CCISO - Certified Chief Information Security Officer | Curso em vídeo + eCourseware e Voucher para exame de certificação CCISO + Teste prático CCISO
A Certificação CCISO é um programa de certificação de segurança líder do setor que reconhece a experiência do mundo real necessária para ter sucesso nos mais altos níveis executivos de segurança da informação. Reunindo todos os componentes necessários para uma posição de nível C, o programa CCISO combina gerenciamento de auditoria, governança, controles de SI, gerenciamento de capital humano, desenvolvimento de programa estratégico e a expertise financeira vital para liderar um programa de segurança da informação altamente bem-sucedido. O trabalho do CISO é importante demais para ser aprendido por tentativa e erro. Habilidades de gerenciamento de nível executivo não são áreas que devem ser aprendidas no trabalho. O material do Programa CCISO pressupõe um alto nível de compreensão de tópicos técnicos e não gasta muito tempo em informações estritamente técnicas, mas sim na aplicação de conhecimento técnico ao trabalho diário de um executivo de segurança da informação. O CCISO visa preencher a lacuna entre o conhecimento de gerenciamento executivo que os CISOs precisam e o conhecimento técnico que muitos CISOs em exercício e aspirantes têm. Esta pode ser uma lacuna crucial, pois um profissional se esforça para passar de funções de gerência intermediária para funções de gerência executiva superior. Muito disso é tradicionalmente aprendido como treinamento no trabalho, mas o Programa de Treinamento CCISO pode ser a chave para uma transição bem-sucedida para os mais altos cargos de gerenciamento de segurança da informação.Esboço
Domínio 1: Governança e Gestão de Riscos
1. Definir, implementar, gerenciar e manter um programa de governança de segurança da informação
- 1.1. Forma de organização empresarial
- 1.2. Indústria
- 1.3. Maturidade Organizacional
2. Drivers de segurança da informação
3. Estabelecer uma estrutura de gestão de segurança da informação
- 3.1. Estrutura organizacional
- 3.2. Onde o CISO se encaixa na estrutura organizacional
- 3.3. O CISO Executivo
- 3.4. CISO não executivo
4. Leis/Regulamentos/Normas como impulsionadores da Política/Normas/Procedimentos Organizacionais
5. Gerenciando um programa de conformidade de segurança de informações corporativas
- 5.1. Política de Segurança
- 5.1.1. Necessidade de uma Política de Segurança
- 5.1.2. Desafios da política de segurança
- 5.2. Conteúdo da Política
- 5.2.1. Tipos de Políticas
- 5.2.2. Implementação de políticas
- 5.3. Estrutura de relatórios
- 5.4. Padrões e melhores práticas
- 5.5. Liderança e Ética
- 5.6. Código de Ética do Conselho da CE
6. Introdução à Gestão de Riscos
- 3.1. Estrutura organizacional
- 3.2. Onde o CISO se encaixa na estrutura organizacional
- 3.3. O CISO Executivo
- 3.4. CISO não executivo
Domínio 2: Controles de Segurança da Informação, Conformidade e Gestão de Auditoria
1. Controles de Segurança da Informação
- 1.1. Identificando as necessidades de segurança da informação da organização
- 1.1.1. Identificando a Estrutura de Segurança da Informação Ótima
- 1.1.2. Projetando controles de segurança
- 1.1.3. Gerenciamento do ciclo de vida do controle
- 1.1.4. Classificação de controle
- 1.1.5. Seleção e implementação de controle
