Baixe o app para aproveitar ainda mais
Prévia do material em texto
Capítulo 8 Como se tornar um especialista em segurança cibernética 8.0 Introdução 8.0.1 Bem-vindo 8.0.1.1 Capítulo 8: como se tornar um especialista em segurança Capítulo 8: como se tornar um especialista em segurança O avanço da tecnologia levou ao uso de vários dispositivos na sociedade diariamente, interconectando o mundo. Essa maior conectividade, porém, resulta em aumento do risco de roubo, fraude e abuso em toda a infraestrutura de tecnologia. Este capítulo categoriza a infraestrutura de tecnologia da informação em sete domínios. Cada domínio requer os controles de segurança adequados para atender aos requisitos da tríade CIA. O capítulo discute as leis que afetam os requisitos de tecnologia e segurança cibernética. Muitas dessas leis têm como foco diferentes tipos de dados encontrados em várias indústrias e contêm conceitos de segurança da informação e de privacidade. Várias agências do governo dos EUA regulam a conformidade de uma empresa com esses tipos de leis. O especialista em segurança cibernética precisa compreender como a lei e os interesses da empresa ajudam a orientar as decisões éticas. A ética cibernética examina o efeito do uso de computadores e da tecnologia nos indivíduos e na sociedade. As empresas contratam especialistas em segurança cibernética em vários cargos diferentes, como consultores, analistas de segurança e outros profissionais de segurança de rede. Os especialistas em segurança cibernética ajudam a proteger os dados pessoais e a capacidade de usar serviços de rede. O capítulo discute o caminho para se tornar um especialista em segurança cibernética. Por fim, este capítulo também discute várias ferramentas disponíveis aos especialistas em segurança cibernética. 8.1 Domínios de segurança cibernética 8.1.1 Domínio de usuário 8.1.1.1 Ameaças e vulnerabilidades do usuário comum Ameaças e vulnerabilidades do usuário comum O domínio do usuário inclui usuários que acessam o sistema de informações da empresa. Os usuários podem ser funcionários, clientes, prestadores de serviços e outros indivíduos que precisam acessar os dados. Os usuários são frequentemente o elo mais fraco nos sistemas de segurança de informações e representam uma ameaça significativa à confidencialidade, integridade e disponibilidade dos dados da empresa. As práticas arriscadas ou ruins do usuário normalmente prejudicam, até mesmo, o melhor sistema de segurança. Abaixo, alguns exemplos de ameaças comuns encontradas em muitas empresas: • Nenhuma conscientização sobre segurança – os usuários devem ter consciência dos dados confidenciais, políticas e procedimentos de segurança, das tecnologias e das contramedidas oferecidas para proteger as informações e os sistemas de informação. • Políticas de segurança mal aplicadas – todos os usuários devem conhecer as políticas de segurança e as consequências da não conformidade com as políticas da empresa. • Roubo de dados – o roubo de dados por usuários pode custar às empresas financeiramente, resultando em danos à reputação de uma empresa, ou levar a uma responsabilidade jurídica associada à divulgação de informações confidenciais. • Downloads não autorizados – muitas infecções e ataques de redes e de estações de trabalho estão relacionados a usuários que fazem downloads não autorizados de e-mails, fotos, músicas, jogos, aplicativos, programas e vídeos para estações de trabalho, redes ou dispositivos de armazenamento. • Mídia não autorizada – o uso de mídia não autorizada, como CDs, unidades de USB e dispositivos de armazenamento de rede, pode resultar em infecções e ataques por malware. • VPNs não autorizadas – VPNs podem esconder o roubo de informações. A criptografia normalmente usada para proteger a confidencialidade cega o pessoal de TI para a transmissão de dados sem a autorização adequada. • Sites não autorizados – acessar sites não autorizados pode representar um risco para os dados, dispositivos e para a empresa do usuário. Muitos sites alertam os visitantes quanto a fazer download de scripts ou plugins que contêm código malicioso ou adware. Alguns desses sites podem infectar dispositivos como câmeras e aplicativos. • Destruição de sistemas, aplicativos ou dados – a destruição acidental ou deliberada ou sabotagem de sistemas, aplicativos e dados representa um grande risco para todas as empresas. Ativistas, funcionários descontentes e concorrentes do setor podem excluir dados, destruir dispositivos ou tornar dados e sistemas de informação indisponíveis. Nenhuma solução técnica, controle ou contramedida torna os sistemas de informação mais seguros do que os comportamentos e processos das pessoas que usam esses sistemas. 