Prévia do material em texto
Gestão da Segurança da informação prof. SERGIO RODRIGUES AFFONSO FRANCO
Com a crescente utilização de tecnologias digitais, a interligação de sistemas e comunicação de pessoas por meios
destas tecnologias, um grande volume de informações circula eletronicamente, muitas vezes sem a devida proteção
capaz de garantir a integridade dos dados, o sigilo e a disponibilidade do acesso às informações somente por pessoas
devidamente autorizadas.
A segurança da informação se faz não só por intermédio da tecnologia, mas também por procedimentos e padrões
relativos à chamada “engenharia social”, isto é, conjunto de atitudes e procedimentos que permitem conhecer o
inter-relacionamento entre pessoas de um determinado universo a partir do qual pode-se melhorar a segurança do
acesso à informação, mas que também permite estabelecer falhas nesta segurança.
Em um contexto em que os processos de negócios das empresas dependem cada vez mais dos sistemas de
informação, é crescente, portanto, a necessidade de se garantir a integridade, confidencialidade e disponibilidade
dos ambientes corporativos e de toda a infraestrutura que suporta a informação.
Essa realidade aumenta a importância da disciplina de Gestão de Segurança da Informação na matriz curricular dos
Cursos de Tecnologia da Informação.
1 - Conhecer as necessidades de segurança do ambiente corporativo;
2 - Identificar o valor da informação e conhecer o conceito de ativo;
3 - Conceitos básicos de segurança.
Para decidir sobre qualquer coisa, precisamos de informações, preferencialmente claras e oportunas. A informação
é vital para o processo de tomada de decisão de qualquer corporação. Porém não basta produzir a informação no
prazo previsto. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Além disso, é
fundamental proteger o conhecimento gerado, quando este contiver aspectos estratégicos para a Organização que o
gerou.
Dados Informação Conhecimento
O que é segurança?
É estar livre de perigos e incertezas;
É um estado ou condição que se aplica a tudo aquilo que tem valor para a organização que é chamado de ativo;
CIA - Avaliability, integrity, COnfidentiality
Compreendeu a necessidade de segurança nos ambientes corporativos.
Conheceu o valor da informação e o conceito de ativo.
Identificou os principais elementos de um sistema de segurança da informação.
1.
Qual é o conceito de "ativo de informação”?
1) São aqueles que produzem, processam, transmitem ou armazenam informações.
2) São os equipamentos de redes.
3) São normas, procedimentos e a política de segurança.
4) Nenhuma das respostas acima.
1
2.
Quais são as três características consideradas os pilares da segurança da informação?
1) Não-repúdio, criptografia e autenticação.
2) confidencialidade, criptografia e integridade.
3) Confidencialidade, integridade e disponibilidade.
4) Criptografia, disponibilidade e não-repúdio.
3
3.
O conceito de segurança é estar livre de perigos e incertezas. É correto afirmar que segurança da informação visa a ..
1) Criação de política, normas e procedimentos.
2) Criação de mecanismos para não ser invadido.
3) Proteção de ativos que contêm informações.
4) Nenhuma das respostas acima.
3
4.
A ausência de mecanismo de proteção ou a falha em um mecanismo de proteção existente chamamos de:
1) Ameaça
2) Vulnerabilidade
3) Impacto
4) Risco
2
Segurança 100% não existe.
Todo ativo tem algum tipo de vulnerabilidade. Alguma ameaça.
Procurar minimizar os Riscos
1. Por que proteger a informação?
2. Quando proteger a informação?
3. O ciclo de vida da informação.
Nesta aula vamos estudar a importância da informação, por que devemos protegê-la e seu ciclo de vida.
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a
demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados
de forma confiável.
Para compreendermos melhor esta questão vamos ampliar nosso o conceito de dado e informação.
Dados = É a coleta de matéria-prima bruta, dispersa nos documentos.
Informação = É o tratamento do dado, transformado em Informação. Pressupõe uma estrutura de dados organizada
e formal. As bases e bancos de dados, bem como as redes são sustentadas pela informação.
Conhecimento = É o conteúdo informacional contido nos documentos, nas várias fontes de informação e na
bagagem pessoa l de cada indivíduo.
Inteligência = É a combinação destes três elementos resultante do processo de análise e validação por especialista. É
a informação com valor agregado.
Redução de custos, vantagem competitiva e diferenciação de Produtos e Processos.
Percebe-se então certa hierarquia entre dado, informação e conhecimento, em que cada termo pode ser
considerado como matéria-prima do termo seguinte, num crescente de agregação de valor.
Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo gerada e
utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis hierárquicos, além de
perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros.
Já que percebemos o quão valiosa é a informação para o negócio vamos estudar os aspectos ligados à segurança, as
propriedades que devem ser preservadas e protegidas para que a informação esteja efetivamente sob controle, e
principalmente, os momentos que fazem parte do seu ciclo de vida.
Por que proteger a informação?
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Apresentamos a
seguir quatro tipos possíveis de valor da informação:
ILM – Information Lifecicle management
Esta classificação permite identificar o grau de relevância e prioridade que a informação exerce em cada nível da
organização.
Assim a aplicação do gerenciamento do ciclo de vida da informação traz uma série de benefícios à empresa:
Retenção de despesas, Economia de recursos, segurança da informação e conscientização.
Classificação da Informação:
Existem quatro aspectos importantes para a classificação das informações. Cada tipo de informação deve ser
examinado a partir desses aspectos:
Confidencialidade: A informação só é acessada pelos indivíduos autorizados.
Integridade: A informação é atual, completa e mantida por pessoas autorizadas.
Disponibilidade: A informação está sempre disponível quando necessária às pessoas autorizadas.
A informação tem um alto valor para a organização.
Existem outros aspectos que também podem ser considerados:
• Autenticidade – Garante que a informação ou o usuário da mesma é autêntico. Atesta com exatidão, a origem
do dado ou informação;
• Não repúdio – Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que
modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado.
• Legalidade – É a aderência de um sistema à legislação. Garante a legalidade (jurídica) da informação.
• Privacidade –Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. É a capacidade
de um usuário realizar ações em um sistema sem que seja identificado.
• Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação
foi submetida, identificando os participantes, os locais e horários de cada etapa.
Outro fator que deve ser considerado é o nível de ameaça conhecido que cada informação tem. Para isso devem ser
respondidas questões como:
Existem concorrentes buscando a informação?
É uma informação fácil de perder a integridade, ficar desatualizada?
É possível que ela fique indisponívele por qual motivo isso pode acontecer?
Com base na análise dos parâmetros anteriores, podemos chegar ao nível de segurança da informação. Um
nivelamento de segurança pode seguir, por exemplo, a seguinte classificação:
Confidencial=Garantia de que os usuários autorizados obtém acesso à informação e aos ativos correspondentes
sempre que necessários.
Para podermos chegar nestes níveis de segurança podemos também considerar os seguintes aspectos:
Nesta aula, você aprendeu:
Compreendeu a importância e o valor da informação, seu ciclo de vida.
Conheceu o conceito de classificação da informação e os níveis de proteção.
Percebeu a necessidade da gestão do ciclo de vida da informação no contexto corporativo.
1.
Quais as etapas do ciclo de vida da informação?
1) Manuseio, Armazenamento, Transporte e descarte;
2) Criação, armazenamento, manuseio e descarte;
3) Criação, armazenamento, transporte e remoção;
4) Criação, manuseio, transporte e descarte;
1
2.
O processo que consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer
classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas. Estamos nos
referindo ao conceito de:
1) organização da informação;
2) Classificação da informação;
3) otimização da informação;
4) randomização da informação;
2
3.
Quais são os quatro aspectos importantes que norteiam as ações de segurança em uma informação?
1) Criptografia, autenticação, valor e disponibilidade;
2) Confidencialidade, valor, integridade e criptografia;
3) Confidencialidade, valor, integridade e disponibilidade;
4) Confidencialidade, integridade, disponibilidade e criptografia;
3
Nesta aula você irá Compreender o que é vulnerabilidade no contexto da segurança da Informação.
1. Os conceitos básicos
2. Os principais tipos de vulnerabilidades.
3. As principais ferramentas para análise de vulnerabilidade de segurança.
Aula 3: Vulnerabilidade de Segurança
A todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de
ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de
potencializar sua ação. Quando essas possibilidades aparecem, a quebra de segurança é consumada.
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma
organização.
Se partimos do princípio de que não existem ambientes totalmente seguros, podemos afirmar que todos os
ambientes empresariais são vulneráveis e muitas vezes encontramos também vulnerabilidades nas medidas
implementadas pela empresa.
Mas, o que é vulnerabilidade?
Os testes de vulnerabilidade consistem na determinação de que falhas de segurança podem ser aplicadas à máquina
ou rede alvo. O objetivo do teste é a identificação nas máquinas da rede alvo de:
As portas do protocolo TCP/IP que encontram-se desprotegida (abertas);
Os sistemas operacionais utilizados;
Patches e service packs (se for o caso) aplicados
e os aplicativos instalados.
Existem também diferentes tipos de vulnerabilidades que podem ser encontradas:
Bugs específicos dos sistemas operacionais/ aplicativos;
Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos;
Falhas nos softwares dos equipamentos de comunicações;
Fraquezas nas implementações de segurança dos equipamentos de comunicação;
Fraqueza de segurança/falhas nos scripts que executam nos servidores web;
Falhas nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos.
O Nmap, é um software livre que realiza a coleta de informações sobre as portas do protocolo TCP/IP. É muito
utilizado para avaliar a segurança dos computadores, para descobrir serviços ou servidores e determinar o layout
de uma rede de computadores. Por já existir há muitos anos é provavelmente a ferramenta mais utilizada na coleta
de informações. Para mais informações sobre o uso do Nmap, consulte o site oficial no seguinte endereço:
http://www.insecure.org/
Uma outra ferramenta interessante é o Nessus, um programa de verificação de falhas/vulnerabilidades de
segurança, sendo composto por cliente e servidor. Tem como grande vantagem ser atualizado com frequência e
possuir um relatório bastante completo. Até bem pouco tempo só funcionava em Linux, mas recentemente foi
lançada um versão para windows. É distribuído sob os termos da Licença Pública Geral GNU.
