Segurança da Informação

Prévia do material em texto

Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
SeguranSegurançça a 
da Informada Informaççãoão
Fonte : Fundação Getúlio Vargas
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Conteúdo Conteúdo 
Cenários 
Corporativos
Anatomia 
do Problema
Empresas
Via VAN 2
Tendências
Aspectos 
de 
Segurança
Soluções de Segurança
Avaliação e
Conclusão
Referências 
Bibliográficas
Autenticação e 
Autorização Combate a ataques
e invasões
Política
de Segurança Criptografia
Auditoria
Norma x 
Metodologia
ÚLTIMAS
Número da 
Segurança
Análise de Riscos
Segurança Física
Teste de Invasão
Plano de 
Contingência
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Era do conhecimentoEra do conhecimentoEra do conhecimento
70s, 80s
Ambiente
MainframeMainframe
Proteção
DadosDados
Foco
Principal
ConfidencialidadeConfidencialidade
Posição da
Informática
RetaguardaRetaguarda
Época
80s, 90s
MainframeMainframe
+ + RedeRede
DadosDados
+ + InformaInformaççãoão
ConfidencialidadeConfidencialidade
+ + IntegridadeIntegridade
Retaguarda Retaguarda 
++AdministraAdministraççãoão
e Operae Operaççãoão
90s, 2000
MainframeMainframe
+ Rede+ Rede
+ + IPIP
DadosDados
+ Informa+ Informaçção ão 
+ + ConhecimentoConhecimento
ConfidencialidadeConfidencialidade
+ Integridade + Integridade 
+ + DisponibilidadeDisponibilidade
NegNegóóciocio
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Desafios da segurança na nova economiaDesafios da seguranDesafios da segurançça na nova economiaa na nova economia
Controle centralizado
Auditabilidade
Ambiente padronizado
Conhecimento de ameaças e vulnerabilidades
Estratégia de Segurança
Pessoal técnico capacitado
Velocidade na implementação de soluções
Integração com o negócio
!
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Desafios da segurançaDesafios da seguranDesafios da seguranççaa
EstratEstratéégia de Segurangia de Segurançça ( Necessidade de ser TOP a ( Necessidade de ser TOP –– DOWN )DOWN )
EstratEstratéégicogico
TTááticotico
OperacionalOperacional
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
ROI - Retorno sobre o InvestimentoROI ROI -- Retorno sobre o InvestimentoRetorno sobre o Investimento
MarketMarket
ShareShare
DisponibilidadeDisponibilidade
FraudesFraudesDano Dano àà
ImagemImagemVazamentoVazamento
de Informade Informaççãoão
Valor doValor do
NegNegóóciocio
Viabilidade Viabilidade 
de novasde novas
aplicaaplicaççõesões
InterrupInterrupçção ão 
do Negdo Negóóciocio
Diminui os riscos, custos diretos eDiminui os riscos, custos diretos e
indiretos provocados pelos indiretos provocados pelos 
incidentes de quebra de seguranincidentes de quebra de seguranççaa
ControlesControles
Agrega valorAgrega valor
SeguranSegurançça do Nega do Negóóciocio ConscientizaConscientizaççãoão
{
}
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Papel da SegurançaPapel da SeguranPapel da Seguranççaa
NEGÓCIO e GESTÃO
ATIVOS
......EntenderEntendero Mercadoo Mercado
DesenvolverDesenvolver
ProdutosProdutos
ConquistarConquistar
ClientesClientes ......
Segredos Segredos 
de negde negóóciocio
RecursosRecursos
HumanosHumanos
KnowKnow--howhow
TTéécnicocnico
MetodologiasMetodologias
e Processose Processos
InformaInformaççõesões
de clientesde clientes
InfraestruturaInfraestrutura
TecnolTecnolóógicagica
VULNERABILIDADESAusência deAusência dePolPolíítica paratica paraBackupBackup EstaEstaçção deão deRede com Rede com Modem InternoModem InternoAusência deAusência dePolPolíítica para tica para SenhaSenha Ausência de Ausência de Controle de Controle de Acesso FAcesso Fíísicosico AplicaAplicaçção com ão com BackdoorBackdoorAusência deAusência deFragmentadoraFragmentadora
SEGURANÇA
AMEAÇASAcessoAcessoIndevidoIndevido Perda de Perda de InformaInformaççãoãoRetrabalhoRetrabalhoIndisponibIndisponib.. FraudesFraudesSabotagensSabotagens PrejuPrejuíízo zo ààImagemImagemInvasõesInvasõesVazamentosVazamentos
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Papel da SegurançaPapel da SeguranPapel da Seguranççaa
Eliminar e administrar as vulnerabilidades, Eliminar e administrar as vulnerabilidades, 
minimizando os riscos e conseqminimizando os riscos e conseqüüentementeentemente
reduzindo os impactos no negreduzindo os impactos no negóóciocio
SEGURANÇA
Risco tendendo a zeroRisco tendendo a zero
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Ação sobre os ativosAAçção sobre os ativosão sobre os ativos
InfraInfra--estruturaestrutura
TecnologiaTecnologia
AplicaAplicaççõesões
InformaInformaççõesões
PessoasPessoas
ATIVO:ATIVO:
Tudo que Tudo que 
manipula diretamanipula direta
ou indiretamenteou indiretamente
a informaa informaçção, ão, 
inclusive inclusive 
ela prela próópria.pria.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Ação sobre os ativosAAçção sobre os ativosão sobre os ativos
Soluções pontuais isoladas não resolvem toda a problemática 
associada à segurança da informação.
Segurança se faz protegendo todos os elos da corrente, ou 
seja, todos os ativos que compõem seu negócio. Afinal, o poder 
de proteção da corrente está diretamente associado ao elo mais 
fraco!
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Ativos: peças importantes do quebra-cabeçaAtivos: peAtivos: peçças importantes do quebraas importantes do quebra--cabecabeççaa
Em 1987, após 73 segundos de seu 
lançamento, acabou numa explosão 
trágica mais uma viagem da Challenger. 
Os 7 tripulantes morreram... 
Investigadores concluíram que as 
baixas temperaturas noturnas afetaram 
um anel de vedação de um dos motores 
da aeronave, provocando vazamento de 
combustível do tanque e o conseqüente 
incêndio e explosão. O acidente 
provocou profundas mudanças e 
revisões nos estudos de layout de novas 
aeronaves e revisão nos 
procedimentos das equipes de trabalho 
envolvidas, incluindo as das empresas 
fornecedoras...
...a explosão causou 
prejuízos de cerca de $ 1.2 
Bilhão, tendo como 
origem uma peça de 
apenas $900 que 
poderia ter sido 
substituída a tempo... 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Quebra de paradigmaQuebra de paradigmaQuebra de paradigma
Segurança não é somente um problema 
tecnológico mas...
a gestão inteligente da informação 
em todos os ambientes.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Miopia do IcebergMiopia do IcebergMiopia do Iceberg
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Administração do riscoAdministraAdministraçção do riscoão do risco
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Equação do RiscoEquaEquaçção do Riscoão do Risco
XAmeaças X ImpactosVulnerab.R=
Medidas de Segurançarisco
Segurança da Informação é adotar controles 
físicos, tecnológicos e humanos personalizados, que 
viabilizem a redução e administração dos riscos, 
levando a empresa a atingir o nível de segurança 
adequado ao seu negócio.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Macro desafio da Segurança da InformaçãoMacro desafio da SeguranMacro desafio da Segurançça da Informaa da Informaççãoão
Garantir os conceitos...Garantir os conceitos...
