Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sandro Lopes Bianchini Segurança e auditoria de sistemas de informação Sandro Lopes Bianchini Segurança e auditoria de sistemas de informação Bianchini, Sandro Lopes Segurança e auditoria de sistemas de informação. Sorocaba/SP, 2020. 83 f. Ed. 1. Validador: Ruy Barbosa Figueiredo Júnior. Instituto Cultural Newton Paiva Ferreira Ltda. | ED+ Content Hub, 2020. Assuntos: 1. Segurança - ambiente informatizado; 2. Auditoria de Sistemas; 3. Software Malicioso; 4. Segurança Web. Formato: digital. Recurso: PDF e HTML. Requisitos do sistema operacional: • Windows 8.1 ou superior; • Mac OSX 10.6 ou superior; • Linux - ChromeOS. Configurações técnicas: • 2GB de memória RAM; • 2.5GHz de processador; • 10GB de espaço em disco. Navegadores: • Google Chrome – Versão mais atualizada; • Mozilla Firefox – Versão mais atualizada. Dispositivos móveis: • iOS 10 ou superior; • Android 5 ou superior. Modo de acesso: área restrita - Ambiente Virtual de Aprendizagem. Todos os direitos desta edição são reservados ao Centro Universitário Facens. Rodovia Senador José Ermírio de Moraes, 1425, km 1,5 – Sorocaba/SP CEP: 18.085-784 | tel.: 55 15 3238 1188 Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem autorização. A violação dos direitos autorais é crime estabelecido pela Lei n.º 9.610/98 e punido pelo artigo 184 do Código Penal. Todas as imagens, vetores e ilustrações são creditados ao Shutterstock Inc., salvo quando indicada a referência. Conteúdo Unidade 1 Introdução à segurança de sistemas de informação ..................... 6 Unidade 2 Sistemas sob ataque ........................................................................ 19 Unidade 3 Implementação de segurança em sistemas de informação ........ 38 Unidade 4 Auditoria dos sistemas de informação .......................................... 58 Unidade 5 Gerenciamento de riscos ................................................................. 77 Unidade 6 Criptografia ........................................................................................ 97 Unidade 7 Redes de computadores................................................................. 119 Unidade 8 Leis de conformidade ..................................................................... 142 Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 5 PALAVRAS DO AUTOR No escopo dos sistemas de informação, um aspecto importante, que deve ser considerado em qualquer desenvolvimento, é a segurança que esse sistema provê seja para o usuário que o utiliza, seja para demais sistemas, ou ainda para si próprio. Para um usuário é importante que credenciais de acesso, dados pessoais e hábitos de uso sejam devidamente manipulados e seguros, de maneira que sua utili- zação não sirva para fins ilícitos. Do ponto de vista dos demais sistemas, a execução e a utilização de um sistema deve ser segura o suficiente de modo a não provocar danos a outros sistemas: a mera execução de um sistema não deve, por exemplo, causar estouro da pilha de memória do sistema. Em relação a si próprio, o sistema deve ser seguro o suficiente de modo que sua execução seja livre de erros e traga confiabilidade para esse sistema. Nesta disciplina, você compreenderá porque a segurança é necessária em um sistema de informação, entendendo como esses sistemas podem ter a sua segurança afetada e quais brechas existentes podem surgir neles. Você também conhecerá como funciona a auditoria, a monitoração e os testes de segu- rança desses sistemas, inclusive definições de leis de conformidade para sistemas de informação. Em um mundo cada vez mais conectado, onde fronteiras são facilmente transpostas pela tecnologia, você pode perceber que a segurança é um requisito imprescindível. Informações a respeito de usuários, governos e outros sistemas podem estar ao alcance de qualquer um. Logo, a segurança que um sistema de informação fornece deve permitir o conforto de quem o usa, protegendo dados sensíveis do acesso de terceiros que queiram agir de má-fé. Desejo a você boas-vindas nessa disciplina, bons estudos e que possa aplicar o conteúdo aqui apresen- tado tanto em sua vida profissional quanto pessoal. Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 6 Unidade 1 Introdução à segurança de sistemas de informação Objetivo de aprendizagem: Introduzir ao aluno motivações, conceitos e objetivos da segurança em sistemas de informação. Tópicos de estudo: • Gestão da Segurança da Informação; • Política de segurança; • Planejamento de segurança. Iniciando os estudos: No mundo atual em que vivemos, neste exato momento, por meio de diversos sistemas, sejam pessoais ou pertencentes a empresas, uma quantidade considerável de informação está em trânsito. Possivel- mente até dados pessoais seus podem estar nesse contexto. Diante disso, o objetivo dessa unidade é contextualizá-lo da importância da segurança dessas informações e apresentar as motivações necessá- rias para praticá-la e utilizá-la. Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 7 1 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Com o advento da computação, o uso de sistemas computacionais pelo ser humano passou a ser massivo, inclusive com a adoção desses sistemas em diferentes organizações. Desse ponto em diante, as informações produzidas por essas organizações começaram a se concentrar em um único lugar e a quantidade volumosa delas passou então a ser um problema de segurança. Entre os fatores de risco associados à computação, você pode relacionar o maior uso de microcomputadores pelas pessoas, a utilização de redes locais e remotas, a abertura comercial da própria internet e a disseminação da infor- mática em diversos setores da sociedade como um todo. A Segurança da Informação, segundo Beal (2005, apud SILVA NETTO; SILVEIRA, 2007), é um processo que protege a informação de ameaças a sua integridade, disponibilidade e confidencialidade. Ainda pode ser definida como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003, apud SILVA NETTO; SILVEIRA, 2007). Conforme a norma ISO/IEC 17799:2005 (ABNT, 2005), a Segurança da Informação é a proteção da infor- mação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco a ele, bem como maximizar o retorno sobre os investimentos e as oportunidades de negócio. Diante dessas definições, você pode considerar os seguintes conceitos apresentados no infográfico abaixo para melhor compreender a Segurança da Informação: Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 8 Assista Acesse na plataforma o vídeo: O que é Segurança da Informação? Em linhas gerais, quando o termo Segurança de Informação é evocado, pode vir a sua mente organiza- ções financeiras, empresas de transporte aéreo e até organizações virtuais da internet. Isso pode ocorrer porque, na maioria dos casos, essas organizações são alvo de criminosos cibernéticos e uma brecha de segurança encontrada por esses pode ser um desastre, trazendo impacto financeiro, operacional, e até de imagem, ao negócio. Porém, problemas relacionados à segurança não são exclusivos desses negócios citados, e é recomendado que exista um processo que garanta a Segurança da Informação, independen- temente do tipo de negócio. Infográfico 1 - Conceitos de Segurança da Informação. Fonte: adaptado de Silva Netto e Silveira (2007). ED+ Content Hub © 2020 Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 9 Reflita Imagine que você tenha uma empresa e, porventura, dados sigilosos de um produto novo foram vazados, e eles ainda não tinham sido patenteados. A situação pode trazerpara sua empresa danos materiais (financeiros) e até danos morais – uma vez que a equipe que desenvolveu o produto pode se desmotivar. Ressalta-se que a informação sempre foi um dos bens mais importantes de uma organização. Informa- ções críticas outrora podiam ser guardadas em gavetas. Portanto, independente do estágio tecnológico dessas organizações, executivos e proprietários necessitam ter em mente que a proteção dessas infor- mações é crucial. Não necessariamente precisam ser especialistas em Segurança da Informação, mas ao menos conhecedores de aspectos básicos que envolvam esse tema. Diante disso, imagine que você seja um executivo. E, conforme Fontes (2008), há aspectos importantes que você deve considerar para proteger a informação dentro de sua organização: • Não é um assunto somente relacionado à tecnologia. Hoje em dia, computadores processam e armazenam a maioria das informações de operação e de estratégia de uma organização. Por isso, esse ambiente precisa ser protegido e é necessário contar com a ajuda de especialistas. O equívoco aqui está em considerar que somente soluções técnicas, como aplicações antivírus, Figura 1 - O conceito de disponibilidade remete somente a indivíduos que, com a devida autorização, podem acessar determinada informação. Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 10 serão suficientes para a proteção da informação. Coerente com o porte, sua empresa deve ter uma melhor proteção tecnológica, sendo o fundamental, mas não o suficiente. • Proteger a informação é uma decisão empresarial, porque seu intuito é proteger o negócio da organização como um todo. Se acontecer algum evento em que a organização tenha prejuízo ou que seja impedida de continuar a realizar o seu negócio, serão os acionistas que perderão o investimento realizado. • A proteção da informação exige dedicação de recursos financeiros, de tempo e de pessoas. Em termos financeiros, toda organização tem condições de realizar uma proteção adequada. Se o recurso financeiro estiver sendo usado como desculpa para a aquisição de proteção, algo está errado. Até um usuário doméstico tem condições de proteger adequada- mente a sua informação. • O gasto com a Segurança da Informação deve fazer parte do negócio da organização. É mais um item que compõe o preço final para o seu produto. É necessário encarar a Segurança da Informação como um elemento crítico que possibilita a realização do negócio. • A regra básica é considerar o tema de Segurança da Informação de maneira profissional. Devem existir regulamentos, normas e políticas que valem para todos. Se outros assuntos da organização não são tratados de forma profissional, isso dificulta o processo de proteção. • Somente o usuário que precisa da informação para o desempenho profissional das suas atividades na organização deve ter acesso a ela. Se alguém não precisa da informação, não deve ter acesso, independentemente do seu nível hierárquico. • É preciso implementar o conceito de gestor da informação, que teria o papel de dono, proprietário da informação. Historicamente, a área de tecnologia era responsável pela autori- zação e liberação da informação para o usuário. É possível seguir assim, porém, tem que existir uma autorização da área proprietária daquela informação. A área de Tecnologia da Informação (TI) é apenas uma prestadora de serviço, efetuando a custódia da informação. Por exemplo, quem deve autorizar o acesso às informações financeiras deve ser a diretoria financeira. • Todos os colaboradores devem ser contemplados no processo de Segurança da Infor- mação. A organização conta com funcionários, prestadores de serviços, terceirizados, consul- tores e trabalhadores temporários. Os parceiros da sua organização devem ter o mesmo nível de engajamento que os seus funcionários. • As pessoas fazem a organização. Elas são responsáveis por fazer acontecer a Segurança da Informação. Pouco adianta ter uma infraestrutura de proteção técnica se os seus colabora- dores não internalizam os conceitos de segurança. • As ações de segurança devem estar alinhadas ao negócio da organização. As iniciativas de negócio devem considerar a Segurança da Informação desde o início. Não se deve estruturar e implementar um novo produto de negócio para depois considerar a proteção da informação. Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 11 Aprofunde-se O artigo apresenta os resultados da implantação de políticas de Segurança de Informação em uma instituição de ensino superior. É interessante por mostrar como os conceitos aqui apresentados são aplicados a partir do mapeamento de processos e levantamento de informações com os usuários da comunidade. Título: Política de segurança da informação: um modelo voltado para uma instituição de ensino superior Acesso em: 15/05/2020. Disponível em: http://revistas.icesp.br/index.php/Cosmopolita/article/view/1018 2 POLÍTICA DE SEGURANÇA A política de segurança descreve a filosofia e as regras básicas para o uso do recurso informacional. Tudo isso independente do ambiente, seja ele convencional ou de tecnologia. Com a existência da política, fica explícito o que cada pessoa da organização deve cumprir no que se refere à proteção da informação. Como já mencionado no tópico 1, é necessário que a política esteja alinhada aos objetivos da organi- zação. A partir dos objetivos de negócio, são traçados os objetivos da Segurança da Informação, que por sua vez, possibilitam a realização do negócio no que depende do uso dos recursos de informação. A política e os demais regulamentos definem as estratégias, as regras, os padrões e os procedimentos que direcionarão todas as ações para se atingir os objetivos de Segurança da Informação. Quanto a sua estrutura, recomenda-se que deva existir uma política principal, descrita em um documento curto e simples, de maneira que todos os usuários entendam claramente como a organização deseja que a informação seja tratada e quais são as responsabilidades deles. Outros documentos, como políticas específicas e normas, podem complementar esses requisitos. Em linhas gerais, de acordo com Fontes (2008), todo esse conjunto de documentos deve: • Declarar e clarificar as regras; • Definir as obrigações, as responsabilidades e a autoridade; • Formalizar os processos e os procedimentos; • Documentar a boa cultura empresarial; • Evitar o crescimento de parte do folclore organizacional que impede as boas práticas de proteção; • Possibilitar seu uso em questões legais, em contratos, no relacionamento com as pessoas que participam do negócio e nas relações com o mercado; • Estabelecer padrões; • Ajudar a educar as pessoas e ser a base para uma efetiva arquitetura de Segurança da Informação. Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 12 Assista Acesse na plataforma o vídeo: Política de segurança Somada à criação dos documentos relacionados com a Segurança da Informação, três pontos são neces- sários para que as políticas ali descritas possuam eficiência e eficácia ao longo do tempo (FONTES, 2008). São eles: a) Apoio explícito do nível executivo da organização. Preferencialmente, a política principal deve ser assinada pelo presidente da organização. Assim, será visível a todos que a política de segu- rança é uma decisão estratégica e possui visibilidade da alta direção da organização; b) O que for escrito na política e nos demais regulamentos deve exprimir a verdade e os valores da cultura da organização; c) Ser passível de implementação e de execução pelos usuários. Não se deve especificar requisitos que não podem ser implementados ou são impossíveis de serem cumpridos pelos usuários. Figura 2 - O uso de crachá de identificação é um exemplo de padrão que poderia ser estabelecido via política de segurança. Segurança e auditoria desistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 13 3 PLANEJAMENTO DE SEGURANÇA Alinhado com a política de segurança, o processo de segurança e a proteção da informação necessitam ter um planejamento para serem implantados na organização. Nesse sentido, dúvidas surgem quanto ao que deve ser considerado nesse planejamento. Fontes (2008) sugere as seguintes diretrizes para o planejamento de segurança: • Características do negócio: o processo de segurança precisa estar alinhado com as caracte- rísticas do negócio da organização. Por exemplo, o negócio de uma universidade pública exige requisitos de segurança diferentes de uma instituição financeira privada. • Estrutura do negócio: centralização ou descentralização da administração do negócio? Distribuição ou concentração de poder? A forma como a organização trata a sua informação influencia na gestão da sua segurança. • Plano estratégico da segurança: estando definido como a organização se estrutura, deve-se elaborar um planejamento estratégico de segurança para a organização. É o momento de definir políticas, responsabilidades, escopo dos recursos a serem protegidos, cenários a serem considerados e outros aspectos que servirão de contexto para o processo de segurança. • Mapear as vulnerabilidades e priorizar as ações: com vários tipos de recursos envolvidos e várias plataformas tecnológicas, é fundamental um mapeamento para a identificação das vulnerabilidades e a definição de prioridades para a implementação de controles. Depen- dendo do grau de maturidade da organização em relação à proteção da informação, essa é uma atividade que a própria organização pode desenvolver. Outra opção é a contratação de empresa de consultoria com experiência no assunto. • Identificar os recursos necessários: muitas vezes se pensa apenas na aquisição de softwares e equipamentos. Eles são importantíssimos, porém muitas vezes é preciso de um recurso que é difícil de se comprar: tempo dos usuários. Todas as organizações necessitam, sem exceção, de tempo para que seus usuários estejam conscientizados em proteger a informação. Identificar e reservar tempo/esforço é a mais eficaz proteção da informação contra todas as situações adversas. • Definir níveis de segurança: em segurança, normalmente, após uma série de melhorias é necessário mudar de patamar. Por exemplo: pode-se ter a melhor gestão de autenticação de usuário por meio de senha. Para melhorar esse nível, apenas mudando de patamar de controle com a utilização, por exemplo, de autenticação biométrica. Cada organização tem que definir que patamar de segurança é compatível com o seu negócio. Assista Acesse na plataforma o vídeo: Planejamento de segurança Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 14 Por fim, vale ressaltar pontos relevantes para a realização do planejamento estratégico. São eles, conforme Fontes (2008): 1) Conformidade com a regulamentação: todas as ações em Segurança da Informação devem respeitar a legislação vigente do País e não devem se chocar contra as políticas da organização. 2) Iniciativas de negócio: a realização do negócio da organização é a ação mais importante, da qual vem o sustento da empresa. A segurança deve garantir que o uso da informação nas diversas iniciativas de negócio esteja acontecendo de forma adequada para a vida da organização. 3) Estrutura: aqui cabe verificar se é possível a utilização de recursos humanos próprios (do mesmo departamento), de outras áreas para os projetos ou ainda de terceiros. Outro ponto focado na estrutura é conhecer, dentro da organização, como a área de Segurança da Infor- mação se posiciona na estrutura organizacional. 