Todamateriaonlne_Gestão de Segurança da Informação

Prévia do material em texto

Gestão de Segurança da Informação
Aula 1
O ambiente corporativo e a necessidade de segurança
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas está revolucionando o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais. Há três razões fundamentais para todas as aplicações de tecnologia da informação nas empresas. Elas são encontradas nos três papeis vitais que os sistemas de informação podem desempenhar para uma empresa.
Apoio às estratégias para vantagem competitiva
Apoio à tomada de decisão empresarial
Apoio as Operações e aos processos
O valor da informação
Para compreendermos melhor o valor da informação no contexto atual, vamos em primeiro lugar compreender o conceito de dado:
Dado qualquer elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.
Informação é o dado trabalhado que permite ao executivo tomar decisões. É a matéria-prima para o processo administrativo da tomada de decisão.
O proposito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia e informação).
Para decidir sobre qualquer coisa, precisamos de informações, preferencialmente claras e oportunas.  A informação é vital para o processo de tomada de decisão de qualquer corporação.  Porém não basta produzir a informação no prazo previsto. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Além disso, é fundamental proteger o conhecimento gerado, quando este contiver aspectos estratégicos para a Organização que o gerou.
Dados Informação Conhecimento
Em meio a tantas mudanças tecnologias, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Um destes desafios a ser considerado é a responsabilidade ética referente ao uso da tecnologia da informação.
Quais usos da tecnologia da informação poderiam ser considerados impróprios, irresponsáveis ou prejudiciais a outros indivíduos ou a sociedade?
Qual é o uso adequado da internet e dos recursos de TI de uma organização? O que é preciso para ser um usuário final, responsável de tecnologia da informação?
Como a empresa pode se proteger do crime com o uso de computadores e de outros riscos da tecnologia da informação?
Diante a tantas mudanças tecnológicas, sociológicas e comportamentais, o profissional de TI deve levar em consideração os aspectos éticos sobre os danos potenciais ou riscos no uso da TI corporações:
Aplicações de TI
Ampliar o conhecimento do mercado;
Aumentar a capacidade de resposta;
Aperfeiçoar as comunicações;
Melhorar a seleção de estratégias;
Danos Potenciais
Invasões de privacidade
Informações imprecisas
Conluio
Exclusão de facilidades essenciais
Riscos Potenciais
Qual a probabilidade de ocorrência de ações legais, boicotes dos consumidores, paralisações no trabalho e outras ameaças?
Respostas Possíveis
Os ricos e custos podem ser atenuados por:
Auto-regulação
Defesa
Educação
Código de ética
Incentivos
Certificação
O que é segurança?
É estar livre de perigos e incertezas;
É um estado ou condição que se aplica a tudo que tem valor para a organização que é chamado de ativo;
Existem diversos tipos de ativos em uma organização. Estes ativos podem ser organizados e classificados através de diversas propriedades. Esta classificação permite a organização dos ativos em grupos com características semelhantes no que diz respeito as necessidades, estratégias e ferramentas de proteção. Dessa forma, os ativos podem ser classificados como:
Tangível: Informações impressas ou digitais, Sistemas, Móveis, pessoas etc.
Intangível: Marca de um produto, imagem de uma empresa, confiabilidade de um banco et
Podemos agora entender o que vem a ser proteção. Elas podem ser:
Físicas: cadeado, fechadura.
Lógicas: arquivos, firewall.
Administrativas – Normas, procedimentos.
Podemos classificar as proteções de acordo com a sua ação e o momento na qual ela ocorre. De acordo com a finalidade elas podem ser:
Preventivas – evita que acidentes ocorram
Desencorajamento – desencoraja a pratica de ações
Monitoramento – monitora o estado e o funcionamento
Detecção – Detecta a ocorrência de incidentes
Limitação – Diminui danos causados
Reação – reage a determinados incidentes
Correção – repara falhas existentes
Recuperação – Repara danos causados por incidentes
A partir deste ponto já conseguimos diferenciar segurança e segurança da informação:
Segurança da Informação: visa proteção de ativos de uma empresa que contém informações.
Ativos de Informação: são aqueles que produzem, processam, transmitem ou armazenam informações.
Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais de segurança conhecido como a tríade CID, ou em inglês, AIC ou CIA.
O nível de segurança requerido para obter cada um destes três princípios difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança. Entretanto todas as ações ou medições de segurança realizados em cada organização irão envolver sempre um ou mais princípios.
Disponibilidade: garantia de que só usuários autorizados obtêm acesso a informação e aos ativos correspondentes sempre que necessário. NBR ISO/IEC 27002
Objetivo de Segurança
Integridade: Salvaguardar da exatidão e completeza da informação e dos métodos de processamento. NBR ISSO/IEC 27002
Confidencialidade: Garantia de que os usuários autorizados obtém acesso a informação e aos ativos correspondentes sempre que necessários. NBR ISSO/IEC 27002
Fatores que impactam na segurança de uma organização:
Valor: Importância do ativo para a organização. Como já falamos pode ser avaliado por propriedades mensuráveis ou abstratas, ou seja, tangível ou intangível. Ex de valor intangível: comprometimento da imagem de uma empresa por causa do vazamento de uma informação. Ex de valor tangível: valor financeiro, o lucro que ele provê ou custo de substitui-lo.
Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. Ex um incêndio, uma enchente, a invasão de um computador ou um roubo.
Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. O que irá determinar se uma invasão de computador pode ou não afetar os negócios de uma empresa é a ausência ou existência de mecanismo de prevenção, detecção e eliminação, além do correto funcionamento destes mecanismo.
Impacto: Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causara. Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça.
Ex: O impacto de uma invasão a um servidor de banco de dados pode ser maior que o impacto da invasão da maquina da secretaria da gerencia de operações.
Risco: medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará. Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será o risco associado a este incidente.
Apresentamos a seguir a interação dos diversos componentes de segurança:
Agentes Ameaçadores criam Ameaças que exploram Vulnerabilidade que gera um Risco que pode danificar Ativo e causar uma Exposição que são impedidas pelas Proteçõesque irá afetar diretamente os Agentes Ameaçadores.
Podemos concluir que um Problema de segurança é:
A perda de qualquer aspecto de segurança importante para minha organização.
E podem ser de diferentes tipos:
Desastres naturais
Operação incorreta: erro do usuário ou administrador do sistema.
