Baixe o app para aproveitar ainda mais
Prévia do material em texto
WEB AULA 11 Vulnerabilidade Bom Pessoal, na Unidade I, abordamos a Informação e a Segurança da Informação. Então, dando continuidade à disciplina, vamos aprender um pouco sobre vulnerabilidade. Você sabe o que é significado da palavra vulnerável? Para saber mais! Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável. É justamente o que vamos abordar nesta web aula 1 para vermos claramente as falhas de segurança nos servidores, sistemas computacionais, usuários comuns ou até mesmo com grande gestor de informação, permitindo a exposição das informações, deixando evidente a falta de integridade, confidencialidade e disponibilidade, que são conceitos básicos em segurança da informação. Como sabemos, a internet vem crescendo de forma frenética. Com isso, ficamos mais sujeitos às ameaças que, segundo (TURBAN, 2004), podem ser classificadas como: AMEAÇAS NÃO-INTECIONAIS: Falhas humanas. Perigos do ambiente. Falhas dos sistemas computacionais. AMEAÇAS INTECIONAIS: Roubos de dados. Uso indevido de dados. Roubos de equipamentos e/ou programas. Greves ou tumultos, sabotagem. Danos em recursos computacionais. Destruição de dados por vírus ou ataques semelhantes. Abusos e crimes diversos contra os computadores. Outros mais... CERT.BR. Cartilha de segurança: conceitos de segurança para a internet. Disponível em: <http://cartilha.cert.br/conceitos/sec5.html#sec5> . Acesso em: 5 de fevereiro de 2010. _______________________________________________________ _______________________________________________________ ______ 1© Polyanna Pacheco Gomes - UNOPAR 2010 E você, já está familiarizado com os invasores? Vamos assistir um vídeo para você se familiarizar com mais alguns! Fonte: http://www.antispam.br/videos/ http://www.antispam.br/videos/cgi-spam-p.wmv Aprofundando o conhecimento Vulnerabilidade dos sistemas e uso indevido Você pode imaginar o que aconteceria se tentasse conectar-se à Internet sem um firewall ou software antivírus? Em segundos, o seu computador seria danificado e você talvez levasse dias para reabilitá- lo. Se seu computador fosse usado para administrar sua empresa, enquanto ele estivesse fora do ar talvez você não conseguisse atender os clientes, nem fazer pedidos aos fornecedores. Talvez, você precisasse contratar — a preço de ouro — especialistas em sistemas para fazê-lo funcionar outra vez. E, no fim, você talvez descobrisse que, nesse meio tempo, seu sistema de computador foi invadido e teve dados valiosos roubados ou destruídos, incluindo dados confidenciais de pagamento de seus clientes. Se grande quantidade de dados tivesse sido destruída ou divulgada, sua empresa talvez nunca mais conseguisse recuperar-se. Em resumo, se você opera uma empresa hoje, precisa ter a segurança e o controle como prioridades. O termo segurança abarca as políticas, procedimentos e medidas técnicas usados para impedir o acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação. Os controles, por sua vez, consistem em todos os métodos, políticas e procedimentos organizacionais que garantem a segurança dos ativos da organização, a precisão e a confiabilidade de seus registros contábeis e a adesão operacional aos padrões administrativos. _______________________________________________________ _______________________________________________________ _________ NETO, Daria Almudi - UNOPAR. Segurança da informação. Pearson, 2009, pag 13,14. Para distrair! Microsoft leva + de 7 anos para corrigir vulnerabilidade. Saiba mais>>" Você conhece a história do SPAM? Vamos assistir a mais um vídeo. https://www.youtube.com/watch?v=DFL5TbyfhrU&feature=related Como já vimos nos vídeos de invasores e spam, é importante conhecer ferramentas de Autenticação, Firewalls, Sistemas de detecção de invasão, Antivírus e Antispyware e Criptografia para garantir a segurança. Para saber mais, leia a Unidade II - 1.4 Tecnologias e ferramentas para garantir a segurança do livro:SEGURANÇA DA INFORMAÇÃO: CURSO SUPERIOR DE TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS - 5. UNIVERSIDADE NORTE DO PARANÁ. Sistema de Ensino Presencial Conectado. São Paulo: Pearson Education do Brasil, 2010. 