Prévia do material em texto

Gestão de Segurança da Informação
Aula 1
O ambiente corporativo e a necessidade de segurança
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas está revolucionando o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais. Há três razões fundamentais para todas as aplicações de tecnologia da informação nas empresas. Elas são encontradas nos três papeis vitais que os sistemas de informação podem desempenhar para uma empresa.
Apoio às estratégias para vantagem competitiva
Apoio à tomada de decisão empresarial
Apoio as Operações e aos processos
O valor da informação
Para compreendermos melhor o valor da informação no contexto atual, vamos em primeiro lugar compreender o conceito de dado:
Dado qualquer elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.
Informação é o dado trabalhado que permite ao executivo tomar decisões. É a matéria-prima para o processo administrativo da tomada de decisão.
O proposito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia e informação).
Para decidir sobre qualquer coisa, precisamos de informações, preferencialmente claras e oportunas.  A informação é vital para o processo de tomada de decisão de qualquer corporação.  Porém não basta produzir a informação no prazo previsto. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Além disso, é fundamental proteger o conhecimento gerado, quando este contiver aspectos estratégicos para a Organização que o gerou.
Dados Informação Conhecimento
Em meio a tantas mudanças tecnologias, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Um destes desafios a ser considerado é a responsabilidade ética referente ao uso da tecnologia da informação.
Quais usos da tecnologia da informação poderiam ser considerados impróprios, irresponsáveis ou prejudiciais a outros indivíduos ou a sociedade?
Qual é o uso adequado da internet e dos recursos de TI de uma organização? O que é preciso para ser um usuário final, responsável de tecnologia da informação?
Como a empresa pode se proteger do crime com o uso de computadores e de outros riscos da tecnologia da informação?
Diante a tantas mudanças tecnológicas, sociológicas e comportamentais, o profissional de TI deve levar em consideração os aspectos éticos sobre os danos potenciais ou riscos no uso da TI corporações:
Aplicações de TI
Ampliar o conhecimento do mercado;
Aumentar a capacidade de resposta;
Aperfeiçoar as comunicações;
Melhorar a seleção de estratégias;
Danos Potenciais
Invasões de privacidade
Informações imprecisas
Conluio
Exclusão de facilidades essenciais
Riscos Potenciais
Qual a probabilidade de ocorrência de ações legais, boicotes dos consumidores, paralisações no trabalho e outras ameaças?
Respostas Possíveis
Os ricos e custos podem ser atenuados por:
Auto-regulação
Defesa
Educação
Código de ética
Incentivos
Certificação
O que é segurança?
É estar livre de perigos e incertezas;
É um estado ou condição que se aplica a tudo que tem valor para a organização que é chamado de ativo;
Existem diversos tipos de ativos em uma organização. Estes ativos podem ser organizados e classificados através de diversas propriedades. Esta classificação permite a organização dos ativos em grupos com características semelhantes no que diz respeito as necessidades, estratégias e ferramentas de proteção. Dessa forma, os ativos podem ser classificados como:
Tangível: Informações impressas ou digitais, Sistemas, Móveis, pessoas etc.
Intangível: Marca de um produto, imagem de uma empresa, confiabilidade de um banco et
Podemos agora entender o que vem a ser proteção. Elas podem ser:
Físicas: cadeado, fechadura.
Lógicas: arquivos, firewall.
Administrativas – Normas, procedimentos.
Podemos classificar as proteções de acordo com a sua ação e o momento na qual ela ocorre. De acordo com a finalidade elas podem ser:
Preventivas – evita que acidentes ocorram
Desencorajamento – desencoraja a pratica de ações
Monitoramento – monitora o estado e o funcionamento
Detecção – Detecta a ocorrência de incidentes
Limitação – Diminui danos causados
Reação – reage a determinados incidentes
Correção – repara falhas existentes
Recuperação – Repara danos causados por incidentes
A partir deste ponto já conseguimos diferenciar segurança e segurança da informação:
Segurança da Informação: visa proteção de ativos de uma empresa que contém informações.
Ativos de Informação: são aqueles que produzem, processam, transmitem ou armazenam informações.
Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais de segurança conhecido como a tríade CID, ou em inglês, AIC ou CIA.
O nível de segurança requerido para obter cada um destes três princípios difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança. Entretanto todas as ações ou medições de segurança realizados em cada organização irão envolver sempre um ou mais princípios.
Disponibilidade: garantia de que só usuários autorizados obtêm acesso a informação e aos ativos correspondentes sempre que necessário. NBR ISO/IEC 27002
Objetivo de Segurança
Integridade: Salvaguardar da exatidão e completeza da informação e dos métodos de processamento. NBR ISSO/IEC 27002
Confidencialidade: Garantia de que os usuários autorizados obtém acesso a informação e aos ativos correspondentes sempre que necessários. NBR ISSO/IEC 27002
Fatores que impactam na segurança de uma organização:
Valor: Importância do ativo para a organização. Como já falamos pode ser avaliado por propriedades mensuráveis ou abstratas, ou seja, tangível ou intangível. Ex de valor intangível: comprometimento da imagem de uma empresa por causa do vazamento de uma informação. Ex de valor tangível: valor financeiro, o lucro que ele provê ou custo de substitui-lo.
Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. Ex um incêndio, uma enchente, a invasão de um computador ou um roubo.
Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. O que irá determinar se uma invasão de computador pode ou não afetar os negócios de uma empresa é a ausência ou existência de mecanismo de prevenção, detecção e eliminação, além do correto funcionamento destes mecanismo.
Impacto: Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causara. Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça.
Ex: O impacto de uma invasão a um servidor de banco de dados pode ser maior que o impacto da invasão da maquina da secretaria da gerencia de operações.
Risco: medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará. Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será o risco associado a este incidente.
Apresentamos a seguir a interação dos diversos componentes de segurança:
Agentes Ameaçadores criam Ameaças que exploram Vulnerabilidade que gera um Risco que pode danificar Ativo e causar uma Exposição que são impedidas pelas Proteçõesque irá afetar diretamente os Agentes Ameaçadores.
Podemos concluir que um Problema de segurança é:
A perda de qualquer aspecto de segurança importante para minha organização.
E podem ser de diferentes tipos:
Desastres naturais
Operação incorreta: erro do usuário ou administrador do sistema.
Ataque ao sistema: visando algum lucro
Aula 2
O ciclo de vida da informação
Nesta aula vamos estudar a importância da informação, por que devemos protegê-la e seu ciclo de vida.   
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável.  
Para compreendermos melhor esta questão vamos ampliar nosso o conceito de dado e informação.  
Dados: é a coleta de matéria-prima bruta, dispersa nos documentos.
Informação: é o tratamento do dado, transformando em informação. Pressupõem uma estrutura de dados organizada e formal. As bases e banco de dados, bem como as redes sustentadas pela informação.
Conhecimento: é o conteúdo informacional contido nos documentos, nas várias fontes de informação e na bagagem pessoal de cada individuo.
Inteligência: É combinação destes três elementos resultante do processo de analise e validação por especialista. É a informação com valor agregado.
Percebe-se então certa hierarquia entre dado, informação e conhecimento, em que cada termo pode ser considerado como matéria-prima do termo seguinte, num crescente de agregação de valor.
Baixo valor agregado Alto valor agregado
Uso independente de pessoas ------------------------------------------------------------ Uso depende de pessoas
Foco disperso Dados Informação Conhecimento Foco pontual
Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo gerada e utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis hierárquicos, além de perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros.
Dados informação conhecimento ação Resultado
Ciclo de vida da informação
Desde o momento em que e gerada a informação tem um ciclo de vida dentro das corporações, passando por diversas etapas de interação até retornar ao seu ponto inicial.
Neste exemplo, segundo Sêmola, os órgãos (analogamente, ativos, físicos, tecnológicos e humanos), se utilizam de emsangue (analogamente, informação) para por em funcionamento os sistemas digestivo, respiratório , etc (analogamente, processos de negócio), para consequentemente, manter a consciência e a vida do individuo (analogamente, a continuidade do negócio).
Porque proteger a informação?
Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo gerada e utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis hierárquicos, além de perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros.
ESTRATÉGICO =========== FINANCEIRO
 Pelo seu valor
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Apresentamos a seguir quatro tipos possíveis de valor da informação:
Valor de uso – baseia-se na utilização final que se fará com a informação.
Valor de troca – é o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda)
Valor de propriedade – reflete o custo substitutivo de um bem;
Valor de restrição – surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas.
Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor.
Quando proteger a informação?
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantem a operação da empresa.
Armazenamento: momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocada em um arquivo de metal, ou ainda, em um pedrive depositado em uma gaveta, por exemplo.
Manuseio: momento em que a informação é criada em manipulada, seja ao folhear um maço de papeis, ao digitar informações recém-geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação.
Descarte: momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-Rom usado que apresentou falha na leitura.
Transporte: momento em que a informação é transportada, seja ao encaminhar informações por correios eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo.
Agora que você já sabe PORQUE e QUANDO proteger as Informações, veremos a seguir as respostas dos seguintes questionamentos:
Onde proteger as informações?
Nos ativos que as custodiam... 
Físicos: agenda, sala, arquivo, cofre.
Tecnológicos: sistema, servidor, e-mail, notebook.
Humanos: Funcionário, Parceiro, Secretária, Porteiro.
Do que proteger as informações?
Ameaças
Físicas: incêndio, inundação, curto circuito, apagão.
Tecnológicas: vírus, bug software, defeito técnico, invasão web.
Humanas: Sabotagem, fraude, erro humano, descuido.
Percebe-se então que a gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão dos negócios. Sendo essencial a utilização do Gerenciamento do ciclo de vida da informação, de forma a operacionalizar a informação e os dados, ou seja, organizar em meios físicos e com registros, categorizando-os para garantir a segurança e privacidade. 
Este método permite que os gestores de tecnologia e os administradores da corporação definam por quanto tempo esses dados ficarão disponíveis, quando efetivamente serão descartados e permite classificar a informação quanto a sua finalidade.
Informação sem Interesse (Lixo): É considerada uma parcela negativa inversamente proporcional à sua quantidade, em uma hipotética equação de valor para a finalidade da informação organizacional, e pode ser associada ao conceito de sobrecarga de informação. A relevância se manifesta através do impacto que a presença ou ausência da informação pode gerar no ambiente
Informação Potencial (Vantagem Competitiva): é dirigida principalmente para a direção da organização, apontando possíveis vantagens competitivas a serem conquistadas.
Informação Mínima (Gestão): é destinada originalmente aos gerentes de nível intermediário para a realização de atividades de gestão organizacional.
Informação Critica (Sobrevivência): Destina-se à sobrevivência da organização para atender prioritariamente às áreas operacionais.
Esta classificação permite identificar o grau de relevância e prioridade que a informação exerce em cada nível da organização.
Assim a aplicação do gerenciamento do ciclo de vida da informação traz uma série de benefícios à empresa:
Retenção de Despesas, Economia de recursos, Conscientização, Segurança de Informação.
Classificação da Informação
O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas.
Existem quatro aspectos importantes para a classificação das informações. Cada tipo de informaçãodeve ser examinado a partir desses aspectos:
Confidencialidade: a informação so é acessada pelos indivíduos autorizados.
Integridade: A informação é atual, completa e mantida por pessoas autorizadas.
Disponibilidade: A informação está sempre disponível quando necessária as pessoas autorizadas.
Valor: a informação tem um alto valor para a organização
Outros aspectos:
• Autenticidade – Garante que a informação ou o usuário da mesma é autêntico. Atesta com exatidão, a origem
do dado ou informação;
• Não repúdio – Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que
modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado.
• Legalidade – É a aderência de um sistema à legislação. Garante a legalidade (jurídica) da informação.
• Privacidade –Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. É a capacidade
de um usuário realizar ações em um sistema sem que seja identificado.
• Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação
foi submetida, identificando os participantes, os locais e horários de cada etapa.
Outro fator que deve ser considerado é o nível de ameaça conhecido que cada informação tem. Para isso devem ser respondidas questões como:
Existem concorrentes buscando informação?
É uma informação fácil de perder a integridade, ficar desatualizada?
É possível que ela fique indisponível e por qual motivo isso pode acontecer?
Com base na análise dos parâmetros anteriores, podemos chegar ao nível de segurança da informação. Um nivelamento de segurança pode seguir, por exemplo, a seguinte classificação:
Irrestrita : A informação é pública, podendo ser utilizada por todos sem causar danos à organização.
Interna : Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja disponibilizada ela não causa danos sérios à organização.
Confidencial : Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes.
Secreta : Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta é a informação considerada vital para a companhia.
O que devemos notar é que o nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade. Existem casos onde estes fatores se somam. Por exemplo, uma informação pode ter requisitos de confidencialidade média, mas a integridade alta. Assim o nível de segurança da informação deve ser definido levando em conta todos estes fatores em conjunto e não apenas um deles isoladamente. E para isso surte a próxima questão.
Quem é que define esse nível?
Para definir o nível de segurança da informação de cada setor da organização a pessoa mais indicada é o próprio responsável (Custodiante) daquele setor. Ele é quem certamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor.