Ataque ao sistema: visando algum lucro
Aula 2
O ciclo de vida da informação
Nesta aula vamos estudar a importância da informação, por que devemos protegê-la e seu ciclo de vida.   
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável.  
Para compreendermos melhor esta questão vamos ampliar nosso o conceito de dado e informação.  
Dados: é a coleta de matéria-prima bruta, dispersa nos documentos.
Informação: é o tratamento do dado, transformando em informação. Pressupõem uma estrutura de dados organizada e formal. As bases e banco de dados, bem como as redes sustentadas pela informação.
Conhecimento: é o conteúdo informacional contido nos documentos, nas várias fontes de informação e na bagagem pessoal de cada individuo.
Inteligência: É combinação destes três elementos resultante do processo de analise e validação por especialista. É a informação com valor agregado.
Percebe-se então certa hierarquia entre dado, informação e conhecimento, em que cada termo pode ser considerado como matéria-prima do termo seguinte, num crescente de agregação de valor.
Baixo valor agregado Alto valor agregado
Uso independente de pessoas ------------------------------------------------------------ Uso depende de pessoas
Foco disperso Dados Informação Conhecimento Foco pontual
Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo gerada e utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis hierárquicos, além de perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros.
Dados informação conhecimento ação Resultado
Ciclo de vida da informação
Desde o momento em que e gerada a informação tem um ciclo de vida dentro das corporações, passando por diversas etapas de interação até retornar ao seu ponto inicial.
Neste exemplo, segundo Sêmola, os órgãos (analogamente, ativos, físicos, tecnológicos e humanos), se utilizam de emsangue (analogamente, informação) para por em funcionamento os sistemas digestivo, respiratório , etc (analogamente, processos de negócio), para consequentemente, manter a consciência e a vida do individuo (analogamente, a continuidade do negócio).
Porque proteger a informação?
Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo gerada e utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis hierárquicos, além de perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros.
ESTRATÉGICO =========== FINANCEIRO
 Pelo seu valor
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Apresentamos a seguir quatro tipos possíveis de valor da informação:
Valor de uso – baseia-se na utilização final que se fará com a informação.
Valor de troca – é o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda)
Valor de propriedade – reflete o custo substitutivo de um bem;
Valor de restrição – surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas.
Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor.
Quando proteger a informação?
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantem a operação da empresa.
Armazenamento: momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocada em um arquivo de metal, ou ainda, em um pedrive depositado em uma gaveta, por exemplo.
Manuseio: momento em que a informação é criada em manipulada, seja ao folhear um maço de papeis, ao digitar informações recém-geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação.
Descarte: momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-Rom usado que apresentou falha na leitura.
Transporte: momento em que a informação é transportada, seja ao encaminhar informações por correios eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo.
Agora que você já sabe PORQUE e QUANDO proteger as Informações, veremos a seguir as respostas dos seguintes questionamentos:
Onde proteger as informações?
Nos ativos que as custodiam... 
Físicos: agenda, sala, arquivo, cofre.
Tecnológicos: sistema, servidor, e-mail, notebook.
Humanos: Funcionário, Parceiro, Secretária, Porteiro.
Do que proteger as informações?
Ameaças
Físicas: incêndio, inundação, curto circuito, apagão.
Tecnológicas: vírus, bug software, defeito técnico, invasão web.
Humanas: Sabotagem, fraude, erro humano, descuido.
Percebe-se então que a gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão dos negócios. Sendo essencial a utilização do Gerenciamento do ciclo de vida da informação, de forma a operacionalizar a informação e os dados, ou seja, organizar em meios físicos e com registros, categorizando-os para garantir a segurança e privacidade. 
Este método permite que os gestores de tecnologia e os administradores da corporação definam por quanto tempo esses dados ficarão disponíveis, quando efetivamente serão descartados e permite classificar a informação quanto a sua finalidade.
Informação sem Interesse (Lixo): É considerada uma parcela negativa inversamente proporcional à sua quantidade, em uma hipotética equação de valor para a finalidade da informação organizacional, e pode ser associada ao conceito de sobrecarga de informação. A relevância se manifesta através do impacto que a presença ou ausência da informação pode gerar no ambiente
Informação Potencial (Vantagem Competitiva): é dirigida principalmente para a direção da organização, apontando possíveis vantagens competitivas a serem conquistadas.
Informação Mínima (Gestão): é destinada originalmente aos gerentes de nível intermediário para a realização de atividades de gestão organizacional.
Informação Critica (Sobrevivência): Destina-se à sobrevivência da organização para atender prioritariamente às áreas operacionais.
Esta classificação permite identificar o grau de relevância e prioridade que a informação exerce em cada nível da organização.
Assim a aplicação do gerenciamento do ciclo de vida da informação traz uma série de benefícios à empresa:
Retenção de Despesas, Economia de recursos, Conscientização, Segurança de Informação.
Classificação da Informação
O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas.
Existem quatro aspectos importantes para a classificação das informações. Cada tipo de informaçãodeve ser examinado a partir desses aspectos:
Confidencialidade: a informação so é acessada pelos indivíduos autorizados.
Integridade: A informação é atual, completa e mantida por pessoas autorizadas.
Disponibilidade: A informação está sempre disponível quando necessária as pessoas autorizadas.
Valor: a informação tem um alto valor para a organização
Outros aspectos:
• Autenticidade – Garante que a informação ou o usuário da mesma é autêntico. Atesta com exatidão, a origem
do dado ou informação;
• Não repúdio – Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que
modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado.
• Legalidade – É a aderência de um sistema à legislação. Garante a legalidade (jurídica) da informação.
• Privacidade –Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. É a capacidade
de um usuário realizar ações em um sistema sem que seja identificado.
• Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação
foi submetida, identificando os participantes, os locais e horários de cada etapa.
Outro fator que deve ser considerado é o nível de ameaça conhecido que cada informação tem. Para isso devem ser respondidas questões como:
Existem concorrentes buscando informação?
É uma informação fácil de perder a integridade, ficar desatualizada?
É possível que ela fique indisponível e por qual motivo isso pode acontecer?
Com base na análise dos parâmetros anteriores, podemos chegar ao nível de segurança da informação. Um nivelamento de segurança pode seguir, por exemplo, a seguinte classificação:
Irrestrita : A informação é pública, podendo ser utilizada por todos sem causar danos à organização.