IntegridadeIntegridade
ConfidencialidadeConfidencialidade
DisponibilidadeDisponibilidade
das informadas informaçções. ões. 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Conceitos da Segurança da InformaçãoConceitos da SeguranConceitos da Segurançça da Informaa da Informaççãoão
IntegridadeIntegridade
Diferente do que pode parecer, o conceito Integridade estDiferente do que pode parecer, o conceito Integridade estáá
ligado ao estado da informaligado ao estado da informaçção no momento de sua geraão no momento de sua geraçção e ão e 
resgate. Ela estarresgate. Ela estaráá ííntegra se em tempo de resgate, estiver fiel ao ntegra se em tempo de resgate, estiver fiel ao 
estado original.estado original.
Ex.: Ex.: 
GeraGeraçção ão -- ““2 + 2 = 52 + 2 = 5”” Resgate Resgate -- ““2 + 2 2 + 2 
= 5= 5””
A Integridade não se prende SA Integridade não se prendeSÓÓ ao conteao conteúúdo, que pode estar do, que pode estar 
errado, mas errado, mas àà variavariaçções e alteraões e alteraçções entre o processo de geraões entre o processo de geraçção ão 
e resgate.e resgate.
Integridade não Integridade não éé SOMENTE a exatidão da informaSOMENTE a exatidão da informaçção.ão.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Case que afetou a IntegridadeCase que afetou a IntegridadeCase que afetou a Integridade
PRESIDENTE DAS FILIPINAS SOFRE ATAQUES 
Fonte: Boston Herald; 04/02/2000 
Um hacker alterou o site do Presidente das Filipinas Joseph estrada, 
inserindo imagens eróticas e declarações contra o governante. O site 
ficou quase 24 horas modificado. Segundo os responsáveis, alguns 
arquivos de banco de dados foram apagados.
A invasão ocorreu apenas duas semanas após ataques aos sites do 
governo japonês e em um período de grande investimento de países 
asiáticos na Internet. 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Conceitos da Segurança da InformaçãoConceitos da SeguranConceitos da Segurançça da Informaa da Informaççãoão
ConfidencialidadeConfidencialidade
Diferente do que pode se pensava nas dDiferente do que pode se pensava nas déécadas de 70 e 80, o cadas de 70 e 80, o 
conceito conceito ConfidencialidadeConfidencialidade não estnão estáá relacionado ao isolamento relacionado ao isolamento 
da informada informaçção e ao seu não compartilhamento, trancafiandoão e ao seu não compartilhamento, trancafiando--a. a. 
Pelo contrPelo contráário. O conceito estrio. O conceito estáá ligado ligado àà crescente necessidade crescente necessidade 
de compartilhamento da informade compartilhamento da informaçção, mas se utilizando de ão, mas se utilizando de 
controles que permitam o acesso de pessoas e mcontroles que permitam o acesso de pessoas e mááquinas quinas 
autorizadas, se forma segura. autorizadas, se forma segura. 
Ex.: informaEx.: informaçção em ão em emailemail que trafega pela Internet com o que trafega pela Internet com o 
recurso de certificado digital para identificar o emissor e recurso de certificado digital para identificar o emissor e 
criptografia para garantir sua integridade e criptografia para garantir sua integridade e confidencialidadeconfidencialidade..
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Case que afetou a ConfidencialidadeCase que afetou a Case que afetou a ConfidencialidadeConfidencialidade
EX-FUNCIONÁRIO DA INTEL INDICIADO POR ROUBO DE 
INFORMAÇÕES
Fonte: ZDNet, 30/03/2000
A Corte Federal do Estado da Califórnia indiciou um ex-funcionário 
da Intel pelo roubo de informações sobre o microprocessador 
Itanium, quando já trabalhava para a concorrente Sun Microsystems
Inc. 
O processo esta baseado no Economic Espionage Act of 1996, que 
qualificou roubo de segredos comerciais como crime federal. O réu 
pode ser condenado a 30 anos de prisão, mais multa de US$ 1,5 
milhão. 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Conceitos da Segurança da InformaçãoConceitos da SeguranConceitos da Segurançça da Informaa da Informaççãoão
DisponibilidadeDisponibilidade
Este conceito tem despertado maior interesse depois que os Este conceito tem despertado maior interesse depois que os 
negnegóócios passaram a depender mais da informacios passaram a depender mais da informaçção para serem ão para serem 
geridos. Afinal, de nada adiantargeridos. Afinal, de nada adiantaráá uma completa infrauma completa infra--estrutura estrutura 
tecnoltecnolóógica, com recursos que garantam a integridade e gica, com recursos que garantam a integridade e 
confidencialidadeconfidencialidade das informadas informaçções, se quando por preciso ões, se quando por preciso 
acessacessáá--la, a mesma não estiver disponla, a mesma não estiver disponíível.vel.
Ex.: informaEx.: informaçções financeiras que precisam ser consultadas para ões financeiras que precisam ser consultadas para 
apoiar tomadas de decisão.apoiar tomadas de decisão.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Case que afetou a DisponibilidadeCase que afetou a DisponibilidadeCase que afetou a Disponibilidade
MAIS ATAQUES DDoS
Fontes: ABC News.com e CNet, 16 /03/00
Os ataques Distributed Denial of Service continuam nos EUA. Na 
última semana, foram derrubados os sites da Amazon.com e do FBI.
A Amazon ficou 30 minutos fora do ar. No caso do FBI, as páginas 
ficaram indisponíveis por praticamente um dia inteiro. O ataque foi 
realizado no dia em que o FBI celebrava os 50 anos da campanha dos 
"10 fugitivos mais procurados".
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
BrainstormBrainstormBrainstorm
Quais os obstáculos para implementar segurança?Quais os obstQuais os obstááculos para implementar seguranculos para implementar segurançça?a?
Na sua percepção...Na sua percepNa sua percepçção...ão...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Conscientização
Orçamento
Recursos Humanos
Ferramentas
Gerência
Performance
ConscientizaConscientizaççãoão
OrOrççamentoamento
Recursos HumanosRecursos Humanos
FerramentasFerramentas
GerênciaGerência
PerformancePerformance
ObstObstááculos para implementar seguranculos para implementar seguranççaa
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Alvo temporárioAlvo temporAlvo temporááriorio
Acesso à Internet em Banda Estreita:
Conexão discada 
Provedor pago
1:45hs 3:15hsTempo de Conexão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Alvo 24 horas por dia x 7 dias por semanaAlvo 24 horas por dia x 7 dias por semanaAlvo 24 horas por dia x 7 dias por semana
Acesso à Internet em Banda Larga: 
Internet Grátis (Bancos e Grupos Privados)
Links dedicados (56Kbps - linha de dados dedicada) 
DVI (128Kbps - placa ISDN e linha telefônica)
Web TV (56Kbps - NetComputer, linha telefônica, teclado e controle)
Virtua (256Kbps - cabo de circuito fechado, cable modem)
TVA (1Mbps - antena de rádio e linha telefônica) 
WAP (Wireless Application Protocol)
24hs
Tempo de Conexão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Alvo atraente - exemploAlvo atraente Alvo atraente -- exemploexemplo
Internet Banking
Investimentos
a l
v o
 m
ai
s a
t ra
en
t e
S e
nh
a
Internet Banking
Transferência de Valores
Internet Banking
Pagamento de Contas
Home Banking
Consulta de Extrato
Agência
Cartão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
PerímetrosPerPeríímetrosmetros
Internet
Proteção
Usuários
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Perímetros ( aumentar até o nível do usuário ... )PerPeríímetros ( aumentar atmetros ( aumentar atéé o no níível do usuvel do usuáário ... )rio ... )
Internet
Proteção
Usuários
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Confiança na Cadeia ProdutivaConfianConfiançça na Cadeia Produtivaa na Cadeia Produtiva
FornecedorFornecedor
NegócioNegócio
DistribuidorDistribuidor
GovernoGoverno
ClienteCliente
Movimento 
Generalizado
ParceiroParceiro
Isso
9001
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Confiança na Cadeia ProdutivaConfianConfiançça na Cadeia Produtivaa na Cadeia Produtiva
FornecedorFornecedor
NegócioNegócio
ParceiroParceiro
DistribuidorDistribuidor
GovernoGoverno
ClienteCliente
Movimento 
Generalizado
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Norma NBR ISO 17799:2000Norma NBR ISO 17799:2000Norma NBR ISO 17799:2000
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
BrainstormBrainstormBrainstorm
Como anda a segurança no cenário corporativo?Como anda a seguranComo anda a segurançça no cena no cenáário corporativo?rio corporativo?