- 1.1.6. Catálogo de controle
- 1.1.7. Maturidade do controle
- 1.1.8. Monitoramento de controles de segurança
- 1.1.9. Remediando deficiências de controle
- 1.1.10. Manutenção de controles de segurança
- 1.1.11. Controles de relatórios
- 1.1.12. Catálogo de Serviços de Segurança da Informação
2. Gestão de conformidade
- 2.1. Atos, Leis e Estatutos
- 2.1.1. FISMA
- 2.2. Regulamentos
- 2.2.1. RGPD
- 2.3. Padrões
- 2.3.1. ASD—Manual de Segurança da Informação
- 2.3.2. Basileia III
- 2.3.3. FFIEC
- 2.3.4. Família de Normas ISO 00
- 2.3.5. NERC-CIP
- 2.3.6. PCI DSS
- 2.3.7. Publicações Especiais do NIST
- 2.3.8. Declaração sobre Padrões para Compromissos de Certificação nº 16 (SSAE 16)
3. Diretrizes, Boas e Melhores Práticas
- 3.1. CEI
- 3.1.1. OWASP
4. Gestão de Auditoria
- 4.1. Expectativas e resultados da auditoria
- 4.2. Práticas de Auditoria de SI
- 4.2.1. Orientação de auditoria ISO/IEC
- 4.2.2. Auditorias internas versus externas
- 4.2.3. Parceria com a Organização de Auditoria
- 4.2.4. Processo de Auditoria
- 4.2.5. Normas Gerais de Auditoria
- 4.2.6. Auditorias baseadas em conformidade
- 4.2.7. Auditorias baseadas em risco
- 4.2.8. Gerenciando e protegendo a documentação de auditoria
- 4.2.9. Realizando uma Auditoria
- 4.2.10. Avaliação dos resultados e relatórios da auditoria
- 4.2.11. Remediação de Conclusões de Auditoria
- 4.2.12. Alavanque o software GRC para dar suporte às auditorias
5. Resumo
Domínio 3: Gestão e Operações de Programas de Segurança
1. Gestão de Programas
- 1.1. Definição de uma Carta de Segurança, Objetivos, Requisitos, Partes Interessadas e Estratégias
- 1.1.1. Carta do Programa de Segurança
- 1.1.2. Objetivos do Programa de Segurança
- 1.1.3. Requisitos do programa de segurança
- 1.1.4. Partes interessadas do programa de segurança
- 1.1.5. Desenvolvimento de Estratégia de Programa de Segurança
- 1.2. Executando um Programa de Segurança da Informação
- 1.3. Definição e desenvolvimento, gerenciamento e monitoramento do programa de segurança da informação
- 1.3.1. Definindo um orçamento para o programa de segurança da informação
- 1.3.2. Desenvolvendo um orçamento de programa de segurança da informação
- 1.3.3. Gerenciando um orçamento de programa de segurança da informação
- 1.3.4. Monitorando o orçamento de um programa de segurança da informação
- 1.4. Definindo e desenvolvendo requisitos de pessoal do programa de segurança da informação
- 1.5. Gerenciando as Pessoas de um Programa de Segurança
- 1.5.1. Resolução de problemas de pessoal e trabalho em equipe
- 1.5.2. Gerenciando Treinamento e Certificação de Membros da Equipe de Segurança
- 1.5.3. Trajetória de carreira claramente definida
- 1.5.4. Projetando e implementando um programa de conscientização do usuário
- 1.6. Gerenciando a Arquitetura e o Roteiro do Programa de Segurança
- 1.6.1. Arquitetura do Programa de Segurança da Informação
- 1.6.2. Roteiro do Programa de Segurança da Informação
- 1.7. Gestão e Governança de Programas
- 1.7.1. Compreendendo as práticas de gerenciamento de projetos
- 1.7.2. Identificação e gerenciamento das partes interessadas do projeto
- 1.7.3. Medindo a Eficácia dos Projetos
- 1.8. Gestão de Continuidade de Negócios (BCM) e Planejamento de Recuperação de Desastres (DRP)
- 1.9. Backup e recuperação de dados
- 1.10. Estratégia de backup
- 1.11. Normas ISO BCM
