AULA_01_-_ARA0076_-_SEGURAN_A_CIBERN_TICA

Prévia do material em texto

ARA0076 
SEGURANÇA CIBERNÉTICA
AULA 01
AGENDA
▪ PLANO DE ENSINO (PE)
▪ EVOLUÇÃO DA SEGURANÇA CIBERNÉTICA
▪ VALOR DA INFORMAÇÃO ALINHAMENTO ESTRATÉGICO DA SEGURANÇA AOS NEGÓCIOS
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
APRESENTAÇÃO PLANO DE ENSINO
PRIMEIRO CONCEITO
“O QUE SERVE PARA UMA EMPRESA PODE NÃO SERVIR PARA OUTRA!”
NÃO EXISTE RECEITA DE BOLO ! ! !
Momentos Históricos Disruptivos 
1ª Revolução Industrial
(1760-1840)
2ª Revolução Industrial
(1860-1920)
3ª Revolução Industrial
(1960-1990)
4ª Revolução Industrial
Físico + Digital + Biológico
POSICIONAMENTO ATUAL DA ÁREA DE TI
POSICIONAMENTO ATUAL DA ÁREA DE TI
Pilares da Indústria 4.0
Ambiente atual da área de TI (VUCA)
POSICIONAMENTO ATUAL DA ÁREA DE TI
O QUE É UM ATIVO?
O QUE É UM ATIVO?
ATIVO
Qualquer coisa que tenha valor
para a Organização
[ISO/IEC 13335-1:2004]
CLASSIFICAÇÃO DOS ATIVOS
ATIVOS DA INFORMAÇÃO
SOFTWARE FÍSICO SERVIÇOS PESSOAS DOCUMENTOS EM PAPEL INFORMAÇÃO
QUAL O VALOR DA INFORMAÇÃO 
DENTRO DAS ORGANIZAÇÕES HOJE?
DADO, 
INFORMAÇÃO E 
CONHECIMENTO
DADO 
É o plural de dado. Em seu sentido
informacional, um dado é o
registro do atributo de um ente,
objeto ou fenômeno onde registro
indica o ato de registrar, ou seja, é
a gravação ou a impressão de
caracteres ou símbolos que
tenham um significado em algum
documento ou suporte físico.
INFORMAÇÃO 
É a resultante do processamento, 
manipulação e organização de dados, 
de tal forma que represente uma 
modificação no conhecimento do 
sistema que a recebe.
O valor da informação varia conforme 
o indivíduo, as necessidades e o 
contexto em que é produzida e 
compartilhada. Uma informação pode 
ser altamente relevante para um 
indivíduo e a mesma informação pode 
não ter significado algum para outro 
indivíduo.
CONHECIMENTO 
Conhecimento (do latim cognoscere,
"ato de conhecer"), como a própria
origem da palavra indica, é o ato ou
efeito de conhecer. Como por exemplo:
conhecimento das leis; conhecimento
de um fato; conhecimento de um
documento; termo de recibo ou nota
em que se declara o aceite de um
produto ou serviço; saber, instrução ou
cabedal científico (homem com grande
conhecimento); informação ou noção
adquiridas pelo estudo ou pela
experiência; (autoconhecimento)
consciência de si mesmo.
TIPOS DE 
CONHECIMENTO 
• Conhecimento Tácito: aquele tipo
de conhecimento mais difícil de ser
formalizado e transmitido às outras
pessoas.
• Conhecimento Explícito: Trata-se de
conteúdo claro e formal, que pode
ser transmitido de maneira mais
fácil do que o conhecimento tácito.
CICLO DE VIDA 
DA INFORMAÇÃO
CICLO DE VIDA DA INFORMAÇÃO
Formado basicamente por 4 etapas: 
▪ Manuseio
▪ Armazenamento
▪ Transporte
▪ Descarte
CICLO DE VIDA DA 
INFORMAÇÃO
MANUSEIO: 
• Quando a informação é criada;
• Criação física ou digital. 
