Cola das siglas aqui ó taxa de ocorrência anualizada ou seja dentro de Um ano dentro de um ano a minha expectativa de perda anualizada vai ser Quantas vezes a fonte do meu servidor por exemplo né quanto que foi isso né Por exemplo os 2000 vezes quantas vezes ela queimou ah ela queimou uma vez Então minha perda que me le foi R 2000 Ah ela queimou duas três quatro vezes ou eu tive mais perdas
Enfim sei lá em cima desse servidor se eu tiver usando o scope do servidor ela vai aumentar beleza essa continha aqui essa Pode cair na prova provavelmente então tem essa taxinha aqui né de você fazer essas essas continhas e tal o Ro a taxa no audio ocorrência como a gente já viu né geralmente escrito aqui como quantidade Opa quantidade por ano parte de desastres né Entra na aquela parte lá de recuperação desastres que a gente já comentou aqui até falando aqui embaixo ameaças ambientais normalmente tá vinculado ali a desastres naturais tem os feitos por pessoa
também pessoa botou Fogo no lote vago lá do lado da empresa e pegou fogo na empresa um can e não dou data center acontece aí tem essa parte de interna ou externa né Essas ameaças que a gente já comentou bastante também tem o tal do Bia análise de impacto de negócios tá muito vinculado aqui ao BCP e o drp que a gente já comentou também o rto a gente tá tá vinculado aqui a esse tempo máximo tolerável de Natividade né máximo máximo time Down time coisa assim máximo tolerable Down time sempre Confunde esse negócio do
inglês a gente já comentou sobre isso mas essa imagem aqui ela resume B bastante o que que seria o meu ro meu recovery Point objective ou seja o último ponto ali de recuperação por exemplo eu faço meu backup todo dia à meia-noite Então se aqui são 6 horas então aqui meu último ponto é o quê 0 horas certo então o que eu perdi o qu 6 horas de trabalho certo tive aqui ó uma interrupção do meu serviço então perdi 6 horas e aí o que Acontece o mtd aqui na na 701 ele já TR traz
uma imagem total diferente disso tá eu tenho aqui o mtd seria até o a o até o retorno aqui do meu ambiente aqui então então digamos aqui que eu não consig não posso ficar mais sei lá de colocar 72 horas vai 72 horas não posso ficar mais que isso aqui era para ser um h minúsculo coisa feia Nossa já T2 horas que é um H E aí eu tenho aqui um tempo né até eu começar a trabalhar depois que eu comecei a ativar isso eu ter um tempo De recuperação que às vezes o tempo de
recuperação ele conta Desde quando aconteceu aqui por isso que eu falei que essa imagem aqui às vezes ela varia bastante e o tempo de recuperação é o tempo que eu gasto para voltar meu ambiente ah Digamos que eu gaste 12 horas para voltar e aí na na 701 ainda tem depois que eu volto ainda tem um tal de work time cover alguma coisa assim o tempo que você gasta para fazer a verificação disso ah eu voltei meu Ambiente mas ele tá totalmente integro não preciso fazer uns testes E aí ten esse tempo de fazer teste
uma work é alguma coisa lá wrt alguma coisa assim mas aqui na 600 não entra nesse mérito Então seria isso o r rpo é o último ponto ali que eu tenho ok digamos assim Último Ponto de backup e o rto é o tempo que eu vou precisar para poder voltar o ambiente e o máximo tempo tolerável aqui de inatividade é o tempo que eu vou levar desde a interrupção desde o Incidente Até voltar todo o meu ambiente Ok esse slide aqui fala sobre isso o mttr é o tempo médio para restaurar aqui um reparo no
dispositivo por exemplo ah todo o meu Parque ali de notebooks ele tem lá uma garantia um site Qual que é o o prazo de conserto disso ah cinco dias úteis então mttr Teoricamente Na verdade o tempo médio aqui ele vai ser bem menor que isso né se eu tenho um sla de 5 dias ali provavelmente vai ter sei lá dois TR Dias ali então mas esse é o prazo né Posso jogar Esso MT com prazo máximo Pode às vezes internamente ali até tem que fazer algum outro trabalho enfim tá mas seria tempo seria isso aí
o tempo médio para restaurar um problema ali um equipamento que deu problema pode ser restaurado tanto pela equipe interna quanto pela equipe externa no caso entrar em contato fabricante tempo médio entre falhas e aí é onde eh o equipamento sei lá por algum motivo Ele tem que sofrer manutenções tem que Passar por manutenções de tempo em tempo tem que passar por essas manutenções seria isso esse tempo médio entre falhas né esse ser programado para distribuição ou reparo sistama legado coisa que normalmente já tá sobre fim de vida tá E existe alguns cálculos que fazem quando