Na sua percepção...Na sua percepNa sua percepçção...ão...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
BrainstormBrainstormBrainstorm
Não conhece o problema
Não consegue quantificar os prejuízos
Possui um ambiente heterogêneo falando IP
A competitividade impõe implementação veloz
Possui acessos híbridos ao ambiente
Não conhece o problemaNão conhece o problema
Não consegue quantificar os prejuNão consegue quantificar os prejuíízoszos
Possui um ambienteheterogêneo falando IPPossui um ambiente heterogêneo falando IP
A competitividade impõe implementaA competitividade impõe implementaçção velozão veloz
Possui acessos hPossui acessos hííbridos ao ambientebridos ao ambiente
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Cenários CorporativosCenCenáários Corporativosrios Corporativos
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Cenas corporativasCenas corporativasCenas corporativas
Seu negSeu negóócio opera sob risco cio opera sob risco 
controlado?controlado?
Não
51%
Sim
36%
Não 
sabe
13%
SIMSIM
NÃO SEINÃO SEI
NÃONÃO
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Ciclo de Vida da InformaçãoCiclo de Vida da InformaCiclo de Vida da Informaççãoão
Manuseio
Transporte
Armazenamento
Descarte
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
InformaçãoInformaInformaççãoão
armazenada em computador
transmitida entre redes
impressa ou escrita em papel
enviada por fax
armazenada em fita ou disco
falada via telefone
enviada por email
armazenada em bancos de dados
... As informações deverão ter 
tratamento durante os 4 momentos do 
ciclo de vida, dependendo dos critérios 
de classificação da informação
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Vulnerabilidades que maximizam os riscosVulnerabilidades que maximizam os riscosVulnerabilidades que maximizam os riscos
Ausência de controle de acesso físico
Ausência de fragmentadora de papel 
Senha fraca
Criptografia fraca
Autenticação fraca
Autorização deficiente
Sistemas operacionais desatualizados
Email sem proteção
Bugs de software
Backdoors
Ausência de rotinas formais de backup
Recurso humano inconsciente e incapacitado 
Ausência de uma Política de Segurança
...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Riscos e ImpactosRiscos e ImpactosRiscos e Impactos
Incêndio
Inundação 
Acesso indevido 
Fraude
Sabotagem
Vazamento
Invasão
Retrabalho
Espionagem Industrial
Indisponibilidade
Perda de imagem
Perda financeira
...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Ameaças que potencializam os riscosAmeaAmeaçças que potencializam os riscosas que potencializam os riscos
Naturais
Físicas
Humanas
Engenharia social
Tecnológicas
Sniffer
Vírus
DDoS Distributed Denial of Service
Spoofing
Trashing
Password Crackers
Trojan Horse
...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Engenharia SocialEngenharia SocialEngenharia Social
Não requer computador, nem tão pouco conhecimento técnico
Técnica que explora as fragilidades do comportamento humano, 
associada a falta de conscientização e capacitação dos usuários, técnicos e 
funcionários em geral.
É aplicada para extrair informação privilegiada da vítima e até mesmo 
viabilizar o roubo de informações.
Normalmente fornece subsídios para a execução de outras técnicas com 
maior eficiência como: quebra de senhas.
Exemplo: em telefonema para o suporte expressando irritação e pressa e se 
dizendo o novo diretor de operações da empresa, o hacker solicita o 
cadastramento de uma nova senha de acesso imediatamente. 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Engenharia Social - Fax e secretáriaEngenharia Social Engenharia Social -- Fax e secretFax e secretááriaria
O famoso hacker Kevin Mitnick, utilizava intensivamente 
técnicas de engenharia social. Certa vez, se fazendo passar por 
um alto executivo da Pacific Bell, conseguiu acesso a um 
memorando interno apenas pedindo à secretária do autor do 
memorando que enviasse uma cópia via fax. 
Ele informou o número de uma máquina de fax previamente 
preparada para parecer a máquina do executivo. Os detalhes do 
memorando apareceram mais tarde numa reportagem publicada 
em julho de 1988 por John Markoff no jornal The New York 
Times.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
SnifferSnifferSniffer
Sniffer = farejador
Técnica utilizada para “farejar” e capturar informações (pacotes de 
dados) que trafegam na redes.
Apesar de não ser uma ferramenta de invasão, esta técnica é utilizada 
como um utilitário para a maioria delas.
Muitas ferramentas automatizadas e de fácil utilização estão 
disponíveis na Internet, maximizando ainda mais a ação de indivíduos 
sem especialização e profundo conhecimento técnico.
Depois de capturados - em certas situações - os pacotes podem ser 
remontados, revelando o conteúdo da mensagem.
Exemplo: em condição de visitante, encontra um ponto de rede sem uso 
e conecta seu notebook enquanto espera o atendimento.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Sniffer - NetXRaySnifferSniffer -- NetXRayNetXRay
Hacker
Internet
Webserver
Workstations
Webuser
X
Roteador
Firewall
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
VírusVVíírusrus
Programa de computador desenvolvido com objetivos obscuros
como: apagar informações, roubar senhas, causar indisponibilidade do 
equipamento etc...
Originalmente os vírus só podiam contaminar arquivos de programa 
(executáveis), mas eles também evoluíram e já contaminam 
documentos (.DOC) e emails através de rotinas Java.
Exemplo: por desconhecimento, o usuário recebe por email um arquivo 
anexo (executável) de um suposto conhecido e o executa, 
contaminando a estação de trabalho e espalhando o vírus para a rede. 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Vírus - I love youVVíírus rus -- I I lovelove youyou
O I love you foi potencializado por anexar aos emails um rotina Visual 
Basic Script (.VBS) originalmente com o nome de ILOVEYOU.TXT.vbs
(tecnicamente e humanamente competentes)
Utiliza o Outlook para enviar mensagens para todas as pessoas listadas 
no Catálogo de endereços da vitima.
72 horas depois de seu lançamento, já haviam 19 variações. 
Existem no mundo atualmente mais de 50 mil vírus de computador em 
circulação. 
Webserver
Workstations
Hacker
X Internet X
Roteador
Firewall
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
DDoS Distributed Denial of ServiceDDoSDDoS DistributedDistributed DenialDenial ofof ServiceService
Denial of Service = negação de serviço
Técnica de ataque que visa a indisponibilidade através da sobrecarga de 
solicitações de serviço (flood) e não a invasão do alvo.
