Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança e Auditoria de Sistemas 1 Segurança e Auditoria de Sistemas Celso Cardoso Neto 1 ª e d iç ã o Segurança e Auditoria de Sistemas 2 DIREÇÃO SUPERIOR Chanceler Joaquim de Oliveira Reitora Marlene Salgado de Oliveira Presidente da Mantenedora Wellington Salgado de Oliveira Pró-Reitor de Planejamento e Finanças Wellington Salgado de Oliveira Pró-Reitor de Organização e Desenvolvimento Jefferson Salgado de Oliveira Pró-Reitor Administrativo Wallace Salgado de Oliveira Pró-Reitora Acadêmica Jaina dos Santos Mello Ferreira Pró-Reitor de Extensão Manuel de Souza Esteves DEPARTAMENTO DE ENSINO A DISTÂNCIA Gerência Nacional do EAD Bruno Mello Ferreira Gestor Acadêmico Diogo Pereira da Silva FICHA TÉCNICA Texto: Revisão Ortográfica: Rafael Dias de Carvalho Moraes Projeto Gráfico e Editoração: Antonia Machado, Eduardo Bordoni, Fabrício Ramos e Victor Narciso Supervisão de Materiais Instrucionais: Antonia Machado Ilustração: Eduardo Bordoni e Fabrício Ramos Capa: Eduardo Bordoni e Fabrício Ramos COORDENAÇÃO GERAL: Departamento de Ensino a Distância Rua Marechal Deodoro 217, Centro, Niterói, RJ, CEP 24020-420 www.universo.edu.br Ficha catalográfica elaborada pela Biblioteca Universo – Campus Niterói Bibliotecária: ELIZABETH FRANCO MARTINS – CRB 7/4990 Informamos que é de única e exclusiva responsabilidade do autor a originalidade desta obra, não se responsabilizando a ASOEC pelo conteúdo do texto formulado. © Departamento de Ensino a Distância - Universidade Salgado de Oliveira Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, arquivada ou transmitida de nenhuma forma ou por nenhum meio sem permissão expressa e por escrito da Associação Salgado de Oliveira de Educação e Cultura, mantenedora da Universidade Salgado de Oliveira (UNIVERSO). http://www.universo.edu.br/ Segurança e Auditoria de Sistemas 3 Palavra da Reitora Acompanhando as necessidades de um mundo cada vez mais complexo, exigente e necessitado de aprendizagem contínua, a Universidade Salgado de Oliveira (UNIVERSO) apresenta a UNIVERSOEAD, que reúne os diferentes segmentos do ensino a distância na universidade. Nosso programa foi desenvolvido segundo as diretrizes do MEC e baseado em experiências do gênero bem-sucedidas mundialmente. São inúmeras as vantagens de se estudar a distância e somente por meio dessa modalidade de ensino são sanadas as dificuldades de tempo e espaço presentes nos dias de hoje. O aluno tem a possibilidade de administrar seu próprio tempo e gerenciar seu estudo de acordo com sua disponibilidade, tornando-se responsável pela própria aprendizagem. O ensino a distância complementa os estudos presenciais à medida que permite que alunos e professores, fisicamente distanciados, possam estar a todo o momento, ligados por ferramentas de interação presentes na Internet através de nossa plataforma. Além disso, nosso material didático foi desenvolvido por professores especializados nessa modalidade de ensino, em que a clareza e objetividade são fundamentais para a perfeita compreensão dos conteúdos. A UNIVERSO tem uma história de sucesso no que diz respeito à educação a distância. Nossa experiência nos remete ao final da década de 80, com o bem- sucedido projeto Novo Saber. Hoje, oferece uma estrutura em constante processo de atualização, ampliando as possibilidades de acesso a cursos de atualização, graduação ou pós-graduação. Reafirmando seu compromisso com a excelência no ensino e compartilhando as novas tendências em educação, a UNIVERSO convida seu alunado a conhecer o programa e usufruir das vantagens que o estudar a distância proporciona. Seja bem-vindo à UNIVERSOEAD! Professora Marlene Salgado de Oliveira Reitora. Segurança e Auditoria de Sistemas 4 Sumário Apresentação da disciplina ...................................................................................... Plano da disciplina ................................................................................................... Unidade 1 – Conceitos de Segurança da Informação ............................................. Unidade 2 – Segurança no Desenvolvimento de Software .................................... Unidade 3 – Técnicas de Auditoria em Sistemas de Informação ........................... Unidade 4 – Política de Segurança .......................................................................... Considerações finais ................................................................................................ Conhecendo o autor ................................................................................................ Referências ............................................................................................................... Segurança e Auditoria de Sistemas 5 Apresentação da Disciplina Essa disciplina complementa os estudos nos cursos da área de informática, sendo que o correto entendimento dos conceitos associados à Segurança e Auditoria de Sistemas vai permitir ao profissional de informática uma melhor compreensão do seu ambiente de trabalho, resultando no desenvolvimento de soluções com maior qualidade e eficiência. Essa disciplina tem por objetivo fazer com que o aluno conheça os aspectos básicos relacionados aos conceitos e princípios da segurança da informação, tanto nos aspectos físico e lógico, quanto no desenvolvimento de software, discutir metodologias, técnicas e métodos que permitam a validação e auditoria desses sistemas e apresentar planos de segurança da informação e os principais tópicos para sua elaboração. Segurança e Auditoria de Sistemas 6 Plano da Disciplina O estudo dessa disciplina baseia-se em um plano que organiza o estudo em diversas unidades didáticas, conforme descrito a seguir. ✓ UNIDADE 1. Conceitos de Segurança da Informação ✓ UNIDADE 2. Segurança no Desenvolvimento de Software ✓ UNIDADE 3. Técnicas de Auditoria em Sistemas de Informação ✓ UNIDADE 4. Política de Segurança Segurança e Auditoria de Sistemas 7 Conceitos de Segurança da Informação 1 Segurança e Auditoria de Sistemas 8 Nesta unidade, veremos os conceitos básicos de auditoria, os aspectos relacionados à auditoria de sistemas na área de Sistemas de Informação, os conceitos de auditoria interna e externa, finalizando pelos tipos de auditoria. Objetivos da unidade: Compreender os fundamentos e conceitos sobre auditoria, com enfoque na área de Sistemas de Informação, detalhando a auditoria interna e externa e os tipos de auditoria. Plano da unidade: 1.1 Conceitos básicos de auditoria 1.2 Auditoria de sistemas e a área de Sistemas de Informação 1.3 Auditoria Interna e Externa 1.4 Tipos de auditoria Bons estudos! Segurança e Auditoria de Sistemas 9 Conceitos básicos de Auditoria A evolução no mundo dos negócios tem exigido que os números contábeis das empresas estejam em conformidade com os melhores padrões internacionais, registrando os valores reais dos ativos, dos passivos e do patrimônio. Nesse contexto, a auditoria contábil se reveste de elevada importância, sendo um processo essencial para empresas de todos os segmentos, pois verifica a precisão dos registros contábeis. No bojo da auditoria, a palavra informação assume papel de destaque, podendo ser definida como um conjunto de dados tratados e organizados de tal modo que tragam algum significado ou sentido dentro de um dado contexto. A figura 1 abaixo ilustra o fluxo da informação em uma organização. Figura 1: Ciclo de Vida da Informação Fonte: LYRA, M. R. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Ciência Moderna, 2008, p.9 (adaptado) A informaçãoé elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor. Associada à informação estão os termos sistemas de informação e tecnologia da informação. Sistemas da Informação (SI) pode ser entendido como o modelo automatizado ou manual, de processos responsáveis por coletar e transmitir dados que sejam úteis ao desenvolvimento de produtos ou serviços das empresas, organizações e de demais projetos. Segurança e Auditoria de Sistemas 10 Tecnologia da Informação (TI) é a área que emprega a computação como um meio para produzir, transmitir, armazenar e utilizar as informações. A tecnologia é empregada para executar o tratamento da informação, auxiliando quem usa a alcançar um determinado objetivo. A TI pode ser dividida de acordo com as seguintes áreas: • Hardware e seus componentes; • Software e seus meios; • Sistemas de telecomunicações; • Gestão de informações e de dados. Atualmente, estamos vivenciando a era da informação e a potencialidade das novas tecnologias é inegável. É fato que as instituições estão se tornando cada vez mais e mais dependentes dos sistemas de informação. Em contrapartida, os clientes estão mais preocupados com o uso adequado das informações, particularmente com a privacidade dos seus dados pessoais. Neste contexto, como base da vantagem competitiva, a informação vem sofrendo ameaças que aumentam a cada dia, sendo vital garantir sua segurança. A palavra informação é definida como um conjunto de dados tratados e organizados de tal maneira que tragam algum significado ou sentido dentro de um dado contexto. A partir desse conceito, busca-se a definição de segurança da informação, podendo-se caracterizá-la como a aplicação adequada de dispositivos de proteção sobre um ativo ou um conjunto de