Interna : Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja disponibilizada ela não causa danos sérios à organização.
Confidencial : Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes.
Secreta : Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta é a informação considerada vital para a companhia.
O que devemos notar é que o nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade. Existem casos onde estes fatores se somam. Por exemplo, uma informação pode ter requisitos de confidencialidade média, mas a integridade alta. Assim o nível de segurança da informação deve ser definido levando em conta todos estes fatores em conjunto e não apenas um deles isoladamente. E para isso surte a próxima questão.
Quem é que define esse nível?
Para definir o nível de segurança da informação de cada setor da organização a pessoa mais indicada é o próprio responsável (Custodiante) daquele setor. Ele é quem certamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor.
Após esta classificação ser feita também é importante que alguém de um nível superior a ele esteja verificando a classificação para garantir que as informações que precisem transitar entre os diversos setores não sejam demais protegidas e isolada em um setor e também que as informações que não podem transitar estejam protegidas.
Aula 3
Vulnerabilidade de Segurança
A todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essas possibilidades aparecem, a quebra de segurança é consumada.
As vulnerabilidades estão presentes  no dia-a-dia das empresas e se  apresentam nas mais diversas áreas de uma organização.
Se partirmos do princípio de que não existem ambientes totalmente seguros, podemos afirmar que todos os ambientes empresariais são vulneráveis e muitas vezes  encontramos também vulnerabilidades nas medidas implementadas pela empresa. 
Mas, o que é vulnerabilidade?
É a fragilidade presente ou associada a ativos que manipulam ou processam informações que, ao ser explorada por ameaças (possível perigo que pode explorar uma vulnerabilidade), permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios de segurança da informação.
Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. As vulnerabilidades são as principais causas das ocorrências de incidentes de segurança.
As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou uma condição favorável que são as ameças.
Agentes Ameaçadores ---Exploram--- Vulnerabilidade -- Possibilitam -- Incidente de segurança --Afetam-- Negócios ---Impactam negativamente-- Clientes Produtos
Exemplos de vulnerabilidades...
Não existe uma única causa para surgimento de vulnerabilidade. A negligencia por parte dos administradores de rede e a falta de conhecimento técnico são exemplos típicos de vulnerabilidade, porém diferentes tipos de vulnerabilidade podem estar presente em diversos ambientes computacionais.
Físicas: os pontos fracos de ordem física são aqueles presentes nos ambientes em que estão sendo armazenadas ou gerenciadas as informações. Ao serem explorados por ameaças, afetam diretamente os princípios básicos da segurança da informação, principalmente a disponibilidade. Ex: - Instalações prediais fora dos padrões de engenharia; Salas de servidores mal planejadas; Falta de extintores, detectores de fumaça e de outros recursos para detecção e combate a incêndio.
Naturais: os pontos fracos naturais são aqueles relacionados as condições da natureza que podem colocar em risco as informações. Ex: incêndios, enchentes, terremotos, tempestades..
Hardware: São os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas que podem permitir o ataque ou a alteração dos mesmos. Ex: ausência de atualização de acordo com as orientações dos fabricantes dos programas utilizados; conservação inadequada dos equipamentos; falha nos recursos tecnológicos; erros durante a instalação.
Software: podem ser classificadas como vulnerabilidade de aplicativos ou de sistema operacional. Ex: Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários; A configuração e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal-intencionados.
Mídias: são as formas de utilização inadequadas dos dispositivos de armazenamento das informações, que podem deixar seu conteúdo vulnerável. EX: Discos, fitas, relatórios e impressos em geral podem ser perdidos ou danificados; Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas; Erro de fabricação.
Comunicação: abrange todo o trafego de informações, onde quer que transitem, seja por cabo, satélite, fibra óptica ou ondas de rádio. Ex: Acessos não autorizados ou perda de comunicação; A ausência de sistemas de criptografia nas comunicações; A má escolha dos sistemas de comunicação para envio de mensagens de alta prioridade da empresa 
Humanas: relaciona-se aos danos que as pessoas podem causar as informações e ao ambiente tecnológico que lhes oferece suporte, podendo ser intencional ou não é interna ou externa. Ex: Falta de treinamento; Compartilhamento de informações confidenciais; Falta de execução de rotinasde segurança; Erros ou omissões; Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.).
Análise Vulnerabilidades
A verificação das vulnerabilidades é essencial para garantir a segurança do sistema e da rede. A análise de vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas.
É realizada através de um levantamento detalhado do ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que a empresa fornece ou desempenha. Esta analise compreende todos os ativos da informação da empresa que abrange.
Tecnologias: Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores.
Ambiente: É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. 
Processos: Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização.
Pessoas: As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas.
Os testes de vulnerabilidade consistem na determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo.  O objetivo do teste é a identificação nas máquinas da rede alvo de: 
As portas do protocolo TCP/IP que encontram-se desprotegida (abertas);
Os sistemas operacionais utilizados;
Patches e service packs (se for o caso) aplicados
e os aplicativos instalados.  
Existem também diferentes tipos de vulnerabilidades que podem ser encontradas:
Bugs específicos dos sistemas operacionais/ aplicativos;
Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos;
Falhas nos softwares dos equipamentos de comunicações; 
Fraquezas nas implementações de segurança dos equipamentos de comunicação; 
Fraqueza de segurança/falhas  nos scripts que executam nos servidores web;
Falhas nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos.
Ferramentas para analise de Vulnerabilidades de segurança
Existem vários softwares para detectar vulnerabilidades e a cada dia com o avança das tecnologias surgem novas versões e novos produtos. 
Exemplos de ferramentas:
-Nmap: É um software livre que realiza a coleta de informações sobre as portas do protocolo TCP/IP. É muito utilizado para avaliar a segurança dos computadores, para descobrir serviços ou servidores e determinar o layout de uma rede de computadores. 
-Nessus: É um programa de verificação de falhas/vulnerabilidades de segurança, sendo composto por cliente e servidor. Tem como grande vantagem ser atualizado com frequência e possuir um relatório bastante completo. 
Além da analise de vulnerabilidade também é muito importante que o profissional de TI periodicamente realize uma pesquisa de vulnerabilidade sobre os produtos ou aplicações utilizadas em sua organização. 