esse tempo entre falhas que ele tá muito alto para você já trocar é aquelas partes de análise de risco tá a prova não cobra ISO isso aqui mas é mais ter ciência aí de trabalhar na prática mesmo Acho com uma pegada mais de governança os planos de recuperações funcionais a gente fala aqui do BCP e do drp a gente já comentou esse conceito de ponto único de falha é quando você por algum motivo Você não tem uma redundância Ah tem só um link de internet tem só um servidor enfim esse tipo de coisa aí que
você só tem ali single P of essa sigl zinha aqui ó spof o drp a gente já comentou seria ali um plano ali de recuperação de desastre Fun essenciais ou funções Críticas tá vinculada aquela parte de avaliação de risco você v o que que é crítico para organização que normalmente você vai tentar voltar primeiro Identificação do sistemas críticos na avaliação de risco Bia e coisas do tipo você vai fazer esse levantamento avaliação de risco de site normalmente a parte do local ali específico né às vezes sei lá tentar colocar ali o Data Center onde não
tem risco de de inundação e coisas do tipo beleza com Isso finalizamos aqui o 5.4 5.5.4 Pessoal esse domínio C ele é um pouco mais puxado porque essa parte burocrática é algo que normalmente a gente não tem contato e aonde a galerinha não consegue bater os 800 pontos por conta disso eu menos cheguei muito perto justamente por causa desse domínio C aqui consequências aqui de vazamento de dados né de privacidade aqui enfim dando reputação a que a gente já comentou sobre isso também né a Empresa acaba ficando meio manchada aí roubo de identidade ou roubo
de dados aqui multas roubo de propriedade intelectual a gente já comentou as notificações de vazamentos tem que seguir aquele aquele prazo gdpr lembra aquel lgpd também tá muito semelhante escalamento de notificação para quem você vai falar e teve um vazamento aqui para quem você vai falar sa Ligar pra polícia vai ligar pro Batman não você vai ligar pro seu diretor imediato ali Pro seu chefe imediato Enfim então tem que ter um planejamento ali dessa desse escalonamento de notificações notificações públicas aqui essas essas notificações públicas né E essas esses avisos digamos assim a empresa teve uma
suspeita de vazamento normalmente você cai na internet primeiro né E aí se a empresa ela tem que ter faz uma notificação ali formal né nos caso aqui PR de notificação de 72 horas dizendo que não houve vazamento ou o sistema foi Só comprometido Enfim fazer uma explicação pública digamos assim tipos de dados né como que você vai tratar isso de acordo com a sensibilidade deles aí tem as classificações dos dados a forma que você vai classificar isso como público confidencial enfim como eu disse o público né o nível mais baixo que ele não tem restrição
nenhuma todo mundo pode acessar tem esse privado aqui normalmente são de natureza privada e pessoal destinada apenas os internos Pessoal e aqui tem que tem que decorar mesmo porque é uma coisa que a gente não vive tá E essa a classificação aqui é que a comp já pegou vai cair questão disso óbvio óbvio o que que é privado o que que é sensível o lance aqui do sensível é o seguinte ele pode ter um impacto negativo pra empresa então quando falar sensível Impacto pra empresa o privado ele vai est meio que geralzão ali pra natureza
privada ou pessoal tá então porque é privado Pessoal e tal e aqui fala também pode causar Impacto negativo pra empresa o sensível aqui ele pode ter um impacto negativo também ali pra empresa especificamente e o confidencial ele vai ter ali umas consequências legais e financeiras é mais ou menos esse o Polo do gato que a prova vai cobrar tá tem que saber isso aqui porque quando cair a questão dada tem questão de simulado que bate muito isso aqui então se você acha Ah eu errei eu Entendi Frisa bem isso aí dados críticos né são essenciais
aqui aí esse já não entra muito na não me lembro Ah tá catastrófico para organização tá que é o mais pesado digamos assim informação proprietária é que né tem ali uma uma parte proprietária que esse restrito das pessoais identificáveis aqui a gente já viu ainda tem esse phi que são as informações de saúde também informações financeiras da da empresa como um todo até de pessoas dados governamentais Dados do governo mesmo né dados do cliente Entra naquele pi e phi tecnologias aqui de de confidencialidade aqui né de proteção de privacidade enfim data minimização vai ser desses
dados ali né Por algum motivo você não vai salvar você não vai reter queas informações teru informações mínimas ali né mascaramento de dados atividade tentar obscurecer dados por meio de manipulação aqui essa mascaramento quando a gente por exemplo por exemplo Quando você vai digitando lá e ele vai virando asos asteriscos aquilo aí é uma forma de deem mascarar os dados tá tokenização aqui ó frequentemente usado para proteger os dados de cartão de crédito foca nisso aqui que vai dar bom anonimização ou desidentificação um processo que o a informação pessoal el ela é removida né então
