Aulas-de-1-a-10-Gestão-de-Segurança-da-Informação

Prévia do material em texto

Índice
Aula 1: Introdução à Segurança da Informação 	2
Aula 2: O ciclo de vida da informação	7
Aula 3: Vulnerabilidade de Segurança	12
Aula 4: Ameaças ao Sistema de Informação	19
Aula 5: Ataques à Segurança	26
Aula 6: Gestão de riscos em Segurança da Informação	32
Aula 7 – Segurança da Informação Segundo a NBR ISO/IEC 27002 (antiga ISO 17799)	43
Aula 8: Gestão de Segurança da Informação segundo a NBR ISO/IEC 27001	52
Aula 9: Gestão da Conformidade do Negócio Segundo a NBR ISO/IEC 15999 	63
Aula 10: Estratégias de Proteção	80
Aula 1: Introdução à Segurança da Informação 
Ao final desta aula, você será capaz de:
	1 - Conhecer as necessidades de segurança do ambiente corporativo;
	2 - Identificar o valor da informação e conhecer o conceito de ativo;
	3 - Conceitos básicos de segurança.
	A Internet começou no final da década de 50 após o lancamento dos primeiros sáteletes, os primeiros computadores foram conectados numa rede na década de 60 e na década de 70 começou
a surgir a internet com conhecemos hoje.
	O Projeto WWW (WORLD WIDE WEB) surgiu na década de 90
	Nesta aula vamos compreender o ambiente corporativo e as motivação de segurança da informação.
	Para começarmos o nosso estudo vamos fazer a leitura de algumas notícias importantes. Para isso, clique aqui.
	Após a leitura das notícias bodemos concluir que o advento da internet e a globalização transformaram completamente o mundo que vivemos.
	Estas transformações afetam em cheio as organizações onde trabalhamos, quebrando diversos paradigmas e promovendo uma profunda reavaliação das prioridades daqueles que estão no comando das empresas. E esse será o objeto de estudo dessa disciplina.
O valor da informação
	Para compreendermos melhor o valor da informação no contexto atual vamos em primeiro lugar compreender o conceito de dado:
	Para decidir sobre qualquer coisa, precisamos de informações, preferencialmente claras e oportunas. A informação é vital para o processo de tomada de decisão de qualquer corporação. Porém não basta produzir a informação no prazo previsto. É necessario disponibilizá-la para quem tem a real necessidade de conhecê-la. Além disso, é fundamental proteger o conhecimento gerado, quando est contiver aspectos estratégicos para a Organização que o gerou.
	 Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e imprementação de novos usos da tecnologia da informação em uma empresa. Um destes desafios a ser considerado é a responsabilidade ética referente ao uso da tecnologia da informação.
	Vejamos a seguir alguns questionamentos sobre esse assunto!
	Face a tantas mudanãs tecnológicas, sociológicas e comportamentais, o profissional de TI deve levar em consideração os aspectos éticos sobre os danos potenciais ou riscos no uso da TI nas corporações:
	Agora que você já compreendeu as necessidades dos ambientes corporativos, vamos enteder o conceito de segurança.
	O QUE É SEGURANÇA?
	...É estar livre de perigos e incertezas;
	...É um estado ou condição que se aplica a tudo aquilo que tem valor para a organização que é chamado de ativo;
	Existem diversos tipos de ATIVOS em uma organização, podem ser classificados como:
	TANGÍVEL: Informações impressas ou digitais, Sistemas, Móveis, pessoas etc.
	INTANGÍVEL: Marca de um produto, Imagem de uma empresa, Confiabilidade de um banco etc.
	Podemos então agora entender o que vem a ser Proteção(São medidas que visam livrar os ativos de situações que possam trazer prejuízo.). Elas podem ser:
	FÍSICAS
	LÓGICAS
	ADMINISTRATIVAS
	Podemos classificar as proteções de acordo com sua ação e momento na qual ela ocorre.
	De acordo com a finalidade elas podem ser:
	Apartir deste ponto, já podemos diferenciar segurança e segurança da informação:
	A seguir, vamos estudar os princípios fundamentais da Segurança da informação.
	Cada empresa, ao tratar segurança da informação e, independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais de segurança conhecido como a tríade CID ou, em inglês, AIC ou CIA.
	O nível de segurança requerido para obter cada um destes três princìpios difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança. Entretanto, todas as ações ou medições de segurança realizados em cada organização irão envolver sempre um ou mais princípios.
	DISPONIBILIDADE – Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações;
	Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser 	sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.
	INTEGRIDADE – Trata-se da manutenção das informações tal e qual tenham sido geradas;
Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
	CONFIDENCIALIDADE – Trata-se da manutenção do segredo, do sigilo ou da privacidade das informações;
Esta propriedade indica que os dados e infomações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
	Fatores que impactam a segurança de uma organização:
	VALOR – Importância do ativo para a organização. Como já falamos pode ser avaliado por propriedades mensuráveis ou abstratas, ou seja, tangível ou intangível.
Exemplo de valor intangível: Comprometimento da imagem de uma empresa por causa do vazamento de informação;
Exemplo de valor tangível: valor financeiro, o lucro que ele provê ou custo de substituí-lo;
	AMEAÇA – Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situação inesperadas. Exemplo: um incêndio, uma enchente, a invação de um computador ou roubo.
	VULNERABILIDADE – A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que as ameaças se concretizem. O que irá determinar se uma invação de computador pode ou não afetar os negócios de uma empresa é a ausência ou existência de mecanismos de prevenção, detecção e eliminação, além do correto funcionamento destes mecanismos.
	IMPACTO – Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará;
Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça.
Exemplo: O impacto de uma invasão a um servidor de banco de dados pode ser maior que o impacto da invasão da máquina da secretária da gerência de operações.
	RISCO – Medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos ela trará. Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será o risco associado a este incidente.
	Apresentamos a seguira interação dos diversos componentes de segurança:
Podemos concluir que um Problema de segurança é:
	A perda de qualquer aspecto de segurança importante para minha organização.
E potem ser de diferentes tipos:
	Site com notícias sobre segurança http://www.seginfo.com.br
	Site do centro de estudo, respostas e incidentes de segurança no Brasil: http://www.cert.br
Aula 2: O ciclo de vida da informação
	
Nesta aula você irá conhecer a importância da segurança da informação, abordando os seguintes pontos:
	1. Por que proteger a informação?
	2. Quando proteger a informação?
	3. O ciclo de vida da informação.
	Nesta aula vamos estudar a importância da informação, por que devemos protegê-la e seu ciclo de vida. 
	O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimentotem levado à necessidade de administração desses dados de forma confiável. 
	Para compreendermos melhor esta questão vamos ampliar nosso o conceito de dado e informação. 
