aula_02 - Principios e conceitos de segurança cibernética

Prévia do material em texto

ARA0076 - SEGURANÇA CIBERNÉTICA
Tema 1. PRINCÍPIOS E CONCEITOS DE SEGURANÇA CIBERNÉTICA
AULA 02
Situação problema
2
• A área de tecnologia deduz a necessidade de investimentos, muitas
vezes, grandiosos para obtenção, processamento e gestão das
informações, o que inclui investimentos para protegê-las. Quando a
palavra proteção entra em cena, muitos pensam em hackers e
ataques, quando, na verdade, a palavra "proteção" submete à tarefas
como manter a informação sempre disponível e confiável, o que não
tem relação direta ou frequente com acesso indevido, roubo ou
sequestro de dados, mas, sim, com backups, redundância,
treinamento de pessoal e outras atividades. Voce teria noção do que
precisa ser feito e os equipamentos necessários para garantir o
sucesso de tantas atividades? Saberia mensurar, em valores, o
montante necessário para proteção adequada dos dados?
✓ Segurança da Informação
✓ “É a proteção da informação contra vários tipos de ameaças para
garantir a continuidade do negócio, minimizar riscos, maximizar
o retorno sobre os investimentos e as oportunidade de negócios”
[ISO 27002].
✓ As informações podem existir em diversas formas;
✓ O mesmo ocorre com as vulnerabilidades e ameaças;
✓ A pergunta chave: O que e como devemosproteger?
Segurança da Informação
✓ Ativos
✓ Qualquer elemento que tenha valor para a organização [ISO
27002];
✓ Os ativos fornecem suporte aos processos de negócios, portanto
devem ser protegidos. Todo elemento utilizado para armazenar,
processar, transportar, armazenar, manusear e descartar a
informação, inclusive a própria.
Segurança da Informação
✓ Ativos
✓ Categorias de Ativos
✓ Os ativos podem ser classificados / agrupados de diversas 
formas:
✓ Informações; Hardware; Software; Ambiente Físico; 
Pessoas;
✓ Lógico; Físico Humano;
✓ Equipamentos; aplicações, 
informações e processos;
usuários, ambientes,
Segurança da Informação
✓ Vulnerabilidades
✓ Fragilidade de um ativo ou grupo de ativos que 
explorada por uma ou mais ameaças [ISO 27002];
pode ser
✓ As vulnerabilidades devem ser gerenciadas (identificadas e 
corrigidas);
✓ Tipos deVulnerabilidades
✓ Físicas; naturais; hardware e software e humanas;
Segurança da Informação
✓ Ameaças
✓ Causa potencial (agente) de um incidente indesejado, que pode 
resultar em dano para um sistema ou organização [ISO 27002];
✓ A segurança da informação precisa prover mecanismos para 
impedir que as ameaças explorem as vulnerabilidades;
✓ Tipos deAmeaças
✓ Ameaças Naturais; Intencionais e Involuntárias;
Segurança da Informação
✓ Evento de Segurança da Informação
✓ Uma ocorrência identificada de um estado de sistema, serviço
ou rede, indicando uma possível violação da política de
segurança da informação ou falha de controles que possa ser
relevante para a segurança da informação [ISO 27000:2009].
Segurança da Informação
✓ Incidentes de Segurança
✓ Um simples ou uma série
informação indesejados ou
grande probabilidade de
de eventos
inesperados,
comprometer
de segurança da
negócios e ameaçar a segurança da
27000:2009].
informação
que tenham uma 
as operações de
[ISO
Segurança da Informação
✓ Controles
✓ Medidas de segurança são práticas, procedimentos e mecanismos
utilizados para a proteção de ativos;
✓ Esses controles podem: (a) impedir que as ameaças explorem as
vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c)
minimizar o impacto dos incidentes de segurança da informação;
✓ Tipos decontroles:
✓ Técnicos, administrativos e de gestão;
Segurança da Informação
Quais são as principais intervenções maliciosas à sua empresa?
Sistemas conectados à internet possuem diversos riscos, que podem vir de atacantes 
criminosos, espiões, vândalos, entre outros. Confira como a informação da sua empresa pode 
ser acessada por indivíduos externos:
• Ataque
Esforço de entrada ou uso não autorizado de um serviço, rede ou computador.
• Exploit
Programa malicioso feito para encontrar vulnerabilidades existentes em um programa de 
computador.
• Código Malicioso
Programas criados para executar ações perigosas em um computador como vírus, bot, 
spyware, entre outros.
Segurança da Informação
• Invasão
Violação efetiva que proporciona o acesso às informações em 
um computador.
• Escuta de tráfego
Inspeção de dados por meio de programas maliciosos 
específicos.
• Defacement ou ataque ao site
Modificação da página de um site na internet.
• Varredura de rede
Efetivação de buscas minuciosas na rede, em busca de 
vulnerabilidades em serviços ou programas.
Segurança da Informação
Saiba quais são os tipos de ataques mais comuns
É vital que haja uma conscientização dentro da empresa para que os colaboradores possam identificar as 
diversas investidas externas. Crie uma cartilha educativa, exemplificando cada espécie de risco:
• Engenharia social
Indução para que o usuário possa realizar alguma ação, como 
a instalação de aplicativo ou clique em um link.
• Busca exaustiva de chave
Verificação automática de todas as possíveis chaves e senhas 
de um dado criptografado.
• DDoS (Distributed Denial of Service)
Invalidação por sobrecarga, quando um computador mestre 
deixa sob seu comando outros computadores, que são 
chamados de zumbis. O objetivo é tornar o sistema atacado 
indisponível.
Segurança da Informação
✓ Entender o negócio
✓ Na etapa inicial de um projeto de segurança, deve-se entender o 
ambiente da organização. Normalmente a situação é a seguinte:
✓ Desconhecimento do ambiente/processos;
✓ Baixo (ou nenhum) nível de controle implementado;
✓ Alto índice de riscos;
✓ Falta de uma cultura de segurança;
✓ Resistência (interna e externa);
Considerações Finais
✓ Requisitos de Segurança da Informação
✓ Quais os requisitos de SI? Como obter esses requisitos?
✓ Implementação
✓ A Seg Info é obtida a partir da implementação de um conjunto de 
controles adequados as necessidades da organização;
✓ Controles 
monitorados,
precisam 
analisados
ser estabelecidos, implementados, 
e melhorados para garantir que os
objetivos do negócio e de segurança sejam atendidos;
Considerações Finais