WA - ADS - SEM 5 - UNIDADE 2 - SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

WEB AULA 11 
Vulnerabilidade 
Bom Pessoal, na Unidade I, abordamos a Informação e a Segurança 
da Informação. Então, dando continuidade à disciplina, vamos 
aprender um pouco sobre vulnerabilidade. 
Você sabe o que é significado da palavra vulnerável? 
 
Para saber mais! 
 
Vulnerabilidade é definida como uma falha no projeto, implementação 
ou configuração de um software ou sistema operacional que, quando 
explorada por um atacante, resulta na violação da segurança de um 
computador. Existem casos onde um software ou sistema operacional 
instalado em um computador pode conter uma vulnerabilidade que 
permite sua exploração remota, ou seja, através da rede. Portanto, 
um atacante conectado à Internet, ao explorar tal vulnerabilidade, 
pode obter acesso não autorizado ao computador vulnerável. 
É justamente o que vamos abordar nesta web aula 1 para vermos 
claramente as falhas de segurança nos servidores, sistemas 
computacionais, usuários comuns ou até mesmo com grande gestor 
de informação, permitindo a exposição das informações, deixando 
evidente a falta de integridade, confidencialidade e disponibilidade, 
que são conceitos básicos em segurança da informação. 
Como sabemos, a internet vem crescendo de forma frenética. Com 
isso, ficamos mais sujeitos às ameaças que, segundo (TURBAN, 
2004), podem ser classificadas como: 
AMEAÇAS NÃO-INTECIONAIS:
 
 Falhas humanas. 
 Perigos do ambiente. 
 Falhas dos sistemas computacionais. 
AMEAÇAS INTECIONAIS: 
 Roubos de dados. 
 Uso indevido de dados. 
 Roubos de equipamentos e/ou programas. 
 Greves ou tumultos, sabotagem. 
 Danos em recursos computacionais. 
 Destruição de dados por vírus ou ataques semelhantes. 
 Abusos e crimes diversos contra os computadores. 
 Outros mais... 
CERT.BR. Cartilha de segurança: conceitos de segurança para a 
internet. Disponível em: 
<http://cartilha.cert.br/conceitos/sec5.html#sec5> . 
Acesso em: 5 de fevereiro de 2010. 
_______________________________________________________
_______________________________________________________
______ 
1© Polyanna Pacheco Gomes - UNOPAR 2010 
 
E você, já está familiarizado com os invasores? 
Vamos assistir um vídeo para você se familiarizar com mais alguns! 
 
Fonte: http://www.antispam.br/videos/ 
http://www.antispam.br/videos/cgi-spam-p.wmv 
Aprofundando o conhecimento 
Vulnerabilidade dos sistemas e uso indevido 
Você pode imaginar o que aconteceria se tentasse conectar-se à 
Internet sem um firewall ou software antivírus? Em segundos, o seu 
computador seria danificado e você talvez levasse dias para reabilitá-
lo. 
Se seu computador fosse usado para administrar sua empresa, 
enquanto 
ele estivesse fora do ar talvez você não conseguisse atender os 
clientes, nem fazer pedidos aos fornecedores. Talvez, você precisasse 
contratar — a preço de ouro — especialistas em sistemas para fazê-lo 
funcionar outra vez. E, no fim, você talvez descobrisse que, nesse 
meio tempo, seu sistema de computador foi invadido e teve dados 
valiosos roubados ou destruídos, incluindo dados confidenciais de 
pagamento de seus clientes. Se grande quantidade de dados tivesse 
sido destruída ou divulgada, sua empresa talvez nunca mais 
conseguisse recuperar-se. 
Em resumo, se você opera uma empresa hoje, precisa ter a 
segurança e o controle como prioridades. O termo segurança abarca 
as políticas, procedimentos e medidas técnicas usados para impedir o 
acesso não autorizado, alteração, roubo ou danos físicos a sistemas 
de informação. 
Os controles, por sua vez, consistem em todos os métodos, políticas 
e procedimentos organizacionais que garantem a segurança dos 
ativos da organização, a precisão e a confiabilidade de seus registros 
contábeis e a adesão operacional aos padrões administrativos. 
_______________________________________________________
_______________________________________________________
_________ 
NETO, Daria Almudi - UNOPAR. Segurança da informação. Pearson, 
2009, pag 13,14. 
 