Pesquisa de vulnerabilidade significa descobrir as falhas e deficiências em um produto ou aplicação que podem compromete a segurança. Quando um atacante encontra uma vulnerabilidade em um produto ou aplicação, ele tenta explora-la.
É importante realizar uma pesquisa de vulnerabilidade, porque auxilia os profissionais de segurança a:
-Identificar e corrigir vulnerabilidades de rede; 
-Proteger a rede de ser atacada por invasores;
-Obter informações que auxiliam a prevenir os problemas de segurança;
-Obter informações sobre vírus;
-Conhecer as fragilidades de redes de computadores;
-Conhecer os alertas de segurança antes de um ataque de rede;
-Conhecer como recuperar uma rede após um ataque. 
Exploit em segurança da informação, é um programa de computador, uma porção de dados ou uma sequencia de comandos que se aproveita das vulnerabilidades de um sistema computacional – como o próprio sistema operacional ou serviços de interação de protocolos (ex: servidores web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas.
Aula 4
Ameaças aos Sistemas de Informação
Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos motivados não só pela difusão da Internet, que cresceu de alguns milhares de usuários no início da década de 1980 para centenas de milhões de usuários ao redor do globo nos dias de hoje, como também  pela  democratização da informação.  A internet tornou-se  um  canal on-line para fazer negócios, porém  viabilizou  também a atuação dos ladrões do mundo digital, seja hackers ou leigos mal-intencionados. Proporcionou também  a propagação de códigos maliciosos, spam, e outros inúmeros inconvenientes que colocam em risco a segurança de uma corporação.
Outros fatores também contribuíram para impulsionarem o crescimento dos incidentes de segurança, tais como:
O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurança nos sistemas operacionais utilizados em servidores e estações de trabalho.
O processo de mitigar tais vulnerabilidades com a aplicação de correções do sistema, realizadas muitas vezes de forma manual e individual: de máquina em máquina.
A complexidade e a sofisticação dos ataques, que  assumem  as formas mais variadas, como, por exemplo: infecção por vírus, acesso não autorizado, ataques denial of service  contra redes e sistemas, furto de informação proprietária,  invasão de sistemas, fraudes internas e externas, uso não autorizado de redes sem fio, entre outras.
É a conjunção dessas condições que culmina  na parada generalizada de sistemas e redes corporativas ao redor do mundo.
Uma ameaça segundo a definição da RFC 2828, Internet security glossary, é:
Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
Segundo Marcos Sêmola, as ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de:
Confidencialidade
Integridade
Disponibilidade
Que causam impacto nos NEGÓCIOS.
Quando classificadas quanto a sua intencionalidade as ameaças podem ser:
Naturais: ameaças decorrentes de fenômenos da natureza, como incêndios, terremotos, tempestades e etc.
Involuntárias: ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia e etc.
Voluntárias: ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladroes, criadores e disseminadores de vírus de computadores, incendiários.
Códigos maliciosos (Malware)
Segundo o Wikipédia, o termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers,  bots, rootkits e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra citada.
Vírus
O vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outrosprogramas e arquivos de um computador. 
Para se tornar ativo  e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro .
Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário”, até alterar ou destruir programas e arquivos do disco.
Como uma máquina pode ser infectada? 
É preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como:
-Abrir arquivos anexados aos e-mails;
-Abrir arquivos do Word, Excel, etc;
-Abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos;
-Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquetes,pen drives, CDs, DVDs, etc;
-Ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado.
Worms
Programa capaz de se propagar automaticamente através de redes, enviando cópias  de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Geralmente o worm não  tem como consequência  mesmos danos gerados por um vírus, mas são  notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.
Cavalos de Tróia
São programas que parecem úteis mas tem código destrutivo embutido. Além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.
Normalmente é um programa, normalmente recebido como um “presente”, que além de executar  funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia:
•instalação keyloggers ou screenloggers; 
•furto de senhas e outras informações sensíveis, como números de cartões de crédito;
•inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;
•alteração ou destruição de arquivos.
Adware
É um tipo de software especificamente projetado para apresentar propagandas, seja através  de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos.
Spyware
Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas.
Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa.
Listamos abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou malicioso:
-Monitoramento de URLs acessadas enquanto o usuário navega na Internet;
-Alteração da página inicial apresentada no browser do usuário;
-Varredura dos arquivos armazenados no disco rígido do computador;
-Monitoramento e captura de informações inseridas em outros programas, como  processadores de texto;
-Instalação de outros programas spyware;
-Monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse
-Captura de senhas bancárias e números de cartões de crédito;
-Captura de outras senhas usadas em sites de comércio eletrônico.
Backdoors
Nome dado a programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim sem precisar recorrer aos métodos utilizados na invasão.  Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado.
A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto (através da Internet).  O backdoor  pode  ser incluído por um vírus, através de um cavalo de tróia ou pela a  instalação de pacotes de software.
Keyloggers
Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. As informações capturadas podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito.  Sua  ativação está condicionada a uma ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo, através de e-mails).  A contaminação por Keylogger, geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os Trojans.
Screenloggers
Formas mais avançadas de keyloggers  que além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado,  também são capazes de  armazenar a região  que circunda a posição onde o mouse é clicado.
Rootkits
Conjunto de programas que fornecem mecanismos  para esconder e assegurar a presença de um invasor.  O nome rootkit não indica que o conjunto de ferramentas que o compõem  são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.
Um rootkit pode fornecer programas com as mais diversas funcionalidades:
•programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;
•backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits); 
• programas para capturar informações na rede onde o computador está  localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
•programas para remoção de evidências em arquivos de logs;
•programas para mapear potenciais vulnerabilidades em outros computadores;
Bots e Botnets
Segundo a wikipédia, uma botnet é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores utilizando software de computação distribuída.
Potenciais Atacantes
Existem controvérsias  sobre o conceito e a nomenclatura  dos possíveis atacantes.
1.Hackers - Pessoa com amplo conhecimento de programação e noções de rede e internet.  Não desenvolvem vulnerabilidade, apenas copiam vulnerabilidades publicadas em sites especializados;
2.White-hats - Exploram os problemas de segurança para divulgá-los abertamente;
Crackers - Pessoas que invadem  sistemas em rede ou computadores apenas por desafio;
3. Crackers - Pessoas que invadem  sistemas em rede ou computadores apenas por desafio;
4.Black-hats - Usam suas descobertas e habilidades em benefício próprio, extorsão, fraudes, etc.
