Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S 2 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S 3 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Núcleo de Educação a Distância GRUPO PROMINAS DE EDUCAÇÃO Diagramação: Gildenor Silva Fonseca PRESIDENTE: Valdir Valério, Diretor Executivo: Dr. Willian Ferreira. O Grupo Educacional Prominas é uma referência no cenário educacional e com ações voltadas para a formação de profissionais capazes de se destacar no mercado de trabalho. O Grupo Prominas investe em tecnologia, inovação e conhecimento. Tudo isso é responsável por fomentar a expansão e consolidar a responsabilidade de promover a aprendizagem. 4 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Prezado(a) Pós-Graduando(a), Seja muito bem-vindo(a) ao nosso Grupo Educacional! Inicialmente, gostaríamos de agradecê-lo(a) pela confiança em nós depositada. Temos a convicção absoluta que você não irá se decepcionar pela sua escolha, pois nos comprometemos a superar as suas expectativas. A educação deve ser sempre o pilar para consolidação de uma nação soberana, democrática, crítica, reflexiva, acolhedora e integra- dora. Além disso, a educação é a maneira mais nobre de promover a ascensão social e econômica da população de um país. Durante o seu curso de graduação você teve a oportunida- de de conhecer e estudar uma grande diversidade de conteúdos. Foi um momento de consolidação e amadurecimento de suas escolhas pessoais e profissionais. Agora, na Pós-Graduação, as expectativas e objetivos são outros. É o momento de você complementar a sua formação acadêmi- ca, se atualizar, incorporar novas competências e técnicas, desenvolver um novo perfil profissional, objetivando o aprimoramento para sua atua- ção no concorrido mercado do trabalho. E, certamente, será um passo importante para quem deseja ingressar como docente no ensino supe- rior e se qualificar ainda mais para o magistério nos demais níveis de ensino. E o propósito do nosso Grupo Educacional é ajudá-lo(a) nessa jornada! Conte conosco, pois nós acreditamos em seu potencial. Vamos juntos nessa maravilhosa viagem que é a construção de novos conhecimentos. Um abraço, Grupo Prominas - Educação e Tecnologia 5 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S 6 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Olá, acadêmico(a) do ensino a distância do Grupo Prominas! . É um prazer tê-lo em nossa instituição! Saiba que sua escolha é sinal de prestígio e consideração. Quero lhe parabenizar pela dispo- sição ao aprendizado e autodesenvolvimento. No ensino a distância é você quem administra o tempo de estudo. Por isso, ele exige perseve- rança, disciplina e organização. Este material, bem como as outras ferramentas do curso (como as aulas em vídeo, atividades, fóruns, etc.), foi projetado visando a sua preparação nessa jornada rumo ao sucesso profissional. Todo conteúdo foi elaborado para auxiliá-lo nessa tarefa, proporcionado um estudo de qualidade e com foco nas exigências do mercado de trabalho. Estude bastante e um grande abraço! Professores: Jéssica Laisa e Alan Santana 7 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S O texto abaixo das tags são informações de apoio para você ao longo dos seus estudos. Cada conteúdo é preprarado focando em téc- nicas de aprendizagem que contribuem no seu processo de busca pela conhecimento. Cada uma dessas tags, é focada especificadamente em partes importantes dos materiais aqui apresentados. Lembre-se que, cada in- formação obtida atráves do seu curso, será o ponto de partida rumo ao seu sucesso profisisional. 8 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Esta unidade abordará a auditoria e o controle de segurança no contexto geral, visando os devidos aspectos importantes. A auditoria de sis- temas, está direcionada à avaliação dos sistemas de informação e dos ele- mentos tecnológicos que combinam o processo de geração, armazenam e disponibilizam a informação. Por esse motivo, a presente unidade tem o objetivo de explorar os conceitos de auditoria de sistema e segurança de informação, a aplicabilidade de técnicas e ferramentas em prol da seguran- ça dos dados; bem como detalhar os princípios que motivam a segurança de dados e quais os recursos que podem ser usados para tanto, inclusive, entendendo o uso de criptografia. Ao longo do estudo serão abordados conceitos de ameaças e ataques aos sistemas, assim como meios para evitar que eles estejam presentes. Por fim, será visto como é importante, no processo de desenvolvimento do software, trabalhar com aspectos da auditoria. Será destacada a auditoria de desenvolvimento de sistemas que pode ajudar na organização desde a análise do processo de um sistema particular, como na fase de planejamento ou andamento, até após sua con- clusão. Ainda, será visto como é realizado o trabalho na auditoria de redes e banco de dados. Auditoria. Sistemas. Segurança. 9 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S CAPÍTULO 01 AUDITORIA DE SEGURANÇA DE INFORMAÇÕES E SISTEMAS Apresentação do Módulo ______________________________________ 11 12 22 24 Conceitos Básicos de Auditoria de Segurança de Informações e Sistemas ______________________________________________________ Segurança de Sistemas ________________________________________ Recapitulando _________________________________________________ Segurança da Informação ______________________________________ 16 CAPÍTULO 02 PRINCÍPIOS COMPLEMENTARES DE SI Retomando os Conceitos de Segurança da Informação _________ Recapitulando _________________________________________________ 28 43 Auditoria do Desenvolvimento e Manutenção de Sistemas _______ 49 CAPÍTULO 03 AUDITORIAS DE SISTEMA Tipos de Auditoria a Sistemas de Informação ____________________ 47 Recapitulando __________________________________________________ Auditoria da Administração e Operação de Redes ________________ Auditoria dos Controles de Banco de Dados _____________________ 60 52 58 10 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Considerações Finais ____________________________________________ Fechando a Unidade ____________________________________________ Referências _____________________________________________________ 65 66 69 11 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Cada dia mais as organizações estão cercadas de tecnologias e produzido informações, de modo que cresce a dependência à tecno- logia, devendo-se atentar à busca de segurança para seus sistemas. É sabido que a auditoria atua de modo independente e sistemático na organização, devendo focar sua tarefa, em primeiro lugar, na avaliação dos processos de governança, gestão de riscos e controle e, de modo complementar, na avaliação das principais tarefas, processos e produ- tos da organização, particularmente aqueles considerados importantes para obter os objetivos estratégicos. Além disso, o primeiro capítulo desta Unidade abordará a intro- dução sobre os conceitos básicos de Auditoria de Segurança de Infor- mações e Sistemas. Descrevendo ainda o conceito de segurança e vio- lação, explanaremos sobre a segurança da informação e de sistemas. O segundo capítulo versará e detalhará, em especial, os conceitos e princípios da criptografia, da tríade da Segurança da Informação, bem como de seus principais métodos e características.Ainda no segundo capítulo serão abordados fatores que moti- vam a aplicação da Segurança da informação, em especial, mediante os conjuntos de vantagens e desvantagens ligados à sua implantação. Ademais, serão apresentadas as características históricas que motiva- ram o surgimento da criptografia como a conhecemos, bem como, as principais características dos diferentes ataques à informação. Por fim, o terceiro capítulo abordará alguns tipos de auditoria, como a auditoria do desenvolvimento e manutenção de sistemas, audi- toria da administração e operação de redes e a auditoria dos Controles de Banco de Dados. Desta forma, permitindo uma visão geral sobre os métodos e características que motivam a aplicação de auditórias fundamentadas na segurança da informação em diferentes campos de atuação da tecnologia da informação, concluindo, assim, os conteúdos sobre auditoria e controle de segurança. No mais, boas-vindas ao presente módulo e que todos possam enriquecer seus conhecimentos com os assuntos que serão explanados. Bons estudos! 