CICLO DE VIDA DA 
INFORMAÇÃO
ARMAZENAMENTO: 
• Momento que a informação é 
armazenada;
• Pode ser em meios físicos ou digitais. 
CICLO DE VIDA DA 
INFORMAÇÃO
TRANSPORTE: 
• Quando se distribui a informação;
• Pode ser feita de várias formas, 
digitalmente, por papel. 
CICLO DE VIDA DA 
INFORMAÇÃO
• DESCARTE: 
• Quando a informação perde a 
utilidade;
• Esta é destruída, física ou
digitalmente.
5 NÍVEIS DE SENSIBILIDADE 
DA INFORMAÇÃO
5 NÍVEIS DE SENSIBILIDADE 
DA INFORMAÇÃO
Nível 1 – Informação Pública 
Informação que foi obtida sem ônus, de fontes
públicas, ou que foi produzida internamente pela
empresa mas que tem interesse público. Essas
informações não precisam de controle de acesso
e de distribuição. Apenas deve-se cuidar para que
elas não sejam danificadas ou alteradas.
São exemplos de informações de nível 1: Dados
do balanço de empresas de capital aberto; Lista
de produtos; Notícias sobre a empresa.
5 NÍVEIS DE SENSIBILIDADE 
DA INFORMAÇÃO
Nível 2 – Informação Restrita 
Informação que foi adquirida de terceiros com
cláusula de sigilo mas que outras empresas
também podem adquirir, ou que foi produzida
pela empresa e que tem interesse restrito à ela.
Essas informações, se vazadas, podem
comprometer a imagem da organização mas não
sua operação.
São exemplos de informações de nível 2:
Relatórios de consultoria sobre empresas
concorrentes; Dados pessoais dos funcionários e
executivos da empresa; Relatos de defeitos de
produtos e serviços
5 NÍVEIS DE SENSIBILIDADE 
DA INFORMAÇÃO
Nível 3 – Informação Sigilosa
Informação que foi obtida, com exclusividade, de
terceiros, ou que foi produzida pela empresa e
que trata de decisões, processos ou produtos
críticos para a sua operação. Essas informações,
se vazadas ou danificadas, podem gerar decisões
erradas e prejudiciais para a operação da
empresa ou inviabilizar o lançamento de um
novo produto ou serviço.
São exemplos de informações de nível 3:
Relatórios de investigação de práticas
concorrenciais ilegais; Detalhes sobre campanhas
de lançamento comercial; Detalhes sobre planos
de fusão, aquisição ou fechamento de empresas.
5 NÍVEIS DE SENSIBILIDADE 
DA INFORMAÇÃO
Nível 4 – Informação Secreta
Informação referente a detalhes de produtos e
serviços que estão em processo de
desenvolvimento ou, decisões sobre significativas
alterações do valor patrimonial da empresa.
Essas informações, se vazadas ou danificadas,
podem comprometer o protagonismo no
lançamento de um novo produto ou ainda
permitir que concorrentes o lancem antes da
empresa.
São exemplos de informações de nível4: Detalhes
de produtos e serviços em desenvolvimento;
Detalhes sore a negociação de compra ou venda
de empresas ou filiais; Relatórios sobre falhas
graves, em produtos, serviços ou processos
internos, que podem afetar o valor das ações da
empresa na bolsa de valores;
5 NÍVEIS DE SENSIBILIDADE 
DA INFORMAÇÃO
Nível 5 – Informação Ultra Secreta
Informações sobre atos e fatos da organização
cujo acesso é limitado apenas à mais alta
direção executiva e seus acionistas. Essas
informações, se vazadas, podem levar a ações
judiciais à empresa ou a seus executivos e
acionistas. Compreendem ainda informações
sobre segredos industriais que diferenciam a
empresa de seus concorrentes.
São exemplos de informações de nível 5:
Detalhes sobre operações ilícitas ou de alto risco
jurídico; Segredos industriais sobre componentes,
insumos ou processos de produção dos principais
produtos da empresa ainda não patenteados ou
protegidos por lei.