4) Atuação: juntamente com a definição da estruturação, é necessário definir a forma e o escopo de atuação da área de Segurança da Informação. Normalmente, está bastante claro que o ambiente computacional deve ser contemplado, contudo existem assuntos que ficam em uma área duvidosa e que variam de organização para organização. Por exemplo: a proteção física, o ambiente convencional e a proteção de pessoas. a) Arquitetura: o processo de Segurança da Informação deve seguir uma arquitetura. É importante que seja algo possível de ser implementado. Essa arquitetura possibilita a visão completa da abordagem da proteção. Basicamente, uma arquitetura é uma divisão estru- turada dos itens que são passíveis de implantação de segurança. b) Compromisso do usuário: o comprometimento do usuário é um pilar para que a Segu- rança da Informação seja efetiva para a organização. Portanto, o usuário deve ser educado e treinado em Segurança da Informação. c) Proteção de recursos: aqui se enquadram todos os procedimentos técnicos e não técnicos que farão acontecer a proteção da informação. Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 15 Aprofunde-se O artigo apresenta uma abordagem simples e direta sobre dicas de como e porque se criar um plano de Segurança da Informação. Título: Como planejar a Segurança da Informação? Acesso em: 03/05/2020. Disponível em: https://www.itforum365.com.br/colunas/como-planejar-seguranca-da-informacao/ Figura 3 - Este é um modelo de planejamento estratégico, sendo passível de adaptações ao considerar a realidade de uma organização. Fonte: adaptado de Fontes (2008). https://www.itforum365.com.br/colunas/como-planejar-seguranca-da-informacao/ Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 16 CONSIDERAÇÕES FINAIS Como você pôde ver, a Segurança da Informação é imprescindível, seja no âmbito pessoal ou doméstico, bem como para qualquer organização que pretende que seu negócio seja perene no mercado. A implantação da Segurança da Informação requer a criação de políticas e, principalmente, de um plane- jamento alinhado com a cultura e os objetivos de uma organização. Conhecendo o essencial a respeito da Segurança da Informação, é importante, a partir daqui, que você conheça com mais detalhes quais processos e recursos estarão disponíveis e como utilizá-los para a implantação de segurança. Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 17 GLOSSÁRIO Custodiante: que ou quem detém sob custódia; que ou quem custodia. Em relação às equipes de TI, elas possuem a custódia da informação, porém não são donas dela. Internet: rede de computadores dispersos por todo o planeta que trocam dados e mensagens utilizando um protocolo comum, unindo usuários particulares, entidades de pesquisa, órgãos culturais, institutos militares, bibliotecas e empresas de toda envergadura. Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação 18 REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 17799:2005 - Tecnologia da Infor- mação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro: 2005. FONTES, Edison L. G. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. SILVA NETTO, Abner da; SILVEIRA, Marco Antonio Pinheiro da. Gestão da segurança da informação: fatores que influenciam sua adoção em pequenas e médias empresas. Journal of Information Systems and Technology Management, v. 4, n. 3, p. 375-397, 2007. Disponível em: https://www.researchgate. net/publication/26543807_Gestao_Da_Seguranca_Da_Informacao_Fatores_Que_Influenciam_Sua_Adocao_Em_ Pequenas_E_Medias_Empresas Acesso em: 27 abr. 2020. https://www.researchgate.net/publication/26543807_Gestao_Da_Seguranca_Da_Informacao_Fatores_Que_Influenciam_Sua_Adocao_Em_Pequenas_E_Medias_Empresas https://www.researchgate.net/publication/26543807_Gestao_Da_Seguranca_Da_Informacao_Fatores_Que_Influenciam_Sua_Adocao_Em_Pequenas_E_Medias_Empresas https://www.researchgate.net/publication/26543807_Gestao_Da_Seguranca_Da_Informacao_Fatores_Que_Influenciam_Sua_Adocao_Em_Pequenas_E_Medias_EmpresasSegurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 19 Unidade 2 Sistemas sob ataque Objetivo de aprendizagem: Introduzir ao aluno como a Segurança da Informação é atacada sob a ótica dos sistemas de informação. Tópicos de estudo: • Ferramentas de ataque; • Brecha de segurança; • Ataques maliciosos. Iniciando os estudos: Nesta unidade, se você entendeu a importância que a Segurança da Informação tem para as organiza- ções, compreenderá como essa segurança pode ser afetada a partir de uma porta de entrada, hoje em dia, muito comum: os sistemas de informação. Você saberá como indivíduos mal-intencionados utilizam ferramentas específicas para invadir os sistemas corporativos. Também conhecerá sobre as possíveis brechas de segurança exploradas por eles e quais tipos de ataques podem ser utilizados. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 20 1 FERRAMENTAS DE ATAQUE Para que você compreenda melhor as ferramentas de ataque, é importante que você entenda o que é atacado. Se aqui se fala sobre a segurança da informação, apesar de parecer óbvio, não somente é a informação em si que sofre ataques, mas também os meios pelos quais ela trafega. De maneira geral, o foco de ataques em uma organização são os ativos dela. Tanto para você quanto para uma organização, os ativos serão qualquer item que possua algum valor. Ressalta-se, é claro, que em uma organização, mesmo que cada item possua valor, seja um lápis ou um caderno, os ativos aqui considerados são aqueles que possuem valor monetário substancial. Os ativos de uma companhia que se enquadram nessa definição podem ser (KIM; SOLOMON, 2014): • TI e infraestrutura de rede: constitui-se de hardware, software e serviços; • Propriedade Intelectual (conhecida como IP, do inglês Intellectual Property): dados confi- denciais como patentes, código-fonte, fórmulas ou projetos de engenharia, ou seja, o conteúdo intelectual produzido pela organização; • Finanças e dados financeiros: contas bancárias, dados de cartão de crédito e de transações financeiras; • Disponibilidade e produtividade de serviços: a capacidade de serviços computacionais e de software em dar suporte à produtividade para humanos e máquinas; • Reputação: conformidade corporativa e a própria imagem da marca. Por fim, mas não menos importante, é você saber quem em geral comete ataques contra ativos de uma organização. Pelo conhecimento popular e mídia não especializada, os hackers são reconhecidos como tais pessoas, porém não são esses que cometem ataques. Os responsáveis por tais ataques são conhe- cidos como crackers. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 21 Portanto, quero esclarecer para você esta possível confusão. Os hackers são pessoas que usam seus conhecimentos para benefício próprio, para trabalhar, para ajudar outras pessoas. Já os crackers (do inglês cracking, que significa quebra) por vezes são conhecidos como Piratas Virtuais, pois usam seus conhecimentos para violar sistemas ou redes. Resumindo: podemos dizer que hackers atuam de maneira positiva, descobrindo problemas de segurança e criando soluções, enquanto os crackers são criminosos que se utilizam dos sistemas para ataques e atividades maliciosas contra organização ou pessoas (COURI, 2011). Uma vez conhecido o alvo dos ataques e quem os pratica, ter o conhecimento da maneira como esses ataques são realizados pode facilitar a criação de métodos para a prevenção e a defesa desses ataques. Na prática, várias organizações utilizam as mesmas ferramentas dos atacantes para ajudar a descobrir pontos fracos que precisam de melhorias. Ressalta-se que a prevenção, principalmente em laboratório, é melhor que se deparar diretamente com ataques desse tipo em ambientes de produções reais. As técnicas utilizadas por crackers e indivíduos maliciosos são variadas, utilizando tanto hardware quanto software. Elas podem incluir (KIM; SOLOMON, 2014): • Programas para varredura (scanners) de vulnerabilidade: coletam dados e informações sobre pontos fracos que possam existir em um computador ou uma rede. O programa funciona enviando mensagens preparadas para selecionar computadores em específico. Ao responder Figura 1 - Há pessoas com capacidades técnicas de violar e explorar falhas de segurança em sistemas. Comumente, atendem pelo nome de hackers ou crackers, porém há uma diferença entre eles. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 22 à mensagem, o computador sinaliza que existe um ponto vulnerável. Em geral, os dados aqui coletados são utilizados para decisão de quais ataques podem surtir melhores efeitos. • Programas para varredura de porta: também são utilizados para identificar quais portas estão vulneráveis a ataques e a invasões não autorizadas dessas máquinas. Por meio desse tipo de ataque, é possível conhecer quais portas estão ativas e ainda saber quais programas estão em execução. Por exemplo: o banco de dados MySQL responde ao usuário na porta 3306. • Farejadores (sniffers): um farejador é um programa de software que monitora e pode até registrar todo o tráfego de uma rede. As principais informações procuradas pelos crackers são credenciais de acesso como nomes de usuários, senhas e dados pessoais. Há versões disponíveis em hardware, em software ou com os formatos combinados. É geralmente invisível ao usuário. Aprofunde-se Este artigo explora o tema sniffers, apresentando como acontece sua “infecção”, seu rastreamento e como é possível excluir essa ameaça. Título: O que é sniffer? Como se proteger! Acesso em: 27/05/2020 Disponível em: https://blog.starti.com.br/sniffer/ • Programa para captura de teclado (keyloggers): é um programa que registra cada toque executado no teclado em um arquivo de histórico (log). Após o registro, o programa pode enviar a alguém de má índole que fará uso das informações registradas. São