8.1.1.2 Controle de ameaças do usuário Controle de ameaças do usuário As empresas podem implementar várias medidas para gerenciar ameaças de usuários: • Realizar treinamento exibindo cartazes de conscientização da segurança, inserindo lembretes em saudações de banners e enviando lembretes de e-mail aos funcionários. • Treinar os usuários anualmente em atualizações de políticas, manuais de funcionários e de outros manuais necessários. • Vincular a conscientização sobre a segurança aos objetivos da análise de desempenho. • Ativar a filtragem de conteúdo e a varredura antivírus para anexos de e-mail. • Usar filtros de conteúdo para permitir ou negar nomes de domínio específicos, em conformidade com AUP (Acceptable Use Policies, Políticas de uso aceitáveis). • Desativar unidades de CD internas e portas USB • Ativar varreduras antivírus automáticas para unidades de mídia inseridas, arquivos e anexos de e-mail. • Restringir o acesso de usuários apenas aos sistemas, aplicativos e dados necessários para realizar o trabalho. • Minimizar as permissões de gravação/exclusão apenas para o proprietário dos dados. • Rastrear e monitorar comportamento anormal do funcionário, desempenho inconstante no trabalho e uso da infraestrutura de TI fora do horário comercial. • Implementar procedimentos de bloqueio de controle de acesso com base no monitoramento e na conformidade com AUP. • Ativar o monitoramento do sistema de detecção de invasão/prevenção contra invasão (IDS/IPS) para cargos e acesso de funcionários sensíveis. A tabela mostrada na figura corresponde as ameaças ao domínio do usuário às contramedidas usadas para controlá-las. 8.1.2.1 Ameaças comuns aos dispositivos Ameaças comuns aos dispositivos Um dispositivo é qualquer computador, notebook, tablet ou smartphone que se conecta à rede. A seguir temos exemplos de ameaças aos dispositivos: • Estações de trabalho sem supervisão – estações de trabalho deixadas ligadas e sem supervisão representam um risco de acesso não autorizado aos recursos da rede • Downloads do usuário – arquivos, fotos, músicas ou vídeos baixados podem ser um veículo de código malicioso • Software sem instalação de patches – vulnerabilidades de segurança do software fornecem fraquezas que os cyber criminosos podem explorar • Malware – novos vírus, worms e outros códigos maliciosos aparecem diariamente • Mídia não autorizada – os usuários que inserem unidades de USB, CDs ou DVDs podem introduzir malware ou correr o risco de comprometer os dados armazenados na estação de trabalho • Violação da política de uso aceitável – as políticas existem para proteger a infraestrutura de TI da empresa 8.1.2.2 Controle de ameaças do dispositivo Controle de ameaças do dispositivo As empresas podem implementar várias medidas para gerenciar ameaças a dispositivos: • Estabelecer políticas para proteção por senha e limites de bloqueio em todos os dispositivos. • Ativar o bloqueio de tela durante períodos de inatividade. • Desativar os direitos de administrador dos usuários. • Definir políticas,padrões, procedimentos e diretrizes de controle de acesso. • Atualizar e aplicar patches em todos os sistemas operacionais e softwares. • Implementar soluções de antivírus automatizadas que varram o sistema e atualizar o software antivírus para proporcionar a proteção adequada. • Desativar todas as portas USB, de DVD e de CD. • Ativar varreduras antivírus automáticas para todas as unidades de CD, DVD ou USB inseridas. • Usar filtros de conteúdo. • Autorizar treinamento anual ou implementar campanhas e programas de conscientização da segurança que são executados durante todo o ano. A tabela mostrada na figura corresponde as ameaças de domínio de dispositivo às contramedidas usadas para controlá-las. 8.1.3 Domínio de rede de área local 8.1.3.1 Ameaças comuns à LAN Ameaças comuns à LAN A rede de área local (LAN) é um conjunto de dispositivos interconectados usando cabos ou ondas eletromagnéticas. O domínio da LAN requer fortes controles de acesso e segurança, pois os usuários podem acessar os sistemas, aplicativos e dados da empresa no domínio da LAN. A seguir temos exemplos de ameaças à LAN: • Acesso LAN não autorizado – armários de fiação, data centers e salas de computadores devem permanecer