Para mais informações sobre o Nessus, consulte o site oficial no endereço:
http://www.nessus.org/
Nesta aula, você:
Compreendeu o conceito básico sobre vulnerabilidade.
Conheceu os principais tipos de vulnerabilidades.
Conheceu as principais ferramentas para análise de vulnerabilidade.
Na próxima aula, aprenderemos o seguinte tema: Ameaça aos sistemas de informação
Assunto 1: Introdução às ameaças de segurança.
Assunto 2: Principais tipos de ameaças.
Assunto 3: Ameaças ativas x passivas.
1.
O que a análise de vulnerabilidade envolve?
1) Pessoas, processos, tecnologia e ambiente;
2) Tecnologia, programas, aplicativos e testes;
3) Pessoas, vulnerabilidades, ameaças e tecnologia;
4) dado, informação, conhecimento, processo;
1
2.
São tipos de vulnerabilidades:
1) humana, hardware, software, natural;
2) pessoal, tecnológica, natural, social;
3) técnica, estratégica, operacional e administrativa;
4) baixa, média, alta e complexa;
1
3.
As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de
_________________ou uma condição favorável que são __________________.
1) um agente causador, as ameaças;
2) um software, falhas de segurança;
3) um elemento ativo, os exploits;
4) ameaças, falhas de segurança;
1
Aula 4: Ameaças aos Sistemas de Informação
Nesta aula você irá estudar sobre ameaças ao sistema de informação.
1. Irá compreender o que são ameaças de segurança.
2. Conhecer os principais tipos de ameaças.
3. Identificar as diferenças entre ameaças passivas e ativas.
Introdução às ameaças de segurança
Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos
motivados não só pela difusão da Internet, que cresceu de alguns milhares de usuários no início da década de 1980
para centenas de milhões de usuários ao redor do globo nos dias de hoje, como também pela democratização da
informação. A internet tornou-se um canal on-line para fazer negócios, porém viabilizou também a atuação dos
ladrões do mundo digital, seja hackers ou leigos mal-intencionados. Proporcionou também a propagação de códigos
maliciosos(vírus, worms, trojans), spam, e outros inúmeros inconvenientes que colocam em risco a segurança de
uma corporação.
Outros fatores também contribuíram para impulsionarem o crescimento dos incidentes de segurança, tais como:
O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurança
nos sistemas operacionais utilizados em servidores e estações de trabalho.
O processo de mitigar tais vulnerabilidades com a aplicação de correções do sistema, realizadas muitas vezes de
forma manual e individual: de máquina em máquina.
A complexidade e a sofisticação dos ataques, que assumem as formas mais variadas, como, por exemplo: infecção
por vírus, acesso não autorizado, ataques denial of service contra redes e sistemas, furto de informação
proprietária, invasão de sistemas, fraudes internas e externas, uso não autorizado de redes sem fio, entre outras.
É a conjunção dessas condições que culmina na parada generalizada de sistemas e redescorporativas ao redor do
mundo.
Ameaça
Segundo Marcos Sêmola, as ameaças são agentes ou condições que causam incidentes que comprometem as
informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de:
Confiabilidade, Integridade e Disponibilidade causando impacto nos negócios.
Quando classificadas quanto a sua intencionalidade as ameaças podem ser:
Códigos maliciosos (Malware)
Segundo o Wikipédia, o termo malware é proveniente do inglês malicious software; é um software destinado a se
infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de
informações (confidenciais ou não). Vírus de computador, worms, trojan horses (cavalos de troia), backdoors,
keyloggers, bots, rootkits e spywares são considerados malware. Também pode ser considerada malware uma
aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na
definição supra citada.
Vírus
O vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga
infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um
computador. Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da execução do
programa ou arquivo hospedeiro .Normalmente o vírus tem controle total sobre o computador, podendo fazer de
tudo, desde mostrar uma mensagem de “feliz aniversário”, até alterar ou destruir programas e arquivos do disco.
Como uma máquina pode ser infectada? É preciso que um programa previamente infectado seja executado. Isto
pode ocorrer de diversas maneiras, tais como:
-Abrir arquivos anexados aos e-mails;
-Abrir arquivos do Word, Excel, etc;
-Abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos;
-Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquetes,pen drives, CDs,
DVDs, etc;
-Ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado.
Worms
Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador
para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e
não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de
vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Geralmente o worm não tem como consequência mesmos danos gerados por um vírus, mas são notadamente
responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco
rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.
Cavalos de Tróia
São programas que parecem úteis mas tem código destrutivo embutido. Além de executar funções para as quais foi
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.
Normalmente é um programa, normalmente recebido como um “presente”, que além de executar funções para as
quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento
do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia:
•instalação keyloggers ou screenloggers;
•furto de senhas e outras informações sensíveis, como números de cartões de crédito;
•inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;
•alteração ou destruição de arquivos.
Adware (Advertising software)
É um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja
através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados
a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que
desenvolvem software livre ou prestam serviços gratuitos.
Spyware
Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de
um sistema e enviar as informações coletadas para terceiros. Existem adwares que também são considerados um
tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet,
direcionando as propagandas que serão apresentadas.
Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são
utilizados de forma dissimulada, não autorizada e maliciosa.
Listamos abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou
malicioso:
-Monitoramento de URLs acessadas enquanto o usuário navega na Internet;
-Alteração da página inicial apresentada no browser do usuário;
-Varredura dos arquivos armazenados no disco rígido do computador;
-Monitoramento e captura de informações inseridas em outros programas, como processadores de texto;
-Instalação de outros programas spyware;
-Monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse
-Captura de senhas bancárias e números de cartões de crédito;
-Captura de outras senhas usadas em sites de comércio eletrônico.
É importante ressaltar que estes programas, na maioria das vezes, comprometem a privacidade do usuário e a
segurança do computador do usuário, dependendo das ações realizadas pelo spyware no computador e de quais
informações são monitoradas e enviadas para terceiros.
Backdoors
Nome dado a programas que permitem o retorno de um invasor a um computador comprometido utilizando
serviços criados ou modificados para este fim sem precisar recorrer aos métodos utilizados na invasão. Na maioria
dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado.
A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um
determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto
(através da Internet). O backdoor pode ser incluído por um vírus, através de um cavalo de tróia ou pela
a instalação de pacotes de software.
Keyloggers
Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. As
informações capturadas podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas
bancárias e números de cartões de crédito. Sua ativação está condicionada a uma ação prévia do usuário e
normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros
(por exemplo, através de e-mails). A contaminação por Keylogger, geralmente vem acompanhada de uma infecção
por outros tipos de vírus, em geral, os Trojans.
Screenloggers
Formas mais avançadas de keyloggers que além de serem capazes de armazenar a posição do cursor e a tela
apresentada no monitor, nos momentos em que o mouse é clicado, também são capazes de armazenar a
região que circunda a posição onde o mouse é clicado.
Rootkits
Conjunto de programas que fornecem mecanismos para esconder e assegurar a presença de um invasor. O nome
rootkit não indica que o conjunto de ferramentas que o compõem são usadas para obter acesso privilegiado (root
ou Administrator) em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá
acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos
utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do
computador. Um rootkit pode fornecer programas com as mais diversas funcionalidades:
•programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os
rootkits), tais como arquivos,diretórios, processos, conexões de rede, etc;
•backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos
rootkits);
• programas para capturar informações na rede onde o computador está localizado, como por exemplo senhas que
estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
•programas para remoção de evidências em arquivos de logs;
•programas para mapear potenciais vulnerabilidades em outros computadores;
Bots e Botnets
Segundo a wikipédia, uma botnet é uma coleção de agentes de software ou bots que executam autonomamente e
automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a
uma rede de computadores utilizando software de computação distribuída.
Potenciais atacantes:
Existem controvérsias sobre o conceito e a nomenclatura dos possíveis atacantes. Para saber mais leia o
artigo “Como funciona a cabeça de um hacker”.
1.Hackers - Pessoa com amplo conhecimento de programação e noções de rede e internet. Não desenvolvem
vulnerabilidade, apenas copiam vulnerabilidades publicadas em sites especializados;
2.White-hats - Exploram os problemas de segurança para divulgá-los abertamente;
Crackers - Pessoas que invadem sistemas em rede ou computadores apenas por desafio;
3. Crackers - Pessoas que invadem sistemas em rede ou computadores apenas por desafio;
4.Black-hats - Usam suas descobertas e habilidades em benefício próprio, extorsão, fraudes, etc.
5.Pheakres - Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser
detectados ou realizam chamadas sem tarifação;
6.Wannabes - Ou script-kiddies são aqueles que acham que sabem, dizem para todos que sabem, se anunciam,
divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos;
7.Defacers - São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web
e modificá-las;
Ameaças passivas x ativas:
Nós vimos que as ameaças podem ser classificadas quanto a sua intencionalidade e podem ser classificadas quanto a
sua origem:
INTERNA ou EXTERNA
Ela pode ser interna, pois nem sempre o principal “inimigo” está fora da nossa empresa, como um hacker ou um
cracker, mas sim dentro dela, como um funcionário mal intencionado ou muito insatisfeito, que geralmente possui
livre acesso aos recursos disponíveis e que podem comprometer a integridade e a privacidade de informações
estratégicas da empresa.
Segundo Stallings, na literatura os termos ameaças e ataque normalmente são usados para designar mais ou menos
a mesma coisa:
Evitando Ameaças
Ao final de nosso estudo podemos concluir que:
A tendência é que as ameaças ou ataques à segurança continuem a crescer não apenas em ocorrência, mas também
em velocidade, complexidade e alcance, tornando o processo de prevenção e de mitigação de incidentes cada vez
mais difícil e sofisticado. Novas formas de infecção podem surgir. Portanto, é importante manter-se informado
através de jornais, revistas e de sites sobre segurança e de fabricantes de antivírus.