instalados em computadores por meio de spywares (software espião). Um keylogger pode ser uma peça de hardware, espécie de adaptador, colocado antes da conexão com o teclado propriamente dito. Tem uma desvantagem em relação à sua versão software, pois exige a remoção do dispositivo fisicamente para se ter acesso às informações. Assista Acesse na plataforma o vídeo: Ferramentas e métodos de ataque https://blog.starti.com.br/sniffer/ Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 23 2 BRECHA DE SEGURANÇA Mesmo utilizando-se de medidas de prevenção a ataques, uma organização pode ainda ter seus sistemas atacados ou invadidos. Qualquer incidente que por ventura tenha resultado na quebra de aspectos de segurança, como disponibilidade, integridade e confidencialidade, é uma brecha de segurança. Podem ocorrer também falhas acidentais em sistemas de hardware ou software. De qualquer maneira, seja de propósito ou de maneira acidental, qualquer uma dessas brechas pode afetar a capacidade de operação de uma organização, inclusive até arranhar a sua imagem. Considerando os tipos de incidentes que são causadores de brechas de segurança, podemos citar (KIM; SOLOMON, 2014): • Ataques de negação de serviço (DoS); • Ataques de negação de serviço distribuída (DDoS); • Comportamento inaceitável de navegador web; • Espionagem telefônica (wiretapping); • Uso de uma porta dos fundos para acessar recursos; • Modificações acidentais em dados. 2.1 ATAQUES DE NEGAÇÃO DE SERVIÇO Do inglês Denial of Service, esse tipo de incidente leva ao impedimento de acesso aos usuários que possuem permissão para acessar um determinado sistema ou serviço provido por um sistema. É um tipo de atividade que faz com que um computador, mais especificamente um servidor, execute uma tarefa simples, excessiva, por vezes. Essa quantidade de execuções faz com que o sistema fique indisponível, tornando consequentemente o serviço que ele provê também indisponível aos usuários. Em geral,essas execuções enchem o disco rígido, causam estouro de memória ou ainda reduzem a velocidade da CPU do computador atacado. Dois tipos comuns de ataques de negação de serviço são (KIM; SOLOMON, 2014): • Ataques lógicos: utilizam falhas em software para comprometer a execução de servidores remotos. É possível neutralizar esse tipo de ataque atualizando correções disponibilizadas pelo fabricante do sistema e o mantendo sempre atualizado. • Ataques de inundação: seu alvo é a CPU, a memória e os demais recursos presentes no compu- tador, para os quais são enviados muitos comandos simples, exaustivamente, sem função alguma ao sistema, porém que exigem processamento, sobrecarregando o recurso atingido. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 24 Maneiras de se defender de um ataque de negação de serviço envolvem a utilização de um software conhecido como Sistema de Prevenção de Intrusos (IPS - Intrusion Prevention System) ou dispositivos para detectar e impedir o ataque. Software e dispositivos de Sistema de Detecção de Intrusos (IDS - Intru- sion Detection System) também podem detectar ataques de DoS e alertá-lo quando eles estiverem em progresso. Ataques de negação de serviço procuram em geral pontos fracos de uma arquitetura de um servidor ou sistema e não necessariamente uma falha de segurança nele. Vale ainda mencionar que há outro tipo de ataque popular, conhecido por smurfing, que utiliza difusão direcionando tráfego de rede para o computador-alvo. Ataques DoS podem ser originados tanto de fontes internas quanto de fontes externas, mas a maioria origina-se de fontes externas e anônimas. Analistas de segurança usam métodos agressivos para que sistemas de uma organização sejam utilizados para propósitos maliciosos. Além disso, alguns prove- dores de conteúdo web e fabricantes de dispositivos de rede agora incluem novas regras projetadas para impedir ataques de DoS em seus produtos e em configurações de fábrica. Figura 2 - Ataques de negação de serviço (DoS). Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 25 2.2 ATAQUES DE NEGAÇÃO DE SERVIÇO DISTRIBUÍDA Esse ataque, conhecido como DDoS, é uma variação do DoS, porém seu escopo é maior. Aqui, são atacados centenas ou até mesmo milhares de computadores internet afora. A extensão dos danos aqui é maior do que no DoS, pois diversos computadores podem ser atingidos. Os alvos preferidos neste caso são grandes organizações e universidades. A gravidade dessa ameaça é grande, o que faz com que sua prevenção seja o foco de organizações e empresas que vendem produtos de segurança. Por fim, esses ataques possuem uma característica que os torna mais difíceis de se evitar: se originam de diferentes fontes. Aprofunde-se Neste vídeo, é possível, por meio de animações, compreender melhor como funciona um ataque de negação de serviço. Título: DoS ou DDoS - Ataque de negação de serviço Acesso em: 14/05/2020. Disponível em: https://youtu.be/d465HIMEDKM Figura 3 - Ataques de negação de serviço distribuída (DDoS). https://youtu.be/d465HIMEDKM Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 26 2.3 NAVEGAÇÃO WEB INACEITÁVEL Esta brecha refere-se à utilização de um navegador web de maneira incorreta ou não aceitável. As orga- nizações possuem políticas de segurança que estabelecem o uso dos recursos de maneira aceitável (AUP, do inglês Acceptable Use Policy). Exemplos de uso que possam ferir políticas são usuários não autorizados que procuram por arquivos ou navegação em sites de redes sociais proibidos, de acordo com a política. A AUP estabelece quais ações tomadas pelos usuários são brechas de segurança (KIM; SOLOMON, 2014). 2.4 ESPIONAGEM TELEFÔNICA As linhas telefônicas e de dados podem ser alvo também, por meio de grampos, de atacantes. Esse tipo de espionagem pode ser ativo, no qual um atacante faz alterações na linha, ou ainda passivo, no qual um usuário não autorizado pode escutar a transmissão, sem, no entanto, alterar seu conteúdo. Uma invasão passiva pode incluir a gravação dos dados para um ataque posterior. 2.5 PORTA DOS FUNDOS Para facilitar o suporte de computadores, algumas vezes, remotamente, desenvolvedores implementam em programas funções ocultas que possibilitam o acesso remoto a recursos dos computadores que instalam tais programas. A essas funções damos o nome de porta dos fundos. O problema que envolve essas funções é que nem sempre estão completamente ocultas e indivíduos mal-intencionados podem fazer uso delas sem que tenham que quebrar sistemas de segurança, travas e senhas. Aqueles que praticam ataques por meio de porta dos fundos comprometem também um computador ao instalar seus próprios programas, tornando mais fácil o controle e a invasão aos computadores atacados. 2.6 MODIFICAÇÕES DE DADOS Brechas de segurança podem ocorrer por meio de alterações parciais que tenham acontecido por acidente, comprometendo a integridade de dados, ou por meio da simples manutenção de valores incorretos armazenados em um sistema. Dados podem ser corrompidos quando, por exemplo, vários processos de um sistema podem tentar atualizar tais dados ao mesmo tempo. Nesse exemplo, uma senha pode ser gravada de forma diferente de como foi digitada, facilitando uma invasão ou quebra. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 27 Reflita De acordo com a matéria “Brasil é país mais afetado por novo golpe de sequestro de arquivos; entenda”, em 2018, o País foi um dos mais afetados por um novo golpe malicioso contra sistemas de informação. Computadores eram invadidos, os dados deles eram então codificados em palavras ilegíveis, o que tornava, assim, o computador praticamente inoperante. Além disso, o criminoso fornecia um e-mail para que pudesse exigir o pagamento de uma espécie de resgate para a decodificação dos dados. 2.7 DESAFIOS DE SEGURANÇA ADICIONAIS Outras brechas de segurança podem trazer novos desafios para que as pessoas e as organizações tenham seus ambientes seguros. Essas brechas atendem pelos seguintes nomes: spam, hoaxes, spyware e até mesmo informações locais gravadas por navegadores web (cookies). Esses itens podem ocorrer sozinhos ou até mesmo combinados. 2.7.1 SPAM O spam nada mais é do que uma mensagem de correio eletrônico (e-mail) ou mensagens de aplicativos indesejadas. A maior parte dessas mensagens são de conteúdo comercial e de teor duvidoso, com os mais diversos temas. O envio geralmente possui custo baixo, porém traz inconvenientes para os prove- dores de serviços de internet, pois as mensagens de spam ocorrem em um volume alto, implicando em custos para o seu processamento. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 28 Uma técnica comum utilizada pelos spammers (pessoas que enviam spam) é o uso de software, que gera uma lista de possíveis endereços de e-mail. Ele então dispara essas mensagens e, por meio de um link web “Clique aqui para cancelar este e-mail”, registra então o endereço como válido, criando uma lista de alvos reais. Além de inconveniente, o spam reduz a produtividade de organizações e desperdiça recursos, representando um desafio para a área de segurança de TI. Entretanto, com relação a essa brecha de segurança atualmente, você poderá encontrar softwares e dispositivos capazes de lidar com spams. 2.7.2 HOAXES O hoax (boato) ou ainda fake news (notícias falsas) são mensagens, enviadas por e-mail ou publicadas em redes sociais, que têm por objetivo enganar o seu receptor. Hoaxes não necessariamente infectam sistemas, como vírus e afins, porém é possível perder um tempo valioso no tratamento deles, respon- dendo e até acreditando nessas mensagens. Um ponto importante é que podem ser espalhadas pelos próprios receptores a outros usuários. A melhor maneira de evitar hoaxes é solicitar que não espalhem essas informações, checando os seus conteúdos e a origem,evitando caixas postais cheias e dissabores a outras pessoas. Figura 4 - Spams espalham-se por diversas caixas postais de correio eletrônico e em alta quantidade. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 29 2.7.3 COOKIES Cookies são arquivos de texto utilizados para navegadores web para armazenar informações sobre endereços de sites web e portais visitados no computador do usuário. Essas informações podem ser resultados de uma pesquisa, links clicados e demais dados digitados, como o número de cartão de crédito, por exemplo. O problema de segurança dos cookies reside no armazenamento de dados sensí- veis e pessoais do usuário em arquivos texto, que podem ser facilmente recuperados por alguém que tenha acesso a esse computador. Para mitigar essa questão, você pode limitar o seu acesso a sites web nos quais confia, apagar o seu histórico de navegação e a cache do navegador esporadicamente, ou de modo mais rígido, até impedir a gravação de cookies em seu computador. Assista Acesse na plataforma o vídeo: Desafios de segurança: brechas da internet 3 ATAQUES MALICIOSOS Um ataque é bem-sucedido quando explora alguma brecha ou ponto vulnerável de um sistema ou rede de uma organização. De maneira geral, ataques podem contemplar quatro tipos e podem se apresentar como um tipo em específico ou em mais de um tipo simultaneamente. Os tipos de ataque são (KIM; SOLOMON, 2014): • Fabricações: envolvem a criação de algum esquema de fraude de modo a ludibriar usuários; • Interceptações: envolvem a escuta de transmissões e o redirecionamento delas para fins não autorizados; • Interrupções: causam a quebra de um canal de comunicação, impedindo a transmissão de dados; • Modificações: são alterações de dados existentes nas transmissões ou ainda em arquivos de um sistema de armazenamento. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 30 As tentativas de ataque ainda podem ser classificadas como ativas ou passivas. Ambas as classificações trazem inconvenientes para uma infraestrutura de TI (computadores, servidores e dispositivos de rede). Ao classificar um ataque como ativo, indica-se que há em curso uma tentativa de modificação de dados ou tentativas de obtenção de acesso não autorizado a algum item da infraestrutura de TI. Na classifi- cação passiva, em geral, indica-se que há em curso uma interceptação ou monitoramento de dados por meio da rede, todavia não há indicação de alterações em algum sistema. Desse modo, ataques classi- ficados como ativos podem provocar maiores danos. Entre os ataques ativos mais comuns existentes, você pode encontrar: • Ataques de força bruta: aqui, o atacante, por meio de um software, testa todas as combina- ções que possam conter letras e números para descobrir logins e senhas de acesso ou decifrar uma chave de um sistema. • Ataques de dicionário: atacantes utilizam palavras conhecidas de um dicionário para tentar descobrir senhas, já que a maioria dos usuários utilizam palavras comuns, o que favorece esse tipo de ataque. • Falsificação de endereço: também conhecida como spoofing, acontece quando um atacante tenta enganar uma rede, configurando um computador externo a ela como se fosse interno, com a intenção de acessar recursos dessa rede. • Sequestro: em uma comunicação entre dois computadores, o atacante assume o controle de uma sessão de troca de mensagens e faz com que o seu computador se passe por um dos computadores originais. • Ataques de retransmissão: envolve a captura de pacote em uma transmissão e o seu poste- rior reenvio para causar algum dano ou indisponibilidade de um sistema. • Ataques de homem no meio: similar ao sequestro, porém aqui o atacante, ao interceptar mensagens, se passa por um receptor confiável e encaminha mensagens do computador atacado (que acredita estar em comunicação com um endereço autêntico) para o destino que quiser, armazenando dados como senhas e cartões. Para enganar o computador atacado, o atacante também se conecta com o destino real e transmite os dados para esse destino. • Interceptação: também conhecida como sniffing, acontece com uma interface de rede (uma placa) que é colocada em modo promíscuo. Isso significa que essa placa fica observando todos os pacotes que passam por ela e os grava para posterior análise. • Engenharia social: a engenharia social não é exclusivamente uma técnica computacional, mas sim algo humano. Consiste em enganar alguém, de modo que o enganado execute algo que favoreça um atacante. Um e-mail pode conter uma mensagem indicando que, ao clicar, você receberá desconto em alguma loja de e-commerce. Ao clicar, você instala um software mali- cioso. Esse tipo de golpe pode inclusive fazer uso de credenciais falsas de um vendedor e se passar por ele. • Phishing: a palavra phishing é uma alusão à palavra fishing (em inglês, pescar). Aqui, o atacante envia uma mensagem (uma isca) que leva a vítima a um endereço de um site supostamente verdadeiro, como o site de um banco, que tem a aparência idêntica ao verdadeiro. Nesse local Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 31 falsificado, a vítima geralmente digita números de contas e senhas, entregando ao atacante dados preciosos. • Phreaking: é uma técnica que explora falhas em redes e sistemas de telefonia. • Pharming: similar ao phishing, porém a técnica é mais refinada. Ao invés de apenas copiar um site real, o atacante aqui também sabota um servidor DNS, de modo que, mesmo que alguém digite o endereço correto de um determinado site diretamente na barra do navegador, ele é redirecionado ao site falso do atacante. É inclusive uma técnica difícil de se detectar. Parte de vários tipos de ataques, é possível se deparar com softwares maliciosos ou malwares. Esse tipo de software tem por finalidade causar algum dano ou corromper um sistema. A extensão dos danos causados pelos malwares vão desde lentidão em um computador até o roubo de dados privativos, como senhas e números de cartão de crédito. Você pode introduzir um malware em seu computador por meio do simples fato de navegar na internet, baixar músicas e demais arquivos, inclusive sem o seu conhecimento ou consentimento. Entre os tipos de malware existentes, temos aqueles conhecidos como softwares de infecção, que tentam realizar cópias de si mesmo para outros computadores. Se enqua- dram nesse tipo: • Vírus: esse software assim é conhecido por ter comportamento similar a um vírus biológico. Por meio de um software infectado (é o hospedeiro do vírus, um programa com código-fonte adulterado, com instruções maliciosas), é copiado para um computador (seja por pen drive, internet) e executado. Ao ser executado, o trecho malicioso desse software age, copiando-se para outro executável e para outro computador, se estiver em rede. Esse trecho malicioso Figura 5 - Phishing. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 32 pode ter diversos fins, causar estouro de memória, formatar o disco do computador e copiar dados do usuário. • Vermes: similares aos vírus, contudo não requerem um software infectado como hospedeiro. Aqui, o software malicioso é o próprio verme e possui as mesmas características de cópia e finalidade mencionadas nos vírus. Aprofunde-se Este vídeo traz uma lista dos vírus mais famosos desde a década de 80 até os dias atuais. Um ponto interessante é que o vídeo apresenta também quais eram os problemas que esses programas maliciosos causavam aos computadores. Título: 6 dos vírus de computador mais icônicos da história - TecMundo Acesso em: 15/05/2020. Disponível em: https://youtu.be/P-m_DM3WnLA Outro tipo conhecido de malware são os softwares de ocultação, que por sua vez permanecem ocultos no computador vítima, executando instruções acionadas por um atacante remoto. São exemplos desse software de ocultação: • Cavalos de troia: possuem esse nome por fazerem referênciaa um elemento contido na Guerra de Troia, presente na Mitologia Grega. É um programa que se disfarça como um utili- tário, porém, ao ser executado, roda códigos maliciosos. Em geral, coleta informações do usuário, abre portas ou transmite arquivos sem o conhecimento do usuário. Figura 6 - Os cavalos de troia são assim chamados em referência ao famoso elemento da Mitologia Grega. Um presente que guardava uma surpresa nada agradável em seu interior. https://youtu.be/P-m_DM3WnLA Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 33 • Rootkits: são tipos novos de malware e surgiram no início dos anos 90. Esse malware altera ou troca um ou mais softwares existentes em vários níveis do sistema para ocultar indícios de ataques. Rootkits fornecem a atacantes acesso para computadores infectados realizarem ataques adicionais. Dado que existem diversos tipos, a sua detecção e remoção são tarefas difíceis de serem realizadas. • Programas espiões ou spyware: é um malware que atinge especificamente o aspecto de confi- dencialidade de informações. Normalmente, vem embarcado em outros softwares, como o shareware ou o freeware, quando os obtemos pela internet. Age de maneira similar ao cavalo de troia. Basicamente, captura informações do usuário, como senhas, números de cartões de crédito e endereços de e-mail. Outros malefícios trazidos pelos programas espiões são: moni- torar toques de teclas, varrer arquivos no disco rígido, bisbilhotar outros aplicativos, instalar outros programas espiões, ler cookies e ainda substituir a home page padrão do navegador web. Diante de tudo o que foi apresentado, você, como um usuário ou um analista de segurança, não pode ficar inerte. É necessário dispor de recursos que permitam detectar vulnerabilidades, impedir ataques e estabelecer soluções de contorno para a comunidade de usuários. Para os malwares, em específico, você pode tomar as seguintes medidas, listadas no infográfico abaixo: Assista Acesse na plataforma o vídeo: Medidas de contra-ataque Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 34 Infográfico 1 - Malware. Fonte: adaptado de Kim e Solomon (2014). ED+ Content Hub © 2020 Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 35 CONSIDERAÇÕES FINAIS Como você viu, os desafios em questões de segurança atualmente são vastos. Há os mais diversos tipos de ameaça, desde programas fraudulentos, golpes e acessos indevidos até roubo de dados. Todo cuidado é pouco quando o assunto é Segurança da Informação, de modo que a prevenção, em muitos casos, pode ser a melhor solução. Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 36 GLOSSÁRIO Modem: é um dispositivo de hardware que converte dados em um formato adequado para um meio de transmissão, de forma que possam ser transmitidos de um computador para o outro (historicamente, por meio de cabos telefônicos). Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque 37 REFERÊNCIAS COURI, G. F. Crimes pela internet. Disponível em: https://www.emerj.tjrj.jus.br/paginas/trabalhos_conclu- sao/2semestre2009/trabalhos_22009/GustavoFuscaldoCouri.pdf Acesso em 12 mai. 2020. KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de sistemas de informação. Tradução: Daniel Vieira. São Paulo: LTC, 2014. UOL. Brasil é país mais afetado por novo golpe de sequestro de arquivos; entenda. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2018/07/18/novo-golpe-de-sequestro-de-arquivos-afeta-princi- palmente-o-brasil.htm Acesso em: 21 mai. 2020. https://www.emerj.tjrj.jus.br/paginas/trabalhos_conclusao/2semestre2009/trabalhos_22009/GustavoFuscaldoCouri.pdf https://www.emerj.tjrj.jus.br/paginas/trabalhos_conclusao/2semestre2009/trabalhos_22009/GustavoFuscaldoCouri.pdf https://www.uol.com.br/tilt/noticias/redacao/2018/07/18/novo-golpe-de-sequestro-de-arquivos-afeta-principalmente-o-brasil.htm https://www.uol.com.br/tilt/noticias/redacao/2018/07/18/novo-golpe-de-sequestro-de-arquivos-afeta-principalmente-o-brasil.htm Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 38 Unidade 3 Implementação de segurança em sistemas de informação Objetivo de aprendizagem: Apresentar ao aluno meios possíveis de operacionalizar e internalizar a segurança em sistemas de informação. Tópicos de estudo: • Controle de acesso; • Administração de segurança; • Ética profissional. Iniciando os estudos: Uma vez que você tenha compreendido a importância de possuir segurança para a sua informação, seja em um negócio ou até mesmo dentro do âmbito pessoal, agora é necessário entender como essa segu- rança pode ser implementada nos sistemas que trabalham e processam informações. Nesta unidade, você aprenderá conceitos importantes que são utilizados em implantação de segurança nos sistemas de informação, bem como quem são os responsáveis por implementar as políticas. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 39 1 CONTROLES DE ACESSO Dentro do contexto de Segurança da Informação, os controles de acesso são mecanismos utilizados por um analista de segurança (ou um administrador responsável por fazer a gestão da segurança) para que ele conceda ou restrinja o acesso a recursos que exijam proteção. De modo geral, os controles de acesso permitem que recursos sejam utilizados por quem possua permissão para isso. Dessa forma, protege-se o recurso contra um possível uso não autorizado. Uma organização requer controles de acesso para estabelecer quem são os usuários dos sistemas (sejam pessoas ou ainda outros sistemas), o que eles podem fazer e quais operações podem ser execu- tadas nesses sistemas. Fazem parte do rol de sistemas de controle de acesso uma gama de tecnologias que vão desde o uso de senhas, tokens, biometria e certificados. Vale ressaltar que um acesso pode ser concedido a ativos físicos, como edificações ou escritórios, computadores, sistemas de informação e dados. Segundo Kim e Solomon (2014), para a criação de controles de acesso, são necessários os seguintes processos: • Autorização: definição de quem possui acesso e o que é possível utilizar; • Identificação: definição de como os detentores de acesso são identificados; • Autenticação: definição de como quem possui acesso pode ter sua identidade confirmada; • Responsabilização: associação de ações a usuários para elaboração de relatórios de segu- rança e pesquisas. Esses processos ocorrem em duas etapas: 1) Definição de política: é determinado quem obterá acesso aos sistemas e aos recursos requi- sitados para a utilização. O processo de autorização acontece nessa etapa. 2) Imposição de política: são concedidas ou rejeitadas as solicitações de acesso, com base naquilo que foi definido na etapa anterior. Os processos de identificação, autenticação e responsabilização acontecem nesta fase. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 40 1.1 TIPOS DE CONTROLE DE ACESSO Você pode encontrar dois tipos de controle de acesso: o controle de acesso físico e o controle de acesso lógico. O controle de acesso físico se refere a controles para acesso em instalações, edifícios, estaciona- mentos, salas e demais dependências que são de uso restrito. Um exemplo é a utilização de chave até o uso de smart cards para a abertura de portas (KIM; SOLOMON, 2014). Já o controle de acesso lógico se refere a controles que concedem acesso a um sistema computacional ou de rede. Você provavelmente encontrará em empresas a exigência de utilizar um nome de usuário e fornecer uma senha para conseguir utilizar um computador ou notebook. Outros exemplos de acesso lógico podem incluir funcionalidades específicas nos sistemas, como a inclusão de novos registros ou apenas a edição, ou ainda a repetiçãode uma senha errada por bloquear o acesso ao sistema. Um mecanismo conhecido de implementação de controles de acesso, tanto físico quanto lógico, é o monitor de referência (ANDERSON, 1972). Ele atua como um mediador para toda e qualquer tentativa de acesso a objetos do sistema, por meio da consulta a políticas de segurança para conceder ou negar acesso. No infográfico a seguir, você pode ver como é o mecanismo do monitor de referência: Figura 1 - Fazem parte do rol de sistemas de controle de acesso uma gama de tecnologias que vão desde o uso de senhas, tokens, biometria e certificados. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 41 Ressalta-se que, por desempenhar o papel de mediador entre a requisição do usuário e os objetos demandados para o acesso, o monitor de referência define um elemento de sistemas de segurança conhecido como núcleo de segurança, o qual pode envolver o hardware, o software e o firmware e é crucial que tenha as seguintes características (KIM; SOLOMON, 2014): • Inviolável; • Não contornável (toda requisição deve passar por ele); • Pequeno e leve o suficiente para facilitar a sua manutenção. Infográfico 1 - Mecanismo de controle de acesso. Fonte: adaptado de Kim e Solomon (2014) e Macêdo (2012). ED+ Content Hub © 2020 Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 42 1.2 POLÍTICAS DE CONTROLE DE ACESSO As políticas de controle de acesso são conjuntos de regras que concedem permissão a um determinado grupo de usuários para realizar um conjunto de ações sobre determinados recursos. Se os usuários não obtiverem permissão, não terão acesso ao recurso de sistema demandado. Você pode utilizar as políticas de controle de acesso para minimizar e gerenciar os riscos de segurança, as quais podem ser utilizadas tanto por outros sistemas quanto por usuários humanos. Para um melhor gerenciamento das políticas de controle de acesso, você precisa entender quatro elementos (KIM; SOLOMON, 2014): • Usuários: utilizadores do sistema; • Recursos: objetos do sistema que são protegidos e só podem ser acessados por sujeitos com permissão de acesso; • Ações: atividades que usuários, com a devida permissão, podem realizar sobre os recursos; • Relacionamentos: condições opcionais que existem entre os usuários e os recursos. Por exemplo, um usuário autorizado pode realizar a leitura, a escrita ou a execução de um recurso. 1.2.1 AUTORIZAÇÃO A primeira etapa para controlar o acesso de usuários é a criação de uma política que define as regras de autorização. Essas políticas são decididas principalmente por políticas de inclusão em grupo ou políticas em nível de autoridade. Na política de inclusão em grupo, a autorização é definida em relação aos grupos dos quais você faz parte. Por exemplo, somente os crachás do pessoal de TI conseguem abrir a sala de estoque de monitores. Já na política em nível de autoridade, a autorização é definida por graus de autoridade. Por exemplo, somente o crachá do analista de TI sênior pode acessar a sala de servidores, que requer um cuidado maior do que o estoque dos monitores (KIM; SOLOMON, 2014). Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 43 1.2.2 IDENTIFICAÇÃO Assim que a política de autorização é definida, é necessário colocá-la em prática. Para isso, o primeiro passo é impor ao usuário um método que o identifique perante o sistema. Esse método pode ser um nome de usuário (que deve ser exclusivo), um PIN (Número de Identificação Pessoal) ou um cartão inte- ligente (disponibilizado como um crachá ou um cartão similar ao cartão de crédito). A biometria, que se baseia em características físicas ou comportamentais, também pode ser empregada para a identificação de usuários. Esse método pode utilizar as impressões digitais, o reconhecimento facial ou de voz, o DNA, a caligrafia, as varreduras de retina e até mesmo o odor/fragrância corporal. Por fim, uma vez que os usuários podem ser identificados exclusivamente, suas ações na utilização de recursos podem ser registradas. E assim que registradas, essas ações são objeto de análise de um processo conhecido por auditoria (KIM; SOLOMON, 2014). Aprofunde-se Este artigo explica os motivos de utilizar a gestão de identidade nas organizações. Título: O que é gestão de identidade e por que adotá-la em sua empresa? Acesso em: 24/05/2020. Disponível em: https://bit.ly/37Y5FPO Figura 2 - Na política de inclusão em grupo, a autorização é definida em relação aos grupos dos quais você faz parte. https://bit.ly/37Y5FPO Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 44 1.2.3 AUTENTICAÇÃO A próxima etapa, após a identificação, é autenticar o usuário. Um usuário deve provar sua identidade, o que remete à pergunta seguinte: os usuários são realmente quem dizem ser? A autenticação prova que aquele que solicita o acesso é o mesmo que recebeu o direito de acesso. Sem a autenticação, você jamais saberá se um usuário é realmente quem diz ser. Existem três tipos de autenticação (KIM; SOLOMON, 2014): • Conhecimento: algo que você saiba, como uma senha, uma frase secreta ou um PIN; • Propriedade: algo que você tenha, como um cartão inteligente, uma chave, um crachá ou um token; • Características: algo exclusivo a você, como suas impressões digitais, sua retina ou sua assi- natura. Como as características envolvidas normalmente são físicas, esse tipo de autenticação às vezes é definida como algo que você é. Aprofunde-se Esta matéria apresenta vantagens e desvantagens no uso de biometria para a implantação de Segurança da Informação. Título: Uso de dados biométricos aumenta a segurança, e também os riscos Acesso em: 24/05/2020. Disponível em: https://bit.ly/3fWH9RN Figura 3 - A utilização de leitura de digitais é um tipo de autenticação que utiliza as características exclusivas do ser humano. https://bit.ly/3fWH9RN Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 45 1.2.4 RESPONSABILIZAÇÃO Na última etapa do processo de controle de acesso (responsabilização), há o registro de uma ação, seja de um usuário ou sistema, em determinado recurso ou dado protegido. A realização dessa etapa é impor- tante, pois fornece insumos para eventuais investigações, análises e auditorias, além de servir para a iden- tificação de erros. Nos arquivos de histórico (log files), é importante detalhar informações, como quem acessou um sistema, quando e quais recursos ou informações foram utilizados (KIM; SOLOMON, 2014). 1.3 AMEAÇAS A CONTROLES DE ACESSO Por fim, todo e qualquer dispositivo de segurança, incluindo controles de acesso, estão sujeitos a ameaças que tenham por objetivo superá-los ou eliminá-los para a obtenção de recursos protegidos. Você poderá encontrar as seguintes ameaças aos controles de acesso: • Acesso físico: se alguém obtiver acesso físico a um dispositivo, um controle de acesso lógico não terá utilidade. Dados poderão ser copiados ou roubados diretamente; • Interceptação ao observar: dados escritos em papel sobre uma mesa ou na tela de um usuário autorizado estão abertos a um espião; • Contorno da segurança: analistas de Segurança da Informação precisarão considerar vários caminhos de acesso. Por exemplo, atacantes podem mapear uma unidade (via rede) ou efetuar o acesso no teclado de um servidor (diretamente no local); • Exploração de hardware e software: atacantes normalmente tentam instalar programas maliciosos em sistemas de modo a obterem controle sobre o hardware e o software desses sistemas, para ampliar seu leque de ações ilícitas; • Reutilização ou descarte de mídia: é mais seguro e barato triturar documentos e destruir mídias (CD e DVD) fisicamente do que jogá-las fora; • Interceptação eletrônica: atacantespodem interceptar acessos por meio de grampos em cabos da rede ou utilizar a técnica de sniffing; • Acesso a redes: redes normalmente incluem conexões desprotegidas, inclusive físicas (como plugs em placas de rede). Intrusos podem usar essas conexões conectando dispositivos direta- mente nelas para obter acesso indevido a uma rede; • Exploração de falhas em aplicativos: vários programas e módulos possuem uma falha de programação comum, conhecida como estouro de memória temporária (buffer). Existem ainda outras falhas e erros em aplicativos passíveis de fornecer uma brecha de segurança a atacantes. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 46 Assista Acesse na plataforma o vídeo: Controles de acesso em perigo 2 ADMINISTRAÇÃO A administração de segurança em uma organização é composta por um grupo de indivíduos respon- sáveis por planejar, projetar, implementar e monitorar um plano de segurança. Para estabelecer esta equipe, é necessário identificar os ativos da organização. Após documentá-los, você deve atribuir um responsável ou uma responsabilidade para cada, seja uma pessoa, um cargo ou uma função. Definidos os ativos e seus responsáveis, a equipe administrativa então poderá ser reunida e determinará o grau de proteção que cada ativo deverá possuir. A tarefa primordial da equipe de administração de segurança de uma organização é controlar o acesso aos sistemas e aos recursos protegidos. Para implementar esse controle, a equipe utilizará os aspectos que você viu no tópico anterior, como identificação, autenticação, autorização e responsabilização, esta- belecendo os melhores dispositivos de segurança disponíveis (KIM; SOLOMON, 2014). Figura 4 - A tarefa primordial da equipe de administração de segurança de uma organização é controlar o acesso aos sistemas e aos recursos protegidos. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 47 Aprofunde-se Esta matéria mostra um panorama da profissão do analista em Segurança da Informação, seus requisitos e a descrição da carreira. Título: O que faz um analista de Segurança da Informação e quanto ganha em média? Acesso em: 24/05/2020. Disponível em: https://bit.ly/2NsLjER 2.1 DOCUMENTAÇÃO, PROCEDIMENTOS E DIRETRIZES Para efetivamente tomar as melhores opções disponíveis e atuar na administração de segurança, a equipe de administração requer que vários tipos de documentos estejam disponíveis. De maneira geral, os documentos necessários são (KIM; SOLOMON, 2014): • Processo de segurança da organização: explica como funcionará o processo estabelecido; • Lista do pessoal responsável pela segurança: relação de quais administradores são respon- sáveis ou autorizados a proteger ativos na organização; • Políticas, procedimentos e diretrizes adotados pela organização: definição das informa- ções que precisam ser comunicadas, de qual maneira e quando. Outro ponto importante que uma equipe de administração deve considerar em sua atuação é garantir que a organização a qual pertence siga regras e políticas já estabelecidas. Ela necessita estar de acordo com regras em dois níveis: • Conformidade regulamentar: a organização precisa cumprir leis e regulamentações gover- namentais; • Conformidade organizacional: a organização precisa cumprir com suas próprias políticas, auditorias, cultura e padrões. https://bit.ly/2NsLjER Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 48 2.2 AVALIAÇÃO E RECUPERAÇÃO DE DESASTRE O tratamento de incidentes, desastres e demais interrupções no acesso a recursos e funções também são responsabilidades da equipe de administração. Logo, a equipe de segurança requer pessoal capa- citado a tratar de incidentes e quaisquer eventos que impliquem em falhas e brechas de segurança. Apesar dos esforços em fornecer uma resposta adequada aos incidentes, todo e qualquer sistema está sujeito a falhas ou ataques. Assista Acesse na plataforma o vídeo: Tratamento de incidentes Figura 5 - A equipe de segurança deve também ter a capacidade de tratar incidentes e agir na recuperação de desastres, impedindo que serviços e recursos tenham sua disponibilidade interrompida. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 49 2.2.1 TERCEIRIZAÇÃO Uma estratégia adotada em muitas organizações é utilizar equipes terceirizadas para a gestão da segu- rança. Porém, sua utilização apresenta vantagens e desvantagens (KIM; SOLOMON, 2014): • Vantagens: uma empresa de gerenciamento de segurança é especializada nesse ramo e, portanto, pode ter expertise maior que a organização que a contrata, em se tratando de segurança. • Desvantagens: a empresa terceirizada pode não conhecer todos os procedimentos e processos internos. Além disso, a contratação de uma empresa terceirizada vai impedir o treinamento e o desenvolvimento de colaboradores no quesito de segurança. Ressalta-se que a contratação de uma empresa terceirizada requer que seja firmado um contrato formal que estabeleça acordos de nível de serviço, os chamados SLA (Service Level Agreement), que detalham como devem ser os serviços prestados pela empresa terceirizada. Itens de SLA contidos em contratos incluem questões envolvendo tempo para a resolução de incidentes; percentual mínimo aceitável de disponibili- dade dos serviços e recursos protegidos; como devem ser relatados os históricos; e brechas de segurança. 