Aula04 - SEGURANÇA CIBERNÉTICA

Prévia do material em texto

Segurança Cibernética
ARA0076
Professora Ma. Gilmara Maquiné
2
SEGURANÇA CIBERNÉTICA - AULA 04
• ROTEIRO
• PLANO DE CIBERSEGURANÇA (CYBERSECURITY PLAN);
• POLÍTICA DE SEGURANÇA;
• NIST FRAMEWORK;
• EXERCÍCIOS;
• EXERCÍCIO AVALIATIVO.
3
SEGURANÇA CIBERNÉTICA - AULA 04
• OBJETIVO
• Identificar os serviços que serão disponibilizados na rede, para definir as ameaças às quais estarã
o submetidos, tornando possível elencar as ferramentas de segurança que devem ser utilizadas.
4
SEGURANÇA CIBERNÉTICA - AULA 04
VAMOS PENSAR??
Na área de tecnologia trata­se de garantir a sobrevivência. Conhecer o parque tecnológico de um negócio é
 indispensável, pois possibilita tomar ciência das soluções para que uma análise de possíveis vulnerabilidades 
seja providenciada. Com base nesta análise, torna­se viável a construção de um plano de segurança mas, para isto, 
é necessário conhecer detalhes técnicos consistentes sobre o funcionamento de sistemas operacionais, 
aplicações e redes de computadores. Voce sabe pesquisar vulnerabilidades de soluções? Sabendo das 
vulnerabilidades de um ambiente, teria condições de encontrar possíveis formas de contorna­las ou resolvê­las?
5
SEGURANÇA CIBERNÉTICA - AULA 04
CAMADA DE APLICAÇÃO
• A camada de aplicação provê serviços para o usuário. 
• A comunicação é fornecida através de uma conexão lógica, o que significa que as 
duas camadas de aplicação consideram a existência de uma conexão direta 
imaginária por meio da qual podem enviar e receber mensagens (FOUROZAN, 
2013) . 
6
SEGURANÇA CIBERNÉTICA - AULA 04
CAMADA DE APLICAÇÃO
7
SEGURANÇA CIBERNÉTICA - AULA 04
CAMADA DE APLICAÇÃO
8
SEGURANÇA CIBERNÉTICA - AULA 04
9
SEGURANÇA CIBERNÉTICA - AULA 04
SERVIÇOS DISPONÍVEIS NA REDE
• Active directory 
• FTP
• File server
• Web Server
10
SEGURANÇA CIBERNÉTICA - AULA 04
SERVIÇOS DISPONÍVEIS NA REDE
11
SEGURANÇA CIBERNÉTICA - AULA 04
SERVIÇOS DISPONÍVEIS NA REDE
Preocupações de segurança referentes a dados são amplas, abrangendo 
disponibilidade, sigilo e integridade. No caso da disponibilidade, a preocupação é 
com a destruição de arquivos de dados, que pode ocorrer por acidente ou 
intencionalmente.
12
SEGURANÇA CIBERNÉTICA - AULA 04
SERVIÇOS DISPONÍVEIS NA REDE
Ataques à segurança de redes podem ser classificados como ataques passivos e ataques 
ativos. 
Um ataque passivo tenta adquirir ou fazer uso de informações do sistema, mas não afeta 
ativos do sistema. Um ataque ativo tenta modificar ativos do sistema ou afetar sua 
operação.
Ataques passivos consistem por natureza em bisbilhotar ou monitorar transmissões. A 
meta do atacante é obter informações que estão sendo transmitidas. Dois tipos de ataques 
passivos são a revelação do conteúdo de mensagens e a análise de tráfego.
A revelação do conteúdo de mensagens é fácil de entender. Uma conversa ao telefone, 
uma mensagem por correio eletrônico e um arquivo transferido podem conter informações 
sensíveis ou confidenciais. Gostaríamos de impedir que um adversário conheça o conteúdo 
dessas transmissões.
13
SEGURANÇA CIBERNÉTICA - AULA 04
SERVIÇOS DISPONÍVEIS NA REDE
Ataques ativos envolvem alguma modificação do fluxo de dados ou a criação de 
um fluxo falso e podem ser subdivididos em quatro categorias: repetição, 
personificação, modificação de mensagens e negação de serviço.
Repetição envolve a captura passiva de uma unidade de dados e sua subsequente 
retrans
 missão para produzir um efeito não autorizado.
14
SEGURANÇA CIBERNÉTICA - AULA 04
P R I N C I P A I S A M E A Ç A S , 
VULNERABILIDADES?
15
SEGURANÇA CIBERNÉTICA - AULA 04
POLÍTICA DE SEGURANÇA
• A primeira etapa para planejar serviços e mecanismos de segurança é 
desenvolver uma política de segurança. Os envolvidos na segurança de 
computadores usam a expressão política de segurança de vários modos. No 
mín imo, uma pol í t i ca de segurança é uma des
 cr ição in formal do 
comportamento desejado do sistema [NRC91]. Tais políticas informais podem 
referenciar requisitos para que se obtenha segurança, integridade e 
disponibilidade.
16
SEGURANÇA CIBERNÉTICA - AULA 04
POLÍTICA DE SEGURANÇA
• É uma declaração formal de regras e práticas que especificam ou regulamentam 
como um sistema ou organização provê serviços de segurança para proteger 
ativos de sistema sensíveis e críticos (RFC 2828). 