- 1.11.1. Gestão de Continuidade de Negócios (BCM)
- 1.11.2. Planejamento de Recuperação de Desastres (DRP)
- 1.12. Continuidade das Operações de Segurança
- 1.12.1. Integrando o Modelo de Confidencialidade, Integridade e Disponibilidade (CIA)
- 1.13. Teste do Plano BCM
- 1.14. Teste DRP
- 1.15. Programas de planejamento de contingência, operações e testes para mitigar riscos e atender aos acordos de nível de serviço (SLAs)
- 1.16. Resposta a incidentes de computador
- 1.16.1. Ferramentas de resposta a incidentes
- 1.16.2. Gestão de Resposta a Incidentes
- 1.16.3. Comunicações de resposta a incidentes
- 1.16.4. Análise Pós-Incidente
- 1.16.5. Testando procedimentos de resposta a incidentes
- 1.17. Forense Digital
- 1.17.1. Gestão de Crise
- 1.17.2. Ciclo de vida da perícia forense digital
2. Gestão de Operações
- 2.1. Estabelecendo e operando uma capacidade de operações de segurança (SecOps)
- 2.2. Monitoramento de Segurança e Gerenciamento de Informações e Eventos de Segurança (SIEM)
- 2.3. Gestão de Eventos
- 2.4. Modelo de resposta a incidentes
- 2.4.1. Desenvolvimento de cenários específicos de resposta a incidentes
- 2.5. Gerenciamento de ameaças
- 2.6. Inteligência de ameaças
- 2.6.1. Centros de Análise e Compartilhamento de Informações (ISAC)
- 2.7. Gestão de Vulnerabilidades
- 2.7.1. Avaliações de vulnerabilidade
- 2.7.2. Gestão de Vulnerabilidades na Prática
- 2.7.3. Teste de Penetração
- 2.7.4. Equipes de Testes de Segurança
- 2.7.5. Remediação
- 2.8. Caça à ameaça
3. Resumo
Domínio 4: Competências Essenciais de Segurança da Informação
1. Controle de acesso
- 1.1. Autenticação, Autorização e Auditoria
- 1.2. Autenticação
- 1.3. Autorização
- 1.4. Auditoria
- 1.5. Restrições de controle de acesso do usuário
- 1.6. Gerenciamento do comportamento de acesso do usuário
- 1.7. Tipos de modelos de controle de acesso
- 1.8. Projetando um Plano de Controle de Acesso
- 1.9. Administração de acesso
2. Segurança física
- 2.1. Projetando, implementando e gerenciando o programa de segurança física
- 2.1.1. Avaliação de Risco Físico
- 2.2. Considerações sobre a localização física
- 2.3. Obstáculos e Prevenção
- 2.4. Projeto de instalação segura
- 2.4.1. Centro de Operações de Segurança
- 2.4.2. Instalação de informações compartimentadas sensíveis
- 2.4.3. Laboratório de Forense Digital
- 2.4.4. Centro de dados
- 2.5. Preparação para Auditorias de Segurança Física
3. Segurança de rede
- 3.1. Avaliações e planejamento de segurança de rede
- 3.2. Desafios da Arquitetura de Segurança de Rede
- 3.3. Projeto de Segurança de Rede
- 3.4. Padrões de rede, protocolos e controles
- 3.4.1. Padrões de Segurança de Rede
- 3.4.2. Protocolos
4. Chefe Certificado
- 4.1.1. Controles de segurança de rede
- 4.2. Segurança sem fio (Wi-Fi)
- 4.2.1. Riscos sem fio
- 4.2.2. Controles sem fio
- 4.3. Segurança de Voz sobre IP
5. Proteção de endpoint
- 5.1. Ameaças de endpoint
- 5.2. Vulnerabilidades de endpoint
- 5.3. Conscientização sobre segurança do usuário final
- 5.4. Endpoint Device Hardening
- 5.5. Registro de dispositivo de ponto de extremidade
- 5.6. Segurança de dispositivos móveis
- 5.6.1. Riscos de dispositivos móveis
- 5.6.2. Controles de segurança de dispositivos móveis
- 5.7. Segurança da Internet das Coisas (IoT)
- 5.7.1. Protegendo dispositivos IoT
6. Segurança do aplicativo
- 6.1. Modelo SDLC seguro