5.Pheakres - Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou  realizam chamadas sem tarifação;6.Wannabes - Ou script-kiddies são aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos;
7.Defacers - São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las;
Ameaças passivas x ativas:
Nós vimos que as ameaças podem ser classificadas quanto a sua intencionalidade e podem ser classificadas quanto a sua origem:
Interna
Externa
Ela pode ser interna, pois nem sempre o principal “inimigo” está fora da nossa empresa, como um hacker ou um cracker, mas sim dentro dela, como um funcionário mal intencionado ou muito insatisfeito, que geralmente possui livre acesso aos recursos disponíveis e que podem comprometer a integridade e a privacidade de informações estratégicas da empresa.
Segundo Stallings, na literatura os termos ameaças e ataque normalmente são usados para designar mais ou menos a mesma coisa:
Ameaça: potencial para violação da segurança quando há uma circunstancia, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
Ataque: um ataque a segurança do sistema, derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a politica de segurança de um sistema.
Podemos classificar os ataques como:
Passivo: possuem a natureza de bisbilhotar ou monitorar transmissões. O objetivo dos ataques passivos é obter informações que estão sendo transmitidas.
Ativo: envolvem alguma modificação do fluxo de dados ou criação de um fluxo falso. Os ataques ativos envolvem alguma modificação do fluxo de ados ou a criação de um fluxo falso e podem ser subdivididos em quatro categorias: disfarce, modificação de mensagem, repetição e negação de serviço.
Como proteger seu computador contra as ameças?
Segundo a cartilha de Segurança para internet do CERT.br, uma das formas de proteger um computador é:
Manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correções de segurança (patches) disponíveis aplicadas, para evitar que possuam vulnerabilidade.
Também é recomendada a utilização de antivírus, mantendo-os sempre atualizados, pois em muitos casos permite detectar e até mesmo evitar a propagação de um bot. Porém o antivírus só será capas de detectar bots conhecidos.
Ao final de nosso estudo podemos concluir que:
A tendência é que as ameaças ou ataques à segurança continuem a crescer não apenas em ocorrência, mas também em velocidade, complexidade e alcance, tornando o processo de prevenção e de mitigação de incidentes cada vez mais difícil e sofisticado. Novas formas de infecção podem surgir. Portanto,  é importante manter-se informado através de jornais, revistas e de sites sobre segurança e de  fabricantes de antivírus.
Aula 5
Com o avanço das tecnologias e a valorização da informação nas organizações, o profissional da área de TI necessita atualmente além de ter conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores, noção sobre psicologia dos atacantes, seus perfis de comportamento e motivações que os levam a realizar um ataque. 
Deverá também ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas deverão ser adotadas pela organização.
Para que um ataque ocorra, normalmente o atacante irá seguir os seguintes passos: 
Levantamento das informações:
A fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o alvo em avaliação antes do lançamento do ataque.
Existem duas formas de realizar o reconhecimento: ativo e passivo.
O reconhecimento passivo envolve a aquisição de informação sem interação direta com o alvo.
O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico por meio do help desk ou departamento técnico.
Exploração das informações
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping.
Obtenção de Acesso
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do alvo escolhido, o grau de conhecimento do atacante e o nível de acesso obtido. 
Nesta fase o atacante poderá obter acesso em nível de: sistema operacional, aplicação e rede.
Manutenção do Acesso
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-la de outros atacantes da utilização de “acessos exclusivos” obtidos através da utilização de “acesso exclusivos” obtidos através de rootkit, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da maquina atacada. Nesta fase o sistema atacado poderá ficar comprometido.
	
Camuflagem das Evidencias
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na maquina hospedeira, na utilização indevida dos recursos computacionais. Podemos citar como técnicas utilizadas nesta fase a esteganografia, o tunelamento e a alteração dos arquivos de log.
Principais tipos de ataque
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema.  Estes ataques podem ser classificados como:
Ataque para Obtenção de Informações
Neste tipo de ataque é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador.
Ataques aos Sistemas Operacionais
Os sistemas operacionais atuais apresentam uma natureza muito complexa devido a implementação de vários  serviços, portas abertas por padrão, além de  diversos  programas instalados. Muitas vezes a  aplicação  de patches e hotfixes não é tarefa  tão trivial devido a essa complexidade:  dos sistemas , da  rede de computadores ou ainda pela falta de conhecimento e perfil do profissional de TI.  Consequentemente os atacantes procuram e exploram as vulnerabilidades existentes nos sistemas Operacionais para obter acesso para o sistema de rede da organização.   
Ataques a Aplicação
Na maioria das vezes para conseguir entregar os produtos no prazo acordado, os desenvolvedores de software tem um tempo de desenvolvimento do produto muito curto.  Apesar de muitas organizações utilizarem metodologias baseadas na engenharia de software, as aplicações  muitas vezes são desenvolvidas com um grande número de funcionalidades e Recursos,  seja para cumprir prazos ou por falta de profissionais qualificados, não  são realizados  testes antes da  liberaração dos  produtos.
 Além disso, normalmente as caracteristicas de segurança da aplicação são oferecidas posteriormente ou muitas das vezes como um componente “add-on”. A não existência de controles de erros nas aplicações podem levar a ataques por exemplo, de buffer overflow.
Ataques de códigos pré-fabricados (shrink wrap code)
Por que reinventar a roda se existem uma série de exemplos de códigos já prontos  para serem executados?  Quando um administrador de sistemas instala um sistema operacionalou uma aplicação, normalmente já existem uma série de scripts prontos, que acompanham a instalação e que tornam o trabalho dos administradores mais fácil e mais ágil. 
Normalmente o problema na utilização destes scripts, é que  não passaram por um processo de refinamento e customização  quanto as reais necessidades de cada administrador  e quando utilizado em sua versão padrão podem  então conduzir a um ataque do tipo shrink wrap code, ou seja o atacante utiliza possível falhas de segurança nestes scripts para realizar o ataque.
Ataques de configuração mal feita (miscongiguration)
Muitos sistemas  que deveriam estar fortemente seguros, podem   apresentam vulnerabilidades caso não tenham sido configurados adequadamente. Com a complexidade dos sistemas atuais os administradores podem não ter os conhecimentos e recursos necessários para corrigir ou perceber um problema de segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam configurações simples. Para aumentar a probabilidade de  configurar um sistema adequadamente os administradores devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional, evitando que algum serviço ou software não necessário  possa ser explorado.