Após esta classificação ser feita também é importante que alguém de um nível superior a ele esteja verificando a classificação para garantir que as informações que precisem transitar entre os diversos setores não sejam demais protegidas e isolada em um setor e também que as informações que não podem transitar estejam protegidas.
Aula 3
Vulnerabilidade de Segurança
A todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essas possibilidades aparecem, a quebra de segurança é consumada.
As vulnerabilidades estão presentes  no dia-a-dia das empresas e se  apresentam nas mais diversas áreas de uma organização.
Se partirmos do princípio de que não existem ambientes totalmente seguros, podemos afirmar que todos os ambientes empresariais são vulneráveis e muitas vezes  encontramos também vulnerabilidades nas medidas implementadas pela empresa. 
Mas, o que é vulnerabilidade?
É a fragilidade presente ou associada a ativos que manipulam ou processam informações que, ao ser explorada por ameaças (possível perigo que pode explorar uma vulnerabilidade), permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios de segurança da informação.
Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. As vulnerabilidades são as principais causas das ocorrências de incidentes de segurança.
As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou uma condição favorável que são as ameças.
Agentes Ameaçadores ---Exploram--- Vulnerabilidade -- Possibilitam -- Incidente de segurança --Afetam-- Negócios ---Impactam negativamente-- Clientes Produtos
Exemplos de vulnerabilidades...
Não existe uma única causa para surgimento de vulnerabilidade. A negligencia por parte dos administradores de rede e a falta de conhecimento técnico são exemplos típicos de vulnerabilidade, porém diferentes tipos de vulnerabilidade podem estar presente em diversos ambientes computacionais.
Físicas: os pontos fracos de ordem física são aqueles presentes nos ambientes em que estão sendo armazenadas ou gerenciadas as informações. Ao serem explorados por ameaças, afetam diretamente os princípios básicos da segurança da informação, principalmente a disponibilidade. Ex: - Instalações prediais fora dos padrões de engenharia; Salas de servidores mal planejadas; Falta de extintores, detectores de fumaça e de outros recursos para detecção e combate a incêndio.
Naturais: os pontos fracos naturais são aqueles relacionados as condições da natureza que podem colocar em risco as informações. Ex: incêndios, enchentes, terremotos, tempestades..
Hardware: São os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas que podem permitir o ataque ou a alteração dos mesmos. Ex: ausência de atualização de acordo com as orientações dos fabricantes dos programas utilizados; conservação inadequada dos equipamentos; falha nos recursos tecnológicos; erros durante a instalação.
Software: podem ser classificadas como vulnerabilidade de aplicativos ou de sistema operacional. Ex: Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários; A configuração e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal-intencionados.
Mídias: são as formas de utilização inadequadas dos dispositivos de armazenamento das informações, que podem deixar seu conteúdo vulnerável. EX: Discos, fitas, relatórios e impressos em geral podem ser perdidos ou danificados; Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas; Erro de fabricação.
Comunicação: abrange todo o trafego de informações, onde quer que transitem, seja por cabo, satélite, fibra óptica ou ondas de rádio. Ex: Acessos não autorizados ou perda de comunicação; A ausência de sistemas de criptografia nas comunicações; A má escolha dos sistemas de comunicação para envio de mensagens de alta prioridade da empresa 
Humanas: relaciona-se aos danos que as pessoas podem causar as informações e ao ambiente tecnológico que lhes oferece suporte, podendo ser intencional ou não é interna ou externa. Ex: Falta de treinamento; Compartilhamento de informações confidenciais; Falta de execução de rotinasde segurança; Erros ou omissões; Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.).
Análise Vulnerabilidades
A verificação das vulnerabilidades é essencial para garantir a segurança do sistema e da rede. A análise de vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas.
É realizada através de um levantamento detalhado do ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que a empresa fornece ou desempenha. Esta analise compreende todos os ativos da informação da empresa que abrange.
Tecnologias: Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores.
Ambiente: É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. 
Processos: Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização.
Pessoas: As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas.
Os testes de vulnerabilidade consistem na determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo.  O objetivo do teste é a identificação nas máquinas da rede alvo de: 
As portas do protocolo TCP/IP que encontram-se desprotegida (abertas);
Os sistemas operacionais utilizados;
Patches e service packs (se for o caso) aplicados
e os aplicativos instalados.  
Existem também diferentes tipos de vulnerabilidades que podem ser encontradas:
Bugs específicos dos sistemas operacionais/ aplicativos;
Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos;
Falhas nos softwares dos equipamentos de comunicações; 
Fraquezas nas implementações de segurança dos equipamentos de comunicação; 
Fraqueza de segurança/falhas  nos scripts que executam nos servidores web;
Falhas nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos.
Ferramentas para analise de Vulnerabilidades de segurança
Existem vários softwares para detectar vulnerabilidades e a cada dia com o avança das tecnologias surgem novas versões e novos produtos. 
Exemplos de ferramentas:
-Nmap: É um software livre que realiza a coleta de informações sobre as portas do protocolo TCP/IP. É muito utilizado para avaliar a segurança dos computadores, para descobrir serviços ou servidores e determinar o layout de uma rede de computadores. 
-Nessus: É um programa de verificação de falhas/vulnerabilidades de segurança, sendo composto por cliente e servidor. Tem como grande vantagem ser atualizado com frequência e possuir um relatório bastante completo. 
Além da analise de vulnerabilidade também é muito importante que o profissional de TI periodicamente realize uma pesquisa de vulnerabilidade sobre os produtos ou aplicações utilizadas em sua organização. 
Pesquisa de vulnerabilidade significa descobrir as falhas e deficiências em um produto ou aplicação que podem compromete a segurança. Quando um atacante encontra uma vulnerabilidade em um produto ou aplicação, ele tenta explora-la.
É importante realizar uma pesquisa de vulnerabilidade, porque auxilia os profissionais de segurança a:
-Identificar e corrigir vulnerabilidades de rede; 
-Proteger a rede de ser atacada por invasores;
-Obter informações que auxiliam a prevenir os problemas de segurança;
-Obter informações sobre vírus;
-Conhecer as fragilidades de redes de computadores;
-Conhecer os alertas de segurança antes de um ataque de rede;
-Conhecer como recuperar uma rede após um ataque. 
Exploit em segurança da informação, é um programa de computador, uma porção de dados ou uma sequencia de comandos que se aproveita das vulnerabilidades de um sistema computacional – como o próprio sistema operacional ou serviços de interação de protocolos (ex: servidores web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas.
Aula 4
Ameaças aos Sistemas de Informação
Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos motivados não só pela difusão da Internet, que cresceu de alguns milhares de usuários no início da década de 1980 para centenas de milhões de usuários ao redor do globo nos dias de hoje, como também  pela  democratização da informação.  A internet tornou-se  um  canal on-line para fazer negócios, porém  viabilizou  também a atuação dos ladrões do mundo digital, seja hackers ou leigos mal-intencionados. Proporcionou também  a propagação de códigos maliciosos, spam, e outros inúmeros inconvenientes que colocam em risco a segurança de uma corporação.
Outros fatores também contribuíram para impulsionarem o crescimento dos incidentes de segurança, tais como:
O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurança nos sistemas operacionais utilizados em servidores e estações de trabalho.
O processo de mitigar tais vulnerabilidades com a aplicação de correções do sistema, realizadas muitas vezes de forma manual e individual: de máquina em máquina.
A complexidade e a sofisticação dos ataques, que  assumem  as formas mais variadas, como, por exemplo: infecção por vírus, acesso não autorizado, ataques denial of service  contra redes e sistemas, furto de informação proprietária,  invasão de sistemas, fraudes internas e externas, uso não autorizado de redes sem fio, entre outras.
É a conjunção dessas condições que culmina  na parada generalizada de sistemas e redes corporativas ao redor do mundo.
Uma ameaça segundo a definição da RFC 2828, Internet security glossary, é:
Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
Segundo Marcos Sêmola, as ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de:
Confidencialidade
Integridade
Disponibilidade
Que causam impacto nos NEGÓCIOS.
Quando classificadas quanto a sua intencionalidade as ameaças podem ser:
Naturais: ameaças decorrentes de fenômenos da natureza, como incêndios, terremotos, tempestades e etc.
Involuntárias: ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia e etc.
Voluntárias: ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladroes, criadores e disseminadores de vírus de computadores, incendiários.
Códigos maliciosos (Malware)
Segundo o Wikipédia, o termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers,  bots, rootkits e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra citada.
Vírus
O vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outrosprogramas e arquivos de um computador. 
Para se tornar ativo  e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro .
Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário”, até alterar ou destruir programas e arquivos do disco.
Como uma máquina pode ser infectada? 
É preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como:
-Abrir arquivos anexados aos e-mails;
-Abrir arquivos do Word, Excel, etc;
-Abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos;
-Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquetes,pen drives, CDs, DVDs, etc;
-Ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado.
Worms
Programa capaz de se propagar automaticamente através de redes, enviando cópias  de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Geralmente o worm não  tem como consequência  mesmos danos gerados por um vírus, mas são  notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.
Cavalos de Tróia
São programas que parecem úteis mas tem código destrutivo embutido. Além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.
Normalmente é um programa, normalmente recebido como um “presente”, que além de executar  funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia:
•instalação keyloggers ou screenloggers; 
•furto de senhas e outras informações sensíveis, como números de cartões de crédito;
•inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;
•alteração ou destruição de arquivos.
Adware
É um tipo de software especificamente projetado para apresentar propagandas, seja através  de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos.
Spyware
Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas.
Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa.
Listamos abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou malicioso:
-Monitoramento de URLs acessadas enquanto o usuário navega na Internet;
-Alteração da página inicial apresentada no browser do usuário;
-Varredura dos arquivos armazenados no disco rígido do computador;
-Monitoramento e captura de informações inseridas em outros programas, como  processadores de texto;
-Instalação de outros programas spyware;
-Monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse
-Captura de senhas bancárias e números de cartões de crédito;
-Captura de outras senhas usadas em sites de comércio eletrônico.
Backdoors
Nome dado a programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim sem precisar recorrer aos métodos utilizados na invasão.  Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado.
A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto (através da Internet).  O backdoor  pode  ser incluído por um vírus, através de um cavalo de tróia ou pela a  instalação de pacotes de software.
Keyloggers
Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. As informações capturadas podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito.  Sua  ativação está condicionada a uma ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo, através de e-mails).  A contaminação por Keylogger, geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os Trojans.
Screenloggers
Formas mais avançadas de keyloggers  que além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado,  também são capazes de  armazenar a região  que circunda a posição onde o mouse é clicado.
Rootkits
Conjunto de programas que fornecem mecanismos  para esconder e assegurar a presença de um invasor.  O nome rootkit não indica que o conjunto de ferramentas que o compõem  são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades:
•programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;
•backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits); 
• programas para capturar informações na rede onde o computador está  localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
•programas para remoção de evidências em arquivos de logs;
•programas para mapear potenciais vulnerabilidades em outros computadores;
Bots e Botnets
Segundo a wikipédia, uma botnet é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores utilizando software de computação distribuída.
Potenciais Atacantes
Existem controvérsias  sobre o conceito e a nomenclatura  dos possíveis atacantes.
1.Hackers - Pessoa com amplo conhecimento de programação e noções de rede e internet.  Não desenvolvem vulnerabilidade, apenas copiam vulnerabilidades publicadas em sites especializados;
2.White-hats - Exploram os problemas de segurança para divulgá-los abertamente;
Crackers - Pessoas que invadem  sistemas em rede ou computadores apenas por desafio;
3. Crackers - Pessoas que invadem  sistemas em rede ou computadores apenas por desafio;
4.Black-hats - Usam suas descobertas e habilidades em benefício próprio, extorsão, fraudes, etc.
5.Pheakres - Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou  realizam chamadas sem tarifação;6.Wannabes - Ou script-kiddies são aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos;
7.Defacers - São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las;
Ameaças passivas x ativas:
Nós vimos que as ameaças podem ser classificadas quanto a sua intencionalidade e podem ser classificadas quanto a sua origem:
Interna
Externa
Ela pode ser interna, pois nem sempre o principal “inimigo” está fora da nossa empresa, como um hacker ou um cracker, mas sim dentro dela, como um funcionário mal intencionado ou muito insatisfeito, que geralmente possui livre acesso aos recursos disponíveis e que podem comprometer a integridade e a privacidade de informações estratégicas da empresa.
Segundo Stallings, na literatura os termos ameaças e ataque normalmente são usados para designar mais ou menos a mesma coisa:
Ameaça: potencial para violação da segurança quando há uma circunstancia, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
Ataque: um ataque a segurança do sistema, derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a politica de segurança de um sistema.
Podemos classificar os ataques como:
Passivo: possuem a natureza de bisbilhotar ou monitorar transmissões. O objetivo dos ataques passivos é obter informações que estão sendo transmitidas.
Ativo: envolvem alguma modificação do fluxo de dados ou criação de um fluxo falso. Os ataques ativos envolvem alguma modificação do fluxo de ados ou a criação de um fluxo falso e podem ser subdivididos em quatro categorias: disfarce, modificação de mensagem, repetição e negação de serviço.