O volume de pacotes e a frequência de envio pode sobrecarregar e 
esgotar a capacidade de processamento do servidor ou link, 
indisponibilizando-o.
Normalmente muitos computadores com links velozes de acesso à Internet, 
de forma sincronizada, são programados à solicitar tais serviços 
simultaneamente (programas zumbis).
Exemplo: hackers se reúnem eletronicamente, “contaminam” e instalam 
programas em computadores de universidades - que possuem links velozes 
- sincronizando-os para enviar milhares de pacotes à um mesmo endereço 
eletrônico IP.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
DDoS Distributed Denial of Service -
Amazon.com
DDoSDDoS DistributedDistributed DenialDenial ofof ServiceService --
Amazon.comAmazon.com
Os ataques Distributed Denial of Service continuam nos EUA. 
Nos últimos grandes ataques, foram derrubados os sites da 
Amazon.com e do FBI.
A Amazon ficou 30 minutos fora do ar. No caso do FBI, as 
paginas ficaram indisponíveis por praticamente um dia inteiro. 
O ataque foi realizado no dia em que o FBI celebrava os 50 anos 
da campanha dos "10 fugitivos mais procurados".
Fontes: ABC News.com e CNet, 16 /03/00
Webserver
Workstations
Hacker
X Internet X
Roteador
X
Firewall
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
DDoS Distributed Denial of Service -
Amazon.com
DDoSDDoS DistributedDistributed DenialDenial ofof ServiceService --
Amazon.comAmazon.com
Fontes: 15/10/2001 01:23h
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
SpoofingSpoofingSpoofing
Spoofing = enganar
Técnica que visa aproveitar a indisponibilidade do serviço causada 
pelo ataque DDoS que o sobrecarrega de solicitações, por exemplo, 
fazendo-se passar por ele.
Simulam o serviço original, desviando e capturando todos os pacotes 
que deveriam chegar ao site verdadeiro.
Exemplo: o bombardeio à um site o tira de funcionamento, criando umajanela de tempo para que um site clone tome seu lugar e passe a 
receber todas as informações dos webusers.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Spoofing - site cloneSpoofingSpoofing -- site clonesite clone
Os hackers utilizaram técnica de invasão que permitiu a edição 
do site web, desta forma, inseriram uma rotina que redirecionou 
os visitantes para um site falso. Todos os números de cartão de 
crédito utilizados nos pedidos de compras foram roubados.
Fonte: CanalWeb, 06/08/99
Webserver
Workstations
Hacker
X
Webserver Hacker
XInternet X
Roteador
Firewall
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
TrashingTrashingTrashing
Trashing = vasculhar lixo 
Também chamada de Dumper Diver (mergulhador de lixo), é uma 
técnica utilizada para conseguir informações privilegiadas que 
potencializem as tentativas de quebra de senha e invasões. 
O lixo pode conter informações importantes que tornam mais 
eficientes os ataques. 
Exemplo: quando não há conscientização e capacitação, usuários e 
técnicos não têm qualquer instrução para descartar informações, por 
isso, ao vasculhar lixo corporativo, é possível encontrar senhas 
antigas, nomes de usuários, telefones, topologias de rede e relatórios 
de configuração.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trashing - quebra de senhasTrashingTrashing -- quebra de senhasquebra de senhas
Fonte: Computerworld, 02/05/99
* * * * * *
Webserver
Workstations
Hacker
X
Informações
coletadas no lixo
Internet X
Roteador
Firewall
Após vasculhar o lixo corporativo por semanas, os hackers conseguiram coletar 
o login de alguns usuários, documentos com a configuração de sistemas, 
rascunhos da topologia da rede e ainda, convites com o nome dos 
executivos e seus familiares.
Estas últimas informações alimentaram ferramentas de quebra de senhas, que 
por sua vez, combinaram as palavras e conseguiram descobrir a senha -
formada pelo nome da filha - de um importante diretor com permissões 
privilegiadas de acesso.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Password CrackersPasswordPassword CrackersCrackers
Password Crackers = quebradores de senhas
Técnica utilizada para conseguir identificar uma senha de acesso. O êxito 
desta técnica está diretamente ligada à complexidade da senha, o poder de 
processamento aplicado e a janela de tempo disponível.
A complexidade da senha esta associada à sua formação. Quanto maior for 
a senha e mais diversificados forem seus elementos (numéricos, 
alfanuméricos, caracteres especiais, maiúsculas e minúsculas), mais segura 
ela será. 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Password Crackers - dicionáriosPasswordPassword CrackersCrackers -- diciondicionááriosrios
Ferramentas automatizadas aplicam dicionários especializados
para dar maior eficiência à quebra de senhas fracas.
“Ao analisar o ambiente de uma grande empresa do segmento 
financeiro, foram encontrados: 12 senhas em branco
23 senhas 123456
37 senhas iguais ao nome ou login
87 senhas iguais a data de nascimento” Fonte: Módulo, 12/03/00
1 2 3 4 5 6
Webserver
Workstations
Hacker
X
+ Dicionários
Internet X
Roteador
Firewall
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trojan HorseTrojanTrojan HorseHorse
Programa de computador desenvolvido com objetivos nebulosos
munido de propriedades de administração remota, como um 
controle remoto. É composto por um client e um server.
Apesar de não ser um vírus, têm sido tratado como tal e já é rastreado 
e eliminado pelos programas antivírus.
É propagado através da execução de outro programa que tem 
aparência inofensiva, mas que o transporta de forma invisível. 
Entrega TODO o controle do computador ao invasor.
Exemplo: depois de “contaminado” e conectado à Internet, o 
computador passa a ser um servidor, permitindo ao invasor 
acompanhar tudo que estiver sendo digitado pelo usuário e ainda 
manipular programas, arquivos, configurações, drives etc.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trojan Horse - SubSevenTrojanTrojan HorseHorse -- SubSevenSubSeven
Potencial destrutivo
Execução de programas
Leitura e escrita de arquivos
Download e upload
Captura de tela
Captura de som
Captura de teclado 
Uso do drive disquete
Uso do drive cdrom
Roubo de senhas
Alteração da configuração
...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trojan Horse - SubSevenTrojanTrojan HorseHorse -- SubSevenSubSeven
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Hackers - quem são?HackersHackers -- quem são?quem são?
Hacker
Indivíduo com profundos conhecimentos de sistemas 
operacionais, linguagens de programação, técnicas e ferramentas 
que potencializam as tentativas de acesso indevido. Comumente 
buscam mais conhecimento e evitam corromper informações 
intencionalmente.
Cracker
Indivíduo comumente dedicado a quebrar chaves de proteção de 
programas de computador e invadir sistemas, violando a 
integridade das informações com intenção maliciosa. 
Praticamente um Hacker profissionalmente perigoso.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Hackers - quem são?HackersHackers -- quem são?quem são?
Lammer
Indivíduo com conhecimentos técnicos superficiais, que 
comumente se utilizam de ferramentas de terceiros
disponibilizadas na Internet para realizar suas tentativas de 
acesso indevido.
Importante!
Estas definições não são uma verdade absoluta, pois existem 
muitas outras. Entre elas, há uma grande sobreposição de papeis 
e áreas de interseção ainda nebulosas.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Hackers - quem são?HackersHackers -- quem são?quem são?
Perfis e Objetivos
Estudiosos
Curiosos
Concorrentes
Funcionários
Fraudadores
Especuladores
Sabotadores
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Hackers - quem são?HackersHackers -- quem são?quem são?