2.3 CONFORMIDADE Estar em conformidade dentro do escopo de Segurança da Informação significa que suas ações e ativi- dades estão alinhadas com aquilo que foi definido na política de segurança. A política de segurança (assim como as leis de trânsito) só terá valor se for imposta para a comunidade de usuários da organi- zação. Por meio da imposição da política, a organização provavelmente estará em conformidade com ela. Existem três meios principais de garantir a conformidade (KIM; SOLOMON, 2014): • Históricos de evento de segurança: históricos de evento de segurança registram dados criados pelo sistema operacional ou pelo software. Em geral, registra qual usuário ou sistema acessou dados (ou um recurso) e quando esse evento ocorreu. O histórico de segurança ajudará na detecção de brechas de segurança, no rastreamento de responsáveis por elas e na resolução de problemas. • Coordenador de conformidade: este profissional é responsável por garantir que toda a comunidade de usuários de uma organização esteja ciente das políticas de uma organização e, consequentemente, em conformidade com ela. Pode atuar como consultor de segurança, favo- recendo e conciliando diferentes necessidades de segurança entre departamentos distintos de uma organização. • Remediação: esta atividade envolve promover o conserto de algo quebrado ou defeituoso. Especificamente em sistemas computacionais, a remediação se refere a reparar vulnerabili- dades de segurança. As atividades de remediação podem ser: reparo de problemas de alto risco antes dos demais e, quando possível, remoção de vulnerabilidades. E se não for possível removê-las efetivamente, é removida a capacidade de um atacante explorá-la. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 50 3 ÉTICA PROFISSIONAL Toda profissão, de maneira geral, deve possuir o seu próprio código de ética e de conduta. A adesão a esse código estimula o respeito entre profissionais de qualquer área. É importante que os profissio- nais de segurança tenham um código de ética definido, com diretrizes claras que devam ser adotadas. A seguir, você pode encontrar pontos importantes para praticar as diretrizes e demonstrar uma ética sólida (KIM; SOLOMON, 2014): • Defina o exemplo: haja com ética em suas atividades diárias. Isso demonstrará liderança e seriedade, e os demais seguirão seu exemplo;• Encoraje a adoção de diretrizes e padrões éticos: enquanto profissional de segurança, você deverá incentivar a organização na qual colabora para que defina o seu próprio código de ética, o que ajudará o pessoal a operar de modo ético e responsável; • Informe a usuários por meio de treinamento sobre a conscientização de segurança: garanta que os usuários estejam cientes e entendam as responsabilidades que envolvem o trabalho com ética. Além de garantir que os demais profissionais exerçam suas funções com ética, também é importante saber quais são as suposições consideradas pelos usuários que os levam a agir de maneira antiética. A seguir uma lista das mais comuns, em que os usuários: • Consideram que os computadores devem impedir seu uso indevido. Se um usuário conseguir utilizar um computador indevidamente, pode considerar isso uma falha da administração de segurança, e não deles. • Pensam que suas ações causam danos insignificantes, que não incomodarão ninguém. • Pensam que, se for fácil invadir um sistema, não haverá maiores consequências. • Pensam que invadir um sistema será permitido se os motivos não forem prejudiciais. Acre- ditam que, se não estiverem ganhando dinheiro ou se vangloriando com a invasão de um sistema, não estarão cometendo um crime. • Consideram que a informação deve ser livre e que não há problema em examinar um sistema de terceiros para obtê-la. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 51 3.1 PRINCÍPIOS DE SEGURANÇA DE PESSOAL Por mais elaboradas que sejam as soluções técnicas que você pode utilizar para a Segurança da Infor- mação, o fator humano será o desafio mais instigante. Estabelecer um código de ética e de conduta é um ponto-chave para delinear as ações que um usuário deve ou não realizar. Nesse quesito, criar descrições, funções e responsabilidades de cargo bem definidas são pontos essen- ciais. Quando são conhecidas as atividades dos usuários, por exclusão, facilita-se a identificação de quais atividades não se devem realizar. Se funções ou responsabilidades forem descritas de maneira vaga, será difícil evidenciar um comportamento errado. A seguir, você conhecerá alguns princípios que devem ser considerados para a definição de um comportamento ético por parte do usuário (KIM; SOLOMON, 2014): • Limitar o acesso: a intenção de conceder acesso aos usuários tem por finalidade limitá-los. O menor privilégio é o princípio que diz que os usuários apenas devem ter permissões que necessitem para cumprir suas atividades, nada além disso. Caso não se considere esse prin- cípio, haverá o risco de permitir que os usuários não autorizados acessem informações que não deveriam. • Separação de tarefas: é importante dividir tarefas em outras menores e designá-las para mais de um usuário. Um usuário não poderá executar uma tarefa crítica sem que outro usuário o ajude ou aprove sua execução. Isso dificultará a organização e a ocultação de possíveis conspi- rações ou um planejamento de ataques. Figura 6 - É importante que os profissionais de segurança tenham um código de ética definido, com diretrizes claras que devam ser adotadas. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 52 • Rodízio de funções: outro método para a proteção das organizações contra as violações na segurança é o rodízio de funções. Essa prática diminui o risco pela alternância de funcionários entre vários sistemas, recursos ou tarefas, o que previne uma conspiração, situação em que vários funcionários se unem para cometer uma fraude ou atividade ilícita. • Férias compulsórias: assim como o rodízio de funções, as férias compulsórias fornecem a chance de detecção de fraude. Nas férias de um usuário, você deve suspender temporariamente suas permissões e acessos, impedindo os usuários de trabalharem remotamente. Em caso de roubo e uso das credenciais de usuário de férias, é possível detectar um acesso indevido. • Treinamento e conscientização de segurança: a melhor maneira de trabalhar os conceitos de segurança em um grupo de usuários é por meio de um programa de treinamento e cons- cientização constante de usuários. Assista Acesse na plataforma o vídeo: Princípios para a definição de ética do usuário Figura 7 - O treinamento constante de usuário pode cola- borar com a utilização mais correta e segura dos recursos de uma organização. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 53 3.1.1 ENGENHARIA SOCIAL A engenharia social é um recurso muito utilizado por pessoas de má índole e atacantes em geral que ludibriam usuários a realizarem ações que violem a segurança de sistemas para a obtenção e o uso inde- vido de recursos. A melhor prevenção, como já mencionado, será o treinamento e a conscientização de usuários. Tipos comuns de ataques de engenharia social são: • Intimidação: utilizar ameaças ou assédio para intimidar pessoas em busca de informações; • Menção de nomes: utilizar nomes de gerentes ou superiores para convencer usuários que uma autoridade mais alta hierarquicamente concedeu acesso à informação; • Pedido de ajuda: o atacante se utiliza do emocional de um usuário sobre uma suposta situação difícil ou absurda. Quando combinado com algum incentivo, como uma recompensa, esse tipo de engenharia é muito efetivo. • Phishing: golpistas simulam endereços de e-mail ou páginas web semelhantes às de uma orga- nização com boa reputação para que você, inadvertidamente, forneça dados confidenciais. Figura 8 - A engenharia social faz uso de artimanhas contra os usuários, de modo a atraí-los para que realizem atividades que não fariam normalmente, como clicar em páginas falsas ou fornecer dados a desconhecidos. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 54 Aprofunde-se Esta matéria complementa os conceitos de engenharia social vistos e acrescenta algumas curiosidades. Título: 5 coisas que você deve saber sobre a engenharia social Acesso em: 24/05/2020. Disponível em: https://bit.ly/31i1EVc https://bit.ly/31i1EVc Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 55 CONSIDERAÇÕES FINAIS Nesta unidade, você viu que a implantação e a operacionalização de segurança para os sistemas de informações é uma tarefa árdua e requer, além de conhecimento técnico de sistema e informática, conhecimento de como o ser humano pode se comportar quando insiste em agir de maneira incorreta a prejudicar o seu próximo. Somente a conscientização e o comprometimento de uma equipe treinada poderão reduzir os riscos que falhas na segurança podem causar a seus usuários, mas nem assim elimi- ná-las completamente. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 56 GLOSSÁRIO Smart card: conhecido também como cartão inteligente. Assemelha-se em forma e tamanho a um cartão de crédito convencional feito de plástico com a tarja magnética. Sua diferença é que ele contém um microprocessador e uma memória (que armazena vários tipos de informação em formato eletrônico), ambos com sofisticados mecanismos de segurança. Token: no contexto de Segurança da Informação, é um dispositivo capaz de gerar senhas, no geral, sem se conectar fisicamente em um computador. Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação 57 REFERÊNCIAS ANDERSON, James P. Computer security technology planning study report, 1972. Disponível em: http://seclab.cs.ucdavis.edu/projects/history/CD/ande72b.pdf Acesso em: 23 maio 2020. KIM, David; SOLOMON, Michael G. Fundamentos de segurança de sistemas de informação. LTC, 2014. MACÊDO, Diego. Mecanismos de controle de acesso, 2012. Disponível em https://www.diegomacedo.
Compartilhar