seguros • Acesso não autorizado a sistemas, aplicações e dados • Vulnerabilidades de software do sistema operacional de rede • Atualizações do sistema operacional de rede • Acesso não autorizado por usuários falsos em redes sem fio • Explorações de dados em trânsito • Servidores de LAN com hardware ou sistemas operacionais diferentes – O gerenciamento e a solução de problemas de servidores fica mais difícil com configurações variadas • Detecção de rede não autorizada e varredura de porta • Firewall configurado incorretamente 8.1.3.2 Gerenciamento de ameaças à LAN Gerenciamento de ameaças à LAN As empresas podem implementar várias medidas para controlar ameaças à rede local: • Proteger armários de fiação, data centers e salas de computadores. Negar acesso a qualquer pessoa sem as credenciais apropriadas. • Definir políticas, padrões, procedimentos e diretrizes rígidos de controle de acesso. • Restringir os privilégios de acesso a pastas e arquivos de acordo com a necessidade. • Exigir senhas ou autenticação para redes sem fio. • Implementar a criptografia entre dispositivos e redes sem fio para manter a confidencialidade. • Implementar padrões de configuração do servidor de LAN. • Realizar testes de penetração de pós-configuração. • Desativar o ping e a varredura de porta. A tabela mostrada na figura corresponde as ameaças ao domínio da LAN às contramedidas usadas para controlá-las. 8.1.4 Domínio de nuvem privada (WAN) 8.1.4.1 Ameaças comuns à nuvem privada Ameaças comuns à nuvem privada O domínio de nuvem privada inclui os servidores privados, os recursos e a infraestrutura disponíveis para os membros de uma empresa via Internet. A seguir temos exemplos de ameaças à nuvem privada: • Detecção de rede não autorizada e varredura de porta • Acesso não autorizado a recursos • Vulnerabilidade de software de sistema operacional de dispositivo de rede, de firewall ou de roteador • Erro de configuração do roteador, firewall ou dispositivo de rede • Usuários remotos que acessam a infraestrutura da empresa e fazem download de dados confidenciais 8.1.4.2 Controle de ameaças à nuvem privada Controle de ameaças à nuvem privada As empresas podem implementar várias medidas para controlar ameaças à nuvem privada: • Desativar ping, detecção e varredura de porta. • Implementar sistemas de detecção e de prevenção contra invasão. • Monitorar anomalias de tráfego IP de entrada. • Atualizar dispositivos com correções e patches de segurança. • Conduzir testes de penetração pós-configuração. • Testar tráfego de entrada e de saída. • Implementar um padrão de classificação de dados. • Implementar o monitoramento e a varredura da transferência de arquivos para tipo de arquivo desconhecido. A tabela mostrada na figura corresponde as ameaças ao domínio da nuvem privada às contramedidas usadas para controlá-las. 8.1.5 Domínio da nuvem pública 8.1.5.1 Ameaças comuns à nuvem pública Ameaças comuns à nuvem pública O domínio da nuvem pública inclui serviços hospedados por um provedor de nuvem, provedor de serviço ou provedor de Internet. Provedores de nuvem implementam controles de segurança para proteger o ambiente de nuvem, mas as empresas são responsáveis por proteger seus recursos na nuvem. Há três modelos de serviço diferentes dentre os quais uma empresa pode escolher: • SaaS (Software as a Service, Software como serviço) – um modelo de assinatura que proporciona acesso ao software que é centralmente hospedado e acessado por usuários por um navegador da Web. • PaaS (Platform as a service, Plataforma como serviço) – proporciona uma plataforma que permite a uma empresa desenvolver, executar e gerenciar seus aplicativos em hardware de serviço usando ferramentas que o serviço fornece. • IaaS (Infrastructure as a service Infraestrutura como serviço) – fornece recursos de computação virtualizados, como hardware, software, servidores, armazenamento e outros componentes de infraestrutura pela Internet. A seguir temos exemplos de ameaças à nuvem pública: • Violação de dados • Perda ou roubo de propriedade intelectual • Credenciais comprometidas • Os repositórios de identidade federada são um alvo de alto valor • Sequestro de conta • Falta de compreensão da parte da empresa • Ataques de engenharia social que enganam a vítima • Violação de conformidade 8.1.5.2 Controle de ameaças à nuvem pública Controle de ameaças à nuvem pública As empresas podem implementar várias medidas para controlar ameaças a instalações físicas: • Autenticação