Baixe o app para aproveitar ainda mais
Prévia do material em texto
244 Sistemas de informac;:ao gerenciais potenciais. Essas ameac;:as, as probabilidades associadas a elas e seus prejuizos medios sao resumidos na tabela a seguir. Avalia~ao de risco da Mercer Paints Risco Probabilidade de ocorrencia (%) Prejuizo media ($) Ataque de rna/ware 60 75.000 Perda de dados 12 70.000 Desvio de dinheiro 3 30.000 Erros de usuario 95 25.000 Amea c;: as de hackers 95 90.000 Uso indevido par parte de 5 5.000 funcionarios Falta de energia 15 300.000 • Alem dos riscos enumerados, voce precisa identificar pelo menos tres outras ameac;:a5 potenciais it Mercer Paints , atribuir-lhes probabilidades e estimar uma faixa de pre julzo. • Usando software de planilha e os dados da avaliac;:ao de risco, calcule 0 prejuizo anual esperado para cada risco. • Apresente suas conclus5es na forma de gnifico. Quais pontos de controle estao mais vulneniveis? Quais recomendac;:oes voce faria aMercer Paints? Prepare urn relat6rio por escrito que resuma suas conclusoes e recomendac;:oes. Aperfei~oando a tomada de decisao: avaliando servi~os de terceiriza~ao de seguran~a Habilidades de software: navegador Web e software de apresentac;:ao Habilidades empresariais: avaliaC;:30 de servic;:os de terceirizaC;:30 Atualmente, as empresas tern a opc;:ao de terceirizar suas func;:oes de seguranc;:a ou man ter sua pr6pria equipe interna para esse fim. Este projeto the ajudara a desenvolver suas habilidades de Internet na utilizaC;:30 da rede para pesquisar e avaliar servic;:os de terceiriza C;:30 de seguranc;:a. Como especialista em sistemas de informaC;:30 de sua empresa, voce foi encarregado de ajudar os gerentes a decidir sobre a terceirizac;:ao da seguranc;:a ou a manutenc;:ao da func;:ao de seguranc;:a dentro da organizac;:30. Pesquise na Web para encontrar informac;:oes que lhe ajudem a decidir sobre a terceirizac;:ao da seguranc;:a e a localizar servic;:os terceirizados de seguranc;:a. • Apresente urn breve resumo dos argumentos contra e a favor do outsourcing da segu ranc;:a em informatica. • Selecione duas empresas que oferec;:am esse tipo de servic;:o, comparando as empresas e seus servic;:os. • Prepare uma recomendac;:ao por escrito aadministraC;:30 indicando por que acredita que deveriam optar (ou n30) pelo outsourcing da seguranc;:a equal das duas empresas acha que deveriam selecionar caso decidissem terceirizar. Resumo • Por que os sistemas de informa~ao pre estao vulneraveis a destrui<;:ao, usa indevido, cisam de prote~ao especial contra destrui erro, fraude e falhas de software e hardware. ~ao, erros e uso indevido? Dados digitais A Internet foi projetada para ser um sistema Capitulo 7: Seguran<;:a em sistemas de informa<;:ao 245 aberto, por isso deixa os sistemas corporativos internos mais vulneraveis a ar;:6es de invasores. Hackers podem desencadear ataques de recusa de servir;:o (DoS) ou inva dir redes corporativas, causando serios prejuizos aos siste mas. As redes de Wi-Fi podem facilmente ser penetradas por invasores com programas sniffer, que obtem um ende rer;:o e, assim, acessam os recursos da rede. Os virus de computador e worms podem desabilitar sistemas e sites. A natureza dispersa da computar;:ao em nuvem dificulta 0 rastreamento de atividades nao autorizadas ou a aplicar;:ao de controles a distElncia. Os softwares tambem apresentam problemas, pois as vulnerabilidades do software podem ser exploradas por hackers e softwares mal-intencionados. Por fim, os usuarios finais tambem acabam introduzindo erros. • . Qual 0 valor empresarial da seguran~a e do controle? Falta de seguranr;:a e controle solidos pode fazer com que as empresas que dependem de sistemas computacionais para as suas funr;:6es empresariais vita is percam vendas e produtividade. Ativos de informar;:ao - registros confiden ciais sobre funcionarios, segredos comerciais ou pianos de neg6cios, por exemplo - perdem muito de seu valor se forem revelados