			DADOS – É a coleta de matéria-prima bruta, dispersa nos documentos →
	INFORMAÇÃO – É o tratamento do dado, transformado em Informação. Pressupõe uma estrutura de dados organizada e formal. As bases e bancos de dados, bem como as redes são sustentadas pela informação. → 
	CONHECIMENTO – É o conteúdo informacional contido nos documentos, nas várias fontes de informação e na bagagem pessoal de cada indivíduo. → 
	INTELIGÊNCIA – É combinação entre três elementos resultantes do processo de análise e validação por especialista. É a informação com valor agregado.
	Redução de Custos
	Vantagem Competitiva
	Deferenciação de Produtos e Processos
	
	Percebe-se então certa hierarquia entre dado, informação e conhecimento, em que cada termo pode ser considerado como matéria-prima do termo seguinte, num crescente de agregação de valor.	Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo gerada e utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis hierárquicos, além de perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros.
Ciclo de Vida da Informação
	Desde o momento em que é gerada, a informação tem um ciclo de vida dentro das corporações, passando por diversas etapas de interação até retornar ao seu ponto inicial.
	Neste exemplo, segundo Sêmola, os órgãos (analogamente, ativos, físicos, tecnológicos e humanos), se utilizam de sangue (analogamente, informação), para pôr em funcionamento os sistemas digestivo, respiratório, etc. (analogamente, processos de negócio), para consequentemente, manter a consciência e a vida do indivíduo (analogamente, a continuidade do negócio).
POR QUE PROTEGER A INFORMAÇÃO?
	Já que percebemos o quão valiosa é a informação para o negócio vamos estudar os aspectos ligados à segurança, as propriedades que devem ser preservadas e protegidas para que a informação esteja efetivamente sob controle, e principalmente, os momentos que fazem parte do seu ciclo de vida. 
	
	Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Apresentamos a seguir quatro tipos possíveis de valor da informação:
	Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela ferar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor.
QUANDO PROTEGER AS INFORMAÇÕES? 
	O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco.
	Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa.
	ARMAZENAMENTO – Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pendrive depositado em uma gaveta, por exemplo.
	TRANSPORTE – Momento em que a informação é transportada, seja ao caminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelo de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo.
	DESCARTE – Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-ROM usado que apresentou falha na leitura.
	MANUSEIO – Momento em que a informação é criada e manipulada, seja ao folhear um maço de papel, ao digitar informações recém-geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação.
ONDE PROTEGER AS INFORMAÇÕES?
	Nos Ativos que as custodiam...
	FÍSICOS – Agenda, Sala, Arquivo, Cofre
	TECNOLÓGICOS – Sistema, Servidor, E-mail, Notebook
	HUMANOS – Funcionário, Parceiro, Secretária, Porteiro
DO QUE PROTEGER AS INFROMAÇÕES?
	De ameaças...
	FÍSICAS – Incêndio, Inundação, Curto circuito, Apagão
	TECNOLÓGICAS – Vírus, Bug Software, Defeito técnico, Invasão web
	HUMANAS – Sabotagem, Fraude, Erro Humano, Descuido
	Percebe-se então que a gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão dos negócios. Sendo essencial a utilização do Gerenciamento do ciclo de vida da informação, de forma a operacionalizar a informação e os dados, ou seja, organizar em meios físicos e com registros, categorizando-os para garantir a segurança e privacidade. 
	Este método permite que os gestores de tecnologia e os administradores da corporação definam por quanto tempo esses dados ficarão disponíveis, quando efetivamente serão descartados e permite classificar a informação quanto a sua finalidade.
	INFORMAÇÃO CRÍTICA (Sobrevivência) – A informação crítica destina-se à sobrevivência da organização para atender prioritariamente às áreas operacionais.
	INFORMAÇÃO MÍNIMA (Gestão) – A informação mínima é destinada originalmente aos gerentes de nível intermediário para a realização de atividades de gestão organizacional.
	INFORMAÇÃO POTENCIAL (Vantagem Competitiva) – A informação potencial é dirigida principalmente para a direção da organização, apontando possíveis vantagens competitivas a serem conquistadas.
	INFORMAÇÃO SEM INTERESSE(Lixo) – A informação sem interesse, ou lixo, é considerada uma parcela negativa inversamente proporcional à sua quantidade, em uma hipotética equação de valor para a finalidade da informação organizacional, e pode ser associada ao conceito de sobrecarga de informação. A relevância se manifesta através do impacto que a presença ou ausência da informação pode gerar no ambiente.
Classificação da Informação:
	O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas.
	Existem quatro aspectos importantes para a classificação das informações. Cada tipo de informação deve ser examinado a partir desses aspectos: 
	CONFIDENCIALIDADE – A informação só é acessada pelos indivíduos autorizados.
	INTEGRIDADE – A informação é atual, completa e mantida por pessoas autorizadas.
	VALOR – A informação tem um alto valor para a organização.
	DISPONIBILIDADE – A informação está sempre disponível quando necessária às pessoas autorizadas.
	Existem outros aspectos que também podem ser considerados:
	• Autenticidade – Garante que a informação ou o usuário da mesma é autêntico. Atesta com exatidão, a origem do dado ou informação;
	• Não repúdio – Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que
modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado.
	• Legalidade – É a aderência de um sistema à legislação. Garante a legalidade (jurídica) da informação.
	• Privacidade –Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. É a capacidade de um usuário realizar ações em um sistema sem que seja identificado.
	• Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo realizou
	Outro fator que deve ser considerado é o nível de ameaça conhecido que cada informação tem. Para isso devem ser respondidas questões como:
	Existem concorrentes buscando a informação?
	É uma informação fácil de perder a integridade, ficar desatualizada?
	É possível que ela fique indisponível e por qual motivo isso pode acontecer?
Com base na análise dos parâmetros anteriores, podemos chegar ao nível de segurança da informação. Um nivelamento de segurança pode seguir, por exemplo, a seguinte classificação:
	IRRESTRITO – Esta informação é pública, podendo ser utilizada por todos sem causar danos à organização.INTERNA – Esta informação é aquela que a organização não tem interesse em divulgar, cuso acesso por parte de indivíduos externos a ela deve ser evitado. Entretando, caso esta informação seja disponibilizada ela não causa danos sérios à organização.
	CONFIDENCIAL – Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes.
	SECRETA – Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e segura. Esta é a informação considerada vital para a compahia.
	Para podermos chegar nestes níveis de segurança podemos também considerar os seguintes aspectos:
	Para definir onível de segurança da informação de cada setor da organização a pessoa mais indicada é o próprio responsável daquele setor. Ele é quem certamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor.
	Após esta classificação ser feita também é importante que alguém de um nível supeior a ele esteja verificando classificação para garantir que as informações que precisem transitar entre os diversos setores não sejam demais protegidas e isoladas em um setor e também que as informações que não podem transitar estejam protegidas.
	Para finalizarmos:
	O mais importante para a organização é todo o conhecimento e as informações que ela tem relativos aos processos do seu negócio específico. Aqueles que conhecem melhor da sua área tem mais ferramentas, que no caso são as informações para um melhor desempenho.