Principais tipos de ataque:
Packet Sniffing 
Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede. Este tipo de ataque também é conhecido como  espionagem passiva  e sua utilização diminuiu muito com a utilização de switches no lugar dos hubs.
Port Scanning
Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta.
Saiba mais: A utilização de firewalls contribui muito para evitar esse tipo de ataque. Pois além de limitar as portas que poderão ser acessadas, podemos definir os estados das conexões tcp que serão aceitos. Podemos, por exemplo, definir que para a porta 21, somente o endereço IP xpto.xpto.xpto.xpto poderá acessar.
Como funciona o Port Scanning ?
Um dos métodos de se implementar um port scanning é a partir do protocolo TCP e através da primitiva connect() onde a system call connect() é utilizada para abrir uma conexão nas portas do alvo. Se a porta estiver aberta, a system call retornará com sucesso.   
Scanning de vulnerabilidades
Após mapear os sistemas que podem ser atacados e os serviços que são executados, o atacante irá mapear as vulnerabilidades específicas para cada serviço através da utilização de um software de  scanning de vulnerabilidades.
Estes softwares possuem diversos padrões e testes para detectar vulnerabilidades.  Seu  principal alvo são aplicativos desatualizados, por exemplo:
 A versão de algum software utilizado na sua organização na qual foram achadas falhas críticas de segurança mas que a equipe técnica, por não saber dessas falhas não atualizou a versão do mesmo.
Ip Spoofing
Nesta técnica o endereço IP real do atacante é alterado, evitando assim que ele seja encontrado. Sistemas que possuem a segurança baseada em lista de endereço IP são o principal alvo desse tipo de ataque, onde o atacante se passa por um usuário legítimo.
Você sabia: A melhor forma de tentar se proteger desse tipo de ataque é com a aplicação de filtros, de acordo com as interfaces de rede onde os IPs são validados e as interfaces de rede por onde trafegam também.
SYN Flooding
Este tipo de ataque  explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma  um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas.
A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.
Para relembrar:
Three-way-handshake
O protocolo TCP é um protocolo confiável, pertencente a  pilha de protocolos TCP/IP. Para que ocorra troca de dados entre dois computadores é necessário que as duas máquinas estabeleçam uma conexão.  Essa conexão é virtual e é conhecida como uma sessão e ocorre através de um processo chamado handshake de três vias, pois ocorre em três etapas.   Esse processo sincroniza os números de seqüência e fornece outras informações necessárias para estabelecer a sessão:
O cliente manda uma requisição (SYN).
O servidor responde com SYN-ACK (quer dizer que aceitou o protocolo e estabelece a conexão).
O cliente envia as informações em forma de “pacotes”.
Fragmentação de pacotes IP
Os pacotes do protocolo TCP/IP possuem um campo MTU (maximum transfer unit) que especifica a quantidade máxima de dados que podem passar em um pacote por um meio físico da rede.  Este tipo de ataque  utiliza-se dessa característica devido ao modo como a fragmentação e o reagrupamento são implementados. Os sistemas não tentam processar o pacote até que todos os fragmentos sejam recebidos e reagrupados, isso cria a possibilidade de ocorrer um overflow na pilha do protocolo TCP quando há o reagrupamento dos pacotes.
Atenção: Esse tipo de ataque não pode ser evitado por meio da implementação de filtro de pacotes, apenas com a aplicação de correções no kernel do sistema operacional. Os atuais sistemas operacionais já lidam com esse problema.
Fraggle
Consiste em enviar um excessivo numero de pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vitima desejada. Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vitima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais.
Smurf
O ataque smurf é idêntico ao ataque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
Dica: Para evitar esse tipo de ataque o roteador não deve permitir esse tipo de comunicação para endereços broadcast por meio de suas interfaces de rede.
SQL Injection
Um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
Buffer Overflow
Conseqüência direta de péssimos hábitos de programação. Consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.
Ataque físico
Muitas vezes as organizações investem em equipamentos do tipo  firewalls e anti-vírus e pensam que estão protegidos e esquecem que os ataque não ocorrem somente pela rede de computadores. As salas aonde ficam os servidores e os equipamentos de rede devem ter um controle rígido de acesso, assim como os arquivos com dados sigilosos ou sensíveis. Um ataque físico também pode ocorrer em instâncias menores como roubo da fita magnética de backup, através da conexão de dispositivos USB, ou ainda por acesso  as informações sigilosas.
Atenção: Funcionários insatisfeitos e que possuem acesso as informações podem copiar dados sigilosos e distribui-los a concorrência ou realizar outros propósitos maléficos.
Dumpster diving ou trashing
Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos,  senhas e outros  dados importantes)  sejam triturados ou destruídos de alguma forma.
Engenharia Social
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É  um dos meios mais utilizados de obtençãode informações sigilosas e importantes. 
Isso ocorre pois a maioria da empresas não possui métodos que protejam seus funcionários das armadilhas de engenharia social. 
Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. 
Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas.
Phishing Scam
Phishing, também conhecido como phishing scam ou phishing/scam, é um método de ataque que se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular.
Dica: Novas formas de phishing estão sempre surgindo, portanto é muito importante que os profissionais de TI e segurança se mantenham informados sobre os tipos de phishing que veem sendo utilizados pelo fraudadores, através dos veículos de comunicação.
Ataque de negação de serviço (DoS)
Um ataque de negação de serviço (também conhecido como DoS é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. 
Normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis.  Neste tipo de ataque não ocorre uma invasão no sistema mas a sua invalidação por sobrecarga.  Estes tipos de ataques podem ser realizados de duas formas:
-Forçando o sistema alvo a  reinicializar ou consumir todos os seus recursos (como memória ou processamento)  de forma a não poder mais fornecer seu serviço.
-Obstruindo  a mídia de comunicação entre os clientes  e o sistema alvo de forma a não comunicarem-se adequadamente.
Ataques coordenados (DDoS)
Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço.
Como o ataque funciona??
-Consiste em fazer com que os Zumbis se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. 
-Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. 
-Como servidores web possuem um número limitado de usuários que pode atender simultaneamente, o grande e repentino número de requisições de acesso faz com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.