 
Para distrair! 
Microsoft leva + de 7 anos para corrigir 
vulnerabilidade. 
Saiba mais>>" 
Você conhece a história do SPAM? 
 
Vamos assistir a mais um vídeo. 
https://www.youtube.com/watch?v=DFL5TbyfhrU&feature=related 
 
 
Como já vimos nos vídeos de invasores e spam, é importante 
conhecer ferramentas de Autenticação, Firewalls, Sistemas de 
detecção de invasão, Antivírus e Antispyware e Criptografia para 
garantir a segurança. Para saber mais, leia a Unidade II - 1.4 
Tecnologias e ferramentas para garantir a segurança do 
livro:SEGURANÇA DA INFORMAÇÃO: CURSO SUPERIOR DE 
TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS - 5. 
UNIVERSIDADE NORTE DO PARANÁ. Sistema de Ensino Presencial 
Conectado. São Paulo: Pearson Education do Brasil, 2010. 187p. 
Links Importantes! 
Cartilha Malwares 
http://cartilha.cert.br/malware/ 
Aprenda a diferença entre Vírus e trojan 
http://www.baixaki.com.br/info/853-aprenda-as-diferencas-entre-
virus-trojans-spywares-e-outros.htm 
Os 7 Pecados Capitais da Tecnologia da Informação 
 http://www.tecmundo.com.br/internet/6395-os-7-pecados-capitais-
do-mundo-digital.htm 
Informações de backup (Realização de Cópias de Segurança 
(Backups) http://cartilha.cert.br/prevencao/sec9.html#subsec9.1 
Glossário 
http://cartilha.cert.br/glossario/ 
Cavalo de Troia 
https://www.youtube.com/watch?v=Gb-M0NctbRA&feature=related 
Conceito de Criptografia 
http://everson.por.com.br 
Chegamos ao final da Web Aula 1 - Unidade 2. 
Até a próxima Web Aula, That's all folks! 
Referências: 
CERT.BR. Cartilha de segurança: conceitos de segurança para a 
internet. Disponível em: 
<http://cartilha.cert.br/conceitos/sec5.html#sec5> . Acesso em: 5 
de fevereiro de 2010. 
NETO, Daria Almudi - UNOPAR. Segurança da informação. São Paulo: 
Pearson, 2009. 
TURBAN, Efrain. Tecnologia da informação para gestão. Porto 
Alegre: Bookman, 2004. 
WEB AULA 2 
Políticas e Auditorias de Seguranças 
Olá Pessoal, estamos no final Unidade II e vale lembrar que a 
Disciplina é de Segurança da Informação, onde as surgem as 
perguntas: O que eu quero proteger? Contra o que ou quem? 
E, com tudo que aprendemos nas outras Web Aulas, é notável o alto 
grau de importância da Informação dentro das organizações. 
Podemos dizer que ela é essencial, pois nos orienta na tomada de 
decisões. Para rever o que diz o Código de prática para a gestão 
da segurança da informação, releia a web aula 2 da Unidade I. 
Nesta Web Aula, abordaremos as Políticas e Auditorias de 
Seguranças, onde os atributos básicos, também conhecidos como 
Tríade CIA, orientam a análise, o planejamento e a implementação da 
segurança para um determinado grupo de informações que se deseja 
proteger (segundo os padrões internacionais). São os seguintes:
 