- 6.2. Separação dos ambientes de desenvolvimento, teste e produção
- 6.3. Abordagens de teste de segurança de aplicativos
- 6.4. DevSecOps
- 6.5. Metodologia em cascata e segurança
- 6.6. Metodologia Ágil e Segurança
- 6.7. Outras abordagens de desenvolvimento de aplicativos
- 6.8. Endurecimento de aplicação
- 6.9. Tecnologias de Segurança de Aplicações
- 6.10. Controle de versão e gerenciamento de patches
- 6.11. Segurança do banco de dados
- 6.12. Reforço do banco de dados
- 6.13. Práticas de codificação seguras
7. Tecnologias de criptografia
- 7.1. Criptografia e Descriptografia
- 7.2. Criptosistemas
- 7.2.1. Blockchain
- 7.2.2. Assinaturas e certificados digitais
- 7.2.3. ICP
- 7.2.4. Gerenciamento de Chaves
- 7.3. Hashing
- 7.4. Algoritmos de criptografia
- 7.5. Desenvolvimento de estratégia de criptografia
- 7.5.1. Determinando a localização e o tipo de dados críticos
- 7.5.2. Decidindo o que criptografar
- 7.5.3. Determinando Requisitos de Criptografia
- 7.5.4. Selecionando, Integrando e Gerenciando Tecnologias de Criptografia
8. Segurança de Virtualização
- 8.1. Visão geral da virtualização
- 8.2. Riscos de virtualização
- 8.3. Preocupações com a segurança da virtualização
- 8.4. Controles de segurança de virtualização
- 8.5. Modelo de referência de segurança de virtualização
9. Segurança da Computação em Nuvem
- 9.1. Visão geral da computação em nuvem
- 9.2. Serviços de Segurança e Resiliência em Nuvem
- 9.3. Preocupações com a segurança da nuvem
- 9.4. Controles de segurança na nuvem
- 9.5. Considerações sobre proteção de computação em nuvem
10. Tecnologias transformadoras
- 10.1. Inteligência Artificial
- 10.2. Realidade Aumentada
- 10.3. SOC autônomo
- 10.4. Engano dinâmico
- 10.5. Segurança cibernética definida por software
11. Resumo
1. Planejamento estratégico
- 1.1. Compreendendo a Organização
- 1.1.1. Compreendendo a estrutura empresarial
- 1.1.2. Determinando e alinhando objetivos de negócios e segurança da informação
- 1.1.3. Identificação de patrocinadores, partes interessadas e influenciadores principais
- 1.1.4. Compreendendo as finanças organizacionais
- 1.2. Criando um Plano Estratégico de Segurança da Informação
- 1.2.1. Noções básicas de planejamento estratégico
- 1.2.2. Alinhamento com a estratégia e objetivos organizacionais
- 1.2.3. Definição de metas táticas de segurança da informação de curto, médio e longo prazo
- 1.2.4. Comunicação da Estratégia de Segurança da Informação
- 1.2.5. Criando uma cultura de segurança
2. Projetando, desenvolvendo e mantendo um programa de segurança de informações corporativas
- 2.1. Garantindo uma base sólida para o programa
- 2.2. Vistas arquitetônicas
- 2.3. Criando Medidas e Métricas
- 2.4. Balanced Scorecard
- 2.5. Monitoramento contínuo e relatórios de resultados
- 2.6. Melhoria Contínua
- 2.7. Biblioteca de Infraestrutura de Tecnologia da Informação (ITIL) Melhoria Contínua de Serviços (CSI)
3. Compreendendo a Arquitetura Empresarial (EA)
- 3.1. Tipos de EA
- 3.1.1. A estrutura de Zachman
- 3.1.2. O Open Group Architecture Framework (TOGAF)
- 3.1.3. Arquitetura de Segurança Empresarial Aplicada Sherwood (SABSA)
- 3.1.4. Estrutura Federal de Arquitetura Empresarial (FEAF)
4. Finanças
- 4.1. Compreendendo o financiamento do programa de segurança
- 4.2. Analisando, Prevendo e Desenvolvendo um Orçamento de Segurança