Leia a Cartilha de Segurança para Internet Parte VIII: Códigos Maliciosos (Malware) Para saber mais sobre os tópicos
estudados nesta aula, Consulte o material didático Segurança em redes Privadas Virtuais – VPNs, Alexandre Guedes
Guimarães, Raimundo Corrêa de Oliveira e Rafael Dueire Lins, páginas 11 a 18.
Nesta aula, você:
Compreendeu o conceito de ameaça.
Estudou os principais tipos de ameaças.
Compreendeu a diferença entre ameaças ativas e passivas.
Na próxima aula, aprenderemos o seguinte tema: Ataques à segurança
Assunto 1: O planejamento de um ataque
Assunto 2: Principais tipos de ataques
1.
Como podemos conceituar um cavalo-de-tróia?
1) Programa que parece útil mas tem código destrutivo embutido;
2) Programa que fornece mecanismo para esconder e assegurar a presença de um invasor;
3) Software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de
algum outro programa instalado em um computador.
4) Software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para
terceiros.
1
2.
Quais os princípios básicos de segurança que as ameaças normalmente afetam?
1) disponibilidade, integridade, confidencialidade;
2) disponibilidade, criptografia, autenticidade;
3) integridade, autenticidade, confidencialidade;
4) integridade, autenticidade,criptografia;
1
3.
Programa ou parte de um programa de computador que se propaga infectando, isto é, inserindo cópias de si mesmo e
se tornando parte de outros programas e arquivos de um computador.
1) Vírus
2) Worm;
3) Rootkit;
4) Spyware;
1
Aula 5: Ataques à Segurança
1. O planejamento de um ataque; 2. Os principais tipos de ataques.
Com o avanço das tecnologias e a valorização da informação nas organizações, o profissional da área de TI necessita
atualmente além de ter conhecimento e entendimento profundo das características de funcionamento de sistemas
de arquivos, programas de computador e padrões de comunicação em redes de computadores, noção sobre
psicologia dos atacantes, seus perfis de comportamento e motivações que os levam a realizar um ataque.
Deverá também ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de ataques conhecidos
para que possa desta forma contribuir com a definição correta de quais contramedidas deverão ser adotadas pela
organização.
Para que um ataque ocorra, normalmente o atacante irá seguir os seguintes passos:
Principais tipos de ataque:
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante
irá explorar uma vulnerabilidade ou fraqueza do sistema. Estes ataques podem ser classificados como:
Ataque para Obtenção de Informações: Neste tipo de ataque é possível obter informações sobre um endereço
específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada
computador.
Ataque aos Sistemas Operacionais: Os sistemas operacionais atuais apresentam uma natureza muito complexa
devido a implementação de vários serviços, portas abertas por padrão, além de diversos programas instalados.
Muitas vezes a aplicação de patches e hotfixes não é tarefa tão trivial devido a essa complexidade: dos sistemas ,
da rede de computadores ou ainda pela falta de conhecimento e perfil do profissional de TI. Consequentemente os
atacantes procuram e exploram as vulnerabilidades existentes nos sistemas Operacionais para obter acesso para o
sistema de rede da organização.
Ataques à Aplicação: Na maioria das vezes para conseguir entregar os produtos no prazo acordado, os
desenvolvedores de software tem um tempo de desenvolvimento do produto muito curto. Apesar de muitas
organizações utilizarem metodologias baseadas na engenharia de software, as aplicações muitas vezes são
desenvolvidas com um grande número de funcionalidades e Recursos, seja para cumprir prazos ou por falta de
profissionais qualificados, não são realizados testes antes da liberaração dos produtos.
Além disso, normalmente as caracteristicas de segurança da aplicação são oferecidas posteriormente ou muitas das
vezes como um componente “add-on”. A não existência de controles de erros nas aplicações podem levar a ataques
por exemplo, de buffer overflow.
Ataques de códigos pré-fabricados (Shrink wrap code): Por que reinventar a roda se existem uma série de exemplos
de códigos já prontos para serem executados? Quando um administrador de sistemas instala um sistema
operacional ou uma aplicação, normalmente já existem uma série de scripts prontos, que acompanham a instalação
e que tornam o trabalho dosadministradores mais fácil e mais ágil.
Normalmente o problema na utilização destes scripts, é que não passaram por um processo de refinamento e
customização quanto as reais necessidades de cada administrador e quando utilizado em sua versão padrão
podem então conduzir a um ataque do tipo shrink wrap code, ou seja o atacante utiliza possível falhas de segurança
nestes scripts para realizar o ataque.
Ataques de configuração mal feita(misconfiguration): Muitos sistemas que deveriam estar fortemente seguros,
podem apresentam vulnerabilidades caso não tenham sido configurados adequadamente. Com a complexidade dos
sistemas atuais os administradores podem não ter os conhecimentos e recursos necessários para corrigir ou
perceber um problema de segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam
configurações simples. Para aumentar a probabilidade de configurar um sistema adequadamente os
administradores devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional,
evitando que algum serviço ou software não necessário possa ser explorado.
Principais tipos de ataque:
Packet Sniffing - Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede.
Este tipo de ataque também é conhecido como espionagem passiva e sua utilização diminuiu muito com a
utilização de switches no lugar dos hubs.
Port Scanning - Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do
protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços
estão ativos em cada porta.
A utilização de firewalls contribui muito para evitar esse tipo de ataque. Pois além de limitar as portas que poderão
ser acessadas, podemos definir os estados das conexões tcp que serão aceitos. Podemos, por exemplo, definir que
para a porta 21, somente o endereço IP xpto.xpto.xpto.xpto poderá acessar.
Como funciona o Port Scanning ? Um dos métodos de se implementar um port scanning é a partir do protocolo TCP
e através da primitiva connect() onde a system call connect() é utilizada para abrir uma conexão nas portas do alvo.
Se a porta estiver aberta, a system call retornará com sucesso.
Scanning de vulnerabilidades
Após mapear os sistemas que podem ser atacados e os serviços que são executados, o atacante irá mapear as
vulnerabilidades específicas para cada serviço através da utilização de um software de scanning de vulnerabilidades.
Estes softwares possuem diversos padrões e testes para detectar vulnerabilidades. Seu principal alvo são aplicativos
desatualizados, por exemplo: A versão de algum software utilizado na sua organização na qual foram achadas falhas
críticas de segurança mas que a equipe técnica, por não saber dessas falhas não atualizou a versão do mesmo.
Ip Spoofing - Nesta técnica o endereço IP real do atacante é alterado, evitando assim que ele seja encontrado.
Sistemas que possuem a segurança baseada em lista de endereço IP são o principal alvo desse tipo de ataque, onde
o atacante se passa por um usuário legítimo.
A melhor forma de tentar se proteger desse tipo de ataque é com a aplicação de filtros, de acordo com as interfaces
de rede onde os IPs são validados e as interfaces de rede por onde trafegam também.
SYN Flooding - Este tipo de ataque explora a metodologia de estabelecimento de conexões do protocoloTCP,
baseado no three-way-handshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é
enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então
um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a
disponibilidade do sistema.
Para relembrar:
Three-way-handshake
O protocolo TCP é um protocolo confiável, pertencente a pilha de protocolos TCP/IP. Para que ocorra troca de
dados entre dois computadores é necessário que as duas máquinas estabeleçam uma conexão. Essa conexão é
virtual e é conhecida como uma sessão e ocorre através de um processo chamado handshake de três vias, pois
ocorre em três etapas. Esse processo sincroniza os números de seqüência e fornece outras informações necessárias
para estabelecer a sessão:
Fragmentação de pacotes IP
Os pacotes do protocolo TCP/IP possuem um campo MTU (maximum transfer unit) que especifica a quantidade
máxima de dados que podem passar em um pacote por um meio físico da rede. Este tipo de ataque utiliza-se dessa
característica devido ao modo como a fragmentação e o reagrupamento são implementados. Os sistemas não
tentam processar o pacote até que todos os fragmentos sejam recebidos e reagrupados, isso cria a possibilidade de
ocorrer um overflow na pilha do protocolo TCP quando há o reagrupamento dos pacotes.
Smurf - O ataque smurf é idêntico ao ataque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo
UDP.
SQL Injection - um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados
através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções
SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
Buffer Overflow - Consequência direta de péssimos hábitos de programação. Consiste em enviar para um programa
que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o
padrão de entrada de dados.
Ataque físico
Muitas vezes as organizações investem em equipamentos do tipo firewalls e anti-vírus e pensam que estão
protegidos e esquecem que os ataque não ocorrem somente pela rede de computadores. As salas aonde ficam os
servidores e os equipamentos de rede devem ter um controle rígido de acesso, assim como os arquivos com dados
sigilosos ou sensíveis. Um ataque físico também pode ocorrer em instâncias menores como roubo da fita magnética
de backup, através da conexão de dispositivos USB, ou ainda por acesso as informações sigilosas.
Dumpster diving ou trashing
Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e
muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é
interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados
importantes) sejam triturados ou destruídos de alguma forma.
Engenharia Social
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do
usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou
informações. É um dos meios mais utilizados de obtenção de informações sigilosas e importantes.
Isso ocorre pois a maioria da empresas não possui métodos que protejam seus funcionários das armadilhas de
engenharia social. Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra
personalidade, fingir que é um profissional de determinada área, etc. Os ataques de engenharia social são muito
freqüentes, não só na Internet, mas no dia-a-dia das pessoas.
Phishing Scam
Phishing, também conhecido como phishing scam ou phishing/scam, é um método de ataque que se dá através do
envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar
dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e
financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como
um banco, empresa ou site popular.