12 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S CONCEITOS BÁSICOS DE AUDITORIA DE SEGURANÇA DE INFOR- MAÇÕES E SISTEMAS A auditoria atua de modo independente e sistemático na or- ganização, devendo focar sua tarefa, de modo primeiro, na avaliação dos processos de governança, gestão de riscos e controle e, de modo complementar, na avaliação das principais tarefas, processos e produ- tos da organização, particularmente aqueles considerados importantes para obter os objetivos estratégicos. O objetivo da auditoria é promover uma relativa segurança às partes envolvidas na condução dos negó- cios da empresa; de modo que auditoria de sistemas está direcionada à avaliação dos sistemas de informação e dos elementos tecnológicos que combina o processo de geração, armazena e disponibiliza a infor- mação. AUDITORIA DE SEGURANÇA DE INFORMAÇÃO & SISTEMAS A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S 13 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S A funcionalidade da auditoria de sistemas ajuda a adequar, re- visar, avaliar e recomendar para o aperfeiçoamento dos controles in- ternos de alguns dos sistemas de informação da empresa, bem como, avaliar a utilização dos recursos humanos, materiais e tecnológicos en- volvidos nos processamentos ligados a auditoria (SCHIMIDT, 2006). As tarefas de auditoria de sistemas, além de utilizar os recursos de infor- mática para auditar o próprio computador, também enfatizam a auto- matização de todos os processos de auditoria. Por conseguinte, para favorecer o uso de Técnicas de Auditoria Assistidas por Computador (TAAC), existem softwares de auditoria. Conforme Imoniana (2008) e Lyra (2008), esses softwares usualmente contribuem na extração, seleção de dados e transações, contemplares às discrepâncias e desvios. A Auditoria em Segurança da Informação trata de avaliar, de forma sistemática, a segurança do sistema de informação de uma empresa. Simplificando, ela procura mensurar o quanto o sistema está conforme com uma série de critérios estabelecidos. Podemos ressaltar, ainda, que a Auditoria em Segurança da Informação estabelece uma avaliação com o intuito de garantir que pro- cessos e infraestrutura sejam atualizados. Destacamos que os auditores realizam tarefas como entrevistas, análises de vulnerabilidades, confi- gurações do sistema operacional, bem como atividades de analisar os compartilhamentos de rede e históricos de dados. É preciso atentar-se para como as políticas de segurança estão sendo aplicadas em cada sistema. Desta forma, ao longo deste capítulo, vamos detalhar mais so- bre os conceitos importantes da auditoria de segurança de informação. Conceito de segurança A definição de Segurança em um sistema informático é deter- minada com a aptidão de garantir a prevenção ao acesso e a manipular, de modo ilegítimos, a informação ou, bem como, de evitar a interferên- cia indevida na sua operação normal (ISO/IEC 15408-1, 1999). Esta capacidade está baseada em quatro propriedades que devem ser su- portadas (KENT, 1977; STALLINGS, 1998): • confidencialidade: garantindo que as informações estejam disponíveis apenas aos usuários autorizados. • disponibilidade: que deve oferecer garantia sempre ao aces- so autorizado das informações. De modo que o serviço de um sistema não pode ser interrompido por ações ou conhecimento de indivíduos não autorizados; • integridade: está relacionada à aptidão do sistema de impedir http://www.scurra.com.br/blog/politica-de-seguranca-de-ti-em-sua-empresa/ 14 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S a corrupção das informações por faltas intencionais ou acidentais; • autenticidade: está relacionada a meios que garantem a vali- dade da informação, tanto dados quanto informações de usuários, num dado instante. Usualmente, as três primeiras propriedades estão descritas na literatura. A autenticidade está inclusa na lista quando existe um cuida- do quanto aos elementos da comunicação no ambiente. Por conseguin- te, outra propriedade que também pode fazer parte e que está nessa lista é a contabilização (accountíng), de modo que o interesse esteja em aplicações como o comércio eletrônico (GOLLMANN, 1999). Porém, oferecer garantia de segurança de um sistema é uma atividade difícil de ser executada diante das dimensões dos sistemas atuais. É preciso, para isso, saber todos os caminhos que podem per- correr ou disponibilizar uma informação no sistema. Trata-se de um tra- balho que pode ser extremamente complexo e com custos mais altos do que das necessidades reais dos usuários do sistema. Violações de Segurança Salienta-se que as informações em um sistema são determina- das em três categorias de violações de segurança: • disponibilização não autorizada de informação; • transformação não autorizada de informação; • negação de serviço. A primeira categoria de violação engloba a não verificação da propriedade de confidencialidade. As violações do tipo “transformação não autorizada de informação” atinge contra a integridade das informa- ções estocadas ou veiculadas no sistema. As violações do tipo “negação de serviço”, têm como intuito impedir o acesso legítimo a elementos de um usuário autorizado. Isso implica, por exemplo, um recurso não dis- ponível para usuários legítimos por meio de uma carga computacional alta gerada no sentido de tornar o serviço indisponível. Abaixo temos a figura 1, com algumas mensagens de alerta a problemas de segurança. 15 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Figura 1: Exemplos de mensagens de violação Fonte: PIXBAY, 20201. Todo sistema onde a idealização está fundamentada no com- partilhamento de recursos, apresenta possibilidades pequenas e não esperadas para a transferência de informação entre duas entidades não autorizadas a se comunicarem. Na literatura é também usado o concei- to “ameaça” para determinar ou identificar circunstâncias, condições ou eventos que dispõem de algum potencial de violação de segurança. Entende-se a vulnerabilidade como uma falha ou característica indevida que pode ser explorada para concretizar uma ameaça. 1 Imagem disponível em: <https://pixabay.com/pt/illustrations/search/seguran%- C3%A7a%20da%20informa%C3%A7%C3%A3o>. Acesso em: 28 out. 2020. 16 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Existe uma iniciativa denominada de CVE (Common Vulnera- bílítíes and Exposures), no centro de segurança da empresa america- na MITRE, no contexto de determinar uma nomenclatura padronizada para cada tipo de vulnerabilidade existente. Diversas empresas reali- zam uma adaptação de seus produtose bancos de dados segundo os termos determinados pelo CVE. Já o ataque é determinado como um conjunto de ações direcionadas por uma entidade não autorizada abor- dando violações de segurança. Existem alguns tipos de ataques que são tradicionalmente classificados em ataques passivos e ativos. • ataque ativo: referente à tentativa de alteração de ativos ou afetar sua operação • ataque passivo: referente à tentativa de buscar ou realizar a utilização de informações oriundas do sistema que não ocasiona ativos do sistema. É importante entender que os ataques passivos ameaçam a confidencialidade dos dados. Já os ataques ativos englobam a transformação não autorizada, a negação de serviço e a fabricação de objetos espúrios a serem adicionados no sistema, ocasionando, como consequência, a integridade, a disponibilidade e a autenticidade das informações, respectivamente (STALLNGS, 1998). SEGURANÇA DA INFORMAÇÃO A Segurança da Informação aborda a proteção dos dados e in- formações de indivíduos ou organizações e, para isso, contém proprie- dades como: confidencialidade, integridade e disponibilidade. Outras propriedades ainda podem ser levadas em consideração (PARKER, 2002) como: autenticidade e não repudio. A ISO/IEC 27001(2013) esta- belece cinco propriedades da segurança da informação: • confidencialidade (Confidentiality) - corresponde à informa- ção que não é acessada ou divulgada a indivíduos, entidades ou pro- cessos não autorizados; • integridade (Integrity) - corresponde à habilidade que atesta a exatidão, corretude e completude; • disponibilidade (Availability) - corresponde à habilidade de es- 17 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S tar acessível e usável sob demanda de uma entidade autorizada; • autenticidade (Authenticity) - corresponde à habilidade de que uma entidade é o que diz ser. • não repúdio (Non-repudiation) - aptidão de comprovar o acon- tecimento de uma reivindicação de um evento ou ação e suas entidades origem, quando uma mensagem é enviada, o destinatário pode consul- tar que ela realmente foi enviada por determinada origem ou o processo inverso. No intuito de prover ou melhorar a segurança da informação, surgiram referências normativas importantes [23], como a família 27000 da International Organization for Standardization (ISO) - que são espe- cíficas para gestão da segurança da informação e foram adotadas pela Associação Brasileira de Normas Técnicas (ABNT). A norma ABNT ISO/ IEC 27001(2013) (RIGON, 2013) é uma tradução da ISO 27001(2013) ela traz a especificação de requisitos para o definição, implementação, manutenção e aperfeiçoamento contínuo de um sistema de gestão da segurança da informação no contexto da organização. Por conseguinte, temos as orientações disponibilizadas por es- tas famílias de ISOs, que permitem a uma organização obter a seguran- ça da informação adequada possibilitando conseguir a certificação em Sistema de Gestão de Segurança da Informação (Information Security Management System - ISMS) (DISTERER, 2013). A Segurança Cibernética (SegCiber) é um conjunto de ferra- mentas, políticas, definições, diretrizes de segurança, gerenciamento de riscos, ações e melhores práticas, que podem ser utilizadas para proteger um cyber espaço (espaço cibernético), este espaço cibernético é corresponde a ambientes compostos por ativos como: computadores em rede, internet, armazenamento, infraestrutura, serviços de Tecnolo- gia da Informação (TI), telecomunicações entre outros. Nesse sentido, o intuito da Segurança da informação (SI) é ofe- recer suporte à continuidade dos negócios e redução dos danos aos ne- gócios, limitando os incidentes de segurança. Outros autores afirmam que, para que uma informação seja considera segura, o sistema que o administra deve atender aos seguintes critérios: • não repúdio: não é possível negar uma operação ou serviço que transforme ou elabore uma informação; como não é possível negar, submeter ou receber de uma informação ou dado. • legalidade: oferece a garantia a legalidade no âmbito jurídico da informação, como, por exemplo, adequar-se a um sistema de legis- lação; com aspectos das informações que contém valor legal contido num processo de comunicação, de modo que com todos os ativos estão