Gestão de Segurança em TI

Prévia do material em texto

30/7/2010
1
Professor - Ricardo Leocádio
1Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Gestão de Segurança em 
Ambientes de TI
• Nestes capítulos iremos entender o que é 
Segurança da Informação, noções 
fundamentais, conceito de risco ameaça e 
vulnerabilidades.
Objetivos
• Apostila de acompanhamento da 
disciplina, das paginas 4 a 25
Documentos
Professor - Ricardo Leocádio
2Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Evolução da tecnologia
... arquitetura heterogênea
... convergência voz e dados
30/7/2010
2
Professor - Ricardo Leocádio
3Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
A segurança da informação na Era do 
conhecimento
90s, 2000
70s, 80s
Ambiente
Mainframe
Proteção
Dados
Foco
Principal
Confidencialidade
Posição da
Informática
Retaguarda
Época
80s, 90s
Mainframe
+ Rede
Dados
+ Informação
Confidencialidade 
+ Integridade
Retaguarda 
+Administração
e Operação
Mainframe
+ Rede
+ IP
Dados
+ Informação 
+ Conhecimento
Confidencialidade 
+ Integridade 
+ Disponibilidade
Negócio
Professor - Ricardo Leocádio
4Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Macro desafio da Segurança da
Informação
30/7/2010
3
Professor - Ricardo Leocádio
5Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Base da Segurança da informação
A segurança das informações deve caracterizar-se por preservar:
 Confidencialidade: Para que a informação seja acessível 
somente por pessoas autorizadas, garantindo a privacidade de 
seu possuidor e o sigilo da informação.
 Integridade: Para manter salvaguarda da exatidão e inteireza 
da informação e dos métodos de processamento.
 Disponibilidade: Para garantir que informações e serviços 
computacionais vitais estejam disponíveis sempre que 
requeridos.
 Irretratabilidade: Para garantir que as informações sejam 
autenticas e que não possam ser repudiadas quanto à sua 
legalidade
Leitura obrigatória 
desse conteúdo. 
Página 4
Professor - Ricardo Leocádio
6Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Os fatos
 Negócios estão cada vez mais dependentes da tecnologia da
informação;
 Os ambientes estão cada vez mais complexos, heterogêneos
e integrados;
 As fraudes são cada vez mais realizadas por meios digitais; 
Marcos regulatórios exigindo controles cada vez mais efetivos
sobre os riscos que TI impõe aos negócios.
Desafios da segurança na nova
economia
30/7/2010
4
Professor - Ricardo Leocádio
7Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Desafios da segurança na nova 
economia
As necessidades de Segurança
 A informação, seus processos de apoio, as aplicações que a
manipulam, sistemas de redes e de proteção da infra-
estrutura são os mais importantes ativos para os negócios;
 Mutações acentuadas estão ocorrendo na forma da
empresas realizarem negócios na nova economia;
 Crescimento acentuado dos crimes relacionados à violação
de informações.
Leitura obrigatória 
desse conteúdo. 
Página 5
Professor - Ricardo Leocádio
8Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
As necessidades de Segurança
 Tecnologias nunca estiveram tão expostas à vulnerabilidades
as quais aumentam na mesma velocidade de expansão do 
mercado de TI;
 Riscos aos quais as tecnologias estão expostas transferem-se 
para os negócios;
 Controles difíceis em ambiente de TI altamente heterogêneo, 
integrado e interligado.
Desafios da segurança na nova 
economia
Leitura obrigatória 
desse conteúdo. 
Página 5
30/7/2010
5
Professor - Ricardo Leocádio
9Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
As necessidades de Segurança
 A simples Implementação de tecnologia não resolve todos
os problemas nem diminuem os riscos aos quais estamos
expostos;
 Necessidade de controles é iminente. Controles de 
segurança são mais baratos se implementados nas etapas de 
projeto e especificação de soluções de tecnologia;
 Controles devem ser baseados em processos muito bem
estruturados e não somente em software.
Desafios da segurança na nova 
economia
Leitura obrigatória 
desse conteúdo. 