Ataque de negação de serviço (DoS) Denial os Service
Um ataque de negação de serviço (também conhecido como DoS é uma tentativa em tornar os recursos de umsistema indisponíveis para seus utilizadores. Normalmente tem como objetivo atingir máquinas servidoras da WEB
de forma a tornar as páginas hospedadas nestes servidores indisponíveis. Neste tipo de ataque não ocorre uma
invasão no sistema mas a sua invalidação por sobrecarga. Estes tipos de ataques podem ser realizados de duas
formas:
-Forçando o sistema alvo a reinicializar ou consumir todos os seus recursos (como memória ou processamento) de
forma a não poder mais fornecer seu serviço.
-Obstruindo a mídia de comunicação entre os clientes e o sistema alvo de forma a não comunicarem-se
adequadamente.
Ataques coordenados (DDoS)
Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de
serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando
até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço.
Como o ataque funciona?
-Consiste em fazer com que os Zumbis se preparem para acessar um determinado recurso em um determinado
servidor em uma mesma hora de uma mesma data.
-Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo
recurso do mesmo servidor.
-Como servidores web possuem um número limitado de usuários que pode atender simultaneamente, o grande e
repentino número de requisições de acesso faz com que o servidor não seja capaz de atender a mais nenhum
pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.
Existem uma série de vírus e ferramentas que foram criadas para a distribuição de rotinas de ataque de negação de
serviço:
Sequestros de conexões
As conexões do protocolo TCP são definidas por quatro informações essenciais:
-endereço IP de origem;
-porta TCP de origem;
-endereço IP do destino;
-porta TCP do destino.
Todo byte enviado por um host é identificado com um número de sequência que é conhecido pelo receptor. O
número de sequência do primeiro byte é definido durante a abertura da conexão e é diferente para cada uma delas.
Neste tipo de ataque um terceiro host, do atacante, cria os pacotes com números de sequências válidos, colocando-
se entre os dois hosts e enviando os pacotes válidos para ambos.
Foram realizadas implementações no protocolo TCP/IP que praticamente inviabilizou esse tipo de ataque, que se
tornou famoso por ter sido utilizado pelo Mitnick em conjunto com outras técnicas.
Source Routing
Mecanismo legítimo que foi especificado para o protocolo IP, mas que pode ser explorado de forma ilícita. Neste
tipo de ataque define-se uma rota reversa para o tráfego de resposta, em vez de utilizar algum protocolo de
roteamento padrão.
Nesta aula, você:
Compreendeu o que são ataques à segurança da Informação e sua importância.
Estudou as etapas de planejamento de um ataque.
Conheceu os principais tipos de ataques.
Na próxima aula, aprenderemos o seguinte tema: Gestão de Riscos em Segurança da Informação
O estabelecimento do contexto e as etapas da gestão do risco;
Análise e avaliação do risco;
Tratamento, aceitação e comunicação do risco;
Monitoramento e revisão dos riscos.
1.
O que é o ataque denominado engenharia social?
1) Consistem em utilizar a persuasão, para obter informações que podem ser utilizadas para ter acesso não
autorizado a computadores ou informações.
2) Consiste em tornar os recursos de um sistema indisponíveis para seus utilizadores.
3) Consiste na verificação do lixo em busca de informações que possam facilitar o ataque;
4) Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede.
1
2.
O que é o ataque denominado DdoS?
1) tenta tornar os recursos de um sistema indisponíveis para seus utilizadores, porém de forma distribuída.
2) Explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake.
3) Tenta tornar os recursos de um sistema indisponíveis para seus utilizadores.
4) Mapeia as portas do protocolos TCP e UDP abertas em um determinado host.
1
3.
Quais as etapas, em ordem cronológica, de um planejamento de ataque?
1) Levantamento das informações, Exploração das informações (scanning), Obtenção do acesso, Manutenção do
acesso, Camuflagem das evidências;
2) Exploração das informações (scanning), Levantamento das informações, Obtenção do acesso, Manutenção do
acesso, Camuflagem das evidências;
3) Obtenção do acesso, Levantamento das informações, Exploração das informações (scanning), Manutenção do
acesso, Camuflagem das evidências;
4) Obtenção do acesso, Levantamento das informações, Manutenção do acesso, Exploração das informações
(scanning), Camuflagem das evidências;
1
Aula 6: Gestão de Riscos em Segurança da Informação
Nesta aula você irá compreender a Gestão de Riscos em Segurança da Informação:
1. Os conceitos básicos; 2. Como estabelecer o contexto do risco.
3. As etapas da gestão de risco; 4. A Análise e avaliação do risco.
5. O Tratamento dos riscos; 6. A Aceitação e comunicação do risco.
7. O monitoramento e revisão dos riscos; 8. Os Riscos, medidas de segurança e o ciclo de segurança.
Risco
Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é inerente a qualquer
atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades.Instituto
Brasileiro de Governança Corporativa.
Segundo a norma ABNT NBR ISO 31000:2009- Gestão de Risco, Princípios e Diretrizes, as organizações de todos os
tipos e tamanhos enfrentam influências e fatores internos e externos que tomam incerto se e quando elas atingirão
seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.
Ainda segundo a norma, todas as atividades de uma organização envolvem risco. As organizações devem gerenciar o
risco, identificando-o, analisando-o, e em seguida, avaliando se o risco deve ser modificado pelo tratamento do risco
a fim de atender a seus critérios de risco.
Ao longo de todo esse processo, elas comunicam e consultam as partes interessadas e monitoram e analisam
criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional
seja requerido.”
Como estabelecer o contexto do risco
Segundo Beal, os termos e definições do ISO guide 73, dizem respeito a todo e qualquer tipo de situação (ou evento)
que constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento. Como ele está
estruturado de uma forma genérica e básico para o entendimento comum a organizações de diversos países, é
necessário algumas adaptações para atender às necessidades dentro de um domínio específico.
Por exemplo, para as empresas do ramo do comércio/indústria, o risco é visto como a exposição às perdas baseada
nas freqüências estimadas e custo de concorrência. Já em um organização da área de saúde, segundo a resolução
CNS 196/96, o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social,
cultural.
Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover ajustes na terminologia
adotada, alterando-a e expandindo-a na medida do necessário para tratar a questão dentro do escopo que está
sendo estudada.
Alguns termos e definições:
Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.
Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco.
Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.
Incidente: Quandouma ameaça se concretiza.
Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas
existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando
dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes.
Risco
Probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre
associados à ocorrência de algum incidente.
Sua escala é dada por dois fatores:
Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das
vulnerabilidades;
Consequências trazidas pela ocorrência do incidente (impacto);
Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação, cujo valor compõe o
cálculo da estimativa do risco. Em muitos casos, a probabilidade associada a uma ameaça é calculada com base na
frequência de ocorrência ; em outros, quando dados de frequência não estão disponíveis, a probabilidade pode ser
estimada com base no grau de confiança atribuído a ocorrência.
Os risco não podem ser completamente eliminados e a porção do risco existente após todas as medidas de
tratamento terem sido tomadas é chamada de risco residual.
As medidas de proteção também chamada de controles, servem para elimar ou reduzir o risco, reduzindo a
probabilidade de concretização de uma ameaça, as vulnerabilidades que podem ser exploradas por essa ameaça ou
os impactos advindos de incidentes que venham a se concretizar.
Risco percebido: forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores,
interesses e prioridades.
Gestão de risco
Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa. O que torna algo
seguro ou não, está muito mais ligado à gerência de uma série de fatores do que à compra ou implementação de
uma solução de software ou hardware definitiva. No âmbito da segurança da informação, a gestão de riscos é
utilizada com o intuito de prevenir incidentes e melhorar o nível de segurança das informações sob o escopo do
Sistema de Gestão de Segurança da Informação (SGSI), sendo um dos componentes mais importantes. É por meio
deste processo que os riscos são identificados e tratados de forma sistemática e contínua.
Entender os riscos associados com o negócio e a gestão da informação.
Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações.
Melhorar a eficácia no controle de riscos
Manter a reputação e imagem da organização.
Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo
em geral e a definição do contexto em particular. Esse propósito pode ser:
Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
Conformidade legal e a evidência da realização dos procedimentos corretos;
Preparação de um plano de continuidade de negócios;
Preparação de um plano de resposta a incidentes;
Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo.
Segundo a norma AS/NZS 4360, podemos definir a gestão de risco como:
“Cultura, estruturas e processos voltados ao reconhecimento de oportunidades potenciais concomitantemente ao
gerenciamento de seus efeitos adversos.”
E segundo a norma NBR ISO 27002:
“Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o risco”.
Primeira norma do mundo sobre Gestão de Riscos: AS/NZS 4360:2004
Etapas da Gestão de Risco
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e
utiliza o ciclo do PDCA, que nos permite entender a gestão do Risco como um processo contínuo:
Uma forma mais detalhada e que facilita a análise do processo de gestão de risco é apresentada a seguir,
cobrindo todo o ciclo de vida do risco, desde a sua identificação até a sua comunicação às partes envolvidas:
Análise e avaliação dos riscos
Cobre todo o processo de identificação das ameaças e estimativa de risco. Inicia-se com a identificação dos riscos e
seus elementos, já estudados anteriormente:
A decomposição do risco (na figura anterior) e seus componentes e a posterior avaliação da “características
mensuráveis” desses componentes levam a uma estimativa do valor do risco, que pode depois ser comparado com
uma referência para que sua relevância seja determinada, possibilitando a tomada de decisão quanto a aceitá-lo ou
tratá-lo.
Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que costumam ser
classificadas como : Quantitativa e Qualitativa.
Método Quantitativo:
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes
associados ao risco.O risco é representando em termos de possíveis perdas financeiras.
Os métodos quantitativos costuma ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de
resultados representativos e pela sua complexidade.