seguindo cláusulas contratuais ou a legislação nacional ou internacional 18 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S vigente. • privacidade: vai além da confidencialidade, pois uma informa- ção pode ser considerada confidencial, porém não privada. De modo que uma informação privada poder ser acessada, lida, modificada ape- nas pelo seu proprietário, garantindo, inclusive, que a informação não seja acessada por outras pessoas (garantindo também confidencialida- de à informação). Em suma, a privacidade é a habilidade de um usuário fazer ações em um sistema sem que seja identificado. • auditoria: rastreabilidade das várias etapas de um negócio ou processo, fazendo a identificação dos participantes, os locais e horários de cada parte. Taxonomia de ataques Web Com o avanço e a utilização da internet pela sociedade para vários fins como: comercio, informação, entretenimento, educação en- tre outros, aumenta-se, de forma paralela, os ataques cibernéticos dire- cionados a ela, fundamentado, neste sentido, um estudo idealizado por (ÁLVAREZ, 2003), que propõe uma taxonomia para ataques na web, pois esses ataques cibernéticos explanam protocolos: • Hyper text Transfer Protocol (HTTP): referente ao protocolo de transferência de hipertextos. • Hyper text Tranfer Protocol Secure (HTTPS): referente ao protocolo de transferência de hipertexto seguro. Estes protocolos são usados por sistemas web e têm o objetivo de contribuir para o enten- dimento dos ataques e para a construção de aplicações mais seguras. Ponto de entrada: onde o ataque passa. • Server Software Web (Software do servidor web): correspon- de a uma característica dos servidores web e poder esconder involunta- riamente um conjunto de vulnerabilidades que, ocasionalmente, podem ser exploradas. • Web Aplication Attacks (Ataque em Aplicações web): corres- ponde à explanação das vulnerabilidades oriundas do código de um aplicativo da web em si, independentemente da tecnologia que foi de- senvolvida ou da segurança do banco de dados do servidor web no qual ele foi estruturado (SCOTT, 2002). De forma que, o surgimento destas vulnerabilidades podem ser, por exemplo: erros em formulários HTML, scripts lado cliente/ lado servidor (ASP, JSP, PHP etc.). Vulnerabilidade: uma fraqueza em um sistema que possibilita ação não autorizada. • Code Injection (Injeção de Código): corresponde a inje- tar, de modo arbitrário, um código malicioso em páginas web, essas vulnerabilidades originam-se de falhas em rotinas de validação de 19 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S entrada no lado do servidor, exemplo: XSS (cross site scripting) e SQL Injection. • Canonicalization (Canonização): é uma vulnerabilidade que pode ser ocasionada caso um aplicativo faça uma decisão fundamentada em nome (nome de arquivo, nome de pasta, endereço Web), entretanto, sem levar em consideração o quesito de que o nome poderia ser ex- presso de algumas formas (LEBLANC, 2002). Deste modo, a forma mais comum de explorar as questões de canonização é por meio da travessia de diretório, que possibilita a um usuário, sem o privilégio correspondente, de visualizar dados fora do caminho de destino autêntico. • HTML manipulation (Manipulação de HTML): corresponde a uma vulnerabilidade que possibilita a um usuário mal intencionado transformar dados enviados entre o cliente (web browser) e o servidor (aplicação web). Exemplos: Adicionar scripts ou querys em URLs e for- mulários. • Buffer Overflows: corresponde a ataque conhecidos como es-touro de Buffer, que é quando um programa grava a mais dos limites de um buffer de tamanho fixo de modo prévio alocado na memória, isto é denominado um estouro de buffer. Isto implica, em ler ou escrever, pas- sando o tamanho total de um buffer, este ataque pode ocasionar com- portamentos diferentes em programas ou até levar à falha completa. • Misconfiguration (Configuração Incorreta): implica se o servi- dor ou plataforma de uma aplicação Web, não estiverem configurados corretamente, podem ocasionar o surgimento de outras vulnerabilida- des que levariam à exploração do servidor web comprometido. 3. Serviço: ameaçado pelo ataque. • Authentication (Autenticação): um exemplo de ataques pro- blemáticos para autenticação: fixação de sessão, falsificação de identi- dade, roubo de credenciais válidas e força bruta (KOLŠEK, 2002). • Authorization (Autorização): exemplos de ataques de autori- zação mais comuns que ignoram o controle de acesso: buffer Overflows (estouro de buffer), o ataque de escalada de privilégios (bypass), que pode ocasionar no aumento não autorizado no domínio do acesso, po- dendo, assim, adquirir privilégios de administrador ou root. • Confidentiality (Confidencialidade): um exemplo desses ata- ques a essa propriedade de confidencialidade é justamente permitir o acesso às informações privadas, dependendo da vulnerabilidade um cibercriminoso poderia explorá-la para obter informações. Exemplo: ataques de Injeção de código. 20 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S • Integrity (Integridade): os ataques comuns relacionados à in- tegridade de dados são: manipular registros de banco de dados e o Defacement : ataque que faz modificação em uma página web ou des- figuração. • Availability (Disponibilidade): um exemplo desses ataques que podem ocasionar indisponibilidade: Denial of Service: ataque de negação de serviço (DOS). • Auditing (Auditoria): permite ao administrador do sistema a rea- lização de registros de informações importantes para a segurança, para que possam ser observadas em verificações de possíveis violações. Análise e processo de vulnerabilidade Conforme (OZMENT, 2007) a vulnerabilidade de software é a instância de um erro, que pode acarretar a especificação, no desenvol- ver, ou configurar um software, de tal forma que sua execução pode agredir diretivas de segurança explícita ou implícita. Neste sentido, po- demos entender o raciocínio onde duas instâncias diferentes do mesmo erro podem ter vulnerabilidades diferentes ou não, essa resposta oriun- da do processo de Análise de Vulnerabilidade (AV). Segundo LIU, et. al (2012) a análise de Vulnerabilidade trata do processo de análise de uma vulnerabilidade descoberta, para realizar a identificação de características, propriedades, causas e riscos e relacio- nados. O processo de Análise de Vulnerabilidade de um software crítico é repetido descrito como uma das lacunas em estratégias nacionais e internacionais de segurança cibernética (BORAH, 2015). Por conseguinte, neste processo de Análise de Vulnerabilida- de, um analista de segurança prima por buscar informações importantes sobre o alvo testado para realizar detecção e identificação da vulnerabi- lidade. A Análise de Vulnerabilidade (AV) é uma estratégia de eficiência de segurança cibernética. Especialistas procuram formas de controle, para bloquear ataques cibernéticos e uma delas é a (AV) em juntamente com a remediação das vulnerabilidades detectadas (SANS, 2009). Deste modo, a Análise de Vulnerabilidade (AV), promove a correção eficiente e mitigação das vulnerabilidades conhecidas em sis- temas e contribui a minimizar as oportunidades para exploração. De acordo (PELTIER, 2003), outro processo que contribuem para a AV é o gerenciamento de vulnerabilidades que pode ter os ciclos no processo que são: • varredura de vulnerabilidade (Vulnerability Scan): correspon- de ao processo utilizado para identificação das vulnerabilidades que atingem ativos do usuário, ou seja, produtos e sistemas. 21 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S • análise de risco (Risk Analysis): corresponde ao processo uti- lizado para realizar a estimação do impacto e a probabilidade de explo- rações de vulnerabilidade. O impacto é calculado através da gravidade de uma vulnerabilidade, quantidade de sistemas acometidos e a impor- tância deles. • planejamento (Planning): corresponde ao processo utilizado para decidir sobre as ações, ou seja, a decisão das ações que devem ser adotadas para cada risco. • remediação (Remediation): corresponde ao processo utiliza- do para implementação contra medidas. Riscos Várias abordagens têm surgido para o tratamento de riscos, ou para realizar verificação de que modo a prevenção de riscos pode impactar na gestão da segurança da informação. De qualquer forma, é unânime que o risco deve ser adequado, mensurado e avaliado, promo- vendo a criação de medidas preventivas direcionadas à sua redução. O risco pode ser determinado como as perdas, incluindo, até mesmo, aqueles relacionados à perda de vidas humanas, que podem acarretar mediante a adoção de determinado curso de ação. Pode-se mensurar o risco em termos do custo que pode ser envolvido ou pela variância da distribuição de probabilidade de possí- veis perdas e ganhos associados à alguma opção em particular. Neste sentindo, existe um senso comum de que o risco não pode ser integral- mente eliminado (GUAN et al., 2003). Devido a se ter engajamento em tarefas de avaliação e prevenção de riscos, as organizações têm essa percepção. Os riscos na segurança de informação nem sempre são tão fáceis de prever, porém, na prática, os sistemas devem ter uma estru- tura de prevenção e detecção para possíveis problemas, ameaças e violações futuras. Alguns riscos que podemos destacar são: • phishing: referente a um modo de fraude em que um invasor usa um disfarce seja da entidade, pessoa por e-mail ou por outros. O invasor utiliza e-mails de phishing para distribuição de links ou anexos maliciosos que podem ter por trás a execução de uma série de funções, incluindo a