	Percebe-se então que a gestão do ciclo de vida da informação tem se tornado um elemento fundamental para gestão de negócios. Lembrando que a informação que deve ser protegida é aquela que oferece riscos de causar danos nas operações da empresa caso seja transmitida a quem não for autorizado e que a informação que deve ser disseminada também oferece riscos de causar danos as operações da empresa caso não chegue ao seu destinatário, ou não esteja disponível na hora certa.
Aula 3: Vulnerabilidade de Segurança
Objetivo
	Os conceitos básicos
	Os principais tipos de vulnerabilidades.
	 As principais ferramentas para análise de vulnerabilidade de segurança
	A todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essas possibilidades aparecem, a quebra de segurança é consumada.
	As vulnerabilidades estão presentes  no dia-a-dia das empresas e se  apresentam nas mais diversas áreas de uma organização. 
	Se partimos do princípio de que não existem ambientes totalmente seguros, podemos afirmar que todos os ambientes empresariais são vulneráveis e muitas vezes  encontramos também vulnerabilidades nas medidas implementadas pela empresa. 
Mas, o que é vulnerabilidade?
	Clique aqui e leia algumas reportagens sobre o assunto.
	VULNERABILIDADE é a fragilidade presente ou associada a ativos que manipulam ou processam informações que, ao ser explorada por AMEAÇAS(uma ameaça é um possível perigo que pode explorar uma vulnerabilidade), permite a ocorrência de um incedente de segurança, afetando negativamente um ou mais princípios de segurança da informação, ou seja: DISPONIBILIDADE, INTEGRIDADE, CONFIDENCIALIDADE
VOCÊ SABIA?
	Que as vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou uma condição favorável que são as ameaças.
Podemos então concluir que:
Exemplos de vulnerabilidades...
	Não existe uma única causa para surgimento de vulnerabilidades. A negligência por parte dos adminstradores de rede e a falta de conhecimento técnico são exemplos típicos de vulnerabilidade, porém diferentes tipos de vulnerabilidade podem estar presente em diversos ambientes computacionais.
	As vulnerabilidades podem ser....
	FÍSICAS: Os pontos fracos de ordem física são aqueles presentes nos ambientes em que estão sendo armazenadas ou gerenciadas as informações. Ao serem explorados por ameaças, afetam diretamente os princípios bãsicos da segurança da informação, principalmente a disponibilidade. 
Exemplos:
	 Instalações prediais fora do padrão;
	Salas de CPD mal planejadas;
	Falta de extintores e detectores de fumaça;
	Risco de explosões, vazamentos ou incêndios.
	NATURAIS: São aqueles relacionados às condições da natureza que podem colocar em risco as informações. A probabilidade de estar expostos às ameaças naturais é fundamental na escolha e na preparação de um ambiente. Devem ser tomados cuidados especiais com o local, de acordo com o tipo de ameaça natural que possa ocorrer em uma determinada região geográfica.
Exemplos:
	Incêndios;
	Enchentes;
	Terremotos;
	Tempestades;
	Falta de energia;
	Acúmulo de poeira;
	Aumento de umidade e de temperatura.
	HARDWARE: São os possíveis defeito de fabricação ou configuração dos equipamentos das empresas que podem permitir o ataque ou a alteração dos mesmos.
Exemplos:
	A ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados;
	A conservação inadequada dos equipamentos;
	Falha nos recursos tecnológicos (desgads, absolescência, ma utilização);
	Erros durante a instalação.
	SOFTWARE: Quando aplicativos/sistema operacional permitem que ocorram acessos indevidos aos sistemas de computador, inclusive sem o conhecimeno de um usuário ou adminstrador de rede.
Exemplos:
	A configuração e a instalaão indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal-intencionados;
	Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.
	MÍDIAS: Utilização inadequadas dos dispositivos de armazenamento das informações, que podem deixar seu conteúdo vulnerável a uma série de fatores que poderão afetar a integridade, disponibilidade e a confidencialidade das informações
Exemplos:
	Uso incorreto das mídias de armazenamento (pen-drive, CDROM, DVDROM, HD);
	Discos, fitas, relatórios e impressos podem ser extraviados;
	Local de armazenamento em locais insalubres ou com alto nível de umidade, magnetismo ou estática, movo;
	Defeito de fabricação.
	COMUNICAÇÃO: Abrange todo o tráfico de informações, onde quer que transitem, seja por cabo, satélite, fibra óptica ou ondas de rádio. Abrange qualquer falha na comunicação que faça com que uma informação fique indisponível para os seus usuários, ou pelo contrário, fique disponível para quem não possua direitos de acesso ou ainda que as informações sejam alteradas em seu estado original, afetando sua integridade.
Exemplos:
	Acesso não autorizado;
	Perda de comunicação;
	A ausência de sistemas de criptografia nas comunicações;
	A má escolha dos sistemas de comunicação para envio de mensagens de alta prioridade da empresa.
	HUMANAS:Danos que pessoas podem causar às informações e ao ambiente tecnológico que lhes oferece suporte, podendo ser internacional ou não, e interna ou externa. Um importante exemplo de vulnerabilidade humana interna é o desconhecimento das medidas de segurança adequadas que são adotadas pela organização.
Exemplos:
	Falta de treinamento;
	Compartilhamento de informação confidencial;
	Não execução de rotinas de segurança;
	Erros ou omissões nos procedimentos operacionais da organização
	Ameaça de boma;
	Sabotagens;
	Vandalismo, roubo ou destruição da propriedade ou dos dados.
ANÁLISE VULNERABILIDADES
	A verificação das vulnerabilidades é essencial para garantir a segurança do sistema e da rede. A análise de vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Esta análise é uma ferramenta importandepara implementação de controles de segurança eficientes sobre os ativos de informação das empresas.
	É realizada através de um levantamento detalhado do ambiente computacional da empresa, verificanod se o ambiente atual fornece condições de segurança compatpiveis com a importância estratégica dos serviçõs que a empresa fornece ou desempenha. Esta análise compreende todos os ativos da informação da empresa que abrange:
	TECNOLOGIAS: software e hardware usados em servidores, estações de trabalho e outrtos equipamentos pertinentes, como sitema de telefonia, rádio e gravadores;
	AMBIENTE: é o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas;
	PROCESSOS: análise do fluxo de informação, da geração da informação e do seu consumo. Analisa também como a informação é compartilhada entre os setores da organização;
	PESSOAS: as pessoas são ativos da informação e executam processos, logo, precisam ser analizadas.
A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa possam ter maior conhecimento do ambiente de TI e seus problemas; assim como a possibilidade de tratamento das vulnerabilidades, com base nas informações geradas. 
	Os testes de vulnerabilidade consistem na determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. O objetivo do teste é a identificação nas máquinas da rede alvo de: 
	As portas do protocolo TCP/IP que encontram-se desprotegida (abertas);
	Os sistemas operacionais utilizados;
	Patches e service packs (se for o caso) aplicados e os aplicativos instalados. 