Método Qualitativo:
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais
subjetivas como alto, médio e baixo. O que torna o processo mais rápido. Os resultados dependem muito do
conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Vários métodos
de avaliação qualitativa do risco utilizam questionários e matrizes de risco como a apresentada ao lado:
Tratamento dos riscos
Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente
identificados. Existem várias classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação
possível é:
Comunicação do risco
Divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não, a todas as
partes envolvidas que precisem ter conhecimento a respeito deles. Uma das melhores formas de se comunicar os
riscos de maneira genérica, com o intuito de notificar os colaboradores a respeito deles, é desenvolver e manter
campanha de conscientização de segurança.
Riscos, medidas de segurança e o ciclo de segurança
Segundo Sêmola, para um melhor entendimento da amplitude e complexidade da segurança, é comum estudarmos
os desafios em camadas ou fases para tornar mais claro o entendimento de cada uma delas. Estas fases são
chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma participação importante no objetivo
maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita
integração e interação:
Barreira1: Desencorajar
Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas,
por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de
segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo,
mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase.
Barreira 02: Dificultar
O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o
acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
Barreira 03: Discriminar
Aqui o importante é se cercar derecursos que permitam identificar e gerir os acessos, definindo perfis e autorizando
permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de
telefonia, perímetros físicos, aplicações de computador e banco de dados.
Barreira 04: Detectar
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores
da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação
por vírus, por exemplo.
Barreira 05: Deter
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O
acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não
foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações
administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
Barreira 06: Diagnosticar
Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a
continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira,
criando um movimento cíclico e contínuo. Devido a estes fatores é a barreira de maior importância. Deve ser
conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e
humanos.
Equação do risco
Cada negócio, independente de seu segmento de mercado possui dezenas ou centenas de variáveis que se
relacionam direta e indiretamente com a definição de seu nível de risco.
O risco é a probabilidade de que agentes, que são as ameaças, explorem vulnerabilidades, expondo os ativos a
perdas de confidencialidade, integridade e disponibilidade, e causando impacto nos negócios.
Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças
explorem as vulnerabilidades, diminuindo , assim o risco.
Por melhor que estejam protegidos os ativos, novas tecnologias, mudanças organizacionais e novos processos
podem criar vulnerabilidades ou identificar e chamar a tenção para as já existentes. Além disso, novas ameaças
podem surgir e aumentar significativamente a possibilidade de impactos no negócio.
É fundamental que todos tenhamos a consciência de não existe segurança total, e por isso, devemos estar bem
estruturado para suportar mudanças nas variáveis da equação, reagindo com velocidade e ajustando o risco
novamente aos padrões pré-especificados como ideal para o negócio e lembrando que sempre será necessário
avaliar o nível de segurança apropriado para cada momento vivido pela empresa.
Nesta aula, você:
Aprendeu sobre a Gestão de Riscos em Segurança da Informação.
Estudou os conceitos básicos e como estabelecer o contexto do risco.
Compreendeu as etapas da gestão de risco (análise, tratamento, aceitação, comunicação, monitoramento e
revisão do risco).
Conhecemos as barreiras de segurança e a equação do risco.
1.
O que é analise de risco?
1) Pessoas, processos, tecnologia e ambiente;
2) Tecnologia, programas, aplicativos e testes;
3) Pessoas, vulnerabilidades, ameaças e tecnologia;
4) dado, informação, conhecimento, processo;
1
2.
Os riscos não podem ser completamente eliminados e a porção do risco existente
após todas as medidas de tratamento terem sido tomadas, chama-se?
1) Risco de transação;
2) Risco residual
3) Risco analítico
4) Risco estrutural
2
3.
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma
organização lida com o risco. Baseado no ciclo de vida da gestão de risco, quais são as
quatros atividades principais:
1) Avaliação do Risco, Tratamento do Risco, Aceitação do Risco, Comunicação do Risco;
2) Avaliação do Risco, Aceitação do Risco, Tratamento do Risco, Comunicação do Risco;
3) Comunicação do Risco, Aceitação do Risco, Tratamento do Risco, Avaliação do Risco;
4)
1
Na próxima aula você irá estudar sobre os assuntos seguintes:
Tema: Segurança da Informação Segundo a NBR ISO/IEC 27002 (antiga ISO 17799)
Assunto 1: Conceitos de segurança da informação
Assunto 2: Normas de segurança da Informação
Assunto 3: Gestão de Riscos segundo a NBR 27001
Assunto 4: Política de segurança
Assunto 5: Segurança Organizacional
Assunto 6: Classificação e controle dos ativos
Assunto 7: Segurança em pessoas
Assunto 8: Segurança física e do ambiente
Assunto 9: Gerenciamento das operações e comunicações
Assunto 10: Controle de Acesso
Assunto 11: Desenvolvimento e Manutenção de Sistemas
Assunto 12: Gestão de incidentes de segurança da informação
Assunto 13: Gestão da Continuidade do Negócio
Assunto 14:Conformidade
Aula 7: Segurança da Informação Segundo a NBR ISO/IEC 27002 (antiga ISO
17799)
Nesta aula, você irá:
Compreender a norma NBR ISO/IEC 27002
1. Conhecer os Conceitos de Segurança da Informação.
2. 7.2.Normas de Segurança da Informação.
3. 7.3.Gestão de Riscos segundo a NBR 27001.
4. 7.4.Política de segurança.
5. 7.5.Segurança Organizacional.
6. 7.6.Classificação e controle dos ativos.
7. 7.7.Segurança em pessoas.
8. 7.8.Segurança física e do ambiente.
9. 7.9.Gerenciamento das operações e comunicações.
10. 7.10.Controle de Acesso.
11. 7.11.Desenvolvimento e Manutenção de Sistemas.
12. 7.12.Gestão de incidentes de segurança da informação.
13. 7.13.Gestão da Continuidade do Negócio.
14. 7.14.Conformidade.
ISO é uma palavra derivada do grego isos (igual), que aparece como prefixo em termos tais como: isometria
(qualidade de medidas e dimensões), isonomia (igualdade das pessoas perante à lei). Por decorrência,
associa-se iso (igual) a "padrão", o que levou a uma linha de pensamento que redundou na escolha de ISO
como identificação mundial da International Organization for Standardization, para evitar a infinidade de
siglas resultantes da tradução em diversas línguas dessa Organização Não Governamental criada em 1947 e
sediada em Genebra, na Suíça.
Para que a ISO represente o consenso de diferentes países é necessário que haja participação destes países
nas discussões e decisões.
Internamente x Externamente
Validação dos dados de entrada
Controle do processamento interno
Validação dos dados de saída
Nesta aula, você:
Compreendeu a importância da utilização padrões.
Conheceu as família ISO/IEC 27000.
Estudou os principais itens da norma ISO/IEC 27001.
Na próxima aula, aprenderemos o seguinte tema: Gestão de Segurança da Informação Segundo a NBR
ISO/IEC 27001
Assunto 1: Objetivo
Assunto 2: Abordagem de processo de gestão do SGSI
Assunto 3: Aplicação da norma
Assunto 4: Sistema de gestão de segurança da informação (SGSI)
Assunto 5: Responsabilidades da direção
Assunto 6: Auditorias internas do SGSI
Assunto 7: Análise crítica do SGSI pela direção
Assunto 8: Melhoria do SGSI
1.
Sobre a Norma ISO/IEC 27001 podemos afirma que:
1) Apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação;
2) Tem como objetivo tratar a gestão de risco da informação;
3) Tem como objetivo tratar a recuperação e continuidade de negócios;
4) É um código de melhores práticas de segurança da informação;
1
2.
Sobre a Norma ISO/IEC 27005 podemos afirma que:
1) Tem como objetivo a certificação do sistema de gestão de segurança da informação;
2) Tem como objetivo tratar a gestão de risco da informação;
3) Tem como objetivo tratar a recuperação e continuidadede negócios;
4) É um código de melhores práticas de segurança da informação;
2
3.
Sobre a Norma ISO/IEC 27002 podemos afirma que:
1) Tem como objetivo a certificação do sistema de gestão de segurança da informação;
2) Tem como objetivo tratar a gestão de risco da informação;
3) Tem como objetivo tratar a recuperação e continuidade de negócios;
4) É um código de melhores práticas de segurança da informação;
4
Aula 8: Gestão de Segurança da Informação segundo a NBR ISO/IEC 27001
Conhecer a norma que trata da implementação da Gestão de Segurança da Informação - NBR ISO/IEC 27001
Objetivo. 2. Abordagem de processo de gestão do SGSI. 3. Aplicação da norma. 4. Sistema de gestão de segurança
da informação (SGSI). 5. Responsabilidades da direção. 6. Auditorias internas do SGSI. 7. Análise crítica do SGSI
pela direção. 8. Melhoria do SGSI
Nesta aula, você:
Conheceu o objetivo e a aplicação da norma NBR ISO/IEC 27001 e a sua abordagem do processo de gestão
do SGSI.
Estudou as recomendações para a implementação de um Sistema de gestão de segurança da informação
(SGSI).
Compreendeu o conceito da Responsabilidades da direção dentro do contexto de um SGSI; a importância
das Auditorias internas, da análise crítica e melhoria do SGSI.
Na próxima aula, você irá estudar os seguintes assuntos:
Tema: Gestão da Conformidade do Negócio Segundo a NBR ISO/IEC 15999
Objetivo e escopo
Termos e definições
Visão geral da gestão da continuidade de negócios (GCN)
Elementos do ciclo de vida da gestão da continuidade de negócios
1.
Sobre a Norma ISO/IEC 27001 podemos afirma que:
1) Apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação;
2) Tem como objetivo tratar a gestão de risco da informação;
3) Tem como objetivo tratar a recuperação e continuidade de negócios;
4) É um código de melhores práticas de segurança da informação;
1
2.
O que é a declaração de aplicabilidade?