HEXAGRAMA
PARKERIANO
HEXAGRAMA PARKERIANO
O Hexagrama Parkeniado é um conjunto de seis
elementos de segurança da informação. Os atributos
do Hexagrama Parkeniado são os seguintes:
1. Confidencialidade;
2. Posse e Controle;
3. Integridade;
4. Autenticidade;
5. Disponibilidade;
6. Utilidade
HEXAGRAMA 
PARKERIANO
1. CONFIDENCIALIDADE: 
Propriedade de que a informação não
esteja disponível ou revelada a
indivíduos, entidades ou processos não
autorizados
[ISO/IEC 13335-1:2004]
ISO/IEC Standard 13335 - Information technology -- Security
techniques -- Management of information and communications
technology security
HEXAGRAMA 
PARKERIANO
2. POSSE EM CONTROLE: 
A Posse ou Controle de um ativo, sem
autorização, mesmo que não execute
nenhuma ação indevida com o mesmo.
HEXAGRAMA 
PARKERIANO
3. INTEGRIDADE: 
Propriedade de salvaguarda da
exatidão e completeza de ativos.
[ISO/IEC 13335-1:2004]
ISO/IEC Standard 13335 - Information technology -- Security
techniques -- Management of information and communications
technology security
HEXAGRAMA 
PARKERIANO
4. AUTENTICIDADE:
Se refere à veracidade da alegação de
origem ou a autoridade das
informações.
HEXAGRAMA 
PARKERIANO
5. DISPONIBILIDADE: 
Propriedade de estar acessível e utilizável
sob demanda por uma entidade
autorizada.
[ISO/IEC 13335-1:2004]
ISO/IEC Standard 13335 - Information technology-- Security
techniques -- Management of information and communications
technology security
HEXAGRAMA 
PARKERIANO
6. UTILIDADE:
Valor para utilização da informação, e sua
respective capacidade de utilização.
EXEMPLOS DE SEGURANÇA DA INFORMAÇÃO
EXEMPLOS DE SEGURANÇA DA INFORMAÇÃO
Ministério de Defesa Britânico
Em abril de 2001 um notebook do Ministério
de Defesa Britânico, contendo segredos de
segurança nacional, foi deixado em um táxi
por um oficial do exército.
Resultado: não atendido
Preservação: confidencialidade
EXEMPLOS DE SEGURANÇA 
DA INFORMAÇÃO
Ataque de vírus na Samarco
Em maio de 2000 o vírus “I love you”
invadiu o servidor de correio da Samarco
provocando paralisação de 1 semana dos
serviços.
Resultado: não atendido 
Preservação: disponibilidade
EXEMPLOS DE SEGURANÇA 
DA INFORMAÇÃO
Download de software não homologado 
pela TI
Em junho de 2001 foi feito, por três 
usuários de Ubu, um download, a partir 
da Internet, do software GATOR.EXE, 
provocando uma baixa de performance 
muito grande na rede local, após 
instalação do software.
Resultado: não atendido 
Preservação: disponibilidade
EXEMPLOS DE SEGURANÇA 
DA INFORMAÇÃO
Deutsche Bank
O Banco tinha 2 escritórios funcionando
no World Trade Center e já operava os
seus sistemas quase que normalmente no
dia seguinte ao atentado terrorista de 11
de Setembro 2001.