ativos, com o objetivo de preservar o valor que este possui para as organizações, buscando-se preservar a confidencialidade, a integridade e a disponibilidade (CID), não estando restritos somente a sistemas ou aplicativos, mas também às informações armazenadas ou veiculadas tanto no meio eletrônico ou como em papel. A informação é um ativo e um bem de grande valor para os processos de negócio das empresas, não esquecendo também da tecnologia, do meio que a suporta, que a mantém e que possibilita a sua existência, que permite às pessoas que a manipulam e o ambiente onde ela está inserida. Segundo Lyra, a segurança da informação possui diversos aspectos importantes, com destaque para: • Confidencialidade - associada à ideia da capacidade de um sistema de permitir que alguns usuários acessem determinadas informações, ao mesmo tempo em que impede que outros, não autorizados, a vejam. Esse princípio é respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso à Segurança e Auditoria de Sistemas 11 informação. • Integridade – associada à ideia de que a informação deve estar correta, ser verdadeira e não estar corrompida. Esse princípio é respeitado quando a informação acessada está completa, sem alterações e, portanto, confiável. • Disponibilidade – associada à ideia de que a informação deve estar disponível para todos que precisarem dela para a realização dos objetivos empresariais. Esse princípio é respeitado quando a informação está acessível, por pessoas autorizadas, sempre que necessário. • Autenticação – associada à ideia da garantia que um usuário é de fato quem alega ser. • Não-repúdio – associada à ideia da capacidade de um sistema de provar que um usuário executou uma determinada ação. • Legalidade - associada à ideia da garantia que o sistema esteja aderente à legislação pertinente. • Privacidade - associada à ideia da capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações, como no caso no sistema de voto eletrônico. • Auditoria - associada à ideia da capacidade de um sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque. A segurança da informação é garantida pela preservação de três aspectos essenciais: confidencialidade, integridade e disponibilidade, de acordo com o triângulo CID da figura 2. Segurança e Auditoria de Sistemas 12 Figura 2: Triângulo CDI Fonte: HINTZBERGEN, J., HINTZBERGEN, K., SMULDERS, A. e BAARS, H. Fundamentos de Segurança da Informação, com base na ISO27001 e na IS27002, Rio de Janeiro: Brasport, 2018 (adaptado) ISBN 9788574528670, Disponível em http://universo.bv3.digitalpages.com.br/users/publications/9788574528670, Acesso em 06/12/2018 No contexto da segurança da informação existem diversos termos de interesse, conceituados a seguir: (I) Incidente de segurança – é a ocorrência de um evento que pode causar interrupções nos processos de negócio, em consequência da violação de algum dos aspectos tratados anteriormente. Cabe ressaltar que outros fatores, do tipo greves, manifestações e relacionados às intempéries da natureza, também podem gerar incidentes, além dos decorrentes da operação incorreta ou ataque ao sistema. (II) Ataque de ocorrência de um incidente de segurança – tipo caracterizado pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor. É uma tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso não autorizado a, ou fazer uso não autorizado de um ativo. (III) Vulnerabilidade dos ativos da informação – são pontos fracos que podem gerar de forma intencional ou não, a indisponibilidade e/ou quebra de confidencialidade ou de integridade. São as fraquezas presentes nos ativos de informação, que podem causar, intencionalmente ou não, a quebra de um ou mais dos três princípios de segurança da informação (confidencialidade, integridade e disponibilidade). http://universo.bv3.digitalpages.com.br/users/publications/9788574528670 Segurança e Auditoria de Sistemas 13 (IV) Ameaça de ocorrência de um incidente de segurança – é um tipo de ataque potencial a um ativo da informação, constituindo-se em um agente externo que, aproveitando-se da vulnerabilidade, pode quebrar um ou mais princípios da segurança da informação. É a causa potencial de um incidente indesejado, que pode resultar em um dado a um sistema em uma organização. (V) Probabilidade de ocorrência de um incidente de segurança – é a chance de uma falha de segurança ocorrer, considerando-se as vulnerabilidades do ativo e as ameaças que venham a explorar essas vulnerabilidades. (VI) Impacto de um incidente de segurança – é medido pelas consequências que possa causar aos processos de negócio suportados pelo ativo da informação. (VII) Análise de riscos – é definida como um processo para empreender a natureza do risco a fim de determinar o seu nível. Uma análise de riscos propicia a base para a estimativa do risco e para as decisões sobre o tratamento do risco. A análise de riscos inclui a estimativa do risco. (VIII)Risco - é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que demandam por investimentos em segurança da informação. Mais informações sobre as definições e conceitos de segurança podem ser encontradas no livro HINTZBERGEN, J., HINTZBERGEN, K., SMULDERS, A. e BAARS, H. Fundamentos de Segurança da Informação, com base na ISO27001 e na IS27002, Rio de Janeiro: Brasport, 2018. A classificação da informação engloba um processo pelo qual é estabelecido o grau de importância das informações frente a seu impacto no negócio suportado. Quanto mais estratégica para o sucesso do negócio, mais importante será. A figura 3 abaixo ilustra a classificação dos ativos da informação. Figura 3: Ativos da Informação Segurança e Auditoria de Sistemas 14 Fonte: LYRA, M. R. (organizador)/ TORRES, F. C. Governança da Segurança da Informação, ISBN: 978-85-920264-1-7, Brasília, 2015, p.10 (adaptado) A figura 4 abaixo ilustra o relacionamento entre os ativos de informação. Figura 4: Relacionamento entre os Ativos de Informação Fonte: LYRA, M. R. (organizador) / TORRES, F. C. Governança da Segurança da Informação, ISBN: 978-85-920264-1-7, Brasília, 2015, p.16 De acordo com LYRA, existem diversas formas de classificar o ativo da informação, devendo estar centrada nos aspectos da confidencialidade, disponibilidade, integridade e autenticidade. ➢ CLASSIFICAÇÃO QUANTO À CONFIDENCIALIDADE (I) NÍVEL 1 – INFORMAÇÃO PÚBLICA ✓ Estão os ativos públicos ou não classificados. ✓ São informações que se forem divulgadas fora da organização, não trarão impactos para o negócio. ✓ A integridade não é vital e o uso é livre. ✓ Exemplos: folder da organização e brochuras. (II) NÍVEL 2 – INFORMAÇÃO INTERNA ✓ Estão os ativos cujo acesso do público externo deve ser evitado, entretanto, caso venham a se tornar públicos, as consequências não são críticas. ✓ Exemplos: lista de telefones e ramais, agendas dos executivos. Segurança e Auditoria de Sistemas 15 (III) NÍVEL 3 – INFORMAÇÃO CONFIDENCIAL ✓ Estão os ativos de acesso restrito dentro da organização e protegidos do acesso externo. ✓ A integridade é vital. ✓ O acesso não autorizado destas informações pode comprometer as operações da organização e causar prejuízos financeiros. ✓ Exemplos: dados de clientes, senhas de acesso, informações sobre vulnerabilidades da organização. (IV) NÍVEL 4 – INFORMAÇÃO SECRETA ✓ O acesso interno e externo a essas informações é extremamente crítico para a organização. ✓ A quantidade de pessoas que tem acesso a essas informações deve ser muito controlada. ✓ A integridade das informações é vital. ✓ Devem existir restritas para uso dessas informações. ✓ Exemplos: informações de concorrências, contratos confidenciais, informações militares. ➢ CLASSIFICAÇÃO QUANTO À DISPONIBILIDADE (I) NÍVEL 1 – Informações que devem ser recuperadas em minutos (II) NÍVEL 2 – Informações que devem ser recuperadas em horas (III) NÍVEL 3 – Informacções que devem ser recuperadas em dias (IV) NÍVEL 4 – Informações que não são críticas ➢ CLASSIFICAÇÃO QUANTO À INTEGRIDADE ✓ Uma informação errada pode trazer vários transtornos aos processos de trabalho. ✓ Identificar as informações fundamentais ao negócio da organização ajuda a apontar o local correto para direcionar os controles, prevenir, detectar e corrigir a produção de informações sem integridade ou alteração indevida das mesmas. ➢ CLASSIFICAÇÃO QUANTO À AUTENTICIDADE ✓ De acordo com a ISO 17.799, dados e informações destinados ao público externo devem apresentar requisitos de verificação da autenticidade. Segurança e Auditoria de Sistemas 16 ✓ Estabelecer quais são estas informações facilita a identificação dos requisitos de segurança e a definição de processos sistematizados para controlar a autenticidade .de informações e documentos. Cabe ressaltar que uma excelente referência para o tema segurança para a internet é encontrada em Cartilha de Segurança para a Internet publicada pela Cert.br - Disponível em https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf Auditoria de Sistemas e a área de Sistemas de Informação Nos diferentes setores da organização, pode-se considerar que existem quatro principais níveis com sistemas de informação específicos: (I) Sistemas de nível estratégico - nível responsável por ajudar os executivos a criarem estratégias a longo prazo para acompanharem as tendências do ambiente externo no que tange a mercado e consumo, por