Página 5
Professor - Ricardo Leocádio
10Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 Controle centralizado
 Auditabilidade
 Ambiente padronizado
 Conhecimento de ameaças e vulnerabilidades
 Pessoal técnico capacitado
 Velocidade na implementação de soluções
 Integração com o negócio
 Gestão do investimento
Desafios da segurança na nova 
economia
30/7/2010
6
Professor - Ricardo Leocádio
11Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
O desafio
Professor - Ricardo Leocádio
12Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
O Cenário desejado em Segurança nas 
corporações atuais
 Novas aplicações e negócios viabilizados rapidamente e com
segurança;
 Baixo índice de perdas por fraudes e erros;
 Baixo índice de vazamento de informações, objetivo de tender
a zero;
 Clientes, fornecedores e parceiros com alto nível de segurança;
 Funcionários e parceiros atentos e conscientes quanto aos
quesitos e regras de segurança estabelecidos.
30/7/2010
7
Professor - Ricardo Leocádio
13Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Conceitos de Segurança da Informação
 Segurança da informação é uma disciplina relativamente nova
no contexto de tecnologia da informação. É uma palavra de
amplo espectro quando abordamos questões pertinentes aos
requisitos necessários para proteger os ativos e acervos
computacionais das corporações. A proteção da informação e
do seu ciclo de vida é seu ponto de foco.
 Neste contexto, Informação pode e deve ser tratada como 
qualquer outro ativo que sustenta um negócio.
 A Segurança da informação protege a informação contra
diversos tipos de ameaças para garantir a continuidade dos
negócios, minimizar os danos aos negócios e maximizar o
retorno dos investimentos e as oportunidades de negócios.
Leitura obrigatória 
desse conteúdo. 
Página 9
Professor - Ricardo Leocádio
14Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Alguns elementos são considerados essenciais na prática da
segurança da informação, dependendo do objetivo que se
pretende alcançar:
 Autenticação – processo de identificação e reconhecimento
formal da identidade dos elementos que entram em comunicação
ou fazem parte de uma transação eletrônica que permite o
acesso à informação.
 Autorização – concessão de uma permissão para o acesso às
informações e funcionalidades das aplicações aos participantes
de um processo de troca de informações.
Aspectos da Segurança da Informação
30/7/2010
8
Professor - Ricardo Leocádio
15Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 Auditoria – processo de coleta de evidências de uso dos 
recursos existentes, a fim de identificar as entidades
envolvidas num processo de troca de informações, ou seja, a 
origem, destino e meios de tráfego de uma informação. 
 Autenticidade – garantia de que as entidades (informação, 
máquinas, usuários) identificadas em um processo de 
comunicação como remetentes ou autores são exatamente
aqueles que dizem ser e que a mensagem ou informação
nãofoi alterada após o seu envio ou validação. 
 Legalidade – característica das informações que possuem
valor legal dentro de um processo de comunicação; 
Aspectos da Segurança da Informação
Professor - Ricardo Leocádio
16Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 Severidade – gravidade do dano que um determinado ativo
pode sofrer devido à exploração de uma vulnerabilidade por
qualquer ameaça aplicável. 
 Relevância do ativo– grau de importância de um ativo para a 
operacionalização de um processo de negócio.
 Relevância do processo de negócio – grau de importânciade 
um processo de negócio para o alcance dos objetivos e 
sobrevivência de uma organização.
 Criticidade – gravidade referente ao impacto ao negócio
causado pela ausência de um ativo, pela perda ou redução de suas
funcionalidades em um processo de negócio.
Aspectos da Segurança da Informação
30/7/2010
9
Professor - Ricardo Leocádio
17Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
A Informação
Quanto ao manuseio:
Impressa, falada ou escrita em papel
Quanto ao armazenamento:
Armazenada em computador pessoal, em fita ou disco, em bancos de dados
Quanto ao transporte:
Transmitida entre redes, enviada por fax, falada via telefone, enviada por e-mail
Quanto ao descarte:
Descarte das informações por processo digital - deleção ou Wiping - ou por 
processo físico.
Proteger o ciclo de vida da informação e 
seus aspectos
Informação
Manuseio
Transporte
ArmazenamentoDescarte Co
nf
id
en
ci
al
id
ad
e Integridade
Disponibilidade
Autenticidade
Legalidade
Leitura obrigatória 
desse conteúdo. 