retirada de login ou informações de conta das vítimas. • espionagem industrial: referente à prática secreta e, muitas vezes, ilegal de realizar investigação dos concorrentes para adquirir uma vantagem comercial. Podendo ter como intuito da investigação um segredo comercial. • roubo de dados: referente à prática de roubar informações https://www.hscbrasil.com.br/ataque-via-e-mail/ 22 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S armazenadas em computadores, servidores ou outros equipamentos de uma vítima, tendo como intuito comprometer a privacidade ou adquirir informações confidenciais. • ransomware: trata-se de um subconjunto de malwares em que os dados no computador da vítima são bloqueados, usualmente por criptografia, e exigido um pagamento para poder devolver os dados descriptografados. Neste sentindo, temos a norma BS7799, elaborada pelo British Standards Institute, que inspirou a norma ISO/IEC 17799, cuja primei- ra parte foi implementada no Brasil por meio da norma NBR 17799, descrevendo os controles de segurança necessários no ambiente orga- nizacional e preconizando que os sistemas de gestão de segurança da informação devem primar pela gestão de riscos a fim de obtê-la. A avaliação de riscos é estruturada em nove passos, conforme GUAN et al., (2003): 1. Característica do sistema; 2. Identificar ameaças; 3. Identificar vulnerabilidades; 4. Analisar os controles utilizados; 5. Determinar a probabilidade dos eventos; 6. Analisar impacto; 7. Determinar riscos; 8. Recomendar controles a utilizar; 9. Documentar os resultados. SEGURANÇA DE SISTEMAS É sabido que toda organização depende de informações para fazer seu trabalho e necessita, de modo natural, determinarmecanis- mos que ofereçam garantia à segurança desse importante recurso. É muito comum empresas que, por vários motivos, tiveram significativas perdas por causa de problemas de segurança de seus sistemas de in- formação. Desta forma, é importante conhecer os elementos e ações de proteção contra falhas e ameaças. Podemos destacar como podem ser as medidas preventivas, detectáveis e corretivas. • Medidas preventivas: referem-se ao impedimento de pro- blemas. São adquiridas por recursos já instalados que estabelecem condutas e posturas éticas que evitam problemas futuros, de modo que haja políticas de segurança, instruções, procedimentos de trabalho e campanhas de sensibilização aos usuários. Por exemplo: medidas https://pt.wikipedia.org/wiki/Criptografia 23 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S preventivas ao uso de antivírus, de configurações vide rede e dos sis- temas operacionais, o uso de senhas, a realização de cópias de segu- rança etc. • Medidas detectáveis: referem-se àquelas que identificam o acontecimento de alguma vulnerabilidade nos sistemas de informa- ção, tentando evitar que uma ameaça se torne um problema maior. Por exemplo: os sistemas de detecção de invasores em redes, os avisos de segurança, as câmeras de vídeo, alarmes, entre outros. • Medidas corretivas: são as medidas voltadas à correção de um aspecto danificado, garantindo a restauração e tentado estabelecer, pelo menos, um padrão básico de segurança que a organização pre- cise. Por exemplo: planos de contingência, planos de recuperação de desastres, backups, entre outros. É importante oferecer a garantia da segurança dos sistemas de informação, observando com atenção a segurança de dados, a prote- ção dos hardwares e redes, e o desenvolvimento de planos de recupe- ração de problemas futuros. 24 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S QUESTÕES DE CONCURSOS QUESTÃO 1 Ano: 2020 Banca: CESPE/CEBRASPE Órgão: Ministério da Econo- mia Prova: Tecnologia da Informação - Segurança da Informação e Proteção de Dados Com relação às políticas de auditoria na gestão de segurança da informação, julgue o item seguinte, com base no Decreto n.º 9.637/2018. O referido decreto estabelece que qualquer auditoria de segurança da informação deve ser autorizada pelo gestor de tecnologia da informação do órgão. ( ) Certo ( ) Errado QUESTÃO 2 Ano: 2018 Banca: CFC Órgão: CFC Prova: Auditor Independente - BCB Durante seus exames, o auditor independente pôde concluir que a Política de Segurança Cibernética implantada pela instituição fi- nanceira, cujas demonstrações contábeis são objeto de sua audi- toria, mantém frágeis controles voltados para a rastreabilidade da informação e que, portanto, não estão garantindo a segurança das informações sensíveis. Na emissão de sua opinião, o auditor deve: a) incluir um parágrafo de ênfase que indique o problema, mas sem ressalvar sua opinião. b) desconsiderar esse assunto para fins de emissão de opinião. c) considerar-se impedido de emitir opinião diante de incerteza relevante. d) ressalvar sua opinião em razão da mencionada fragilidade de con- trole. QUESTÃO 3 Ano: 2018 Banca: CESPE / CEBRASPE Órgão: SEFAZ-RS Provas: Auditor do Estado - Bloco I A respeito da auditoria de sistemas, julgue os seguintes itens. I. Para a busca de usuários não autorizados e discrepâncias, um dos objetivos da auditoria de sistemas, é suficiente a realização de testes esporádicos e aleatórios, o que serve também para verificar se o sistema é pleno em segurança. II. Na auditoria de sistemas, verificam-se a segurança e a acurácia das informações geradas pelo sistema de informação, bem como a privacidade dos dados e das informações. 25 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S III. São típicos da auditoria de sistemas os testes de segurança do sistema de informação contábil e de privacidade dos dados, que visam à salvaguarda dos ativos da empresa. Assinale a opção correta. a) Apenas o item I está certo. b) Apenas o item II está certo. c) Apenas o item III está certo. d) Apenas os itens I e II estão certos. e) Apenas os itens II e III estão certos. QUESTÃO 4 Ano: 2020 Banca: CESPE/CEBRASPE Órgão: Ministério da Econo- mia Prova: Tecnologia da Informação - Segurança da Informação e Proteção de Dados Com relação às políticas de auditoria na gestão de segurança da informação, julgue o item seguinte, com base no Decreto n.º 9.637/2018. Cabe aos órgãos e às entidades da administração pú- blica federal, em seu âmbito de atuação, analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação. ( ) Certo ( ) Errado QUESTÃO 5 Ano: 2018 Banca: FCC Órgão: SEFAZ-SC Prova: Auditor-Fiscal da Receita Estadual - Tecnologia da Informação (Prova 3) Para implantar a segurança da Informação na Secretaria da Fazen- da, um Auditor deverá considerar a tríade de atributos fundamen- tais, ou base, da segurança da informação, que são: a) Autenticidade, Confidencialidade e Integridade. b) Autoridade, Autenticidade e Confidencialidade. c) Confidencialidade, Integridade e Disponibilidade. d) Autenticidade, Confidencialidade e Disponibilidade. e) Integridade, Disponibilidade e Irretratabilidade. QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE Após o estudo ao longo do capítulo, disserte sobre a análise de vulne- rabilidade. TREINO INÉDITO Um dos conceitos estudados pode ser determinado como as perdas, 26 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S incluindo até mesmo, perdas de vidas humanas, que podem acarretar mediante a adoção de determinado curso de ação. Assinale a alternati- va que corresponde ao conceito descrito acima: a) Risco. b) Violação. c) Vulnerabilidade. d) Auditoria. e) Segurança. NA MÍDIA AS 5 PRINCIPAIS AMEAÇAS AO SISTEMA DE SEGURANÇA DE UMA EMPRESA Neste artigo destaca cinco ameaças importantes que as empresas ne- cessitam se atentar como: malware, computação móvel, nuvem, erros de usuários e ataques internos. Diante de várias ameaças de segurança das empresas não se modi- ficaram ao longo dos anos, como hackers-malware, entretanto outras novas apareceram, como por exemplo possibilitar ao funcionário usar seu próprio dispositivo móvel e a computação em Nuvem. De modo que mesmo que essas tecnologias ofereçam inúme- ros benefícios para a empresa, elas trazem consigo seus próprios riscos e um série de desafios em relação à segurança. Com ad- vindo do Mobile e Cloud estão tornando a TI e equipe de segu- rança reavaliar a estrutura da sua rede e mudar as suas estra- tégias para garantir que suas informações continuem protegidas Fonte: Blog Brasil Data: 04/18/2020 Leia a notícia na íntegra: AS 5 PRINCIPAIS AMEAÇAS AO SISTEMA DE SEGURANÇA DE UMA EMPRESA. Canal Comstor. Disponível em: <https://blogbrasil.coms- tor.com/bid/385437/as-5-principais-amea-as-ao-sistema-de-seguran-a- -de-uma-empresa/> Acesso em: 30 out. 2020. NA PRÁTICA Lendo o artigo cujo tema é: “Ataques à segurança da informação: co- nheça as principais ameaça”, que traz os ataques à segurança da in- formação como problemas muito graves nas empresas. Assim, a área está envolvida com a proteção de todos os dados básicos de uma https://canaltech.com.br/big-data/O-fenomeno-Big-Data-e-seu-impacto-nos-negocios/ https://canaltech.com.br/big-data/O-fenomeno-Big-Data-e-seu-impacto-nos-negocios/ https://canaltech.com.br/big-data/O-fenomeno-Big-Data-e-seu-impacto-nos-negocios/ https://stefanini.com/pt-br/trends/artigos/como-combater-o-vazamento-de-dados/ 27 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S organização, como relatórios, informações de clientes, dados fiscais, planejamentos, entre outros. O artigo cita como é importante o bom desempenho, e a segurançada informação necessita se fundamentar em quatro pilares: disponibilidade, integridade, autenticidade e confi- dencialidade. Acesse o link: <https://stefanini.com/pt-br/trends/artigos/ameacas-a- -seguranca-da-informacao/>. Acesso