multifatorial • Uso de criptografia • Implementar senhas únicas, autenticações baseadas em telefone e cartões inteligentes • Distribuir dados e aplicativos em várias zonas • Procedimentos de backup de dados • Diligência prévia • Programas de conscientização da segurança • Políticas A tabela mostrada na figura corresponde as ameaças ao domínio da nuvem pública às contramedidas usadas para controlá-las. 8.1.6 Domínio de instalações físicas 8.1.6.1 Ameaças comuns a instalações físicas Ameaças comuns a instalações físicas O domínio de instalações físicas inclui todos os serviços usados por uma empresa, incluindo HVAC, água e detecção de incêndio. Esse domínio inclui também medidas de segurança física, usadas para proteger as instalações. A seguir temos exemplos de ameaças às instalações de uma empresa: • Ameaças naturais, incluindo problemas climáticos e riscos geológicos • Acesso não autorizado às instalações • Interrupções de energia • Engenharia social para aprender sobre procedimentos e políticas de segurança do escritório • Violação de defesas do perímetro eletrônico • Roubo • Um lobby aberto que permite que um visitante entre direto nas instalações • Um data center destrancado • Ausência de vigilância 8.1.6.2 Controle de ameaças a instalações físicas Controle de ameaças a instalações físicas As empresas podem implementar várias medidas para controlar ameaças a instalações físicas: • Implementar controle de acesso e cobertura de circuito fechado de TV (CCTV) em todas as entradas. • Estabelecer políticas e procedimentos para os convidados que visitam as instalações. • Testar a segurança do edifício usando meios virtuais e físicos para obter acesso de forma secreta. • Implementar a criptografia de crachá para acesso de entrada. • Desenvolver um plano de recuperação de desastres. •Desenvolver um plano de continuidade de negócios. • Realizar treinamento regularmente. • Implementar um sistema de identificação de ativo. A tabela mostrada na figura corresponde as ameaças ao domínio das instalações físicas às contramedidas usadas para controlá-las. 8.1.7 Domínio de aplicação 8.1.7.1 Ameaças comuns aos aplicativos Ameaças comuns aos aplicativos O domínio de aplicação inclui todos os sistemas, aplicativos e dados essenciais. Além disso, inclui o hardware e qualquer design lógico necessário. As empresas estão transferindo aplicativos como e-mail, monitoramento de segurança e gerenciamento de banco de dados para a nuvem pública. A seguir temos exemplos de ameaças a aplicativos: • Acesso não autorizado a data centers, salas de computador e armário de fiação • Período de inatividade do servidor para manutenção • Vulnerabilidade de software do sistema operacional de rede • Acesso não autorizado a sistemas • Perda de dados • Período de inatividade de sistemas de TI por um tempo prolongado • Vulnerabilidades de desenvolvimento de aplicativos cliente/servidor ou Web 8.1.7.2 Controle de ameaças a aplicativos Controle de ameaças a aplicativos As empresas podem implementar várias medidas para controlar ameaças ao domínio do aplicativo: • Implementar políticas, padrões e procedimentos para os funcionários e para os visitantes, para garantir que as instalações sejam seguras. • Realizar testes antes do lançamento do software. • Implementar padrões de classificação de dados. • Desenvolver uma política para lidar com atualizações de software de aplicativo e do sistema operacional. • Implementar procedimentos de backup. • Desenvolver um plano de continuidade de negócios para aplicativos essenciais para manter a disponibilidade das operações. • Desenvolver um plano de recuperação de desastres para aplicativos e dados essenciais. • Implementar o registro. A tabela mostrada na figura corresponde as ameaças ao domínio de aplicação às contramedidas usadas para controlá-las. 8.1.7.3 Atividade - Correspondência de domínios de segurança cibernética 8.2 Noções básicas sobre a ética do trabalho na segurança cibernética 8.2.1 Ética e princípios orientadores 8.2.1.1 Ética de um especialista em segurança cibernética Ética de um especialista em segurança cibernética A ética é um sussuro que orienta um especialista em segurança cibernética sobre o que ele deve ou não fazer, independentemente de ser lícito. A empresa confia ao especialista em segurança os dados e recursos mais confidenciais. O especialista em segurança cibernética precisa compreender como a lei e os interesses da empresa ajudam a orientar as decisões éticas. Os criminosos virtuais