Baixe o app para aproveitar ainda mais
Prévia do material em texto
PROFESSORA ADRIANE AP. LOPER Engenheira da Computação Mestre em Educação SEGURANÇA DA INFORMAÇÃO Aula 1 Segurança da informação Por que devo me preocupar com a segurança do meu computador? Realizam: Transações financeiras Compra de produtos e serviços, Comunicação (e-mails), Armazenamento de dados. Por que devo me preocupar com a segurança do meu computador? Possibilitam Furtos e utilização por terceiros de senhas e números de cartões, Utilização de sua conta de acesso, Dados pessoais/comerciais alterados, destruídos ou visualizados por terceiros, Inutilização ou utilização inadequada. Você já pesquisou seu nome na internet? SEGURANÇA DA INFORMAÇÃO Aula 2 Segurança da informação Vamos detalhar um pouco Dados; Informação; Conhecimento. Dados, informações e conhecimento Dado – é qualquer elemento identificado em sua forma bruta que, por si só não conduz a uma compreensão de determinado fato ou situação. Dado Transformado Informação Informação – é o dado trabalhado , acrescido de significado, relevância, contexto, propósito. Dados e informações Informação Transformada Conhecimento Conhecimento – é a capacidade para o executivo tomar uma ação efetiva. Bem precioso:Informação Informação é muito mais do que um conjunto de dados. Transformar estes dados em informação é transformar algo com pouco significado em um recurso de valor para nossa vida pessoal ou profissional. (FONTES, 2005.) Evolução dos dados SEGURANÇA DA INFORMAÇÃO Aula 1 Segurança da informação Vamos detalhar um pouco Dados; Informação; Conhecimento. Dados, informações e conhecimento Dado – é qualquer elemento identificado em sua forma bruta que, por si só não conduz a uma compreensão de determinado fato ou situação. Dado Transformado Informação Informação – é o dado trabalhado , acrescido de significado, relevância, contexto, propósito. Dados e informações Informação Transformada Conhecimento Conhecimento – é a capacidade para o executivo tomar uma ação efetiva. Bem precioso:Informação Informação é muito mais do que um conjunto de dados. Transformar estes dados em informação é transformar algo com pouco significado em um recurso de valor para nossa vida pessoal ou profissional. (FONTES, 2005.) Evolução dos dados Vídeo Riscos relacionados ao uso da Internet Segurança da informação Segurança da informação SEGURANÇA = CULTURA + TECNOLOGIA Processos + Componentes Humanos (variáveis imprevisíveis) (impedem uma total automação da segurança) Problemas Técnicos (variáveis previsíveis) Tecnologia Pessoas Processos a Informação A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida (NBR 17999, 2003). Informação Ativo é qualquer elemento que tenha valor para uma organização. Pode ser a informação, equipamentos ou pessoas. Segurança da Informação A segurança da informação protege a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios, minimizando os danos aos negócios e maximizando o retorno dos investimentos e oportunidades. (NBR ISO/IEC 27002:2007 (ABNT) Pilares da segurança da informação Segurança da Informação Pilares da SI Confidencialidade: A informação somente pode ser acessada por pessoas explicitamente autorizadas; É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. Pilares da SI Confidencialidade: O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas. Propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Pilares da SI Integridade: A informação deve ser retornada em sua forma original no momento em que foi armazenada; É a proteção dos dados ou informações contra modificações intencionais ou acidentais não- autorizadas. Pilares da SI Integridade: Propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida: nascimento, manutenção e destruição. Pilares da SI Disponibilidade: A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária; Propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Pilares da SI Autenticidade: Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão a origem do dado ou informação; Pilares da SI Não repúdio Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado; Pilares da SI Legalidade Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes. Pilares da SI Privacidade Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida /alterada somente pelo seu dono. Pilares da SI Privacidade Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencialidade a informação); É a capacidade de um usuário realizar ações em um sistema sem que seja identificado. Pilares da SI Auditoria Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Pilares da SI Auditoria Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria; Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança. Video