em: 30 out. 2020. PARA SABER MAIS Filmes sobre o assunto: Privacidade Hackeada (2019) Privacidade Hackeada (Análise) | Documentário | Netflix Disponível em: <https://www.youtube.com/watch?v=YZAE9DLIfvk> Acesso em: 30 out. 2020. https://www.ecommercebrasil.com.br/artigos/como-usar-o-big-data-na-pratica/ https://www.ecommercebrasil.com.br/artigos/como-usar-o-big-data-na-pratica/ 28 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S No primeiro capítulo foram apresentados os conceitos gerais sobre a segurança da informação e sobre auditorias na área. Assim, o segundo capítulo apresentará conceitos complementares voltados à aplicabilidade de técnicas e ferramentas em prol da segurança dos da- dos. Neste sentido, os tópicos seguintes abordarão, respectivamente, os princípios que motivam a segurança de dados e quais os recursos que podem ser usados para tanto, bem como o uso de criptografia para dificultar o roubo de dados transitando em meios como a internet. RETOMANDO OS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO A computação como ciência teve seu início com o uso de má- quinas capazes de processar informações inseridas e apresentar re- sultados interpretáveis para os operadores humanos, com pouco ou nenhum recurso de armazenamento (persistência) dos dados nas má- PRINCÍPIOS COMPLEMENTARES DE SI A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S 29 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S quinas. Com o avanço da tecnologia, os computadores se tornaram ca- pazes de realizar um número cada vez maior de cálculos, bem como, gerar cada vez mais dados para serem analisados, pelos quais, tanto os algoritmos como os dados resultantes, eram registrados em grandes livros. Uma das primeiras mídias utilizadas para armazenar, de forma persistente, os algoritmos e seus resultados, foi o uso de cartões perfu- rados, permitindo, assim, que estes dados pudessem ser replicados e transportados, fato importante para a crescente integração de equipes distribuídas em diferentes locais, como universidades, bases militares e empresas. Todavia, uma revolução nas comunicações surgiu no ano de 1969, a primeira mensagem enviada através do protótipo do que viria a ser a internet, a rede que conecta os diversos dispositivos computacio- nais ao redor do globo terrestre. Apesar de rudimentar, as primeiras redes não eram acessíveis ao público geral, sendo voltadas para fins militares e acadêmicos, co- nectando diversas universidades e instituições militares nos Estados Unidos da América, fator que não durou muitas décadas, uma vez que as empresas viram o potencial do uso das redes de computadores para troca de informações úteis. Apenas por volta da década de 90, do sécu- lo XX, a internet começou, de fato, a ser usada para fins comerciais, em especial, permitindo que usuários gerais pudessem ter acesso às redes, bem como, hospedar seus próprios sites. Neste período os computadores pessoais com maior poder de processamento e com dispositivos de armazenamento persistente de dados como os Hard Disk Drive e Floppy Disk já estavam inundando as empresas e as residências em diversos países, inclusive no Brasil, onde o eCommerce já dava os primeiros passos. Neste sentido, a troca de dados pela internet para fins comerciais passou a ser frutífero, porém, arriscado meio de oportunidades para empresas e pessoas, trazendo comodidade e facilidade, que viriam a moldar a cultura e formas de se relacionar nas décadas seguintes. Note que uma transação comercial envolve o envio de dados dos clientes para que a empresa possa processar corretamente os pe- didos segundos as regras tributárias vigentes, tornando esses dados como CPF, nome, endereço, telefone, dados bancários, entre outros, dados sensíveis a roubos ou distribuição não concedida. Todavia, a luta para manter os dados seguros é anterior ao eCommerce, e podemos destacar a luta constante para mascarar as trocas de informações por rádio, escritas e por telefone ocorridas durante guerras, especialmente na segunda guerra mundial. Desta forma, pesquisas voltadas para a segurança de dados 30 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S já eram realizadas antes mesmo da popularização dos computadores pessoais e da internet, porém, é fato que essa popularização contribuiu fortemente para o aumento dos incidentes ligados à tentativa de roubo ou visualização indevida de dados. Um dos casos de uso indevido de dados foi a invasão do sis- tema de distribuição da indústria de refrigerantes Pepsi-Cola, onde dois estudantes canadenses, após se infiltrar no sistema, distribuíram entre- gas de refrigerantes para as casas de amigos e parentes, atentando o mundo para a necessidade de criar meios de proteção para a informa- ção computacional (OLIVEIRA et al., 2015, p. 38). No Brasil, o grupo CERT.br, mantido pelo Comitê Gestor da In- ternet no Brasil através do NIC.br, registra os casos de tentativas e ocor- rências de violação de informação através de meios computacionais, registrando quantitativamente o número de incidências anuais, como pode ser visto na Figura 3. Figura 3 - Total de incidentes reportados ao CERT.br por ano Fonte: CERT.br, 20202. 2 Imagem disponível em: <https://www.cert.br/stats/incidentes/>. Acesso em: 29 out. 2020. 31 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Neste sentido esforços globais em prol da segurança da infor- mação têm sido criados, especificamente através de normas de segu- rança. Como citado no primeiro capítulo, os pilares da segurança da informação são (OLIVEIRA et al., 2015, p. 39): • confidencialidade: garante que os dados não sejam acessa- dos indevidamente, garantindo também o sigilo da informação; • integridade: não permite que a informação seja modificada de maneira indevida, garantindo também a inalterabilidade dos dados por ente não autorizado; • disponibilidade: um dos principais pilares producente, depen- dente dos demais, uma vez que é responsável por garantir que os da- dos estarão de forma perene disponíveis para pessoas autorizadas, ou seja, ao se garantir a confidencialidade e integridade, todos os usuários autorizados poderão usar livremente e de forma continuada as informa- ções. A Figura 4 apresenta um esquema geral da chamada tríade da segurança da informação. Figura 4 - Tríade da segurança da informação Fonte: OLIVEIRA et al., 2015, p. 393. Estes fundamentos ligados à segurança da informação co- meçaram a ser moldados por volta de 1987, com o surgimento de pa- drões de boas práticas para segurança dos dados pelo Departamento de Indústria e Comércio (DTI – Departament of Trade and Industry’s) na Inglaterra, que, em 1995 pavimentou o surgimento de uma norma geral britânica chama British Standard BS7799:1995 e posteriormente 3 Imagem disponível em: OLIVEIRA et al. Aplicação das normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 em uma média empresa. Revista Eletrônica de Sistemas da Informação e Gestão Tecnológica. Vol. 6, 2015. 32 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S BS7799-2:2002 (OLIVEIRA et al., 2015, p. 39). Estas última normas, BS7799-2:2002, podem ser entendidas como uma certificação, conten- do em seus aspectos gerais outras normas de governança e gestão, fato que motivou a International Organization for Standardization (ISO) a homologar a norma inglesa através ISO/IEC 17799, que, atualmente, é conhecida como a norma ISO/IEC 27002. No Brasil,a ABNT (Associação Brasileira de Normas Técnicas) possui o padrão ABNT NBR ISO/IEC 27001, chamado apenas de ISO/ IEC 27001, que é uma tradução da norma ISO/IEC 27002. O padrão brasileiro segue o conceito da PDCA (Plan-Do-Check-Act), ou seja, um ciclo de vida baseado em quatro estágios para o planejamento do Sis- tema de Gestão da Segurança da Informação (SGSI): • planejar: é uma fase de planejamento baseado nos interes- ses da empresa ou projeto independente, seguindo os conjuntos de cri- térios definidos pelos objetivos e métricas do controle de riscos e gestão de segurança de dados; • fazer: com base nos conceitos desenvolvidos na fase de pla- nejamento, esta fase objetiva implementá-los, criando os controles ne- cessários para o acesso aos dados, bem como treinamento geral das práticas de segurança da informação; • checar: identifica se os conceitos implementados na fase an- terior estão sendo seguidos, permitindo que diretrizes de ajustes sejam criadas com base em auditorias internas e/ou externas; • agir: objetiva manter de forma continuada a melhoria dos ser- viços de segurança da informação com base nos resultados obtidos nas fases anteriores, executando as novas diretrizes e preparando o novo ciclo que sucederá o atual. 33 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S A Figura 5 apresenta um esquema geral do ciclo de vida PDCA. Figura 5 - Ciclo de vida PDCA Fonte: OLIVEIRA et al., 2015, p. 414. Vantagens e desvantagens na aplicação da Segurança da informação Como apresentado na seção anterior, com o passar dos anos e a maior acessibilidade dos aparelhos computacionais, bem como a maior facilidade de integração e acesso à internet, o número de dispo- sitivos conectados cresceu abruptamente, elevando consigo o risco de perda de integridade dos dados. Segundo Sêmola (2003, p. 4), o risco pode ser representado por um gráfico, em que o eixo X é referente ao nível de conectividade das aplicações, o eixo Y o risco de quebra de integridade dos dados, e os pontos no gráfico as diferentes aplicações dos sistemas. Neste sentido, aplicações locais com bases de dados não inte- gradas com qualquer rede de computadores, bem como as redes cor- porativas, possuem risco muito inferior quando comparadas às aplica- ções como ao eCommerce, no qual dados sensíveis são transferidos por meio da rede mundial de computadores, fato que pode ser visto na Figura 6 a seguir. 