Governance (Policy, Legal & Compliance)

• Definir, implementar, gerir e manter um programa de governança de segurança da informação, que inclui liderança, estruturas e processos organizacionais.
• Alinhar o workflow de governança de segurança da informações com os objetivos organizacionais e de gestão, ou seja, estilo de liderança, filosofia, valores, normas e políticas.
• Estabelecer estrutura de gestão de segurança da informação.
• Estabelecer um workflow para a monitorização de governança de segurança da informação (considerando o custo / benefícios de controles e ROI).
• Compreender padrões, procedimentos, diretrizes, políticas, regulamentos e questões legais que afetam o programa de segurança da informação.
• Entenda o programa de conformidade de segurança da informação da empresa e gerenciar a equipe de conformidade.
• Analisar todas as leis, regulamentos, normas e as melhores práticas externas aplicáveis à organização.
• Compreender as várias disposições das leis que afetam a segurança organizacional, como Gramm-Leach-Bliley Act, Direitos Educacionais da Família e Lei de Privacidade, Health Insurance Portability e Accountability Act [HIPAA], Segurança da Informação Federal.
• Lei de Gestão [FISMA], Clinger-Cohen Act, lei da privacidade, Sarbanes-Oxley, etc.
• Estar familiarizado com as diferentes normas como a série ISO 27000, Federal Information Processing Standards [FIPS].
• Compreender os documentos federais e organizacionais específicos publicados para gerir as operações em um ambiente de computação.
• Avaliar os principais fatores de risco empresarial para conformidades.
• Coordenar a aplicação de estratégias de segurança da informação, planos, políticas e procedimentos para reduzir o risco regulatório.
• Compreender a importância de organismos reguladores de segurança da informação e grupos industriais apropriadas, fóruns, e as partes interessadas.
• Entender as mudanças de segurança da informação, tendências e melhores práticas.
• Gerenciar controles de conformidade da empresa.
• Compreender o processo de conformidade de segurança da informação e procedimentos.
• Compilar, analisar e relatar programas de conformidade.
• Compreender os programas de auditoria de conformidade e certificação.
• Siga ética organizacional.

IS Management Controls and Auditing Management

• Identificar processos operacionais e objetivos da organização, bem como nível de tolerância ao risco. Definir os controles dos sistemas de informação em alinhamento com as necessidades operacionais e metas, realizando testes antes da implementação para garantir a eficácia e eficiência.
• Identificar e selecionar os recursos necessários para implementar de forma eficaz e manter os controles de sistemas de informação. Esses recursos podem incluir capital humano, informação, infra-estrutura e arquitetura (por exemplo, plataformas, sistemas operacionais, redes, bancos de dados, aplicações).
• Supervisionar o processo de controle de sistemas de informação para garantir a implementação adequada, de acordo com o orçamento delineado e escopo, e comunicar o progresso para as partes interessadas.
• Projetar e implementar controles de sistemas de informação para mitigar o risco. Monitorar e documentar o desempenho dos controles de sistemas de informação no cumprimento dos objetivos organizacionais através da identificação e medição de métricas e indicadores chave de desempenho (KPIs).
• Planejar e realizar testes de controles de segurança da informação para garantir a eficácia, descubrir deficiências e garantir o alinhamento com as políticas, normas e procedimentos da organização.
• Planejar e implementar processos para corrigir adequadamente as deficiências e avaliar as práticas de gerenciamento de problemas para garantir que os erros são registrados, analisados e resolvidos em tempo hábil.
• Avaliar e implementar ferramentas e técnicas para automatizar processos de controle de sistemas de informação.
• Produzir relatórios de status dos controles dos sistemas de informações para garantir que os processos de operações de sistemas de informação, manutenção e suporte estão de encontro com as estratégias e os objetivos da organização, e compartilha com as partes interessadas relevantes como apoio.

Management – Projects and Operations (Projects, Technology & Operations)