187p. Links Importantes! Cartilha Malwares http://cartilha.cert.br/malware/ Aprenda a diferença entre Vírus e trojan http://www.baixaki.com.br/info/853-aprenda-as-diferencas-entre- virus-trojans-spywares-e-outros.htm Os 7 Pecados Capitais da Tecnologia da Informação http://www.tecmundo.com.br/internet/6395-os-7-pecados-capitais- do-mundo-digital.htm Informações de backup (Realização de Cópias de Segurança (Backups) http://cartilha.cert.br/prevencao/sec9.html#subsec9.1 Glossário http://cartilha.cert.br/glossario/ Cavalo de Troia https://www.youtube.com/watch?v=Gb-M0NctbRA&feature=related Conceito de Criptografia http://everson.por.com.br Chegamos ao final da Web Aula 1 - Unidade 2. Até a próxima Web Aula, That's all folks! Referências: CERT.BR. Cartilha de segurança: conceitos de segurança para a internet. Disponível em: <http://cartilha.cert.br/conceitos/sec5.html#sec5> . Acesso em: 5 de fevereiro de 2010. NETO, Daria Almudi - UNOPAR. Segurança da informação. São Paulo: Pearson, 2009. TURBAN, Efrain. Tecnologia da informação para gestão. Porto Alegre: Bookman, 2004. WEB AULA 2 Políticas e Auditorias de Seguranças Olá Pessoal, estamos no final Unidade II e vale lembrar que a Disciplina é de Segurança da Informação, onde as surgem as perguntas: O que eu quero proteger? Contra o que ou quem? E, com tudo que aprendemos nas outras Web Aulas, é notável o alto grau de importância da Informação dentro das organizações. Podemos dizer que ela é essencial, pois nos orienta na tomada de decisões. Para rever o que diz o Código de prática para a gestão da segurança da informação, releia a web aula 2 da Unidade I. Nesta Web Aula, abordaremos as Políticas e Auditorias de Seguranças, onde os atributos básicos, também conhecidos como Tríade CIA, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger (segundo os padrões internacionais). São os seguintes: Confidencialidade; Integridade; Disponibilidade. Saiba Mais (http://www.oficinadanet.com.br/artigo/1307/seguranca_da_informa cao_conceitos_e_mecanismos) Quando falamos nos atributos da Segurança da informação, podemos nos referir também ao C.I.D.A.L. (Marcos Sêmola, 2002), você conhece? Para saber mais Clique Aqui (http://arleijunior.wordpress.com/2009/03/19/o-que-e-cidal/) Aprofundando o Conhecimento! Política de segurança Segundo (NETO, 2009), uma vez que você tenha identificado os principais riscos para seus sistemas, sua empresa precisará desenvolver uma política de segurança para proteger esses ativos. Política de segurança é uma declaração que estabelece uma hierarquia para os riscos de informação e identifica metas de segurançaaceitáveis, assim como os mecanismos para atingí¿las. Quais são os ativos de informação mais importantes da empresa? Quem produz e controla essa informação? Quais políticas de segurança já estão em curso para proteger essa informação? Qual nível de risco a administração está disposta a aceitar para cada um dos ativos? Está disposta, por exemplo, a perder dados de crédito dos clientes uma vez a cada dez anos? Ou desenvolverá um sistema de segurança para dados de cartão de crédito capaz de enfrentar um desastre que só ocorre a cada cem anos? A administração precisa estimar, ainda, quanto custará atingir esse nível de risco aceitável. Em empresas de maior porte, é possível encontrar uma função oficial de segurança corporativa, liderada por um chief security officer (CSO). A equipe de segurança orienta e treina os usuários, mantém a administração informada sobre ameaças e falhas na segurança e cuida das ferramentas escolhidas para a área. Cabe ao CSO trabalhar para que a política de segurança da empresa seja cumprida. A política de segurança dá origem a outras políticas, que determinam o uso aceitável dos recursos de informação da empresa e quais membros terão acesso a esses ativos. Uma política de uso aceitável (acceptable use policy — AUP) define os usos aceitáveis dos recursos de informação e do equipamento de informática da empresa, incluindo computadores de mesa e laptops, dispositivos sem fio, telefones e Internet. A política deve deixar clara a posição da empresa no que diz respeito à privacidade, à responsabilidade do usuário e ao uso pessoal do equipamento de informática e das redes. Uma boa política de uso define as ações aceitáveis e inaceitáveis para cada usuário, especificando as consequências do não cumprimento das normas. As políticas de autorização, por sua vez, determinam diferentes níveis de acesso aos ativos de informação para diferentes níveis de usuários. Os sistemas de gerenciamento de autorização estabelecem onde e quando um usuário terá permissão para acessar determinadas partes de um site ou de um banco de dados corporativo. Tais sistemas permitem que cada usuário acesse somente as partes do sistema nas quais tem permissão de entrar, com base nas informações estabelecidas por um conjunto de regras de acesso. Saiba mais! Para saber mais sobre Políticas de Segurança e Continuidade do Negócio, leia o Material Complementar: ABNT-NBR-ISO_IEC-27001.pdf Vamos assistir os Vídeos? Youtube Vídeo 1 - Segurança da Informação - Parte 1 Video1 - (https://www.youtube.com/watch?v=RFU- wPslHwI&feature=related) Vídeo 2 - Segurança da Informação - Parte 2 Video2 : https://www.youtube.com/watch?v=- sAnY20AmzQ&feature=related Questões para Reflexão! 