Como proteger seu computador contra as ameças?
Segundo a cartilha de Segurança para internet do CERT.br, uma das formas de proteger um computador é:
Manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correções de segurança (patches) disponíveis aplicadas, para evitar que possuam vulnerabilidade.
Também é recomendada a utilização de antivírus, mantendo-os sempre atualizados, pois em muitos casos permite detectar e até mesmo evitar a propagação de um bot. Porém o antivírus só será capas de detectar bots conhecidos.
Ao final de nosso estudo podemos concluir que:
A tendência é que as ameaças ou ataques à segurança continuem a crescer não apenas em ocorrência, mas também em velocidade, complexidade e alcance, tornando o processo de prevenção e de mitigação de incidentes cada vez mais difícil e sofisticado. Novas formas de infecção podem surgir. Portanto,  é importante manter-se informado através de jornais, revistas e de sites sobre segurança e de  fabricantes de antivírus.
Aula 5
Com o avanço das tecnologias e a valorização da informação nas organizações, o profissional da área de TI necessita atualmente além de ter conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores, noção sobre psicologia dos atacantes, seus perfis de comportamento e motivações que os levam a realizar um ataque. 
Deverá também ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas deverão ser adotadas pela organização.
Para que um ataque ocorra, normalmente o atacante irá seguir os seguintes passos: 
Levantamento das informações:
A fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o alvo em avaliação antes do lançamento do ataque.
Existem duas formas de realizar o reconhecimento: ativo e passivo.
O reconhecimento passivo envolve a aquisição de informação sem interação direta com o alvo.
O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico por meio do help desk ou departamento técnico.
Exploração das informações
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping.
Obtenção de Acesso
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do alvo escolhido, o grau de conhecimento do atacante e o nível de acesso obtido. 
Nesta fase o atacante poderá obter acesso em nível de: sistema operacional, aplicação e rede.
Manutenção do Acesso
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-la de outros atacantes da utilização de “acessos exclusivos” obtidos através da utilização de “acesso exclusivos” obtidos através de rootkit, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da maquina atacada. Nesta fase o sistema atacado poderá ficar comprometido.
	
Camuflagem das Evidencias
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na maquina hospedeira, na utilização indevida dos recursos computacionais. Podemos citar como técnicas utilizadas nesta fase a esteganografia, o tunelamento e a alteração dos arquivos de log.
Principais tipos de ataque
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema.  Estes ataques podem ser classificados como:
Ataque para Obtenção de Informações
Neste tipo de ataque é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador.
Ataques aos Sistemas Operacionais
Os sistemas operacionais atuais apresentam uma natureza muito complexa devido a implementação de vários  serviços, portas abertas por padrão, além de  diversos  programas instalados. Muitas vezes a  aplicação  de patches e hotfixes não é tarefa  tão trivial devido a essa complexidade:  dos sistemas , da  rede de computadores ou ainda pela falta de conhecimento e perfil do profissional de TI.  Consequentemente os atacantes procuram e exploram as vulnerabilidades existentes nos sistemas Operacionais para obter acesso para o sistema de rede da organização.   
Ataques a Aplicação
Na maioria das vezes para conseguir entregar os produtos no prazo acordado, os desenvolvedores de software tem um tempo de desenvolvimento do produto muito curto.  Apesar de muitas organizações utilizarem metodologias baseadas na engenharia de software, as aplicações  muitas vezes são desenvolvidas com um grande número de funcionalidades e Recursos,  seja para cumprir prazos ou por falta de profissionais qualificados, não  são realizados  testes antes da  liberaração dos  produtos.
 Além disso, normalmente as caracteristicas de segurança da aplicação são oferecidas posteriormente ou muitas das vezes como um componente “add-on”. A não existência de controles de erros nas aplicações podem levar a ataques por exemplo, de buffer overflow.
Ataques de códigos pré-fabricados (shrink wrap code)
Por que reinventar a roda se existem uma série de exemplos de códigos já prontos  para serem executados?  Quando um administrador de sistemas instala um sistema operacionalou uma aplicação, normalmente já existem uma série de scripts prontos, que acompanham a instalação e que tornam o trabalho dos administradores mais fácil e mais ágil. 
Normalmente o problema na utilização destes scripts, é que  não passaram por um processo de refinamento e customização  quanto as reais necessidades de cada administrador  e quando utilizado em sua versão padrão podem  então conduzir a um ataque do tipo shrink wrap code, ou seja o atacante utiliza possível falhas de segurança nestes scripts para realizar o ataque.
Ataques de configuração mal feita (miscongiguration)
Muitos sistemas  que deveriam estar fortemente seguros, podem   apresentam vulnerabilidades caso não tenham sido configurados adequadamente. Com a complexidade dos sistemas atuais os administradores podem não ter os conhecimentos e recursos necessários para corrigir ou perceber um problema de segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam configurações simples. Para aumentar a probabilidade de  configurar um sistema adequadamente os administradores devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional, evitando que algum serviço ou software não necessário  possa ser explorado.
Principais tipos de ataque:
Packet Sniffing 
Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede. Este tipo de ataque também é conhecido como  espionagem passiva  e sua utilização diminuiu muito com a utilização de switches no lugar dos hubs.
Port Scanning
Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta.
Saiba mais: A utilização de firewalls contribui muito para evitar esse tipo de ataque. Pois além de limitar as portas que poderão ser acessadas, podemos definir os estados das conexões tcp que serão aceitos. Podemos, por exemplo, definir que para a porta 21, somente o endereço IP xpto.xpto.xpto.xpto poderá acessar.
Como funciona o Port Scanning ?
Um dos métodos de se implementar um port scanning é a partir do protocolo TCP e através da primitiva connect() onde a system call connect() é utilizada para abrir uma conexão nas portas do alvo. Se a porta estiver aberta, a system call retornará com sucesso.   
Scanning de vulnerabilidades
Após mapear os sistemas que podem ser atacados e os serviços que são executados, o atacante irá mapear as vulnerabilidades específicas para cada serviço através da utilização de um software de  scanning de vulnerabilidades.
Estes softwares possuem diversos padrões e testes para detectar vulnerabilidades.  Seu  principal alvo são aplicativos desatualizados, por exemplo:
 A versão de algum software utilizado na sua organização na qual foram achadas falhas críticas de segurança mas que a equipe técnica, por não saber dessas falhas não atualizou a versão do mesmo.
Ip Spoofing
Nesta técnica o endereço IP real do atacante é alterado, evitando assim que ele seja encontrado. Sistemas que possuem a segurança baseada em lista de endereço IP são o principal alvo desse tipo de ataque, onde o atacante se passa por um usuário legítimo.
Você sabia: A melhor forma de tentar se proteger desse tipo de ataque é com a aplicação de filtros, de acordo com as interfaces de rede onde os IPs são validados e as interfaces de rede por onde trafegam também.
SYN Flooding
Este tipo de ataque  explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma  um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas.
A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.
Para relembrar:
Three-way-handshake
O protocolo TCP é um protocolo confiável, pertencente a  pilha de protocolos TCP/IP. Para que ocorra troca de dados entre dois computadores é necessário que as duas máquinas estabeleçam uma conexão.  Essa conexão é virtual e é conhecida como uma sessão e ocorre através de um processo chamado handshake de três vias, pois ocorre em três etapas.   Esse processo sincroniza os números de seqüência e fornece outras informações necessárias para estabelecer a sessão:
O cliente manda uma requisição (SYN).
O servidor responde com SYN-ACK (quer dizer que aceitou o protocolo e estabelece a conexão).
O cliente envia as informações em forma de “pacotes”.
Fragmentação de pacotes IP
Os pacotes do protocolo TCP/IP possuem um campo MTU (maximum transfer unit) que especifica a quantidade máxima de dados que podem passar em um pacote por um meio físico da rede.  Este tipo de ataque  utiliza-se dessa característica devido ao modo como a fragmentação e o reagrupamento são implementados. Os sistemas não tentam processar o pacote até que todos os fragmentos sejam recebidos e reagrupados, isso cria a possibilidade de ocorrer um overflow na pilha do protocolo TCP quando há o reagrupamento dos pacotes.
Atenção: Esse tipo de ataque não pode ser evitado por meio da implementação de filtro de pacotes, apenas com a aplicação de correções no kernel do sistema operacional. Os atuais sistemas operacionais já lidam com esse problema.
Fraggle
Consiste em enviar um excessivo numero de pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vitima desejada. Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vitima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais.
Smurf
O ataque smurf é idêntico ao ataque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
Dica: Para evitar esse tipo de ataque o roteador não deve permitir esse tipo de comunicação para endereços broadcast por meio de suas interfaces de rede.
SQL Injection
Um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
Buffer Overflow
Conseqüência direta de péssimos hábitos de programação. Consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.
Ataque físico
Muitas vezes as organizações investem em equipamentos do tipo  firewalls e anti-vírus e pensam que estão protegidos e esquecem que os ataque não ocorrem somente pela rede de computadores. As salas aonde ficam os servidores e os equipamentos de rede devem ter um controle rígido de acesso, assim como os arquivos com dados sigilosos ou sensíveis. Um ataque físico também pode ocorrer em instâncias menores como roubo da fita magnética de backup, através da conexão de dispositivos USB, ou ainda por acesso  as informações sigilosas.
Atenção: Funcionários insatisfeitos e que possuem acesso as informações podem copiar dados sigilosos e distribui-los a concorrência ou realizar outros propósitos maléficos.
Dumpster diving ou trashing
Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos,  senhas e outros  dados importantes)  sejam triturados ou destruídos de alguma forma.
Engenharia Social
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É  um dos meios mais utilizados de obtençãode informações sigilosas e importantes. 
Isso ocorre pois a maioria da empresas não possui métodos que protejam seus funcionários das armadilhas de engenharia social. 
Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. 
Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas.
Phishing Scam
Phishing, também conhecido como phishing scam ou phishing/scam, é um método de ataque que se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular.
Dica: Novas formas de phishing estão sempre surgindo, portanto é muito importante que os profissionais de TI e segurança se mantenham informados sobre os tipos de phishing que veem sendo utilizados pelo fraudadores, através dos veículos de comunicação.
Ataque de negação de serviço (DoS)
Um ataque de negação de serviço (também conhecido como DoS é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. 
Normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis.  Neste tipo de ataque não ocorre uma invasão no sistema mas a sua invalidação por sobrecarga.  Estes tipos de ataques podem ser realizados de duas formas:
-Forçando o sistema alvo a  reinicializar ou consumir todos os seus recursos (como memória ou processamento)  de forma a não poder mais fornecer seu serviço.
-Obstruindo  a mídia de comunicação entre os clientes  e o sistema alvo de forma a não comunicarem-se adequadamente.
Ataques coordenados (DDoS)
Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço.
Como o ataque funciona??
-Consiste em fazer com que os Zumbis se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. 
-Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. 
-Como servidores web possuem um número limitado de usuários que pode atender simultaneamente, o grande e repentino número de requisições de acesso faz com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.
Existem uma série de vírus e ferramentas que foram criadas para a distribuição de rotinas de ataque de negação de serviço:
Virus: MyBalls, Slammer, Codered, MyDoom
Virus / Ferramentas: DoS/DDoS
Ferramentas: Fabu, Trin00, Bliznet, Shaft, TFN
Sequestro de conexões
As conexões do protocolo TCP são definidas por quatro informações essenciais: 
-endereço IP de origem;
-porta TCP de origem;
-endereço IP do destino;
-porta TCP do destino. 
Todo byte enviado por um host é identificado com um número de seqüência que é conhecido pelo receptor. O número de seqüência do primeiro byte é definido durante a abertura da conexão e é diferente para cada uma delas.
Neste tipo de ataque um terceiro host, do atacante, cria os pacotes com números de seqüencias válidos, colocando-se entre os dois hosts e enviando os pacotes válidos para ambos.
Voce sabia? Foram realizadas implementações no protocolo TCP/IP que praticamente inviabilizou esse tipo de ataque, que se tornou famoso por ter sido utilizado pelo Mitnick em conjunto com outras técnicas.
Source Routing
Mecanismo legítimo que foi especificado para o protocolo  IP, mas que pode ser explorado de forma ilícita. Neste tipo de ataque  define-se uma rota reversa para o tráfego de resposta, em vez de utilizar algum protocolo de roteamento padrão.
Dica: A melhor forma de evitar esse tipo de ataque é bloqueando a utilização da opção source routing, visto que normalmente não é utilizada.
Aula 6
Gestão de Riscos em Segurança da Informação
Risco
Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades.Instituto Brasileiro de Governança Corporativa.
Segundo a norma ABNT NBR ISO 31000:2009- Gestão de Risco, Princípios e Diretrizes, as organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.
“Ao longo de todo esse processo, elas comunicam e consultam as partes interessadas e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido.”
Como estabelecer o contexto de risco
Segundo Beal, os termos e definições do ISO guide 73, dizem respeito a todo e qualquer tipo de situação (ou evento) que constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento.  Como ele está estruturado de uma forma genérica e básico para o entendimento comum a organizações de diversos países, é necessário algumas adaptações para atender às necessidades dentro de um domínio específico.