meio do chamado Sistema de Apoio ao Executivo (SAEx). (II) Sistemas de nível gerencial / nível tático – nível responsável pela produção de relatórios periódicos sobre os procedimentos administrativos dos gerentes médios da organização, por do Sistema de Informações Gerenciais (SIG’s) e do Sistema de Apoio a Decisão (SAD). (III) Sistemas do nível do conhecimento – nível responsável por possibilitar a integração de novas tecnologias e informações a organização, por meio dos Sistemas de Trabalhadores de Conhecimento (STC) e Sistemas de Automação de Escritório (SAE). (IV) Sistemas do nível operacional – nível responsável por fornecer informações de fácil acesso, precisas e atualizadas por meio dos Sistemas de processamento de transações (SPT), que dão suporte aos gerentes operacionais, oferecendo respostas rápidas as questões de rotina da organização. No que âmbito da auditoria e dos sistemas da informação, o planejamento estratégico se reveste de importância capital. É por meio dele, com execução https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf Segurança e Auditoria de Sistemas 17 periódica e cuja finalidade é fazer uma reavaliação crítica da situação atual, que as organizações estabelecem, a nível estratégico, os objetivos para os anos seguintes. Conceitualmente, um planejamento estratégico é realizado em três etapas básicas: (I) DIAGNÓSTICO – aqui a situação atual da organização é analisada criticamente em relação aos objetivos propostos; (II) PROSPECÇÃO – aqui são concebidos os cenários futuros para a organização e estabelecidos novos objetivos estratégicos para os anos futuros; (III) ELABORAÇÃO DE PLANOS – aqui os objetivos estratégicos estabelecidos são desdobrados em planos de ações para cada área de organização (finanças, marketing, vendas, recursos humanos, tecnologia e produção). Auditoria Interna e Externa A auditoria tem por finalidade a revisão ou exame das demonstrações contábeis, como o Balanço Patrimonial, bem como as transações, operações, processos, registros que afetam o patrimônio de uma empresa. Este exame visa proporcionar razoável segurança quanto à posição financeira e patrimonial da empresa no período. A auditoria é um recurso que visa atestar a saúde financeira e fiscal de uma empresa. É por meio desse processo sistemático que a organização e seus investidores confirmam que as demonstrações contábeis, transações, registros e processos estão bem executados e que as normas estão sendo seguidas corretamente. Existem dois tipos de Auditoria, denominados Auditoria Externa e Auditoria Interna, desempenhados de maneiras semelhantes, porém guardando diferenças e objetivos diferentes uma da outra. São tipos de auditoria complementares, mas essenciais para a gestão da organização. Os procedimentos e metodologias utilizados são similares, mas os objetivos e a forma de execução são distintos. ❖ Auditoria Interna ✓ É um tipo de auditoria realizada por profissionais da própria empresa auditada e na maioria dos casos são funcionários da Segurança e Auditoria de Sistemas 18 área contábil, mas que também podem ser de outras áreas dependendo do ramo de atuação da empresa. ✓ O auditor interno pode ter formação multidisciplinar, isto é, não necessariamente precisa ser graduado em ciências contábeis. ✓ Diferente da AUDITORIA EXTERNA, a AUDITORIA INTERNA não procura apenas averiguar e comprovar os dados emitidos nas demonstrações. ✓ Esse tipo de processo não se restringe ao controle financeiro, mas busca fazer uma avaliação sobre os processos e regimentos internos da organização. ✓ Trata-se de um apoio importante para a gerência da empresa, apontando as falhas e pontos fracos na operação e identificando os gaps que podem afetar a produtividade. ✓ Ao final da auditoria interna é entregue à administração um relatório com uma análise sistêmica, apontando as falhas e possíveis riscos que podem afetar sua operação. ✓ O auditor também sugere melhorias para sanar os pontos negativos. Esse profissional ajuda a gerência a tomar decisões mais assertivas,fornecendo informações importantes sobre a real situação da empresa. ✓ A auditoria interna não possui necessariamente uma periodicidade pré-estabelecida. É um processo contínuo que busca a manutenção e a eficiência os processos internos. ❖ Auditoria Externa ✓ A auditoria externa é realizada por empresa terceirizada que emite sua opinião quanto à fidedignidade dos dados apresentados nas demonstrações da empresa auditada, constitui uma análise realizada por uma pessoa de fora da organização, um auditor independente. ✓ Os auditores externos devem ser graduados em ciências contábeis e registrados nos órgãos e institutos que regulam a profissão, como o Conselho Regional de Contabilidade, Instituto dos Auditores Independentes do Brasil (IBRACON) e Comissão de Valores Mobiliários (CVM). ✓ O objetivo da auditoria externa é confirmar a veracidade dos dados fornecidos nas demonstrações da empresa, identificando possíveis falhas que possam impactar nas finanças da organização. Os objetivos aos quais ela atende são principalmente de terceiros, como investidores e instituições bancárias, para atestar a credibilidade da empresa que está sendo auditada. ✓ As sociedades de grande porte (sociedade ou conjunto de sociedades sob controle comum que tiver, no exercício social http://www.ibracon.com.br/ibracon/Portugues/lisDocumentos.php http://www.ibracon.com.br/ibracon/Portugues/lisDocumentos.php http://www.cvm.gov.br/ http://www.cvm.gov.br/ Segurança e Auditoria de Sistemas 19 anterior, ativo total superior a R$ 240.000.000,00 ou receita bruta anual superior a R$ 300.000.000,00) são obrigadas pela Lei 11.638 a terem suas demonstrações financeiras analisadas por auditor independente registrado na CVM. Isso é importante para passar segurança sobre as informações e dados apresentados, principalmente quando a organização possui ações negociadas na bolsa de valores. ✓ É importante que o auditor tenha conhecimento prévio da organização antes da realização da auditoria, com detalhes sobre o funcionamento da mesma, conhecimento sobre os departamentos e suas atividades, além de relatórios de auditorias anteriores. ✓ Ao final do processo o auditor externo deve atestar ou não a credibilidade das demonstrações financeiras, bem como identificar falhas no sistema interno e financeiro da organização. ✓ São apresentadas também sugestões para melhoria dos pontos fracos apontados. ✓ A auditoria externa é realizada periodicamente, com uma frequência pré-estabelecida. Tipos de Auditoria Segundo Lyra, a função da auditoria de sistemas é promover adequação, revisão, avaliação e recomendação para o aprimoramento dos controles internos nos sistemas de informação de uma empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento dos mesmos. A auditoria de sistemas deve atuar em todos os sistemas da empresa, seja no nível operacional, tático e estratégico. De acordo com o COBIT, os objetivos da auditoria de sistemas de informação devem estar pautados na efetividade, eficiência, confidencialidade, integridade, disponibilidade, compliance e confiança. Do exposto acima, do alinhamento das duas definições, pode-se definir como objetivos globais da auditoria de sistemas da informação: (I) INTEGRIDADE ✓ Confiança nas transações processadas pelo sistema. ✓ O sistema garante a consistência das transações. ✓ Os elementos de correção e completude das transações são evidentes. ✓ Os usuários tomam decisões baseadas nas informações sem receio. (II) CONFIDENCIALIDADE ✓ As informações são reveladas somente às pessoas que necessitam conhecê-las. http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2007/lei/l11638.htm http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2007/lei/l11638.htm Segurança e Auditoria de Sistemas 20 (III) PRIVACIDADE ✓ As funções incompatíveis nos sistemas são segregadas. No processo de autorização os usuários enxergam apenas as informações necessárias à execução de suas tarefas. (IV) ACUIDADE ✓ As transações processadas podem ser validadas. ✓ Um módulo de consistência de entrada de dados pode auxiliar na verificação dos dados-fonte, atentando para sua veracidade. ✓ Isso é fundamental para evitar que dados não qualificados sejam alimentados nos sistemas, gerando transações indevidas ou inválidas. (V) DISPONIBILIDADE ✓ O sistema precisa estar disponível para o cumprimento dos objetivos empresariais. ✓ Sua falta pode resultar em perda financeira ou gerar problemas de continuidade do negócio. (VI) AUDITABILIDADE ✓ Os sistemas devem documentar logs operacionais que permitam trilhas de auditoria. (VII) VERSATILIDADE ✓ O sistema deve ser amigável, fácil de se adaptar ao workflow operacional da empresa, utilizar recursos de importação e exportação de dados de forma simples, etc. (VIII) MANUTENIBILIDADE ✓ Políticas e procedimentos operacionais devem contemplar controles quanto a teste, conversão, implantação e documentação de sistemas novos ou modificados. ✓ Quando da manutenção do sistema, os riscos de contaminação dos ambientes de teste e produção devem ser eliminados. ✓ Não há risco de os sistemas virarem colchas de retalhos por falta de uma metodologia apropriada para a manutenção. São tipos de auditoria: (1) AUDITORIA DURANTE O DESENVOLVIMENTO DE SISTEMAS Compreende auditar todo o processo de