4 Imagem disponível em: OLIVEIRA et al. Aplicação das normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 em uma média empresa. Revista Eletrônica de Sistemas da Informação e Gestão Tecnológica. Vol. 6, 2015. 34 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Figura 6 -Risco Vs Conectividade Fonte: Adaptado de SÊMOLA, 2003, p. 45. Neste sentido, a implantação dos conceitos de segurança da informação deve levar em conta conjuntos de vantagens e desvanta- gens direcionadas à aplicação que o sistema irá realizar. Entre as prin- cipais desvantagens podem ser destacados o custo e o tempo, pelo qual derivam outras dificuldades ligadas à implantação das normas de segurança e gestão de informação. O custo pode estar associado à compra de equipamentos, reformas físicas das instalações para ade- quação, contratação e/ou treinamento de profissionais, contratação de serviços, participação em conferências, entre outros. No sentido dos custos, tais modificações na empresa resultam no uso de tempo para se adequar aos conceitos citados, fator que mui- tas vezes pode acarretar custos adicionais e perda temporária de produ- tividade, bem como, parada total das operações vigentes. Ao se aplicar conceitos da norma ISO/IEC 27002, especificamente do ciclo de vida PDCA, a fase de planejamento deve procurar identificar e, se possível, criar meios para sanar ou reduzir estes custos associados à implan- tação da segurança da informação. Todavia, o conjunto de benefícios tendem a agregar alto valor aos produtos e negócios, sendo as princi- pais vantagens no uso da segurança da informação listadas a seguir. Sêmola (Gestão da Segurança da Informação: Uma visão executiva): 5 Imagem disponível em: SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão executiva. Rio de Janeiro: Elsevier, 2003. 35 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S • viabiliza o surgimento de novas oportunidades de negócios e receitas; • tende a aumentar o valuation da empresa e suas ações; • tende a aumentar o market-share e o share of mind; • cria uma visão de segurança e modernidade do negócio; • permite que os negócios se adaptem mais facilmente às mu- danças; • reduz os riscos ligados aos produtos/serviços, bem como au- menta a satisfação dos clientes; • tende a aumentar a disponibilidade dos serviços e produtos oferecidos; • tende a reduzir os custos ocasionados pelo comprometimento dos dados; • tende a aumentar a lucratividade por redução dos desperdí- cios e confiabilidade dos clientes, entre outros. Perceba que, apesar de um grande conjunto de benefícios, ressalta-se que deve ser feito um estudo prévio para avaliar os impactos e real necessidade da aplicação dos conceitos de SI, uma vez que uma rede local ou dados e sistemas rodando apenas em um computador, precisam de técnicas específicas para preservação da integridade da informação, não sendo necessário criar uma infraestrutura tão comple- xa quanto para um sistema de eCommerce. Os dados para uma empresa são considerados um importante ativo, ou seja, permite a geração de renda às empresas e, por isso, precisa ser devidamente protegido e gerenciado, cabendo aos respon- sáveis por estes dados aplicarem conceitos corretos e atuais para a segurança da informação no negócio. Porém, é recomendado mesmo para sistemas locais, aplicar técnicas de segurança da informação, uma vez que os protocolos e padrões permitiram maior proveito dos dados e reduzirão perdas oca- sionais geradas por descuidos ou má fé de terceiros. 36 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Meios básicos ligados à segurança da informação Esta seção irá introduzir conceitos fundamentais de proteção dos dados, tomando como exemplo o uso de computadores ligados à internet. Desta forma, uma primeira solução aplicada na segurança dos dados são ferramentas de segurança de rede que realizam o monito- ramento do tráfego de dados, chamadas popularmente de firewall, as paredes de fogo. Através do uso de um firewall corretamente configura- do, apenas dados reconhecidos como não maliciosos poderão trafegar entre a máquina e a internet, rejeitando qualquer requisição ou pacote considerado inseguro. Atualmente, os sistemas operacionais contam com sistemas de firewall integrados, apresentando relativo sucesso na defesa dos dados, porém, é incentivado aos usuários contratarem serviços de firewall de empresas que mantenham taxas de atualização contra novos invasores com certa frequência, uma vez que todos os dias novos softwares mali- ciosos são desenvolvidos, tornando sistemas antes robustos de análise de fluxo de dados, obsoletos da noite para o dia. Outra ferramenta útil na defesa dos dados é uso da arquitetura em camadas. Assim, cada camada seria responsável por um tipo de processamento no meio onde a comunicação se dará. O próprio concei- to do firewall citado é um exemplo do uso de uma camada de seguran- ça sobre a comunicação, todavia, existem aplicações gratuitas e pagas que inserem mais camadas de proteção, aumentando a eficiência da segurança das informações contidas nas bases de dados e trafegando nas redes. Outro conceito fundamental para o tráfego e alocação segura de informação é a criptografia, uma vez que o uso desta antiga ferra- menta permite que os dados sejam mascarados através de formatos diferentes dos originaisatravés de técnicas geralmente baseadas em operações matemáticas. Existem diferentes tecnologias de criptografia, algumas permitem que o uso de chaves ou códigos agregados, bem como outras técnicas, sejam utilizados para recuperar a informação ori- ginal criptografada. Outros, por sua vez, não permitem a recuperação da mensagem original, como algumas técnicas de criptografia de senhas, que realizam o processo de criptografar as requisições e testá-las com os dados presentes nas bases de dados, sendo uma técnica bastante usada em sistemas de acesso, mantendo os dados na base de dados mascarados, fator que reduz as chances de roubo de dados caso a base seja violada. Outro conceito importante é o uso de frameworks de governança como CobiT (Control Objectives for Information and Related Technology) e 37 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S ItIL, que implementam, além de outras características, a disponibilida- de, a confidencialidade e a integridade da informação. Principais características e métodos dos ataques à informação Existem diversas formas de ataques computacionais, todavia, serão apresentadas cinco, sendo as mais comuns de serem aplicadas e com maior número de vítimas: a engenharia social, força bruta, phishing, acesso remoto e negação de serviço (Denial of Service - DoS). O ataque por engenharia social é um dos mais simples e usa- dos por pessoas com intenções maliciosas. Ocorre quando um invasor procura compreender conceitos da dinâmica das empresas à procura de falhas na segurança, utilizando estratégias de comunicação como se passar por funcionários e requisitando alteração ou fornecimento de dados de acesso, fato que pode ocorrer caso não exista uma política baseada em protocolos para recuperação e alteração dos dados cadas- trados. Ataque por força bruta também possui um conceito simples, todavia, requer, como o nome diz, o uso de estratégias mais diretas e exaustivas para conseguir o acesso a algum sistema. Neste tipo de ata- que os invasores procurarão descobrir por tentativa e erro os dados de acesso como login e senha, executando variações até conseguir aces- sar os dados pretendidos. Além do exposto, muitas vezes é utilizado algoritmos de geração de senhas com base em regras procedurais, se- quenciais, entre outras, para realizar o máximo possível de tentativas de acesso. Uma forma de defesa contra esse tipo de ataque é o uso de ca- madas de contenção de tentativas não humanas, proibição de criação de senhas pouco complexas e configuração do firewall contra repetidas tentativas erradas de um mesmo usuário, gerando desabilitação para o login se conectar por tempo determinado. A técnica de phishing, pescaria, procura usar conceitos ligados à engenharia social para obter dados dos usuários, por exemplo, atra- vés do envio de e-mail ou ligações se passando por serviços conheci- dos como bancos e provedores de internet pedindo dados considerados sensíveis, como: CPF, senhas, dados bancários, entre outros. A fim de reduzir este tipo de golpe, a maior parte das empresas não pedem da- dos bancários e/ou pessoais para tratamento de problemas identifica- dos pela própria empresa. Assim, a melhor forma de se proteger é ao receber mensagens ou ligações suspeitas, procurar os principais meios de comunicação oficial das empresas e reportar o ocorrido para identi- ficação de sua natureza. Ataques por acesso remoto procuram fragilidades na configu- 38 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S ração de aplicações de acesso remoto às máquinas, permitindo que usuários mal intencionados tenham acesso irrestrito aos dados na má- quina invadida.A principal forma de prevenção é procurar evitar o uso destas aplicações ou procurar pessoas capacitadas para realizar a cor- reta configuração em caso de desconhecimento de como fazê-lo. Ataques DoS são procedimentos que procuram sobrecarregar os servidores com quantidades elevadas de requisições, ocasionando na chamada queda dos serviços por incapacidade de responder a quantidade de dados requisitantes. Alguns