você vai salvar Sei lá só um número alguma coisa assim que você não vai conseguir identificar ali enfim pseudonimização a Identificação ela vai ser parada por vai ser separado por dados né Por algum motivo você vai fazer uma pesquisa Sei lá eu já vejo muito pesquisa de mestrado e tal então você quer saber sei lá é quantas vezes a pessoa faz exercício por semana você precisa saber do nome dela não então você faz pud nomização você coloca uma coisa lá que você não consegue identificar o nome dela você fazer o tratamento do qu qual que
qual que é o seu cor ali você saber quantas Vezes a pessoa faz exercício por semana e talvez no máximo idade sexo o nome não faz sentido beleza funções e responsabilidades a gente já comentou um pouco sobre isso aqui só nível de administrador só que que é na pegada lá gdpr que isso aqui pessoal tem que estar afiado tá senão vai rebentar umas questões aí que isso aqui foi o que me separou dos 800 pontos proprietário dos dados vai ser quem vai ser responsável para garantir a proteção para organ ação Ah vai ser o Dono
dos dados ali e tal não vai ser alguém responsável ele que vai fazer o quê a classificação dos dados quem que vai ter acesso a esses dados como esses dados vão ser usados enfia os controles para entar ele que vai ser o responsável ali o data Controller vai ser o controlador de dados tá E aí ele que vai tomar as decisões sobre os dados que estão eh estão coletando ele vai decidir quais dados coletar porque coletar as Propostas da coleta esse controlador também é responsável por determinar os métodos milos de processamento de dados o processador
de dados é a entidade que vai fazer a operações mesmo no nome do controlador de dados que é isso aqui ó ele que vai processar de fato esses dados e o custodiante ou esse steward aqui ou responsável de dados é a responsabilidade que teve ali o armazenamento normalmente normalmente esse custodiante aqui é o pessoal da ti Tá é quem vai fazer essa proteção mesmo é confuso um pouquinho mas Bate bastante nessa tecla aí que vai dar bom na hora da P faz umas questõe zinhas tem questão específica disso tá então é bem tranquilo o DPO
aqui é oficial de propriedade de dados né ele vai foi encarregado ali sobre essas responsabilidades enfim informação do ciclo de vida a PR tempo de privacidade quanto tempo você tem que guardar isso tá tudo vinculado a essa parte aqui o Impacto na avaliação de impacto de privacidade seria esse pi aqui na prova acho que eu não lembro de ter nada disso aqui você vai ter uma ferramenta usada para determinar os riscos de privacidade enfim daqui ainda continua né avaliação de limite de privacidade o em cima das informações pessoais termos de acordo aqui né Tá vinculado
esse eula aqui esse en user licens agreement Eu lembro que todo jogo que eu baixava um tempo atrás tinha esse tal do eula né Software que a gente ia instalar eu falei gente mas que que é isso né abri lá era um documento de texto enfim mas significa isso né de user license agreement seria o acordo acordo de licença né de usuário final ali esses termos aqui são muito abrangentes a gente já comentou sobre ele né aviso de de privacidade Normalmente quando você entra lá no site tem lá que usa CC e tal pode usar
seus dados privacidade seria mais ou menos essa linha aí beleza bom Pessoal E com isso finaliz izamos aqui nosso domínio 5 puxado né vai dar um pouco menos aí de uma hora de de vídeo mas é isso esse domínio 5 ele né não é um dos mais importantes mas ele é pesado porque tem muita coisa que a gente não tem vivência prática ela é muito teórico a prova em si ela é muito teórica mas esse domínio C aí é o que eu vejo o pessoal tendo mais dificuldade tá não sei quem já trabalha como DPO
e essa parte de que vem do direito alguma coisa Assim consegue tirar de letra caso contrário quem é técnico né como eu mesmo tive uma certa dificuldade nesse domínio 5 pessoal é isso finalizamos essa revisão vocês vão ter pouco menos de um mês aí para poder aproveitar essas aulas e quem tiver estudando para 701 Óbvio também vai conseguir pegar algumas coisas aí beleza então é isso espero que tenham gostado não se esqueça de né comentar aí dar um joinha gostou muito aí puder e dar um Valeu demais aí alg Jetinho para nós aí top demais
ajuda muito se você não for inscrito já se inscreva aí também e compartilha esses vídeos beleza forte abraço e vejo vocês no próximo vídeo até lá
![CompTIA CySA+ - Complete Course With Labs [10+ Hours]](https://img.youtube.com/vi/kFfAr6wRp7M/maxresdefault.jpg)
