Baixe o app para aproveitar ainda mais
Prévia do material em texto
10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 1/39 SEGURANÇA E AUDITORIA DESEGURANÇA E AUDITORIA DE SISTEMASSISTEMAS FUNDAMENTOS DEFUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃO Autor: Me. Ariel da Silva Dias Revisor : Ja ime Gross Garc ia IN IC IAR 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 2/39 introdução Introdução No mundo dos negócios progressivamente competitivo, as informações são recursos valiosos que precisam de proteção máxima. A segurança dessas informações é essencial para gerenciar seus negócios e garantir que as informações vitais não sejam comprometidas de forma alguma. Proteger as informações é fundamental para a sobrevivência da sua empresa. Portanto, você terá neste capítulo a conceitualização sobre risco, ameaça e vulnerabilidade, verá também os pilares essenciais para a construção de um sistema de informação seguro. Neste capítulo, você conhecerá os pilares essenciais para a construção de um sistema de informação seguro. A colocação adequada desses pilares é fundamental para o desenvolvimento de qualquer tipo de mecanismo de segurança da informação em seus negócios. Bons estudos! 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 3/39 A segurança dos sistemas de informação é um assunto amplo no campo da tecnologia da informação (TI) que se concentra na proteção de computadores, redes e seus usuários. Quase todas as empresas modernas, assim como muitas famílias e indivíduos, justi�caram preocupações sobre os riscos digitais para o seu bem-estar. Essas ameaças possuem todas as formas e tamanhos, incluindo roubo de informações privadas de banco de dados, instalação de software malicioso em uma máquina e interrupções intencionais de serviço. A Internet mudou drasticamente desde sua origem. O número de dispositivos conectados e trocando informações diariamente é muito maior do que há 5 ou 10 anos e, com isso, o número de ataques também aumentaram. O mundo, então, precisa de pessoas que entendam da segurança de sistemas de informação e que possam proteger os computadores de criminosos e terroristas. Segurança de Sistemas deSegurança de Sistemas de InformaçãoInformação 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 4/39 Antes de entrarmos nos conceitos de segurança da informação, é importante diferenciarmos os conceitos de dado e informação. Dado Os dados são um fato bruto e desorganizado, precisam ser processados para torná-los signi�cativos. Os dados podem ser simples e ao mesmo tempo desorganizados, a menos que sejam organizados. Geralmente, os dados incluem fatos, observações, números de percepções, caracteres, símbolos, imagem etc. (HINTZBERGEN et al., 2018). Os dados são sempre interpretados por um humano ou máquina para derivar signi�cado. Portanto, os dados não têm sentido. Os dados contêm números, instruções e caracteres em formato bruto. Informação Informação é um conjunto de dados processados de maneira signi�cativa de acordo com o requisito especi�cado. As informações são processadas, estruturadas ou apresentadas em um determinado contexto para torná-las signi�cativas e úteis (HINTZBERGEN et al., 2018). São dados processados que incluem dados que possuem contexto, relevância e �nalidade. Também envolve manipulação de dados brutos. A informação atribui signi�cado e melhora a con�abilidade dos dados. Ajuda a reduzir a incerteza. Portanto, quando os dados são transformados em informações, nunca há detalhes inúteis. Podemos concluir que a informação é um resultado do dado processado. Por outro lado, quando a informação é processada, temos o conhecimento. Por �m, do conhecimento podemos tirar a sabedoria . Veja na Figura 1.1 esta relação entre dados, informações, conhecimento e sabedoria. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 5/39 Então, podemos dizer que os dados são um fato bruto e desorganizado que precisam ser processados para torná-los signi�cativos. Por outro lado, a informação é um conjunto de dados processados de maneira signi�cativa, de acordo com o requisito especi�cado. Segurança das Informações A segurança das informações tem a ver com a proteção das informações e dos sistemas de informações contra uso, avaliação, modi�cação ou remoção não autorizada. É semelhante à segurança dos dados, que tem a ver com a proteção de dados contra hackers ou roubos (GALVÃO, 2015). Uma vez que os dados se tornam informação, é quando precisa de proteção de fontes externas. Essas fontes externas podem não estar necessariamente no ciberespaço (cyberspace) (BUSSELL, 2019). Cyberspace (ciberespaço) O ciberespaço, também chamado de “o mundo amorfo”, é criado por links entre computadores, dispositivos conectados na internet como servidores, Figura 1.1 - Relação entre dado, informação, conhecimento e sabedoria Fonte: Elaborada pelo autor. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 6/39 roteadores e outros componentes da infraestrutura. Ao contrário da própria Internet, no entanto, o ciberespaço é o local produzido por esses links. Na perspectiva de algumas pessoas, o ciberespaço é um local que existe sem a regência ou gestão de um estado ou nação, logo, para estas pessoas, trata-se de “uma terra sem lei”. O termo ciberespaço foi usado pela primeira vez pelo autor americano- canadense Gomes (1982) em uma história publicada na revista Omni. O autor descreveu o ciberespaço como a criação de uma rede de computadores em um mundo cheio de seres arti�cialmente inteligentes (GOMES, 2008). Desde o surgimento da Internet, no entanto, os governos nacionais e seus analistas mostraram a relevância das regulamentações nacionais e dos acordos internacionais sobre o caráter do ciberespaço. Essas pessoas, sem corpo no ciberespaço, devem acessar esse espaço através de sua forma corporal e, assim, continuam sendo limitados pelas leis que governam sua localização física (STALLINGS, 2015). O controle do ciberespaço é, portanto, importante, não apenas por causa das ações de participantes individuais, mas porque a infraestrutura do ciberespaço é agora fundamental para o funcionamento de sistemas de segurança nacionais e internacionais, redes comerciais, serviços de emergência, comunicações básicas e outras atividades públicas e privadas. Como os governos nacionais veem ameaças em potencial à segurança de seus cidadãos e à estabilidade de seus regimes no ciberespaço, eles agem para controlar o acesso e o conteúdo. Cybersecurity Cybersecurity é a prática de proteger informações e dados de fontes externas na Internet. Os pro�ssionais de segurança cibernética fornecem proteção para redes, servidores, intranets e sistemas de computador. Também garantem que apenas pessoas autorizadas tenham acesso a essas informações. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 7/39 Em um ambiente de escritório, um indivíduo pode ir ao computador de outro, instalar uma unidade �ash e copiar informações con�denciais. Isso se enquadra mais na categoria de segurança da informação. Se alguém do outro lado do mundo conseguir invadir a rede de outra empresa e violar seu sistema, essa empresa precisará de uma melhor segurança cibernética. Diferença entre Segurança da Informação e Cybersecurity Embora eles sejam frequentemente usados de forma intercambiável, há uma diferença entre os termos cybersecurity e segurançada informação. Ambos têm a ver com segurança e proteção dos sistemas de computadores contra violações e ameaças à informação, mas também são muito diferentes. Enquanto muitas pessoas ainda as consideram a mesma coisa, na verdade elas não são. Suas capacidades são diferentes. Ambos oferecem proteção contra informações e dados roubados, acessados ou alterados, mas é aí que as semelhanças terminam. As informações não precisam estar no computador para ser necessário um sistema de segurança da informação. Mesmo se estiver armazenado em um arquivo, ele precisa de boa segurança das informações. A segurança cibernética lida com a proteção de dados e informações de fontes externas do ciberespaço ou da Internet. Assim sendo, a segurança das informações tem a ver com proteger as informações que geralmente se concentram nos pilares da segurança da informação (CIA - con�dencialidade, integridade e disponibilidade; veremos logo mais estes conceitos). Por outro lado, cibersegurança trata de proteger coisas vulneráveis por meio das TIC (Tecnologias da Informação e Comunicação). 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 8/39 Na Figura 1.2, podemos ver no diagrama de Venn que o lado direito representa a segurança cibernética (coisas vulneráveis por meio das TIC, inclui informações físicas e digitais, além de não informações, como carros, semáforos, eletrodomésticos etc.). Enquanto o lado esquerdo representa a segurança da informação (que consiste em informações digitais e analógicas). Observe que a segurança de TI é a proteção das tecnologias da informação. Praticamente, não há diferença entre segurança de TIC e segurança de TI. Como você pode ver na Figura 1.3 a seguir, os dois conjuntos estão sobrepostos. O diagrama da Figura 1.3 ilustra a relação entre segurança de TIC, segurança cibernética e informações. Figura 1.2 - Diagrama relacionando Segurança da Informação e Cibersegurança Fonte: Elaborada pelo autor. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 9/39 Observe na Figura 1.3 que a segurança cibernética (cibersegurança) inclui tudo e todos que podem ser acessados através do ciberespaço. Assim, alguém poderia argumentar que tudo neste mundo é vulnerável através das TIC. No entanto, seguindo a de�nição de cibersegurança, devemos proteger o que deve ser protegido, devido aos desa�os de segurança impostos pelo uso das TIC. Riscos, Ameaças e Vulnerabilidades É comum que termos como ameaças cibernéticas, vulnerabilidades e riscos sejam confundidos. Este subcapítulo tem como objetivo de�nir cada termo, destacar como eles diferem e como eles se relacionam. Ameaças Ameaças cibernéticas, ou simplesmente ameaças, referem-se às circunstâncias ou eventos com potencial de causar danos por meio de seus Figura 1.3 - Segurança da Informação, Segurança de TIC e Cibersegurança Fonte: Elaborada pelo autor. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 10/39 resultados. Alguns exemplos de ameaças comuns incluem um invasor roubando dados con�denciais de seus aplicativos, ativistas políticos realizando ataque DDoS em seu site, um administrador acidentalmente apagando todas as informações de um sistema de produção e uma tempestade inundando o data center de sua empresa (KIM; SOLOMON, 2014). As ameaças cibernéticas são atualizadas pelos atores de ameaças. Estes atores geralmente se referem a pessoas ou entidades que podem potencialmente iniciar uma ameaça. Embora desastres naturais, outros eventos ambientais e políticos constituam ameaças, eles geralmente não são considerados atores de ameaças (isso não signi�ca que tais ameaças devam ser desconsideradas ou menos importantes). Ameaças comuns incluem coisas como: Um ativista tenta roubar dados do seu site; Um incêndio começa no seu datacenter; Um administrador acidentalmente desativa a instância da AWS (serviço de nuvem) do seu site; Uma inundação atinge sua sede; saiba mais Saiba mais DDoS é um ataque de negação de serviço, o qual envolve vários dispositivos online conectados, conhecidos coletivamente como botnet, usados para sobrecarregar um site de destino com tráfego falso. Acesse o artigo escrito por Santos e Silva (2016) para saber um pouco mais sobre ataque DDoS e como detectá-lo. ACESSAR https://www.inf.ufsc.br/~bosco.sobral/downloads/I2TS%202010%20CD%20Proceedings/www.i2ts.org/papers/full_portugues/78861.pdf 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 11/39 Um funcionário tenta vender seus segredos corporativos a um concorrente. Ameaças cibernéticas também podem se tornar mais perigosas por causa dos agentes de ameaças, alavancando uma ou mais vulnerabilidades em um sistema, que é o que abordaremos a seguir. Vulnerabilidades Vulnerabilidades se referem a pontos fracos em um sistema. As vulnerabilidades tornam as ameaças possíveis e potencialmente ainda mais perigosas. Um sistema pode ser explorado por meio de uma única vulnerabilidade, por exemplo, uma única vulnerabilidade de injeção de SQL pode fornecer ao invasor