1) A relação de quais controles são aplicáveis e as justificativas dos que não são aplicáveis ao seu SGSI;
2) Os pontos específicos que definem o que deve ser feito para assegurar aquele item;
3) A política do Sistema de Gestão de Segurança da Informação (SGSI);
4) O resultado da avaliação de risco;
1
3.
Para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI) documentado e dentro do contexto das
atividades de negócio da organização e dos riscos que ela enfrenta, a norma ISO/IEC 27001 utiliza uma abordagem:
1) de processo;
2) de risco;
3) de controle;
4) de negócio;
1
Aula 9: Gestão da Conformidade do Negócio Segundo a NBR ISO/IEC 15999
Compreender Gestão da Continuidade do Negócio Segundo a NBR ISO/IEC 15999
1. Objetivo e escopo.
2. Termos e definições.
3. Visão geral da gestão da continuidade de negócios (GCN).
4. Elementos do ciclo de vida da gestão da continuidade de negócios.
Os desastres são eventos de grande magnitude em termos de prejuízo, porém, com probabilidade muito baixa de
ocorrência. Um desastre é sempre um incidente, mas só podemos definir se um incidente se tornou um desastre
depois de avaliarmos suas consequências.
A diferença entre estes termos é que o incidente é um evento imprevisto e indesejável que poderia ter resultado em
algum tipo de dano à pessoa, ao patrimônio ou ainda algum tipo de impacto ao meio ambiente, mas não resultou. O
desastre é um evento que efetivamente gerou danos humanos, materiais e ambientais.
As características desse tipo de evento, o desastre, fazem com que as organizações tenham a necessidade de
implantar planos abrangentes de continuidade de negócio, visando a preservação da integridade física dos
colaboradores da organização, bem como proteções adequadas que garantam o funcionamento dos processos e
informações no menor espaço de tempo possível que, caso sejam seriamente afetados, possam comprometer a
própria existência da organização.
NBR ISO/IEC 15999:1
Objetivo e Escopo
A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de
negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de
negócios. Serve como referência única para a maior parte das situações que envolve a continuidade de negócio,
podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais,
públicos e de caráter voluntário.
Termos e Definições
A norma NBR ISSO/IEC 15999:1 estabelece alguns termos e definições:
Alta Direção: Pessoa ou grupo de pessoas que dirige e controla um organização em seu nível mais alto.
Continuidade de negócios: Capacidade estratégica e tática da organização de se planejar e responder a incidentes e
interrupções de negócios, para conseguir continuar suas operações em um nível aceitável previamente definido.
Estratégia de continuidade de negócio: abordagem de um organização que garante a sua recuperação e
continuidade, ao se defrontar com um desastre, ou outro incidente maior ou interrupção de negócios.
Impacto: consequência avaliada de um evento em particular.
Incidente: situação que pode representar ou levar a uma interrupção de negócios, perdas, emergências ou crises.
Interrupção: evento, seja previsto (por exemplo, uma greve ou furação) ou não (por exemplo, um blecaute ou
terremoto) que cause desvio negativo imprevisto na entrega e execução de produtos ou serviços da organização de
acordo com seus objetivos.
Período máximo de interrupção tolerável: Duração a partir da qual a viabilidade de uma organização será ameaçada
de forma inevitável, caso a entrega de produtos ou serviços não possa ser reiniciada.
Planejamento de emergência: desenvolvimento e manutenção de procedimentos acordado de forma a prevenir,
reduzir, controlar, mitigar e escolher ações a serem tomadas no caso de uma emergência civil.
Plano de continuidade de negócio(PCN): Documentação de procedimentos e informações desenvolvidas e mantida
de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha
suas atividades críticas em um nível aceitável previamente definido.
Plano de gerenciamento de incidentes: Plano de ação claramente definido e documentado, para ser usado quando
ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam
necessárias para implementar o processo de gerenciamento de incidentes.
Programa de gestão de continuidade de negócio: Processos contínuos de gestão e governança que são suportados
pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo
tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação
viáveis e garantir a continuidade de fornecimento de produtos e serviços por meio de treinamentos, testes,
manutenção e análise críticas.
Resiliência: capacidade de uma organização de resistir aos efeitos de um incidente.
Visão geral da Gestão da Continuidade de Negócios (GCN)
A gestão de continuidade de negócio permite uma visão total da organização e facilita o relacionamento com as
diversas áreas. É um processo da organização que estabelece uma estrutura estratégica e operacional adequada
para:
Melhorar pro ativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir
seus objetivos; Prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais
produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma
interrupção; Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e
reputação da organização.
É importante que a GCN esteja nonível mais alto da organização para garantir que as metas e objetivos definidos
não sejam comprometidos por interrupções inesperadas, que podem ter consequências tanto para a reputação da
organização como até mesmo sua sobrevivência. Além disso a GCN deve ser vista como uma complementação à
estrutura da gestão de risco que busca entender os riscos das operações e negócios e suas consequências. Neste
caso a GCN irá identificar os produtos e serviços dos quais a organização depende para sobreviver e será capaz de
identificar o que é necessário para que a organização continue cumprindo suas obrigações.
Elementos do ciclo de vida da Gestão da Continuidade de Negócios
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser
implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do
programa de GCN e o esforço gasto.
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos
produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para
cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um
nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma
estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os
passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá
ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a
interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua
inclusão na cultura da empresa.
Gestão do programa de GCN
Para que um programa de GCN seja implementado nas organizações e alcance os objetivos definidos na Política de
Continuidade de Negócios a gestão deste programa deverá envolver as seguintes atividades:
Atribuição de responsabilidades
A organização deverá nomear um ou mais pessoas para implementar ou manter o programa de GCN e documentar
os papéis e responsabilidades nas descrições de trabalho e grupos de habilidades da organização. A documentação
de um GCN deverá incluir os seguintes documentos:
-Política de GCN: declaração de escopo e termos de referência ;
-Análise de impacto danos negócios (BIA);
-Avaliação de riscos e ameaças;
-Estratégias de GCN;
-Programa de conscientização;
-Programa de treinamento;
-Planos de gerenciamento de incidentes;
-Planos de continuidade de negócio;
-Planos de recuperação de negócios;
-Agenda de testes e relatórios;
-Contratos e acordos de níveis de serviço.
Implementação da continuidade de negócios na organização
A implementação da continuidade de negócio nas organizações incluem as fases de : planejamento,
desenvolvimento e implementação do programa. Nesta fase é importante que a organização comunique as partes
interessadas de forma que todos os envolvidos tenham acesso as informações sintam-se envolvidos pelo
processo. Realize capacitação da equipe envolvida e ainda teste a capacidade de continuidade de negócios da
organização.
Gestão contínua da continuidade de negócios
Esta atividade deve assegurar que a continuidade de negócios seja incorporada na cultura e atividade da
organização. O processo se dá através da realização da análise crítica, do exercício e da atualização de cada
componente envolvido neste processo.
Para que seja realizada a manutenção continua e independentemente de como sejam alocados os recursos para a
continuidade de negócio na organização, algumas atividades desse ser executadas:
-Definição dos escopo, papéis e responsabilidades;
-Nomeação de uma ou mais pessoas para gerenciar o GCN;
-Manutenção do programa de GCN através da implementação das melhores práticas utilizadas;
-Promoção da continuidade de negócios por toda a organização de forma ampla;
-Administração do programa de testes.
-Análise crítica e atualização da capacidade de continuidade de negócios, análise de riscos e análise de impacto de
negócio (BIA);
-Manutenção da documentação do GCN;
-Gerenciamento dos custos associados à GCN;
-Estabelecimento e monitoramento do gerenciamento de mudanças;
Política de gestão da continuidade de negócios
Segundo a norma NBR ISO/IEC 15999 os propósitos de se estabelecer uma política de continuidade de negócio são:
Garantir que todas as atividades de GCN sejam conduzidas e implementadas de modo controlado e conforme o
combinado; Alcançar uma capacidade de continuidade de negócios que vá ao encontro das necessidades do negócio
e que seja apropriada ao tamanho, complexidade e natureza da organização; e implementar uma estrutura
claramente definida para a capacidade contínua de GCN.
Análise do Impacto do negócio (BIA)
É imprescindível que a equipe responsável pela elaboração e implementação da continuidade de negócio defina e
documente o impacto das atividades que suportam seus produtos e serviços. A esse processo damos o nome de
análise de impacto nos negócios e que é conhecido mundialmente por BIA(Business Impact Analysis). A análise do
impacto dos negócios é fundamental para fornecer informações para o perfeito dimensionamento das demais fases
de elaboração do plano de continuidade de negócio.
O objetivo desta análise é levantar o grau de relevância dos processos ou atividades que compõe a entrega de
produtos e serviços fundamentais para a organização e dentro do escopo do programa de GCN. Deve ser mapeado
os ativos físicos, tecnológicos e humanos, assim como quaisquer atividades interdependentes que também precisem
ser mantidos continuamente ou recuperados ao longo do tempo de cada processo ou atividade, para então apurar
os impactos quantitativos que poderiam ser gerados com a sua paralisação total ou parcial.
É possível neste momento, estabelecer o período máximo de interrupção tolerável de cada atividade através da
relação entre o:
Quando falamos de impacto estamos nos referindo aos impactos que a organização considere que estejam
relacionados com os seus objetivos de negócio. Eles podem ser:
Identificação das atividades críticas
Após a realização do levantamento e da análise do impacto do negócio, a organização deve categorizar suas
atividades de acordo com suas prioridades recuperação.
Mas como classificar as atividades?
Atividades cuja perda, baseado no resultado do BIA, teriam o maior impacto no menor tempo e que necessitem
ser recuperadas mais rapidamente devem ser chamadas de atividades críticas.
A organização deve considerar também que existem outras não consideradas críticas mas que devem ser
recuperadas dentro do seu período máximo de interrupção tolerável.