que invadem um sistema, roubam números de cartão de crédito e liberam um worm estão realizando ações antiéticas. Como uma empresa visualiza as ações de um especialista em segurança cibernética se eles são semelhantes? Por exemplo, um especialista em segurança cibernética pode ter a oportunidade de parar a propagação de um worm preventivamente, instalando um patch. Na realidade, o especialista em segurança cibernética está liberando um worm. Esse worm não é mal-intencionado, no entanto, então, nesse pode passar? Os seguintes sistemas éticos examinam a ética de várias perspectivas. Ética utilitarista Durante o século XIX, Jeremy Benthan e John Stuart Mill criaram a ética utilitarista. O princípio orientador é que todas as ações que proporcionam a maior quantidade de bem sobre o mal são escolhas éticas. A abordagem dos direitos O princípio orientador para a abordagem de direitos é que os indivíduos têm o direito de fazer suas próprias escolhas. Essa perspectiva analisa como uma ação afeta os direitos dos outros para julgar se uma ação é certa ou errada. Esses direitos incluem o direito à verdade, privacidade, segurança, e que a sociedade aplica leis de forma justa a todos os seus membros. A abordagem do bem comum A abordagem do bem comum propõe que o bem comum é tudo o que beneficia a comunidade. Nesse caso, um especialista em segurança cibernética analisa como uma ação afeta o bem comum da sociedade ou da comunidade. Nenhuma resposta rápida proporciona soluções óbvias para as questões éticas que os especialistas em segurança cibernética enfrentam. A resposta sobre o que é certo ou errado pode mudar, dependendo da situação e da perspectiva ética. 8.2 Noções básicas sobre a ética do trabalho na segurança cibernética 8.2.1 Ética e princípios orientadores 8.2.1.2 Computer Ethics Institute Computer Ethics Institute O Computer Ethics Institute é um recurso para identificar, avaliar e responder aos problemas éticos em todo o setor de tecnologia da informação. O CEI foi uma das primeiras empresas a reconhecer os problemas de políticas éticas e públicas provenientes do crescimento rápido da área de tecnologia da informação. A figura lista os dez mandamentos de ética em informática criados pelo Computer Ethics Institute. 8.2.1.3 Atividade - Exploração da ética cibernética 8.2.2 Responsabilidade e leis cibernéticas 8.2.2.1 Crime digital Crime digital As leis proíbem comportamentos indesejados. Infelizmente, os avanços nas tecnologias de sistemas de informação são muito maiores do que o sistema jurídico e legislação. Várias leis e regulamentações afetam o espaço cibernético. Várias leis específicas orientam as políticas e procedimentos desenvolvidos por uma organização para garantir que estejam em conformidade. Crime digital Um computador pode estar envolvido em um crime digital de várias formas diferentes. Há crime assistido por computador, crime direcionado ao computador e crime incidental de computador. Pornografia infantil é um exemplo de crime incidental de computador — o computador é um dispositivo de armazenamento e não é a ferramenta real usada para cometer o crime. O crescimento do crime digital é devido a uma série de motivos diferentes. Existem muitas ferramentas amplamente disponíveis na Internet agora e os possíveis usuários não precisam de uma grande quantidade de conhecimentos necessários para usar essas ferramentas. Empresas criadas para combater o crime digital Há várias agências e empresas que ajudam no combate ao crime digital. Clique em cada um dos links na figura para visitar os sites dessas empresas para ajudar a manter-se a par dos problemas importantes. 8.2.2.2 Leis civis, criminais e regulatórias Leis civis, criminais e regulatórias Nos Estados Unidos, há três fontes primárias de leis e regulamentações: leis estatutárias, lei administrativa e lei comum. Todas as três fontes envolvem segurança do computador. O Congresso norte-americano estabeleceu agências administrativas federais e uma estrutura regulatória que inclui penalidades civis e criminais para o não cumprimento das regras. As leis penais aplicam um código moral comumente aceito, apoiado pela autoridade do governo. Regulamentos estabelecem regras concebidas para abordar consequências em uma sociedade que muda rapidamente, aplicando penalidades pela violação dessas regras. Por exemplo, a Computer Fraud and Abuse Act é uma lei estatutória. Administrativamente, a FCC e a Federal Trade Commission têm se preocupado com problemas como