controle total sobre dados con�denciais. Um invasor pode encadear várias explorações, explorando mais de uma vulnerabilidade para explorar um sistema (GALVÃO, 2015). Exemplos comuns de vulnerabilidades incluem: Falta de controle de acesso predial adequado; Script entre sites (XSS); Injeção SQL; Transmissão de texto não criptografado de dados con�denciais; Falha ao veri�car a autorização para recursos con�denciais; Falha ao criptografar dados con�denciais em repouso. Vulnerabilidades são os pontos fracos que os agentes de ameaças aproveitam para fazer o que estão tentando fazer. Riscos Os riscos geralmente são confundidos com ameaças, no entanto, há uma grande diferença entre os dois. Podemos dizer que o risco refere-se à combinação da probabilidade de uma ameaça e da perda/impacto de uma ameaça (geralmente em termos monetários, no entanto deve-se notar que a 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 12/39 quanti�cação de uma violação é extremamente difícil) (GALVÃO,2015). Essencialmente, isso se traduz no seguinte: risco = probabilidade da ameaça x impacto de uma ameaça (GALVÃO, 2015). Portanto, um risco é um cenário que deve ser evitado, combinado com as perdas prováveis resultantes desse cenário. A seguir, é apresentado um exemplo hipotético de como pode surgir um risco: A injeção de SQL é uma vulnerabilidade; O roubo de dados con�denciais é uma das ameaças cibernéticas que a injeção de SQL permite; Os atacantes motivados �nanceiramente são um dos atores das ameaças; O impacto de dados con�denciais roubados arcará com um custo �nanceiro signi�cativo (perda �nanceira e de reputação) para os negócios. Resumidamente, então, temos: Uma ameaça é um cenário negativo que você deseja evitar; Um ator de ameaças é o agente que faz uma ameaça acontecer; Uma vulnerabilidade é uma fraqueza que pode ser explorada para atacar você; Um risco é um cenário negativo que você deseja evitar, combinado com a probabilidade e o impacto; A diferença entre uma ameaça e um risco é que uma ameaça é um evento negativo por si só, onde um risco é o evento negativo combinado com sua probabilidade e seu impacto. Embora a diferença entre uma vulnerabilidade , uma ameaça e riscos cibernéticos sejam geralmente entendidas, a diferença entre ameaças e riscos pode ser mais sutil. Compreender essa diferença de terminologia permite uma comunicação mais clara e uma melhor compreensão de como as 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3…13/39 ameaças in�uenciam os riscos. Obviamente, quanti�car com precisão a potencial perda de uma ameaça é a parte mais difícil. praticar Vamos Praticar Durante seus estudos você viu o conceito de risco, ameaça e vulnerabilidade. Viu, por exemplo, que existe diferenças entre estes três termos, por mais que algumas vezes ocorram alguma confusão. De posse dos seus conhecimentos e do conteúdo estudado, indique qual das alternativas a seguir é uma ameaça à segurança da informação. a) Espionagem. b) Sem excluir dados, descarte da mídia de armazenamento. c) Senha padrão inalterada. d) Não ter um antivírus. e) Patches e atualizações mais recentes não concluídas. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 14/39 No mundo dos negócios progressivamente competitivo, as informações são um recurso valioso que precisa de proteção máxima. A segurança das informações é essencial para gerenciar seus negócios e garantir que as informações vitais não sejam comprometidas de forma alguma (INFINIT-O, 2019). A segurança das informações no mundo altamente produtor de dados está centrada na "tríade da CIA" para garantir o armazenamento, o �uxo e a utilização segura e suave de informação. A tríade da CIA refere-se aos princípios fundamentais de segurança da informação, que incluem Con�dencialidade, Integridade e Disponibilidade (CIA) - nada a ver com a agência de espionagem. A tríade da CIA compreende principalmente quatro camadas de segurança da informação. Essas camadas representam como os sistemas fazem a comunicação e como os dados �uem dentro dos sistemas. Princípios da SegurançaPrincípios da Segurança de Sistemas dede Sistemas de InformaçãoInformação 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 15/39 Acesso a aplicativos A camada de acesso ao aplicativo indica que o acesso aos aplicativos do usuário deve ser restrito com base na necessidade de conhecimento. Acesso à infraestrutura A camada de acesso à infraestrutura indica que o acesso a vários componentes da infraestrutura de informações (como servidores) deve ser restrito com base na necessidade de conhecimento. Acesso Físico A camada de acesso físico indica que o acesso físico a sistemas, servidores, centros de dados ou outros objetos físicos que armazenam informações vitais deve ser restrito com base na necessidade de conhecimento. Dados em movimento A camada de dados em movimento indica que o acesso a dados deve ser restrito enquanto estiver em processo de transferência (ou em movimento). Con�idencialidade O princípio da con�dencialidade diz que as informações devem permanecer fora dos limites ou ocultas de indivíduos ou organizações que não tenham autorização para acessá-las. Este princípio determina essencialmente que as informações devem ser acessadas apenas por pessoas com privilégios legítimos (INFINIT-O, 2019; KOLBE, 2017). É a garantia de que as informações não são divulgadas a indivíduos, grupos, processos ou dispositivos não autorizados. Dados altamente con�denciais devem ser criptografados para que terceiros não possam descriptografá-los facilmente. Somente aqueles que estão autorizados a visualizar as informações têm acesso permitido. A con�dencialidade é um princípio fácil de violar. Por exemplo, se um funcionário de uma organização permite que alguém veja a tela do seu 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 16/39 computador, que no momento pode estar exibindo algumas informações con�denciais, ele já pode ter cometido uma violação da con�dencialidade. Integridade O segundo princípio envolve a integridade da informação e trata que as informações ou dados devem ter um nível de integridade que impeça a violação fácil. A precisão e integridade das