Olá! Meu nome é Michelle Mishita e serei a instrutora deste curso sobre os princípios de segurança da informação.
Audiodescrição: Michelle é uma mulher asiática, com cabelo preto e liso. Ela veste uma blusa azul e está em um ambiente de escritório, com uma estante de livros ao fundo.
Sou formada em Engenharia de Computação, possuo mestrado em Engenharia Biomédica e MBA em Cybersegurança, além de um MBA em Arquitetura de Software, com foco em Engenharia de Dados. Atualmente, trabalho na área de Arquitetura de Segurança e DevSecOps.
Iniciei minha carreira na área de Segurança, mas antes disso, comecei no Desenvolvimento de Software, trabalhando com RPA, automações usando Crawler, e desenvolvimento de aplicações web com Node.js e Bootstrap para o front-end. Esse início me proporcionou um grande conhecimento em Programação, que era um dos meus principais objetivos ao ingressar na área de Computação.
Após essa experiência, decidi seguir na área de Segurança da Informação. Escolhi essa área porque ela me permitia integrar conhecimentos adquiridos durante minhas faculdades, como Redes, Programação, Arquitetura e Desenvolvimento de Software. Comecei na Segurança Ofensiva, uma área que geralmente serve como porta de entrada para quem inicia em segurança, atuando como ethical hacking dentro das empresas. Nessa função, procuramos vulnerabilidades em ambientes de produção. Minha experiência prévia em Desenvolvimento de Software me ajudou a identificar vulnerabilidades comuns que ocorrem devido a práticas equivocadas.
Com o tempo, descobri meu interesse por Programação e por ajudar pessoas desenvolvedoras a entender e corrigir vulnerabilidades. Isso me levou à área de Segurança Defensiva, especificamente em Application Security DevSecOps.
Agora que compartilhei um pouco sobre meu histórico, vamos discutir o que esperamos deste curso sobre os princípios de Segurança da Informação.
Vamos começar explicando os pilares da Segurança da Informação, o que é dado, por que o dado é um ponto tão importante para a empresa, por que ele é considerado um ativo e, através de informações práticas, conseguimos explicar a tríade da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade.
Vamos explicar o que é um risco dentro de uma empresa, como, através de uma ameaça, conseguimos classificá-la como alta, média ou baixa, e o que precisamos identificar como principal ponto para iniciar e resolver um problema de vulnerabilidade. Geralmente, recebemos relatórios de segurança com diversas vulnerabilidades, e precisamos saber quais devemos priorizar para resolver. Podemos, por exemplo, aceitar um risco, mitigar esse risco corrigindo, ou até mesmo apagar um banco de dados para corrigir o risco.
Vamos explicar cada um desses pontos, o que é uma ameaça e como um atacante pensa ao atacar uma aplicação, qual a mentalidade que ele usa e a metodologia por trás disso. Compreendendo como um atacante pensa e explora uma aplicação, também explicamos quais são os controles de segurança que utilizamos para mitigar e resolver problemas relacionados à segurança da informação.
Além disso, vamos discutir políticas e governança dentro da área de segurança. Temos frameworks que ajudam a padronizar os principais pontos de correção de vulnerabilidade, e políticas que têm diretrizes específicas de acordo com o ambiente de trabalho. Vamos explicar o que é a ISO 27001, o NICHE e o CSF, que são padronizações utilizadas no escopo de segurança da informação. É importante entender esses termos, pois ajudam a definir formas de identificar e contornar riscos.
Por último, vamos abordar privacidade e conformidade na área de segurança da informação. Este curso visa explicar os principais pontos dentro da área de segurança da informação, essenciais para qualquer pessoa que trabalhe na área, antes de escolher uma especialização mais específica.
Esperamos que apreciem o curso, que traz muitas partes práticas e mostra como identificar riscos e utilizar esses frameworks de segurança no dia a dia, especialmente em consultorias. Fizemos o melhor para ajudar no cotidiano de vocês. Muito obrigada.
Hoje, iniciamos nosso curso na área de Segurança, abordando Fundamentos e Segurança da Informação. Este curso tratará dos principais fundamentos, e esperamos que todos apreciem o conteúdo que preparamos.