Página 5
Professor - Ricardo Leocádio
18Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
A FUNÇÃO DA TECNOLOGIA 
na segurança da informação
As tecnologias são necessárias para prover infra-
estrutura segura e ferramentas sobre a qual as 
aplicações serão utilizadas e ainda para defender 
a estrutura de TI e negócios contra ataques.
30/7/2010
10
Professor - Ricardo Leocádio
19Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
A FUNÇÃO DOS CONTROLES
Os controles provem forma de monitorar o
ambiente para validar o funcionamento da
estrutura de segurança e mensurar seus
resultados. Estes controles podem ser políticas,
práticas, procedimentos ou funções de software
e/ou hardware.
Professor - Ricardo Leocádio
20Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
A ESTRUTURA DE GESTÃO
Ambos tecnologia e controles, em ações
coordenadas e abrangentes, provem processos
de segurança que devem estar alicerçados em
estruturas organizacionais responsáveis pelo seu
acompanhamento e/ou implementação e precisam
ser estabelecidos para garantir que as
estratégias de segurança específicas da
organização sejam atendidas
Leitura obrigatória 
desse conteúdo. 
Página 9
30/7/2010
11
Professor - Ricardo Leocádio
21Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Estrutura de segurança das informações 
conforme prescrita na norma ISO/IEC 27002.
Professor - Ricardo Leocádio
22Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Estrutura de segurança das informações 
conforme prescrita na norma ISO/IEC 27002.
Fórum de Segurança da Informação
Esta estrutura é formada por integrantes do grupo executivo
juntamente com o CSO. Atua na análise estratégica e no
planejamento das principais atividades relacionadas à
segurança da informação, no desenvolvimento e avaliação das
Diretrizes de Segurança da Informação e na definição do Plano
de Metas, visando estabelecer objetivos estratégicos
relacionados à segurança.
Este plano contempla todo o ambiente organizacional, novas
estruturas, novos processos e serviços que virão a fazer parte
da realidade da empresa. Devem ser realizadas análises críticas
e monitoração de incidentes de segurança da informação,
munindo os executivos de informações, essenciais ao aceite das
principais iniciativas para aumentar o nível da segurança
corporativo.
Leitura obrigatória 
desse conteúdo. 
Página 9
30/7/2010
12
Professor - Ricardo Leocádio
23Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Estrutura de segurança das informações 
conforme prescrita na norma ISO/IEC 27002.
Chief Security Officer (CSO)
O nome exato talvez seja de menor importâncias, alguns
chamam de Security Officer, outros de Information Security
Officer. Funcionalmente é o administrador de Segurança da
Informação: profissional responsável por coordenar, planejar e
organizar todas as atividades relacionadas à segurança da
informação corporativa.
O CSO é o elo entre o Fórum de Segurança da Informação e a
Coordenação da Segurança da Informação, compreendendo as
particularidades de cada departamento, seja através do
planejamento de atividades de implementação de controles de
segurança junto à Coordenação, ou na apresentação dos
resultados à alta administração
Leitura obrigatória 
desse conteúdo. 
Página 9
Professor - Ricardo Leocádio
24Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Estrutura de segurança das informações 
conforme prescrita na norma ISO/IEC 27002.
Coordenação da Segurança da Informação
Estrutura constituída por profissionais subordinados ao CSO e pelos
disseminadores da cultura de segurança dentro dos diversos setores da
organização. Entre as atividades da Coordenação da Segurança podemos
destacar:
• Análise de incidentes de segurança;
• A avaliação e coordenação de implementações de controles;
• Elaboração do Plano de Ação - um planejamento tático e operacional para
implementação de controles de segurança.
Tão importante quanto a estrutura geral – Fórum, Coordenação e CSO -, é a
relação entre suas diferentes partes, fazendo com que interajam com os
diversos ambientes organizacionais, contemplando tecnologias, processos,
perímetros e, principalmente, as pessoas que fazem a “máquina” funcionar.
Os benefícios que a Estrutura de Segurança da Informação agrega à
organização são claros. A consolidação desta estrutura orienta o direcionamento
de investimentos e esforços em segurança da informação em um mesmo
sentido, não somente constituindo um novo setor dentro da organização, mas
transformando seus diferentes setores em mecanismos simbióticos, formando
uma estrutura eficiente, flexível às particularidades corporativa e acima de
tudo, econômica. Leitura obrigatória 
desse conteúdo. 