construção de sistemas de informação, da fase de requisitos até a sua implantação, bem como o próprio processo ou metodologia de desenvolvimento. (2) AUDITORIA DE SISTEMAS EM PRODUÇÃO Preocupa-se com os procedimentos e resultados dos sistemas já implantados, sua segurança, correção e tolerância a falhas. Segurança e Auditoria de Sistemas 21 (3) AUDITORIA NO AMBIENTE TECNOLÓGICO Compreende a análise do ambiente de informática em termos de estrutura organizacional, contratos, normas técnicas, custos, nível de utilização de equipamentos e planos de segurança e de contingência. (4) AUDITORIA EM EVENTOS ESPECÍFICOS Compreende a análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos pelas auditorias anteriores. Podem ser eventos detectados por outros órgãos e entidades externas ou evento específico e localizado. Alguns autores incluem na Auditoria Interna as seguintes modalidades: ➢ Auditoria contábil – está associada ao patrimônio da empresa. Trata- se de uma análise criteriosa para avaliar se o patrimônio da organização está sendo gerido de acordo com os direcionamentos estabelecidos pela própria empresa e também se estão em conformidade com os princípios da contabilidade. Seu objetivo é reduzir os índices de improbidade corporativa. ➢ Auditoria operacional - o objetivo é avaliar o funcionamento da empresa em seu dia a dia, fornecendo um diagnóstico operacional e propondo soluções voltadas para a maior eficiência e economia. O principal objeto a ser avaliado é a relação entre os processos internos da empresa e a utilização de recursos. ➢ Auditoria de sistemas - Grande parte do crescimento, prosperidade e sucesso de grandes empresas nos tempos atuais pode ser atribuído à adoção de softwares de gestão. Atenta a essa nova realidade, a auditoria não poderia deixar de avaliar a eficiência e o desempenho das soluções tecnológicas adotadas pela empresa. O emprego de soluções de Escrituração Contábil Fiscal (ECF), por exemplo, diminui em muito a possibilidade de ocorrência de inconsistências fiscais. ➢ Auditoria de qualidade - A auditoria de qualidade avalia se os produtos ou serviços prestados pela empresa estão de acordo com as diretrizes estabelecidas pela própria companhia. Além disso, verificam se estão em conformidade com normas externas, tais quais as editadas pelas autoridades públicas responsáveis pela vigilância sanitária ou, ainda, normas de padronização internacional, como é o caso da ISO9.000. ➢ Auditoria ambiental - Esse tipo de auditoria se preocupa com o impacto das atividades da empresa no meio ambiente em que se insere. A escolha de fornecedores que poluem menos ou que não http://checklistfacil.com/blog/software-de-gestao-entenda-porque-sua-empresa-precisa-de-um/?utm_source=blog&utm_campaign=rc_blogpost http://checklistfacil.com/blog/4-melhores-praticas-para-seguir-as-regras-da-vigilancia-sanitaria/?utm_source=blog&utm_campaign=rc_blogpost http://checklistfacil.com/blog/4-melhores-praticas-para-seguir-as-regras-da-vigilancia-sanitaria/?utm_source=blog&utm_campaign=rc_blogpost http://checklistfacil.com/blog/3-maneiras-de-melhorar-a-padronizacao-de-servicos-na-sua-empresa/?utm_source=blog&utm_campaign=rc_blogpost http://checklistfacil.com/blog/como-voce-deve-preparar-a-internacionalizacao-da-sua-empresa/?utm_source=blog&utm_campaign=rc_blogpost Segurança e Auditoria de Sistemas 22 promovam testes laboratoriais em animais seriam exemplos de soluções em auditoria ambiental. ➢ Auditoria de gestão - é direcionada aos gestores da organização. O grande objetivo é identificar se os administradores utilizaram os recursos da organização com a maior eficiência, economicidade e eficácia possíveis. Em outras palavras, a auditoria de gestão pretende aferir o desempenho dos gestores e do empreendimento, com o intuito de indicar a adequabilidade da performance alcançada. Já a Auditoria Externa normalmente se vale de auditores independentes, sem vínculo empregatício com a empresa auditada. Assim como na Auditoria Interna, sua função também é a de avaliar os sistemas internos da empresa. Por isso, o ideal é que o auditor externo trabalhe em parceria com o interno. Os tipos de auditoria usados pela Auditoria Externa não são diferentes dos utilizados pelo auditor interno. Assim, a Auditoria Externa também se vale das auditorias contábil, fiscal, operacional, ambiental, etc. O que muda é o foco de cada uma. A Auditoria Externa também funciona como uma consultoria e, portanto, o seu foco é justamente avaliar a confiabilidade dos registros contábeis. Apenas por meio das auditorias é possível saber se existe um hiato entre a teoria e a prática. Além disso, entenderemos o que deve ser feito a fim de os recursos da empresa serem empregados da forma mais eficiente possível, de modo a atingir as metas traçadas. É hora de se avaliar Lembre-se de realizar as atividades desta unidade de estudo. Elas irão ajudá-lo a fixar o conteúdo, além de proporcionar sua autonomia no processo de ensino-aprendizagem. Exercícios – Unidade 1 I – QUESTÕES OBJETIVAS 1. A figura abaixo ilustra o Ciclo de Vida da Informação. Segurança e Auditoria de Sistemas 23 As fases I, II, III, IV, V e VI são denominadas, respectivamente (A) OBTENÇÃO, TRATAMENTO, ARMAZENAMENTO, DISTRIBUIÇÃO, USO e DESCARTE (B) TRATAMENTO, ARMAZENAMENTO, DISTRIBUIÇÃO, USO, DESCARTE e OBTENÇÃO (C) ARMAZENAMENTO, DISTRIBUIÇÃO, USO, DESCARTE, OBTENÇÃO e TRATAMENTO (D) DISTRIBUIÇÃO, USO, DESCARTE, OBTENÇÃO, TRATAMENTO e ARMAZENAMENTO (E) USO, DESCARTE, OBTENÇÃO, TRATAMENTO, ARMAZENAMENTO e DISTRIBUIÇÃO 2. Analise as citações abaixo. (I) modelo automatizado ou manual, de processos responsáveis por coletar e transmitir dados que sejam úteis ao desenvolvimento de produtos ou serviços das empresas, organizações e de demais projetos. (II) área que emprega a computação como um meio para produzir, transmitir, armazenar e utilizar as informações. A tecnologia é empregada para executar o tratamento da informação, auxiliando quem usa a alcançar um determinado objetivo. As citações (I) e (II) estão associadas, respectivamente, aos conceitos de (A) Sistema de Apoio à Decisão (SAD) e Gestão do Conhecimento (GC) (B) Gestão do Conhecimento (GC) e Segurança da Informação (SGI) (C) Segurança da Informação (SGI) e Sistemas da Informação (SI) (D) Sistemas da Informação (SI) e Tecnologia da Informação (TI) Segurança e Auditoria de Sistemas 24 (E) Tecnologia da Informação (TI) e Sistema de Apoio à Decisão (SAD) 3. Com relação à palavra INFORMAÇÃO, assinale V para a afirmativa verdadeira e F para a falsa. ( ) a informação é o conhecimento que se torna público através dos meios de comunicação ou por meio da publicidade. ( ) é um elemento fundamental no mundo dos negócios que tem por característica não interferir no processo de comunicação como um todo. ( ) é a reunião ou o conjunto de dados e conhecimentos organizados, que possam constituir referências sobre um determinado acontecimento, fato ou fenômeno. As afirmativas são, respectivamente, (A) V, V e F (B) V, F e F (C) F, V e V (D) V, F e V (E) F, F e V 4. Observe os fragmentos abaixo, relacionados à segurança da informação. • ___________________ – associada à ideia da capacidade de um sistema de permitir que alguns usuários acessem determinadas informações, ao mesmo tempo em que impede que outros, não autorizados, a vejam. Esse princípio é respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso à informação. • ___________________ – associada à ideia de que a informação deve estar correta, ser verdadeira e não estar corrompida. Esse princípio é respeitado quando a informação acessada está completa, sem alterações e, portanto, confiável. • ___________________ – associada à ideia de que a informação deve estar disponível para todos que precisarem dela para a realização dos objetivos empresariais. Esse princípio é respeitado quando a informação está acessível, por pessoas autorizadas, sempre que necessário. Os termos que completam as lacunas do fragmento acima são, respectivamente: (A) Legalidade, Confidencialidade e Integridade (B) Disponibilidade, Privacidade e Legalidade Segurança e Auditoria de Sistemas 25 (C) Confidencialidade, Integridade e Disponibilidade (D) Privacidade, Legalidade e Confidencialidade (E) Integridade, Disponibilidade e Privacidade 5. A segurança da informação é garantida pela preservação de três aspectos essenciais, ilustrada no triângulo da figura abaixo. Os termos que substituem as palavras ALFA, BETA e GAMA são, respectivamente: (A) PRIVACIDADE, DISPONIBILIDADE e CONFIDENCIALIDADE (B) INTEGRIDADE, AUTENTICIDADE e PRIVACIDADE (C) DISPONIBILIDADE, CONFIDENCIALIDADE e AUTENTICIDADE (D) AUTENTICIDADE, PRIVACIDADE e INTEGRIDADE (E) CONFIDENCIALIDADE, INTEGRIDADE E DISPONIBILIDADE 6. Relacione os termos da área de segurança listados abaixo com as respectivas descrições. a) TERMOS: (1) Incidente de segurança. (2) Ataque de ocorrência de um incidente de segurança. (3) Vulnerabilidade dos ativos da informação (4) Ameaça de ocorrência de um incidente de segurança (5) Probabilidade de ocorrência de um incidente de segurança (6) Impacto de um incidente de segurança (7) Análise de riscos (8) Risco b) DESCRIÇÕES: Segurança e Auditoria de Sistemas 26 ( ) é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que demandam por investimentos em segurança da