- 4.2.1. Requisitos de recursos
- 4.2.2. Definir Métricas Financeiras
- 4.2.3. Atualização tecnológica
- 4.2.4. Financiamento de Novos Projetos
- 4.2.5. Financiamento de contingência
- 4.3. Gerenciando o orçamento de segurança da informação
- 4.3.1. Obter recursos financeiros
- 4.3.2. Alocar recursos financeiros
- 4.3.3. Monitoramento e Supervisão do Orçamento de Segurança da Informação
- 4.3.4. Relatar métricas para patrocinadores e partes interessadas
- 4.3.5. Balanceamento do orçamento de segurança da informação
5. Aquisição
- 5.1. Termos e conceitos do programa de aquisição
- 5.1.1. Declaração de Objetivos (SOO)
- 5.1.2. Declaração de Trabalho (SOW)
- 5.1.3. Custo total de propriedade (TCO)
- 5.1.4. Solicitação de informações (RFI)
- 5.1.5. Solicitação de Proposta (RFP)
- 5.1.6. Contrato de serviço mestre (MSA)
- 5.1.7. Acordo de Nível de Serviço (ANS)
- 5.1.8. Termos e Condições (T&C)
- 5.2. Compreendendo o Programa de Aquisições da Organização
- 5.2.1. Políticas, processos e requisitos internos
- 5.2.2. Requisitos externos ou regulamentares
- 5.2.3. Requisitos locais versus globais
- 5.3. Gestão de Riscos de Aquisições
- 5.3.1. Linguagem padrão do contrato
6. Gestão de Fornecedores
- 6.1. Compreendendo as Políticas e Procedimentos de Aquisição da Organização
- 6.1.1. Ciclo de vida de aquisição
- 6.2. Aplicação da Análise de Custo-Benefício (ACB) Durante o Processo de Aquisição5
- 6.3. Políticas de gerenciamento de fornecedores
- 6.4. Políticas de Administração de Contratos
- 6.4.1. Métricas de entrega de serviços e contratos
- 6.4.2. Relatório de entrega de contrato
- 6.4.3. Solicitações de mudança
- 6.4.4. Renovação de contrato
- 6.4.5. Encerramento do contrato
- 6.5. Garantia de entrega
- 6.5.1. Validação do Atendimento aos Requisitos Contratuais
- 6.5.2. Auditorias formais de entrega
- 6.5.3. Auditorias periódicas de entrega aleatória
- 6.5.4. Serviços de Atestado de Terceiros (TPRM)
7. Resumo
Demonstração: https://www.youtube.com/watch?v=5rUiOk1vyyw
https://www.youtube.com/watch?v=JF7DhYYAePg
Sobre o exame
Há três níveis cognitivos testados no exame CCISO.- Nível 1 – Conhecimento: Este nível cognitivo de perguntas é usado para relembrar fatos memorizados. Este é o nível cognitivo mais básico raramente aceito em certificações, pois ele meramente reconhece a capacidade do candidato de memorizar informações. Ele pode ser usado efetivamente ao pedir definições básicas, padrões ou qualquer fato concreto.
- Nível 2 – Aplicação: Este nível cognitivo de perguntas é usado para identificar a capacidade do candidato de entender a aplicação de um dado conceito. Ele difere das perguntas baseadas em conhecimento no sentido de que requer a compreensão e a aplicabilidade correta de um dado conceito – não apenas o conceito em si. Este tipo de pergunta geralmente requer contexto adicional antes que a pergunta real seja fornecida no tronco.
- Nível 3 – Análise: Este nível cognitivo de perguntas é usado para identificar a capacidade do candidato de identificar e resolver um problema, dada uma série de variáveis e contexto. As perguntas de análise diferem muito das perguntas baseadas em aplicação no sentido de que exigem não apenas a aplicabilidade de um conceito, mas também como um conceito, dada uma certa restrição, pode ser usado para resolver um problema.
