Segurança da Informação

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Segurança de Dados e Informações - Vulnerabilidades de Segurança 1
Segurança de Dados e Informações
Aula 2
Vulnerabilidades de Segurança
Introdução
� Vulnerabilidades
� Classificação das Vulnerabilidades
� Análise das Vulnerabilidades
� Teste das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 2
Segurança de Dados e Informações - Vulnerabilidades de Segurança 3
Segurança de Dados e Informações
Vulnerabilidades de Segurança
Vulnerabilidades
Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 4
� Profissional de TI (Tecnologia da Informação)
� Soluções de TI
�Planejamento
�Implementação
�Implantação
� Entendimento sobre vulnerabilidades
Importante!
Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 5
� Pontos fracos
� Ativos suscetíveis a ataques
� Fatores negativos internos
� Aparecimento de ameaças potenciais
� Possível perigo
Vulnerabilidade
Segurança de Dados e Informações - Vulnerabilidades de Segurança 6
Segurança de Dados e Informações
Vulnerabilidades de Segurança
Classificação das Vulnerabilidades
Classificação das Vulnerabilidades
� Físicas
� Naturais
� Hardware
� Software
� Mídias de armazenamento
� Comunicações
� Humanas
Segurança de Dados e Informações - Vulnerabilidades de Segurança 7
Classificação das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 8
� Instalações prediais fora dos padrões
� Salas de servidores mal planejadas
� Falta de recursos para detecção e combate a incêndio
Físicas
Classificação das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 9
� Possibilidade de desastres naturais
� Incêndios, enchentes, falta de energia etc.
� Problemas nos equipamentos de apoio
� Acúmulo de poeira, aumento de temperatura etc.
Naturais
Classificação das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 10
� Falha nos recursos tecnológicos
� Desgaste, obsolescência, mau uso etc.
� Erros durante a instalação
� Ausência de atualizações
� Conservação inadequada
Hardware
Classificação das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 11
� Erros de instalação ou de configuração
� Acessos indevidos, vazamento de informações etc.
� Configuração e instalação indevidas
� Uso abusivo dos recursos
Software
Classificação das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 12
� Possibilidade de perda ou danificação
� Discos, fitas, relatórios e impressos em geral
� Radiação eletromagnética
� Erro de fabricação
Mídias de Armazenamento
Classificação das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 13
� Acessos não autorizados
� Perda de comunicação
� Ausência de criptografia
� Má escolha dos sistemas de comunicação
Comunicações
Classificação das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 14
� Falta de treinamento
� Compartilhamento de informações confidenciais
� Falta de execução de rotinas de segurança
� Erros ou omissões
� Terrorismo ou vandalismo
� Sabotagem, greve, roubo, destruição etc.
Humanas
Classificação das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 15
Vulnerabilidades por si só não provocam 
incidentes, pois são elementos passivos, 
necessitando para tanto de um agente causador 
ou uma condição favorável que são as ameaças.
Segurança de Dados e Informações - Vulnerabilidades de Segurança 16
Segurança de Dados e Informações
Vulnerabilidades de Segurança
Análise das Vulnerabilidades
Análise das Vulnerabilidades
� Verificação da existência de falhas de segurança
� Implementação de controles de segurança
� Levantamento do ambiente computacional
� Detalhado
� Verificação das condições atuais
� Envolvimento de todos os ativos
Segurança de Dados e Informações - Vulnerabilidades de Segurança 17
Análise das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 18
� Software e hardware
� Servidores
� Estações de trabalho
� Outros equipamentos pertinentes
�Telefonia, rádio, gravadores etc.
Tecnologias
Análise das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 19
� Fluxo da informação
� Geração e consumo
� Compartilhamento da informação
Processos
Análise das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 20
� Ativos da informação
Pessoas
Análise das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 21
� Espaço físico
Ambientes
Segurança de Dados e Informações - Vulnerabilidades de Segurança 22
Segurança de Dados e Informações
Vulnerabilidades de Segurança
Teste das Vulnerabilidades
Teste das Vulnerabilidades
� Portas TCP/IP desprotegidas (abertas)
� Sistemas operacionais utilizados
� Patches e service packs aplicados
� Aplicativos instalados
� Bugs específicos
� Sistemas operacionais e aplicativos
� Fraqueza nas implementações de segurança
� Sistemas operacionais e aplicativos
Segurança de Dados e Informações - Vulnerabilidades de Segurança 23
Teste das Vulnerabilidades
� Falhas nos softwares
� Equipamentos de comunicação
� Fraqueza nas implementações de segurança
� Equipamentos de comunicação
� Falhas nos scripts nos servidores web
� Fraqueza nas implementações de segurança
� Compartilhamentos de rede
Segurança de Dados e Informações - Vulnerabilidades de Segurança 24
Teste das Vulnerabilidades
Segurança de Dados e Informações - Vulnerabilidades de Segurança 25
� Identificação e correção de vulnerabilidades
� Proteção da rede contra invasores
� Obtenção de informações para prevenção
� Obtenção de informações sobre vírus
� Conhecimento dos alertas de segurança
� Antes de um ataque
� Conhecimento de como recuperar-se após um ataque
Importância
Segurança de Dados e Informações - Vulnerabilidades de Segurança 26
Segurança de Dados e Informações
Vulnerabilidades de Segurança
Exercícios de Fixação
Exercícios de Fixação
1) Por que é tão importante para o profissional de TI 
conhecer as vulnerabilidades de segurança da rede 
de uma organização?
2) Vulnerabilidades podem provocar incidentes? Quais 
as diferenças entre os conceitos de vulnerabilidade 
e de ameaça?
3) Cite dois exemplos de vulnerabilidades físicas e de 
vulnerabilidades naturais.
4) Na sua opinião, por que as vulnerabilidades 
humanas são tão críticas?
Segurança de Dados e Informações - Vulnerabilidades de Segurança 27
Exercícios de Fixação
5) Qual a importância da análise de vulnerabilidades? 
Cite alguns pontos que devem ser executados nesta 
tarefa.
6) O teste das vulnerabilidades deve ser uma atividade 
obrigatória ou opcional? Por quê?
Segurança de Dados e Informações - Vulnerabilidades de Segurança 28
Segurança de Dados e Informações - Vulnerabilidades de Segurança 29
Segurança de Dados e Informações
Vulnerabilidades de Segurança
Referências
Referências
� STALLINGS, W. Criptografia e Segurança de Redes: 
Princípios e Práticas. São Paulo: Pearson Education do 
Brasil, 2015.
� GALVÃO, M. C. G. Fundamentos em segurança da 
informação. São Paulo: Pearson Education do Brasil, 2015.
� HOGLUND, G. Como quebrar códigos: a arte de explorar (e 
proteger) software. São Paulo: Pearson Makron Books, 2006.
� GUIMARÃES, R. Gestão de Segurança da Informação. Rio de 
Janeiro:
Estácio.
Segurança de Dados e Informações - Vulnerabilidades de Segurança 30