Existem uma série de vírus e ferramentas que foram criadas para a distribuição de rotinas de ataque de negação de serviço:
Virus: MyBalls, Slammer, Codered, MyDoom
Virus / Ferramentas: DoS/DDoS
Ferramentas: Fabu, Trin00, Bliznet, Shaft, TFN
Sequestro de conexões
As conexões do protocolo TCP são definidas por quatro informações essenciais: 
-endereço IP de origem;
-porta TCP de origem;
-endereço IP do destino;
-porta TCP do destino. 
Todo byte enviado por um host é identificado com um número de seqüência que é conhecido pelo receptor. O número de seqüência do primeiro byte é definido durante a abertura da conexão e é diferente para cada uma delas.
Neste tipo de ataque um terceiro host, do atacante, cria os pacotes com números de seqüencias válidos, colocando-se entre os dois hosts e enviando os pacotes válidos para ambos.
Voce sabia? Foram realizadas implementações no protocolo TCP/IP que praticamente inviabilizou esse tipo de ataque, que se tornou famoso por ter sido utilizado pelo Mitnick em conjunto com outras técnicas.
Source Routing
Mecanismo legítimo que foi especificado para o protocolo  IP, mas que pode ser explorado de forma ilícita. Neste tipo de ataque  define-se uma rota reversa para o tráfego de resposta, em vez de utilizar algum protocolo de roteamento padrão.
Dica: A melhor forma de evitar esse tipo de ataque é bloqueando a utilização da opção source routing, visto que normalmente não é utilizada.
Aula 6
Gestão de Riscos em Segurança da Informação
Risco
Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades.Instituto Brasileiro de Governança Corporativa.
Segundo a norma ABNT NBR ISO 31000:2009- Gestão de Risco, Princípios e Diretrizes, as organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.
“Ao longo de todo esse processo, elas comunicam e consultam as partes interessadas e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido.”
Como estabelecer o contexto de risco
Segundo Beal, os termos e definições do ISO guide 73, dizem respeito a todo e qualquer tipo de situação (ou evento) que constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento.  Como ele está estruturado de uma forma genérica e básico para o entendimento comum a organizações de diversos países, é necessário algumas adaptações para atender às necessidades dentro de um domínio específico.
Por exemplo, para as empresas do ramo do comércio/indústria, o risco  é visto como  a exposição às perdas baseada nas freqüências estimadas e custo de concorrência. Já em um organização da área de saúde, segundo a  resolução CNS 196/96, o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social, cultural.
Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover ajustes na terminologia adotada, alterando-a e expandindo-a na medida do necessário para tratar a questão dentro do escopo que está sendo estudada.
Alguns termos e definições:
Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.
Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco.
Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.
Incidente: Quando uma ameaça se concretiza.
Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes.
Risco: Probabilidade de uma ameaça explorar uma (ou várias)  vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. 
Sua escala é dada por dois fatores:
Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades;
Conseqüências trazidas pela ocorrência do incidente (impacto);
Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação, cujo valor compõe o cálculo da estimativa do risco.  Em muitos casos, a probabilidade associada a uma ameaça é calculada com base na frequência de ocorrência ; em outros, quando dados de frequência não estão disponíveis, a probabilidade pode ser estimada com baseno grau de confiança atribuído a ocorrência .
Os riscos não podem ser completamente eliminados e a porção do risco existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.
As medidas de proteção também chamada de controles, servem para elimar ou reduzir o risco, reduzindo a probabilidade de concretização de uma ameaça, as vulnerabilidades que podem ser exploradas por essa ameaça ou os impactos advindos de incidentes que venham a se concretizar.
Risco percebido: forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e prioridades.
Os riscos não podem ser completamente eliminados e a porção do risco existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.
Nem sempre o risco percebido é o risco verdadeiro.
Gestão de Riscos
Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa. O que torna algo seguro ou não, está muito mais ligado à gerência de uma série de fatores do que à compra ou implementação de uma solução de software ou hardware definitiva.  No âmbito da segurança da informação, a gestão de riscos é utilizada  com o intuito de prevenir incidentes e melhorar o nível de segurança das informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), sendo um  dos  componentes mais importantes. É por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua.
Entender os riscos associados com o negócio e a gestão da informação.
Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações.
Melhorar a eficácia no controle de riscos
Manter a reputação e imagem da organização.
Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser:
Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
Conformidade legal e a evidência da realização dos procedimentos corretos;
Preparação de um plano de continuidade de negócios;
Preparação de um plano de resposta a incidentes;
Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo.
Você sabia?
Segundo a norma  AS/NZS 4360 (primeira norma do mundo), podemos definir a gestão de risco como: 
 “Cultura, estruturas e processos voltados ao reconhecimento de oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos adversos.” 
 
E segundo a norma NBR ISO 27002: 
 “Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o risco”. 
Primeira norma do mundo sobre Gestão de Riscos: AS/NZS 4360:2004
Etapas da Gestão de Risco
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do PDCA (ciclo de desenvolviemnto que tem foco na melhoria, conhecido também como ciclo Shewhart, ciclo de Deming), que nos permite entender a gestão do Risco como um processo continuo:
Identificar e avaliar os riscos Selecionar, implementar, e operar controles para tratar os riscos verificar e analisar criticamente os riscos manter e melhorar os controles 
PDCA (Plan, Do, Check, Act)
O ciclo começa pelo planejamento, em seguida a ação ou conjunto de ações planejadas são executadas, checa-se se o que foi feito estava de acordo com o planejado, constantemente e repetidamente (ciclicamente), e toma-se uma ação para eliminar ou ao menos mitigar defeitos no produto ou na execução. Os passos são os seguintes:
Plan (planejamento) : estabelecer uma meta ou identificar o problema (um problema tem o sentido daquilo que impede o alcance dos resultados esperados, ou seja, o alcance da meta); analisar o fenômeno (analisar os dados relacionados ao problema); analisar o processo (descobrir as causas fundamentais dos problemas) e elaborar um plano de ação.
Do (execução) : realizar, executar as atividades conforme o plano de ação.
Check (verificação) : monitorar e avaliar periodicamente os resultados, avaliar processos e resultados, confrontando-os com o planejado, objetivos, especificações e estado desejado, consolidando as informações, eventualmente confeccionando relatórios. Atualizar ou implantar a gestão à vista.