Por exemplo, para as empresas do ramo do comércio/indústria, o risco  é visto como  a exposição às perdas baseada nas freqüências estimadas e custo de concorrência. Já em um organização da área de saúde, segundo a  resolução CNS 196/96, o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social, cultural.
Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover ajustes na terminologia adotada, alterando-a e expandindo-a na medida do necessário para tratar a questão dentro do escopo que está sendo estudada.
Alguns termos e definições:
Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.
Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco.
Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.
Incidente: Quando uma ameaça se concretiza.
Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes.
Risco: Probabilidade de uma ameaça explorar uma (ou várias)  vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. 
Sua escala é dada por dois fatores:
Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades;
Conseqüências trazidas pela ocorrência do incidente (impacto);
Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação, cujo valor compõe o cálculo da estimativa do risco.  Em muitos casos, a probabilidade associada a uma ameaça é calculada com base na frequência de ocorrência ; em outros, quando dados de frequência não estão disponíveis, a probabilidade pode ser estimada com baseno grau de confiança atribuído a ocorrência .
Os riscos não podem ser completamente eliminados e a porção do risco existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.
As medidas de proteção também chamada de controles, servem para elimar ou reduzir o risco, reduzindo a probabilidade de concretização de uma ameaça, as vulnerabilidades que podem ser exploradas por essa ameaça ou os impactos advindos de incidentes que venham a se concretizar.
Risco percebido: forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e prioridades.
Os riscos não podem ser completamente eliminados e a porção do risco existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.
Nem sempre o risco percebido é o risco verdadeiro.
Gestão de Riscos
Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa. O que torna algo seguro ou não, está muito mais ligado à gerência de uma série de fatores do que à compra ou implementação de uma solução de software ou hardware definitiva.  No âmbito da segurança da informação, a gestão de riscos é utilizada  com o intuito de prevenir incidentes e melhorar o nível de segurança das informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), sendo um  dos  componentes mais importantes. É por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua.
Entender os riscos associados com o negócio e a gestão da informação.
Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações.
Melhorar a eficácia no controle de riscos
Manter a reputação e imagem da organização.
Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser:
Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
Conformidade legal e a evidência da realização dos procedimentos corretos;
Preparação de um plano de continuidade de negócios;
Preparação de um plano de resposta a incidentes;
Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo.
Você sabia?
Segundo a norma  AS/NZS 4360 (primeira norma do mundo), podemos definir a gestão de risco como: 
 “Cultura, estruturas e processos voltados ao reconhecimento de oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos adversos.” 
 
E segundo a norma NBR ISO 27002: 
 “Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o risco”. 
Primeira norma do mundo sobre Gestão de Riscos: AS/NZS 4360:2004
Etapas da Gestão de Risco
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do PDCA (ciclo de desenvolviemnto que tem foco na melhoria, conhecido também como ciclo Shewhart, ciclo de Deming), que nos permite entender a gestão do Risco como um processo continuo:
Identificar e avaliar os riscos Selecionar, implementar, e operar controles para tratar os riscos verificar e analisar criticamente os riscos manter e melhorar os controles 
PDCA (Plan, Do, Check, Act)
O ciclo começa pelo planejamento, em seguida a ação ou conjunto de ações planejadas são executadas, checa-se se o que foi feito estava de acordo com o planejado, constantemente e repetidamente (ciclicamente), e toma-se uma ação para eliminar ou ao menos mitigar defeitos no produto ou na execução. Os passos são os seguintes:
Plan (planejamento) : estabelecer uma meta ou identificar o problema (um problema tem o sentido daquilo que impede o alcance dos resultados esperados, ou seja, o alcance da meta); analisar o fenômeno (analisar os dados relacionados ao problema); analisar o processo (descobrir as causas fundamentais dos problemas) e elaborar um plano de ação.
Do (execução) : realizar, executar as atividades conforme o plano de ação.
Check (verificação) : monitorar e avaliar periodicamente os resultados, avaliar processos e resultados, confrontando-os com o planejado, objetivos, especificações e estado desejado, consolidando as informações, eventualmente confeccionando relatórios. Atualizar ou implantar a gestão à vista.
Act (ação): Agir de acordo com o avaliado e de acordo com os relatórios, eventualmente determinar e confeccionar novos planos de ação, de forma a melhorar a qualidade, eficiência e eficácia, aprimorando a execução e corrigindo
Uma forma mais detalhada e que facilita a análise do processo de gestão de risco é apresentada a seguir, cobrindo todo o ciclo de vida do risco, desde a sua identificação até a sua comunicação às partes envolvidas:
Análise e avaliação dos riscos 
Cobre todo o processo de identificação das ameaças e estimativa de risco. Inicia-se com a identificação dos riscos e seus elementos, já estudados anteriormente:
Alvos Agentes Ameaças Vulnerabilidades Impactos
A decomposição do risco (na figura anterior)  e seus componentes e a posterior avaliação da “características mesuráveis” desses componentes levam a uma estimativa do valor do risco, que pode depois ser comparado com uma referência para que sua relevância seja determinada, possibilitando a tomada de decisão quanto a aceitá-lo ou tratá-lo.
Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que costumam ser classificadas como:
Quantitativa: A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras. Os métodos quantitativos costuma ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade.
Qualitativa: Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. O que torna o processo mais rápido. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Vários métodos de avaliação qualitativa do risco utilizam questionários e matrizes de risco.
Tratamento dos Riscos
Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação possível é:
Medidas Preventivas: Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo; sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
Medidas corretivas ou reativas: Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento.
Métodos Detectivos: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
Aceitação do risco
Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de trata-lo.
Comunicação do risco
Divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisem ter conhecimento a respeito deles.  Uma das melhores formas de se comunicar os riscos de maneira genérica, com o intuito de notificar os colaboradores a respeito deles, é desenvolver e manter campanha de conscientização de segurança.
A gestão do risco precisa ser desenvolvida de forma permanente e iterativa, para que mudanças nos sistemas e na forma como são usados, no perfil dos usuários, no ambiente,na tecnologia, nas ameaças, nas vulnerabilidades e em outras variáveis pertinentes não tornem obsoletos os requisitos de segurança estabelecidos. Esta etapa consiste na verificação continua, supervisão, observação critica ou determinação da situação visando identificar alteração no nível de desempenho requerido ou esperado dos riscos.
Riscos, medidas de segurança e o ciclo de segurança
Segundo Sêmola, para um melhor entendimento da amplitude e complexidade da segurança, é comum estudarmos os desafios em camadas ou fases para tornar mais claro o entendimento de cada uma delas. Estas fases são chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita integração e interação:
Barreira 1: Desencorajar
Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase.
Barreira 02: Dificultar
O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
Barreira 03: Discriminar
Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados.
Barreira 04: Detectar
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo.
Barreira 05: Deter
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
Barreira 06: Diagnosticar
Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo.  Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos.
Equação do risco
Cada negócio, independente de seu segmento de mercado possui dezenas  ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco. 
 
O risco é a probabilidade de que agentes, que são as ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impacto nos negócios. 
Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo , assim o risco.
R = V x A x I
R= risco 
V= Vulnerabilidade
A= Ameaças
I= Impactos
M= Medidas de segurança
Por melhor que estejam protegidos os ativos, novas tecnologias, mudanças organizacionais e novos processos podem criar vulnerabilidades ou identificar e chamar atenção para as já existentes. Além disso, novas ameaças podem surgir e aumentar significativamente a possibilidade de impactos no negócio. 
É fundamental que todos tenhamos a consciência de não existe segurança total, e por isso, devemos estar bem estruturado para suportar  mudanças nas variáveis da equação, reagindo com velocidade e ajustando o risco novamente aos padrões pré-especificados como ideal para o negócio e lembrando que sempre será necessário avaliar o nível de segurança apropriado para cada momento vivido pela empresa.  
Aula 7
Segurança da Informação Segundo a NBR ISO/IEC 27002 (antiga ISO 17799)
ISO é uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva.
Como o Brasil participa da ISSO?
Através da ABNT que é uma sociedade privada sem fins lucrativos. Foi fundada em 194- para fornecer a base necessária ao desenvolvimento tecnológico brasileiro e é o órgão responsável pela normalização técnica no pais.
Existem vários grupos participantes da ABNT sobre os mais variados temas. No caso da informática o grupo responsável pela discussão das normas é o CB-21 – Computadores e Processamento de Dados. Este grupo tem como objetivo a normalização no campo de computadores e processamento de dados compreendendo automação bancaria, comercial, industrial e do controle de acesso por bilhetes codificados; automação e informática na geração, transmissão e distribuição de dados; segurança em instalações de informática, técnicas criptográficas, gerenciamento em OSI; protocolo de serviços de níveis interiores e cabos e conectores para redes locais, no que concerne a terminologia, requisitos, métodos de ensaio e generalidades.
27000 – Descrição e Vocabulário – proporciona terminologia e correspondência entre as normas 27000.
27001 – Requisitos SGSI – proporciona os fundamentos de um SGSI
27002 – Código de práticas – proporciona as melhores praticas de controle para implantação do SGSI.
27003 – Guia para implantação – proporciona diretrizes detalhadas para a implantação de um SGSI
27004 – Proporciona a metodologia para a mediação da efetividade do SGSI (27001) e dos controles (27002)
27005 - Gestão de riscos – proporciona uma metodologia para uso do SGSI (27001)
27006 - Requisitos para Acreditação – proporciona os requisitos para acreditação de organismos de certificação e de auditores para fins de certificação de SGSI (27001)
27007 – Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação.
27008 – Orientações para Auditores de Sistema de Segurança da Informação.
Saiba Mais
Entre as organizações que produzem padrões internacionais estão a IEC e a ISO.
Segundo a NBR ISO/IEC27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais.
Requisitos de Negócio: uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negocio para processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
Analise de Risco: a partir da analise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
Requisitos Legais: Legislação vigente, estatutos, regulamentação e clausulas contratuais que a organização, seus parceiros comercias, contratados e provedores de serviço tem que atender.
Analisando/avaliando os riscos de segurança da informação
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma analise/avaliação sistemática dos riscos de segurança da informação. Os resultados desta analise ajudarão a direcionar e a determinar as ações gerenciais apropriadas, as prioridades para o gerenciamento dos riscos da segurança da informação e a implementação dos controles selecionados para a proteção contra estes riscos.
Após a identificação dos requisitos e dos riscos de segurança da informaçãoe as decisões para o tratamento dos riscos tenham sido tomadas, os controles apropriados devem ser selecionados e implementados par assegurar que os riscos sejam reduzidos a um nível aceitável.
Já a norma NBR ISO/IEC 27001 orienta como uma organização deve se relacionar com a gestão de risco ao estabelecer seu Sistema de Gestão de Segurança da Informação – SGSI. Após definição da politica de segurança a organização deve adotar uma abordagem para analise/avaliação de riscos da organização:
A organização deve identificar uma metodologia de analise de risco que seja adequada ao seu SGSI e aos requisitos legais, regulamentares e de segurança da informação identificados em seu negócio.
E desenvolver critérios para aceitação de riscos e identificar os níveis aceitáveis de risco.
Gestão de risco segundo a norma NBR ISO/IEC 27001
A organização deve identificar os riscos, nesta fase deverão ser identificados:
Os ativos e seus proprietários dentro do escopo do SGSI;
As ameaças e vulnerabilidade destes ativos;
Os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
Após a fase de identificação deverão ser analisados e avaliados os riscos levantados. Assim será possível:
Avaliar os impactos para o negocio da organização que podem resultar de falhas de segurança;
Avaliar a probabilidade real da ocorrência de falhas de segurança em relação as ameaças e vulnerabilidade identificas, o impacto decorrente e os controles atualmente implementados.
Na próxima etapa a organização deverá identificar e avaliar as opções para tratamento dos riscos que incluem:
Aplicar os controles apropriados;
Aceitar os riscos desde que satisfaçam as politicas da organização e aos critérios de aceitação do risco;
Evitar os riscos;
Transferir os riscos associados ao negócio a outras partes. (Fazer um seguro por exemplo);
E finalmente selecionar os objetivos de controles e controles para o tratamento dos riscos:
Os objetivos de controles e controles devem atender aos requisitos identificados pela analise/avaliação de risos e pelo processo de tratamento de riscos;
A seleção deve considerar os critérios para a aceitação de riscos com também os requisitos legais, regulamentares e contratuais.
Politica de segurança
A norma NBR ISO/IEC 27002 prove uma orientação de como a organização deve proceder para estabelecer a politica de segurança da informação:
A direção da organização deve estabelecer a orientação da politica alinhada com os objetivos do negocio;
A direção deve demonstrar seu apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma politica de segurança da informação para toda a organização.
Porque a politica de segurança é importante?
Serve como linha-mestra para todas as atividades de Segurança da Informação desempenhadas em uma organização, pois descrevem quais são os objetivos que todas as atividades ligadas a Segurança da Informação devem trabalhar para atingir. Demonstra também o comprometimento da alta direção.