informação. ( ) é a chance de uma falha de segurança ocorrer, considerando-se as vulnerabilidades do ativo e as ameaças que venham a explorar essas vulnerabilidades. ( ) é um tipo de ataque potencial a um ativo da informação, constituindo-se em um agente externo que, aproveitando-se da vulnerabilidade, pode quebrar um ou mais princípios da segurança da informação. É a causa potencial de um incidente indesejado, que pode resultar em um dado a um sistema em uma organização. ( ) é a ocorrência de um evento que pode causar interrupções nos processos de negócio, em consequência da violação de algum dos aspectos tratados anteriormente. Cabe ressaltar que outros fatores, do tipo greves, manifestações e relacionadosàs intempéries da natureza, também podem gerar incidentes, além dos decorrentes da operação incorreta ou ataque ao sistema. ( ) é definida como um processo para empreender a natureza do risco a fim de determinar o seu nível. Uma análise de riscos propicia a base para a estimativa do risco e para as decisões sobre o tratamento do risco. A análise de riscos inclui a estimativa do risco. ( ) tipo caracterizado pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor. É uma tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso não autorizado a, ou fazer uso não autorizado de um ativo. ( ) é medido pelas consequências que possa causar aos processos de negócio suportados pelo ativo da informação. ( ) são pontos fracos que podem gerar de forma intencional ou não, a indisponibilidade e/ou quebra de confidencialidade ou de integridade. São as fraquezas presentes nos ativos de informação, que podem causar, intencionalmente ou não, a quebra de um ou mais dos três princípios de segurança da informação - confidencialidade, integridade e disponibilidade. Assinale a alternativa que mostra a sequência correta, de cima para baixo. (A) ( 7 ), ( 2 ), ( 6 ), ( 3 ), ( 8 ), ( 5 ), ( 4 ) e ( 1 ) (B) ( 8 ), ( 5 ), ( 4 ), ( 1 ), ( 7 ), ( 2 ), ( 6 ) e ( 3 ) Segurança e Auditoria de Sistemas 27 (C) ( 5 ), ( 4 ), ( 1 ), ( 7 ), ( 2 ), ( 6 ), ( 3 ) e ( 8 ) (D) ( 4 ), ( 1 ), ( 7 ), ( 2 ), ( 6 ), ( 3 ), ( 8 ) e ( 5 ) (E) ( 1 ), ( 7 ), ( 2 ), ( 6 ), ( 3 ), ( 8 ), ( 5 ) e ( 4 ) 7. Relacione o nível de classificação de segurança quanto à confidencialidade, com as respectivas características. a) NÍVEIS: (I) NÍVEL 1 – INFORMAÇÃO PÚBLICA. (II) NÍVEL 2 – INFORMAÇÃO INTERNA. (III) NÍVEL 3 – INFORMAÇÃO CONFIDENCIAL. (IV) NÍVEL 4 – INFORMAÇÃO SECRETA. b) CARACTERÍSTICAS: ( ) Estão os ativos cujo acesso do público externo deve ser evitado, entretanto, caso venham a se tornar públicos, as consequências não são críticas. Exemplos: lista de telefones e ramais, agendas dos executivos. ( ) O acesso interno e externo a essas informações é extremamente crítico para a organização. A quantidade de pessoas que tem acesso a essas informações deve ser muito controlada. A integridade das informações é vital. Devem existir restritas para uso dessas informações. Exemplos: informações de concorrências, contratos confidenciais, informações militares. ( ) Estão os ativos públicos ou não classificados. São informações que se forem divulgadas fora da organização, não trarão impactos para o negócio. A integridade não é vital e o uso é livre. Exemplos: folder da organização e brochuras. ( ) Estão os ativos de acesso restrito dentro da organização e protegidos do acesso externo. A integridade é vital. O acesso não autorizado destas informações pode comprometer as operações da organização e causar prejuízos financeiros. Exemplos: dados de clientes, senhas de acesso, informações sobre vulnerabilidades da organização. Assinale a alternativa que mostra a sequência correta, de cima para baixo. (A) ( II ), ( IV ), ( I ) e ( III ) (B) ( II ), ( I ), ( IV ) e ( III ) (C) ( IV ), ( III ), ( II ) e ( I ) Segurança e Auditoria de Sistemas 28 (D) ( III ), ( IV ), ( I ) e ( II ) (E) ( III ), ( I ), ( IV ) e ( II ) 8. Relacione tipos de auditoria com os respectivos conceitos e abrangências. a) TIPOS DE AUDITORIAS: (I) AUDITORIA EM EVENTOS ESPECÍFICOS (II) AUDITORIA NO AMBIENTE TECNOLÓGICO (III) AUDITORIA DE SISTEMAS EM PRODUÇÃO (IV) AUDITORIA DURANTE O DESENVOLVIMENTO DE SISTEMAS b) CONCEITOS E ABRANGÊNCIAS: ( ) Preocupa-se com os procedimentos e resultados dos sistemas já implantados, sua segurança, correção e tolerância a falhas. ( ) Compreende a análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos pelas auditorias anteriores. Podem ser eventos detectados por outros órgãos e entidades externas ou evento específico e localizado. ( ) Compreende auditar todo o processo de construção de sistemas de informação, da fase de requisitos até a sua implantação, bem como o próprio processo ou metodologia de desenvolvimento. . ( ) Compreende a análise do ambiente de informática em termos de estrutura organizacional, contratos, normas técnicas, custos, nível de utilização de equipamentos e planos de segurança e de contingência. Assinale a alternativa que mostra a sequência correta, de cima para baixo. (A) ( III ), ( IV ), ( I ) e ( II ) (B) ( III ), ( I ), ( IV ) e ( II ) (C) ( II ), ( IV ), ( I ) e ( III ) (D) ( IV ), ( III ), ( I ) e ( II ) (E) ( IV ), ( I ), ( III ) e ( II ) 9. Observe os fragmentos abaixo, relacionados aos quatro principais níveis com sistemas de informação em uma empresa. (I) Sistemas de nível ______________________ – nível responsável por ajudar os executivos a criarem estratégias a longo prazo para acompanharem as tendências do ambiente externo no que tange a mercado e consumo, por meio do chamado Sistema de Apoio ao Executivo (SAEx). Segurança e Auditoria de Sistemas 29 (II) Sistemas de nível ______________________ – nível responsável pela produção de relatórios periódicos sobre os procedimentos administrativos dos gerentes médios da organização, por do Sistema de Informações Gerenciais (SIG’s) e do Sistema de Apoio a Decisão (SAD). (III) Sistemas do nível do CONHECIMENTO – nível responsável por possibilitar a integração de novas tecnologias e informações a organização, por meio dos Sistemas de Trabalhadores de Conhecimento (STC) e Sistemas de Automação de Escritório (SAE). (IV) Sistemas do nível ______________________ – nível responsável por fornecer informações de fácil acesso, precisas e atualizadas por meio dos Sistemas de processamento de transações (SPT), que dão suporte aos gerentes operacionais, oferecendo respostas rápidas as questões de rotina da organização. Os termos que completam as lacunas do fragmento acima são, respectivamente: (A) ESTRATÉGICO, GERENCIAL e OPERACIONAL (B) ESTRATÉGICO, OPERACIONAL e GERENCIAL (C) GERENCIAL, ESTRATÉGICO e OPERACIONAL (D) OPERACIONAL, GERENCIAL e ESTRATÉGICO (E) OPERACIONAL, ESTRATÉGICO e GERENCIAL 10. Observe os fragmentos abaixo. Conceitualmente, um planejamento estratégico é realizado em três etapas básicas (I) ___________________ – aqui a situação atual da organização é analisada criticamente em relação aos objetivos propostos; (II) ___________________ – aqui são concebidos os cenários futuros para a organização e estabelecidos novos objetivos estratégicos para os anos futuros; (III) ___________________ – aqui os objetivos estratégicos estabelecidos são desdobrados em planos de ações para cada área de organização (finanças, marketing, vendas, recursos humanos, tecnologia e produção). Os termos que completam as lacunas do fragmento acima são, respectivamente: (A) DIAGNÓSTICO, PROSPECÇÃO e ELABORAÇÃO DE PLANOS (B) DIAGNÓSTICO, ELABORAÇÃO DE PLANOS e PROSPECÇÃO (C) ELABORAÇÃO DE PLANOS, PROSPECÇÃO e DIAGNÓSTICO (D) PROSPECÇÃO, ELABORAÇÃO DE PLANOS e DIAGNÓSTICO Segurança e Auditoria de Sistemas 30 (E) PROSPECÇÃO, DIAGNÓSTICO e ELABORAÇÃO DE PLANOS II – QUESTÕES DISCURSIVAS 1. No contexto da Auditoria Interna apresente diferencie as modalidades conhecidas por Auditoria Contábil, Auditoria de Sistemas, Auditoria de Qualidade, Auditoria Ambiental e Auditoria de Gestão. Resposta: ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ________________________________________________________________________________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ 2. Explique o conceito de Auditoria Externa. Resposta: ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ Segurança e Auditoria de Sistemas 31 2 Segurança no Desenvolvimento de Software Segurança e Auditoria de Sistemas 32 Nesta unidade, veremos os fundamentos sobre a segurança no desenvolvimento de software, com enfoque nos conceitos básicos sobre a proteção de estações de trabalho, antivírus, firewall pessoal, controle de dispositivos USB, identificação de códigos maliciosos, técnicas como phishing e spam e proteção Web. Objetivos da unidade: Compreender os fundamentos sobre a segurança no desenvolvimento de software. Plano da unidade: 2.1 Proteção de estações de trabalho 2.2 Antivírus, firewall pessoal, controle de dispositivos USB 2.3 Identificação de códigos maliciosos (vírus, worms, adware, trojan, spyware) 2.4 Técnicas como phishing e spam 2.5 Proteção Web: proxy, filtro de conteúdo, proxy reverso, firewall de aplicação Web. Bons estudos! Segurança e Auditoria de Sistemas 33 Proteção de estações de trabalho A proteção de estações de trabalho constitui o primeiro passo no que diz respeito à segurança do ambiente. Na proteção do sistema corporativo, uma boa política