para pessoas de fora da organizar;:ao. Alem disso, sua revelar;:ao exp6e a empresa a riscos legais. Novas leis, como a Lei HIPAA, a Lei Sarbanes-Oxley e a Lei Gramm-Leach-Bliley, exigem que as empresas pratiquem uma minuciosa gestao de registros eletronicos e que ado tem rigidos padroes de seguranr;:a, privacidade e controle. A possibilidade de ar;:oes legals que exijam pericia forense computacional e provas eletronicas tambem obrigam as empresas a prestar mais atenr;:ao a seguranr;:a e a gestao dos registros eletronicos. . Quais os componentes de uma estrutura organiza cional para seguran~a e controle? As empresas devem estabelecer uma adequada estrutura gerencial e organiza cional para seguranr;:a e controle. Uma avaliar;:ao de risco analisa os ativos de informar;:ao, identifica pontos de con Palavras-chave trole e vulnerabilidades de controle e determina 0 conjunto de controles com a melhor relar;:ao custo-beneficio. As empresas tambem precisam desenvolver uma poiftica de seguranr;:a corporativa coerente e pianos para dar continui dade as suas operar;:6es na hipotese de desastres ou panes. A politica de seguranr;:a abrange poifticas para autoriza r;:ao e uso aceitavel. Uma auditoria de sistemas met6dica e abrangente ajuda as organizar;:6es a determinar a eficiencia da seguranr;:a e dos controles adotados em seus sistemas de informar;:ao. Quais as mais importantes tecnologias e ferramen tas disponiveis para salvaguardar recursos de infor ma~ao? Ouando conectados a Internet, fire walls evitam que usuarios nao autorizados acessem a rede privada. Sistemas de detecr;:ao de invasao monitoram as redes privadas em busca de trafego de rede suspeito ou tenta tivas de acessar os sistemas corporativos. Sen has, tokens, smart cards e autenticar;:ao biometrica sao usados para autenticar usuarios de sistemas. Softwares antivirus veri ficam se ha infecr;:oes causadas por virus e worms no sis tema de computador e, muitas vezes, eliminam 0 software mal-intencionado; softwares antispyware, por sua vez, combatem programas spyware danosos e invasivos. A criptografia - isto e, a codificar;:ao e 0 embaralhamento de mensagens - e uma tecnologia amplamente utilizada para salvaguardar as transmiss6es eletronicas realizadas por redes desprotegidas. Os certificados digitais, combinados com a criptografia de chave publica, oferecem proter;:ao adicional as transar;:6es eletronicas, po is autenticam a iden tidade do usuario. As empresas podem utilizar sistemas computacionais tolerantes a falhas ou criar ambientes com putacionais de alta disponibilidade para garantir que seus sistemas de informar;:ao estejam sempre disponiveis. 0 uso de metricas de software e testes rigorosos ajudam a melho rar a qualidade e a confiabilidade do software. Ataque de recusa de servir;:o, 221 Controle de acesso, 234 Lei Gramm-Leach-Bliley, 228 Ataque distribuido de recusa de Controles, 215 Lei Sarbanes-Oxley, 228 servir;:o, 221 Controles de aplicar;:ao, 229 Ma/ware, 218 Ataques por SOL injection, 219 Controles gerais, 229 Patches, 226 Auditoria de sistemas, 233 Crimes de informatica, 222 Pericia forense computacional, 228 Autenticar;:ao, 234 Criptografia, 237 Pharming, 223 Autenticar;:ao biometrica, 234 Criptografia de chave publica, 237 Phishing, 223 Avaliar;:ao de risco, 230 Downtime, 238 Plano de continuidade dos negocios, Botnet, 221 Engenharia social, 226 232 Bugs, 226 Evil twins,223 Plano de recuperar;:ao de desastres, Cavalo de Troia, 219 Firewalls, 234 232 Certificados digltais, 237 Fraude do clique, 225 Politica de uso aceitavel, 231 Cibervandalismo, 221 Hacker, 221 Politi ca de seguranr;:a, 231 Computar;:ao de alta disponibilidade, HIPAA,227 Politicas de autorizar;:ao, 231 238 Infraestrutura de chave publica (PKI), 238 Processamento de transar;:§o on-line, 231 Computar;:ao orientada a Insper;:ao profunda de pacotes, 239 Provedores de servir;:os de seguranr;:a recuperar;:ao, 239 Key loggers, 220 gerenciada (MSSPs), 239
Compartilhar