códigos maliciosos podem ser replicados na internet para usuários desatentos que são infectados e passam de forma mascarada a realizar requisições para um endereço comum, aumentando a quantidade de requisições, bem como de suas origens. Existem outras formas de realizar ataques desta natureza e a principal forma de defesa contra os DoS é a configuração do firewall, pelo qual poderá identificar esse tipo de ataque e bloqueá-lo. Além dos cinco tipos principais de ataques citados, existem conjuntos códigos maliciosos utilizados nos ataques citados, sendo os principais (CERT. br, 2012, págs. 24-27): • vírus: são códigos maliciosos que possuem a habilidade de se multiplicarem e infectarem outros programas, passando a fazer parte destes. Assim, quando se executa um arquivo infectado, ele passa a infectar outros arquivos em um ciclo contínuo, gerando, além deste pro- blema, mau funcionamento do equipamento e, em alguns casos, roubo de informação. Atualmente, as principais origens de vírus são sites ma- liciosos e uso de periféricos. • worm: até certo ponto as características dos vírus são seme- lhantes aos dos worms, porém, um worm tem o potencial de enviar pela rede cópias próprias a fim de infectar outras máquinas, gerando conse- quentemente problemas de conectividade além das funções maliciosas como roubo de dados, problemas no desempenho das máquinas, entre outros. • spyware: este tipo de sistema pode ser usado de forma bené- fica ou para fins escusos. O objetivo do spyware é monitorar uma rede e enviar informações capturadas durante as comunicações. Worms, ví- rus, entre outros, podem também realizar a instalação de spywares para roubo dos dados que trafegam na rede. • trojan: também conhecido como cavalos de Troia, são siste- mas que executam tarefas ao qual se propõem, porém, de forma oculta, executam tarefas maliciosas. Estes códigos maliciosos também podem instalar ou executar funções maliciosas, permitindo, por exemplo, ata- ques do tipo DoS a terceiros. 39 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S • rootkit: são códigos capazes de mascarar o acesso malicioso, descobrir e inserir vulnerabilidades nas máquinas, capturar dados de tráfego, entre outras funções, geralmente sendo executados mediante conjuntos de aplicações maliciosas. • backdoor: são mecanismos instalados para permitir que um invasor possa acessar novamente a máquina após uma invasão, geral- mente com este acesso mascarado por um rootkit. Criptografia Este capítulo tratará especificamente sobre os conceitos fun- damentais de criptografia, permitindo a compreensão e aplicabilidade desta técnica de ocultação de informações para usuários não permi- tidos. Neste sentido, primeiramente, será abordado um histórico geral das aplicações de criptografia, fato que retomará certos aspectos já apresentados no primeiro capítulo desta unidade, porém, de forma ex- clusivamente complementar e foca na criptografia. Em seguida, será apresentado os conceitos básicos que fun- damentam as técnicas de modificação dos dados para o âmbito de troca ou armazenamento, bem como, algumas das técnicas mais conhecidas de criptografias atuais. História e conceitos gerais de criptografia O processo de ocultar mensagens vem evoluindo há milênios, com um dos primeiros exemplares documentados de modificação das letras a fim de dificultar/impedir sua compreensão por pessoas não autorizadas é datada do século 1 antes de Cristo, pelo qual uma das principais figuras históricas da humanidade, Júlio César (100 a.C. – 44 a.C.), procurou ocultar suas mensagens trocadas com unidades espa- lhadas pela Europa alterando as letras pelas suas respectivas próxi- mas. Assim, o texto ESTUDAR segundo a codificação da criptografia de Césarresultaria no seguinte texto: FTVEBS. Um dos grandes problemas encontrado por César para o envio de suas mensagens criptografadas é a simplicidade para descobrir o padrão utilizado para codificar a mensagem, permitindo a sua recupera- ção com pouco esforço. Segundo Coutinho (2015, p. 3), uma estratégia usada a quebra de criptografias baseadas na troca de elementos gráfi- cos da língua corrente é a análise da frequência em que cada caractere aparece na mensagem, especialmente pelo fato de as línguas, em ge- ral, apresentarem frequências bem definidas de aparecimento dos ca- racteres em suas palavras. A Tabela 1 apresenta a frequência média em 40 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S que cada letra do alfabeto da língua portuguesa aparece nas palavras. Tabela 1 - Frequência de aparecimentos dos caracteres da língua portuguesa Letra % Letra % Letra % Letra % A 14.64% G 1.30% N 5.05% T 4.34% B 1.04% H 1.28% O 10.73% U 4.64% C 3.88% I 6.18% P 2.52% V 1.70% D 4.10% J 0.40% Q 1.20% X 0.21% E 12.57% L 2.78% R 6.53% Z 0.47% F 1.02% M 4.75% S 7.81% Fonte: COUTINHO, 2015, p. 3. Com base na tabela de frequências é possível conseguir que- brar criptografias baseadas em estratégias de modificação dos carac- teres por outros elementos gráficos, algo que pode ser feito com rela- tiva facilidade através do uso de algoritmos especializados em contar e substituir os caracteres. Ainda, segundo Coutinho (2015, p. 4), uma forma de dificultar a quebra do código através de alterações nos sím- bolos, é a chamada codificação em blocos, utilizando um conjunto de passos pré-definidos para a construção das mensagens encriptadas. Os passos para a codificação em blocos são os seguintes: • primeiro passo: remover os espaços entre os caracteres da mensagem e em caso de número ímpar, deve-se inserir a letra A ao final da mensagem; • segundo passo: conceituado pela subdivisão em blocos de dois caracteres consecutivos; • terceiro passo: os elementos de cada bloco trocam de lugar uns com os outros; • quarto passo: deve ser executado através de permutação. Assim, dividem-se os elementos em blocos em dois grupos, partidos ao meio, ou seja, se existirem 10 blocos, 5 ficaram no lado esquerdo e 5 no lado direito. Em seguida é feita a permutação dos elementos ímpares da esquerda para direita dos blocos do lado esquerdo com os elementos respectivamente opostos em posição do lado direito; • Quinto passo: remover os espaços e unificar todos os blocos. Desta forma, procurando exemplificar o modelo da codificação em blocos, utilizemos a seguinte mensagem: “EU ADORO ESTUDAR COMPUTAÇÃO” Com base em cada passo teríamos os seguintes resultados: Primeiro passo: EUADOROESTUDARCOMPUTAÇÃO 41 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Segundo passo: EU AD OR OE ST UD AR CO MP UT AÇ ÃO Terceiro passo: UE DA RO OE TS DU RA OC PM TU ÇA OÃ Quarto passo: OÃ DA TU OE OC DU RA TS PM RO ÇA EU Quinto passo: OÃDATUOEOCDURATSPMROÇAEU Estes dois modelos são exemplos de criptografias simples, com o segundo sendo relativamente mais eficiente que o primeiro, uma vez que será preciso que o profissional responsável pela quebra da criptografia, descubra as regras aplicadas. Todavia, mesmo com a com- plexidade que o segundo modelo possa gerar para ser quebrado por um humano, um computador seria capaz de realizar a descriptografia com relativa facilidade e em tempo relativamente curto, em especial quando comparado com um humano. Neste sentido, estratégias mais eficientes precisaram ser desenvolvidas para a computação aplicadas com base em conceitos matemático. Entre as principais aplicações de criptografias estão as basea- das em chaves públicas e privadas, bem como, na criptografia recupe- rável e não recuperável. Vale ressaltar que qualquer mensagem enviada ou recebida por um computador, mesmo que contenha símbolos iguais aos presen- tes na escrita manual, não passam de números, ou seja, matemática aplicada. A criptografia baseada em chave pública são códigos que apli- cam o conceito de fácil de fazer, difícil de desfazer, ou seja, é possível de forma fácil aplicar o algoritmo para a criação das chamadas hash (resultado da mensagem criptografada), todavia, o custo computacional para descobrir o valor original só pode ser feito por tentativa e erro, sen- do considerado um problema NP-completo. O termo criptografia de chave pública significa que o algoritmo de codificação é de conhecimento público, todavia, o custo de descrip- tografia é tão elevado e possui tempo tão elevado para ser quebrado, que desencoraja possíveis invasores de procurarem quebrar as infor- mações em hash. De forma geral, a criptografia por chave pública é conhecida como assimétrica e não permite a decodificação das rashs criadas. Por sua vez, o uso de chaves privadas está ligado à criptografia 42 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S simétrica, onde existem duas chaves, a chave pública para criptogra- far, a informação e uma privada para descriptografar. Assim, a chave privada deve ser mantida em segurança no lado receptor da mensa- gem, garantindo que, mesmo que a mensagem seja capturada durante a transmissão da comunicação, os dados não serão violados. 