de segurança começa pelo computador individual, considerando as tentativas de acesso indesejado que uma rede de computadores sofre no dia a dia. Ao avaliar a segurança de uma estação de trabalho, deve-se considerar: ✓ Um usuário não autorizado não pode acessar fisicamente uma máquina e inicializá-la como um usuário simples ou no modo de recuperação sem uma senha. ✓ A proteção da senha para o BIOS pode impedir que usuários não autorizados tenham acesso físico aos seus sistemas, de inicializar a máquina com mídia removível ou obter privilégios. ✓ Uma senha constitui o principal método para verificar a identidade de usuários. É por isso que a segurança da senha é tão importante para a proteção do usuário, da estação de trabalho e da rede. Senhas devem ser seguras, inclusive seguindo o conceito da Microsoft de senhas fortes, ou seja, formadas por letras maiúsculas, minúsculas e algarismos. Palavras como nomes próprios, palavras de dicionário ou até termos de shows de televisão ou novelas devem ser evitados. Não Use Palavras em Idiomas Estrangeiros — Programas de cracking de senhas frequentemente checam listas de palavras que incluem dicionários de muitos idiomas. Confiar em idiomas estrangeiros para proteger senhas não é seguro. Não Use Informações Pessoais —Se o atacante souber quem você é, ele terá facilidade em descobrir sua senha. Não Anote Sua Senha — Nunca guarde uma senha em papel. É bem mais seguro memorizá-la. São critérios recomendados para criação de senhas fortes: (1) Criar uma senha com no mínimo 8 caracteres. Quanto mais longa a senha, melhor. Se uma pessoa Segurança e Auditoria de Sistemas 34 estiver usando senhas MD5, deve ter 15 ou mais caracteres. Para senhas DES, use o tamanho máximo (8 caracteres). (2) Misturar leras em caixa alta e baixa. Em geral, os sistemas são sensíveis a letras maiúsculas e minúsculas. (3) Misturar letras e números — adicionar números a senhas, especialmente no meio delas (não apenas no começo e fim), pode aumentar a força da senha. (4) Incluir caracteres não alfanuméricos — caracteres especiais como &, $ e > podem aumentar bastante a força de uma senha (obs: critério não é possível se usar senhas DES). (5) Escolher uma Senha que posteriormente possa ser lembrada — A melhor senha do mundo de nada adianta se tempos depois não conseguir lembrá-la. Uma boa regra é usar acrônimos ou outros dispositivos mneumônico para ajudar na memorização das senhas. (6) Maiores informações sobre o tema podem ser encontradas das págs. 59 a 66 em Cartilha de Segurança para a Internet publicada pela Cert.br - Disponível em https://cartilha.cert.br/livro/cartilha- seguranca-internet.pdf ✓ Usuários do sistema que possuam uma conta de acesso devem ser controlados, no sentido de se saber o grau de controle administrativo que eles possuem. ✓ O responsável pelo sistema deve saber os serviços que estão sendo executados no sistema e na rede. ✓ No que diz respeito ao firewall, o administrador deve saber que tipo foi instalado e se o firewall é realmente necessário. ✓ O administrador do sistema e da rede deve ter conhecimento de quais ferramentas estão sendo utilizadas e quais devem ser evitadas. https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf Segurança e Auditoria de Sistemas 35 Antivírus, firewall pessoal, controle de dispositivos USB ➢ Antivírus De acordo com o site https://canaltech.com.br, sempre que se fala em um antivírus para proteger uma máquina contra ameaças virtuais, surgem pessoas com vários argumentos contrários, como os descritos a seguir. • Uns dizem que não usam esse tipo de software, pois navegam com cuidado, não clicam em links sem saber do que se tratam e “não nasceram ontem”. • Outros alegam que antivírus são programas que liberam uma versão gratuita com poucos recursos, para forçar o usuário a pagar por uma assinatura e obter o pacote completo de proteção, sendo contra esse tipo de tática. • Será que dispensar o uso de antivírus é mesmo uma boa ideia, mesmo que se use a internet de maneira consciente? A resposta indica que acreditar que um antivírus não é necessário é um mito, especialmente se o internauta é usuário de Windows. Vulnerabilidades nos sistemas operacionais são exploradas por hackers e crackers a todo momento, e mesmo os usuários mais cautelosos podem cair em golpes bem arquitetados. Apesar de muita gente pensar que somente pessoas ingênuas e inexperientes caem nos golpes envolvendo malwares e phishing, como aqueles que baixam arquivos sem saber do que se tratam, que abrem links de spam que chegam por e-mail, ou que deixam o plugin do Java habilitado no navegador, saibam que essas não são as únicas formas de propagação de arquivos maliciosos. Falhas de segurança nos browsers são exploradas por hackers, e o internauta pode ser prejudicado. Assim que os desenvolvedores dos navegadores identificam falhas, elas costumam ser corrigidas rapidamente, mas, até lá, um leque de usuários já chegou a ser afetado, muitas vezes, sem saber. Em consequência, o computador pode estar infectado somente pelo ato de o internauta visitar um website, mesmo aqueles legítimos e aparentemente seguros. Em sites que exibem publicidade, o canal pode estar vulnerável e ser aproveitado pelos cibernéticos malfeitores. Segurança e Auditoria de Sistemas 36 Disponíveis na internet, existem diversos tipos de antivírus, sendo que muitos não oferecem uma proteção tão ampla e, mesmo instalados e ativos, não protegem o computador de forma integral. Por isso, escolher um antivírus conceituado constitui a melhor saída.Dessa forma, antivírus será capaz de detectar atividades anormais e interromper a ação indesejada, informando ao usuário sobre o que está ocorrendo. Daí que, mesmo que o internauta navegue com cautela, o antivírus funciona como a camada final da proteção, garantindo a proteção lógica da máquina. Alguns internautas argumentam que com a instalação de antivírus, a máquina fica mais lenta. Realmente, alguns antivírus são programas complexos e que pesam no desempenho, acabando por interferir na performance do computador. Além disso, versões gratuitas de alguns na versão “free” são repletas de anúncios e propagandas induzindo o usuário à compra de pacotes adicionais do serviço, o que vem a atrapalhar as rotinas diárias dos usuários. Entretanto, o cenário vem melhorando. Na medida em que os computadores no mercado ficam mais velozes, os antivírus acabam rodando com maior facilidade, além do que a própria Microsoft com o Windows já oferece um antivírus nativo (o Windows Defender), bem mais “leve” do que outros programas para esta plataforma. Para complementar a defesa do ambiente que já vem incorporada ao sistema operacional, o internauta pode instalar somente um programa de defesa contra malwares, complementando a proteção, como ccleaner. Convém destacar que mesmo que o internauta seja um usuário cuidadoso e atento quanto a possíveis ameaças, ele deve contar com um antivírus para proteção de seu ambiente de trabalho, todo cuidado é pouco quando o assunto é segurança na internet, pois nenhum software de proteção é perfeito, não há segurança 100%, existindo muitos malwares que passam despercebidos na varredura por esse tipo de programa. No caso de outros sistemas operacionais como Linux e Mac, embora o índice de contaminação seja bem inferior, sempre é prudente a instalação de um programa antivírus. ➢ Firewall pessoal Uma vez configurados os serviços de rede necessários, é importante implementar um firewall. Firewalls evitam que pacotes de rede acessem a interface de rede do sistema. Se for feito um pedido a uma porta sendo bloqueada pelo firewall, este será ignorado. Se o serviço estiver escutando numa destas portas bloqueadas, não Segurança e Auditoria de Sistemas 37 receberá os pacotes e será efetivamente desabilitado. Por este motivo, deve-se tomar cuidado ao configurar um firewall para bloquear acesso a portas não usadas, para não bloquear acesso a portas usadas por serviços configurados. Maiores informações sobre o tema podem ser encontradas na pág. 57 em Cartilha de Segurança para a Internet publicada pela Cert.br - Disponível em https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf ➢ Controle de dispositivos USB Pendrives apresentam uma grande vantagem, que é o fato de se comportarem como uma partição do computador, permitindo seu o uso do dispositivo do modo que o usuário bem entender, transferindo dados e executando aplicativos. O detalhe é que o uso pode acarretar problemas, sendo possível instalar arquivos maliciosos no dispositivo, danificando o sistema em que ele se conecta enquanto informações importantes podem ser roubadas com extrema facilidade. O site disponível em https://www.tecmundo.com.br/tutorial/25412-como-gerenciar-acessos-a-portas-usb.htm, apresenta um artigo interessante que trata de detalhes sobre o tema “Como gerenciar acessos a portas USB”. Na nuvem do Symantec Endpoint Protection Small Business Edition (SEP SBE), o Controle de dispositivos USB permite que os administradores impeçam a injeção de um código malicioso e o roubo de propriedade intelectual por meio do controle do uso pelo funcionário de dispositivos removíveis de armazenamento USB. Mouses e teclados USB não são afetados pelo Controle de dispositivos USB, pois não fornecem armazenamento de dados. A