Antes de prosseguir, vamos nos apresentar. Meu nome é Michelle Mesquita, sou formada em Engenharia de Computação, com mestrado em Engenharia Biomédica, MBA em Cybersegurança, e especializações em Arquitetura e Cloud Security. Atualmente, atuo na área de DevSecOps. Minha trajetória na TI começou no Desenvolvimento de Software, focando em Automação e Desenvolvimento de Aplicações Web, e posteriormente migrei para a área de Segurança. Essa transição ocorreu ao perceber a oportunidade de integrar conhecimentos adquiridos na faculdade, especialmente em Redes, Sistemas Operacionais e Programação, com a Segurança Ofensiva. Segurança Ofensiva refere-se a testar aplicações antes de serem lançadas ao público, garantindo que estejam protegidas contra vulnerabilidades.
Com o tempo, percebi a possibilidade de unir meu histórico em desenvolvimento com a Segurança Ofensiva, culminando na área de Application Security DevSecOps. Nesta área, atuamos com segurança defensiva, auxiliando arquitetos e desenvolvedores a compreender e aplicar conceitos de segurança, com o objetivo de proteger nossas aplicações. É uma área que me fascina, e espero que todos apreciem o curso.
É importante mencionar que, embora o desenvolvimento possa parecer desafiador, não é motivo de preocupação. Recomendo explorar a cultura maker, que envolve entender o funcionamento de microcontroladores como o Arduino. Com ele, podemos programar e observar sensores em ação, como LEDs ou sensores de temperatura, facilitando a compreensão da lógica de programação.
Agora que nos apresentamos, vamos iniciar nossa aula sobre pilares, segurança e informação. Quando pensamos em pilares, frequentemente ouvimos sobre CIA, que se refere à integridade, disponibilidade e confiabilidade dos dados em nossas aplicações. A quebra de qualquer um desses fatores pode resultar em vulnerabilidades. A segurança visa proteger nossos dados, pois a informação é um ativo valioso para as empresas. A perda de dados, como em um vazamento, pode resultar em prejuízos financeiros.
É crucial entender como proteger essas informações, que são valiosas tanto para empresas quanto para indivíduos. A informação pode ser escrita, digital, armazenada ou até mesmo uma conversa. O dado, como parte essencial da informação, é um ativo que agrega valor à organização. Hoje, dados são fundamentais e podem causar danos quando expostos publicamente.
Um ponto interessante é como os dados estão expostos na internet. Em 2022, em apenas 60 segundos, 29 milhões de mensagens foram enviadas pelo WhatsApp e 500 horas de vídeos foram carregadas no YouTube. Isso demonstra a quantidade de informação trafegada online e a necessidade de proteger esses dados.
Devemos ter controles de segurança para evitar vazamentos e garantir que serviços, como redes sociais ou o Google, não sofram ataques de negação de serviço. Após a pandemia, o uso da internet aumentou, exigindo medidas para proteger informações e garantir sua disponibilidade.
Outro ponto importante é o equilíbrio entre segurança, usabilidade e funcionalidade. Funcionalidade refere-se às operações de uma aplicação, como um e-commerce, que permite compras, edições e checkouts. Usabilidade é a facilidade com que o usuário interage com a aplicação, como visualizar produtos por categoria. Segurança, muitas vezes vista como um obstáculo, é essencial para evitar impactos financeiros. É necessário equilibrar funcionalidade, usabilidade e segurança, como no caso de uma tela de login, onde é preciso decidir como armazenar informações e se utilizar autenticação multifator.
A usabilidade é um ponto crucial, pois pode ser mais fácil utilizar uma tela já existente do que criar uma própria, além de garantir segurança. Com mais de um fator de autenticação, a pessoa usuária pode se identificar e acessar o ambiente de forma segura. Após o login, é importante não deixar a sessão ativa por muito tempo. Para isso, utilizamos um refresh token para manter a sessão sem precisar refazer o login. É necessário definir o tempo de sessão, pois, se outra pessoa acessar o computador ou capturar a sessão, poderá se autenticar indevidamente.
Esses cenários destacam a importância de integrar a segurança desde o desenvolvimento da aplicação, equilibrando segurança e usabilidade. Focar apenas em segurança pode afastar usuários devido à complexidade. A segurança deve ser uma aliada, não um obstáculo à experiência do usuário. Durante o curso, é importante entender esse equilíbrio, especialmente para quem está ingressando na área de segurança. A segurança deve facilitar, não dificultar, a vida de quem desenvolve ou utiliza o sistema.
