Segurança de Sistema de Informação

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Segurança de Sistema de Informação
Alunos:
5801484 - Carlos Henrique Gomes da Silva
5800699 - Diego Queiroz Batalha
5801029 - Luís Claudio Ribeiro Motta Filho
5800661 - Thiago Oliveira da Silva
 Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade e disponibilidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. 
Conceitos fundamentais em Segurança de informação
 A segurança da informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma pessoa ou empresa.
 
 Elaborar e garantir critérios que protejam estas informações contra fraudes,roubos ou vazamentos nas empresas são responsabilidades dos gestores e analistas de segurança da informação. 
Conceitos
 Em todos os programas de desenvolvimento de uma política e cultura de segurança da informação vamos encontrar estes três itens:
Garantir disponibilidades de recursos de informação;
Garantir integridade da informação;
Garantir confidencialidade da informação;
 
 
Objetivo da Segurança de Sistema de informação
A vulnerabilidade de um sistema é a possibilidade de ele sofrer algum dano devido a uma
ameaça, que é qualquer perigo ao qual um sistema pode estar exposto. Cada sistema de 
informação é vulnerável a diversos perigos e ameaças, algumas ameaças são:
Involuntárias
Intencionais
Espionagem ou invasões 
Extorsão de informações 
Sabotagem ou vandalismo
Roubo
Roubo de identidade
Ataques de software
Vírus
Cavalo de Tróia
Back doors
Software invasivo(pestware, adware, spyware, spamware, spam, cookies, Web bugs)
Phishing
Pharming
Worms
Bombas lógicas
Negação de serviço
Transgressões á propriedade intelectual 
 
Vulnerabilidades do Sistema de Informação
Involuntárias 
 As ameaças involuntárias podem ser divididas em três grandes categorias: erros humanos, riscos ambientais e falhas no sistema de computação. 
Intencionais 
 As ameaças intencionais normalmente são de natureza criminosa. 
Espionagem ou Invasão 
 Quando um indivíduo não autorizado obtém acesso a informações que uma organização está tentando proteger, esse ato é categorizado como espionagem ou invasão. 
Extorsão de informações 
 A extorsão de informações ocorre quando um invasor ou empregado que era confiável rouba informações de um sistema de computação e depois exige uma compensação para devolvê-las ou para não revelá-las.
Ameaças do Sistema de Informação
Sabotagem ou vandalismo
 O website de uma organização normalmente é a “face” mais visível ao público. Se o site for sabotado, os clientes da organização podem perder a confiança. A perda da confiança do consumidor, por sua vez, normalmente leva à redução de lucros e faturamento.
Roubo de Identidade
 É quando um criminoso se passa por outra pessoa,o ladrão rouba números de cartão social e de cartão de crédito,normalmente obtidos na internet para cometer fraudes.
Ameaças do Sistema de Informação
Ataques com software 
 O tipo mais conhecido de ameaça a computadores é o ataque com software. 
Vírus
 Os vírus de computador são segmentos de código de computador que realizam ações que variam do mero transtorno até a destruição.
Worms
 São programas destrutivos que se duplicam sem a necessidade de qualquer outro
programa para garantir um ambiente seguro para a duplicação.
Cavalo de Tróia
 São programas de software que se escondem dentro de outros programas e só revelam seu comportamento quando são ativados.
Ataques com software 
Bombas lógicas 
 São segmentos de código de computador que são embutidos dentro dos programas existente em uma organização.
Back doors ou trap doors
 O back doors normalmente é uma senha, conhecida apenas pelo atacante, que lhe permite acessar o sistema à vontade.
Negação de serviço
 Em um ataque de negação de serviço, o atacante envia tantas requisições de informação a um sistema alvo que o sistema alvo não consegue lidar com elas.
Ataques com software 
Software invasivo
 Muitos computadores pessoais estão executando softwares invasivos dos quais os proprietários não têm conhecimento.
 
 Pestware 
 É um software clandestino que é instalado no PC através de canais não 
 confiáveis. 
 
 Adware
 Software projetado para ajudar a exibir anúncios pop-up no computador. 
 Spyware
 Programas spyware incluem programas: 
 keylogger.
 programa de captura de senha. 
 spamware.
Ataques com software 
 Spam
 É um email não solicitado, cuja finalidade geralmente é anunciar produtos ou 
 serviços.
 