Segundo a NBR ISO/IEC 27002 a politica de segurança pode ser parte de um documento da politica geral. Normalmente o documento de politica geral é dividido em vários documentos, que são agrupados e estruturados em virtude do nível de detalhes requeridos, facilitando o desenvolvimento e a manutenção dos documentos e normalmente são divididos em:
Diretrizes Normas - Procedimentos
Diretrizes – as diretrizes são as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar a sua gestão de acordo com a visão estratégica de alta direção. Servem como base para a criação das normas e procedimentos.
Normas – as normas especificam no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes.
Procedimentos – Os procedimentos detalham no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela norma.
A NBR ISO/IEC 27002 orienta também que seja realizada a analise critica da politica de segurança em intervalos regulares ou quando alguma mudança significativa ocorrer de forma a assegurar a eficácia e adequação da politica. A analise critica ocorre com a revisão periódica de todo o ciclo de vida da segurança da informação dentro da organização levando em consideração as mudanças que podem ocorrer no ambiente organizacional, nos processos de negócio e nas condições legais da organização.
Organizando a segurança da informação
A norma NBR ISO/IEC 27002 prove uma orientação de como a organização deve proceder para gerenciar a segurança da informação na organização:
Internamente
Através do comprometimento da direção;
Através do estabelecimento da coordenação da segurança da informação;
Da distribuição de responsabilidade para a segurança da informação.
Externamente
Identificação dos riscos relacionados com partes externas
Identificação da segurança antes de conceder aos clientes o acesso aos ativos da organização
Identificação da segurança nos acordos com terceiros
A direção da organização deverá apoiar ativamente a segurança da informação, através de um claro direcionamento, demonstrando seu comprometimento e definindo atribuições. 
Um exemplo do comprometimento da direção está na publicação da politica e no estabelecimento de um grupo da segurança da informação. Este grupo poderá ser implementado através da criação de uma gerencia ou coordenação, um comitê ou ambos. Existem discussões a respeito do melhor modelo que uma empresa deve adotar, sendo entretanto muito particular de cada empresa, dependendo do seu tamanho, modelo organizacional e orçamento.
O fator chave para o sucesso da implantação da segurança será definido pelo tipo de autonomia que o grupo de segurança terá em relação as outras áreas, porém sempre ligados a missão da empresa, podendo ter sua missão restrita:
Ao ambiente tecnológico, executando suas funções subordinadas a área de tecnologia da informação (TI).
Ao ambiente normativo, sendo responsáveis pela definição de normas e padrões organizacionais, voltados a TI e também a outras áreas;
Ao ambiente estratégico, tratando a segurança da informação num sentido mais amplo. Seu nível de subordinação é ao CEO ou a um profissional com atribuições equivalentes.
Gestão de Ativos
A norma NBR ISO/IEC 27002 orienta que a organização deve realizar e manter a proteção adequada dos ativos da organização, além de assegurar que a informação receba um nível adequado de proteção.
Mas como implementar?
A organização deverá inventar todos os ativos de deverá ainda definir um proprietário responsável. Neste inventario deverão ser incluídas todas as informações necessárias que permitam recuperar de um desastre. Estas informações incluem: o tipo do ativo, formato, localização, informações sobre cópia de segurança, informações sobre licenças, a importância do ativo para o negocio assim como a sua classificação de segurança. O proprietário de um ativo pode ser designado para:
Um processo de negócio;
Um conjunto de atividades definidas;
Uma aplicação;
Um conjunto de dados definido.
Segundo a norma NBR ISO/IEC 27002 existem vários tipos de ativo: de informação, de software, físicos, de serviços, pessoas e intangíveis. A norma orienta também que seja realizada a classificação da informação da organização para o devido tratamento das informações que os ativos irão manusear a informação.
Segurança em recursos humanos
A norma NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papeis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos.
É importante que a responsabilidade pela segurança da informação seja atribuída antes da contratação e que todos os funcionários, fornecedores e terceiros, assinem acordos sobre seus papeis e responsabilidadespela segurança da informação. Consequentemente é essencial que a organização documente os papeis e responsabilidades existentes de acordo com a politica de segurança da organização.
Vale ressaltar que a preocupação com a segurança deverá ocorrer no momento da: seleção, contratação, encerramento ou mudança da contratação. E a organização deverá ainda preocupar-se com a conscientização, educação e treinamento em segurança da informação, de forma que todos os funcionários e, quando necessário, fornecedores e terceiros recebam treinamentos apropriados em conscientização e atualizações regulares na politicas e procedimentos organizacionais relevantes para suas funções.
Segurança física e do ambiente
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. As áreas criticas ou sensíveis deverão ser mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados de forma a não permitir o acesso não autorizado, danos ou interferências.
Deverão ser estabelecidos controles nas entradas físicas das áreas a serem protegidas de forma que somente as pessoas autorizadas tenham acesso. Deverão se levadas em consideração também a aplicação de níveis de segurança para os escritórios, salas e instalações.
Além da segurança física ao ambiente, a norma prevê a segurança dos equipamentos de forma a impedir perdas, danos, furto ou roubo, ou o comprometimento de ativos e interrupção das atividades da organização. Desta forma e recomendável que os equipamentos sejam protegidos contra as ameaças físicas e do meio ambiente, já estudadas nas aulas anteriores.
Gerenciamento das operações e comunicações
A norma NBR ISO/IEC 27002 orienta que a organização deve garantir a operação segura e correta dos recursos de processamento da informação. Para isso dever implementar procedimentos e responsabilidades, operacionais assim como a documentação dos procedimentos de operação. Para que as modificações nos recursos de processamento da informação e sistemas sejam controlados, os sistemas operacionais e aplicativos devem estar sujeitos a um rígido controle de gestão de mudanças. É importante também que as funções e áreas de responsabilidades seja segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização.
Os recursos dos ambientes de desenvolvimento, teste e produção devem estar separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais, além da implementação de acordos de entrega de serviços terceirizados para garantir que os serviços entregues atendem a todos os requisitos acordados com os terceiros.
Para proteger a integridade do software e da informação deverá ser implementado proteção contra códigos maliciosos e códigos móveis não autorizados, além do estabelecimento de procedimentos de rotina para a geração de copias de segurança assim como a gerencia e o controle adequado das redes de forma a protege-las contra ameaças e manter a segurança de sistemas e aplicações, incluindo a informação em transito.
Controle de Acesso
A norma NBR ISO 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação.
 
Desta forma é importante que as regras de controle de acesso e direitos para cada usuário ou grupo de usuário sejam expressas claramente na politica de controle de acesso logico e físico. Para assegurar o acesso de usuário autorizado e prevenir o acesso não autorizado, procedimentos formais devem ser implementados para controlar a distribuição dos direitos de acesso a sistemas de informação e serviços e que cubram todas as fases do ciclo de vida de acesso do usuário. Deve ser realizado o gerenciamento dos privilégios e das senhas do usuário.
A organização deve conscientizar seus usuários sobre suas responsabilidades para garantir o controle efetivo de acesso, principalmente em relação ao uso de senhas e de segurança dos equipamentos de usuários.
Desenvolvimento e Manutenção de Sistemas
A norma NBR ISO 27002 orienta que a organização deve garantir que segurança é parte integrante de sistemas de informação seja na aquisição, desenvolvimento ou manutenção de Sistemas de Informação. Desta forma os requisitos de segurança devem ser identificados e acordados antes do desenvolvimento ou implementação de sistemas de informação na fase de definição de requisitos de negócios. 
Para prevenir as ocorrências de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações, devem ser incorporados controles apropriados no projeto de aplicações como forma de assegurar o processamento correto na validação dos dados de entrada, no controle de processamento interno e na validação de dados de saída:
Validação dos dados de entrada
Entrada duplicada, valores fora de faixa ou caracteres inválidos;
Dados incompletos ou faltantes;
Volume de dados excedendo limites superiores ou inferiores;
Procedimento para tratar erros de validação.
Controle do processamento interno
Garantia de que os riscos de falhas de processamento que levem a perda de integridade sejam minimizados.
Procedimentos para evitar que programas rodem na ordem errada ou continuem rodando após uma falha de processamento.
Implementação de técnicas de consistência (hash) para registros e arquivos;
Proteção contra ataques usando buffer overflow;
Validação dos dados de saída
Verificações de plausibilidade (Qualidade de ser plausível, de ser admissível).
Procedimentos para responder aos testes de validação dos dados de saída;
Criação de um registro de atividades de validação dos dados de saída;
A norma estabelece também o desenvolvimento de uma politica para atualização de controles criptográficos de forma a proteger a confidencialidade, a autenticidade ou a integridade das informações e a implementação de uma politica de acesso aos arquivos do sistema e ao código fonte dos sistemas.
Outra abordagem é sobre a segurança no processo de desenvolvimento e de suporte dos aplicativos e informações. Desta forma é conveniente que as organizações controlem os ambientes de projeto e de suporte e que as solicitações de mudanças de software, hardware ou funcionalidade sejam analisadas criticamente para verificar se irão comprometer a segurança do sistema ou do ambiente operacional. A norma recomenda ainda a implementação da gestão de vulnerabilidades técnicas de forma efetiva e sistemática.
Saiba mais
A norma NBR ISO/IEC 10007 trata sobre gestão de configuração, a norma NBR ISO/IEC 12207 trata sobre o processo de ciclo de vida de software e a NBR ISO/IEC 15408 que trata sobre o desenvolvimento seguro de software.
Gestão de incidentes de segurança da informação:
 A norma NBR ISO 27002 orienta que a organização deve assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. 
Desta forma devem ser estabelecidos procedimentos formais de registro e todos os funcionários, fornecedores e terceiros devem estar conscientes sobre estes procedimentos para notificação dos diferentes eventos e fragilidades que possam ter impactos na segurança dos ativos da organização. A norma sugere ainda que um processo de melhoria continua deve ser implementado as respostas, monitoramento, avaliação e a gestão de incidentes.
Gestão da Continuidade do Negócio:
 A norma NBR ISO 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
Desta forma deveráimplementar um processo de continuidade do negócio, aderente a segurança da informação da organização, para minimizar o impacto sobre a organização e recuperar perdas e ativos da informação a um nível aceitável através da combinação de ações de: prevenção e recuperação.
Como implementar?
Identificação dos processos críticos;
Realização de uma analise de impacto dos negócios, através da medição das consequências de desastres, das falhas de segurança, das perdas de serviços e disponibilidade dos serviços.
Realização de analise de risco.
Em função dos resultados da analise de risco, um plano estratégico deverá ser desenvolvido para determinar abordagem a ser adotada para a continuidade dos negócios. E uma vez validade pela direção, deverão ser desenvolvidos e implementados os planos de manutenção e recuperação das operações.
Etapas da implementação:
Identificação das responsabilidades e procedimentos de continuidade do negocio;
Identificação da perda aceitável de informação e serviço;
Implementação dos procedimentos para a restauração e recuperação das operações do negocio e da disponibilidade da informação nos prazos necessários.
Documentação dos processos e procedimentos acordados;
Treinamento do corpo funcional nos procedimentos, processos definidos, incluindo o gerenciamento de crise;
Teste e atualização dos planos.
É necessário também que seja mantida uma estrutura básica de planejamento para a continuidade de negocio de forma a assegurar que todos os planos são consistentes, para contemplar os requisitos de segurança e identificar prioridades para testes e manutenção.
Conformidade
A norma NBR ISO 27002 orienta que a organização deve evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. 
É importante a identificação da legislação aplicável, os direitos de propriedade intelectual, a proteção dos registros organizacionais e o uso de produtos de software proprietários, assim como a conformidade com as politicas e normas de segurança da informação.
Aula 8
Gestão de Segurança da Informação Segundo a NBR ISO/IEC 27001
Diferentemente da norma NBR ISO 27002 que estabelece as melhores práticas em segurança da informação, a norma NBR ISO 27001 tem como objetivo especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
Abordagem de processo de gestão do SGSI
A proposta de integração dos dispositivos de proteção de maneira organizada, contemplando um ciclo de revisões periódicas e melhoria continua, dimensionadas de acordo com as necessidades de segurança da informação estabelecidas para o negocio da organização, está prevista na norma ISO/IEC 27001:2005, a primeira abordar segurança da informação com uma visão sistemática de gestão e não somente como recomendações de instalação de controles de segurança isolados.
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI.
A abordagem de processo utilizada nesta norma fará com que a organização enfatize a importância de:
Entendimento dos requisitos de segurança da informação e a necessidade de estabelecer uma política e objetivos para a segurança da informação.
Implementação e operação de controles para gerenciar os riscos de segurança da informação no contexto dos riscos globais da organização.
Monitoração e análise crítica do desempenho da eficácia do SGSI.
Melhoria continua baseada em medições objetivas.
Aplicação da norma
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações.
Caso a organização queira estar em conformidade com a norma os itens, deverá implementar os seguintes itens obrigatórios:
Sistema de Gestão de Segurança da Informação
Responsabilidade da Direção
Analise Critica do SGSI pela Direção
Melhoria do SGSI
A norma NBR ISO/IEC 27001 orienta que caso a organização já possua um sistema de gestão de processo de negócio em operação baseado na NBR ISO/IEC 9001 ou NBR ISO/IEC 14001, é preferível satisfazer os requisitos da norma 27001 dentro dos sistemas já existentes.