Hacker Ético ou Especialista em Segurança da Informação
Muito diferente dos demais, que comumente têm desvios de 
conduta, estes são profissionais especializados com profundos 
conhecimentos técnicos e ainda com uma sólida visão dos macro 
problemas de segurança. Para este profissional, a ética é fator 
essencial. 
IMPORTANTE
O termo Hacker Ético está caindo em desuso por criar confusão. 
Esta confusão acaba incentivando a admissão de verdadeiros 
Hackers (com desvios de conduta) para incorporar erroneamente 
equipes de segurança que irão estar em contato com os segredos 
e vulnerabilidades dos clientes. 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Macro Solução de SegurançaMacro SoluMacro Soluçção de Seguranão de Seguranççaa
SituaSituaçção ão 
atualatual
AnAnááliselise
PolPolííticatica
ImplementaImplementaççãoão
AdministraAdministraççãoão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Solução Corporativa de Segurança da InformaçãoSoluSoluçção Corporativa de Seguranão Corporativa de Segurançça da Informaa da Informaççãoão
Autenticação e AutorizaçãoAutenticação e Autorização
Combate a Ataques e InvasõesCombate a Ataques e Invasões
Segurança em Comunicação
e Privacidade
Segurança em Comunicação
e Privacidade
Políticade SegurançaPolítica de Segurança
Internet
Cliente Acesso à
Internet
Web Site Servidor
Rede
Interna
AuditoriaAuditoriaAnálise de RiscosAnálise de Riscos
Segurança FísicaSegurança Física
Plano de ContingênciaPlano de Contingência
Teste de InvasãoTeste de Invasão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Análise de RiscosAnAnáálise de Riscoslise de Riscos
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Análise de Riscos
SoluSoluçções de Seguranões de Seguranççaa
AnAnáálise de Riscoslise de Riscos
Entrevistas
Necessidades de uso dos recursos 
Cultura da empresa 
Cultura atual de segurança
Práticas de segurança adotadas
Relacionamento do usuário com a informação
Processos críticos
...
Le
va
nt
am
en
to
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Análise de Riscos
SoluSoluçções de Seguranões de Seguranççaa
AnAnáálise de Riscoslise de Riscos
Le
va
nt
am
en
to
Análise de ambiente físico
Conhecer os aspectos da segurança física
Exposição do ambiente quanto à
vulnerabilidades
Incêndio
Instalações elétricas
Condições climáticas
Controle de acesso físico nos ambientes críticos
Adequação da infra-estrutura
...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Análise de Riscos
SoluSoluçções de Seguranões de Seguranççaa
AnAnáálise de Riscoslise de Riscos
Análise de documentos
Padronização adotada
Especificações técnicas
Qualidade total/ISO
Políticas corporativas 
Regras para configuração de ambientes
...
Le
va
nt
am
en
to
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Análise de Riscos
SoluSoluçções de Seguranões de Seguranççaa
AnAnáálise de Riscoslise de Riscos
Le
va
nt
am
en
to
Análise de ambiente informatizado
Estação de trabalho
Servidor
Firewall
Proxy
Roteador
Switch
...
Pode ser apoiada por softwares tipo scanner 
que varrem a rede à procura de 
vulnerabilidades, mas que não substituem 
completamente a análise humana presencial.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Segurança FísicaSeguranSegurançça Fa Fíísicasica
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Física
SoluSoluçções de Seguranões de Seguranççaa
FFíísicasica
Manter o controle do ambiente físico e ainda garantir as 
condições ideais para a manipulação das informações.
Climatização da sala dos servidores
Sala cofre
Infra-estrutura de combate à incêndios
Infra-estrutura elétrica
Infra-estrutura de telecomunicações
Cabeamento de rede
Topologia da rede
Dispositivos de acesso físico
Controle de mídias e equipamentos
...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Física
SoluSoluçções de Seguranões de Seguranççaa
FFíísicasica
1 - Entrada do edifício
2 - Sala dos equipamentos
3 - Cabeamento Backbone
4 - Armário de Telecomunicaçõ
5 - Cabeamento Horizontal
6 - Área de Trabalho
Cabeamento Estruturado
TIA/EIA 568-A
1
2
3
45
6
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Autenticação e AutorizaçãoAutenticaAutenticaçção e Autorizaão e Autorizaççãoão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autenticação
SoluSoluçções de Seguranões de Seguranççaa
AutenticaAutenticaççãoão
Processo de verificação da identidade e autenticidade de 
usuários e máquinas, permitindo a associação com seus perfis de 
acesso. 
A autenticação de usuários acontece através de uma senha ou 
outros dispositivos. Quanto é realizada entre máquinas, o diálogo 
entre elas comumente ocorre com base em algoritmos 
criptográficos.
Os processos de autenticação podem ser classificados como 
fortes ou fracos e o nível de segurança pode variar em função 
das possíveis combinações.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autenticação
SoluSoluçções de Seguranões de Seguranççaa
AutenticaAutenticaççãoão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autenticação
SoluSoluçções de Seguranões de Seguranççaa
AutenticaAutenticaççãoão
O que você sabe
Senha: Sequência de caracteres - números, letras e caracteres 
especiais - que permitem acesso à determinado sistema e ou 
serviço.
Fraca: palavras conhecidas, informações do mundo real e de 
pequeno tamanho (entre 4 e 6 posições).
Forte: mix entre letras maiúsculas e minúsculas, números e 
caracteres especiais (&*^%$#@!), com tamanho entre 6 e 8 
posições.
IMPORTANTE (Classificação Acadêmica e Prática)
Esta classificação está intimamente associada à: o que 
se quer proteger, contra quem se quer proteger e por 
quanto tempo se quer proteger.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autenticação
SoluSoluçções de Seguranões de Seguranççaa
AutenticaAutenticaççãoão
Dicas: 
construa uma frase de fácil memorização com 8 palavras e 
forme a senha reunindo as iniciais destas palavras. 
Exemplo: Dia 26, faço 31 anos de vida = D2,f3adv
não adotar a mesma senha para serviços distintos
com base na criticidade (valor e volatilidade) das informações 
que ela irá proteger, defina:
a complexidade (tamanho e construção) da senha 
a periodicidade de troca de senha
a proibição de senhas usadas anteriormente
a troca de senhas geradas automaticamente pelo sistema
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autenticação
SoluSoluçções de Seguranões de Seguranççaa
AutenticaAutenticaççãoão
O que você tem
Smartcard: cartão inteligente com microprocessador que 
armazena informações.
Estes dispositivos têm 
evoluído muito. Já podem ser 
lidos por drives de disquete 
tradicionais + software, ou 
ainda, por placas PCMCIA 
especiais.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autenticação
SoluSoluçções de Seguranões de Seguranççaa
AutenticaAutenticaççãoão
O que você é
Biometria: técnica que utiliza características biológicas do usuário 
para identificá-lo.
Impressão digital
Voz
Geometria da face
Geometria das mãos
Reconhecimento de íris
O custo ainda é o maior 
obstáculo para sua disseminação
26 pontos
250 pontos
www.msolucao.com.br//loja
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autenticação
SoluSoluçções de Seguranões de Seguranççaa
AutenticaAutenticaççãoão
O que você sabe + O que você tem
Smartcard + Senha: Objetivando elevar ainda mais o nível de 
segurança, associa-se ao Smartcard ao uso de senhas de acesso, 
portanto, somando as características de ambas as soluções de 
autenticação.