• Tal política de segurança formal deve ser cumprida pelos controles técnicos do 
sistema, bem como por seus controles gerenciais e operacionais.
17
SEGURANÇA CIBERNÉTICA - AULA 04
VÍDEO: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
https://youtu.be/nI1o-w4nKdc
https://youtu.be/nI1o-w4nKdc
18
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• CIBER SECURITY FRAMEWORK 1.1 DO NIST
• Trata-se do principal Framework de segurança cibernética da atualidade, adotado 
por mais de 99% das empresas que se preocupam com riscos cibernéticos no 
mundo. 
• O NIST CSF foi desenvolvido para orientar os profissionais de gestão da 
segurança cibernética a como executar um processo de gestão de riscos para o 
domínio de segurança cibernética. 
• O CSF adota uma abordagem baseada em risco para gerenciar riscos composto 
de três partes: o CORE, as TIERS e os PROFILES. 
19
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• CIBER SECURITY FRAMEWORK 1.1 DO NIST
• O framework possui 3 elementos básicos:
• Núcleo
• Níveis
• Perfis
20
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• CIBER SECURITY FRAMEWORK 1.1 DO NIST
• Núcleo: projetado para ser intuitivo e atuar como uma camada de tradução para 
permitir a comunicação entre equipes multidisciplinares usando linguagem 
simplista e não técnica.
21
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• CIBER SECURITY FRAMEWORK 1.1 
DO NIST
22
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• CIBER SECURITY FRAMEWORK 1.1 DO NIST
• Níveis: Os níveis descrevem o grau em que as práticas de gerenciamento de 
riscos de segurança cibernética de uma organização exibem as características 
definidas no Framework.
23
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• CIBER SECURITY FRAMEWORK 
1.1 DO NIST
• P e r f i s : O s p e r f i s s ã o o 
alinhamento exclusivo de uma 
organização de seus requisitos 
e objetivos organizacionais, 
apetite por risco e recursos em 
r e l a ç ã o a o s r e s u l t a d o s 
desejados do Framework Core.
24
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• VÍDEO: NIST CSF 1.1
• https://youtu.be/R8Xns9ReLR4
https://youtu.be/R8Xns9ReLR4
25
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• POLÍTICA DE SEGURANÇA CIBERNÉTICA GOVERNO DE SÃO PAULO
• A Política de Segurança Cibernética tem como objetivo atender a Resolução nº 
4.658, de 26 de abril de 2018, do Conselho Monetário Nacional (CMN), e 
estabelecer os princípios, conceitos, valores e práticas que devem ser adotados 
pela Desenvolve SP para garantir a proteção das informações tratadas pela 
instituição.
• A Polít ica de Segurança Cibernética é aplicável a todas as unidades e 
colaboradores (funcionários, estagiários e terceiros) da Desenvolve SP, bem como 
aos fornecedores de serviços de computação em nuvem.
26
SEGURANÇA CIBERNÉTICA - AULA 04
EXEMPLOS
• POLÍTICA DE SEGURANÇA CIBERNÉTICA GOVERNO DE SÃO PAULO
27
SEGURANÇA CIBERNÉTICA - AULA 04
EXERCÍCIO AVALIATIVO (0,0 à 3,0 na AV1)
• Equipes de no máximo 5 pesssoas;
• Entrega: 03/04/2023;
• Gerar um arquivo em PDF e enviar na sala de aula virtual;
• As equipes deverão apresentar o seminário no dia 03/04/2023;
• Cada equipe terá 10 minutos para apresentação.
28
SEGURANÇA CIBERNÉTICA - AULA 04
EXERCÍCIO AVALIATIVO (0,0 à 3,0 na AV1)
Objetivo: Identificar práticas eficazes contidas em políticas de segurança cibernética.
Tema geral: Padronizações de Políticas de Segurança Cibernética.
Tópicos obrigatórios:
 - Caracterização;
 - Aplicabilidade;
 - Exemplo de utilização. 
Critérios avaliativos:
 - Pesquisa/contextualização (0,0 – 1,0);
 - Conteúdo/Abordagem (0,0 – 2,0);
 - Organização/Recursos visuais/Linguagem (0,0 - 1,0).
29
SEGURANÇACIBERNÉTICA - AULA 04
REFERÊNCIAS
FOROUZAN, Behrouz A.; MOSHARRAF, Firouz. Redes de Computadores. [Digite o 
Local da Editora]: Grupo A, 2013. E-book. ISBN 9788580551693. Disponível em: 
https://integrada.minhabiblioteca.com.br/#/books/9788580551693/. Acesso em: 20 
mar. 2023.
Stallings, William, William Stallings, Lawrie Brown ­ Segurança de computadores : pri
ncípios epráticas [tradução Arlete Simille Marques]. ­ 2. ed. ­ Rio de Janeiro : Elsevie
r, 2014. 
https://www.nist.gov/cyberframework/online-learning/introduction-framework-
roadmap
Segurança 
Cibernética 
Aula 04
Gratidão! 
E até a próxima aula
30
Segurança Cibernética
ARA0076
Professora Ma. Gilmara Maquiné