Resultado: atendido 
Preservação: confidencialidade
ALGUNS 
CONCEITOS
EVOLUÇÃO DA 
SEGURANÇA 
CIBERNÉTICA
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
No fim da década de 1960 e início de 1970, o
armazenamento digital começou a se tornar
realidade. Mainframes que ocupavam salas inteiras
eram responsáveis pelo armazenamento dessa
informação e o acesso a esses repositórios era feito
por meio de uma conexão direta ou acesso por um
dos inúmeros terminais dentro das instalações. As
primeiras empresas a adotarem a tecnologia de
armazenamento digital não enfrentaram nenhum
problema relativo à proteção de informações
sigilosas, já que era necessário estar dentro do
prédio em que o equipamento estava para acessar
a informação.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
Menos de uma década depois, com um número
crescente de dados armazenados, houve uma
mudança de pensamento. Dados tinham valor e
incluíam grandes volumes de informações pessoais
identificáveis, como dados de cartões de crédito,
número de contas bancárias, declarações de renda,
detalhes pessoais, informações demográficas sobre
grandes grupos populacionais. Durante essa
mudança, a informação começou a se tornar uma
commodity.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
A introdução do acesso online e a internet
aumentaram enormemente esse risco. As empresas
não tinham apenas grandes volumes de
informações pessoais de funcionários e clientes,
mas também começaram a compartilhar, vender e
reempacotar esses dados. Isso trouxe preocupações
e riscos ainda maiores.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
O Creeper e o Reaper, 1971
O Creeper, considerado o primeiro vírus do mundo, era
um código portátil que podia viajar entre sistemas
Tenex. Ele tinha como alvo os computadores
mainframe PDP-10 da Corporação de Equipamentos
Digitais (DEC) conectados ao Arpanet e imprimiu “Eu
sou o creeper: pegue-me se puder” no teletipo modelo
33 ASR. Ele não afetou nenhum efeito destrutivo de
longo prazo nos dispositivos afetados.
Reaper é uma versão aprimorada de auto-replicação
do Creeper, que foi projetada para se mover pela
Arpanet, excluindo cópias do Creeper. É considerado o
primeiro programa antivírus do mundo.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
O primeiro congelamento de rede, 1988
Um erro inadvertido em um código de worm
projetado para medir o tamanho da Internet
resultou no primeiro ataque DoS. O erro fez com
que o Worm Morris se replicasse incessantemente a
ponto de a Internet inicial (Arpanet) ficar entupida e
10% de todos os sistemas conectados travar. Robert
T. Morris, o criador do Worm Morris, tornou-se a
primeira pessoa a ser acusada de acordo com a Lei
de Fraude e Abuso de Computador.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
O Departamento de Segurança Interna, 2002
O Departamento de Segurança Interna dos Estados
Unidos, estabelecido pelo presidente George W.
Bush em 2002, assumiu a responsabilidade de
proteger a infraestrutura de TI crucial dos Estados
Unidos. Em 2018, Donald Trump sancionou a Lei da
Agência de Segurança de Infraestrutura e Segurança
Cibernética que deu origem ao Agência de
Segurança Cibernética e Infraestrutura (CISA). A
CISA trabalha com o governo federal na defesa
contra ataques cibernéticos.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
O nascimento do Anonymous, 2003
Anonymous foi, de longe, o grupo hacktivista mais
popular, que estreou no quadro de imagens do
4chan. Ele é um coletivo internacional
descentralizado que realiza ataques cibernéticos
como um meio de chamar a atenção para suas
visões políticas e expor alvos de alto perfil.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
Operação Aurora, 2009
A Operação Aurora foi uma série de ataques
cibernéticos originados na China e direcionados às
informações de propriedade intelectual de mais de
trinta empresas do setor privado dos EUA, incluindo
Google, Yahoo e Adobe. Este incidente trouxe à luz
as capacidades das operações cibernéticas como
uma ferramenta para realizar espionagem industrial
em grande escala.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
Stuxnet, 2010
O Stuxnet era um worm de computador
extremamente sofisticado que explorava várias
vulnerabilidades zero-day do Windows.