Informática para Concursos – Aula 1 - Segurança da Informação Perguntas Definições Apesar do nome, a Engenharia Social nada tem a ver com ciências exatas ou sociologia. Na verdade, trata-se de uma das mais antigas técnicas de roubo de informações importantes de pessoas descuidadas, através de uma boa conversa (Virinfo,2002). Consiste na habilidade de obter informações ou acesso indevido a determinado ambiente ou sistema, utilizando técnicas de persuasão (Vargas,2002). Engenharia Social 1) O QUE É..... Convencer Arte de Confundir Conseguir informações Engenharia Social 2) MÉTODOS Se passar por outra pessoa Arte de Se fazer de amigo Conversar com um desconhecido e descobrir tudo sobre ele Engenharia Social 3) HABILIDADES Ser educado, ágil. Estudar o alvo, um plano bem elaborado. Ter contatos, networking Video Evolucine - 058 - Prenda-me Se For Capaz Video Chamada Domingo Maior: "Prenda-me Se For Capaz" [2008] Video VIPs - O FIlme (Trailer HD) Intrusos Tiposde Intrusos Objetivos Estudantes Bisbilhotar mensagens de correio eletrônico de outras pessoas por diversão; Hackers/Crackers Testar sistemas de segurança, ou roubar informações; Representantes Comerciais Descobrir planilhas de preços e cadastro de clientes; Executivos Descobrir plano estratégico dos concorrentes; Ex-funcionários Sabotagem por vingança; Intrusos Tipos de Intrusos Objetivos Contadores Desfalques financeiros; Corretores de valores Distorcer informações para lucrar com o valor das ações; Vigaristas Roubar informações, como senhas e números de cartões de crédito; Espiões Descobrir planos militares; Terroristas Espalhar pânico pela rede e roubo de informações estratégicas. Crimes Virtuais mais comuns Crimes Virtuais Roubo de identidade: Os piratas virtuais enganam os internautas e se apoderam de suas informações pessoais para fazer compras on-line ou realizar transferências financeiras indevidamente. Pedofilia: Internautas criam sites ou fornecem conteúdo (imagens e vídeos) relacionado ao abuso sexual infantil. Crimes Virtuais Calúnia e difamação: Divulgação de informações --muitas vezes mentirosas-- que podem prejudicar a reputação da vítima. Estes crimes tornaram-se mais comuns com a popularização das redes sociais Ameaça: Ameaçar uma pessoa --via e-mail ou posts, por exemplo--, afirmando que ela será vítima de algum mal. Crimes Virtuais Discriminação: Divulgação de informações relacionadas ao preconceito de raça, cor, etnia, religião ou procedência nacional. Também tornou-se mais comum com a popularização das redes sociais. Crimes Virtuais Espionagem industrial: Transferência de informações sigilosas de uma empresa para o concorrente. A tecnologia facilita este tipo de ação, já que um funcionário pode copiar --em um palmtop ou pendrive, por exemplo-- o equivalente a quilos de documentos. Crimes Virtuais Cyberbullying: É um tipo de bullying . É a prática realizada através da internet que busca humilhar e ridicularizar os alunos, pessoas desconhecidas e também professores perante a sociedade virtual. Legislação brasileira 2012 A Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) do Senado aprovou hoje (29/08) o projeto de lei PL 35/2012 que deve regulamentar pela primeira vez os crimes cibernéticos no país. O documento já recebeu o apelido de “Lei Dieckmann”, em referência às fotos eróticas vazadas na internet da atriz Carolina Dieckmann. Legislação brasileira 2012 Vai passar a julgar crimes digitais como sendo puníveis com algo entre três e 12 meses de prisão. O texto do projeto especifica que “invadir computadores ou qualquer outro dispositivo de informática de terceiros com o objetivo de adulterar, destruir ou obter informações sem autorização” poderá sem punido. Leia mais em: http://www.tecmundo.com.br/projeto-de- lei/29175-primeira-legislacao-para-internet-e-aprovada-no- senado.htm#ixzz2ZzfbKakv Atividade em sala No próximo filme, Engenharia Social. Descrever um pouco da cena e o que foi identificado. Video Engenharia Social Conclusão SEGURANÇA DA INFORMAÇÃO Aula 3 Segurança da informação Segurança da informação Segurança da informação SEGURANÇA = CULTURA + TECNOLOGIA Processos + Componentes Humanos (variáveis imprevisíveis) (impedem uma total automação da segurança) Problemas Técnicos (variáveis previsíveis) Tecnologia Pessoas Processos Informação A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida (NBR 17999, 2003). Informação Ativo é qualquer elemento que tenha valor para uma organização. Pode ser a informação, equipamentos ou pessoas. Segurança da Informação A segurança da informação protege a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios, minimizando os danos aos negócios e maximizando o