Domínios:

​

1. Gestão de Segurança e Risco

Este domínio foca-se no estabelecimento e governação de políticas de segurança, gestão de risco e conformidade. Inclui as seguintes áreas principais:

• Confidencialidade, Integridade e Disponibilidade (Triângulo CIA): Os três princípios fundamentais da segurança da informação.

• Princípios de Governação de Segurança: Assegurar que a segurança está alinhada com os objetivos do negócio.

• Questões Legais e Regulatórias: Compreender leis e regulamentos que afetam a segurança da informação (ex.: GDPR, HIPAA).

• Gestão de Risco: Identificação, avaliação e mitigação de riscos através da análise de risco (quantitativa e qualitativa).

• Continuidade de Negócio (BC) e Recuperação de Desastres (DR): Estratégias e planos para manter as operações durante e após interrupções.

• Políticas, Normas, Procedimentos e Diretrizes de Segurança: Definir requisitos de segurança.

• Ética na Segurança da Informação: Adesão a um código de conduta profissional.

2. Segurança de Ativos

Este domínio trata da proteção e gestão de ativos físicos e digitais, incluindo:

• Classificação de Informação e Ativos: Definir níveis de sensibilidade (ex.: público, privado, confidencial).

• Propriedade e Responsabilidades de Dados: Definir papéis como proprietários de dados, custodians e utilizadores.

• Proteção de Privacidade: Implementar controlos para proteger informações pessoalmente identificáveis (PII) e dados sensíveis.

• Retenção e Destruição de Dados: Diretrizes para a gestão do ciclo de vida dos dados, assegurando a sua destruição segura.

• Gestão de Resquícios de Dados: Lidar com dados remanescentes em meios de armazenamento após a eliminação.

3. Arquitetura e Engenharia de Segurança

Este domínio cobre os princípios e conceitos de design seguro necessários para construir e gerir sistemas seguros:

• Design de Sistemas Seguros: Conformidade com princípios como defesa em profundidade, privilégio mínimo e segurança por design.

• Criptografia: Conceitos básicos de encriptação, assinaturas digitais, gestão de chaves e protocolos criptográficos.

• Modelos e Frameworks de Segurança: Implementação de modelos de controlo de acesso (ex.: Bell-LaPadula, Biba).

• Componentes de Sistemas Seguros: Abordar a segurança de hardware, software e redes.

• Gestão de Vulnerabilidades: Identificação e tratamento de fraquezas em sistemas.

4. Segurança em Redes e Comunicações

Este domínio foca-se no design e na proteção de infraestruturas de rede, comunicações e tecnologias associadas:

• Arquitetura de Redes Seguras: Proteção de redes utilizando firewalls, segmentação e zonamento.

• Protocolos de Rede: Compreensão de TCP/IP, SSL/TLS e outros protocolos de rede para comunicações seguras.

• Canais de Comunicação Seguros: Implementação de VPNs, protocolos de encriptação e tunelamento seguro.

• Segurança em Redes Sem Fios: Abordar vulnerabilidades e ameaças associadas a redes sem fios.

• Ataques e Defesas em Redes: Compreensão de ataques comuns a redes (ex.: DDoS, man-in-the-middle) e mitigação dos mesmos.

5. Gestão de Identidade e Acesso (IAM)

A IAM trata do controlo de acesso a sistemas de informação, incluindo os seguintes aspetos:

• Identificação, Autenticação e Autorização: Garantir a verificação correta dos utilizadores e o controlo de acesso.

• Modelos de Controlo de Acesso: Implementação de modelos como Controlo de Acesso Baseado em Funções (RBAC), Controlo de Acesso Obrigatório (MAC) e Controlo de Acesso Discricionário (DAC).

• Provisionamento e Desprovisionamento de Acessos: Gestão de contas de utilizador e direitos de acesso.

• Gestão de Identidade Federada: Uso de single sign-on (SSO) e federação de identidade entre sistemas.

• Revisões e Auditorias de Acessos: Revisão regular dos direitos de acesso para garantir o princípio de privilégio mínimo e conformidade.

6. Avaliação e Testes de Segurança

Este domínio trata da avaliação da eficácia dos controlos de segurança através de auditorias e testes:

• Avaliação de Vulnerabilidades e Testes de Penetração: Análise e testes de sistemas para detetar vulnerabilidades.

• Auditorias de Segurança: Revisão e avaliação das medidas e políticas de segurança.

• Análise de Logs e Monitorização: Revisão contínua de logs e atividades de rede para identificar anomalias.

• Teste de Controlos de Segurança: Testes regulares a firewalls, IDS/IPS e outros controlos para garantir o seu bom funcionamento.

• Revisão de Código e Testes de Segurança: Revisão de código de software para detetar vulnerabilidades e problemas de segurança.

• Avaliações de Terceiros: Auditorias a parceiros externos ou fornecedores para garantir conformidade de segurança.

7. Operações de Segurança

As Operações de Segurança centram-se na gestão e manutenção da segurança diária de uma organização:

• Resposta a Incidentes: Gestão de violações de segurança, incluindo deteção, contenção e recuperação.

• Recuperação de Desastres (DR) e Planeamento de Continuidade de Negócio (BCP): Preparação e recuperação de desastres, assegurando a continuidade das operações empresariais.

• Registo e Monitorização: Monitorização contínua de sistemas para atividades suspeitas.

• Proteção de Recursos: Salvaguarda de ativos críticos através de controlos de acesso e monitorização.

• Gestão de Patches: Assegurar que os sistemas estão atualizados com os últimos patches para mitigar vulnerabilidades.

• Forense: Investigação e análise de incidentes de segurança para determinar a causa e o impacto.

• Segurança Física: Implementação de controlos físicos como fechaduras, câmaras e pessoal de segurança para proteger instalações.

8. Segurança no Desenvolvimento de Software

Este domínio enfatiza a importância de integrar segurança no ciclo de vida do desenvolvimento de software (SDLC):

• Práticas de Desenvolvimento Seguro de Software: Incorporar requisitos de segurança no design, codificação e testes.

• Testes de Segurança de Software: Testes regulares para detetar vulnerabilidades, como injeção de SQL, XSS e overflow de buffer.

• Revisão de Segurança de Código: Identificação de falhas de segurança no código através de análise estática e dinâmica.

• Normas de Codificação Segura: Adoção de normas como OWASP Top Ten para orientar práticas de codificação segura.

• Segurança de Aplicações: Implementação de segurança na arquitetura de aplicações, como validação de entradas, controlo de acesso e gestão segura de sessões.

• Gestão de Configuração de Software: Controlo e rastreamento de mudanças no software ao longo do seu ciclo de vida.

• Gestão de Vulnerabilidades de Software: Gestão e tratamento de vulnerabilidades em aplicações de software.