 Confidencialidade; 
 Integridade; 
 Disponibilidade. 
Saiba Mais 
(http://www.oficinadanet.com.br/artigo/1307/seguranca_da_informa
cao_conceitos_e_mecanismos) 
Quando falamos nos atributos da Segurança da informação, podemos 
nos referir também ao C.I.D.A.L. (Marcos Sêmola, 2002), você 
conhece? 
Para saber mais Clique Aqui 
(http://arleijunior.wordpress.com/2009/03/19/o-que-e-cidal/) 
Aprofundando o Conhecimento! 
Política de segurança 
Segundo (NETO, 2009), uma vez que você tenha identificado os 
principais riscos para seus sistemas, sua empresa precisará 
desenvolver uma política de segurança para proteger esses ativos. 
Política de segurança é uma declaração que estabelece uma 
hierarquia para os riscos de informação e identifica metas de 
segurançaaceitáveis, assim como os mecanismos para atingí¿las. 
Quais são os ativos de informação mais importantes da empresa? 
Quem produz e controla essa informação? Quais políticas de 
segurança já estão em curso para proteger essa informação? Qual 
nível de risco a administração está disposta a aceitar para cada um 
dos ativos? Está disposta, por exemplo, a perder dados de crédito dos 
clientes uma vez a cada dez anos? Ou desenvolverá um sistema de 
segurança para dados de cartão de crédito capaz de enfrentar um 
desastre que só ocorre a cada cem anos? 
A administração precisa estimar, ainda, quanto custará atingir esse 
nível de risco aceitável. Em empresas de maior porte, é possível 
encontrar uma função oficial de segurança corporativa, liderada por 
um chief security officer (CSO). A equipe de segurança orienta e 
treina os usuários, mantém a administração informada sobre 
ameaças e falhas na segurança e cuida das ferramentas escolhidas 
para a área. Cabe ao CSO trabalhar para que a política de segurança 
da empresa seja cumprida. 
A política de segurança dá origem a outras políticas, que 
determinam o uso aceitável dos recursos de informação da empresa e 
quais membros terão acesso a esses ativos. Uma política de uso 
aceitável (acceptable use policy — AUP) define os usos aceitáveis 
dos recursos de informação e do equipamento de informática da 
empresa, incluindo computadores de mesa e laptops, dispositivos 
sem fio, telefones e Internet. A política deve deixar clara a posição da 
empresa no que diz respeito à privacidade, à responsabilidade do 
usuário e ao uso pessoal do equipamento de informática e das redes. 
Uma boa política de uso define as ações aceitáveis e inaceitáveis para 
cada usuário, especificando as consequências do não cumprimento 
das normas. 
As políticas de autorização, por sua vez, determinam diferentes 
níveis de acesso aos ativos de informação para diferentes níveis de 
usuários. Os sistemas de gerenciamento de autorização 
estabelecem onde e quando um usuário terá permissão para acessar 
determinadas partes de um site ou de um banco de dados 
corporativo. 
Tais sistemas permitem que cada usuário acesse somente as partes 
do sistema nas quais tem permissão de entrar, com base nas 
informações estabelecidas por um conjunto de regras de acesso. 
 
Saiba mais! 
Para saber mais sobre Políticas de Segurança e Continuidade do 
Negócio, leia o Material Complementar: 
ABNT-NBR-ISO_IEC-27001.pdf 
Vamos assistir os Vídeos? 
Youtube 
Vídeo 1 - Segurança da Informação - Parte 1 
Video1 - (https://www.youtube.com/watch?v=RFU-
wPslHwI&feature=related) 
 Vídeo 2 - Segurança da Informação - Parte 2 
Video2 : https://www.youtube.com/watch?v=-
sAnY20AmzQ&feature=related 
Questões para Reflexão! 
1) Segundo o vídeo1, o SGI, aponta que 60% do vazamento de 
informações de uma organização são devidos ao fator humano, como 
mostramos também na web aula 1 da Unidade II na lista de Ameaças 
não intencionais. O que sua empresa permite aos colaboradores hoje 
que você como um CSO não permitiria? 
2) Sua empresa possui políticas ou procedimento que garantem a 
segurança da organização? Se sim, cite 1 exemplo. 
 