	Existem também diferentes tipos de vulnerabilidades que podem ser encontradas:
	Bugs específicos dos sistemas operacionais/ aplicativos;
	Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos;
	Falhas nos softwares dos equipamentos de comunicações; 
	Fraquezas nas implementações de segurança dos equipamentos de comunicação; 
	Fraqueza de segurança/falhas nos scripts que executam nos servidores web;
	Falhas nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos. 
Ferramenta para análise de Vulnerabilidade de segurança
	Existem vários softwares para detectar vulnerabilidades e a cada dia com avanço das tecnologias surgem novas versões e novos produtos.
	Além da análise de vulnerabilidade também é muito importante que o profissional de TI periodicamente realiza uma pesquisa de vulnerabilidade sobre os produtos ou aplicações utilizados em sua organização.
O QUE É PESQUISA DE VULNERABILIDADE?
	Significa descobrir as falhas e deficiências em um produto ou aplicação que podem comprometer a segurança. Quando um atacante encontra uma vulnerabilidade em um produto ou aplicação, ele tenta explorá-la
Porquê é importante realizar uma pesquisa de vulnerabilidade?
	Por que auxilia os profissionais de segurança a:
	Identificar e corrigir vulnerabilidades de rede;
	Proteger a rede de ser atacada por invasores;
	Obter informações que auxiliam a prevenir os problemas de segurança;
	Conhecer as fragilidades de rede de computadores;
	Conhecer os alertas de segurança antes de um ataque de rede;
	Conhecer como recuperar uma rede após um ataque.
Em 2010 uma empresa de segurança publicou em relatório com as 10 empresas cujos produtos apresentavam uma maior quantidade de problemas de vulnerabilidades:
	APPLE
	ORACLA
	MICROSOFT
	HP
	ADOBE SYSTEM
	IBM
	Vmware
	CISCO
	Google
	Mozilla ORGANIZATION
	VOCÊ SABIA?
	Voce sabe o que é um exploit?
	
	Um exploit, em segurança da informação, é um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional, como o próprio sistema operacional ou serviços de interação de protocolos (ex: servicores Web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas.
Aula 4: Ameaças ao Sistema de Informação
Objetivo
	Nesta aula você irá estudar sobre ameaças ao sistema de informação.
	Irá compreender o que são ameaças de segurança.
	Conhecer os principais tipos de ameaças.
	Identificar as diferenças entre ameaças passivas e ativas.
Introdução às ameaças de segurança
	Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos motivados não só pela difusão da Internet, que cresceu de alguns milhares de usuários no início da década de 1980 para centenas de milhões de usuários ao redor do globo nos dias de hoje, como também pela democratização da informação. A internet tornou-se um canal on-line para fazer negócios, porém viabilizou também a atuação dos ladrões do mundo digital, seja hackers ou leigos mal-intencionados. Proporcionou também a propagação de códigos maliciosos, spam, e outros inúmeros inconvenientes que colocam em risco a segurança de uma corporação.
	Outros fatores também contribuíram para impulsionarem o crescimento dos incidentes de segurança, tais como:
	O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurança nos sistemas operacionais utilizados em servidores e estações de trabalho.
	O processo de mitigar tais vulnerabilidades com a aplicação de correções do sistema, realizadas muitas vezes de forma manual e individual: de máquina em máquina.
	A complexidade e a sofisticação dos ataques, que assumem as formas mais variadas, como, por exemplo: infecção por vírus, acesso não autorizado, ataques denial of service contra redes e sistemas, furto de informação proprietária, invasão de sistemas, fraudes internas e externas, uso não autorizado de redes sem fio, entre outras.
É a conjunção dessas condições que culmina na parada generalizada de sistemas e redes corporativas ao redor do mundo
	Você sabe o que é uma ameaça?
	Uma ameaça segundo a defenição da RFC 2828, Internet secure glossary, é:
	“Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade”
	Segundo Marcos Sêmola, as ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de:
	Quando classificadas quanto a sua intencionalidade as ameaças podem ser:
Códigos maliciosos (Malware)
	Segundo o Wikipédia, o termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers, bots, rootkits e spywares são considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra citada. 
Vírus
	O vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. 
	Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro .
	Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário”, até alterar ou destruir programas e arquivos do disco.
Como uma máquina pode ser infectada? 
	É preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como:
	-Abrir arquivos anexados aos e-mails;
	-Abrir arquivos do Word, Excel, etc;
	-Abrir arquivos armazenados em outros computadores,através do compartilhamento de recursos;
	-Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquetes,pen drives, CDs, DVDs, etc;
	-Ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado.
	Clique aqui e conheça alguns tipos de virus.
Worms
	Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
	Geralmente o worm não tem como consequência mesmos danos gerados por um vírus, mas são notadamente responsáveis por consumir muitos recursos. 	Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar. 
Cavalos de Tróia
	São programas que parecem úteis mas tem código destrutivo embutido. Além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.
	Normalmente é um programa, normalmente recebido como um “presente”, que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia:
	instalação keyloggers ou screenloggers; 
	furto de senhas e outras informações sensíveis, como números de cartões de crédito;
	inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;
	alteração ou destruição de arquivos.
Adware (Advertising software) 
	É um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. 
Spyware
	Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas.
	Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa.
	Listamos abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou malicioso: 
	Monitoramento de URLs acessadas enquanto o usuário navega na Internet;
	Alteração da página inicial apresentada no browser do usuário;
	Varredura dos arquivos armazenados no disco rígido do computador;
	Monitoramento e captura de informações inseridas em 
		outros programas, como processadores de texto;
	Instalação de outros programas spyware;
	Monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse
	Captura de senhas bancárias e números de cartões de crédito;
	Captura de outras senhas usadas em sites de comércio eletrônico.
	É importante ressaltar que estes programas, na maioria das vezes, comprometem a privacidade do usuário e a segurança do computador do usuário, dependendo das ações realizadas pelo spyware no computador e de quais informações são monitoradas e enviadas para terceiros. 
Backdoors
	Nome dado a programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim sem precisar recorrer aos métodos utilizados na invasão.  Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado.
	A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto (através da Internet).  	O backdoor  pode  ser incluído por um vírus, através de um cavalo de tróia ou pela a  instalação de pacotes de software. 
Keyloggers 
	Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. As informações capturadas podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito.  Sua  ativação está condicionada a uma ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo, através de e-mails).  A contaminação por Keylogger, geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os Trojans.
Screenloggers 
	Formas mais avançadas de keyloggers  que além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado,  também são capazes de  armazenar a região  que circunda a posição onde o mouse é clicado.
Rootkits 
	Conjunto de programas que fornecem mecanismos  para esconder e assegurar a presença de um invasor.  O nome rootkit não indica que o conjunto de ferramentas que o compõem  são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.