Supostamente criado por um programa secreto dos
EUA-Israel, ele teve como alvo e destruiu
centrífugas na instalação de enriquecimento de
urânio em Natanz, Irã, causando danos substanciais
ao programa nuclear do país.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
EternalBlue e ataques ransomware, 2017
EternalBlue é um exploit que utiliza
vulnerabilidades na implementação do Windows do
protocolo Server Message Block (SMB). Foi
divulgado pelo grupo de hackers Shadow Brokers
em abril de 2017. Dois grandes surtos de
ransomware em todo o mundo, WannaCry e
NotPetya, usaram esse exploit para afetar
computadores sem patch.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
Regulamento Geral de Proteção de Dados (GDPR),
2018
O Regulamento Geral de Proteção de Dados (GDPR)
é um regulamento de conformidade que fornece
aos cidadãos da União Europeia (UE) maior controle
sobre seus dados pessoais. Ao abrigo deste
mandato, as organizações são responsáveis pela
proteção dos dados pessoais e da privacidade dos
cidadãos da UE. O GDPR se aplica não apenas a
todas as organizações que operam na UE, mas
também a organizações que oferecem bens ou
serviços a clientes ou empresas na UE. Foi aprovado
pelo Parlamento Europeu em abril de 2016 e entrou
em vigor em 25 de maio de 2018.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
O hack do Twitter, 2020
Um dos incidentes de segurança cibernética mais
sensacionais deste ano aconteceu quando as contas de
vários usuários de alto perfil do Twitter foram
hackeadas, incluindo as de Barack Obama, Elon Musk e
Bill Gates. Os hackers postaram tweets fraudulentos
que diziam “Estou retribuindo à comunidade. Todos os
Bitcoins enviados para o endereço abaixo serão
devolvidos em dobro! Se você enviar $ 1.000, eu irei
devolver $ 2.000. Só fazendo isso por 30 minutos” e
ganharam £ 86.800 em poucas horas. A violação se
enquadra na categoria de ameaça interna e, quer
envolva as ações de um insider malicioso ou
funcionário negligente, prova que os humanos são o
elo mais fraco na cadeia de segurança cibernética.
EVOLUÇÃO DA 
SEGURANÇA CIBERNÉTICA
Segurança cibernética habilitada para inteligência
artificial (IA)
Com algoritmos de aprendizado de máquina
eficientes e integração perfeita de IA em aplicações
de segurança cibernética, a detecção de ameaças
em tempo real e a resposta automatizada a
incidentes são possíveis e estão sendo
continuamente aprimoradas. Mecanismos de
correlação de ameaças eficazes que detectam
ataques em seus estágios iniciais se tornarão mais
refinados como a defesada linha de frente para as
organizações.
MECANISMOS DE CONTROLE (FÍSICOS, LÓGICOS E ADMINISTRATIVOS)
O PRIMEIROS PASSOS PARA 
CONTROLE DE ACESSO
1. Requisitos de negócio para controle de acesso
2. Gestão de acesso do usuário
3. Responsabilidade do usuário
4. Acesso a sistemas e aplicações
1. Requisitos de negócio
para controle de acesso
O negócio tem a responsabilidade de
definir quem pode ter acesso aos
ativos, incluindo os ativos de
informações e as condições de acesso.
Estes acessos podem vir dos objetivos
de negócio, legais, ou outros
requisitos regulatórios.
1. Requisitos de negócio
para controle de acesso
Deve se utilizar uma análise de risco para a definição
dos acessos dos usuários físicos e lógicos.
“Uma política de controle de acesso deve ser 
estabelecida, documentada e revisada com base nos 
requisitos de negócio e de segurança da informação.”
(ISO 27002:2013)
1. Requisitos de negócio
para controle de acesso
Exemplos de tipos de acesso que devem ser levados
em consideração ao definir controles de acesso são:
▪ Acesso a redes e serviços de rede;
▪ Acesso a aplicações de negócio;
▪ Acesso a equipamentos de TI;
▪ Acesso à informação.
2. Gestão de acesso do usuário 
A gestão de acesso incorpora as atividades que são
necessárias para prevenir que ativos sejam acessados por
usuários não autorizados e garantir que sejam acessados
somente por usuários autorizados. Para isto, é necessário ter
as seguintes atividades:
▪ Registro e cancelamento de usuário;
▪ Provisionamento de acesso de usuário;
▪ Gestão de direitos de acesso privilegiado;
▪ Gestão de informações secretas de autenticação de
usuários
▪ Revisão dos direitos de acessos de usuário
▪ Remoção ou ajuste dos direitos de acesso.
2. Gestão de acesso do usuário 
Exemplo de erros comuns:
1. Raul mudou de setor, foi da área de TI para a área
Financeira, foram incluídos os acessos do novo setor ao
seu usuário, se retirar os do antigo setor;
2. Conceder acesso sem uma análise previa, apenas por que
alguém reclamou que precisa, e foi ordem da direção;
3. Problemas no acesso, atribui-se acesso de administrador
ao usuário, para não ter problemas.