Os pilares da segurança da informação incluem confidencialidade, integridade e disponibilidade. Confidencialidade garante acesso restrito à informação; integridade assegura que os dados não foram alterados; e disponibilidade garante acesso à informação quando necessário. Perder esses princípios pode resultar em vulnerabilidades.
A cibersegurança, parte da segurança da informação, foca na proteção de redes e internet. Nos anos 60 e 70, a segurança era física, com trancas e cadeados. Nos anos 80 e 90, com a internet, surgiu a preocupação com arquivos maliciosos, levando ao uso de antivírus e firewalls para proteger contra sites perigosos.
Nos anos 2000, políticas de cibersegurança foram implementadas, especialmente em ambientes empresariais, com normas como a ISO 27001 para evitar perdas financeiras e vazamento de dados. Na década de 2010, surgiram novas camadas de segurança, como Cloud Security, para provedores como AWS, GCP e Azure. O conceito de BYOD (Bring Your Own Device) trouxe a necessidade de proteger dispositivos pessoais usados no trabalho, com políticas e camadas de proteção, como firewalls, proxies e aplicativos para segmentar ambientes.
O DevSecOps integra segurança ao desenvolvimento e operação de software, garantindo segurança em todas as etapas, desde a análise de código até a produção. O conceito de Zero Trust promove privilégios mínimos para usuários, evitando acessos excessivos. A LGPD protege dados sensíveis no Brasil, semelhante à legislação europeia.
Nos últimos anos, a inteligência artificial (IA) tornou-se mais acessível, exigindo cuidados com segurança para evitar vazamento de dados e execução de comandos indevidos. Isso aumentou as camadas de proteção e ataque em aplicações.
Essa evolução tecnológica e complexidade requerem proteção contínua. Esperamos que tenham gostado e nos vemos na próxima aula. Obrigado!
Olá, pessoal. Vamos continuar nossa aula discutindo sobre confidencialidade. A confidencialidade refere-se à situação em que apenas pessoas autorizadas podem acessar determinadas informações ou dados. Isso significa que o acesso é restrito a indivíduos que possuem permissão, geralmente obtida por meio de um login, para visualizar certos recursos em um ambiente.
A importância da confidencialidade é evidente em ambientes como bancos. Por exemplo, ao acessar sua conta bancária, é necessário fornecer informações como agência, conta e senha, além de um token em algumas situações, para realizar transações. Somente após fornecer esses dados é possível acessar informações como o saldo da conta. Se outra pessoa pudesse visualizar esses dados, como o saldo da sua conta, isso representaria um grave problema de confidencialidade. Isso ocorre porque, mesmo com a inserção de dados corretos, alguém poderia tentar acessar informações indevidamente, utilizando métodos como alteração de URLs, o que comprometeria a confidencialidade.
A confidencialidade é crucial para garantir que apenas pessoas autorizadas possam acessar informações específicas, evitando a exposição indevida de dados. Um problema relacionado é a personificação de usuários, onde alguém poderia se passar por outra pessoa para obter informações. Portanto, é essencial garantir que apenas indivíduos autorizados tenham acesso a essas informações.
Para garantir a confidencialidade, podemos utilizar métodos como autenticação em computadores. Por exemplo, ao acessar o Gmail em uma janela anônima, é necessário inserir o e-mail e a senha para visualizar informações pessoais, como e-mails que podem conter dados confidenciais. A identificação do usuário é a primeira etapa para garantir que apenas a pessoa autorizada possa acessar essas informações. Geralmente, um perfil está associado ao usuário para permitir o acesso.
Quando ocorre uma quebra de confidencialidade, podem surgir problemas relacionados à engenharia social. A exposição excessiva de dados pode permitir que outras pessoas descubram senhas ou acessem URLs sem autorização robusta. A quebra de confidencialidade pode resultar na obtenção de dados de uma pessoa, permitindo que alguém se passe por ela. Por isso, é importante proteger nossos dados, aumentando a complexidade das senhas e utilizando múltiplos fatores de autenticação para evitar que a engenharia social descubra senhas.
Podemos utilizar autenticadores em dispositivos móveis para implementar múltiplos fatores de autenticação. Isso inclui biometria ou reconhecimento facial, que garantem que a pessoa que acessa a conta é realmente quem diz ser. Além disso, o uso de tokens temporários, como os fornecidos por aplicativos de autenticação do Google ou Microsoft, é recomendado para garantir a segurança.