	Um rootkit pode fornecer programas com as mais diversas funcionalidades: 
	programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;
	backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits); 
	programas para capturar informações na rede onde o computador está  localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
	programas para remoção de evidências em arquivos de logs;
	programas para mapear potenciais vulnerabilidades em outros computadores;
Bots e Botnets
	Segundo a wikipédia, uma botnet é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores utilizando software de computação distribuída. 
	Clique aqui e saiba mais através de reportagens de um detalhamento de como eles funcionam
	Potenciais atacantes:
	Existem controvérsias sobre o conceito e a nomenclatura dos possíveis atacantes. Para saber mais leia o artigo “Como funciona a cabeça de um hacker”. 
	1.Hackers - Pessoa com amplo conhecimento de programação e noções de rede e internet. 		Não desenvolvem vulnerabilidade, apenas copiam vulnerabilidades publicadas em 		sites especializados;
	2.White-hats - Exploram os problemas de segurança para divulgá-los abertamente;
	3. Crackers - Pessoas que invadem  sistemas em rede ou computadores apenas por desafio;
		4.Black-hats - Usam suas descobertas e habilidades em benefício próprio, extorsão, 		fraudes, etc.
	5.Pheakres - Pessoa que Interferem com o curso normal das centrais telefônicas, realizam 		chamadas sem ser detectados ou  realizam chamadas sem tarifação;
	6.Wannabes - Ou script-kiddies são aqueles que acham que sabem, dizem para todos que 		sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de 		scripts conhecidos;
	7.Defacers - São organizados em grupo, usamseus conhecimentos para invadir servidores 		que possuam páginas web e modificá-las.
Ameaças passivas x ativas:
	Nós vimos que as ameaças podem ser classificadas quanto a sua intencionalidade e podem ser classificadas quanto a sua origem: 
	Ela pode ser interna, pois nem sempre o principal “inimigo” está fora da nossa empresa, como um hacker ou um cracker, mas sim dentro dela, como um funcionário mal intencionado ou muito insatisfeito, que geralmente possui livre acesso aos recursos disponíveis e que podem comprometer a integridade e a privacidade de informações estratégicas da empresa.
Segundo Stallings, na literatura os termos ameaças e ataque normalmente são usados para designar mais ou menos a mesma coisa: 
	Podemos classificar os ataques como:
Clique aqui e veja como esses ataques ocorrem.
Como proteger o computador de ameaças?
	Nós vimos que algumas das ameaças estudadas são capazes de se propagar automaticamente, através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Porém todas as ameaças exploram as vulnerabilidades encontradas. Segundo a cartilha de Segurança para internet do CERT.br,uma das formas de proteger um computador é: 
Manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correções de segurança (patches) disponíveis aplicadas, para evitar que possuam vulnerabilidades. 
 	Também é recomendado a utilização de antivírus, mantendo-o sempre atualizado, pois em muitos casos permite detectar e até mesmo evitar a propagação de um bot. Porém o antivírus só será capaz de detectar bots conhecidos. 
Ao final de nosso estudo podemos concluir que:
	A tendência é que as ameaças ou ataques à segurança continuem a crescer não apenas em ocorrência, mas também em velocidade, complexidade e alcance, tornando o processo de prevenção e de mitigação de incidentes cada vez mais difícil e sofisticado. Novas formas de infecção podem surgir. Portanto, é importante manter-se informado através de jornais, revistas e de sites sobre segurança e de fabricantes de antivírus. 
	Leia a Cartilha de Segurança para Internet Parte VIII: Códigos Maliciosos (Malware) 
Para saber mais sobre os tópicos estudados nesta aula, pesquise na internet sites, vídeos e artigos relacionados ao conteúdo visto. Se ainda tiver alguma dúvida, fale com seu professor online utilizando os recursos disponíveis no ambiente de aprendizagem.
Consulte o material didático Segurança em redes Privadas Virtuais – VPNs, Alexandre Guedes Guimarães, Raimundo Corrêa de Oliveira e Rafael Dueire Lins, páginas 11 a 18.
Aula 5: Ataques à Segurança
Objetivo
	Nesta aula você irá Compreender o que são ataques à segurança da Informação. 
	O planejamento de um ataque;
	Os principais tipos de ataques.
Para que um ataque ocorra, normalmente o atacante irá seguir os seguintes passos: 
1-Levantamento das informações
		A fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque.
		Existem duas formas de realizar o reconhecimento: ATIVO e PASSIVO.
		O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo”.
	O reconhecimento ativo envolve interação direta com o alvo através de um meio, como por exemplo, contato telefônico por meio do help desk ou departamento técnico.
	
	2-Exploração das informações
		Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresa, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping.
	3-Obtenção de Acesso
		Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido.
		Nesta fase o atacante poderá obter acesso em nível de: sistema operacional, aplicação e rede.
	
	4-Manutenção do Acesso
		Nesta fase o Atacante tenta manter seu próprio domínio sobre o sistema. Poderá também porotêge-lo de outros atacantes através da utilização de “acessos exclusivos” obtidos através de rootkits, backdoors ou trojans.
	Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase o sistema atacado poderá ficar comprometido.
	5-Camuflagem das Evidências
		Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Podemos citar como técnicas utilizadas nesta fase a esteganografia , o tunelamento e a alteração dos arquivos de log.
Principais tipos de ataque:
	Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. Estes ataques podem ser classificados:
	Ataque para Obtenção de Informações
Neste tipo de ataque é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador.
	Ataques aos Sistemas Operacionais
Os sistemas operacionais atuais apresentam uma natureza muito complexa devido a implementação de vários serviços, portas abertas por padrão, além de diversos programas instalados. Muitas vezes a aplicação de patches e hotfixes não é tarefa tão trivial devido a essa complexidade: dos sistemas , da rede de computadores ou ainda pela falta de conhecimento e perfil do profissional de TI. Consequentemente os atacantes procuram e exploram as vulnerabilidades existentes nos sistemas Operacionais para obter acesso para o sistema de rede da organização. 
	Ataques à Aplicacão
Na maioria das vezes para conseguir entregar os produtos no prazo acordado, os desenvolvedores de software tem um tempo de desenvolvimento do produto muito curto. Apesar de muitas organizações utilizarem metodologias baseadas na engenharia de software, as aplicações muitas vezes são desenvolvidas com um grande número de funcionalidades e Recursos, seja para cumprir prazos ou por falta de profissionais qualificados, não são realizados testes antes da liberaração dos produtos.
Além disso, normalmente as caracteristicas de segurança da aplicação são oferecidas posteriormente ou muitas das vezes como um componente “add-on”. A não existência de controles de erros nas aplicações podem levar a ataques por exemplo, de buffer overflow. 
	Ataques de códigos pré-fabricados (shrink wrap code)
Por que reinventar a roda se existem uma série de exemplos de códigos já prontos para serem executados? Quando um administrador de sistemas instala um sistema operacional ou uma aplicação, normalmente já existem uma série de scripts prontos, que acompanham a instalação e que tornam o trabalho dos administradores mais fácil e mais ágil. 