• Para cada projeto de sistemas de informação desenvolver uma declaração do escopo do projeto claro em alinhamento com os objetivos organizacionais.
• Definir as atividades necessárias para executar com êxito o programa de sistemas de informação, estimativa de duração da atividade, e desenvolvendo um cronograma e planejamento de equipes.
• Desenvolver, gerenciar e monitorar o orçamentos do programa de sistema de informações, estimar e controlar os custos de projetos individuais.
• Identificar, negociar, adquirir e gerenciar os recursos necessários para o planejamento e implementação bem sucedida do programa de sistemas de informação (por exemplo, as pessoas, infra-estrutura e arquitetura).
• Admitir, desenvolver e gerenciar a equipe de projeto de segurança da informações.
• Atribuir funções de trabalho claras para equipe de segurança da informação e fornecer capacitação contínua para garantir o desempenho eficaz e prestação de contas.
• Direcionar a equipe de segurança da informação, estabelecer comunicações e atividades, entre equipe de sistemas de informação e outros profissionais relacionados com a segurança (por exemplo, suporte técnico, gerenciamento de incidentes, engenharia de segurança).
• Resolver questões do pessoal e equipe de trabalho dentro das restrições de tempo, custo e qualidade.
• Identify, negotiate and manage vendor agreement and communication.
• Participate with vendors and stakeholders to review/assess recommended solutions; identify incompatibilities, challenges, or issues with proposed solutions.
• Avaliar as práticas e controles de gerenciamento de projeto para determinar se os requisitos de negócios são atingidos de uma forma rentável, enquanto gerencia os riscos para a organização.
• Desenvolver um plano para medir continuamente a eficácia dos projectos de sistemas de informação para garantir o desempenho ideal do sistema.
• Identificar as partes interessadas, gerenciar as expectativas das partes interessadas e comunicar eficazmente para relatar o progresso e desempenho.
• Certifique-se de que as mudanças e melhorias necessárias para os processos de sistemas de informação são implementados como necessário.

Information Security Core Competencies

Controle de Acesso

• Identificar os critérios para controle de acesso obrigatório e discricionária, entender os diferentes fatores que ajudam na implementação de controles de acesso e elaborar um plano de controle de acesso.
• Implementar e gerenciar um plano de controle de acesso em alinhamento com os princípios básicos que regem os sistemas de controle de acesso, tais como need-to-know.
• Identificar diferentes sistemas de controle de acesso, tais como cartões de identificação e dados biométricos.
• Compreender a importância de faixas de advertência para a implementação de regras de acesso.
• Desenvolver procedimentos para garantir que os usuários do sistema estão conscientes das suas responsabilidades antes de conceder acesso aos sistemas de informação.

Engenharia Social, ataques de phishing, roubo de identidade

• Entenda vários conceitos de engenharia social, e seu papel nos ataques internos e desenvolva melhores práticas para combater ataques de engenharia social.
• Elaborar um plano de resposta a incidentes para roubo de identidade.
• Identificar e elaborar um plano para superar os ataques de phishing.

Segurança Física

• Identificar padrões, procedimentos, diretrizes, políticas, leis e regulamentos de segurança física.
• Determinar o valor dos ativos físicos e o impacto se indisponível.
• Identificar os recursos necessários para implementar eficazmente um plano de segurança física.
• Projetar, implementar e gerenciar um plano de segurança física coerente, coordenável e holístico para garantir a segurança global da organização.
• Estabelecer objectivos para a segurança do pessoal para assegurar o alinhamento com os objetivos de segurança global para a empresa.
• Projetar e gerenciar as questões de auditoria de segurança e atualização físicas.
• Estabelecer um sistema de medição de desempenho de segurança física.

Gerenciamento de Risco

• Identificar os conceitos de mitigação e de tratamento de riscos e entender o conceito de aceitação de risco.
• Identificar as necessidades de recursos para a implementação do plano de gestão de riscos.
• Projetar um processo de avaliação de risco sistemática e estruturada e estabelecer, em coordenação com as partes interessadas, um programa de gestão de riscos de segurança de TI com base em normas e procedimentos e garantir o alinhamento com as metas e objetivos organizacionais.
• Desenvolver, coordenar e gerir equipas de gestão de risco.
• Estabelecer relações entre a equipe de resposta a incidentes e outros grupos, tanto interna (por exemplo, o departamento jurídico) e externos (por exemplo, agências de aplicação da lei, fornecedores e profissionais de relações públicas).
• Desenvolver um programa de medição de gerenciamento de incidentes e gerenciar as ferramentas e técnicas de gestão de risco.
• Entenda o risco residual na infra-estrutura da informação.
• Avaliar as ameaças e vulnerabilidades para identificar os riscos de segurança, e atualizar regularmente controles de segurança aplicáveis.
• Identificar as alterações nas políticas de gestão de risco e processos, garantir que o programa de gestão de risco permanece atual com o ambiente de risco e ameaça emergente e em alinhamento com as metas e objetivos organizacionais.
• Determinar se os controles e processos de segurança são devidamente integradas no processo de planejamento de investimento com base em portfólio de TI e geração de relatórios de segurança.
• Recuperação de Desastres e Plano de Continuidade de Negócios.
• Desenvolver, implementar e monitorar planos de continuidade de negócios em caso de eventos perturbadores e garantir o alinhamento com as metas e objetivos organizacionais.
• Definir o escopo do programa operacional de continuidade empresarial endereçando a continuidade de negócios, recuperação de negócios, planejamento de contingência, e recuperação de desastres / atividades relacionadas.
• Identificar os recursos e funções das diferentes partes interessadas no programa de continuidade dos negócios. Identicar e priorizar funções críticas do negócio, e consequentemente, criar autoridades delegadas de emergência, plano de sucessão para posições-chave, e modelo operacionla de continuidade corporativa organizacional e pessoal.
• Direcionar plano de contingência, operações e programas de gerenciamento de riscos.
• Compreender a importância de lições aprendidas a partir de teste, formação e exercício e eventos de crise.
• Elaborar documentação dos processos como parte da continuidade do programa de operações.
• Projetar e executar um teste e atualização do plano para a continuidade da operação. Compreender a importância da integração dos requisitos de segurança da informação para a Plano de Continuidade Operações (COOP).
• Identificar as medidas para aumentar o nível de preparação de emergência, tais como soluções de backup e recuperação e procedimentos operacionais padrão de design para implementação durante desastres.