Act (ação): Agir de acordo com o avaliado e de acordo com os relatórios, eventualmente determinar e confeccionar novos planos de ação, de forma a melhorar a qualidade, eficiência e eficácia, aprimorando a execução e corrigindo
Uma forma mais detalhada e que facilita a análise do processo de gestão de risco é apresentada a seguir, cobrindo todo o ciclo de vida do risco, desde a sua identificação até a sua comunicação às partes envolvidas:
Análise e avaliação dos riscos 
Cobre todo o processo de identificação das ameaças e estimativa de risco. Inicia-se com a identificação dos riscos e seus elementos, já estudados anteriormente:
Alvos Agentes Ameaças Vulnerabilidades Impactos
A decomposição do risco (na figura anterior)  e seus componentes e a posterior avaliação da “características mesuráveis” desses componentes levam a uma estimativa do valor do risco, que pode depois ser comparado com uma referência para que sua relevância seja determinada, possibilitando a tomada de decisão quanto a aceitá-lo ou tratá-lo.
Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que costumam ser classificadas como:
Quantitativa: A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras. Os métodos quantitativos costuma ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade.
Qualitativa: Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. O que torna o processo mais rápido. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Vários métodos de avaliação qualitativa do risco utilizam questionários e matrizes de risco.
Tratamento dos Riscos
Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação possível é:
Medidas Preventivas: Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo; sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
Medidas corretivas ou reativas: Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento.
Métodos Detectivos: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
Aceitação do risco
Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de trata-lo.
Comunicação do risco
Divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisem ter conhecimento a respeito deles.  Uma das melhores formas de se comunicar os riscos de maneira genérica, com o intuito de notificar os colaboradores a respeito deles, é desenvolver e manter campanha de conscientização de segurança.
A gestão do risco precisa ser desenvolvida de forma permanente e iterativa, para que mudanças nos sistemas e na forma como são usados, no perfil dos usuários, no ambiente,na tecnologia, nas ameaças, nas vulnerabilidades e em outras variáveis pertinentes não tornem obsoletos os requisitos de segurança estabelecidos. Esta etapa consiste na verificação continua, supervisão, observação critica ou determinação da situação visando identificar alteração no nível de desempenho requerido ou esperado dos riscos.
Riscos, medidas de segurança e o ciclo de segurança
Segundo Sêmola, para um melhor entendimento da amplitude e complexidade da segurança, é comum estudarmos os desafios em camadas ou fases para tornar mais claro o entendimento de cada uma delas. Estas fases são chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita integração e interação:
Barreira 1: Desencorajar
Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase.
Barreira 02: Dificultar
O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
Barreira 03: Discriminar
Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados.
Barreira 04: Detectar
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo.
Barreira 05: Deter
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
Barreira 06: Diagnosticar
Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo.  Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos.
Equação do risco
Cada negócio, independente de seu segmento de mercado possui dezenas  ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco. 
 
O risco é a probabilidade de que agentes, que são as ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impacto nos negócios. 
Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo , assim o risco.
R = V x A x I
R= risco 
V= Vulnerabilidade
A= Ameaças
I= Impactos
M= Medidas de segurança
Por melhor que estejam protegidos os ativos, novas tecnologias, mudanças organizacionais e novos processos podem criar vulnerabilidades ou identificar e chamar atenção para as já existentes. Além disso, novas ameaças podem surgir e aumentar significativamente a possibilidade de impactos no negócio. 
É fundamental que todos tenhamos a consciência de não existe segurança total, e por isso, devemos estar bem estruturado para suportar  mudanças nas variáveis da equação, reagindo com velocidade e ajustando o risco novamente aos padrões pré-especificados como ideal para o negócio e lembrando que sempre será necessário avaliar o nível de segurança apropriado para cada momento vivido pela empresa.  
Aula 7
Segurança da Informação Segundo a NBR ISO/IEC 27002 (antiga ISO 17799)
ISO é uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva.
Como o Brasil participa da ISSO?
Através da ABNT que é uma sociedade privada sem fins lucrativos. Foi fundada em 194- para fornecer a base necessária ao desenvolvimento tecnológico brasileiro e é o órgão responsável pela normalização técnica no pais.
Existem vários grupos participantes da ABNT sobre os mais variados temas. No caso da informática o grupo responsável pela discussão das normas é o CB-21 – Computadores e Processamento de Dados. Este grupo tem como objetivo a normalização no campo de computadores e processamento de dados compreendendo automação bancaria, comercial, industrial e do controle de acesso por bilhetes codificados; automação e informática na geração, transmissão e distribuição de dados; segurança em instalações de informática, técnicas criptográficas, gerenciamento em OSI; protocolo de serviços de níveis interiores e cabos e conectores para redes locais, no que concerne a terminologia, requisitos, métodos de ensaio e generalidades.
27000 – Descrição e Vocabulário – proporciona terminologia e correspondência entre as normas 27000.
27001 – Requisitos SGSI – proporciona os fundamentos de um SGSI
27002 – Código de práticas – proporciona as melhores praticas de controle para implantação do SGSI.
27003 – Guia para implantação – proporciona diretrizes detalhadas para a implantação de um SGSI
27004 – Proporciona a metodologia para a mediação da efetividade do SGSI (27001) e dos controles (27002)
27005 - Gestão de riscos – proporciona uma metodologia para uso do SGSI (27001)
27006 - Requisitos para Acreditação – proporciona os requisitos para acreditação de organismos de certificação e de auditores para fins de certificação de SGSI (27001)
27007 – Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação.
27008 – Orientações para Auditores de Sistema de Segurança da Informação.
Saiba Mais
Entre as organizações que produzem padrões internacionais estão a IEC e a ISO.
Segundo a NBR ISO/IEC27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais.
Requisitos de Negócio: uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negocio para processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
Analise de Risco: a partir da analise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
Requisitos Legais: Legislação vigente, estatutos, regulamentação e clausulas contratuais que a organização, seus parceiros comercias, contratados e provedores de serviço tem que atender.
Analisando/avaliando os riscos de segurança da informação
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma analise/avaliação sistemática dos riscos de segurança da informação. Os resultados desta analise ajudarão a direcionar e a determinar as ações gerenciais apropriadas, as prioridades para o gerenciamento dos riscos da segurança da informação e a implementação dos controles selecionados para a proteção contra estes riscos.
Após a identificação dos requisitos e dos riscos de segurança da informação