fraude e roubo de propriedade intelectual. Finalmente, casos jurídicos comuns passam pelo sistema judiciário com o fornecimento de precedentes e bases constitucionais para as leis. A Federal Information Security Management Act (FISMA) O congresso criou a FISMA em 2002 para alterar a abordagem do governo dos EUA com relação à segurança da informação. Como o maior criador e usuário da informação, sistemas de TI federais são alvos dealto valor para os criminosos cibernéticos. A FISMA aplica-se a sistemas de TI de agências federais e estipula que as agências criem um programa de segurança da informação que inclua o seguinte: • Avaliações de risco • Inventário anual dos sistemas de TI • Políticas e procedimentos para reduzir o risco • Programas de treinamento • Teste e avaliação de todos os controles dos sistemas de TI • Procedimento de resposta a incidente • Continuidade do plano de operações 8.2.2.3 Leis específicas do setor Leis específicas do setor Muitas leis específicas do setor têm um componente de segurança e/ou de privacidade. O governo dos EUA exige conformidade de empresas dentro desses setores. Especialistas em segurança cibernética devem conseguir traduzir os requisitos legais em práticas e políticas de segurança. Gramm-Leach-Bliley Act (GLBA) A Lei Gramm-Leach-Bliley é uma legislação que afeta, principalmente, o setor financeiro. Uma parte dessa legislação, no entanto, inclui provisões de privacidade para os indivíduos. Esta provisão proporciona os indivíduos poder controlar o uso de informações fornecidas em uma transação empresarial com uma empresa que faz parte de uma instituição financeira. A GLBA restringe o compartilhamento de informações com empresas terceirizadas. Sarbanes-Oxley Act (SOX) Depois de vários escândalos de contabilidade nos EUA, o congresso aprovou a Lei Sarbanes-Oxley (SOX). A finalidade da SOX foi para reformular os padrões de contabilidade financeira e empresarial e foi direcionada especificamente aos padrões das empresas de capital aberto nos Estados Unidos. Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) A indústria privada também reconhece como é importante ter padrões uniformes e aplicáveis. Um Conselho de padrões de segurança composto pelas principais empresas do setor de cartões de crédito projetou uma iniciativa do setor privado para melhorar a confidencialidade das comunicações de rede. O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de regras contratuais que regem como proteger dados de cartão de crédito, à medida que comerciantes e bancos fazem a transação. O PCI DSS é um padrão voluntário (em teoria) e comerciantes/fornecedores podem escolher se desejam cumprir o padrão. No entanto, a não conformidade do fornecedor pode resultar em taxas de transações significativamente maiores, multas de até US $500.000 e, possivelmente, até mesmo na perda da capacidade de processar cartões de crédito. Importação/exportação de restrições de criptografia Desde a Segunda Guerra Mundial, os Estados Unidos regulou a exportação de criptografia, devido a considerações de segurança nacional. A Agência de indústria e segurança do Departamento de Comércio agora controla as exportações de criptografias não militares. Existem ainda as restrições de exportação e organizações terroristas. Os países podem decidir restringir a importação de tecnologias de criptografia, pelos seguintes motivos: • A tecnologia pode conter uma vulnerabilidade da segurança ou de backdoor. • Os cidadãos podem se comunicar anonimamente, e evitar qualquer monitoramento. • A criptografia pode aumentar os níveis de privacidade acima de um nível aceitável. 8.2.2.4 Leis de notificação de violação de segurança Leis de notificação de violação de segurança As empresas estão coletando quantidades crescentes de informações pessoais sobre seus clientes, de senhas de contas e endereços de e-mail a informações médicas e financeiras altamente confidenciais. Empresas grandes e pequenas reconhecem o valor de big data e da análise de dados. Isso incentiva as empresas a coletar e armazenar informações. Os criminosos virtuais estão sempre à procura de maneiras de obter essas informações ou buscando acessar e explorar os dados mais sensíveis e confidenciais de uma empresa. As empresas que coletam dados confidenciais precisam sabem protegê-los. Em resposta a esse crescimento na coleta de dados, várias leis exigem que as empresas que coletam informações pessoais notifiquem os indivíduos, se ocorrer uma violação de