3. Responsabilidade do usuário 
Para que o controle de acesso funcione, é
fundamental que os usuários conheçam suas
responsabilidades em termos de manter as
informações e os ativos seguros e protegidos.
Para isto, o usuário deve ser responsáveis pelas
suas próprias informações de autenticação.
3. Responsabilidade do usuário 
Conceito de NÃO-REPUDIO:
Visa garantir que o autor não negue ter criado 
e assinado o documento.
4. Acesso a sistemas e aplicações
Ao desenvolver ou configurar um sistema, deve-se
levar em consideração os tipos de acesso,
restringindo o acesso a informação.
CONTROLE DE 
ACESSO LÓGICO
POR QUE 
UTILIZAR 
AUTENTICAÇÃO?
AUTENTICAÇÃO
Autenticação é o ato de estabelecer ou
confirmar algo como autêntico, isto é,
que reivindica a autoria ou a veracidade
de alguma coisa. A autenticação
também remete à confirmação da
procedência de um objeto ou pessoa,
neste caso, frequentemente relacionada
com a verificação da sua identidade.
POR QUE 
AUTENTICAR?
O crescimento das redes abertas fez com
que surgissem vários problemas de
segurança, que vão desde o roubo de
senhas e interrupção de serviços até
problemas de personificação, onde uma
pessoa faz-se passar por outra para
obter acesso privilegiado.
TIPOS DE 
AUTENTICAÇÃO
Surgiu a necessidade de autenticação,
que consiste na verificação da
identidade tanto dos usuários quanto
dos sistemas e processos. Os
mecanismos de autenticação de
usuários dividem-se em 4 categorias:
baseados no conhecimento (o que se
sabe), baseados em propriedade (o que
se possui) e baseados em características
(o que se é) e baseado na localização
(onde se esta).
TIPOS DE 
AUTENTICAÇÃO
Baseadas no Conhecimento (O que se sabe):
A autenticação pelo conhecimento é o modo mais
utilizado para fornecer uma identidade a um
computador, no qual destaca-se o uso de segredos,
como senhas, chaves de criptografia, PIN (Personal
Identification Number) e tudo mais que uma pessoa
pode saber.
TIPOS DE 
AUTENTICAÇÃO
Baseadas no Conhecimento (O que se sabe):
1. Senhas Descartáveis (One-Time Passwords)
Uma senha descartável é aquela que só é usada
uma vez no processo de autenticação. Com isso,
evita o ataque da captura e repetição da senha,
porque a próxima conexão requererá uma senha
diferente.
TIPOS DE 
AUTENTICAÇÃO
Baseadas no Conhecimento (O que se sabe):
2. Perguntas Randômicas (Random Queries)
Perguntas randômicas é um método de
autenticação baseado em desafio/resposta. Em
uma primeira etapa, faz-se um cadastro do usuário,
no qual ele responde a um questionário com
perguntas variadas como a bebida favorita, o
número da identidade, CPF, data de aniversário,
lugar de nascimento, etc.
TIPOS DE 
AUTENTICAÇÃO
Baseadas na Propriedade (O que se tem):
As soluções de autenticação baseadas na
propriedade caracterizam-se por um objeto físico
que o usuário possui. Este objeto pode ser um
cartão inteligente (smartcard), uma chave ou um
token (dispositivo eletrônico semelhante a uma
calculadora, usados para calcular senhas
descartáveis). As desvantagens deste tipo de
autenticação são que os objetos físicos podem ser
perdidos, roubados ou esquecidos e o custo
adicional do hardware.
TIPOS DE 
AUTENTICAÇÃO
Baseadas na Propriedade (O que se tem):
1. Mecanismos de Autenticação Baseados em
Tokens
Tokens são dispositivos semelhantes a uma
calculadora de mão e que não necessitam de
dispositivos de leitura/escrita adicionais. Eles
fornecem autenticação híbrida, usando tanto "algo
que o usuário possui" (o próprio dispositivo), como
"algo que o usuário conhece" (um PIN de 4 a 8
dígitos).