Normalmente o problema na utilização destes scripts, é que não passaram por um processo de refinamento e customização quanto as reais necessidades de cada administrador e quando utilizado em sua versão padrão podem então conduzir a um ataque do tipo shrink wrap code, ou seja o atacante utiliza possível falhas de segurança nestes scripts para realizar o ataque. 
	Ataques de configuração mal feita (miscofiguration)
Muitos sistemas que deveriam estar fortemente seguros, podem apresentam vulnerabilidades caso não tenham sido configurados adequadamente. Com a complexidade dos sistemas atuais os administradores podem não ter os conhecimentos e recursos necessários para corrigir ouperceber um problema de segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam configurações simples. Para aumentar a probabilidade de configurar um sistema adequadamente os administradores devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional, evitando que algum serviço ou software não necessário possa ser explorado. 
	Packet Sniffing
Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede. Este tipo de ataque também é conhecido como espionagem passiva e sua utilização diminuiu muito com a utilização de switches no lugar dos hubs. 
ATENÇÃO! Evite a utilização de serviçõs que possuem senhas abertas, tais como telnet, FTP e POP, pois podem ser facilmente capturadas pela rede dessa forma. Além da utilização de serviços que possuem suas mensagens criptografadas (iremos estudar criptografia nas próximas aulas!)
	Port Scanning
Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. 
	SAIBA MAIS!
	A utilização de firewalls contribui muito para evitar esse tipo de ataque. Pois além de limitar as portas que poderão ser acessadas, podemos definir os estados das conexões tcp que serão aceitos. Podemos, por exemplo, definir que para a porta 21, somente o endereço IP xpto.xpto.xpto.xpto poderá acessar.
Como funciona o Port Scanning ?
	Um dos métodos de se implementar um port scanning é a partir do protocolo TCP e através da primitiva connect() onde a system call connect() é utilizada para abrir uma conexão nas portas do alvo. Se a porta estiver aberta, a system call retornará com sucesso.   
Scanning de vulnerabilidades
	Após mapear os sistemas que podem ser atacados e os serviços que são executados, o atacante irá mapear as vulnerabilidades específicas para cada serviço através da utilização de um software de scanning de vulnerabilidades.
	Estes softwares possuem diversos padrões e testes para detectar vulnerabilidades. Seu principal alvo são aplicativos desatualizados, por exemplo: A versão de algum software utilizado na sua organização na qual foram achadas falhas críticas de segurança mas que a equipe técnica, por não saber dessas falhas não atualizou a versão do mesmo.
Ip Spoofing
	Nesta técnica o endereço IP real do atacante é alterado, evitando assim que ele seja encontrado. Sistemas que possuem a segurança baseada em lista de endereço IP são o principal alvo desse tipo de ataque, onde o atacante se passa por um usuário legítimo.
	A melhor forma de tentar se proteger desse tipo de ataque é com a aplicação de filtros, de acordo com as interfaces de rede onde os IPs são validados e as interfaces de rede por onde trafegam também.
SYN Flooding
	Este tipo de ataque explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas.
A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.
Fragmentação de pacotes IP
	Os pacotes do protocolo TCP/IP possuem um campo MTU (maximum transfer unit) que especifica a quantidade máxima de dados que podem passar em um pacote por um meio físico da rede. Este tipo de ataque utiliza-se dessa característica devido ao modo como a fragmentação e o reagrupamento são implementados. Os sistemas não tentam processar o pacote até que todos os fragmentos sejam recebidos e reagrupados, isso cria a possibilidade de ocorrer um overflow na pilha do protocolo TCP quando há o reagrupamento dos pacotes.
Fraggle
	Consiste em eviar um excessivo número de pacotes PING para o dom[ínio de bloadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de bloadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilidtada de suas funções normais.
Smurf
	O ataque smurf é idêntico ao ataque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
SQL Injection
	Um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
Buffer Overflow
	Conseqüência direta de péssimos hábitos de programação. Consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. 
Ataque físico
	Muitas vezes as organizações investem em equipamentos do tipo firewalls e anti-vírus e pensam que estão protegidos e esquecem que os ataque não ocorrem somente pela rede de computadores. As salas aonde ficam os servidores e os equipamentos de rede devem ter um controle rígido de acesso, assim como os arquivos com dados sigilosos ou sensíveis. Um ataque físico também pode ocorrer em instâncias menores como roubo da fita magnética de backup, através da conexão de dispositivos USB, ou ainda por acesso as informações sigilosas.
ATENÇÃO!
Funcionários insatisfeitos e que possuem acesso às informações podem copiar dados sigilosos e distribuí-los à concorrência ou realizar outros proósitos maléficos.
Dumpster diving ou trashing
	Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma. 
Engenharia Social
	Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É um dos meios mais utilizados de obtenção de informações sigilosas e importantes. 
	Isso ocorre pois a maioria da empresas não possui métodos que protejam seus funcionários das armadilhas de engenharia social. 
	Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. 
	Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas.
Phishing Scam
	Phishing, também conhecido como phishing scam ou phishing/scam, é um método de ataque que se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. 
Ataque de negação de serviço (DoS)
	Um ataque de negação de serviço (também conhecido como DoS é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. 
	Normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis. Neste tipo de ataque não ocorre uma invasão no sistema mas a sua invalidação por sobrecarga. Estes tipos de ataques podem ser realizados de duas formas:
	Forçando o sistema alvo a reinicializar ou consumir todos os seus recursos (como memória ou processamento) de forma a não poder mais fornecer seu serviço.
	Obstruindo a mídia de comunicação entre os clientes e o sistema alvo de forma a não comunicarem-se adequadamente.
Ataques coordenados (DDoS)
	Semelhante ao ataque DoS, porém ocorre de forma distribuída.Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço. 
	Como o ataque funciona?
		-Consiste em fazer com que os Zumbis se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. 
		-Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. 
		-Como servidores web possuem um número limitado de usuários que pode atender simultaneamente, o grande e repentino número de requisições de acesso faz com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.
Aula 6: Gestão de riscos em Segurança da Informação
Objetivos
	Nesta aula você irá compreender a Gestão de Riscos em Segurança da Informação: 
	1. Os conceitos básicos.
	2. Como estabelecer o contexto do risco.
	3. As etapas da gestão de risco. 
	4. A Análise e avaliação do risco. 
	5. O Tratamento dos riscos. 
	6. A Aceitação e comunicação do risco. 
	7. O monitoramento e revisão dos riscos. 
	8. Os Riscos, medidas de segurança e o ciclo de segurança. 
Risco
	Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades.Instituto Brasileiro de Governança Corporativa.
	Segundo a norma ABNT NBR ISO 31000:2009- Gestão de Risco, Princípios e Diretrizes, as organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.
