Buscar

Segurança da Informação

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 7 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 7 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

ETEP Faculdades
SEGURANÇA DA INFORMAÇÃO
Orientador:
Aluno: Paulo Henrique Santos RA: 13017958
Redes de Computadores - 4 ETNA-RC
Setembro/2014
Segurança da Informação
Segurança da informação se refere à proteção de de dados/informações com o intuito de tornar seguro seus valores para um indivíduo ou empresa.
Podemos que dizer que informação é todo dado valioso à alguém, tanto pessoa quanto empresa, que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do ser humano.
É a proteção das informações dos diversos tipos de ameaças para:
Garantir a continuidade do negócio;
Minimizar o risco ao negócio;
Maximizar o retorno sobre os investimentos e as oportunidades de negócio;
ABNT NBR ISO/IEC 17799:2005 (27002)
Norma de Segurança da Informação revisada em 2005 ela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.
A ISO/IEC-17799 tem como objetivos  confidencialidade, integridade e disponibilidade das informações, os quais são fatores muito importantes para a segurança da informação.
Código de prática para a gestão da segurança da informação.
D.I.C.A. – Disponibilidade, Integridade, Confidencialidade e Autencidade
Disponibilidade
É tornar disponível serviços, aplicações, informações, sempre que necessário. Caso o mesmo não se faça possível, poderá acarretar sérios prejuízo à empresa, tais como danos à imagem e atraso na entrega final. 
Integridade
Consiste em tornar íntegros os dados e informações da empresa, para que isso ocorra, essas informações só poderão ser alteradas por usúarios devidamente autorizados. Caso não haja integridade, pode-se gerar perda ou falsificação de dados/informações.
Confidencialidade
Consiste em tornar confidenciais as informações, restringindo as mesmas à pessoas devidamente autorizadas. Para que a mesma ocorra, é necessário protegê-las desde o armazenamento, transmissão e até no processamento. Caso não haja confidencialidade, pode-se resultar em quebra de sigilo.
Autenticidade
Consiste na certeza de que as informações são autenticas, ou seja, provém das fontes anunciadas. Mostrar o responsável pela elaboração daquela informação. Caso não haja autenticidade, pode-se utilizar informações falsas sem o devido conhecimento.
Possíveis Ameaças
Quando falamos de Segurança da Informação, não podemos nos esquecer das ameaças à ela. Segue abaixo alguns exemplos de ameaças:
Roubo de senhas de acesso
Ao se criar uma senha, faz-se necessária a utilização de caracteres especiais e não utilizar sequências simples, pois caso haja roubo da mesma, o comprometimento da integridade das informações é iminente. Recomenda-se a troca da senha a cada três meses.
Roubo de ativos
Ao permitir que funcionários possam levar ativos tais como notebooks da empresa para a casa, pode-se ocorrer o roubo dos mesmos, quando isso ocorre, as informações armazenadas nos ativos podem ser acessadas por pessoas não autorizadas, afetando a Confidencialidade.
Não sabemos quando e nem onde seremos roubados, porém, podemos nos precaver, utilizando cadeado de segurança, tela de proteção, criptografia nos dados e, armazenar as informações no servidor, não deixar nenhum dado no ativo, deixando o notebook como front-end, mesmo que o mesmo seja roubado, as informações estarão a salvo no servidor da empresa.
Software Pirata
A utilização de software pirata infelizmente é frequente, no mundo, porém, ao se crackear um software, podemos também liberar uma porta de comunicação com algum invasor, tornando nosso sistema comprometido, suscetível à invasões, vírus entre outras possíveis pragas. Afetando assim a Disponibilidade, Integridade, Confidencialidade e a Integridade das informações. Para que não ocorra, faz-se necessário utilizar apenas softwares permitidos pela empresa, restrição de perfil de administrador dos ativos apenas aos administradores de TIC, para que o usuário não possa instalar e nem desinstalar nenhum software sem o consentimento da TIC.
Invasão Física
Para se conter uma invasão física, deve-se restringir os locais considerados importantes para empresa, tais como sala dos servidores, sala dos hacks. Deve-se também eliminar as áreas de trabalho não utilizadas, para que nenhum usuário possa conectar algum dispositivo pessoal na rede sem autorização. Uma maneira eficaz de se controlar uma invasão física é configurar o servidor para disponibilizar um Endereço IP apenas aos ativos que possuam a Imagem (Sistema Operacional) da empresa.
Mau uso da Internet
A internet é uma grande porta para invasões, para que isso não ocorra, deve-se utilizar antivírus, Proxy, entre outras ferramentas, mas, além disso, devemos analisar a real necessidade da permissão de internet ao determinado usuário, não liberando acesso à usuários que não utilizem internet como ferramenta de trabalho.
Acesso indevido às informações
Para que pessoas não autorizadas não tenham acesso à determinadas informações, faz-se necessário a elaboração de níveis de acesso. Não podemos dizer que nossa infraestrutura está totalmente protegida pois, assim como os antivírus, os vírus estão sempre um passo à frente, para que haja a vacina, faz-se necessário antes conhecer o vírus, mas devemos estar sempre atualizados e buscando soluções para as ameaças.
Política de Segurança
O principal propósito de uma política de segurança é informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançados. Outro propósito é oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurança na ausência de pelo menos uma política de segurança implícita não faz sentido.
Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. É especialmente importante que a gerência corporativa suporte de forma completa o processo da política de segurança, caso contrário haverá pouca chance que ela tenha o impacto desejado. A seguinte lista de indivíduos deveria estar envolvida na criação e revisão dos documentos da política de segurança:
O administrador de segurança do site
O pessoal técnico de tecnologia da informação
Os Administradores de grandes grupos de usuários dentro da organização
A equipe de reação a incidentes de segurança
Os Representantes de grupos de usuários afetados pela política de segurança
O Conselho Legal
A ideia é trazer representações dos membros, gerentes com autoridade sobre o orçamento e política, pessoal técnico que saiba o que pode e o que não pode ser suportado, e o conselho legal que conheça as decorrências legais das várias políticas. Em algumas organizações, pode ser apropriado incluir pessoal de auditoria. Envolver este grupo é importante se as política resultante deverá alcançar a maior aceitabilidade possível. Também é importante mencionar que o papel do conselho legal irá variar de país para país. Política viável a longo prazo, é necessário bastante flexibilidade baseada no conceito de segurança arquitetural. Uma política deve ser largamente independente de hardware e softwares específicos. Os mecanismos para a atualização da política devem estar claros. Isto inclui o processo e as pessoas envolvidas. Também é importante reconhecer que há expectativas para cada regra. Sempre que possível a política deve expressar quais expectativas foram determinadas para a sua existência. Por exemplo, sob que condições um administrador de sistema tem direito a pesquisar nos arquivos do usuário. Também pode haver casos em quemúltiplos usuários terão acesso à mesma userid. Por exemplo, em sistemas com um usuário root, múltiplos administradores de sistema talvez conheçam a senha e utilizem a conta. Outra consideração é chamada a "Síndrome do Caminhão de Lixo". Isto se refere a o que pode acontecer ao um site se uma pessoa chave repentinamente não esteja mais disponível para sua função (ficou doente ou deixou a companhia). Enquanto a grande segurança reside na mínima disseminação de informação, o risco de perder informação crítica cresce quando a informação não é compartilhada. É importante determinar qual o peso ideal desta medida em seu site.
Referências
http://seguranca-da-informacao.info/
http://www.grafimagem.com.br/webcodes/principal/index.php?option=com_content&view=article&id=8&Itemid=12&lang=pt
http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm

Outros materiais