retorno dos investimentos e oportunidades. (NBR ISO/IEC 27002:2007 (ABNT) Pilares da segurança da informação Segurança da Informação Pilares da SI Confidencialidade: A informação somente pode ser acessada por pessoas explicitamente autorizadas; É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. Pilares da SI Confidencialidade: O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas. Propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Pilares da SI Integridade: A informação deve ser retornada em sua forma original no momento em que foi armazenada; É a proteção dos dados ou informações contra modificações intencionais ou acidentais não- autorizadas. Pilares da SI Integridade: Propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida: nascimento, manutenção e destruição. Pilares da SI Disponibilidade: A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária; Propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Pilares da SI Autenticidade: Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão a origem do dado ou informação; Pilares da SI Não repúdio Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado; Pilares da SI Legalidade Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes. Pilares da SI Privacidade Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida /alterada somente pelo seu dono. Pilares da SI Privacidade Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencialidade a informação); É a capacidade de um usuário realizar ações em um sistema sem que seja identificado. Pilares da SI Auditoria Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Pilares da SI Auditoria Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria; Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança. Video Informática para Concursos – Aula 1 - Segurança da Informação Perguntas Definições Apesar do nome, a Engenharia Social nada tem a ver com ciências exatas ou sociologia. Na verdade, trata-se de uma das mais antigas técnicas de roubo de informações importantes de pessoas descuidadas, através de uma boa conversa (Virinfo,2002).Consiste na habilidade de obter informações ou acesso indevido a determinado ambiente ou sistema, utilizando técnicas de persuasão (Vargas,2002). Engenharia Social 1) O QUE É..... Convencer Arte de Confundir Conseguir informações Engenharia Social 2) MÉTODOS Se passar por outra pessoa Arte de Se fazer de amigo Conversar com um desconhecido e descobrir tudo sobre ele Engenharia Social 3) HABILIDADES Ser educado, ágil. Estudar o alvo, um plano bem elaborado. Ter contatos, networking Video Evolucine - 058 - Prenda-me Se For Capaz Video Chamada Domingo Maior: "Prenda-me Se For Capaz" [2008] Video VIPs - O FIlme (Trailer HD) Intrusos Tipos de Intrusos Objetivos Estudantes Bisbilhotar mensagens de correio eletrônico de outras pessoas por diversão; Hackers/Crackers Testar sistemas de segurança, ou roubar informações; Representantes Comerciais Descobrir planilhas de preços e cadastro de clientes; Executivos Descobrir plano estratégico dos concorrentes; Ex-funcionários Sabotagem por vingança; Intrusos Tipos de Intrusos Objetivos Contadores Desfalques financeiros; Corretores de valores Distorcer informações para lucrar com o valor das ações; Vigaristas Roubar informações, como senhas e números de cartões de crédito; Espiões Descobrir planos militares; Terroristas Espalhar pânico pela rede e roubo de informações estratégicas. Crimes Virtuais mais comuns Crimes Virtuais Roubo de identidade: Os piratas virtuais enganam os internautas e se apoderam de suas informações pessoais para fazer compras on-line ou realizar transferências financeiras indevidamente. Pedofilia: Internautas criam sites ou fornecem conteúdo (imagens e vídeos) relacionado ao abuso sexual infantil. Crimes Virtuais Calúnia e difamação: Divulgação de informações --muitas vezes mentirosas-- que podem prejudicar a reputação da vítima. Estes crimes tornaram-se mais comuns com a popularização das redes sociais Ameaça: Ameaçar uma pessoa --via e-mail ou posts, por exemplo--, afirmando que ela será vítima de algum mal. Crimes Virtuais Discriminação: Divulgação de informações relacionadas ao preconceito de raça, cor, etnia, religião ou procedência nacional. Também tornou-se mais comum com a popularização das redes sociais. Crimes Virtuais Espionagem industrial: Transferência de informações sigilosas de uma empresa para o concorrente. A tecnologia facilita este tipo de ação, já que um funcionário pode copiar --em um palmtop ou pendrive, por exemplo-- o equivalente a quilos de documentos. Crimes Virtuais Cyberbullying: É um tipo de bullying . É a prática realizada através da internet que busca humilhar e ridicularizar os