	Ainda segundo a norma, todas as atividades de uma organização envolvem risco. As organizações devem gerenciar o risco, identificando-o, analisando-o, e em seguida, avaliando se o risco deve ser modificado pelo tratamento do risco a fim de atender a seus critérios de risco. 
	Ao longo de todo esse processo, elas comunicam e consultam as partes interessadas e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido.”
Como estabelecer o contexto do risco
	Segundo Beal, os termos e definições do ISO guide 73, dizem respeito a todo e qualquer tipo de situação (ou evento) que constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento. Como ele está estruturado de uma forma genérica e básico para o entendimento comum a organizações de diversos países, é necessário algumas adaptações para atender às necessidades dentro de um domínio específico. 
	Por exemplo, para as empresas do ramo do comércio/indústria, o risco é visto como a exposição às perdas baseada nas freqüências estimadas e custo de concorrência. Já em um organização da área de saúde, segundo a resolução CNS 196/96, o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social, cultural.
Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover ajustes na terminologia adotada, alterando-a e expandindo-a na medida do necessário para tratar a questão dentro do escopo que está sendo estudada.
Alguns termos e definições:
	Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.
	Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco.
	Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
	Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.
	Incidente: Quando uma ameaça se concretiza.
	Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
	Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
	Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes.
Risco
	Probabilidade de uma ameaça explorar uma (ou várias)  vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. 
Sua escala é dada por dois fatores:
	Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades;
	Conseqüências trazidas pela ocorrência do incidente (impacto);
	Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação, cujo valor compõe o cálculo da estimativa do risco. Em muitos casos, a probabilidade associada a uma ameaça é calculada com base na frequência de ocorrência ; em outros, quando dados de frequência não estão disponíveis, a probabilidade pode ser estimada com base no grau de confiança atribuído a ocorrência . 
	As medidas de proteção também chamada de controles, servem para elimar ou reduzir o risco, reduzindo a probabilidade de concretização de uma ameaça, as vulnerabilidades que podem ser exploradas por essa ameaça ou os impactos advindos de incidentes que venham a se concretizar.
	Risco percebido: forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e prioridades.
ATENÇÃO! Nem sempre o risco percebido é o risco verdadeiro.
Gestão de risco
Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa. O que torna algo seguro ou não, está muito mais ligado à gerência de uma série de fatores do que à compra ou implementação de uma solução de software ou hardware definitiva.  No âmbito da segurança da informação, a gestão de riscos é utilizada  com o intuito de prevenir incidentes e melhorar o nível de segurança das informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), sendo um  dos  componentes mais importantes. É por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua.
	Entender os riscos associados com o negócio e a gestão da informação.
	Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações.
	Melhorar a eficácia no controle de riscos
	Manter a reputação e imagem da organização.
	Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
	Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
	É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser: 
	Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
	Conformidade legal e a evidência da realização dos procedimentos corretos;
	Preparação de um plano de continuidade de negócios;
	Preparação de um plano de resposta a incidentes;
	Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo.
Etapas da Gestão de Risco
	A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do PDCA, que nos permite entender a gestão do Risco como um processo contínuo: 
	
Etapas da Gestão de Risco
	Uma forma mais detalhada e que facilita a análise do processo de gestão de risco é apresentada a seguir, cobrindo  todo o ciclo de vida do risco, desde a sua identificação até a sua comunicação às partes envolvidas:
Análise e avaliação dos riscos 
	Cobre todo o processo de identificação das ameaças e estimativa de risco. Inicia-se coma identificação dos riscos e seus elementos, já estudados anteriormente:
	A decomposição do risco (na figura anterior)  e seus componentes e a posterior avaliação da “características mesuráveis” desses componentes levam a uma estimativa do valor do risco, que pode depois ser comparado com uma referência para que sua relevância seja determinada, possibilitando a tomada de decisão quanto a aceitá-lo ou tratá-lo.
	Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que costumam ser classificadas como :
Tratamento dos riscos 
	Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação possível é: 
Riscos, medidas de segurança e o ciclo de segurança
Segundo Sêmola, para um melhor entendimento da amplitude e complexidade da segurança, é comum estudarmos os desafios em camadas ou fases para tornar mais claro o entendimento de cada uma delas. Estas fases são chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita integração e interação:
Barreira1: Desencorajar
	Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase.
Barreira 02: Dificultar
	O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
Barreira 03: Discriminar
	Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados. 
Barreira 04: Detectar
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo.
Barreira 05: Deter
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
Barreira 06: Diagnosticar
	Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo.  Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos
Equação do risco
	Cada negócio, independente de seu segmento de mercado possui dezenas  ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco. 
 
	O risco é a probabilidade de que agentes, que são as ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impacto nos negócios. 
Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo, assim o risco.
	Por melhor que estejam protegidos os ativos, novas tecnologias, mudanças organizacionais e novos processos podem criar vulnerabilidades ou identificar e chamar a tenção para as já existentes. Além disso, novas ameaças podem surgir e aumentar significativamente a possibilidade de impactos no negócio. 
	É fundamental que todos tenhamos a consciência de não existe segurança total, e por isso, devemos estar bem estruturado para suportar  mudanças nas variáveis da equação, reagindo com velocidade e ajustando o risco novamente aos padrões pré-especificados como ideal para o negócio e lembrando que sempre será necessário avaliar o nível de segurança apropriado para cada momento vivido pela empresa.  
Aula 7 – Segurança da Informação Segundo a NBR ISO/IEC 27002 (antiga ISO 17799)
Nesta aula, você irá: 
Compreender a norma NBR ISO/IEC 27002
	1. Conhecer os Conceitos de Segurança da Informação.
	2. 7.2.Normas de Segurança da Informação.
	3. 7.3.Gestão de Riscos segundo a NBR 27001.
	4. 7.4.Política de segurança.
	5. 7.5.Segurança Organizacional. 
	6. 7.6.Classificação e controle dos ativos. 
	7. 7.7.Segurança em pessoas. 
	8. 7.8.Segurança física e do ambiente. 
	9. 7.9.Gerenciamento das operações e comunicações. 
	10. 7.10.Controle de Acesso. 
	11. 7.11.Desenvolvimento e Manutenção de Sistemas. 
	12. 7.12.Gestão de incidentes de segurança da informação. 
	13. 7.13.Gestão da Continuidade do Negócio. 
	14. 7.14.Conformidade. 
Você sabe o que é ISO?
 	ISO é uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva.
 	ISO é uma palavra derivada do grego isos (igual), que aparece como prefixo em termos tais como: isometria (qualidade de medidas e dimensões), isonomia (igualdade das pessoas perante à lei). Por decorrência, associa-se iso (igual) a "padrão", o que levou a uma linha de pensamento que redundou na escolha de ISO como identificação mundial da International Organization for Standardization, para evitar a infinidade de siglas resultantes da tradução em diversas línguas dessa Organização Não Governamental criada em 1947 e sediada em Genebra, na Suíça. 