O período de tempo máximo para a restauração das atividades pode variar entre segundos e meses, dependendo da
natureza da atividade.
organização deverá estimar os recursos que cada atividade necessitará durante sua recuperação :
Identificação das ameaças das atividades críticas
A organização deverá no contexto da GCN entender os nível do risco no que diz respeito às atividades críticas da
organização e aos riscos de uma interrupção destas. Desta forma é importante que a organização entenda as
ameaçase vulnerabilidades de cada recurso envolvido e o impacto que haveria se uma ameaça se tornasse um
incidente e causasse uma interrupção no negócio, através de uma análise de risco.
Determinando a estratégia de continuidade de negócios
A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e
seus efeitos. Na adoção destas medidas deverão ser levado em consideração os seguintes fatores:
A organização deve considerar que para a continuidade dos negócios podem ser necessárias o estabelecimento de
estratégias para todos os recursos envolvidos nos processos considerados críticos, tais como: pessoas, instalações,
tecnologia, informação, suprimentos e partes interessadas.
Determinando a estratégia de continuidade de negócios
A organização deve definir uma estratégia de resposta a incidente que permita uma resposta efetiva e uma
recuperação pós-incidente e também a implementação de uma estrutura que caso ocorra um acidente possa
rapidamente ser formada. Esta equipe pode receber a denominação de equipe de gerenciamento de incidente ou
equipe de gerenciamento de crise.
A estrutura implementada deve possuir: planos, processos e procedimentos de gerenciamento de incidentes,
ferramentas de continuidade de negócio, planos para ativação, operação, coordenação e comunicação de resposta
ao incidente.
No caso de um incidente a organização deverá ser capaz de:
-Confirmar a natureza e extensão do incidente;
-Tomar controle da situação;
-Controlar o incidente;
-Comunicar-se com as partes interessadas;
Os planos elaborados, sejam de gerenciamento de incidentes, continuidade ou de recuperação de negócios, devem
ser concisos, de fácil leitura e compreensão e estar acessíveis à todos que tenham responsabilidades definidas
nesses planos e devem conter:
Determinando a estratégia de continuidade de negócios
Para que a organização garanta que as implementações de continuidade de negócios e de gerenciamento de
incidentes sejam considerados confiáveis e que estão atualizados é necessário que sejam verificados através de
testes, auditoria e auto-avaliação.
Deve implementar também um programa de manutenção do GCN claramente definido e documentado. O programa
deve garantir que quaisquer mudanças internas ou externas que causem um impacto à organização sejam analisadas
criticamente quanto à GCN, inclusive a inclusão de novos produtos e serviços.
A realização da análise crítica da capacidade de GCN da organização, irá garantir sua aplicabilidade,
adequação, funcionalidade e conformidade com a política de GCN da organização, leis, normas e melhores
práticas. Pode ser realizada através de auditoria ou auto-avaliação.
Testes
Auditoria
Processos de auto avaliação
Incluindo a GCN na cultura da organização
Para que a continuidade de negócios tenha êxito na organização, é necessário que se torne parte da gestão da
organização. Em cada fase do processo de GCN, existem oportunidades de se introduzir e melhorar a cultura de GCN
na organização, tornando-se parte dos valores básicos e da gestão da organização. Este processo é divido
basicamente nas fases de desenvolvimento, promoção e incorporação da cultura pela organização, sendo suportado
por:
A organização deve estabelecer um processo para identificar e implementar os requisitos de conscientização de GCN
por meio da educação permanente, além de um programa de informação para toda a equipe. É necessário também
a avaliação permanente desta implementação com o objetivo de avaliar a eficiência.
Nesta aula, você:
Conheceu o processo de Gestão da Continuidade do Negócio segundo a NBR ISO/IEC 15999.
Conheceu seu objetivo, escopo, termos e definições.
Compreendeu o processo de gestão e o ciclo de vida da continuidade de negócios (GCN) dentro das
organizações.
Tema: Estratégias de Proteção .
Assunto 1: Proteção em camadas.
Assunto 2: Melhores práticas: Cuidados com senhas, Educação dos usuários, Controle de acessos, Uso eficaz
de antivírus e antispywares, Backups (cópia de segurança), Plano de continuidade de negócios, Criptografia
e certificação digital.
1.
Quais os processos que compões o ciclo de vida da continuidade de negócio?
1) Gestão do programa de GCN, Determinando a estratégia de continuidade de negócios, Desenvolvendo e
implementando uma resposta de GCN, Testando, mantendo e analisando criticamente os preparativos de GCN,
Incluindo a GCN na cultura da organização;
2) Gestão do programa de GCN, Análise do impacto do negócio (BIA), Análise de risco do negócio, mantendo e
analisando criticamente os preparativos de GCN, Incluindo a GCN na cultura da organização;
3) Determinando a estratégia de continuidade de negócios, Desenvolvendo e implementando uma resposta de
GCN, Implementando a Política de continuidade de negócio, Testando, mantendo e analisando criticamente os
preparativos de GCN;
4) Desenvolvendo e implementando uma resposta de GCN, Análise de impacto do negócio (BIA), Testando,
mantendo e analisando criticamente os preparativos de GCN, Incluindo a GCN na cultura da organização;
1
2.
No contexto da continuidade de negócio qual o conceito de desastre:
1) Eventos de grande magnitude em termos de prejuízo, porém com probabilidade muito baixa de
ocorrência;
2) Eventos de grande magnitude em termos de prejuízo, com probabilidade muito alta de ocorrência;
3) Evento imprevisto e indesejável que resulta em algum tipo de dano financeiro à empresa;
4) Evento imprevisto e indesejável que poderia ter resultado em algum tipo de dano à pessoa, ao patrimônio ou
ainda algum tipo de impacto ao meio ambiente mas não resultou;
1
3.
O que contem um Plano de resposta a incidentes?
1) As tarefas e ações para administrar as consequências imediatas de uma interrupção de negócios;
2) A lista de tarefas e ações em ordem de prioridade para a continuidade do negócio;
3) O grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais
para a organização e dentro do escopo do programa de GCN;
4) As ações para avaliar a competência de GCN e sua capacidade de identificar falhas reais e potenciais;
1
Aula 10: Estratégias de Proteção
Nesta aula, você irá:
Conhecer as principais estratégias de proteção aplicadas nas organizações através da implementação de:
1. Proteção em camadas.
2. do estudo das melhores práticas:
Cuidados com senhas.
Educação dos usuários.
Controle de acesso.
Uso eficaz de antivirus e antispywares.
Backups (cópia de segurança).
Plano de continuidade de negócios.
Criptografia e certificação digital.
Segundo (Guimarães, Oliveira & Lins) é necessário que se compreenda que nenhum componente único poderá
garantir um sistema de segurança adequado para uma rede corporativa e que possa defendê-la com perfeição
contra ataques. Existem várias estratégias de proteção que podem ser utilizadas. Uma destas estratégias é a
implementação de um modelo de proteção em camadas. Este modelo tem como objetivo dificultar invasões que
comprometam a integridade, a autenticidade e o sigilo das informações que trafegam em uma rede IP, definindo
componentes com base nas necessidades específicas de cada empresa.
Segundo Northcutt, podemos pensar na segurança de rede como uma cebola. Quando descascamos a camada
mais externa, muitas camadas permanecem por baixo.
Este modelo, também conhecido como Defesa em profundidade, refere-se à aplicação de defesas distintas, de
controles complementares para no caso de uma falha ou violação de um ativo, existam outros controles e não
torne o sistema como um todo vulnerável e restrito a somente um único controle.
Para que possamos implementar o modelo de defesa em profundidade torna-se necessário a segmentação
inteligente dos ativos daorganização de forma que seja possível a aplicação de controles adequados. É preciso
estabelecer o perímetro de segurança. Segundo Sêmola, a teoria do perímetro esta associado a
compartimentalização de espaços físicos e lógicos e ao papel de alerta e mecanismos de resistência distribuído por
áreas, a fim de permitir que tentativas de acesso indevido e invasão gerem sinais de alerta e encontrem
resistências que propiciará tempo para que as medidas contingenciais sejam tomadas antes da ação avançar ainda
mais em direção do alvo.
Sistema de Detector de Intrusos (IDS)
Tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das
informações disponíveis em um sistema de computação ou rede. Caso detecte alguma anomalia suspeita ou ilegal,
gera uma notificação para alertar o administrador da rede e / ou automaticamente disparar contra-medidas. Para
realizar a detecção várias tecnologias podem ser utilizadas: análise estatística, inferência, inteligência artificial,
data mining, redes neurais e diversas outras. Podem ser classificados em relação a:
Zona Desmilitarizada (DMZ)
São pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a
outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Muitos autores apresentam o conceito de
DMZ suja e DMZ protegida ou também conhecida por screened subnets. Em uma DMZ suja os servidores estariam
conectados diretamente na interface do roteador sem a proteção do firewall enquanto que uma DMZ protegida ou
screened subnets está protegida por um firewall ou outro dispositivo de filtragem, hospedando normalmente
serviços públicos, como DNS e correio eletrônico por exemplo.
Cuidados com senhas
Segundo a cartilha de sergurança para internet, produzida pelo CERT, a senha utilizada pelos usuários tanto para
acessar a Internet quanto aos sistemas computacionais da organização é utilizada no processo de verificação da
identidade do usuário, assegurando que este é realmente quem diz ser, ou seja, é utilizada no processo de
autenticação. Caso uma outra pessoa tem acesso a senha de algum usuário da rede poderá utilizá-la para se passar
por alguém da empresa.
Portanto, é muito importante a conscientização de todos os usuários da organização quanto a utilização e proteção
das senhas, pois é de responsabilidade de cada usuário da organização.
Educação dos usuários
Para que a implementação da política de segurança seja efetiva deve ser claramente comunicada às pessoas de
uma organização. Segundo a norma ISO/IEC 27001 no item que trata sobre Conscientização, educação e treinamento
em segurança da informação:
A organização deve assegurar que os usuários e demais envolvidos no SGSI estejam cientes das ameaças e das
preocupações de segurança da informação e equipados para apoiar a aplicação da política de segurança da
organização durante a execução normal do seu trabalho.