alunos, pessoas desconhecidas e também professores perante a sociedade virtual. Legislação brasileira 2012 A Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) do Senado aprovou hoje (29/08) o projeto de lei PL 35/2012 que deve regulamentar pela primeira vez os crimes cibernéticos no país. O documento já recebeu o apelido de “Lei Dieckmann”, em referência às fotos eróticas vazadas na internet da atriz Carolina Dieckmann. Legislação brasileira 2012 Vai passar a julgar crimes digitais como sendo puníveis com algo entre três e 12 meses de prisão. O texto do projeto especifica que “invadir computadores ou qualquer outro dispositivo de informática de terceiros com o objetivo de adulterar, destruir ou obter informações sem autorização” poderá sem punido. Leia mais em: http://www.tecmundo.com.br/projeto-de- lei/29175-primeira-legislacao-para-internet-e-aprovada-no- senado.htm#ixzz2ZzfbKakv Atividade em sala No próximo filme, Engenharia Social. Descrever um pouco da cena e o que foi identificado. Video Engenharia Social Conclusão SEGURANÇA DA INFORMAÇÃO Aula 5 Segurança da informação Pilares da segurança da informação Segurança da Informação Pilares da SI Confidencialidade: A informação somente pode ser acessada por pessoas explicitamente autorizadas; É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. Pilares da SI Confidencialidade: O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas. Propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Pilares da SI Integridade: A informação deve ser retornada em sua forma original no momento em que foi armazenada; É a proteção dos dados ou informações contra modificações intencionais ou acidentais não- autorizadas. Pilares da SI Integridade: Propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida: nascimento, manutenção e destruição. Pilares da SI Disponibilidade: A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária; Propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. SEGURANÇA DA INFORMAÇÃO Aula 6 Segurança da informação Pilares da SI Autenticidade: Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão a origem do dado ou informação; Pilares da SI Não repúdio Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado; Pilares da SI Legalidade Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes. Pilares da SI Privacidade Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida /alterada somente pelo seu dono. Pilares da SI Privacidade Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencialidade a informação); É a capacidade de um usuário realizar ações em um sistema sem que seja identificado. Pilares da SI Auditoria Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Pilares da SI Auditoria Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria; Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança. SEGURANÇA DA INFORMAÇÃO Aula 7 Segurança da informação Definições de Engenharia Social Apesar do nome, a Engenharia Social nada tem a ver com ciências exatas ou sociologia. Na verdade, trata-se de uma das mais antigas técnicas de roubo de informações importantes de pessoas descuidadas, através de uma boa conversa (Virinfo,2002). Consiste na habilidade de obter informações ou acesso indevido a determinado ambienteou sistema, utilizando técnicas de persuasão (Vargas,2002). Engenharia Social 1) O QUE É..... Convencer Arte de Confundir Conseguir informações Engenharia Social 2) MÉTODOS Se passar por outra pessoa Arte de Se fazer de amigo Conversar com um desconhecido e descobrir tudo sobre ele Engenharia Social 3) HABILIDADES Ser educado, ágil. Estudar o alvo, um plano bem elaborado. Ter contatos, networking Intrusos Tipos de Intrusos Objetivos Estudantes Bisbilhotar mensagens de correio eletrônico de outras pessoas por diversão; Hackers/Crackers Testar sistemas de segurança, ou roubar informações; Representantes Comerciais Descobrir planilhas de preços e cadastro de clientes; Executivos Descobrir plano estratégico dos concorrentes; Ex-funcionários Sabotagem por vingança; Intrusos Tipos de Intrusos Objetivos Contadores Desfalques financeiros; Corretores de valores Distorcer informações para lucrar com o valor das ações; Vigaristas Roubar informações, como senhas e números de cartões de crédito; Espiões Descobrir planos militares; Terroristas Espalhar pânico pela rede e roubo de informações estratégicas. SEGURANÇA DA INFORMAÇÃO Aula 8 Segurança da informação Crimes Virtuais mais comuns Crimes Virtuais Roubo de identidade: Os piratas virtuais enganam os internautas e se apoderam de suas informações pessoais para fazer compras on-line ou realizar transferências financeiras indevidamente. Pedofilia: Internautas criam sites ou fornecem conteúdo (imagens e vídeos) relacionado ao abuso sexual infantil. Crimes Virtuais Calúnia e difamação: Divulgação de informações --muitas vezes mentirosas-- que podem prejudicar a reputação da vítima. Estes crimes tornaram-se mais comuns com a popularização das redes sociais Ameaça: Ameaçar uma pessoa --via e-mail ou posts, por exemplo--, afirmando que ela será vítima de algum mal. Crimes Virtuais Discriminação: Divulgação de informações relacionadas ao preconceito de raça, cor, etnia, religião ou procedência nacional. Também tornou-se mais comum com a popularização das redes sociais. Crimes Virtuais Espionagem industrial: Transferência de informações sigilosas de uma empresa para o concorrente. A tecnologia facilita este tipo de ação, já que um funcionário pode copiar --em um palmtop ou pendrive, por exemplo-- o equivalente a quilos de documentos. Crimes Virtuais Cyberbullying: É um tipo de bullying . É a prática realizada através da internet que busca humilhar e ridicularizar os alunos, pessoas desconhecidas e também professores perante a sociedade virtual. Legislação brasileira 2012 A Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) do Senado aprovou hoje (29/08) o projeto de lei PL 35/2012 que deve regulamentar pela primeira vez os crimes cibernéticos no país. O documento já recebeu o apelido de “Lei Dieckmann”, em referência às fotos eróticas vazadas na internet da atriz Carolina Dieckmann. Legislação brasileira 2012 Vai passar a julgar crimes digitais como sendo puníveis com algo entre três e 12 meses de prisão. O texto do projeto especifica que “invadir computadores ou qualquer outro dispositivo de informática de terceiros com o objetivo de adulterar, destruir ou obter informações sem autorização” poderá sem punido. Leia mais em: http://www.tecmundo.com.br/projeto-de- lei/29175-primeira-legislacao-para-internet-e-aprovada-no- senado.htm#ixzz2ZzfbKakv SEGURANÇA DE INFORMAÇÃO Aula 9 Segurança de informação SEGURANÇA Políticas, Procedimentos e Medidas Técnicas Abrange Acesso não autorizado Alteração, Roubo ou Danos Físicos Impedir DE SI PARA VULNERABILIDADES Publicação de Steve Bellovin, na lista de distribuição de firewalls em 10 de dezembro de 1992: “Um invasor não tenta transpor as barreiras encontradas, ele vai ao redor delas buscando o ponto mais vulnerável.” AMEAÇAS, VULNERABILIDADES Falha (ou conjunto) que pode ser explorada por ameaças VULNERABILIDADE salas mal planejadas, segurança fora dos padrões exigidos. 1. Físicas: 2. Naturais: 3. Hardware: tempestades, incêndio, aumento da umidade e temperatura. desgaste do equipamento, obsolescência, má utilização. má instalação, erros de configuração, vazamento, perda de dados/ infos, indisponibilidade de recursos. VULNERABILIDADE 4. Software: 5. Mídias: perdidos, danificados, expostos à radiação. acessos não autorizados, perda de comunicação. VULNERABILIDADE 6. Comunicação: 7. Humanas: engenharia social, falta de treinamento, falta de conscientização, não seguimento das políticas de segurança. SEGURANÇA DE INFORMAÇÃO Aula 10 Segurança de informação AMEAÇAS AMEAÇA? Causa potencial de um incidente, que caso se concretize pode resultar em dano. CONCEITOS Ameaças Em inglês, é utilizado o termo “threat” para definir ameaça. Definição Qualquer circunstância ou evento com o potencial de causar impacto negativo sobre a integridade, confidencialidade ou disponibilidade de informação ou sistemas de informação. Consequências de uma ameaça: Uma violação de segurança resultado da ação de uma ameaça. Inclui: divulgação, usurpação, decepção e rompimento. CONSEQUÊNCIAS Classificação Naturais – Incêndios naturais, enchentes, terremotos etc. Involuntárias – Causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia etc. Voluntárias – Propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários. CLASSIFICAÇÕES Categoria de ameaça Exemplo 1. Erro ou falha humana Acidentes, erros de empregados 2. Violação de propriedade intelectual Pirataria, violação de leis 3. Espionagem Acesso não autorizado, obtenção de dados 4. Revelação deliberada de informação Conversa com amigos, fóruns, sala de aula etc. 5. Sabotagem ou vandalismo Destruição de sistemas 6. Roubo Roubo de equipamento ou dados 7. Ataque à Software Vírus, ataques, SPAMs etc. Categoria de ameaça Exemplo 8. Problemas na qualidade de serviços prestados por fornecedores e terceiros Energia elétrica, telecomunicações 9. Forças da natureza Incêndio, inundações, etc 10. Erros ou falhas em hardwares Equipamento “queimado” 11. Erros ou falhas em softwares Bugs, problemas de código, etc 12. Tecnologia obsoleta Servidor com sistema operacional de 1997 13. Cyberguerra / CyberTerrorismo Ataque de outros países
Compartilhar