Firewall, IDS/IPS and Network Defense Systems

• Identificar os sistemas de detecção de intrusão e prevenção adequadas de segurança da informação organizacional.
• Projetar e desenvolver um programa para monitorar e identificar problemas de configuração de firewall.
• Entenda  sistemas de defesa perimetral, tais como sensores de rede e listas de controle de acesso em roteadores, firewalls e outros dispositivos de rede.
• Identificar a arquitetura de rede básica, modelos, protocolos e componentes, tais como roteadores e hubs que desempenham um papel na segurança da rede.
• Compreender o conceito de segmentação de rede.
• Gerenciar DMZ, VPN e tecnologias de telecomunicação, como PBX e VoIP.
• Identificar as vulnerabilidades da rede e explorar os controles de segurança de rede, tais como o uso de SSL e TLS para segurança de transmissão.
• Apoiar, monitorar, testar, e solucionar problemas com hardware e software.
• Gerenciar contas, direitos de rede e acesso a sistemas e equipamentos.

Wireless Security

• Identificar vulnerabilidades e ataques associados a redes sem fio e gerenciar diferentes ferramentas de segurança de rede sem fio.

Virus, Trojans and Malware Threats

• Avaliar as ameaças de vírus, cavalo de Tróia e malware à segurança organizacional e identificar fontes e meios de infecção por malware.
• Implantar e gerenciar sistemas de anti-vírus.
• Processo de desenvolvimento para combater vírus, Trojan e ameaças de malware.

Secure Coding Best Practices and Securing Web Applications

• Desenvolver e manter programas de garantia de software em alinhamento com os princípios de codificação seguras e cada fase do Sistema de Desenvolvimento de Ciclo de Vida (SDLC – System Development Life Cycle).
• Entenda as várias práticas dos engenheiros de sistemas.
• Configurar e executar ferramentas que ajudam no desenvolvimento seguro de aplicações.
• Compreender as técnicas de análise de vulnerabilidade de software.
• Instalar e operar os sistemas de TI no modo de configuração de teste, que não altere o código do programa ou comprometa a segurança.
• Identificar vulnerabilidades de aplicativos web, ataques e ferramentas de segurança de aplicações web afim de combater os ataques.

Hardening OS

• Identificar as vulnerabilidades do sistema operacional, assim como ataques e desenvolver um plano de hardening para o sistemas OS.
• Compreender os logs do sistema, o processo de gerenciamento de patches e gerenciamento de configuração para a segurança do sistema de informação.

Encryption Technologies

• Compreender o conceito de criptografia e descriptografia, certificados digitais, infra-estrutura de chave pública e as principais diferenças entre criptografia e esteganografia.
• Identificar os diferentes componentes de um sistema de criptografia.
• Desenvolver um plano para técnicas de criptografia de segurança da informação..