 Cookies 
 São pequenas quantidades de informação que os websites armazenam em seu
 computador.
 Web bugs 
 São imagens gráficas pequenas e normalmente invisíveis que são adicionadas a 
 uma página da web ou mensagem de email.
Ataques com software 
Phishing
 O phishing usa o logro para adquirir informações pessoais valiosas, como números é senhas de contas, aparecendo ser um email verdadeiro.
Pharming
 No pharming, o atacante adquire fraudulentamente o nome de domínio do website de uma empresa.
Ataques com software 
 Violação à propriedade intelectual
 A propriedade intelectual é a propriedade criada por indivíduos ou organizações que é protegida por:
 
Segredo comercial
 É um trabalho intelectual, como um plano de marketing, que a empresa mantem sob segredo e não se baseia em informações públicas.
 
Patente
 É um documento que concede ao proprietário direto exclusivo sobre uma invenção ou processo durante 20 anos.
 
 Direito autoral
 É uma concessão legal que fornece aos criadores do produto intelectual a sua propriedade durante a vida do criador e mais 70 anos.
Violação à propriedade intelectual
O que é um risco?
 Risco é a probabilidade de uma ameaça causar impacto à um recurso de informação.
Inter-relações:
Ameaças
Vulnerabilidades
Valor a proteger
Análise de riscos
Identificar
Controlar
Minimizar
 Probabilidade x Custos
Análise de riscos
Gerenciamento
 Funções:
Implementar controles
Recuperação
 
Estratégias:
Aceitação do risco
Limitação do risco
Transferência do risco
Análise de riscos
Redução de riscos
Problemas X Custos
 
 Ex.: Computadores mainframe de uma organização são valiosos demais para se aceitar risco. As organizações limitam o risco aos mainframes por meio de controles, como controles de acesso. As organizações também usam a transferência de risco pela contração de seguros e pela realização de backups em locais externos.
Análise de riscos
Avaliação dos controles
 Funções:
Prevenir danos acidentais
Deter ações intencionais
Solucionar problemas o mais rapidamente possível
Melhorar a recuperação de danos
Corrigir problemas
Controles
 Nos EUA, uma das principais estratégias é se unir ao FBI para foram o National Infraestructure Protection Center. Essa parceria entre o governo e o setor privado se destina a proteger infraestrutura da nação, telecomunicações, energia, transporte, sistema financeiro, emergência e operações governamentais. O FBI também estabeleceu Regional Computer Intrusion Squads, que se concentram nas invasões às redes de telefone e computador, violações de privacidade, espionagem industrial,
pirataria de software de computador e outros cibercrimes.
Controles
Curiosidades
Controles Gerais:
são estabelecidos para proteger o sistema independentemente da aplicação específica.
Controles de Aplicação:
são salvaguardas que protegem aplicações específicas.
Controles
Categorias
Categorias:
Segurança de dados
Administrativos
Físicos
Acesso
Comunicações(rede)
Controles
Controles Gerais
 Categorias:
Entrada
Processamento
Saída
Controles
de aplicação
 A segurança é um dos maiores problemas enfrentados pelas empresas. A implementação do controle de segurança, não significa que elas estejam protegidas. O controle de segurança pode ser instalado no sistema original ou acrescentado depois que o sistema já está funcionando. As empresas apresentam as auditorias de sistemas.
AUDITORIA DE SISTEMAS DE INFORMAÇÃO
 Dividem-se em 03 classes:
 Forma de abordagem.
 Área envolvida.
 Órgão fiscalizador.
 
 A mais utilizada é em relação ao órgão fiscalizador, que divide-se em :
Auditoria interna.
 Auditoria externa.
 Auditoria articulada.
CLASSIFICAÇÃO DAS AUDITORIAS
 Os procedimentos de auditoria de sistemas se encaixam em três categorias:
Auditoria em torno do computador
Auditoria através do computador
Auditoria com o computador.
COMO É FEITA A AUDITORIA?
 As empresas devem ter uma estratégia de defesa. O sistema de segurança apresenta um elemento muito importante, o plano de recuperação.
Plano de recuperação de acidentes
 A gestão da segurança da informação dependeda participação de todos os funcionários da organização. O sistema de proteção da informação deve estar alinhado com estratégias e objetivos de negócios da organização.
 A proteção da informação requer comprometimento da alta direção em manter alinhados os objetivos de segurança com os niveis de segurança desejado para o negócio. 
Responsável pela segurança dos sistemas de informação