TIPOS DE 
AUTENTICAÇÃO
Baseadas na Propriedade (O que se tem):
2. SecureID
SecureID é um sistema de dois fatores de
autenticação desenvolvido e comercializado pela
Security Dynamics, Inc. Ele é utilizado para
identificar usuários de redes e sistemas e prevenir
acesso não autorizado.
TIPOS DE 
AUTENTICAÇÃO
Baseadas em Características (O que se é):
Uma área que está melhorando tecnologicamente
e simplificando o processo de identificação de
pessoas é a biometria. Sistemas biométricos são
métodos automatizados para a verificação ou o
reconhecimento de uma pessoa com base em
alguma característica física, tal como a impressão
digital ou o padrão de íris, ou algum aspecto
comportamental, tal como a escrita ou o padrão de
digitação.
TIPOS DE 
AUTENTICAÇÃO
Baseadas em Características (O que se é):
Teoricamente, qualquer característica humana, física ou
comportamental, pode ser usada para a identificação de
pessoas, desde que satisfaça os seguintes requerimentos:
▪ Universalidade: significa que todas as pessoas devem possuir
a característica;
▪ Singularidade: indica que esta característica não pode ser
igual em pessoas diferentes;
▪ Permanência: significa que a característica não deve variar
com o tempo;
▪ Mensurabilidade: indica que a característica pode ser
medida quantitativamente.
TECNOLOGIAS BIOMETRICAS
TIPOS DE 
AUTENTICAÇÃO
Baseadas em Localização (O que se esta):
Este tipo de autenticação se baseia na localização do
usuários, onde ele esta tentando se autenticar. O método
baseado na localização física do usuário, permitindo apenas
a sua autenticação em um determinado perímetro.
As empresas costumam utilizar para que colaboradores de
outras filiais no tenha acesso aos sistemas de filiais
diferentes.
SEGURANÇA LÓGICA
SEGURANÇA LÓGICA
A segurança lógica é um processo em
que um sujeito ativo deseja acessar um
objeto passivo.
O sujeito é um usuário ou um processo da
rede e o objeto pode ser um arquivo ou
outro recurso de rede (estação de trabalho,
impressora, etc).
SEGURANÇA LÓGICA
Recursos e informações a serem protegidos:
▪ Aplicativos (Programas fonte e objeto);
▪ Arquivos de dados;
▪ Utilitários e Sistema Operacional;
▪ Arquivos de senha;
▪ Arquivos de log.
EXEMPLO DE SEGURANÇALÓGICA
EXEMPLO DE SEGURANÇA LÓGICA
EXEMPLO DE SEGURANÇA LÓGICA
SEGURANÇA FISICA
SEGURANÇA FISICA
Segurança física é a parte da segurança da informação,
pois todos os ativos do negócio também devem ser
fisicamente protegidos. O mundo da segurança física
emprega uma combinação de medidas
organizacionais, estruturais e eletrônicas. Medidas
físicas precisam ser planejadas e coordenadas de
forma coerente.
Exemplos:
▪ Detecção por infravermelho;
▪ Câmeras;
▪ Detecção de vibração;
▪ Sensores de quebra de vidros;
▪ Contatos magnéticos.
SEGURANÇA FISICA
Recomendações para o controle do acesso físico:
▪ Deve-se instituir formas de identificação
capazes de distinguir funcionários de
visitantes e categorias diferenciadas de
funcionários, se for o caso.
▪ Solicitar a devolução de bens de
propriedade da empresa (crachás, chaves,
etc), quando o visitantes e retira ou quando o
funcionário é retirado de suasf unções.
SEGURANÇA FISICA
Recomendações para o controle do acesso físico:
▪ Controle de entrada e saída de materiais,
equipamentos, pessoal, etc, registrando a
data, horários e responsável.
▪ No caso de visitantes, restringir a circulação
destes nas dependências da empresa e, se
necessário, acompanhá-los até o local de
destino.