Agora, vamos abordar a questão da integridade. Integridade refere-se à capacidade de manter os dados completos e sem alterações. Um problema de vulnerabilidade ocorre quando alguém consegue modificar informações ou dados, como em um banco de dados. Por exemplo, se uma senha for alterada, o hash dessa senha também será modificado, comprometendo a integridade dos dados.
Em um banco de dados, é comum armazenarmos informações como o usuário e a senha de uma pessoa para que ela possa acessar uma aplicação. A forma ideal de guardar a senha não é em texto simples, mas sim utilizando um hash. Um hash é um algoritmo que converte a senha em um formato que não pode ser revertido ao original. Comparamos o valor armazenado no banco com o que a pessoa forneceu. Se ambos os hashes coincidirem, o acesso é permitido.
Se alguém conseguir alterar diretamente o banco de dados, poderá modificar o hash da senha, gerar um novo hash e tentar se autenticar com essa nova senha. Por isso, é crucial garantir a integridade dos dados, evitando que alguém possa alterá-los e, assim, falsificar documentos ou acessar informações indevidamente.
Na prática, podemos verificar a integridade de arquivos, como uma ISO do Linux, utilizando o SHA-SAN. Ao baixar uma ISO, como a do Ubuntu, podemos usar o terminal para calcular o SHA-SAN e compará-lo com o valor fornecido pelo distribuidor. Se os valores coincidirem, podemos garantir que o arquivo não foi alterado e é seguro para instalação. Esse procedimento pode ser realizado em sistemas Linux, Windows e Mac.
Para verificar a integridade de um arquivo ISO, como o do Ubuntu, primeiro navegamos até o diretório onde o arquivo está localizado. Podemos fazer isso com o seguinte comando:
cd Downloads
Depois de estar no diretório correto, utilizamos o comando shasum para calcular o hash SHA-256 do arquivo ISO:
shasum -a 256 ubuntu-24.10-desktop-amd64.iso
Se o hash calculado coincidir com o valor fornecido pelo distribuidor, podemos garantir que o arquivo não foi alterado e é seguro para instalação.
Outra forma de garantir a integridade é através de serviços como o DocSign, que asseguram que o dado é autêntico e não foi alterado, utilizando assinaturas digitais.
A disponibilidade refere-se à capacidade de acessar informações quando autorizado. Quando um serviço não está disponível, podemos enfrentar problemas como negação de serviço, onde múltiplas requisições impedem o acesso ao serviço. Para mitigar isso, utilizamos réplicas de servidores e balanceadores de carga, distribuindo as requisições entre vários servidores.
Os principais pilares da segurança da informação são a confidencialidade, integridade e disponibilidade (CIA). Utilizamos métodos como MFA (autenticação multifator) para garantir que apenas pessoas autorizadas tenham acesso às informações. O mascaramento de dados, como asteriscos em senhas, protege a confidencialidade. A integridade é mantida através de hashes e logs, enquanto a disponibilidade é assegurada por redundância e balanceamento de carga.
Esperamos que tenham gostado da aula. Até a próxima!
O curso Cibersegurança: fundamentos e práticas integradas possui 216 minutos de vídeos, em um total de 46 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Impulsione a sua carreira com os melhores cursos e faça parte da maior comunidade tech.
1 ano de Alura
Assine o PLUS (1 ANO) e garanta:
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
No Discord, você participa de eventos exclusivos, pode tirar dúvidas em estudos colaborativos e ainda conta com mentorias em grupo com especialistas de diversas áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Acelere o seu aprendizado com a IA da Alura e prepare-se para o mercado internacional.
1 ano de Alura
Todos os benefícios do PLUS (1 ANO) e mais vantagens exclusivas:
Luri é nossa inteligência artificial que tira dúvidas, dá exemplos práticos, corrige exercícios e ajuda a mergulhar ainda mais durante as aulas. Você pode conversar com a Luri até 100 mensagens por semana.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Transforme a sua jornada com benefícios exclusivos e evolua ainda mais na sua carreira.
1 ano de Alura
Todos os benefícios do PRO (1 ANO) e mais vantagens exclusivas:
Mensagens ilimitadas para estudar com a Luri, a IA da Alura, disponível 24hs para tirar suas dúvidas, dar exemplos práticos, corrigir exercícios e impulsionar seus estudos.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.