+ Senha
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autenticação
SoluSoluçções de Seguranões de Seguranççaa
AutenticaAutenticaççãoão
O que você sabe + O que você tem
Token: Dispositivo similar à um cartão, sincronizado com um 
sistema central, que gera senhas válidas à cada curto intervalo de 
tempo (exemplo: 60 segundos).
Semente
Bateria
Display
Relógio
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Autorização 
SoluSoluçções de Seguranões de Seguranççaa
AutorizaAutorizaçção ão 
O que você pode
Vivemos um momento de conectividade e compartilhamento de 
informações, contudo, é preciso saber definir as permissões de 
acesso.
Classificar as informações, definir regras de leitura e escrita, e 
segmentar as redes e áreas de acesso aos sistemas, são ações 
importantes para elevar a eficiência de rastreabilidade e 
consequentemente o nível de segurança.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Combate a ataques e
invasões
Combate a ataques eCombate a ataques e
invasõesinvasões
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Combate a ataques e invasões 
SoluSoluçções de Seguranões de Seguranççaa
Combate a ataques e invasões Combate a ataques e invasões 
Estar conectado é estar suscetível à ataques e invasões
(internos e externos), portanto, é preciso implementar recursos 
de software e hardware que segmentem a rede e reajam ou 
sinalizem situações e comportamentos suspeitos.
Switch
Roteador com filtro
Firewall
IDS - Intrusion DetectionSystem
...
“Metáfora porteiros”
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Combate a ataques e invasões
SoluSoluçções de Seguranões de Seguranççaa
Combate a ataques e invasõesCombate a ataques e invasões
SwitchSwitch
Hardware destinado à interconexão de redes de computadores, 
cuja função é segmentar redes locais em diferentes grupos 
físicos, garantindo a distribuição de banda passante entre os 
usuários e reduzindo sensivelmente as ameaças provocadas pela 
técnica de Sniffer.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Combate a ataques e invasões 
SoluSoluçções de Seguranões de Seguranççaa
Combate a ataques e invasões Combate a ataques e invasões 
Roteador com filtroRoteador com filtro
Hardware destinado à interconexão de redes de computadores, cuja função é
definir as rotas que os pacotes de dados deverão seguir.
Muitos roteadores já implementam filtros (firewall), que analisam os 
pacotes que chegam à rede interna baseando-se no protocolo, na porta de 
conexão e nos endereços origem e destino e comparando com perfis suspeitos 
previamente definidos, liberando-os ou não.
Webserver
Workstations
Internet X
Roteador
Hacker
X
Firewall
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Combate a ataques e invasões 
SoluSoluçções de Seguranões de Seguranççaa
Combate a ataques e invasões Combate a ataques e invasões 
FirewallFirewall
Software ou hardware destinado à proteção da rede interna de 
acessos externos indevidos. 
Implementa regras de filtragem e analisa os pacotes de dados 
que chegam à rede interna, liberando-os ou não. Dependendo da 
topologia, pode-se empregar mais de um, segregando melhor o 
ambiente.
Webserver
Workstations
Internet X
Roteador
Hacker
X
Firewall
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Combate a ataques e invasões 
SoluSoluçções de Seguranões de Seguranççaa
Combate a ataques e invasões Combate a ataques e invasões 
FirewallFirewall
Interface gráfica amigável para configuração e criação de regras
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Combate a ataques e invasões
SoluSoluçções de Seguranões de Seguranççaa
Combate a ataques e invasõesCombate a ataques e invasões
IDS IDS -- IntrusionIntrusion DetectionDetection SystemSystem
Software complementar ao Firewall, destinado à proteção da 
rede interna de acessos externos indevidos.
Implementa regras de filtragem e analisa profundamente o 
conteúdo dos pacotes de dados que chegam à rede interna e os 
compara com situações suspeitas (assinaturas de ataque) 
previamente inseridas no banco de dados do software, 
liberando-os ou não.
IDS
Workstations
Internet X
Roteador
Hacker
X
Firewall
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Segurança na Comunicação e 
Privacidade
SeguranSegurançça na Comunicaa na Comunicaçção e ão e 
PrivacidadePrivacidade
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
CriptografiaCriptografia
Ciência que estuda os princípios, meios e métodos para tornar 
ininteligíveis as informações através de um processo de 
cifração, e para restaurar informações cifradas para sua forma 
original (inteligível) através de um processo de decifração.
É largamente aplicada na comunicação de dados e se utiliza de 
algoritmos criptográficos que podem variar de acordo com a 
complexidade, eficiência e performance.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
CriptografiaCriptografia
TEXTO COMUM
PROGRAMA DE
CRIPTOGRAFIA TEXTOCRIPTOGRAFADO
PROGRAMA DE
CRIPTOGRAFIA TEXTO COMUM
1
O usuário prepara
o documento
2
Um programa
de criptografia
é utilizado para
mascarar o
conteúdo
3
O conteúdo do
texto fica
mascarado 
4
Um programa
de criptografia
é utilizado para
desmascarar o
conteúdo
5
O conteúdo do
texto fica
desmascarado 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
Criptografia Criptografia -- Simétrica ou de chave privada
Técnica que utiliza uma única senha secreta para criptografar as 
informações. Tem ótima performance, porém, possui um ponto 
extremamente vulnerável: o momento de enviar a chave privada 
para o outro interlocutor.
Criptografa Decriptografa
msg
A B
C (msg) msg
A mesma chave compartilhada por A e B
Comumente a chave privada acaba sendo trocada através 
de meios inseguros: telefone, fax, email etc...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidadeão e Privacidade
Criptografia Criptografia -- Simétrica ou de chave privada
O tamanho da chave é muito importante, pois revela o número de chaves 
possíveis. Exemplo: chave de 40 bits = 240 chaves possíveis.
Algoritmo de chave simétrica (chave de 56 bits) muito utilizado é o DES 
(Data Encryption Standard), criado em 1977.
Outros algoritmos simétricos: 3DES, Blowfish, RC2, RC4
Um chip FPGA (US$ 400,00) consegue quebrar chaves de 40 bits em 5 
horas, mas demora 38 anos para quebrar uma chave de 56 bits, como a usada 
pelo DES. 22 horas foi o tempo gasto para se quebrar o DES em um esforço 
conjunto via Internet. (Fonte: Módulo/1999)
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidadeão e Privacidade
Criptografia Criptografia -- Assimétrica ou de chave pública
Técnica que utiliza um par de chaves matematicamente relacionadas (uma 
pública e outra privada para cada interlocutor) para criptografar as 
informações. Tem baixa performance (100 à 1000 vezes mais lento que a 
simétrica), porém, possui nível mais alto de segurança, pois elimina a 
vulnerabilidade da técnica simétrica.
Criptografa Decriptografa
msg
A B
C (msg) msg
Nesta técnica A e B possuem duas chaves distintas cada um. Uma 
pública e outra privada (que deve estar protegida).
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
Criptografia Criptografia -- Assimétrica ou de chave pública
As chaves pública e privada são matematicamente 
relacionadas, de forma que o que é criptografado com uma delas 
só pode ser decriptografado com a outra. 
As chaves públicas comumente estão disponíveis no próprio site 
da entidade certificadora que o emitiu, mas ainda pode ser 
enviada diretamente ao interlocutor mesmo por meios inseguros. 
Uma implementação comercial do sistema de chave pública 
bastante conhecida é o RSA, criado por Rivest, Shamir e 
Adleman do M.I.T.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidadeão e Privacidade
Criptografia Criptografia 
Função HASH: algoritmo que gera uma string de tamanho fixo
a partir de uma mensagem de qualquer tamanho. 