43 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S QUESTÕES DE CONCURSOS QUESTÃO 1 Ano: 2016 Banca: FCC Órgão: TRT - 23ª REGIÃO (MT) Prova: Técnico Judiciário - Tecnologia da Informação Para implantar o processo de assinatura digital no Tribunal, um Téc- nico deve escolher, dentre os vários algoritmos de criptografia, o a) RSA. b) AES. c) RC5. d) DES. e) IDEA. QUESTÃO 2 Ano: 2016 Banca: FCC Órgão: TRT - 23ª REGIÃO (MT) Prova: Ana- lista Judiciário - Tecnologia da Informação O Advanced Encryption Standard − AES é largamente utilizado como recurso de criptografia para os sistemas computacionais atuais. O AES a) é um esquema de criptografia de chave pública. b) gera a chave por meio do algoritmo de Euclides estendido. c) utiliza a função de hash sobre os blocos de dados. d) utiliza chave criptográfica com 152 bits de comprimento. e) realiza a criptografia em blocos de 128 bits. QUESTÃO 3 Ano: 2016 Banca: CESPE/CEBRASPE Órgão: FUNPRESP EXE Pro- va: Especialista - Tecnologia da Informação Julgue o item seguinte, a respeito da criptografia simétrica e assi- métrica. Na criptografia assimétrica, a chave pública deve apresentar tama- nho variado, e a chave privada, tamanho fixo com, no mínimo, 512 bites. ( ) Certo ( ) Errado QUESTÃO 4 Ano: 2016 Banca: CESPE / CEBRASPE Órgão: FUNPRESP- -EXE Prova: CESPE - 2016 - FUNPRESP-EXE - Especialista - Tecno- logia da Informação Julgue o item seguinte, a respeito da criptografia simétrica e assi- métrica. https://www.qconcursos.com/questoes-de-concursos/bancas/fcc https://www.qconcursos.com/questoes-de-concursos/institutos/trt-23-regiao-mt https://www.qconcursos.com/questoes-de-concursos/provas/fcc-2016-trt-23-regiao-mt-tecnico-judiciario-tecnologia-da-informacao https://www.qconcursos.com/questoes-de-concursos/provas/fcc-2016-trt-23-regiao-mt-tecnico-judiciario-tecnologia-da-informacao https://www.qconcursos.com/questoes-de-concursos/bancas/fcc https://www.qconcursos.com/questoes-de-concursos/institutos/trt-23-regiao-mt https://www.qconcursos.com/questoes-de-concursos/provas/fcc-2016-trt-23-regiao-mt-analista-judiciario-tecnologia-da-informacao https://www.qconcursos.com/questoes-de-concursos/provas/fcc-2016-trt-23-regiao-mt-analista-judiciario-tecnologia-da-informacao https://www.qconcursos.com/questoes-de-concursos/bancas/cespe-cebraspe https://www.qconcursos.com/questoes-de-concursos/institutos/funpresp-exe https://www.qconcursos.com/questoes-de-concursos/provas/cespe-2016-funpresp-exe-especialista-tecnologia-da-informacao https://www.qconcursos.com/questoes-de-concursos/bancas/cespe-cebraspehttps://www.qconcursos.com/questoes-de-concursos/institutos/funpresp-exe https://www.qconcursos.com/questoes-de-concursos/institutos/funpresp-exe https://www.qconcursos.com/questoes-de-concursos/provas/cespe-2016-funpresp-exe-especialista-tecnologia-da-informacao https://www.qconcursos.com/questoes-de-concursos/provas/cespe-2016-funpresp-exe-especialista-tecnologia-da-informacao 44 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Na criptografia simétrica com uso do modo de cifra em bloco (CBC), cada bloco cifrado pode utilizar a mesma chave. ( ) Certo ( ) Errado QUESTÃO 5 Ano: 2016 Banca: CESPE / CEBRASPE Órgão: TRT - 8ª Região (PA e AP) Prova: Técnico Judiciário - Tecnologia da Informação Assinale a opção que apresenta o algoritmo de chave assimétri- ca cujo funcionamento consiste na multiplicação de dois números primos muito grandes para a geração de um terceiro número. a) RSA (Rivest, Shamir e Adleman) b) Blowfish c) DES (data encryption standard) d) IDEA (international data encryption algorithm) e) RC (Ron’s code ou Rivest cipher) QUESTÃO DISSERTATIVA – DISSERTANDO A UNIDADE Com base em seus conhecimentos sobre criptografia adquiridos no se- gundo capítulo, avalie a mensagem criptografada, recupere a mensa- gem original e identifique o padrão usado para criptografar a mensagem. DICA 1: a mensagem está criptografada com alteração de símbolos, assim, use o mapa de frequência de letras em português disponível na seção 2.1.5 para realizar o procedimento de descriptografia. DICA 2: para simplificar a descriptografia, elementos gráficos como si- nais e vírgulas foram removidos do texto. ECK ECK DINCQ ECK ECK DINCQ CSXK PC OKPJC OCQ PCQ ECK PCQ PCQ ECK PCQ PCQ ECK PCQ ECK PC TXC FQ UCDCQ ECK ECK DINCQ ECK ECK DINCQ CSXK PC OKPJC OCQ PCQ ZQX NC PCQ ZQX NC PCQ ZQX NC VGPJQ OGFQ FG CRCPJCT TREINO INÉDITO Diversos softwares maliciosos infestam os dispositivos computacionais por todo o mundo, trazendo prejuízos diversos, como perda e roubo de dados, problemas de conectividade e defeitos físicos nas máquinas. O software capaz de se multiplicar pela rede e infectar outras máquinas https://www.qconcursos.com/questoes-de-concursos/bancas/cespe-cebraspe https://www.qconcursos.com/questoes-de-concursos/institutos/trt-8-regiao-pa-e-ap https://www.qconcursos.com/questoes-de-concursos/institutos/trt-8-regiao-pa-e-ap https://www.qconcursos.com/questoes-de-concursos/provas/cespe-2016-trt-8-regiao-pa-e-ap-tecnico-judiciario-tecnologia-da-informacao 45 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S conectadas chama-se: a) Trojan. b) Worm. c) Virus. d) Backdoor. e) Rootkit. NA MÍDIA WHATSAPP AVISARÁ USUÁRIOS QUANDO UMA CONVERSA NÃO ESTIVER CRIPTOGRAFADA Na quinta-feira (22), o WhatsApp revelou seus planos para os usuários da versão Business do serviço. Dentre as novidades, está a possibili- dade de permitir que um cliente compre um produto diretamente pelo mensageiro. No entanto, uma funcionalidade de segurança importante passou despercebida durante os anúncios – não sendo citada nem no comunicado oficial revelado pela plataforma. Trata-se de um aviso indicando que a conversa não apresenta a cripto- grafia de ponta-a-ponta - que se tornou uma funcionalidade padrão do mensageiro desde que foi implementada - e que as mensagens estão armazenadas em outro lugar que não seja o servidor do WhatsApp. A revelação foi feita por Matt Idema, diretor de operações do aplicativo. Esse aviso será exibido caso a empresa opte por utilizar o novo servi- ço de hospedagem gratuito que deve ser disponibilizado pela empresa para os clientes Business. Com isso, os usuários serão notificados caso conversem com uma conta que armazena históricos das conversas em outro lugar, fora dos servidores do WhatsApp. Mesmo assim, Idema reitera que, mesmo com as empresas aderindo ao novo serviço de hospedagem, os dados armazenados em seus servido- res não serão usados para outros fins comerciais. Fonte: Olhar digital. Data: 23/10/2020 Leia a notícia na íntegra: NOGUEIRA, Luiz. WhatsApp avisará usuá- rios quando uma conversa não estiver criptografada. Olhar Digital, 23 out. 2020. Disponível em: <https://olhardigital.com.br/fique_seguro/noti- cia/whatsapp-avisara-usuarios-quando- uma-conversa-nao-estiver-criptografada/109172>. Acesso em: 30 out. 2020. 46 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S NA PRÁTICA CIÊNCIA DE DADOS OU DATA SCIENCE: O QUE É, APLICAÇÕES E PERFIL PROFISSIONAL Vários tipos de vulnerabilidades podem colocar uma empresa em risco e com o seu despachante isso não é diferente. A invasão dos sistemas por vírus, spams e links maliciosos enviados para os e-mails corporati- vos são um bom exemplo disso. Uma outra ameaça real existente, é a possibilidade de funcionários ex- porem, mesmo sem saber, informações importantes de forma indevida. Isso pode ocorrer em compartilhamento de dados com o próprio cliente que tem seu computador infectado ou, ainda, recebendo e enviando informações via smartphones infectados. Neste caso, é importante levar em conta que todos os pontos, que pos- sam representar alguma insegurança, estejam devidamente protegidos. Equipamentos, softwares, redes lógicas e usuários, precisam estar em constante monitoramento. A prevenção é a melhor alternativa para minimizar ou bloquear possí- veis riscos que possam afetar a segurança da informação da empresa. São muitas as técnicas que você pode aplicar neste sentido, algumas delas tradicionais e outras usadas somente por especialistas na área. Por isso, recomendamos que seu escritório conte com especialistas em segurança da informação para manter sua estrutura de dados protegida. Selecionamos algumas práticas essenciais de segurança da informa- ção para serem implantadas em seu despachante. Vamos a elas! Fonte: <https://blogdodespachante.com.br/tecnicas-de-seguranca-da- -informacao/> Acesso em: 30 out. 2020. PARA SABER MAIS Filmes sobre o assunto: O Código Da Vinci (2006) Acesse o link: Vídeo: Criptografia | Nerdologia Tech Disponível em: <https://www.youtube.com/watch?v=_Eeg1LxVWa8> Acesso em: 30 outubro 2020. 47 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S Após estudarmos sobre o conceito de segurança e auditoria de sistemas e informações como também as propriedades que o com- põem, deter-nos-emos neste terceiro capítulo, a estudar um pouco mais sobre os tipos de auditoria como o desenrolar da auditoria do De- senvolvimento e Manutenção de Sistemas, como descrever a auditoria da Administração e Operação de Redes, e descrever sobre auditoria dos Controles de Banco de Dados. TIPOS DE AUDITORIA A SISTEMAS DE INFORMAÇÃO Nesta seção, detalharemos sobre os tipos de auditorias a siste- mas de informação, podendo, assim, ter uma noção de como controlar a organização, no geral, conforme a necessidade de controle dos ges- tores. De acordo com Oliveira (2006), existem 5 critérios com os quais a auditoria a sistemas de informação pode ser diferenciada: AUDITORIAS DE SISTEMA A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S 48 A U D IT O R IA E C O N TR O LE D E S E G U R A N Ç A - G R U P O P R O M IN A S • quanto ao objetivo da auditoria; • quanto à posição de quem faz a auditoria; • quanto à amplitude da auditoria; • quanto à periodicidade da auditoria; • quanto à extensão e profundidade da auditoria; Uma auditoria que pode ser determinada pelo objetivo final tem dois tipos diferentes, de modo que um com objetivos de confirmação e outro com objetivos de gestão. Assim, a auditoria com objetivos de con- firmação é direcionada por validar a veracidade e viabilidade de toda a informação armazenada e apresentada pela empresa; enquanto uma auditoria com objetivos de gestão é
Compartilhar