Sistema de gestão de segurança da informação (SGSI)
Para estabelecer um Sistema de gestão de segurança da informação documentado, baseado no modelo PDCA, e dentro do contexto das atividades de negócio da organização e dos riscos que ela enfrenta, a organização deve:
Plan (estabelecer o SGSI): Para estabelecer o SGSI a organização deve definir:
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia;
A política do SGSI;
A abordagem de análise/avaliação de risco da organização;
Identificar os riscos;
Analisar e avaliar os riscos;
Identificar e avaliar as opções para o tratamento de riscos;
Selecionar objetivos de controle e controles para o tratamento de riscos;
Obter aprovação da direção dos riscos residuais propostos;
Obter autorização da direção para implementar e operar o SGSI;
Preparar uma declaração de Aplicabilidade;
(Declaração de Aplicabilidade): Documento exigido pela NBR ISO 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI. 
(Controles): São pontos específicos que definem o que deve ser feito para assegurar aquele item.
Do(Implementar e operar o SGSI): 
Nesta fase a organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas . Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI
Check (monitorar e analisar criticamente o SGSI): 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.
Act (Manter e melhorar o SGSI): 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI
Responsabilidades da Direção
A organização deve demonstrar o comprometimento da Direção em todos processos envolvidos para o estabelecimento, manutenção, avaliação e melhoris do SGSI. O comprometimento da Direção é evidenciado através:
- Da implementação da política do SGSI;
- Da garantia que são estabelecidos os planos e objetivos do SGSI;
- Do estabelecimento de papéis e responsabilidades pela segurança da informação;
- Na garantia de todo o pessoal que tem responsabilidades atribuídas no SGSI, receba o treinamento adequado e seja competente para desempenhar as tarefas requeridas;
- Da comunicação à organização da importância da Implementação da segurança da informação na organização;
- Na garantia de recursos para a implementação e manutenção do SGSI;
- No estabelecimento de critérios para a aceitação de riscos;
- Na garantia de que as auditoriasserão realizadas;
- Na condução das análise críticas do SGSI.
Auditorias internas do SGSI
A organização deve realizar auditorias internas do SGSI em intervalos regulares para determinar se os objetivos de controle , controles, processos, e procedimentos atendam aos requisitos da norma NBR ISO/IEC 27001 e a legislação ou regulamentações pertinentes;
A organização deve implementar um programa de auditoria levando em consideração a importância dos processos e áreas as serem auditadas, bem como as auditorias anteriores. Devem ser implementados os critérios da auditoria, tais como: escopo, frequência e métodos de auditoria.
Você sabe o que é uma auditoria?
Um exame sistemático e independente para determinar se as atividades e seus resultados estão de acordo com as disposições planejadas, se estas foram implementadas com a eficácia e se são adequadas a consecução dos objetivos.
Analise critica do SGSI pela direção
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Para a realização desta analise critica a organização deve se considerar:
Entradas
Os resultados das auditorias anteriores e analises criticas;
Vulnerabilidades ou ameaças não contempladas adequadamente nas analise/avaliações de risco anteriores;
As situações das ações preventivas ou corretivas;
Realimentação das partes interessadas;
A avaliação das ações preventivas e corretivas;
A realimentação por parte dos envolvidos no SGSI;
As recomendações para a melhoria;
Saída
Melhoria da eficácia do SGSI;
Atualização da analise/avaliação de riscos e do plano de tratamento de risco;
Modificação de procedimentos e controles que afetem a segurança da informação;
Necessidade de recursos;
Melhoria no processo de medição da eficácia dos controles;
Melhorias do SGSI
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações corretivas ou preventivas.
Ações corretivas:
Devem ser executadas ações para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição, neste sentido é necessário identificar as não conformidades e determinar suas causas. Avaliar a necessidade de implementar ações para assegurar que não se repitam, ou seja, implementar e analisar criticamente as ações corretivas documentando os resultados. 
Ações preventivas:
Neste caso devem ser estabelecidas ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência. Desta forma é necessário a identificação das não-conformidades potenciais e suas causas. Avaliar a necessidade de implementar ações preventivas para assegurar que não ocorram, ou seja, implementar e analisar criticamente as ações preventivas documentado os resultados. 
Certificação
A serie ISSO 27000 está de acordo com outros padrões de sistemas de gerencia ISSO, como ISSO 9001 (sistemas de gerencia da qualidade) e ISO 14001 (sistemas de gerencia ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as melhores praticas com padrões de certificação.
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada implementou um sistema para gerência da segurança da informação de acordo com os padrões. 
A certificação ISO/IEC 27001 envolve um processo de auditoria em dois etapas:
- Auditoria da Documentação: Revisão da existência e completude de documentações e informações do SGSI. 
- Auditoria de certificação: auditoria envolvendo a existência e efetividade do controle de segurança do SGSI, bem como a documentação de suporte.
Aula 9
Gestão da Conformidade do Negócio Segundo a NBR ISO/IEC 15999
Os desastres  são eventos de grande magnitude em termos de prejuízo, porém, com probabilidade muito baixa de ocorrência.  Um desastre é sempre um incidente, mas só podemos definir se um incidente se tornou um desastre depois de avaliarmos suas consequências.
A diferença entre estes termos é que o incidente é um evento imprevisto e indesejável que poderia ter resultado em algum tipo de dano à pessoa, ao patrimônio ou ainda algum tipo de impacto ao meio ambiente, mas não resultou. O desastre é um evento que efetivamente gerou danos humanos, materiais e ambientais.
As características desse tipo de evento, o desastre, fazem com que as organizações tenham a necessidade de implantar planos abrangentes de continuidade de negócio, visando a preservação da integridade física dos colaboradores da organização, bem como proteções adequadas que garantam o funcionamento dos processos e informações  no menor espaço de tempo possível que, caso sejam seriamente afetados, possam comprometer a própria existência da organização.
Tipos de desastres
Distúrbios civis
Invasões
Roubos
Sabotagem
Apagões
Incêndios
Terremotos
Fenômenos Meteorológicos
A norma NBR ISO/IEC 15999, é a norma  que trata da continuidade de negócios e é dividida em duas partes:
ABNT NBR 15999-1 – Gestão da continuidade de negócios – Parte1: Código de prática
ABNT NBR 15999-2 – Gestão da continuidade de negócios – Parte2: Requisitos
A parte 1 da norma é um código de prática da gestão da continuidade de negócios. 
A parte 2 especifica os requisitos para estabelecer um Sistema de Gestão de continuidade de negócio (SGCN) eficaz definido por um programa de Gestão de Continuidade  de Negócio (GCN).
NBR ISO/IEC 15999:1
Objetivo e Escopo
A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios.  Serve como referência única para a maior parte das situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário.
Termo e Definições
Alta Direção: Pessoa ou grupo de pessoas que dirige e controla uma organização em seu nível mais alto.
Continuidade de negócios: Capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios, para conseguir continuar suas operações em um nível aceitável previamente definido.
Estratégia de continuidade de negócio: abordagem de uma organização que garante a sua recuperação e continuidade, ao se defrontar com um desastre, ou outro incidente maior ou interrupção de negócios.
Impacto: consequência avaliada de um evento em particular.
Incidente: situação que pode representar ou levar a uma interrupção de negócios, perdas, emergências ou crises.
Interrupção: evento, seja previsto (por exemplo, uma greve ou furação) ou não (por exemplo, um blecaute ou terremoto) que cause desvio negativo imprevisto na entrega e execução de produtos ou serviços da organização de acordo com seus objetivos.
Período máximo de interrupção tolerável: Duração a partir da qual a viabilidade de uma organização será ameaçada de forma inevitável, caso a entrega de produtos ou serviços não possa ser reiniciada.
Planejamento de emergência: desenvolvimento e manutenção de procedimentos acordado de forma a prevenir, reduzir, controlar, mitigar e escolher ações a serem tomadas no caso de uma emergência civil.
Plano de continuidade de negócio(PCN): Documentação de procedimentos e informações desenvolvidas e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.
Plano de gerenciamento de incidentes: Plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outrasações que sejam necessárias para implementar o processo de gerenciamento de incidentes.
Programa de gestão de continuidade de negócio: Processos contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento de produtos e serviços por meio de treinamentos, testes, manutenção e análise críticas.
Resiliência: capacidade de uma organização de resisitir aos efeitos de um incidente.
Visão geral da Gestão da Continuidade de Negócios (GCN)
A gestão de continuidade de negócio  permite uma visão total da organização e  facilita o relacionamento com as diversas  áreas. É um processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Melhorar proativa mente a resilência da organização contra possíveis interrupções de sua capacidade em atingir seus objetivos;
Prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção;
Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da organização.
É importante que a GCN esteja no nível mais alto da organização para garantir que  as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas, que podem ter consequências tanto para  a reputação da organização como até mesmo sua sobrevivência.  Além disso a GCN deve ser vista como uma complementação à estrutura da gestão de risco que busca entender os riscos das operações e negócios e suas consequências. Neste caso a GCN irá identificar os produtos e serviços dos quais a organização depende para sobreviver e será capaz de identificar o que é necessário para que a organização continue cumprindo suas obrigações.
Elementos do ciclo de vida da Gestão da Continuidade de Negócios
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto.
Incluindo a CGN na cultura da organização: A gestão do programa possibilita que a capacidade de continuidade de negócios seja estabelecida e mantida de forma apropriada ao tamanho e complexidade da organização.
Entendendo a organização: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
Determinando a estratégia de continuidade de negócios: A  determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização  possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
Desenvolvendo e implementando uma resposta de GCN: O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e  uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após  um incidente , para manter ou restaurar as operações.
Testando e mantendo e analisando criticamente os preparativos da GCN: A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente,  auditado e ainda identificada as oportunidades de melhorias possíveis.
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções,  a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
Gestão do programa da GCN
Para que um programa de GCN seja implementado nas organizações e alcance os objetivos definidos na Política de Continuidade de Negócios a gestão deste programa deverá envolver as seguintes atividades:
Atribuição de responsabilidades
A organização deverá nomear um ou mais pessoas para implementar ou manter o programa de GCN e documentar os papéis  e responsabilidades nas descrições de trabalho e grupos de habilidades da organização.
A documentação de um GCN deverá incluir os seguintes documentos:
-Política de GCN: declaração de escopo e termos de referência ; 
-Análise de impacto danos negócios (BIA);
-Avaliação de riscos e ameaças;
-Estratégias de GCN;
-Programa de conscientização;
-Programa de treinamento;
-Planos de gerenciamento de incidentes;
-Planos de continuidade de negócio;
-Planos de recuperação de negócios;
-Agenda de testes e relatórios;
-Contratos e acordos de níveis de serviço.
Implementação da continuidade de negócios na organização
A implementação da continuidade de negócio nas organizações incluem as fases de : planejamento, desenvolvimento e implementação do programa.  Nesta fase é importante  que a organização comunique as partes interessadas de forma  que todos os envolvidos tenham acesso as informações sintam-se envolvidos pelo processo.  Realize capacitação da equipe envolvida e ainda  teste a capacidade de continuidade de negócios da organização.
Gestão contínua da continuidade de negócios
Esta atividade deve assegurar que a continuidade de negócios seja incorporada na cultura e atividade da organização. O processo se dá através da  realização da análise crítica, do exercício e da atualização de cada componente envolvido neste processo. 
Para que seja realizada a manutenção continua e independentemente de como sejam alocados os recursos para a continuidade de negócio na organização, algumas atividades desse ser executadas:
-Definição dos escopo, papéis e responsabilidades;
-Nomeação de uma ou mais pessoas para gerenciar o GCN;
-Manutenção do programa de GCN através da implementação das melhores práticas utilizadas;
-Promoção da continuidade de negócios por toda a organização de forma ampla;
-Administração do programa de testes.
-Análise crítica e atualização da capacidade de continuidade de negócios, análise de riscos e análise de impacto de negócio (BIA);
-Manutenção da documentação do GCN;
-Gerenciamento dos custos associados à GCN;
-Estabelecimento e monitoramento do gerenciamento de mudanças;
Política de gestão da continuidade de negócios
Segundo a norma NBR ISO/IEC 15999 os propósitos de se estabelecer uma política de continuidade de negócio são:
Garantir que todas as atividades de GCN sejam conduzidas e implementadas de modo controlado e conforme o combinado;
Alcançar uma capacidade de continuidade de negócios que vá ao encontro das necessidades do negócio e que seja apropriada ao tamanho, complexidade e natureza da organização; e implementar uma estrutura claramente definida para a capacidade contínua de GCN.