informações vitais devem ser protegidas. Os dados não devem ser alterados ou destruídos durante a transmissão e armazenamento. Isso envolve garantir que um sistema de informações não seja violado por nenhuma entidade não autorizada. As políticas devem estar em vigor para que os usuários saibam como utilizar adequadamente seu sistema (INFINIT-O, 2019; KOLBE, 2017). Disponibilidade O terceiro princípio orientador refere-se à disponibilidade de informações e ressalta a importância de proteger as informações em um local onde entidades não autorizadas não podem acessá-las e as violações de dados podem ser minimizadas. Signi�ca que os usuários autorizados têm acesso rápido e fácil aos serviços de informação. Os recursos e a infraestrutura de TI devem permanecer robustos e totalmente funcionais o tempo todo, mesmo em condições adversas, como con�itos no banco de dados ou falhas. Envolve a proteção contra códigos maliciosos, hackers e outras ameaças que podem bloquear o acesso ao sistema de informações (INFINIT-O,2019; KOLBE, 2017). Algumas das maneiras típicas pelas quais as informações con�denciais vazam estão relacionadas ao manuseio incorreto das informações disponíveis. Essas maneiras podem incluir: 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 17/39 Roubo de equipamentos físicos, como PC, laptop, dispositivo móvel ou papel; Descarte incorreto de papel ou dados armazenados digitalmente; Divulgação não autorizada ou negligente de controles de acesso ou chaves de autenticação; Vazamento de informações devido ao mau entendimento de um contrato legal de con�dencialidade; Informação incorreta devido a negligência; Hacking ou violação ilegal da segurança de dados. A ISO 7498-2 adiciona mais duas propriedades de segurança do computador que são autenticação e prestação de contas ou não repúdio (INFINIT-O,2019; KOLBE, 2017). Autenticidade Esta medida de segurança é projetada para estabelecer a validade de uma transmissão, mensagem ou um meio de veri�car a autorização de um indivíduo para receber informações especí�cas. A autenticação evita a representação e exige que os usuários con�rmem suas identidades antes de poderem acessar sistemas e recursos. Isso inclui nomes de usuário, senhas, e- mails, biometria e outros. Não repúdio Este atributo garante que o remetente dos dados receba a prova da entrega e o destinatário a prova da identidade do remetente, para que nenhuma das partes possa negar o envio, o recebimento ou o acesso aos dados. Os princípios de segurança devem ser usados para provar identidades e validar o processo de comunicação. Os princípios fundamentais da CIA permanecem inalterados ao longo do tempo, mas as metodologias de conformidade para seguir esses princípios orientadores de segurança da informação mudam continuamente com a 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 18/39 evolução da tecnologia e o constante desenvolvimento de novas vulnerabilidades e ameaças. Esforços contínuos são essenciais para garantir a adesão aos princípios de con�dencialidade, integridade e disponibilidade de informações em todos os momentos. praticar Vamos Praticar Durante os estudos você conheceu os pilares da segurança da informação chamados de CIA ou CID: Con�dencialidade, Integridade e Disponibilidade. Este é um modelo projetado para desenvolver uma política de segurança. Sobre os 3 conceitos deste modelo, é correto a�rmar que: a) integridade: as informações ou dados devem ter um nível de integridade que impeça a violação fácil. b) disponibilidade: veri�ca se os dados disponibilizados são acessados apenas por um usuário autorizado. c) con�dencialidade: veri�ca se os dados e os recursos estão disponíveis para os usuários que precisam deles. d) integridade: pelo princípio da integridade, temos queele veri�ca se os dados con�denciais são acessados pelas pessoas a quem compete obtê-los. e) con�dencialidade: as informações ou dados devem ter um nível de con�dencialidade que impeça a violação fácil. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 19/39 A e�cácia dos controles de um sistema de informação é avaliada através de uma auditoria, a qual visa estabelecer se os sistemas de informação estão protegendo os ativos corporativos, mantendo a integridade dos dados armazenados e comunicados, dando suporte aos objetivos corporativos de maneira e�caz e operando com e�ciência. De�inição Formal A auditoria de sistemas envolve a revisão e avaliação de controles e sistemas de computadores, bem como seu uso, e�ciência e segurança na empresa que processa as informações. Graças à auditoria de sistemas como alternativa ao controle, acompanhamento e revisão, o processo e as tecnologias do computador são utilizados com mais e�ciência e segurança, garantindo a tomada de decisões adequada (GALVÃO, 2015). Em resumo, a auditoria de sistemas consiste em: Auditoria de SistemasAuditoria de Sistemas 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 20/39 Veri�cação de controles no processamento de informações e instalação de sistemas, a �m de avaliar sua e�cácia e também apresentar algumas recomendações e conselhos; Veri�cação e julgamento das informações objetivamente; Exame e avaliação dos processos em termos de informatização e processamento de dados. Além disso, a quantidade de recursos investidos, a rentabilidade de cada processo e sua e�cácia e e�ciência são avaliadas. A análise e avaliação realizadas através da auditoria de sistemas devem ser objetivas, críticas, sistemáticas e imparciais. O relatório �nal de auditoria deve ser um exemplo claro da realidade da empresa em termos de processos e informatização, para tomar melhores decisões e melhorar os negócios. Objetivos reflita Re�ita O processo de auditoria deve ser um arranjo cooperativo em que todas as partes trabalham juntas para tornar sua organização mais segura. Você não deverá vê-lo como adversário. Os auditores e a organização auditada devem trabalhar para o mesmo objetivo: um ambiente mais seguro (KIM; SOLOMON, 2014). KIM, D.; SOLOMON, M. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Com base nesta a�rmação, re�ita quais as vantagens trazidas pela auditoria e o porquê a organização e auditores devem trabalhar juntos. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 21/39 A presença da tecnologia em cada vez mais áreas de negócios requer um sistema de controle, monitoramento e análise, como auditoria de sistemas. Em primeiro lugar, é necessário garantir segurança ao lidar com dados, proporcionando privacidade e bom uso. Segundo, para tornar o sistema de computador um processo muito mais e�ciente e lucrativo, permitindo detectar erros e tomar decisões imediatamente. Assim, podemos dizer que os objetivos da auditoria de sistemas são: Melhorar a relação custo-benefício dos sistemas de informação; Aumentar a satisfação e a segurança dos usuários desses sistemas informatizados; Garantir con�dencialidade e integridade por meio de sistemas pro�ssionais de segurança e controle; Minimizar a existência de riscos, como vírus ou hackers, por exemplo; Otimizar e agilizar a tomada de decisões; Educar sobre o controle dos sistemas de informação, por se tratar de um setor relativamente novo e em mudança, por isso é necessário educar os usuários desses processos informatizados. Portanto, a auditoria de sistemas é uma maneira de monitorar e avaliar não apenas o próprio equipamento de computador. Seu campo de ação também gira em torno do controle dos sistemas de entrada desses equipamentos (pense, por exemplo, em códigos e códigos de acesso), arquivos e segurança dos mesmos etc. Estratégias de Auditoria de TI Há duas áreas para discutir aqui, a primeira é sobre a conformidade ou testes substantivos e a segunda é "Como faço para obter as evidências para permitir que eu audite o aplicativo e faça meu relatório para a gerência?". O teste de conformidade reuniu evidências para testar se uma organização está seguindo seus procedimentos de controle. Por outro lado, o teste substantivo reuniu evidências para avaliar a integridade de dados individuais 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 22/39 e outras informações. O teste de conformidade dos controles pode ser descrito com o exemplo a seguir: Uma organização possui um procedimento de controle que a�rma que todas as alterações no aplicativo devem passar pelo controle de alterações. Como auditor de TI, você pode ter a con�guração atual em execução de um roteador, bem como uma cópia da geração -1 do arquivo de con�guração para o mesmo roteador executar uma comparação de arquivos para ver quais eram as diferenças. Depois, você pode pegar essas diferenças e procurar a documentação de controle de alterações de suporte. Não se surpreenda ao descobrir que os administradores de rede, quando são simplesmente regras de sequenciamento, esquecem de fazer a alteração através do controle de alterações. Para testes substantivos, digamos, por exemplo, que uma organização deve ter uma política/procedimento referente ao armazenamento externo de �tas de backup. Um auditor de TI faria um inventário físico das �tas no local de armazenamento externo e compararia esse inventário ao inventário da organização, além de procurar garantir que todas �tas estejam presentes. A segunda área lida com “Como faço para obter as evidências para permitir que eu audite o aplicativo e faça meu relatório para a gerência?”. Não deve ser surpresa que você precise: Revisar a estrutura organizacional de TI; Analisar as políticas e procedimentos de TI; Revisar os padrões de TI; Revisar a documentação de TI; Entrevistar o pessoal apropriado; Observar os processos e o desempenho dos funcionários. Como comentário adicional da coleta de evidências, a observação do que um indivíduo realmente faz versus o que deve fazer pode fornecer ao auditor de TI evidências valiosas quando se trata de controlar a implementação e o entendimento pelo usuário. Também a realização de um guia pode fornecer informações valiosas sobre como uma função especí�ca está sendo executada. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 23/39 Aplicação vs Controles Gerais Os controles gerais se aplicam a todas as áreas da organização, incluindo a infraestrutura de TI e os serviços de suporte. Alguns exemplos de controles gerais são: Controles contábeis internos; Controles operacionais; Controles administrativos; Políticas e procedimentos de segurança organizacional; Políticas gerais para o design e uso de documentos e registros adequados; Procedimentos e práticas para garantir salvaguardas adequadas sobre o acesso; Políticas de segurança física e lógica para todos os datacenters e recursos de TI. Os controles de aplicativos se referem às transações e dados relacionados a cada sistema de aplicativos baseado em computador, portanto, eles são especí�cos para cada aplicativo. Os objetivos dos controles de aplicativos são de garantir a integridade e a precisão dos registros e a validade das entradas feitas a eles. Controles de aplicativos são controles sobre funções de entrada, processamento e saída, e incluem métodos para garantir que: Somente dados completos, precisos e válidos sejam inseridos e atualizados em um sistema de aplicativo; O processamento realiza atarefa projetada e correta; Os resultados do processamento atendem às expectativas; Os dados são mantidos. Como auditor de TI, suas tarefas ao executar uma auditoria de controle de aplicativos devem incluir: Identi�car os componentes signi�cativos do aplicativo; o �uxo de transações através do aplicativo (sistema); e obter um entendimento detalhado do aplicativo revisando toda a documentação disponível e 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 24/39 entrevistando o pessoal apropriado, como proprietário do sistema, proprietário dos dados e administrador do sistema; Identi�car os pontos fortes do controle do aplicativo e avaliar o impacto, se houver, dos pontos fracos encontrados nos controles do aplicativo; Desenvolver uma estratégia de teste; Testar os controles para garantir sua funcionalidade e e�cácia; Avaliar seus resultados de teste e qualquer outra evidência de auditoria para determinar se os objetivos de controle foram alcançados; Avaliar a aplicação em relação aos objetivos da gerência do sistema para garantir e�ciência e e�cácia. Revisões de Controle de Auditoria de TI