Página 10
30/7/2010
13
Professor - Ricardo Leocádio
25Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
As ameaças hoje
 Incidentes de paralisação de negócios;
 Fraudes;
 Vazamento de informações e perdas de imagem;
 Falta de conformidade com marcos regulatórios;
 Agentes de ameaças
Crime
organizado
Especuladores
Chantagistas
Ausência e/ou falta 
de aderência de controles
Ineficácia de 
controles Engenharia
Social
Professor - Ricardo Leocádio
26Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Eliminando as vulnerabilidades, 
minimizamos os riscos e
reduzimos os impactos no negócio
Risco tendendo a zero
SEGURANÇA
Papel da Segurança
30/7/2010
14
Professor - Ricardo Leocádio
27Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Ação sobre os ativos
 Infra-estrutura
 Tecnologia
 Aplicações
 Informações
 Pessoas
ATIVO:
Tudo que 
manipula 
informação, 
inclusive 
ela própria.
Professor - Ricardo Leocádio
28Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Soluções pontuais isoladas não resolvem toda o problema associada à 
segurança da informação.
Segurança se faz protegendo todos os elos da corrente, ou seja, todos 
os ativos que compõem seu negócio. Afinal, o poder de proteção da corrente 
está diretamente associado ao 
elo mais fraco!
Infraestrutura
Tecnologia
Aplicações
Pessoas
Informações
Ação sobre os ativos
30/7/2010
15
Professor - Ricardo Leocádio
29Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Comodidade x nível de segurança
Cada tipo de negócio requer um 
nível distinto de segurança
Comodidade do 
ConsumidorNível de
Segurança
Professor - Ricardo Leocádio
30Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Os riscos, ameaças e vulnerabilidades em TI.
Considerações sobre os riscos em TI
Abordagem conceitual de riscos
 Risco é qualquer evento que possa causar impacto na capacidade de 
uma empresa em atingir seus objetivos de negócio;
 Pode ser classificado e tratado como uma oportunidade,uma incerteza
ou uma ameaça;
 Riscos em tecnologia apresentam-se na dimensão de uma 
ameaça
 São proporcionais à quantidade e variedade de tecnologias 
heterogêneas existentes em um contexto computacional e às 
suas vulnerabilidades.
Leitura obrigatória 
desse conteúdo. 
Página 11 e 12
30/7/2010
16
Professor - Ricardo Leocádio
31Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
 Riscos são proporcionais à probabilidade de uma
determinada ameaça explorar vulnerabilidades, causando
impacto nos negócios.
RISCO = (Ameaça) x (Vulnerabilidade) x (Valor do Ativo ou custo do evento)
 Vulnerabilidade podem ser relativas à tecnologias, processo
ou pessoas
Os riscos, ameaças e vulnerabilidades em TI.
Leitura obrigatória 
desse conteúdo. 
Página 12
Professor - Ricardo Leocádio
32Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Compreensão de Risco
Risco Impacto VS Probabilidade
Impacto
Prejuízo potencial
(patrimônio, negócios, imagem)
Ameaças VS Vulnerabilidades
É a probabilidade de ameaças explorarem vulnerabilidades, provocando impacto nos 
negócios tais como perdas financeiras e de imagem devido de quebra de confidencialidade, de 
integridade e de disponibilidade
Probabilidade
30/7/2010
17
Professor - Ricardo Leocádio
33Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Os riscos, ameaças e vulnerabilidades em TI.
Classificacao das vulnerabilidades
Professor - Ricardo Leocádio
34Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Quaisquer eventos de segurança são o resultado de 
determinada ameaças que exploram vulnerabilidades 
tecnológicas, de processo ou pessoas
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
18
Professor - Ricardo Leocádio
35Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Terminologia
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
36Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Categorias de ameaças
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
19
Professor - Ricardo Leocádio
37Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Agentes de ameaça
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
38Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Conhecendo os potenciais atacantes
• Script Kiddies
Também conhecidos como “Newbies”, estes tipos são a grande maioria Hackers. Eles 
normalmente possuem pouca experiência e conseguem programas de ataques prontos para 
serem usados diretamente obtidos na Internet. Exploram vulnerabilidades básicas como a 
configuração equivocada de serviços e sistemas operacionais e servidores sem os Patchs de 
segurança recomendados. Na maioria das vezes não sabem a extensão dos danos que 
estão causando.