Dificilmente duas mensagens diferentes gerarão o mesmo 
HASH, portanto, para verificar sua integridade, basta compará-
los. Se houver alguma alteração - por menor que seja - os 
resultados do algoritmo serão muito diferentes.
Assinatura Digital: resultado da utilização de uma chave privada 
ao assinar digitalmenteum documento, o que garante sua 
autenticidade, afinal, somente uma pessoa possui esta chave.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
Criptografia Criptografia -- SimSiméétrica + Assimtrica + Assiméétricatrica
Combinando-se as duas técnicas de criptografia, simétrica 
para criptografar a mensagem e assimétrica para criptografar
somente a chave privada, consegue-se maior segurança sem 
comprometer a performance do processo de cifragem.
Criptografa Decriptografa
msg
A B
C (msg)
msg
C ( )
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
Criptografia Criptografia -- Certificado DigitalCertificado Digital
Este é o certificado que fora 
emitido pela entidade 
certificadora, e que em função da 
política de emissão vigente, tem 
validade definida em 1 ano.
A chave privada está guardada 
no computador e corresponde a 
este certificado.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
Criptografia Criptografia -- Certificado Digital no Certificado Digital no AddressAddress bookbook
No Address book é
possível armazenar as 
chaves públicas dos 
seus interlocutores.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
Criptografia Criptografia -- Certificado DigitalCertificado Digital
É sua a opção de 
assinar 
digitalmente o 
email
A criptografia 
depende da chave 
pública do 
destinatário
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
VPN VPN -- Virtual Virtual PrivatePrivate NetworkNetwork
Hardware e software que implementa proteção na comunicação utilizando 
criptografia. Viabiliza o uso comercial da Internet como canal de 
comunicação, criando um “túnel” seguro por onde podem trafegar 
informações entre dois pontos definidos.
VIRTUAL PRIVATE NETWORK
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
VPN VPN -- Virtual Virtual PrivatePrivate NetworkNetwork
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
CriptografiaCriptografia
O gerenciamento de chaves é a questão mais difícil da 
criptografia, pois eventualmente tem que ser revogadas, 
reemitidas, protegidas e ainda disponibilizadas. 
Comumente os ataques não visam a quebra da criptografia, mas 
descobrir chaves que não estejam adequadamente protegidas.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
PKI PKI -- PublicPublic KeyKey InfrastrutureInfrastruture
PKI não é uma aplicação. É uma infra-estrutura usada para habilitar 
aplicações que necessitam de um alto nível de segurança.
PKI representa uma nova infra-estrutura segura para ambientes 
tecnológicos, garantindo a integridade e confidencialidade das informações 
através da gestão de chaves públicas e privadas.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidadeão e Privacidade
PKI PKI -- PublicPublic KeyKey InfrastrutureInfrastruture
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Segurança na Comunicação e Privacidade 
SoluSoluçções de Seguranões de Seguranççaa
SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade 
PKI PKI -- PublicPublic KeyKey InfrastrutureInfrastruture
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Política de SegurançaPolPolíítica de Segurantica de Seguranççaa
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Política de Segurança 
SoluSoluçções de Seguranões de Seguranççaa
PolPolíítica de Segurantica de Segurançça a 
Pa
dr
on
iz
aç
ão
A
co
m
pa
nh
am
en
to
ESTRATÉGICO
TÁTICO
OPERACIONAL
APOIO
Diretrizes
Normas
Procedimentos e Instruções
A
dm
in
is
tra
çã
o
C
ul
tu
ra
R
ec
ur
so
s
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Política de Segurança – exemplos de normas
SoluSoluçções de Seguranões de Seguranççaa
PolPolíítica de Segurantica de Segurançça a –– exemplos de normasexemplos de normas
Critérios de proteção física 
Segmentação de responsabilidades, funções e departamentos 
Direitos, permissões e rotinas de desligamento de RH 
Relacionamento com recursos terceirizados
Classificação de informações 
Gerenciamento de redes e comunicação de dados
Configuração dos dispositivos de segurança
Uso da Internet
Uso do Correio Eletrônico
Uso de Sistemas 
Uso de Acesso Remoto
Uso de modems em estações de rede 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Política de Segurança – exemplos de normas 
SoluSoluçções de Seguranões de Seguranççaa
PolPolíítica de Segurantica de Segurançça a –– exemplos de normas exemplos de normas 
Trilhas de auditoria e log de eventos
Criação e manutenção de senhas
Desenvolvimento e manutenção de sistemas
Cópias de Segurança - Backup 
Rotinas de atualização de sistemas
Política de Treinamento de usuários e técnicos
Manuseio, transporte, armazenamento e descarte de informações
Fragmentação de material descartado
Plano de Contingência
Aspectos legais
Termo de Sigilo
... 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
AuditoriaAuditoriaAuditoria
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Auditoria
SoluSoluçções de Seguranões de Seguranççaa
AuditoriaAuditoria
Medir os resultados das ações avaliando o atingimento das metas.
Policy Enforcement
Por exemplo: Soluções de software que apoiam a adesão a 
Política de Segurança, seguindo critérios personalizados e 
iniciando ações automaticamente.
uso do email (ex.: volume de arquivos anexados)
uso da web (ex.: acesso a sites “proibidos”)
uso de modem em estações de redes
proteção contra contaminação de trojan horse
Single Logon - Logon único em diversos ambientes
autenticação por smartcard/biométrica
...
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Auditoria 
SoluSoluçções de Seguranões de Seguranççaa
Auditoria Auditoria 
Valiosas informações que revelam o estado do ambiente, 
tentativas de ataque e o comportamento dos usuários no uso 
dos recursos, estão nos diversos arquivos de LOG gerados e 
normalmente ignorados.
Viabiliza a pró-atividade na detecção de:
gargalos de performance
sobrecargas da infra-estrutura
queda de produtividade
mau uso de recursos tecnológicos 
infração das regras de negócio 
antecipação de investimentos 
descumprimento da política de segurança
tentativas de ataque e invasão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Teste de InvasãoTeste de InvasãoTeste de Invasão
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Teste de Invasão
SoluSoluçções deSeguranões de Seguranççaa
Teste de InvasãoTeste de Invasão
Recurso utilizado para por à prova um ou mais ambientes.
Trata-se de uma ação controlada e previamente especificada:
Objetivos 
Alvos
Prazos 
Técnicas 
Ferramentas
Tem como principal objetivo, simular situações de tentativa 
de invasão e acesso indevido à informação, utilizando os 
métodos mais próximos à realizada, praticados por hackers, 
crackers e qualquer ameaça que coloque em risco a informação. 
Interno cego
Interno não cego
Externo cego
Externo não cego
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Plano de ContingênciaPlano de ContingênciaPlano de Contingência
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Garantir a continuidade de processos e informações vitais à
sobrevivência do negócio, no menor espaço de tempo possível, 
com o objetivo de minimizar os impactos do desastre.
O Plano de Contingência tem que se preocupar com a 
continuidade do negócio.
Estratégia de Contingência
Planos de Contingência
Plano de Retorno
Testes e Manutenção
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Evento Retorno
Contingência
Operação
Normal
Operação
Normal
Recuperação
Estratégias de 
Contingência Planos de 
Contingência
Planos de 
Retorno
Testes
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Estratégias
Hot-Site
Warm-Site
Realocação da Operação
Bureau de Serviços 
Acordo de Reciprocidade
Cold-Site
Auto-Suficiência
Processos e InformaProcessos e Informaççõesões
InfraInfra--estruturaestrutura
SistemasSistemas
Planos de ContingênciaPlanos de Contingência
NEGNEGÓÓCIOCIO
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Estratégias
Hot-Site
local alternativo totalmente equipado, pronto para ser utilizado em caso de 
necessidade. Por ser a mais completa alternativa é também a mais cara.