A política de GCN deverá estabelecer os processos para:
As atividades de preparação para se estabelecer o GCN:
Especificação; Planejamento, Criação, Implementação, Testes
As atividades de preparação para se estabelecer o GNC:
Especificação; Planejamento, Criação, Implementação, Testes
Análise do Impacto do negócio (BIA)
É imprescindível que a equipe responsável pela elaboração e implementação da continuidade de negócio defina e documente  o impacto das atividades que suportam seus produtos e serviços. A esse processo damos o nome de análise de impacto nos negócios e que é conhecido mundialmente por BIA (Business Impact Analysis).  A análise do impacto dos negócios é fundamental para fornecer informações para o perfeito dimensionamento das demais fases deelaboração do plano de continuidade de negócio.
É imprescindível que a equipe responsável pela elaboração e implementação da continuidade de negócio defina e documente  o impacto das atividades que suportam seus produtos e serviços. A esse processo damos o nome de análise de impacto nos negócios e que é conhecido mundialmente por BIA.  A análise do impacto dos negócios é fundamental para fornecer informações para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade de negócio.
É possível neste momento, estabelecer o período máximo de interrupção tolerável de cada atividade através da relação entre o:
Tempo máximo decorrido de interrupções tolerável de cada atividade;
Nível mínimo no qual a atividade tem que ser desempenha após o seu reinicio;
Tempo máximo ate a retomada dos níveis normais de operação;
Quando falamos de impacto estamos nos referindo aos impactos que a organização considere que estejam relacionados com os seus objetivos de negócio. Eles podem ser:
Impacto ao bem estar das pessoas;
Dano ou perda de instalações, tecnológicas ou informação;
Não cumprimento de deveres ou regulamentações;
Danos a reputação;
Danos a viabilidade financeira;
Deterioração da qualidade de produtos ou serviços;
Danos ambientais.
Identificação das atividades críticas
Após a realização do levantamento e da análise do impacto do negócio, a organização deve categorizar suas atividades de acordo com suas prioridades recuperação.
Mas como classificar as atividades?
Atividades cuja perda,  baseado no resultado do BIA, teriam o maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser chamadas de atividades críticas.
A organização deve considerar também que existem outras não consideradas críticas mas que devem ser recuperadas dentro do seu período máximo de interrupção tolerável.
O período de tempo máximo para a restauração das atividades pode variar entre segundos e meses, dependendo da natureza da atividade.
A organização deverá estimar os recursos que cada atividade necessitará durante sua recuperação :
Recursos de pessoal (quantidade, habilidades e conhecimento);
Localização dos trabalhos e instalações necessárias;
Tecnologia, equipamentos e plantas que suportam o negócio;
Informação sobre trabalhos anteriores ou trabalhos atualmente em progresso, de forma a permitir que as atividades continuem no nível acordado;
Serviços e fornecedores externos;
Identificação das ameaças as atividades criticas
A organização deverá no contexto da GCN entender os níveis do risco no que diz respeito às atividades críticas da organização e aos riscos de uma interrupção destas. Desta forma é importante que a organização entenda as ameaças e vulnerabilidades de cada recurso envolvido e o impacto que haveria se uma ameaça se tornasse um incidente e causasse uma interrupção no negócio, através de uma análise de risco.
Determinando a estratégia de continuidade de negócios
A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. Na adoção destas medidas deverão ser levados em consideração os seguintes fatores:
O período máximo de interrupção tolerável da atividade critica;
Os custos de implementação de cada estratégia;
As consequências de não se tomar uma ação.
A organização deve considerar que para a continuidade dos negócios podem ser necessárias o estabelecimento de estratégias para todos os recursos envolvidos nos processos considerados críticos, tais como: pessoas, instalações, tecnologia, informação, suprimentos e partes interessadas.
Determinando a estratégia de continuidade de negócios
A organização deve definir uma estratégia de resposta a incidente que permita uma resposta efetiva e uma recuperação pós-incidente e também a implementação de uma estrutura que caso ocorra um acidente possa rapidamente ser formada. Esta equipe pode receber a denominação de equipe de gerenciamento de incidente ou equipe de gerenciamento de crise.  
A estrutura implementada deve possuir: planos, processos e procedimentos de gerenciamento de incidentes, ferramentas de continuidade de negócio, planos para ativação, operação, coordenação e comunicação de resposta ao incidente.
Resposta do Incidente: 
Dentro de minutos a horas:
Equipe e visitantes localizados 
Fatalidades já gerenciadas
Contenção/Limitação de danos 
Avaliação de danos
Execução df do PCN
Continuidade de negócios
Dentro de minutos a dias: 
Estabelecer contato com clientes, fornecedores, etc
Recuperação dos processos críticos
Refazer trabalho perdido
Recuperação/reinicio – volta a normalidade
Dentro de semanas a meses: 
reparo/substituição do dano
Realocação ao local de trabalho permanente
Recuperação dos custos do seguro
No caso de um incidente a organização deverá ser capaz de:
-Confirmar a natureza e extensão  do incidente; 
-Tomar controle da situação;
-Controlar o incidente;
-Comunicar-se com as partes interessadas;
Os planos elaborados, sejam de gerenciamento de incidentes, continuidade ou de recuperação de negócios, devem ser concisos, de fácil leitura e compreensão e estar acessíveis à todos que tenham responsabilidades definidas nesses planos e devem conter:
Objetivo e escopo; 
Definição dos papeis e responsabilidades;
O método como o plano será colocado em prática;
Responsável pelo plano;
Mantenedor do documento do plano (analise critica, correção e atualização do plano);
Determinando a estratégia de continuidade de negócios
Para que a organização garanta que as implementações de continuidade de negócios e de gerenciamento de incidentes sejam considerados confiáveis e que estão atualizados é necessário que sejam verificados através de testes, auditoria e auto-avaliação.
Deve implementar também um programa de manutenção do GCN claramente definido e documentado. O programa deve garantir que quaisquer mudanças internas ou externas que causem um impacto à organização sejam analisadas criticamente quanto à GCN, inclusive a inclusão de novos produtos e serviços. 
A realização da análise crítica da capacidade de GCN da organização, irá  garantir sua aplicabilidade, adequação,  funcionalidade e conformidade com a política de GCN da organização, leis, normas e melhores práticas.  Pode ser realizada através de auditoria ou auto-avaliação.
Testes: a organização deve implementar um programa de teste que deve ser consistente com o escopo do plano de continuidade de negócios, levando em consideração a legislação e as regulamentações em vigor e deve garantir que o PCN funcionará como previsto quando necessário e ainda melhore a capacidade do GCN da organização. Os testes devem ser realistas e planejados cuidadosamente e acordados com as partes interessadas, de modo que haja um risco mínimo de interrupções nos processos de negócio.
Auditoria: a organização deve realizar auditoria para avaliar sua competência de GCN e sua capacidade de identificar falhas reais e potenciais. E necessário que seja implementado e mantido procedimentos para lidar com a auditoria.
Processos de auto-avaliação: A organização deve implementar um processo de auto-avaliação para verificar os objetivos da organização e garantir que tem competência e capacidade de GCN solidas, eficazes e adequadas. Ele irá verificar qualitativamente a capacidade da organização de se recuperar de um incidente.
Incluindo a GCN na cultura da organização
Para que a continuidade de negócios tenha êxito na organização, é necessário que se torne parte da gestão da organização. Em cada fase do processo de GCN, existem oportunidades de se introduzir e melhorar a cultura de GCN na organização, tornando-se parte dos valores básicos e da gestão da organização. Este processo é divido basicamente nas  fases de desenvolvimento, promoção e incorporação da cultura pela organização, sendo suportado por:
Liderança dos níveis superiores da organização;
Atribuição de responsabilidades;
Conscientização;
Desenvolvimentode habilidades;
Planos de testes.
A organização deve estabelecer um processo para identificar e implementar os requisitos de conscientização de GCN por meio da educação permanente, além de um programa de informação para toda a equipe.  É necessário também a avaliação permanente desta implementação com o objetivo de avaliar a eficiência.
O programa de conscientização pode ser implementado através de:
Discussões de GCN nos informativos, apresentações, programas ou reportes diários da organização;
Inclusão da GCN nas páginas da web ou intranet;
Aprendizado por meio de incidentes internos ou externos;
GCN como um tópico nas reuniões de equipe;
A organização deve ainda implementar um processo para identificar, implementar e avaliar a eficiência dos requisitos de treinamento de GCN. São tarefas da equipe de GCN:
Gestão do programa de GCN;
Execução de uma análise de impacto nos negócios;
Desenvolvimento e implementação de PCN;
Execução de um programa de testes de PCN;
Avaliação de riscos e ameaças;
Comunicação com a mídia;
A implementação de GCN na cultura da organização apresenta uma série de vantagens que podemos destacar:
Programa de GCN mais eficiente;
Demonstração de confiança às partes interessadas quanto a habilidade da organização em gerenciar as interrupções de negócios;
Minimizar a probabilidade e o impacto das interrupções
Aula 10
Estratégias de Proteção
Segundo (Guimarães, Oliveira & Lins) é necessário que se compreenda que nenhum componente único poderá garantir um sistema de segurança adequado para  uma rede corporativa e que possa defendê-la com perfeição contra ataques. Existem várias estratégias de proteção que podem ser utilizadas. Uma destas estratégias é a implementação de um modelo de proteção em camadas. Este modelo tem como objetivo dificultar invasões que comprometam a integridade, a autenticidade e o sigilo das informações que trafegam em uma rede IP, definindo componentes com base nas necessidades específicas de cada empresa. 
Segundo Northcutt, podemos pensar na segurança de rede como uma cebola. Quando descascamos  a camada mais externa, muitas camadas permanecem por baixo.
Este modelo, também conhecido como Defesa em profundidade, refere-se à aplicação de defesas distintas, de controles complementares  para no caso de uma falha ou violação de um ativo, existam  outros controles e não torne o sistema como um todo vulnerável e restrito a somente  um único controle.
Para que possamos implementar o modelo de defesa em profundidade  torna-se necessário a segmentação inteligente dos ativos da organização de forma que seja possível a aplicação de controles adequados. É preciso estabelecer o perímetro de segurança. Segundo Sêmola, a teoria do perímetro esta associado a compartimentalização de espaços físicos e lógicos e  ao papel de alerta e mecanismos de resistência distribuído por áreas, a fim de permitir que tentativas de acesso indevido e invasão gerem sinais de alerta e encontrem resistências que propiciará tempo para que as medidas contingenciais sejam tomadas antes da ação avançar ainda mais em direção do alvo.
Perímetro de segurança e seus componentes
Cada rede que compões a topologia da organização precisa ser classificada em um dos três tipos de redes:
Redes confiáveis: localizadas no perímetro de segurança da rede, portanto necessitam de proteção.
Redes não confiáveis: estão fora do perímetro de segurança, portanto não possuem controle da administração ou das politicas de segurança.
Redes desconhecidas: são as redes desconhecidas, pois não é possível informar, de modo explicito, se a rede é confiável ou não confiável.
As redes corporativas podem conter vários perímetros dentro de um perímetro de segurança. É necessário que a organização estabeleça  as redes que serão protegidas, defina o conjunto de perímetros de rede e os mecanismos que exercerão a proteção de cada perímetro. Em geral, são encontrados dois tipos de perímetros de rede:
Perímetro Exterior: representa o ponto de separação entre os recursos que estão sob controle e os recursos que não estão sob controle.
Perímetro Interior: recurso particular que se pretende proteger.
Roteador de borda
É o roteador do perímetro exterior, ou seja, é o último roteador que se pode controlar antes da rede não-confiável. Em uma corporação que acessa a Internet, todo o tráfego de rede que possui origem ou destino à internet passa por este roteador. Funciona como a primeira e última linha de defesa de uma rede através da filtragem de pacotes iniciais e final.
Firewall
Isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo:
Ataques de negação de serviço;
Modificações e acessos ilegais aos dados internos;
Permite apenas acesso autorizado a rede interna;
O firewall podem ser divididos em:
Filtros de Pacotes – A filtragem de pacotes é um dos principais mecanismos que, mediante regras definidas pelo administrador, permite ou não a passagem de datagramas IP em uma rede. Podem ser implentados pelos roteadores ou através de software de firewall como por exemplo, o Iptables, presente nas distribuições Linux.
Se observamos sob o ponto de vista da proteção em camadas, a utilização de filtros de pacotes é a primeira camada de fora para dentro e a última de dentro para fora.
Como funciona? A rede interna é conectada à Internet através de um roteador com firewall implementado (filtro de pacotes). O roteador filtra os pacotes e a decisão de enviar ou descartar os pacotes baseia-se em:
-Endereço IP de origem, endereço IP de destino
-Número de portas TCP/UDP de origem e de destino
-Tipo de mensagem ICMP
-Bits TCP SYN e ACK
Firewall com estado: Monitoram as conexões em uma tabela de estado, na qual armazena o seu banco de regras, bloqueando todo o tráfego que não esteja em sua tabela de conexões estabelecidas. Este banco de regras determina o IP e a porta de origem e de destino que são permitidos para estabelecer conexões.
Firewall  Proxy – Permite executar a conexão ou não a serviços em uma rede modo indireto. Possui todas as características e funcionalidades de um firewall com  estado, porém impede que os hosts internos e externos se comuniquem diretamente.