• CyberPunks
São os Hackers dos velhos tempos. Invadem sistemas motivados por puro divertimento e 
desafio. Tem grande conhecimento de protocolos e atuam contra os Governos, 
principalmente o Norte Americano. São os mais paranóicos e costumam acreditar em 
teorias da conspiração. Atuam muito em pesquisas e descobrem várias vulnerabilidades 
prestando assim enormes serviços à indústria. 
• Insiders
Os “Insiders” são os Hackers internos das organizações. São os responsáveis pelos 
incidentes de segurança mais graves nas empresas. Estatísticas mostram que grande parte 
dos ataques parte das próprias redes internas, mas os números são contraditórios. Os 
motivos são geralmente insatisfação com o trabalho, com o chefe ou com a estratégia da 
empresa em algum campo. Podem estar associados à subornos externos e espionagem 
industrial.
• Coders
São os Hackers que resolvem em certo momento compartilhar suas informações e 
conhecimentos publicando livros e proferindo palestras. São normalmente motivados por 
questões financeiras.
30/7/2010
20
Professor - Ricardo Leocádio
39Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Conhecendo os potenciais atacantes
• White Hat
São conhecidos como os Hackers do bem ou Hackers éticos. Eles utilizam seus 
conhecimentos prestando serviços profissionais na proteção das redes e Sites de várias 
organizações. São responsáveis pelos testes de invasão, nos quais apresentam relatórios 
que medem o nível de segurança das organizações.
• Black Hat
Eles são os tradicionais e antigos Crackers. Usam seus conhecimentos para invadir sistemas 
e roubar informações confidenciais das organizações. Geralmente tentar vender as 
informações roubadas para a própria vítima. Usam esta chantagem para conseguir 
vantagens financeiras. Casos notórios de ação deste grupo é o evento de invasão do Site 
CD Universe em 2000 no qual foi obtida a base de dados de cartões de crédito dos clientes 
do Site e seguida divulgada na Internet porque os donos do Site se recusaram a pagar pela 
sua devolução.
• Grey Hat
São os Hackers que se fazem passar por White Hat´s para trabalharem na área de 
segurança. Divulgam seus trabalhos como consultores de segurança mas não detêm o 
conhecimento daqueles. Diferentemente dos White Hat´s, tem a cultura de Hacker muito 
forte tornando um risco sua contratação.
Cabe salientar que não só Hackers causam problemas de segurança. Usuários, sejam eles 
autorizados ou não, causam grandes problemas. Normalmente com ações baseadas em 
imperícia ou imprudência.
Professor - Ricardo Leocádio
40Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI.
O perigo do desconhecimento dos riscos.
 “Para que iremos nos preocupar com segurança se usamos os melhores
sistemas de mercado”.
 “Nossos fornecedores irão nos avisar caso alguma vulnerabilidade seja
encontrada”.
 “Vamos colocar para funcionar depois resolvemos os problemas de
segurança.”
 “Nosso parceiro é confiável, podemos liberar o acesso para eles”.
 “A empresa de TI com a qual fizemos o “Outsourcing” irá cuidar da
segurança”.
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
21
Professor - Ricardo Leocádio
41Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI.
O perigo da obscuridade.
 “Ninguém vai descobrir esta brecha em nossa segurança.”
 “Esta situação nunca ocorrerá conosco”.
 “Esta vulnerabilidade é improvável de ser explorada.”
Os riscos, ameaças e vulnerabilidades em TI.
Leitura obrigatória 
desse conteúdo. 
Página 15
Professor - Ricardo Leocádio
42Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Protegem
contra
Ameaças Vulnerabilidades
Riscos Ativos
Valores e impacto
potencial em
negócios
Necessidades de
segurança
Controles
Aumentam
Aumentam
Implementadas
com
Indicam Tem
Exploram
ExpõemAumentam
Entendendo a relação entre ameaças, vulnerabilidades e riscos
Os riscos, ameaças e vulnerabilidades em TI.