Após reunir todas as evidências, o auditor de TI a revisará para determinar se as operações auditadas estão bem controladas e e�cazes. Agora é aqui que seu julgamento e experiência subjetivos entram em cena. Por exemplo, você pode encontrar uma fragilidade em uma área que é compensada por um controle muito forte em outra área adjacente. É sua responsabilidade, como auditor de TI, relatar essas duas descobertas em seu relatório de auditoria. Entrega da Auditoria Aqui está a lista completa do que deve ser incluído na sua documentação de auditoria: Planejamento e preparação do escopo e objetivos da auditoria; Descrição e/ou orientações na área de auditoria com escopo; Programa de auditoria; Etapas de auditoria executadas e evidências coletadas da auditoria; Se serviços de outros auditores e especialistas foram utilizados e suas contribuições; Resultados, conclusões e recomendações da auditoria; 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 25/39 Relação da documentação de auditoria com identi�cação e datas do documento; Uma cópia do relatório emitida como resultado do trabalho de auditoria; Evidência da revisão da supervisão de auditoria. Quando você comunica os resultados da auditoria à organização, isso geralmente é feito em uma reunião de encerramento, na qual você terá a oportunidade de discutir com a gerência quaisquer conclusões e recomendações. Você precisa estar absolutamente certo de: Os fatos apresentados no relatório estão corretos; As recomendações são realistas e econômicas, ou foram negociadas alternativas com a gerência da organização; As datas de implementação recomendadas serão acordadas para as recomendações que você possui em seu relatório. Sua apresentação nesta entrevista de encerramento incluirá um resumo executivo de alto nível. Por qualquer motivo, uma imagem vale mais que mil palavras, assim como alguns slides ou grá�cos do PowerPoint em seu relatório. Seu relatório de auditoria deve ser estruturado para incluir: Uma introdução (sumário executivo); As descobertas �carão em uma seção separada e agrupadas por destinatário pretendido; Sua conclusão e opinião gerais sobre a adequação dos controles examinados e quaisquer riscos potenciais identi�cados; Resultados e recomendações detalhadas. Finalmente, existem algumas outras considerações que você precisa conhecer ao preparar e apresentar seu relatório �nal. Quem é o público? Se o relatório for enviado ao comitê de auditoria, talvez não seja necessário ver as minúcias contidas no relatório da unidade de negócios local. Você precisará identi�car 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 26/39 os critérios organizacionais, pro�ssionais e governamentais aplicados. Seu relatório deverá ser oportuno a �m de incentivar ações corretivas imediatas. Como um comentário �nal, se no decorrer de uma auditoria de TI você encontrar uma descoberta materialmente signi�cativa, ela deve ser comunicada à gerência imediatamente e não no �nal da auditoria. praticar Vamos Praticar Como vimos durante os estudos, a auditoria de segurança da informação é uma avaliação técnica sistemática e mensurável de como a política de segurança da organização é empregada. Faz parte do processo contínuo de de�nição e manutenção de políticas de segurança e�cazes. Pode ser de�nida também como uma inspeção interna de aplicativos, sistemas operacionais e infraestrutura quanto a falhas de segurança. Em relação a este conceito, é correto dizer que: a) O relatório �nal de auditoria deve ser um exemplo claro da realidade da empresa em termos de processos e informatização. b) A auditoria de sistemas visa veri�car e julgar as informações de modo subjetivo, possibilitando que a empresa encontre soluções para os problemas de segurança. c) A auditoria possibilita que o processo e as tecnologias relacionadas ao sistema de informação sejam utilizados com mais e�ciência, porém não in�uencia na segurança. d) O auditor de sistema de informação tem o mesmo papel que o analista de sistema, com a diferença que ele está preocupado com a segurança. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 27/39 e) O auditor do sistema de informação está associado apenas a fase de elaboração do projeto. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 28/39 As ameaças à segurança estão mudando e os requisitos de conformidade para empresas e governos estão se tornando cada vez mais complexos. Superar tudo isso sem uma política de segurança é como tapar os buracos com um pano, sempre haverá um vazamento. Para que uma política de segurança seja e�caz, existem algumas necessidades essenciais. Características A política de segurança da informação deve proteger a organização de todos os lados, deve abranger todo o software, dispositivos de hardware, parâmetros físicos, recursos humanos, informações/dados, controle de acesso, etc., dentro de seu escopo. Se falarmos sobre dados como um objeto de ponta a ponta, eles abrangem: criação, modi�cação, processamento, armazenamento e destruição/retenção de dados. É preciso garantir que toda a organização (aquilo que ela recebe e aquilo que ela produz) esteja contemplada na política de segurança da informação (HINTZBERGEN et al., 2018). Política de Segurança daPolítica de Segurança da InformaçãoInformação 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 29/39 A política de segurança da informação deve estar completamente de�nida; Deve haver um espaço para revisão e atualizações; Deve incorporar a avaliação de riscos da organização; Deve ser prática e possível de ser executada. As organizações avançam com uma avaliação de riscos para identi�car os perigos e riscos potenciais. É muito fácil escolher uma política de segurança da informação e ajustá-la à empresa, mas diferentes organizações têm requisitos de conformidade diferentes. Deve-se garantir que todos os riscos identi�cados sejam tratados na política de segurança da informação. Não basta falar e documentar minuciosamente a política de segurança da informação, é preciso garantir que a política seja prática e executável. Ela deve resolver os problemas de forma e�caz e deve ter um processo de negócio para requisitos de urgência. Sem