Sistema de Detecto de Intrusos (IDS)
Tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. Caso detecte alguma anomalia suspeita ou ilegal, gera  uma notificação para alertar o administrador da rede e / ou automaticamente disparar contra-medidas. Para realizar a detecção várias tecnologias  podem ser  utilizadas:  análise estatística, inferência, inteligência artificial, data mining, redes neurais e diversas outras. Podem ser classificados em relação a:
Sua forma de monitoração (origem dos dados)
Existem basicamente dois tipos de implementação de ferramentas IDS:
Sensores de host (Host Based IDS-HIDS)
São instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido à própria máquina, Observam as ações realizadas no sistema operacional, ações dos serviços e o comportamneto da pilha TCP/IP, protegendo apenas o sistema host em que reside. É  empregado no caso em que a segurança está focada em informações contidas em um servidor;
Sensores de rede (Network Based IDS-NIDS)
São instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes de rede e seus detalhes como informações de cabeçalhos e protocolos. Observam o tráfgo da rede, o formato do pacote de todos os pacotes que trafegam na rede.
Quanto ao mecanismo (algoritmos) de detecção utilizados.
Existem basicamente dois tipos de implementação de ferramentas IDS:
Detecção por assinatura: os dados coletados são comparados com uma base de registros de ataques conhecidos (assinaturas). Por exemplo, o sistema pode vasculhar os pacotes de rede procurando sequencias de bytes que caracterizem umataque de buffer overflow contra o servidor WWW Apache;
Detecção por anomalia: Os dados coletados são comparados com registros históricos da atividade considerada normal do sistema. Desvios da normalidade são sinalizados como ameaças.
Detecção Hibrida: O mecanismo de analise combina as duas abordagens anteriores, buscando detectar ataques conhecidos e comportamentos anormais.
Zona Desmilitarizada (DMZ)
São pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Muitos autores apresentam o conceito de DMZ suja e DMZ protegida ou também conhecida por screened subnets.  Em uma DMZ suja os servidores estariam conectados diretamente na interface do roteador sem a proteção do firewall enquanto que uma DMZ protegida ou screened subnets está protegida por um firewall ou outro dispositivo de filtragem, hospedando normalmente serviços públicos, como DNS e correio eletrônico por exemplo.
Cuidado com senhas
Segundo a cartilha de sergurança para internet, produzida pelo CERT, a senha utilizada pelos usuários tanto para acessar a  Internet quanto aos sistemas computacionais da organização é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser, ou seja, é utilizada no processo de autenticação. Caso uma outra pessoa tem acesso a senha de algum usuário da rede poderá utilizá-la para se passar por alguém da empresa.
Portanto, é muito importante a conscientização de todos os usuários da organização quanto a utilização e proteção das senhas, pois é de responsabilidade de cada  usuário da organização.
Educação dos usuários
Para que a implementação da política de segurança seja efetiva  deve ser  claramente comunicada às pessoas de uma organização. Segundo a norma ISO/IEC 27001 no item que trata sobre Conscientização, educação e treinamento em segurança da informação:
A organização deve assegurar que os usuários e demais envolvidos no SGSI estejam cientes das ameaças e das preocupações de segurança da informação e equipados para apoiar a aplicação da política de segurança da organização durante a execução normal do seu trabalho.
Devem ser treinados nos procedimentos de segurança e no uso correto das instalações de processamento da informação, de forma a minimizar possíveis riscos de segurança.
A comunicação é outro ponto importante a ser observardo na elaboração de uma campanha de conscientização. A  comunicação acontece quando duas pessoas têm o mesmo interesse ou  os  interesses são comuns e consequentemente a mensagem flui. 
Pode ser ser classificada como:
Comunicação não-verbal:  simbólica e sonora
Comunicação oral: código que expressam sensações e sentimentos
Comunicação escrita: Representação gráfica como os desenhos e escrita propriamente dita
O que é um programa de conscientização de segurança em TI ?
É  um conjunto de atividades e materiais associados, planejados para promover e manter uma situação em uma organização onde os funcionários tenham um alto nível de consciência sobre segurança
Um programa de conscientização de segurança é portanto um processo contínuo que visa mudar o modo como pessoas pensam e agem. Um bem sucedido programa de conscientização de segurança de TI deve mudar o modo como o usuário de sistema pensa e age, de forma que a segurança de TI torne-se parte das atividades de negócios da empresa.
Principais itens tratados por  um programa de conscientização de segurança:
O quê significa segurança da informação para a organização
Que as informações guardadas nos computadores são um recurso importante e valioso
Como aplicar as ações de segurança em seu ambiente de trabalho
Que os funcionários  também são responsáveis pela segurança da informação
A política de segurança, padronização dos sistemas e princípios da empresa
Controles de Acesso
O que deve ser controlado?
Todo os ativos da organização: pessoas, tecnologia, ambiente e processos.
O porque devemos controlar?
Para limitar os impactos causado nos ativos de informação
Para reduzir as vulnerabilidades
Backups (copia de segurança)
Os Backups ou cópias de seguranças  são itens muitos importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas  da organização, através de  uma política pré-determinada.  
Sempre que possível devem ser realizados da mais automatizada possível, de modo a reduzir o impacto sobre o trabalho dos administradores e operadores de sistemas.
Devem fazer parte da lista de itens de  backup:
Dados
Arquivos de configuração
Sem as cópias de segurança (Backup), muitos dados seriam simplesmente irrecuperáveis caso fossem perdidos devido a uma falha acidental ou a uma invasão.
Alguns cuidados devem ser tomados em relação ao local onde são guardados os backups:
-O acesso ao local deve ser restrito, para evitar que pessoas não autorizadas roubem ou destruam os backups;
-O local deve ser protegido contra agentes nocivos naturais (poeira, calor, umidade);
-Se possível, é aconselhável que o local seja também `a prova de fogo.
Plano de continuidade de negócios
Tem como objetivo garantir a continuidade de processo e informações vitais à sobrevivência da empresa, no menor espaço de tempo possível, com o objetivo de minimizar os impactos do desastre, conforme já estudado na aula 9.  
Seja qual for o objeto da contigência – uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a emrpesa deverá  selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado.
Estratégias de Contingencia
Hot-site: recebe este nome por ser uma estratégia pronta para entrar em operação assim que uma situação de rico ocorrer. Com este proposito e formado pelas etapas de analise de impactos no negocio, estratégias de contingencia e pelos planos de Definição de estratégias operacionais alternativas que garantirão a continuidade dos processos críticos. Normalmente utilizada para recursos que requerem pouca tolerância a falhas.
Warm-site: aplicada a objetos que aceitam uma maior tolerância a falhas que na hot-site, podendo se sujeitar a indisponibilidade por mais tempo, ate o retorno operacional da atividade.
Realocação de operação: deslocamento da atividade atingida pelo evento que provocou a quebra de segurança para outro ambiente físico, equipamento ou link, pertencentes a mesma empresa. Esta estratégia somente é possível se existir recursos sobressalentes ou com folga para serem alocados em situação de crise.
Bureau de serviço: considera a possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado fora do ambiente da empresa. Por requerer um tempo maior de tolerância para sua reativação operacional esta restrita a algumas poucas situações. O fato das informações serem manipuladas por terceiros e em ambiente fora do controle da organização, requere atenção na adoção de procedimentos, critérios e mecanismo de controle que garantam as condições de segurança adequadas a relevância e criticidade da atividade contingenciada.
Acordo de reciprocidade: acordo formal com empresas que possuem características físicas, tecnológicas ou humanas semelhantes e que estejam também dispostas a possuir uma alternativa de continuidade operacional. Estabelecem em conjunto as situações de contingencias e definem os procedimentos de compartilhamento de recursos para alocar a atividade na outra empresa. Destas formas ambas obtêm redundância.
Cold-site: propõe uma alternativa de contingencia a partir de um ambiente com os recursos mínimos de infra-estrutura e telecomunicações; desprovido de recursos de processamento de dados. Portanto aplicado em ambientes com tolerância ainda maior de indisponibilidade.
Criptografia
A eficiência e eficácia dos serviços de segurança em ambientes de redes, como a privacidade, autencidade, integridade, não repúdio e controlede acesso, está diretamente relaciona às técnicas de criptografia utilizadas. A criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código.  È parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para:
Autenticar a identidade de usuários
Autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias
Proteger a integridade de transferências eletrônicas de fundos.
Como funciona a criptografia?
Podemos descrever o processo de criptografia como:
O emissor no caso Alice, gera uma mensagem original chamada de  texto simples ou texto puro. Para enviar a mensagem alice utiliza uma chave e um algoritmo de cifragem e gera um texto cifrado que é transmitido para um receptor.  Ao chegar ao receptor, no caso BOB, este texto passa pelo processo inverso, chamado de decifragem, resultando no texto simples original. A mensagem deverá ser incompreensível para quem não tem autorização para lê-la, no caso Trudy, pois não possui a chave para decifrar a mensagem a emissão.
Classificação dos sistemas de criptografia
A criptografia pode ser genericamente classificada em três diferentes dimensões:
Quanto aos tipos de cifras utilizadas
Todos os algoritmos de cifragem são baseados em dois tipos de categorias de operações:
Cifras de substituição: Cada elemento do texto simples (bit, letra, grupo de bits ou letras) é substituído por um outro elemento correspondente, sendo sempre o mesmo elemento.
Os elementos do texto simples são reordenados(embaralhados).
Quanto à simetria das chaves utilizadas
A chave é uma sequência de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar mensagens. Os métodos criptográficos são subdivididos em duas  categorias, de acordo com o tipo de chave utilizada:
A criptografia simétrica ou de  chave única, quando o emissor e receptor utilizam a mesma chave;
A criptografia assimétrica ou de chave pública, quando o emissor e receptor utilizam chaves diferentes.
Quanto ao modo de operação de cifra
A chave é uma sequência de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar mensagens. Os métodos criptográficos são subdivididos em duas  categorias, de acordo com o tipo de chave utilizada:
Modo Eletronic Code Book (ECB)
O texto simples é dividido em blocos de 64 ou 128 bits
Modo de Encadeamento de blocos de Cifra
Muito semelhante ao modo ECB, porem o bloco de texto simples é submetido a uma operação XOR com o bloco de texto cifrado anterior antes de ser codificado.
Modo de feedback de Cifra
É semelhante ao modo de bloco de cifra, porém realiza a cifragem byte a byte.
Modo de cifra de fluxo
Neste modo o texto simples é submetido a uma operação XOR com uma sequencia de blocos chamada de fluxo de chaves.
Criptografia de chave simétrica ou privada
A criptografia de chave única utiliza a mesma chave tanto para a codificar quanto para decodificar mensagens sendo conhecida por ambos os lados do processo. Apesar deste método ser bastante eficiente em relação ao  tempo de processamento, ou seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a necessidade de utilização de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informações criptografadas.
Criptografia de Chave Assimétrica ou pública
Os algoritmos assimétricos utilizam-se de duas chaves diferentes, uma em cada extremidade do processo. As duas chaves são associadas através de um relacionamento matemático, pertencendo a apenas um participante, que as utilizará para se comunicar com todos os outros de modo seguro.
Essas duas chaves são geradas de tal maneira que a partir de uma delas não é possível calcular a outra a um custo computacional viável, possibilitando a divulgação de uma delas, denominada chave pública, sem colocar em risco o segredo da outra, denominada chave secreta ou privada Uma das chaves será utilizada para codificar e outra para decodificar mensagens.  Neste método cada pessoa ou entidade mantém duas chaves:
Uma publica que pode ser divulgada livremente
Uma privada que deve ser mantida em segredo pelo seu dono
Assinatura digital
A assinatura digital consiste na criação  de um código, através da utilização de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. Assinatura digital tenta resolver o problema de autencidade de documentos digitais.  Tem como objetivos garantir:
Que o receptor da mensagem possa verificar e certificar a identidade alegada pelo transmissor
Que o transmissor não possa repudiar o conteúdo da mensagem, portegendo o receptor da mensagem
Que o receptor não possa forjar ele mesmo a mensagem. Esta característica pode proteger o transmissor de possíveis tentativas de fraudes
Certificação Digital
O certificado digital é um arquivo assinado eletronicamente por um entidade confiável chamada Autoridade Certificadora (CA). Um certificado tem como objetivo um dos objetivos associar a chave pública a uma pessoa física ou jurídica, servindo como um mecanismo para a divulgação da chave pública. A autoridade Certifcadora verifica a identidade do sujeito e emite o certificado digital.
Os certificados digitais não são secretos ou protegidos, qualquer entidade que conheça a chave pública da CA pode examinar o conteúdo e confirmar a autenticidade de um certificado emitido por essa Autoridade, uma vez quea CA assina os certificados com a sua chave pública. Informações presentes nos certificados:
-Chave pública do usuário;
-Número de série do certificado;
-Nome da CA que emitiu o certificado;
-A assinatura digital da CA;
-O período de vaidade do certificado;
O ICP, ou Infra-estrutura de Chaves Públicas, é a sigla no Brasil para PKI - Public Key Infrastructure -, um conjunto de técnicas, práticas e procedimentos elaborado para suportar um sistema criptográfico com base em certificados digitais.