1) Segundo o vídeo1, o SGI, aponta que 60% do vazamento de informações de uma organização são devidos ao fator humano, como mostramos também na web aula 1 da Unidade II na lista de Ameaças não intencionais. O que sua empresa permite aos colaboradores hoje que você como um CSO não permitiria? 2) Sua empresa possui políticas ou procedimento que garantem a segurança da organização? Se sim, cite 1 exemplo. E a Auditoria, onde entra nesta história? Bom, sabemos que de nada adianta criarmos políticas e procedimentos de segurança se os mesmo não forem acompanhados. Então, é preciso auditar as políticas de segurança adotadas. E muitas empresas têm investido somente em ferramentas robustas, mas se esquecem de conscientizar seus colaboradores a praticarem as políticas de segurança. E, volto a dizer, o elo mais fraco da segurança é o fator humano. Aprofundando o Conhecimento O papel da auditoria no processo de controle Segundo (NETO, 2009), como a administração sabe que os controles de seus sistemas de informação são eficientes? Para responder a essa pergunta, ela deve realizar auditorias abrangentes e sistemáticas. Uma auditoria de sistemas identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade. Para cumprir esse objetivo, o auditor precisa compreender por completo as operações, instalações físicas, telecomunicações, sistemas de controle, objetivos de segurança de dados, estrutura organizacional, pessoal, procedimentos manuais e aplicações individuais da organização. O auditor geralmente entrevista indivíduos chave que usam e operam um sistema de informação específico pertinente às suas atividades e aos seus procedimentos. São examinados, então, os controles de aplicação, os controles gerais de integridade e as disciplinas de controle. O auditor deve monitorar o fluxo de uma amostra de transações através do sistema e, caso necessário, realizar testes usando software de auditoria automatizada. Dessa forma, ele pode identificar as possíveis vulnerabilidades do sistema. As auditorias de segurança devem rever tecnologias, procedimentos, documentação, treinamento e recursos humanos. Uma auditoria completa pode até mesmo simular um ataque ou desastre para verificar como os recursos tecnológicos, a equipe de sistemas de informação e os funcionários da empresa reagem. A Auditoria da Segurança engloba a avaliação da Política de Segurança, de controles de aspectos de segurança institucional globais (lógico, físico e ambiental) e de planos de contingência e continuidade dos serviços. Para ser um bom Auditor é importante saber ouvir! Descontrair! Ambiente sem políticas de Segurança, (MODULO, 2003). PARA FINALIZAR! Jogo dos 7 erros: sua empresa e a tecnologia http://imasters.com.br/artigo/14161/seguranca/jogo-dos-7-erros- sua-empresa-e-a-tecnologia LINKS IMPORTANTES 210 bilhões de e-mails são enviados por dia em todo o planeta http://180graus.com/bravo/210-bilhoes-de-e-mails-sao-enviados- por-dia-em-todo-o-planeta-272615.html Senhas fracas colocam segurança corporativa em risco (http://computerworld.uol.com.br/seguranca/2010/01/22/senhas- fracas-colocam-seguranca-corporativa-em-risco/) Guardando senhas com segurança http://www.oficinadanet.com.br/artigo/seguranca/guardando_senhas _com_seguranca Pesquisa: falta controle de privacidade nas empresas brasileiras (http://computerworld.uol.com.br/seguranca/2010/03/11/pesquisa- falta-controle-de-privacidade-nas-empresas-brasileiras/) Site para testar sua complexidade de sua senha http://senhasegura.gratuita.com.br/ ISACA lança certificação para gestão de riscos (http://computerworld.uol.com.br/carreira/2010/03/11/isaca-lanca- certificacao-para-gestao-de-riscos/#rec:mcl) Criptografia: http://everson.por.com.br/ Material Complementar ABNT-NBR-ISO_IEC-27001.pdf http://www.scribd.com/doc/27778826/NBR-ISO-IEC-17799-Tec-da- Inf-Tec-de-Seg-Cod-de-Pratica-para-a-Gest-da-Seg-da-Informacao Exemplo de Política de Segurança http://everson.com.br/files/Exemplo%20de%20Pol%C3%ADtica%20 de%20Seguran%C3%A7a.pdf Seguranca_Vulnerabilidades.pdf http://www.las.ic.unicamp.br/~edmar/Palestras/UFV/Seguranca_Vuln erabilidades.pdf Vulnerabilidades_de_computador http://everson.com.br/files/Vulnerabilidades_de_computador.pdf Webcast_ISO17799-2005.pdf http://www.technetbrasil.com.br/academia/provas/materiais/Webcas t_ISO1.pdf Parabéns para VOCÊ que chegou ao final da Web Aula. Espero que esse material tenha contribuído para o seu crescimento! Abraços e Sucesso! Profª. Polyanna Pacheco Gomes
Compartilhar