aplicabilidade e praticidade, ter uma política de segurança da informação é tão bom quanto não ter nenhumapolítica. Partes Essenciais da Política de Segurança da Informação Até aqui você viu um pouco sobre políticas de segurança da informação. A seguir, será apresentado para você as partes essenciais do documento das políticas de segurança de uma empresa. Objetivo O objetivo da política deve ser claramente de�nido no início do documento, após as páginas introdutórias. O objetivo deve abranger principalmente algumas partes: Manutenção da con�dencialidade: protegendo os recursos de pessoal não autorizado; 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 30/39 Garantia de disponibilidade: disponibilidade de recursos para o pessoal autorizado; Manutenção da integridade: garante a correção dos recursos. Deverá de�nir os termos usados na política posteriormente e, por exemplo, responder a estas questões: qual é o signi�cado da expressão “pessoa autorizada” em relação à organização? Quais são as responsabilidades do departamento de segurança da informação? Que parte da gerência está buscando suporte e responsabilidades por meio da política de segurança da informação? Escopo As empresas são enormes e podem ter muitas �liais, terceiros, contratos, etc. O escopo do público ao qual a política de segurança da informação se aplica deve ser mencionado claramente, além de de�nir o que é considerado fora do escopo, por exemplo, uma informação. A política de segurança pode obrigar que os ativos conectados à rede da empresa tenham a atualização mais recente do Windows instalado. Isso também abrange os sistemas aos quais o fornecedor/visitante se conecta à rede para qualquer necessidade comercial ou �nalidade de demonstração? E se este for um PC Linux ou Mac? Essas perguntas devem ser feitas e essa segregação precisa ser clara para o que está dentro do escopo e o que está fora do escopo. Classi�icação de Ativos Esta seção é sobre tudo o que será coberto no ativo. Como o ativo será categorizado. Como o ativo será classi�cado em várias categorias e como isso será reavaliado. Quais são as responsabilidades detalhadas de uma equipe de segurança, equipe de TI, usuário e proprietário de ativos? Quem é a parte autorizada a aprovar a classi�cação do ativo? Estas são algumas perguntas que devem ser respondidas nesta seção. Cuidados especiais devem ser tomados com o que deve ser abordado aqui e com o que está na parte de gestão de ativos da apólice. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 31/39 Gestão ou Gerenciamento de Ativos O gerenciamento de ativos é basicamente a parte de TI do ativo. Ele cobrirá o ciclo de vida de como o ativo será incorporado, instalado, mantido, gerenciado e retirado. O ciclo de vida pode ter as principais partes de�nidas assim: Integração e instalação de ativos (o que é necessário?); Alocação de ativos (gerenciamento de estoque, quem usou o que e quando); Desalocação de ativos (quem pode autorizar isso?); Garantia de manutenção anual. Controle de Acesso O controle de acesso é um tópico geral e toca todos os objetos, seja físico ou virtual. A política deve ter várias seções e deve cobrir o gerenciamento de acesso para todos. A organização precisa de controle biométrico para que os funcionários entrem ou é aceitável usar cartões de acesso convencionais? Como o acesso é controlado pelos visitantes? Qual é o modelo de sistema/controle de acesso usado para conceder acesso aos recursos? A empresa segue controles de acesso obrigatórios de acordo com as funções ou o acesso é concedido a critério da gerência? Todas essas partes precisam ser cobertas aqui. “Quem tem acesso ao quê? Quem a concede? Até quando? Por quê?”. Isso deve ser de�nido claramente nesta seção. Gerenciamento de Senha Esta seção deve de�nir as diretrizes de senha para PC/laptop do usuário, senhas de aplicativos, gerenciamento de senhas de dispositivos de rede, por exemplo, �rewall, servidor, comutadores etc. Os parâmetros a seguir devem ser aplicados quando o gerenciamento de senhas é de�nido: Complexidade da senha ativada; Comprimento mínimo da senha; 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 32/39 Comprimento máximo da senha; Alteração de senha no primeiro login; Idade mínima da senha antes de alterar; Idade máxima da senha; Número de tentativas de senha inválidas de�nidas; Duração do bloqueio e procedimento de desbloqueio; Histórico de senhas mantido por quanto tempo? Gerenciamento de Mudanças e Gerenciamento de Incidentes Aqui deve ser documentado como realizar uma mudança na organização. O gerenciamento de alterações é necessário para garantir que todas as alterações sejam documentadas e aprovadas pela gerência. As alterações podem ser rastreadas, monitoradas e revertidas, se necessário. A maioria das organizações usa um sistema de emissão de bilhetes para rastrear as alterações e registrar todos os detalhes essenciais das alterações: Justi�cativa de negócios; Equipes envolvidas na mudança; Quem fará a mudança?; Qual é a mudança?; Análise de impacto; Análise de risco; Procedimentos de teste; Plano de reversão. Um incidente, nesse caso, pode ser um roubo de dados ou um ataque cibernético. A política de segurança da informação deve abordar o procedimento a ser seguido em tais circunstâncias. Quem declarará que um evento é um incidente? Com quem entrar em contato em caso de incidente? Como os funcionários podem identi�car e relatar um incidente? Como um incidente é usado como uma lição? 