E a Auditoria, onde entra nesta história? 
Bom, sabemos que de nada adianta criarmos políticas e 
procedimentos de segurança se os mesmo não forem acompanhados. 
Então, é preciso auditar as políticas de segurança adotadas. E muitas 
empresas têm investido somente em ferramentas robustas, mas se 
esquecem de conscientizar seus colaboradores a praticarem as 
políticas de segurança. E, volto a dizer, o elo mais fraco da 
segurança é o fator humano. 
Aprofundando o Conhecimento 
O papel da auditoria no processo de controle 
Segundo (NETO, 2009), como a administração sabe que os controles 
de seus sistemas de informação são eficientes? Para responder a essa 
pergunta, ela deve realizar auditorias abrangentes e sistemáticas. 
Uma auditoria de sistemas identifica todos os controles que 
governam sistemas individuais de informação e avalia sua 
efetividade. Para cumprir esse objetivo, o auditor precisa 
compreender por completo as operações, instalações físicas, 
telecomunicações, sistemas de controle, objetivos de segurança de 
dados, estrutura organizacional, pessoal, procedimentos manuais e 
aplicações individuais da organização. O auditor geralmente 
entrevista indivíduos chave que usam e operam um sistema de 
informação específico pertinente às suas atividades e aos seus 
procedimentos. São examinados, então, os controles de aplicação, os 
controles gerais de integridade e as disciplinas de controle. O auditor 
deve monitorar o fluxo de uma amostra de transações através do 
sistema e, caso necessário, realizar testes usando software de 
auditoria automatizada. Dessa forma, ele pode identificar as possíveis 
vulnerabilidades do sistema. 
As auditorias de segurança devem rever tecnologias, procedimentos, 
documentação, treinamento e recursos humanos. Uma auditoria 
completa pode até mesmo simular um ataque ou desastre para 
verificar como os recursos tecnológicos, a equipe de sistemas de 
informação e os funcionários da empresa reagem. 
A Auditoria da Segurança engloba a avaliação da Política de 
Segurança, de controles de aspectos de segurança institucional 
globais (lógico, físico e ambiental) e de planos de contingência e 
continuidade dos serviços. 
Para ser um bom Auditor é importante saber ouvir! 
 
Descontrair! 
 
Ambiente sem políticas de Segurança, (MODULO, 2003). 
PARA FINALIZAR! 
Jogo dos 7 erros: sua empresa e a tecnologia 
http://imasters.com.br/artigo/14161/seguranca/jogo-dos-7-erros-
sua-empresa-e-a-tecnologia 
LINKS IMPORTANTES 
210 bilhões de e-mails são enviados por dia em todo o planeta 
http://180graus.com/bravo/210-bilhoes-de-e-mails-sao-enviados-
por-dia-em-todo-o-planeta-272615.html 
Senhas fracas colocam segurança corporativa em risco 
(http://computerworld.uol.com.br/seguranca/2010/01/22/senhas-
fracas-colocam-seguranca-corporativa-em-risco/) 
Guardando senhas com segurança 
http://www.oficinadanet.com.br/artigo/seguranca/guardando_senhas
_com_seguranca 
Pesquisa: falta controle de privacidade nas empresas brasileiras 
(http://computerworld.uol.com.br/seguranca/2010/03/11/pesquisa-
falta-controle-de-privacidade-nas-empresas-brasileiras/) 
Site para testar sua complexidade de sua senha 
http://senhasegura.gratuita.com.br/ 
ISACA lança certificação para gestão de riscos 
(http://computerworld.uol.com.br/carreira/2010/03/11/isaca-lanca-
certificacao-para-gestao-de-riscos/#rec:mcl) 
Criptografia: http://everson.por.com.br/ 
Material Complementar 
ABNT-NBR-ISO_IEC-27001.pdf 
http://www.scribd.com/doc/27778826/NBR-ISO-IEC-17799-Tec-da-
Inf-Tec-de-Seg-Cod-de-Pratica-para-a-Gest-da-Seg-da-Informacao 
Exemplo de Política de Segurança 
http://everson.com.br/files/Exemplo%20de%20Pol%C3%ADtica%20
de%20Seguran%C3%A7a.pdf 
Seguranca_Vulnerabilidades.pdf 
http://www.las.ic.unicamp.br/~edmar/Palestras/UFV/Seguranca_Vuln
erabilidades.pdf 
Vulnerabilidades_de_computador 
http://everson.com.br/files/Vulnerabilidades_de_computador.pdf 
Webcast_ISO17799-2005.pdf 
http://www.technetbrasil.com.br/academia/provas/materiais/Webcas
t_ISO1.pdf 
Parabéns para VOCÊ que chegou ao final da Web Aula. 
Espero que esse material tenha contribuído para o seu 
crescimento! 
Abraços e Sucesso! 
Profª. Polyanna Pacheco Gomes