Leitura obrigatória 
desse conteúdo. 
Página 16
30/7/2010
22
Professor - Ricardo Leocádio
43Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Cuidados com os erros mais freqüentes cometidos pelas pessoas
 Senhas anotadas em Post-it
– É a mais freqüente falha de segurança. Pesquisas
indicam que um em cada 5 pessoas cometem este
erro. É equivalente a perda de identidade.
 Deixar o computador desguarnecido
– PC´s solitários sem proteção de tela. É como sair de 
casa e não fechar a porta.
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
44Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Cuidados com os erros mais freqüentes cometidos pelas pessoas
Abrir correios eletrônicos de estranhos
–Não seja tão curioso. 98% dos e-mails com arquivos 
atachados não solicitados são cavalos de Tróia. 
Ataques de Vírus custam caro. Sua conta no Banco 
pode reduzir dramaticamente.
Senhas fracas e óbvias
– Não deixe senhas default. Seja original e crie sua 
própria combinação de letras e números. A rede da 
corporação pode ir por terra.
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
23
Professor - Ricardo Leocádio
45Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Cuidados com os erros mais freqüentes cometidos pelas pessoas
Perda ou furto de Laptop´s
– Cuidado nos aeroportos. Mais cuidado ainda no 
trabalho. Laptop´s podem sair andando sozinhos 
durante a noite.
Divulgar informações confidenciais 
– Falar sobre informações confidenciais da empresa no 
Bar, na academia ou na escadaria da igreja não é lá 
muito correto.
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
46Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Cuidados com os erros mais freqüentes cometidos pelas pessoas
Conexões imprudentes
– Conectar Modem em servidores, servidores fora do 
perímetro de segurança da Internet por fora dos 
roteadores ou dispositivos Wireless em Notebook´s 
são um prato cheio para as invasões.
Não reportar violações de segurança
– Ciência das normas e políticas de segurança é 
fundamental. Alguém na mesa ao lado se comporta 
estranhamente?
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
24
Professor - Ricardo Leocádio
47Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Considerações sobre os riscos em TI
Cuidados com os erros mais freqüentes cometidos pelas pessoas
 Correndo atrás do tempo perdido. 
– Não ignore as correções de segurança por mais 
simples e triviais que possam parecer. Pode custar 
muito caro à sua carreira.
 Dormindo com o inimigo
– Fique de olhos bem abertos “dentro de casa”. 
Atacantes internos podem causar grandes prejuízos. 
Observe qualquer comportamento estranho. É 
importante entender que a segurança da empresa 
depende de cada um.
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
48Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais formas de ataques 
- Engenharia social
Explora as fraquezas e vulnerabilidades humanas.
Está baseada na confiança adquirida e na habilidade
de manipular pessoas, na subversão psicológica e no
uso de identidade falsa.
Educação e conscientização é a única forma de
deter estes tipos de ataques
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
25
Professor - Ricardo Leocádio
49Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais formas de ataques
- Engenharia social
Dumpster Diving ou Trashing - Esta é uma 
técnica baseada na análise do lixo para obtenção 
de informações confidenciais
 Necessários cuidado com a eliminação de
documentos sigilosos e utilização de
fragmentadores de papéis
 Como você elimina seu arquivos confidenciais 
na sua casa? E Aquela senha do banco?
 E na empresa ??
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
50Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais formas de ataques
-Ataques físicos
 Estes ataques baseiam-se em furtos de
informações, fitas magnéticas, software e/ou
hardware ( Laptop s !! ) com a presença física do
atacante nas instalações do alvo atacado
 Medidas de proteção físicas dos ambientes são
necessárias
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
26
Professor - Ricardo Leocádio
51Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
 Os ataques em TI podem ser classificados em ataques 
passivos ou ativos.
– Os ataques Passivos são aqueles onde a informação é 
apenas observada ou copiada. É um exemplo deste ataque:
• Interceptação de informações
 Os ataques ativos são aqueles nos quais as informações 
sofrem alteração ou são desviadas. São exemplos destes 
ataques.
• Interrupção ou negação de serviços
• Modificação de informações 
• Fabricação de informações
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
52Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais formas de ataques
- Interceptação de informações
São ataques que visam obter informações privilegiadas atacando a
confidencialidade. Utilizam técnicas de Packet Sniffing – Escutar o
tráfego da rede.