▪ Instalar sistemas de proteção e vigilância 24 x 7.
SEGURANÇA FISICA
Opções disponíveis para gerenciar o acesso às
instalações do negócio:
▪ Guardas de Segurança;
▪ Gerenciamento do acesso eletrônico.
ONDE COMEÇA A 
SEGURANÇA FÍSICA?
ANÉIS DE PROTEÇÃO
PROTEÇÃO DE PERÍMETRO
O QUE É 
PERÍMETRO?
PROTEÇÃO DE PERÍMETRO
PROTEÇÃO A EMPRESA
PROTEÇÃO A EMPRESA
A segurança de rede pode ser fortalecida
avaliando primeiramente a superfície de
ataque da empresa - o número de pontos
de acesso que um agressor pode tentar
invadir o ambiente de TI - e identificar e
priorizar os riscos mais impactantes ao
longo da rede. Depois, é preciso adotar
uma combinação de soluções e processos
para desenvolver a pilha tecnológica e
estratégia de segurança cibernética
adequada.
PROTEÇÃO A EMPRESA
Essas ferramentas de segurança de rede
podem incluir:
▪ O Sistema de Detecção de Intrusão (IDS),
que verifica e envia alertas ao identificar
acesso não autorizado ou ameaças.
▪ O Sistema de Prevenção de Intrusão (IPS),
que verifica se um tráfego malicioso passou
pelo firewall.
▪ Produtos de proteção de terminais, como
antivírus ou softwares de proteção de e-
mail, para entregar uma barreira de defesa
aos dispositivos conectados à rede, assim
como comunicação de entrada e saída.
Essas ferramentas de segurança de rede
podem incluir:
▪ Ferramentas de gerenciamento de
eventos e informações de segurança
(SIEM, da sigla em inglês) permitem que
administradores de TI configurem alertas
específicos anexados a ações específicas,
aumentando assim a visibilidade da pilha.
▪ Ferramentas de controle de acesso à rede
para aumentar a visibilidade do
administrador com governança de
políticas e de usuários, além de reações
automatizadas para tentativas de invasão
habituais.
PROTEÇÃO A EMPRESA
Essas ferramentas de segurança de rede
podem incluir:
▪ Ferramentas de serviços em nuvem
para gerenciar dispositivos, dados e
redes remotamente a partir de um
ponto central.
▪ Ferramentas de controle de acesso
físico e digital permitem que pessoas ou
dispositivos autorizados acessem as
propriedades, redes ou informações da
empresa.
PROTEÇÃO A EMPRESA
O QUE É UM RISCO?
RISCO
Probabilidade ou possibilidade de
perigo, estar em risco de acontecer algo
em que o resultado é incerto. Quando se
faz alguma coisa com um fim esperado,
sabendo que há a possibilidade de aquele
fim não ser atingido.
AMEAÇA
Causa potencial de um incidente
indesejado, que pode resultar em dano
para um sistema ou organização.
[ISSO/IEC 13335-1:2004] 
INCIDENTE
Fato (evento) decorrente de uma ação de
uma ameaça, que explora uma ou mais
vulnerabilidades, levando a perda de
princípios da segurança da informação.
IMPACTO
Abrangência dos danos causados por um
incidente de segurança sobre um ou mais
processos de negócios.
VULNERABILIDADE
Fragilidade de um ativo ou grupo de
ativos que pode ser explorada por uma ou
mais ameaças.
EXEMPLO DE SEGURANÇA LÓGICA
EXEMPLO DE SEGURANÇA LÓGICA
VÍDEOS DA AULA
1) O que é Segurança da Informação? Disponível em: 
https://youtu.be/_OrtRqR_mw
2) Segurança informação Disponível em: 
https://youtu.be/ZD66EMgB1FA
3) Segurança Cibernética: Funcionamento e Exemplos Disponível em: 
https://youtu.be/mLWd6kO2Udk
4) Você sabe o que é CIBERSEGURANÇA? Disponível em: 
https://youtu.be/CU2yQxzkvFg