|
Direcção do Programa
Rui Ribeiro
Secretariado
Alexandra Campos -
Este endereço de e-mail está protegido de spam bots, pelo que necessita do Javascript activado para o visualizar
Apresentação do Curso
Este Programa Avançado pretende reforçar ou servir de base de gestão para responsáveis técnicos empresariais de infra-estruturas informáticas, onde o papel da segurança informática é crítica para a garantia da normal operacionalidade dos vários sistemas: redes informáticas, servidores e computadores pessoais da organização.
Nesse sentido, desenvolveu-se um currículo de formação avançada em temas ligados à segurança informática prática e formação base de standard ISO27001 são os requisitos principais para a estabilidade informática nas Empresas cujo suporte ao negócio, por parte dos Sistemas e Tecnologias de Informação é crucial para a competitividade da empresa, nomeadamente através da integração de disciplinas que reflectem o estado da arte nesses ramos do conhecimento.
A organização deste Programa Avançado foi feita tendo por base os seguintes príncípios:
- Adquirir uma base estruturada de Fundamentos técnicos e práticos de Segurança de Sistemas de Informação.
- Permitir aos formandos adquirir todo um reforço de Arquitecturas e de Estabelecimento de fundamentos base de defesa empresarial a ataques informáticos desde a sua definição prevenção até a uma fase prática de testes, passando pela específicação necessária de orientações técnicas e teóricas baseadas no ISO 27001que podem suportar a estrutura base de segurança empresarial.
- Proporcionar uma aprendizagem claramente ligada ao mundo real e empresarial, capaz de servir o mercado de maior base de conhecimento e capacidade de decisões e lideranças técnicas.
- Inserir e prespectivar todos os aspectos do ensino ministrado na realidade empresarial associadas a este sector no nosso País e no Mundo Global.
O Programa Avançado está claramente vocacionado para a integração e melhoria da segurança informática e do seu enquadramento estratégico empresarial dos profissionais de mercado em contexto profissional, de forma a melhorarem as suas capacidades de liderança estratégica de equipas técnicas de infra-estruturas em empresas de consultoria, de desenvolvimento, de operadores de telecomunicações, de banca, ou de outra qualquer empresa que tenha a componente de Negócio suportada em ambientes de Tecnologias de Informação.
Objectivos do Curso
Este curso visa educar trabalhadores na área de informática face a um conjunto abrangente de ameaças existentes em sistemas informáticos ligados em rede. Os alunos terão a oportunidade de aprender de perto como se efectuam muitos dos ataques que afectam não só empresas e outras organizações mas também, utilizadores domésticos, a fim de verem realmente de que modo é que os sistemas informáticos estão vulneráveis.
Pretende-se assim que os alunos sejam capazes de perceber a verdadeira importância das técnicas de segurança que irão aprender de modo a saber o que se pode fazer para nos protegermos contra estes problemas, como podemos detectá-los e como se pode trabalhar minimizando o risco de se ser afectado por eles. Este curso serve igualmente para quem já se encontre na área da segurança ou se queira introduzir com um pensamento sistematizado e prático sobre o tema.
Do ponto de vista da norma ISO 27001, o curso pretende dar as bases, tendo em vista os seguintes objectivos:
- Conhecer a evolução das normas de Sistemas de Gestão de Segurança da Informação;
- Aprender que a série NBR ISO/IEC 27001 é composta de 2 normas: NBR ISO/IEC 27001 e NBR ISO/IEC 17799 e conhecer o conteúdo delas
- Compreender e gerir princípios, requisitos e controlos da norma NBR ISO/IEC 27001
- Entender o objectivo da NBR ISO/IEC 17799
- Entender o processo de certificação para empresas
- Colocar em prática alguns conceitos apresentados
Requisitos
- Formação superior na área de Informática (recomendada)
- Experiência profissional mínima de 2 anos
- Noções de programação em C, programação Web, SQL
Saídas Profissionais
A integração destas metodologias de Segurança Informática e a articulação entre a componente profissionalizante e universitária permitem que os formandos adquiram capacidades para se tornarem líderes técnicos de infra-estruturas nas empresas.
Corpo Docente
Francisco Tabanez Ribeiro - Engenheiro especializado em Segurança Informática
Ralf Braga - certificado ISO27001 Lead Auditor pela BSI - British Standard Institute
Equipamentos e Instalações
O investimento em infra-estruturas e equipamentos tem sido uma preocupação constante do ECATI, sendo de destacar designadamente o investimento em equipamentos e laboratórios. A Universidade Lusófona de Humanidades e Tecnologias possui um parque de equipamentos informáticos de grande dimensão e tecnologicamente actualizado, e um dos melhores parques de equipamentos multimédia instalados no nosso País. Do parque de tecnologia informática e de sistemas, saliente-se os laboratórios de redes, sistemas digitais, sistemas operativos, robótica, computação móvel e sistemas virtuais, para além dos vários espaços dedicados a actividades de investigação e acompanhamento de discentes, nomeadamente através de laboratórios dedicados em exclusivo ao trabalho dos alunos. Refira-se ainda que a Universidade é uma das instituições que integra o projecto Campus Virtuais, estando neste momento a totalidade do seu campus coberto pela rede WiFi Eduroam, e sendo disponibilizado aos alunos um vasto conjunto de serviços através de plataformas Web e móveis.