seus dados pessoais. Para ver uma lista dessas leis, clique em aqui. Lei da Privacidade de Comunicações Eletrônicas (Electronic Communications Privacy Act, ECPA) A Lei da privacidade de comunicações eletrônicas (Electronic Communications Privacy Act, ECPA) aborda uma variedade de problemas jurídicos de relacionados à privacidade que resultaram do uso cada vez maior de computadores e de outras tecnologias específicas de telecomunicações. As seções dessa lei abordam comunicações por e-mail, por celular, privacidade no local de trabalho e uma série de outros problemas relacionados à comunicação por via eletrônica. Computer Fraud and Abuse Act (1986) A Computer Fraud and Abuse Act (CFAA) tem estado em vigor há mais de 20 anos. A CFAA proporciona o fundamento para leis dos EUA que criminalizam o acesso não autorizado a sistemas de computador. A CFAA torna um crime acessar, conscientemente um computador considerado um computador do governo ou um computador usado no comércio interestadual, sem permissão. A CFAA também criminaliza o uso de um computador em um crime que é de natureza interestadual. A lei criminaliza o tráfico de senhas ou informações de acesso semelhantes, além de tornar um crime transmitir, conscientemente, um programa, código ou um comando que resulta em danos. http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx 8.2.2.5 Proteção da privacidade Proteção da privacidade As seguintes leis dos EUA protegem a privacidade. Ato de privacidade de 1974 Essa lei estabelece um código de práticas justas de informação que rege a coleta, a manutenção, o uso e a divulgação de informações pessoalmente identificáveis sobre os indivíduos que são mantidas em sistemas de registros por agências federais. Lei de liberdade de informação (FOIA) A FOIA permite o acesso público aos registros do governo dos EUA. A FOIA carrega uma suposição de divulgação, para que o fardo do motivo para a não divulgação da informação seja do governo. Existem nove isenções de divulgação pertencentes à FOIA. • Informações de política externa e de segurança nacional • Pessoal interno, regras e práticas de uma agência • Informações especificamente isentadas pelo estatuto • Informações comerciais confidenciais • Comunicação entre ou intra-agência sujeita a processo deliberativo, de litígio e outros privilégios • Informações que, se divulgadas, constituiriam uma invasão claramente injustificada da privacidade pessoal • Registros de segurança pública que implicam um de um conjunto de preocupações enumeradas • Informações da agência de instituições financeiras • Informações geológicas e geofísicas sobre poços Registros de educação de família e Ato de privacidade (FERPA) Essa lei federal deu a estudantes acesso a seus registros de educação. A FERPA opera com a escolha em participar, já que o estudante deve aprovar a divulgação de informações, antes da divulgação real. Quando um aluno completa 18 anos, ou entra em uma instituição pós-secundária em qualquer idade, esses direitos na FERPA são transferidos dos pais do aluno para o aluno. U.S. Computer Fraud and Abuse Act (1986) Essa lei federal aplica-se à coleta on-line de informações pessoais, por pessoas ou entidades sob a jurisdição dos EUA, de crianças com menos de 13 anos de idade. Antes das informações das crianças (com menos de 13 anos de idade) serem coletadas e usadas, obtenha a permissão dos pais. Lei de proteção à privacidade on-line de crianças (U.S. Children’s Online Privacy Protection Act, COPPA) Essa lei federal aplica-se à coleta on-line de informações pessoais, por pessoas ou entidades sob a jurisdição dos EUA, de crianças commenos de 13 anos de idade. Antes das informações das crianças (com menos de 13 anos de idade) serem coletadas e usadas, obtenha a permissão dos pais. Lei de proteção de crianças na Internet nos EUA (U.S. Children’s Internet Protection Act, CIPA) O congresso americano aprovou a CIPA em 2000 para proteger crianças com menos de 17 anos contra exposição a conteúdo ofensivo e a material obsceno na Internet. Video Privacy Protection Act (VPPA) A Video Privacy Protection Act protege uma pessoa contra ter as fitas de vídeo, DVDs e jogos alugados divulgados para terceiros. O estatuto fornece as proteções por padrão, exigindo assim uma empresa de aluguer de vídeo obter consentimento do inquilino optar por não as proteções, se a empresa quer divulgar informações pessoais sobre arrendamentos. Muitos defensores da privacidade consideram a VPPA a lei de privacidade