configuração do Controle de dispositivos USB faz parte de uma nova política ou de uma política existente do Endpoint Protection. As políticas do Endpoint Protection permitem que você imponha os seguintes níveis de segurança sobre os dispositivos de armazenamento USB baseados em grupos. Maiores informações em - disponível em https://support.symantec.com/pt_BR/article.HOWTO98518.html, e em - disponível em http://docs.trendmicro.com/all/smb/wfbs- services/Server/Dell/v5.2/pt/docs/WebHelp/Device_Control.htm, ambos acesso em 30/11/2018 https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf https://www.tecmundo.com.br/tutorial/25412-como-gerenciar-acessos-a-portas-usb.htm https://support.symantec.com/pt_BR/article.HOWTO98518.html http://docs.trendmicro.com/all/smb/wfbs-services/Server/Dell/v5.2/pt/docs/WebHelp/Device_Control.htm http://docs.trendmicro.com/all/smb/wfbs-services/Server/Dell/v5.2/pt/docs/WebHelp/Device_Control.htm Segurança e Auditoria de Sistemas 38 Identificação de códigos maliciosos (vírus, worms, adware, trojan, spyware) ➢ O que são os códigos maliciosos (Malware)? É um tipo de código de computador ou script da Web nocivo que tem como objetivo criar vulnerabilidades no sistema, gerando backdoors, violações de segurança, roubo de dados e informações, além de outros danos possíveis sistemas de arquivos e computadores. É um tipo de ameaça que o software antivírus pode não conseguir bloquear sozinho. Código malicioso ou Malware (Malicious Software) constitui um termo genérico que abrange todos os tipos de programas especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança o termo malware também é conhecido por "software malicioso". Os principais motivos que levam um hacker a desenvolver e a propagar códigos maliciosos são a obtenção de vantagens financeiras, a coleta de informações confidenciais, o desejo de autopromoção e o vandalismo. Além disto, os códigos maliciosos são muitas vezes usados como intermediários e possibilitam a prática de golpes, a realização de ataques e a disseminação de spam. São alguns exemplos de malware são: • vírus - são programas que executam ações não solicitadas e se multiplicam. É um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. • vírus de script – escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou parte do próprio e-mail escrito em formato HTML. Pode ser automaticamente executado, dependendo da configuração do navegador Web e do programa leitor de e-mails do usuário. • vírus de macro - tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem Segurança e Auditoria de Sistemas 39 como, por exemplo, os que compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros). • vírus de telefone celular - se propaga entre celulares por meio da tecnologia bluetooth ou de mensagens MMS. A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga da bateria, além de tentar-se propagar para outros celulares. • worms (vermes) - programa que cria cópias de si mesmo, enviando cópias de si mesmo de computador para computador. Ele pode ser usado para atacar websites, enviar spams, abrir portas para novos worms ou explorar vulnerabilidade. • bots – de acordo com o site - disponível em https://www.techtudo.com.br/noticias/2018/07/o-que- e-bot-conheca-os-robos-que-estao-dominando-a- internet.ghtml - acesso em 30/11/2018, na prática, bots constituem um tipo de programa de computador criado para rodar pela Internet realizando tarefas repetitivas eautomatizadas. Um exemplo simples de como essa tecnologia facilita a vida digital pode ser visto na timeline do Facebook. Se ela não fosse automatizada, para atualizá-la seria preciso que os usuários visitassem cada página, grupo ou amigos para saber das ótimas fotos, notícias e postagens. 0 "robô" que controla o Feed de Notícias faz esse trabalho pelos assinantes. • Backdoors - deixa uma porta aberta no computador para o invasor acessá-lo quando quiser. Chamado de porta dos fundos, ele deixa uma brecha no computador que está sendo espionado, onde o invasor pode entrar na hora que quiser, por meio de inclusões de serviços criados ou modificados para este fim. (1) trojans ou cavalos de tróia - programas executáveis usados na invasão de computadores. É um programa https://www.techtudo.com.br/noticias/2018/07/o-que-e-bot-conheca-os-robos-que-estao-dominando-a-internet.ghtml https://www.techtudo.com.br/noticias/2018/07/o-que-e-bot-conheca-os-robos-que-estao-dominando-a-internet.ghtml https://www.techtudo.com.br/noticias/2018/07/o-que-e-bot-conheca-os-robos-que-estao-dominando-a-internet.ghtml Segurança e Auditoria de Sistemas 40 que além de executar funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas e sem conhecimento do usuário. Há diferentes tipos de trojans, classificados de acordo com as ações maliciosas que costumam executar ao infectar um computador. (2) Trojan Downloader: Instala outros códigos maliciosos, obtidos de sites na Internet. (3) Trojan Dropper: Instala outros códigos maliciosos, embutidos no próprio código do trojan. (4) Trojan Backdoor: Inclui backdoors, possibilitando o acesso remoto do atacante ao computador.Trojan DoS: Instala ferramentas de negação de serviço e as utiliza para desferir ataques. (5) Trojan Destrutivo: Altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora de operação. (6) Trojan Clicker: Redireciona a navegação do usuário para sites específicos, com o objetivo de aumentar a quantidade de acessos a estes sites ou apresentar propagandas. (7) Trojan Proxy: Instala um servidor de proxy, possibilitando que o computador seja utilizado para navegação anônima e para envio de spam. (8) Trojan Spy: Instala programas spyware e os utiliza para coletar informações sensíveis, como senhas e números de cartão de crédito, e enviá-las ao atacante. (9) Trojan Banker ou Bancos: Coleta dados bancários do usuário, através da instalação de programas spyware que são ativados quando sites de Internet Banking são acessados. É similar ao Trojan Spy, porém com objetivos mais específicos. • spyware - programa projetado para monitorar todas as atividades do sistema e enviar para terceiros. É um programa espião, onde ele pode ser usado de forma legítima ou maliciosa dependendo de como ele é instalado, das ações Segurança e Auditoria de Sistemas 41 que são realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. • adware - tipo especial de spyware, são programas que secretamente obtêm informações pessoais do computador e as envia para outro computador através da internet, geralmente para fins de propaganda. Muitas vezes isso ocorre através da coleta de informações por meio de um browser, monitorando hábitos de navegação, como uma busca sobre um carro específico, assim vai coletando dados sobre todo o seu comportamento na internet. • keyloggers – são capturadores de tela, faz cópias das teclas digitadas no teclado. Em decorrência desse malware, os bancos criaram uma espécie de teclado virtual. Constitui uma praga que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua ativação é condicionada a ação prévia do usuário, como acesso no bankline e digitando a agência e conta. • rootkits - constitui um conjunto de técnicas que podem esconder o próprio invasor ou outro código malicioso em um computador comprometido. Esse conjunto de técnicas e programas fornecidos pelo rootkits pode ser usado para: ✓ Remover evidências em arquivos de log. ✓ Instalar outro código malicioso, como backdoors, para assegurar o acesso futuro computador infectado. ✓ Esconder atividades e informações, como arquivos, processos, chaves de registro, conexão de rede e etc. ✓ Mapear vulnerabilidade nos computados que estão na mesma rede. ✓ Capturar informações da rede onde o computador está localizado, como histórico, conversas pessoais e etc. Scripts, worms e vírus podem danificar o computador se encontrarem pontos de entrada para chegar aos seus preciosos dados. Visitar sites infectados ou clicar em links ou anexos de e-mail maliciosos são as principais portas de entrada Segurança e Auditoria de Sistemas 42 para que o código malicioso invada seu sistema. Os softwares antivírus com atualizações automáticas, recursos de remoção de malware, segurança de navegação na Web e a capacidade de detectar todos os tipos de infecções são a melhor defesa. Em consequência, para que um usuário de computador possa manter sua máquina protegida e segura, deve instalar programas e manter ativos serviços como antivírus e firewall, o que vai permitir que o computador fique livre de vírus e ataques. Maiores informações sobre o tema podem ser encontradas das págs. 23 a 31 em Cartilha de Segurança para a Internet publicada pela Cert.br - Disponível em https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf Técnicas como phishing e spam ❖ Phishing De acordo com o site - disponível em https://www.significados.com.br/phishing/, phishing é uma técnica de fraude online, utilizada por criminosos no mundo da informática para roubar senhas de banco e demais informações pessoais, usando-as de maneira fraudulenta. A expressão phishing surgiu a partir da palavra em inglês "fishing", que significa "pescando". Ou seja, os criminosos utilizam esta técnica para "pescar" os dados das vítimas que "mordem o anzol" lançado pelo phisher ("pescador"), nome que é dado a quem executa um phishing. Uma