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 33/39 Política de Mesa Limpa Os funcionários podem deixar os ativos sem garantia durante o horário comercial? Os ativos precisam de um bloqueio físico? A organização deixa os documentos onde quiser? Você pode dar um comando de impressão e não o coletar imediatamente? O que fazer com os protótipos, dispositivos e documentos que não são mais necessários? As respostas a essas perguntas dependem de organização para organização. Idealmente, os laptops podem �car sem segurança com uma trava de cabo conectada. Os documentos que não são mais necessários devem ser fragmentados imediatamente. A área da impressora precisa ser mantida limpa, coletando os documentos impressos imediatamente, para que não atinjam indivíduos não autorizados. Abordem-os sobre a política de segurança da informação e garanta que os funcionários estejam seguindo estas diretrizes. Veri�cações aleatórias podem ser realizadas para garantir que a política esteja sendo seguida. Classi�icação de Dados/Informações Assim como a classi�cação de ativos, os dados também precisam ser classi�cados em várias categorias: extremamente secretos, secretos, con�denciais e públicos. Isso é feito para garantir que os objetos/dados com alto nível de sigilo não sejam acessados por sujeitos de níveis mais baixos de segurança. A seção garantirá que os dados sejam categorizados e quem é a parte autorizada a fazê-lo. Como os dados serão categorizados e processados ao longo do seu ciclo de vida? Política de uso da Internet A Internet está cheia de coisas que podem não ser necessárias e até inapropriada para ser visitada nas instalações do escritório, na rede do escritório e nos ativos o�ciais. A política de segurança da informação deve de�nir como a Internet deve ser restrita e o que deve ser restrito. Sua organização permite visualizar sites de mídia social, YouTube e outros sites de 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 34/39 entretenimento? Como o acesso é controlado? Uma maneira é bloquear a categoria de base de sites no proxy da Internet.Segurança Física O que é abordado nesta seção é autoexplicativo. Todos os controles de segurança física e procedimentos operacionais: Monitoramento de CFTV; Operação de guarda de segurança; Sistema de segurança e incêndio instalado; Barreiras de lança, arames farpados, detectores de metais, etc. A segurança física pode ter controles sem �m, mas isso exige uma avaliação séria do que é necessário, de acordo com as necessidades da organização. O escritório precisa de uma segurança de nível militar ou de nível de ferro- velho? Os controles custam muito e, portanto, precisam ser escolhidos com sabedoria. O mesmo deve ser documentado na política de segurança da informação. praticar Vamos Praticar A política de segurança da informação deve proteger a organização de todos os lados. De acordo com o conhecimento adquirido durante seus estudos, podemos a�rmar que a falta de política de sistema de informação para controle de acesso é um(a): a) Vulnerabilidade. b) Indisponibilidade. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 35/39 c) Ameaça. d) Disponibilidade. e) Phishing . 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 36/39 indicações Material Complementar LIVRO Cibercultura e Virtualidade: desa�ios para o desenvolvimento humano Jane Farias Chagas Ferreira Editora: Appris ISBN: 978-85-819-2505-9 Comentário: O livro, de autoria de Jane Chagas Ferreira, aborda as in�uências das Tecnologias de Informação e Comunicação e das interações homem- máquina nos processos de desenvolvimento humano. É uma ótima leitura para compreender a relação humano-tecnologia no ciberespaço. 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 37/39 FILME A rede social Ano: 2010 Comentário: Como o estudante de Harvard, Mark Zuckerberg, cria o site de rede social que �caria conhecido como Facebook. Ele é processado por violação de segurança e do direito de privacidade, também foi processado pelo cofundador que mais tarde foi retirado do negócio. Este �lme mostra claramente os conceitos de vulnerabilidade. TRA ILER 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 38/39 conclusão Conclusão Nesta aula, você viu os principais fundamentos da segurança da informação. Viu a diferença entre cibersegurança e segurança da informação, aprendeu que uma ameaça é um evento negativo que pode levar a um resultado indesejado, como dano ou perda de um ativo, que vulnerabilidades são simplesmente fraquezas no sistema, o que tornam as ameaças possíveis. Aprendeu também que os riscos geralmente são confundidos com ameaças, mas são diferentes de uma maneira crucial. Um risco, de forma simples, é a chance de algo negativo acontecer combinado com o quão ruim seria se acontecesse. Como recomendação �nal, releia os capítulos desta unidade os quais você teve mais dúvida, pesquise nas referências sobre os temas aqui abordados. referências Referências Bibliográ�cas BUSSELL, J. Cyberspace. Encyclopedia Britannica . Disponível em: https://www.britannica.com/topic/cyberspace . Acesso em: 20 out. 2019. https://www.britannica.com/topic/cyberspace 10/04/2024, 12:39 Ead.br https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 39/39 GALVÃO, M. Fundamentos em Segurança da Informação . São Paulo: Pearson, 2015. GOMES, G. Batista. A auditoria de segurança da informação como instrumento de apoio à tomada de decisões, pela alta administração de organizações modernas . Disponível em: https://repositorio.animaeducacao.com.br/items/c48875�-d00d-4a2a-a8e4- a4df4b246bae . Acesso em: 20 out. 2019. HINTZBERGEN J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. INFINIT-O. The 5 Pillars of Information Security and How to Manage Them. Resource Center . Disponível em: https://resourcecenter.in�nit- o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them . Acesso em: 20 out. 2019. KIM, D.; SOLOMON, M. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. KOLBE, A. Sistemas de segurança da informação na era do conhecimento . Curitiba: Intersaberes, 2017. SANTOS, A.; SILVA, R. Detecção de Ataques DDoS com Grá�cos de Controle e Bases de Regras Nebulosas. Disponível em: https://bit.ly/2FqHv2L . Acesso em: 12 nov. 2019. STALLINGS, W. Criptogra�a e segurança de redes : princípios e práticas. 4. ed. São Paulo: Pearson Education do Brasil, 2015. https://repositorio.animaeducacao.com.br/items/c48875ff-d00d-4a2a-a8e4-a4df4b246bae https://repositorio.animaeducacao.com.br/items/c48875ff-d00d-4a2a-a8e4-a4df4b246bae https://resourcecenter.infinit-o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them https://resourcecenter.infinit-o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them https://www.inf.ufsc.br/~bosco.sobral/downloads/I2TS%202010%20CD%20Proceedings/www.i2ts.org/papers/full_portugues/78861.pdf
Compartilhar