Plano de Estudos
1ª Edição - As aulas são de 15 de Março 2011 a 14 de Abril 2011.
|
Duração: 2 meses – 40 horas
|
|
|
|
|
|
Aulas a 3ªs e 5ªs das 18h30-20h30 e 21h-23h
|
|
|
Total ECTS: 13
|
|
|
|
|
|
|
|
|
|
|
|
1º Bloco
|
|
|
|
|
|
Unidade Curricular
|
Tipo
|
Horas
|
Docente
|
ECTS
|
|
Segurança Informática – Conceitos Básicos práticos
|
Lab
|
2
|
Francisco Ribeiro
|
1
|
|
Normas de Aplicação de Segurança Informática
|
Teórica
|
2
|
Ralf Braga
|
1
|
|
Segurança de Redes
|
Lab
|
4
|
Francisco Ribeiro
|
1
|
|
A Organização ISO e a Norma ISO 27001
|
Teórica
|
4
|
Ralf Braga
|
1
|
|
Riscos e Ataques
|
Lab
|
4
|
Francisco Ribeiro
|
1
|
|
Implementação e Benefícios de um sistema ISO 27001
|
Teórica
|
4
|
Ralf Braga
|
1
|
|
|
|
|
|
|
|
2º Bloco
|
|
|
|
|
|
Unidade Curricular
|
|
Horas
|
Docente
|
ECTS
|
|
Segurança Aplicacional
|
Lab
|
2
|
Francisco Ribeiro
|
1
|
|
Interpretação das cláusulas ISO27001
|
Teórica
|
6
|
Ralf Braga
|
1
|
|
Segurança de Infra-estruturas Físicas
|
Lab
|
2
|
Francisco Ribeiro
|
1
|
|
Configuração de Serviços com segurança
|
Lab
|
2
|
Francisco Ribeiro
|
1
|
|
ISO27001 - Anexo A - Mecanismos de Controlo
|
Teórica
|
4
|
Ralf Braga
|
1
|
|
Boas práticas empresariais
|
Lab
|
2
|
Francisco Ribeiro
|
1
|
|
Actualidade de Segurança Informática
|
Lab
|
2
|
Francisco Ribeiro
|
1
|
Conteúdos de Aulas Práticas em Laboratório
|
Assunto (peso)
|
Descrição
|
Dependências
|
|
Intro (1)
|
Basics, Services, Networking
|
|
|
Modeling (1)
|
Security Architecture and Models, Business Continuity Planning and Disaster Recovery Planning
|
Intro (1), Legal (1)
|
|
Audit Methodology (1)
|
Network Assessment, Pen testing, Security Management Policies
|
Intro (1), OS Internals (1)
|
|
OS Internals (1)
|
UNIX, Windows
|
Intro (1)
|
|
Probing (2)
|
Scanning, Services Enumeration
|
Intro (1), OS Internals (1)
|
|
Reconnaissance (3)
|
Information Gathering, Network Mapping, Footprinting,
Custom Packet Generation
|
Intro (1)
|
|
Command Line-fu (1)
|
netcat, cat, ssh, nmap, ...
|
Intro (1)
|
|
Monitoring (2)
|
Network Capture, Network Monitoring, Host Monitoring
|
Intro (1)
|
|
Network Security (2)
|
Eavesdropping, ARP Spoofing, Mitm
|
Intro (1), Telecommunications (1), Authentication (2)
|
|
WiFi Security (1)
|
Active/Passive capture, WEP cracking, SSID cloaking
|
Intro (1), Telecommunications (1), Authentication (2)
|
|
Intrusion (2)
|
Vulnerability Identification, Penetration, Exploits, Privilege Escalation
|
Intro (1), OS Internals (1), Command Line-fu (1), Application and Systems Development Security (3)
|
|
Maintaining Access & Covering Tracks (2)
|
Backdoors, trojans, rootkits, Covering Tracks, bindshells
|
Command Line-fu (1), Intro (1), OS Internals (1)
|
|
Malware (1)
|
Virus, Worms, spyware
|
Intro (1), OS Internals (1)
|
|
Authentication (2)
|
Access Control Lists, Passwords, Cryptography
|
|
|
Discovery (4)
|
Digital Forensics, Application Fuzzing, Binary Reverse Engineering, Password Cracking
|
Intro (1), Authentication (2),
Modeling (1)
|
|
Application and Systems Development Security (3)
|
Buffer Overflows, Injection, Cross-Site Scripting, Broken Authentication and Session Management,
Insecure Direct Object References,
Cross-Site Request Forgery,
Failure to Restrict URL Access,
Unvalidated Redirects and Forwards
|
Intro (1), Network Security (2)
|
|
Security Management Practices (2)
|
Physical Security, Device Security Testing, Cryptography, Password Management, Logging, Secure data removal
|
Intro (1), OS Internals (1),
Modeling (1), Defense (3), Authentication (2), Malware (1), References (1)
|
|
Defense (3)
|
Email Security and Anti-Spam, Data Protection, Firewall, Host Hardening, Intrusion Detection Systems, Anti-Virus
|
Authentication (2), Malware (1)
|
|
References (1)
|
News, vulnerability/advisory catalog, exploits database, tool repositories, social network, 0-day sources
|
Intrusion (2), Application and Systems Development Security (3)
|
|
Legal (1)
|
Law, Investigation and Ethics
|
|
|
Telecommunications (1)
|
Radio Network Analysis, Bluetooth, VOIP & Telephony Analysis
|
|
Nota:
O “peso” de cada tema, não é mais do que uma medida da profundidade que se pretende dar à matéria referida.
|