Vulnerability Assessment And Penetration Testing

• Projetar, desenvolver e implementar um programa de testes de invasão com base na metodologia de teste de invasão que garanta a segurança organizacional.
• Identificar as diferentes vulnerabilidades associados ao sistemas de informação e questões legais envolvidas nos testes de invasão.
• Desenvolver procedimentos de testes pré e pós.
• Desenvolver um plano para reportar o teste de invasão e implementação de correções de vulnerabilidades técnicas.
• Desenvolver sistemas de gestão de vulnerabilidades

Computer Forensics And Incident Response

• Desenvolver um plano para identificar uma potencial violação de segurança e tomar medidas adequadas para relatar o incidente.
• Cumprir os procedimentos de terminação do sistema e requisitos de comunicação de incidentes relacionados a potenciais incidentes de segurança ou violações reais.
• Avaliar possíveis violações de segurança para determinar se as políticas de segurança de rede foram violados, avaliar o impacto e preservar as provas.
• Diagnosticar e resolver problemas de Arquitetura da Informação em resposta a incidentes relatados.
• Planejar os procedimentos de resposta a incidentes.
• Desenvolver diretrizes para determinar se um incidente de segurança é indicativa de uma violação da lei que requer uma acção judicial específica.
• Identificar volatilidade e persistência das informações nos sistemas.
• Configurar e gerenciar laboratórios e programas forenses.
• Entenda vários dispositivos de mídia digitais, princípios e-discovery e práticas para diferentes sistemas de arquivos.
• Desenvolver e gerenciar um programa forense digitais organizacional.
• Estabelecer, desenvolver e gerir equipas de investigação forense.
• Defina um processos de investigação, como a coleta de provas, de imagem, aquisição de dados e análise.
• Identificar as melhores práticas para adquirir, armazenar e processar provas digitais.
• Configurar e usar várias ferramentas de investigação forense.
• Projetar técnicas anti-forenses.

Strategic Planning & Finance

Strategic Planning

• Projetar, desenvolver e manter a arquitetura de segurança da informação da empresa (EISA), alinhando os processos de negócio, software de TI e hardware, redes locais e remotas, pessoas, operações e projetos com a estratégia global de segurança da organização.
• Realizar a análise externa da organização (por exemplo, análise de clientes, concorrentes, mercados e ambiente da indústria) e análise interna (gestão de riscos, capacidades organizacionais, desempenho de medição etc.) e utilizá-los para alinhar programa de segurança da informação com os objetivos da organização.
• Identificar e consultar com as principais partes interessadas para garantir a compreensão dos objectivos da organização.
• Definir um plano estratégico para o futuro, visionário e inovador para o papel do programa de segurança da informação com objetivos claros, objetivos e metas que suportam as necessidades operacionais da organização.
• Definir indicadores-chave de desempenho e medir a eficácia em base contínua.
• Avaliar e ajustar os investimentos em TI para garantir que eles estão no caminho certo para apoiar os objetivos estratégicos da organização.
• Monitor and update activities to ensure accountability and progress.

Finance

• Analisar, prever e desenvolver o orçamento operacional do departamento de TI.
• Adquirir e gerenciar os recursos necessários para a implementação e gestão do plano de segurança da informação.
• Alocar recursos financeiros para projetos, processos e unidades dentro do programa de segurança da informação.
• Monitorar e supervisionar a gestão de custos de projetos de segurança da informação, o retorno sobre o investimento (ROI) das compras chave relacionados com a infra-estrutura de TI e segurança, garantindo o alinhamento com o plano estratégico.
• Identificar e reportar métricas financeiras para as partes interessadas.
• Equilibrar a carteira de investimentos em segurança de TI com base em considerações EISA (Enterprise Information Security Architecture) e prioridades de segurança da empresa.
• Compreender o ciclo de vida de aquisição e determinar a importância dos contratos através da realização de Análise de Impacto nos Negócios.
• Identificar diferentes estratégias de aquisição e entender a importância da análise de custo-benefício durante a aquisição de um sistema de informação.
• Compreender os conceitos básicos de aquisição, tais como declaração de objetivos (SOO), Declaração de Trabalho (SOW) e Custo Total de Propriedade (TCO).
• Colaborar com as várias partes interessadas (que podem incluir cliente interno, advogados, profissionais de TI de segurança, os profissionais de privacidade, engenheiros de segurança, fornecedores e outros) sobre a aquisição de produtos de TI e serviços de segurança.
• Assegurar a inclusão de requisitos de segurança de TI com base no risco em planos de aquisição, estimativas de custos, declarações de trabalho, contratos e fatores de avaliação para a concessão, contratos de nível de serviço e outros documentos de aquisição pertinentes.
• Projeto fornecedor processo de seleção e política de gestão.
• Desenvolver políticas de administração de contratos que dirigem a avaliação e aceitação de produtos de segurança de TI entregues e serviços sob um contrato, bem como a avaliação da segurança de TI e software em questão.
• Desenvolver medidas e padrões de relatórios para medir e relatar sobre os principais objectivos na aquisição de TI alinhados com as políticas e procedimentos de segurança.
• Compreender os requisitos de segurança IA a ser incluídas na declaração de trabalho e outros documentos de aquisição adequadas.