tentativa de phishing pode acontecer através de websites ou e-mails falsos, que imitam a imagem de uma empresa famosa e confiável para poder chamar a atenção das vítimas. Normalmente, os conteúdos dos sites ou e-mails com phishing prometem promoções extravagantes para o internauta ou solicitam para façam uma atualização dos seus dados bancários, evitando o cancelamento da conta, por exemplo. O internauta mais desatento e desinformado, quando cai nessa armadilha, é redirecionado para uma página na web semelhante ao da empresa ou banco original, onde deverá informar os seus dados pessoais e bancários. A vítima pensa estar apenas confirmando as suas informações junto ao banco, quando na verdade está enviando todos os dados para um criminoso. https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf https://www.significados.com.br/phishing/ Segurança e Auditoria de Sistemas 43 O objetivo do phishing é utilizar os dados coletados pelos criminosos para realizar compras pela internet, transferências bancárias ou mesmo limpar toda a conta bancária da vítima. Muitas empresas, atualmente, desenvolvem softwares antiphishing, que oferecem filtros mais eficientes de correio spam e notificações sobre qualquer tipo de suspeita de irregularidade no conteúdo do correio eletrônico. De acordo com o site - disponível em https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais- comuns.ghtml, acesso em 30/11/2018, phishing é uma estratégia muito usada na propagação de malwares, como vírus e trojans. Frequentemente, usa táticas de engenharia social para abordar as vítimas, fazendo com que suas contas de redes sociais sejam infectadas e usadas para espalhar o golpe. Seu método mais comum deespalhar softwares maliciosos é por meio do envio de e-mails de spam, que direcionam o usuário para sites contaminados. Com o tempo, os golpes foram se diversificando e, até mesmo, usando eventos reais para se aproveitar da curiosidade dos internautas desprevenidos. O phishing é um dos ataques mais corriqueiros na Internet ultimamente, pois se trata de um golpe relativamente fácil de ser aplicado e atinge diversos usuários simultaneamente. Basta uma pessoa clicar em um link malicioso para ter dados pessoais roubados, como senhas de banco e, dependendo do tipo, até espalhar vírus e trojans à lista de contatos do celular ou redes sociais. Os programas de antivírus podem ajudar contra os ataques, principalmente as empresas. Entretanto, conhecer como os golpes de phishing são aplicados também é uma maneira eficiente de prevenir possíveis ataques e não se tornar mais uma vítima. Os criminosos se aproveitam dos malwares e vírus que andam espalhados pela internet para poder infectar e modificar o browser do computador do usuário. Estando infectado, quando o internauta digita o endereço eletrônico de um site, o navegador redireciona a página para um site falso, mas com as mesmas características estéticas do original. O internauta pensa que está no website correto, já que não clicou em nenhum link estranho e digitou o endereço diretamente na URL do browser, e acaba fornecendo os seus dados bancários e pessoais mais facilmente, sem desconfiar que está sofrendo um golpe. https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml Segurança e Auditoria de Sistemas 44 A seguir, em conformidade com o site - disponível em https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais- comuns.ghtml, acesso em 30/11/2018, vejamos uma lista dos dez tipos de phishing mais aplicados no momento. (1) Falsos e-mails ou mensagens ✓ Esse é o tipo phishing mais comum e os outros casos do golpe acabam sendo uma variante dele. ✓ Os hackers enviam e-mails que parecem ser de empresas reais, como bancos. ✓ Um exemplo clássico: o usuário recebe uma mensagem dizendo que seus dados precisam ser atualizados, pois a conta bancária pode ser desativada. Se o destinatário não percebe que se trata de um golpe, ele pode acabar clicando em um link que leva a um endereço fraudulento. A partir desse momento, tudo que é digitado passa a ser coletado pelos criminosos cibernéticos. As mensagens podem chegar também no celular, pelo WhatsApp. (2) Phishing do Dropbox ✓ Se um internauta tem uma conta no Dropbox e armazena arquivos importantes e particulares por lá, ele deve prestar atenção aos e-mails que recebe. Os criminosos usam falsos endereços que parecem vir da plataforma para levar o usuário a fazer login em um site fraudulento. Se receber uma mensagem e ficar na dúvida sobre a veracidade do remetente, não clique em nada e procure contatar diretamente o serviço para comprovar a mensagem. (3) Ataque aos arquivos do Google Docs ✓ Como cada vez mais os usuários e até empresas estão armazenando documentos importantes na nuvem do Google Drive, os criminosos cibernéticos têm muito interesse em acessar a plataforma para roubar diferentes tipos arquivos, incluindo fotos pessoais. Assim, o plano é basicamente o mesmo do phishing do Dropbox: um falso e-mail que parece ser da equipe do Google pede para que o usuário clique em um link falso. https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml https://www.techtudo.com.br/listas/2018/06/os-dez-tipos-de-phishing-mais-comuns.ghtml Segurança e Auditoria de Sistemas 45 (4) Peixe Grande ✓ Quando os criminosos querem atingir especificamente empresas, eles procuram atacar com phishing primeiro os funcionários que ocupam os altos cargos da empresa. Quando conseguem ter acesso a esses e-mails, logo várias mensagens são espalhadas, solicitando arquivos importantes aos colaboradores, que respondem prontamente aos seus superiores. Assim, em questão de minutos, os criminosos passam a ter acesso às informações confidenciais da empresa. Além do roubo de dados, podem acontecer perdas financeiras. (5) Phishing por ransomware ✓ Nesse tipo de ataque de phishing, o usuário também recebe um link fraudulento, mas em vez de ser redirecionado a um site falso, ele acaba instalando um malware no computador, muitas vezes em forma de ransomware. A intenção aqui não é exatamente roubar apenas as informações, mas também as máquinas, que são virtualmente sequestradas pelos criminosos. Para ter acesso a todos seus arquivos novamente, é preciso pagar por um resgate aos hackers. O ransomware é um tipo de malware que sequestra o computador da vítima e cobra um valor em dinheiro pelo resgate, geralmente usando a moeda virtual bitcoin, que torna quase impossível rastrear o criminoso que pode vir a receber o valor. Este tipo de "vírus sequestrador" age codificando os dados do sistema operacional de forma com que o usuário não tenha mais acesso. (6) Pharming ✓ O Pharming é um tipo bem perigoso de phishing, pois ele ataca o servidor DNS, principalmente de empresas. O ataque pode ser ou com a instalação de um cavalo de troia em algum computador host ou diretamente na rede. A partir daí qualquer endereço de site, mesmo que pareça confiável, pode levar a páginas fraudulentas sem que o usuário desconfie. Assim, os hackers conseguem coletar informações de várias pessoas ao mesmo tempo. Os programas de Segurança e Auditoria de Sistemas 46 antivírus são muito importantes para evitar esse tipo de contaminação. ✓ O Pharming é considerado uma "evolução" do phishing, contendo o mesmo objetivo de obter informações pessoas das vítimas, mas sem a necessidade de "pescar" o internauta com um e-mail ou link falso. (7) Bitcoins ✓ As criptomoedas estão em alta e os criminosos cibernéticos logo perceberam que seria uma um meio interessante de aplicar golpes por phishing. Os hackers têm utilizado truques como sites disfarçados de serviços de câmbio ou e-mails com oportunidade de compra que são tentadoras, mas totalmente falsas. ✓ Bitcoin (BTC) é um tipo de moeda virtual, gerada por computadores especializados. A criptomoeda não é controlada por bancos centrais, governos e qualquer tipo de instituição de regulamentação monetária. Descentralizada e construída em torno da ideia de privacidade e de um mercado que se auto gerencia, o Bitcoin desperta curiosidade e interesse por conta da valorização diante do dinheiro tradicional. Além disso, chama a atenção a liberdade e ausência de taxas bancárias e impostos, além da ideia, hoje não mais viável, de se gerar dinheiro apenas usando o computador. (8) Spear Phishing ✓ O spear phishing (traduzido literalmente do inglês como "pesca com arpão"), é uma variante mais eficaz do phishing, onde os phishers conseguem determinar quais os usuários que possuem relação com determinada entidade financeira. Desse modo, os e-mails são enviados de maneira "personalizada", aumentando consideravelmente a margem de êxito da fraude. ✓ Esse tipo de golpe visa atingir um número menor de pessoas, mas a chance de sucesso termina sendo maior. São enviadas a poucas pessoas mensagens personalizadas, com informações bem convincentes, como nome, sobrenome e outros dados, que levam o usuário a acreditar que está Segurança e Auditoria de Sistemas 47 recebendo um e-mail legítimo de alguém familiar. Os golpistas podem até falsificar endereços de sites conhecidos, o que dificulta perceber que está se caindo em um golpe. (9) Smishing SMS ✓ O alvo aqui são exclusivamente os celulares. O smishing é um tipo de phishing que chega por mensagens de texto supostamente enviadas por empresas conhecidas
Compartilhar