Para que a ISO represente o consenso de diferentes países é necessário que haja participação destes países nas discussões e decisões. 
Para acessar na íntegra a lista de países, diretamente na página da ISO: 
http://www.iso.org/iso/about/iso_members.html 
FAMÍLA ISO/IEC 27000
	ISO/IEC 27000 - Termos e Vocabulário
Esta norma apresenta a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando aos fundamentos sobre os quais toda a família está baseada e se integra.
	ISO/IEC 27001 - Requisitos SGSI
Esta norma define os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança em controle de seguranaça eficientes.
	ISO/IEC 27002 - Código de Práticas
Esta norma estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Ela aborta 11 tópicos
	Política de Segurança da Informação;
	Organizando a Segurança da Informação;
	Gestão de Ativos;
	Segurança em Recursos Humanos;
	Segurança Física e do Ambiente;
	Gestão das Operações e Comunicações;
	Controle de Acesso;
	Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
	Gestão de Incidentes de Segurança da Informação;
	Gestão da Continuidadedo Negócio;
	Conformidade;
	ISO/IEC 27003 - Guia para Implantação
Esta norma fornece orientação para um sistema de gestão de segurança da informação com objetivos mais amplos que a norma ISO 27001, especificamente no que tange à melhoria do desempenho global que uma organização e sua efici^ncia, assim como sua eficácia.
	ISO/IEC 27004 - Mediação
Esta norma define métricas e medições para avaliar a eficácia de um SGSI. Fornece orientações para elaboração, tabulação e visando o acompanhamento dos objetivos de segurança previstos para o sistema de gestão por meio da medição da eficácia dos controles de segurança implementados e permitindo aos gestores avaliar se os controles alcançam de forma satisfatória os objetivos de controle planejados.
	ISO/IEC 27005 - Gestão de Riscos
Fornece diretrizes para o processo de gestão de riscos de segurança da informação. Contém a descrição do processo de gestão de riscos de segurança da informação das suas atividades.
	ISO/IEC 27006 - Requisitos para Acreditação
Guia para o processo de acreditação de entidades certificadoras.
	ISO/IEC 27007 - Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação
Esta norma é baseada na norma ISO 91011, que apresenta diretrizes de auditoria para os sistemas de gestão de qualidade e/ou ambiental, deve orientar as auditorias de conformidade com a norma ISO 27001
	ISO/IEC 27008 - Orientações para Auditores de Sistema de Segurança da Informação
Esta norma será um complemento da ISO 27007 e deve orientar os Auditores de Sistema de Segurança da Informação a realizar as auditorias dos controles em conformidade com a norma ISO 27001
Segundo a NBR ISO/IEC27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
	Requisitos de Negócio: Uma outra fonte é o conjunto de princípios de princípios, objetivos e os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações
	Análise de Riscos: A partir da análise/avalição de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
	Requisitos Legais: Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
Analisando/avaliando os riscos de segurança da informação
	Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Os resultados desta análise ajudarão a direcionar e a determinar as ações genenciais apropriadas, as prioridades para o gerenciamento dos riscos da segurança da informação e a implementação dos controles para proteção contra estes riscos.
	Após a identificação dos requisitos e dos riscos de segurança da informação e a implementação dos controles selecionados para a proteção contra estes riscos.
Após a identificação dos requisitos e dos riscos de segurança da informação e as decisões para o tratamento dos riscos tenham sido tomadas, os controles apropriados devem ser selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável.
	Já a norma NBR ISO/IEC 27001 orienta como uma organização deve se relacionar com gestão de risco ao estabelecer seu Sistema de Gestão de Segurança da Informação – SGSI. Após definição da política de segurança a organização deve adotar uma abordagem para análise/avaliação de riscos da organização:
	A organização deve identificar uma metodologia de análise de risco que seja adequada ao seu SGSI e aos requisitos legais, regulamentares e de segurança da informação identificados em seu negócio;
	E desenvolver critérios para aceitação de riscos e identificar os níveis aceitáveis de risco.
Gestão de risco segundo a norma NBR ISO/IEC 27001
	A organização deve identificar os riscos, nesta fase deverão ser identificados:
		Os Ativos e seus proprietários dentro do escopo SGSI;
	As ameaças e vulnerabilidade destes ativos;
	Os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar.
	Após a fase de identificação deverão ser analisados e avaliados os riscos levantados. Assim será possível:
		Avaliar os impactos para o negócio da organização que podem resultar falhas de segurança;
	Avaliar a probabilidade real da ocorrência de falhas de segurança em relação as ameaças e vulnerabilidades identificadas, o impacto decorrente e os controles autalmente implementados;
	Estimar os níveis de riscos e determinar se são aceitáveis ou requerem álbum tipo de tratamento.
	Na próxima etapa a organização deverá identificar e avaliar as opções para tratamento dos riscos que incluem:
		Aplicar os controles apropriados;
	Aceitar os riscos desde que satisfaçãm as políticas da organização e aos critérios de aceitação do risco;
	Evitar os riscos;
	Transferir os riscos associados ao negócio a outras partes. (fazer um seguro por exemplo).
	E finalmente selecionar os objetivos de controles e controles para tratamento dos riscos:
		Os objetivos de controles e controles devem atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos;
	A seleção deve considerar os critérios para a aceitação de riscos com também os requisitos legais, regulamentares e contratuais.
Política de Segurança
A norma NBR ISO/IEC 27002 provê uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação:
A direção da organização deve estabelecer orientação da política alinhada com os objetivos do negócio;
A direção deve demonstrar seu apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização;
Por que a política de segurança é importante?
	Serve como linha-mestra para todas as atividades de Segurança da Informação desempenhadas em uma organização pois descreve quais são os objetivos que todas as atividades ligadas à Segurança da Informação devem trabalhar para atingir. Demonstra também o comprometimento da alta direção.
	Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente do documento de política geral é dividido em vários documentos, que são agrupados e estruturados em virtude do nível de detalhes requeridos, facilitando o desenvolvimento e manutenção dos documentos e normalmente são divididos em:
	Diretrizes
As diretrizes são as regras de alto nível que representam os princípios báiscos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Servem com base para a criação das normas e procedimentos.
	Normas
As normas especificam no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes.
	Procedimentos
Os procedimentos detalham no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela norma.
Organizando a seguranã da Informação
	A norma NBR ISO/IEC 27002 provê uma orientação de como a organização deve proceder para gerenciar a segurança da informação na organização:
	INTERNAMENTE
		Através do comprometimento da direção;
	Através do estabelecimento da coordenação da segurança da informação;
	Da atribuição de responsabilidade para a segurança da informação.
	EXTERNAMENTE
		Identificação dos riscos relacionados como partes externas;
	Identificação da segurança antes de conceder aos clientes o acesso aos ativos da organização;
	Identificação da segurança nos acordos com terceiros.
Organizando a segurança da informação
	A direção da organização deverá apoiar