Warm-Site
local alternativo parcialmente equipado. Usualmente este tipo de site possui 
pronto e em condições de uso os equipamentos referentes a operação das 
atividades críticas de primeira hora e uma infra-estrutura mínima.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Estratégias
Realocação da Operação
alternativa quando a mesma operação é realizada em alguma outra Unidade 
da Organização ou quando os recursos necessários são encontrados em 
outra Unidade organizacional (com a devida folga de capacidade)
Bureaux de Serviços
o uso de bureau de serviços é limitado ao processamento de serviços do 
tipo batch e que tenham suas entradas de dados baseadas em documentos.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Estratégias
Acordo de Reciprocidade
alternativa que consiste de um acordo entre duas organizações de porte 
similar e demandas técnicas semelhantes para uso de instalações e 
equipamentos em comum.
Cold-Site
local alternativo sem recursos de processamento de dados. Em alguns 
casos o cold-site (ou empty-shell) possui já instalada recursos de 
telecomunicações.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Estratégias
Auto-Suficiência
a Organização não apresenta risco de perda que seja significativo caso ela 
seja impactada por um desastre, assumindo conscientemente o risco
decorrente das possíveis perdas provocadas por um desastre.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Planos de Contingência
Documentos completos onde se definem os responsáveis, 
ações, situações “gatilho” para acionamento da contingência, 
procedimentos e instruções.
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Documentos completos onde se definem os responsáveis, 
ações, procedimentos e instruções para retornar à operação 
normal. 
Podemos encará-lo como o plano de contingência em sentido 
contrário.
Planos de Retorno
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Soluções de Segurança
Plano de Contingência
SoluSoluçções de Seguranões de Seguranççaa
Plano de ContingênciaPlano de Contingência
Testes
Certifica de forma total ou parcial o Plano de Contingência, 
permitindo corrigir eventuais problemas. 
Checklist
Verificação dos itens necessários para o sucesso do plano
Mesa
Simulação em mesa de uma situação de contingência
Paralelo
Acionamento da contingência em ambiente simulado em paralelo
Simulado
Simulação da contingência em ambiente real
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Ambiente tecnicamente + 
seguro
Ambiente tecnicamente + Ambiente tecnicamente + 
seguroseguro
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Ambiente tecnicamente + seguroAmbiente tecnicamente + seguroAmbiente tecnicamente + seguro
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Norma x MetodologiaNorma x MetodologiaNorma x Metodologia
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Norma Européia BS7799Norma EuropNorma Europééia BS7799ia BS7799
A BS7799 cobre as best practices em todas as áreas da segurança
da informação:
01. Política de Segurança da Informação
02. Organização da Segurança
03. Classificação e controle de ativos
04. Segurança aplicada a recursos humanos
05. Segurança física e de ambiente
06. Gerenciamento de operações e comunicações
07. Controle de acesso 
08. Manutenção e desenvolvimento de sistemas
09. Gerenciamento de Continuidade do Negócio
10. Conformidade
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Norma BS7799 para ISO 17799-1Norma BS7799 para ISO 17799Norma BS7799 para ISO 17799--11
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Norma NBR ISO/IEC 17799:2000Norma NBR ISO/IEC 17799:2000Norma NBR ISO/IEC 17799:2000
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Norma ... O que? x Metodologia... 
Como?
Norma ... O que? x Metodologia... Norma ... O que? x Metodologia... 
Como?Como?
Norma (ISO17799)
Aponta o que fazer na administração da segurança da 
informação.
Metodologia (em conformidade com a 
ISO17799)
Aponta como fazer a administração da segurança da 
informação.
Norma + Metodologia = Best
Practice
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
ISO17799 a BS7799ISO17799 a BS7799ISO17799 a BS7799
BS7799:parte 1 = ISO17799:1
Código de Prática (não certificável)
BS7799:parte 2 = Em estudos para norma ISO
Framework de segurança (certificável)
SGSI – Sistema de Gestão de Segurança da Informação
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
ConclusõesConclusõesConclusões
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
ConclusõesConclusõesConclusões
Segurança da Informação é:
é um problema físico, tecnológico e humano 
é um problema cíclico e contínuo
tem que ser tratada com processo corporativo
é a proteção de todos os ativos 
equalitariamente
é a adoção de controles 
é eliminar, administrar e reduzir riscos
é fator crítico de sucesso! 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Modele uma solução completa e personalizada que 
proteja as informações que sustentam o seu negócio.
Modele uma soluModeleuma soluçção completa e personalizada que ão completa e personalizada que 
proteja as informaproteja as informaçções que sustentam o seu negões que sustentam o seu negóócio.cio.
Evite soluções isoladas!Evite soluEvite soluçções isoladas!ões isoladas!
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Referências bibliográficas Referências bibliogrReferências bibliográáficas ficas 
1. NBR/ISO/IEC 17799. Tecnologia da Informação: Código de prática para a 
gestão da segurança da informação. Associação Brasileira de Normas Técnicas 
ABNT, 2002. 56p
2. SEMOLA, Marcos: Gestão de Segurança da Informação – uma visão 
executiva. Editora Campus 2002. 200p.
3. DOU. Decreto nº3.505, que institui Política de Segurança na Administração 
Federal.13 Jun 2000. 
4. DOU. Decreto 3.587. Estabelece a composição de ICP do governo. 5 de 
setembro de 2000. 
5. PARKER, Donn. Fighting Computer Crime: a new framework for 
protecting information. New York: Willey Computer Publishing. 1998. 512p. 
6. GIL, Antonio de Loureiro. Segurança em Informática. 2 ed.. São Paulo: 
Atlas, 1998. 193p. 
7. HUTT, Arthur E. et al. Computer Security Handbook. 3rd Edition. New 
York: John Wiley & Sons, Inc. 1995. 
8. RUSSEL, Deborah e GANGEMI, G.T. Computer Security Basics. 
California, O'Reilly & Associates, Inc. 1991. 441p. 
Professor : Joao Vicente Alvarenga, PMP®, ITIL ®
Referências bibliográficas Referências bibliogrReferências bibliográáficas ficas 
9. KRAUSE TIPON, Handbook of Information Security Management 1999, 
Editora Auerback
10. VALLABHANENI, S.Rao. CISSP Examination Texbooks. Volume 1: 
Theory. 1a. Edição. SRV Professional Publications, Illinois. 2000. 519p. 
11. ISO/IEC JTC 1/SC 27. Glossary of IT Security Terminology. Information
technology - security techniques. 1998. 
12. SECINF. Glossary of Terms: Messaging and Network Security. 
http://secinf.net/info/misc/glossary.html
13. WEBOPEDIA. Security. 
http://webopedia.internet.com/Networks/Security/
14. Schneier, Bruce. Segurança.com – Segredos e mentiras sobre a proteção 
na vida digital. Editora Campus.
15. Coluna eletrônica de Gestão de Segurança da Informação da IDGNow
assinada pelo autor: 
www.idgnow.com.br/idgnow/colunas/firewall/firewall.htm
16. Portal de Segurança da Informação da Módulo Security Solutions, a 
primeira empresa da América Latina certificada BS7799. 
www.modulo.com.br