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
27
Professor - Ricardo Leocádio
53Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais formas de ataques
- Interceptação de informações
 Port Scanning – Quais portas estão abertas ??
 Scanning de vulnerabilidade – Ferramentas grátis na
internet. Receita de bolo pronta para o ataque.
Compartilhamentos, Bug s não corrigidos, configurações
incorretas, Buffer Overflow
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
54Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais formas de ataques
- Interrupção ou negação de serviços
São ataques que visam interromper a continuidade de determinado
serviço e são chamados no jargão técnico de negação de serviços ou
“Denial of Services”.
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
28
Professor - Ricardo Leocádio
55Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais ataques: Negação de serviços
Os ataques de negação de serviços (Denial of Service - DoS),
fazem com que os recursos de determinados sistemas sejam
explorados de forma tão contundente que os serviços disponíveis
naquele servidor ficam indisponíveis, causando negação dos
serviços válidos para usuários legítimos do sistema.
Distributed Denial of Service Attack – DDoS, fazem exploração
coordenada de diversas vulnerabilidades em diversos tipos de
sistemas diferentes ao mesmo tempo. Os ataques DDoS fazem
com que diversos hosts ou computadores distribuídos sejam
coordenados para um ataque maciço direcionados a um ou mais
alvos. Eles se baseiam em agentes chamados Deamons em
máquinas escravas infectadas e em Masters porções do software
que comandam os Deamons.
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
56Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais ataques: DDOS
Os riscos, ameaças e vulnerabilidades em TI.
Leitura obrigatória 
desse conteúdo. 
Página 21
30/7/2010
29
Professor - Ricardo Leocádio
57Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Os riscos, ameaças e vulnerabilidades 
em TI.
• Buffer overflow
Neste tipo de ataque, o invasor explora bug´s de implementação de serviços ou 
aplicativos, nos quais o controle de Buffer de memória temporária usada para 
armazenamento de dados, não é feito. 
Para efetivação do ataque, o hacker envia mais dados do que o buffer é capaz 
de manipular. O atacante inunda o espaço de memória alocado e sem controle, 
tipicamente uma barra de endereço com mais caracteres que ele pode 
acomodar. Os caracteres excedentes em muitos casos podem “rodar” como 
programas executáveis, efetivamente dando ao invasor controle total do 
computador, atacado sem ser notado.
A forma mais eficaz e talvez única para combater estes problemas é o 
engajamento da indústria de software e dos programadores em aplicar técnicas 
mais robustas e cuidadosas de Programação. Os programadores podem 
proteger seus códigos com práticas simples de controles de tratamento de 
strings longas.
Ferramentas tem sido desenvolvidas pela industria para fazer checagens 
automáticas dos códigos gerados contra o problema de Buffer OverFlow.
Professor - Ricardo Leocádio
58Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principaisformas de ataques
- Fabricação de informação
Estes ataques baseiam-se em forjar informações de um usuário para
transmitir informações como se fosse este. Ataca-se a autenticidade
das informações. A forma de ataque mais comum é o IP Spoofing –
Falsificação eletrônica de identidade, personificação.
Os riscos, ameaças e vulnerabilidades em TI.
30/7/2010
30
Professor - Ricardo Leocádio
59Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais formas de ataques
- Modificação
São ataques que requerem a captura prévia das informações e em
seguida seu envio para o servidor como se fora a origem verdadeira.
“Man in the middle” é o nome dado a este tipo de intruso.
Os riscos, ameaças e vulnerabilidades em TI.
Professor - Ricardo Leocádio
60Contato- antonio.gomes@prof.unibh.br
Auditoria e Segurança de Sistemas
Principais formas de ataques – Vírus, Worm´s e Cavalos 
de tróia
• Pode ser considerada uma classe especial de ataque e talvez a mais
amplamente destrutiva delas.
• Podem mais corretamente ser identificadas como ferramentas de
exploração de vulnerabilidades.
• Capacidade de gerar múltiplos ataques à múltiplas vulnerabilidades.
• Ataque silencioso, de baixo impacto .
Os riscos, ameaças e vulnerabilidades em TI.