Devem ser treinados nos procedimentos de segurança e no uso correto das instalações de processamento da
informação, de forma a minimizar possíveis riscos de segurança.
A comunicação é outro ponto importante a ser observardo na elaboração de uma campanha de conscientização.
A comunicação acontece quando duas pessoas têm o mesmo interesse ou os interesses são comuns e
consequentemente a mensagem flui.
Pode ser ser classificada como:
O que é um programa de conscientização de segurança em TI ?
É um conjunto de atividades e materiais associados, planejados para promover e manter uma situação em uma
organização onde os funcionários tenham um alto nível de consciência sobre segurança
Um programa de conscientização de segurança é portanto um processo contínuo que visa mudar o modo como
pessoas pensam e agem. Um bem sucedido programa de conscientização de segurança de TI deve mudar o modo
como o usuário de sistema pensa e age, de forma que a segurança de TI torne-se parte das atividades de negócios
da empresa.
Alguns cuidados devem ser tomados em relação ao local onde são guardados os backups:
-O acesso ao local deve ser restrito, para evitar que pessoas não autorizadas roubem ou destruam os backups;
-O local deve ser protegido contra agentes nocivos naturais (poeira, calor, umidade);
-Se possível, é aconselhável que o local seja também `a prova de fogo.
Plano de continuidade de negócios
Tem como objetivo garantir a continuidade de processo e informações vitais à sobrevivência da empresa, no
menor espaço de tempo possível, com o objetivo de minimizar os impactos do desastre, conforme já estudado na
aula 9.
Seja qual for o objeto da contingência – uma aplicação, um processo de negócio, um ambiente físico e, até mesmo
uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o
objeto a operar sob um nível de risco controlado.
Estratégias de Contingência
Warm-site
Realocação de operação
Bureau de serviço
Acordo de reciprocidade
Cold-site
Hot-site
Criptografia
A eficiência e eficácia dos serviços de segurança em ambientes de redes, como a privacidade, autenticidade,
integridade, não repúdio e controle de acesso, está diretamente relaciona às técnicas de criptografia utilizadas. A
criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. È parte de um campo de
estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para:
Como funciona a criptografia?
Podemos descrever o processo de criptografia como:
O emissor no caso Alice, gera uma mensagem original chamada de texto simples ou texto puro. Para enviar a
mensagem alice utiliza uma chave e um algoritmo de cifragem e gera um texto cifrado que é transmitido para um
receptor. Ao chegar ao receptor, no caso BOB, este texto passa pelo processo inverso, chamado de decifragem,
resultando no texto simples original. A mensagem deverá ser incompreensível para quem não tem autorização para
lê-la, no caso Trudy, pois não possui a chave para decifrar a mensagem a emissão.
Criptografia de chave simétrica ou privada
A criptografia de chave única utiliza a mesma chave tanto para a codificar quanto para decodificar mensagens sendo
conhecida por ambos os lados do processo. Apesar deste método ser bastante eficiente em relação ao tempo de
processamento, ou seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a
necessidade de utilização de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades
que desejem trocar informações criptografadas.
Criptografia de Chave Assimétrica ou pública
Os algoritmos assimétricos utilizam-se de duas chaves diferentes, uma em cada extremidade do processo. As duas
chaves são associadas através de um relacionamento matemático, pertencendo a apenas um participante, que as
utilizará para se comunicar com todos os outros de modo seguro.
Essas duas chaves são geradas de tal maneira que a partir de uma delas não é possível calcular a outra a um custo
computacional viável, possibilitando a divulgação de uma delas, denominada chave pública, sem colocar em risco o
segredo da outra, denominada chave secreta ou privada Uma das chaves será utilizada para codificar e outra para
decodificar mensagens. Neste método cada pessoa ou entidade mantém duas chaves:
Assinatura digital
A assinatura digital consiste na criação de um código, através da utilização de uma chave privada, de modo que a
pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo
quem diz ser e identificar qualquer mensagem que possa ter sido modificada. Assinatura digital tenta resolver o
problema de autencidade de documentos digitais. Tem como objetivos garantir:
A assinatura digital faz uso da criptografia assimétrica, utilizando um par de chaves,uma privada e outra pública. A
chave privada serve para assinar o documento, enquanto que a pública serve para verificar a assinatura. Porém
pode-se utilizar a chave simétrica também.
Na assinatura digital com chave simétrica existe uma autoridade central na qual todas as entidades confiam e que
possue o conhecimentos de todas as chaves secretas dessas entidades. Somente a entidade comunicante e a
entidade centralizadora conhecem a chave secreta
Certificação Digital
O certificado digital é um arquivo assinado eletronicamente por um entidade confiável chamada Autoridade
Certificadora (CA). Um certificado tem como objetivo um dos objetivos associar a chave pública a uma pessoa física
ou jurídica, servindo como um mecanismo para a divulgação da chave pública. A autoridade Certifcadora verifica a
identidade do sujeito e emite o certificado digital.
Os certificados digitais não são secretos ou protegidos, qualquer entidade que conheça a chave pública da CA pode
examinar o conteúdo e confirmar a autenticidade de um certificado emitido por essa Autoridade, uma vez quea CA
assina os certificados com a sua chave pública. Informações presentes nos certificados:
-Chave pública do usuário;
-Número de série do certificado;
-Nome da CA que emitiu o certificado;
-A assinatura digital da CA;
-O período de validade do certificado;
O padrão mais utilizado para a produção de certificados digitais é o X.509, formulado pelo International
Telecommunication Union, Telecounication Standardization Sector (ITU-T).
O ICP, ou Infra-estrutura de Chaves Públicas, é a sigla no Brasil para PKI - Public Key Infrastructure -, um conjunto
de técnicas, práticas e procedimentos elaborado para suportar um sistema criptográfico com base em certificados
digitais.
Nesta aula, você:
Conheceu as principais estratégias de proteção aplicadas nas organizações.
Compreendemos como se dá a implementação da prteção em camadas e
Conhecemos as melhores práticas implementadas pelas organizações através do estudo de:
o Cuidados com senhas.
o Educação dos usuários.
o Controle de acesso.
o Uso eficaz de antivirus e antispywares.
o Backups (cópia de segurança).
o Plano de continuidade de negócios.
o Criptografia e certificação digital.
1.
O que caracteriza o algoritmo de criptografia de chave assimétrica?
1) A utilização de duas chaves diferentes, uma em cada extremidade do processo de comunicação;
2) A utilização de uma mesma chave tanto para a codificar quanto para decodificar mensagens sendo conhecida
por ambos os lados do processo de comunicação;
3) A utilização de um algoritmo de criptografia chamado de hash;
4) A utilização de assinatura digital;
1
2.
Qual o conceito de zona demilitarizada (DMZ)?
1) pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a
outro dispositivo de filtragem;
2) redes que estão localizadas dentro do perímetro de segurança e portanto necessitam de proteção;
3) redes que contém serviços que necessitam de criptografia;
4) redes que contém serviços que necessitam de assinatura digital;
1
3.
Qual a função de um firewall?
1) Isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e
outros não;
2) reconhece um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um
sistema de computação ou rede;
3) protege equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos;
4) escreve mensagens em forma cifrada ou em código;
1Mais conteúdos dessa disciplina
PDF - Ranges RFI e vs RFI- Segurança da Informação e Cibersegurança Proteção de dados contra hackers, vírus e vazamentos
- Questionario aula 2
- Prototype to Production
- Mapa Mental - Gestão de Riscos
- AVA
- 17711157375305604750402731232506
- 10 AV - DR CIBERNETICO 25 2
- CCC1_HS_Amostra-uoh3z5
- Qual é uma das práticas essenciais para alcançar uma visualização de dados eficaz em Business Intelligence (BI)? Questão 15Escolha uma opção: a. Inclu
- Questão 10/10 - Segurança da Informação (E) Ler em voz alta A norma ABNT NBR ISO/IEC 27002:2013 define informação como sendo um ativo – isto é, bem, p
- As câmeras corporais também contribuem para: a. Reduzir a responsabilização dos gestores. b. Tornar opacas as ações institucionais. c. Ocultar provas
- Os riscos inerentes às transferências internacionais de dados pessoais são mínimos, pois as legislações nacionais, como a LGPD, garantem fiscalizaç...
- Segundo a LGPD, uma transferência internacional de dados pode ocorrer mediante o consentimento do titular, desde que respeitadas outras bases legai...
- A manufatura aditiva vem ganhando destaque na indústria por permitir a produção de peças com geometrias complexas e personalizadas. Qual das alternati
- O que é essencial para o sucesso da Gestão de Recursos Humanos no meio rural? Questão 20Escolha uma opção: a. Aumento da carga horária de trabalh...
- A medida de segurança representa: a) Objetivo de alto nível declarando o que se espera alcançar com a aplicação da medida. d) Ações de segurança que p
- Como o conceito de “Infraestrutura como Código” (IaC) se relaciona com o DevOps e quais são os benefícios de implementar a IaC em ambientes de nuve...
- Como o conceito de “Infraestrutura como Código” (IaC) se relaciona com o DevOps e quais são os benefícios de implementar a IaC em ambientes de nuvem?
- o gerenciamento dos riscos possui uma normatização dada por meio da organização internacional organization for Standardization,mais conhecida como...
- No contexto da proteção de dados de crianças e adolescentes, a LGPD estabelece que o tratamento de dados deve: Opções da pergunta 2: a) Não se apl
- Qual é um potencial benefício de usar uma ferramenta de gerenciamento de serviço de TI para suportar a prática de “gerenciamento de incidente”? Respos
- Atividade Objetiva 2_ Programação em Banco de Dados
- Lista de Exercícios - Semana 1 e 2 - Solução (1)