mais forte dos EUA. Lei de responsabilidade e de portabilidade do seguro-saúde Os padrões exigem proteções para armazenamento físico, manutenção, transmissão e acesso à informação de saúde dos indivíduos. A HIPAA exige que as empresas que usam assinaturas eletrônicas atendam a padrões que garantam a integridade das informações, autenticação do signatário e não-repúdio. Projeto de lei do senado da Califórnia 1386 (SB 1386) A Califórnia foi o primeiro estado a aprovar uma lei sobre a notificação da divulgação não autorizada de informações de identificação pessoal; Desde então, muitos outros estados seguiram seus passos. Cada uma dessas leis de aviso de divulgação é diferente, tornando o caso interessante para um estatuto federal de unificação. Essa lei exige que as agências forneçam aos consumidores aviso de seus direitos e responsabilidades. Isso exige que o estado notifique os cidadãos, sempre que PII for perdida ou divulgada. Desde a aprovação da SB 1386, vários outros estados têm feito leis tendo essa lei como padrão. Políticas de privacidade Políticas são a melhor maneira de garantir a conformidade em toda a empresa e uma política de privacidade desempenha um papel importante dentro da empresa, especialmente com as várias leis promulgadas para proteger a privacidade. Um dos resultados diretos dos estatutos legais associados à privacidade tem sido o desenvolvimento de uma necessidade de políticas de privacidade empresarial associada à coleta de dados. Avaliação de impacto da privacidade (PIA) Uma avaliação de impacto da privacidade garante que as informações de identificação pessoal (PII) sejam tratadas corretamente em toda uma empresa. • Estabelece o escopo da PIA. • Identifica os principais participantes. • Documenta todo o contato com PII. • Analisa os requisitos legais e regulamentares. • Documenta possíveis problemas encontrados ao comparar requisitos e práticas. • Revê as descobertas com os principais interessados. 8.2.2.6 Leis internacionais Leis internacionais Com o crescimento da Internet e das conexões de rede global, a entrada não autorizada em um sistema de computador ou a invasão de um computador tem emergido como uma preocupação que pode ter consequências nacionais e internacionais. Existem leis nacionais para a invasão de computadores em muitos países, mas sempre pode haver lacunas como essas nações lidam com esse tipo de crime. Convenção sobre o crime digital A Convenção sobre o crime digital é o primeiro tratado internacional sobre crimes na Internet (UE, EUA, Canadá, Japão e outros). Políticas comuns lidam com o crime digital e abordar o seguinte: violações de direitos autorais, fraudes relacionadas a computadores, pornografia infantil e violações de segurança da rede. Clique aqui para ler mais sobre a Convenção sobre o crime digital. Electronic Privacy Information Center (EPIC) O EPIC promove políticas de privacidade e leis e políticas abertas do governo globalmente e se concentra nas relações UE-EUA. Clique aqui para obter as notícias mais recentes. 8.2.2.7 Atividade - correspondência das leis relacionadas à... 8.2.3 Sites com informações sobre segurança cibernética 8.2.3.1 Banco de dados nacional de vulnerabilidades Banco de dados nacional de vulnerabilidades https://en.wikipedia.org/wiki/Convention_on_Cybercrime https://epic.org/privacy/intl/ O banco de dados nacional de vulnerabilidades (NVD) é um repositório padronizado de dados do governo dos EUA para controle de vulnerabilidades que usa o protocolo de automação de conteúdo de segurança (SCAP). O SCAP é um método para usar padrões específicos para automatizar o controle de vulnerabilidades, a medição e a avaliação de conformidade com a política. Clique aqui para visitar o site do banco de dados nacional de vulnerabilidades. O SCAP usa padrões abertos para enumerar falhas de software de segurança e problemas de configuração. As especificações organizam e medem as informações relacionadas à segurança de forma padronizada. A comunidade SCAP é uma parceria entre o setor público e privado para avançar a padronização das operações de segurança técnica. Clique aqui para visitar o site do protocolo de automação de conteúdo de segurança. O NVD usa o sistema de pontuação de vulnerabilidade comum para avaliar o impacto das vulnerabilidades. Uma empresa pode usar a pontuação para classificar a gravidade das vulnerabilidades que encontra dentro de sua rede. Isso, por sua vez, pode ajudar a determinar a estratégia de mitigação. O site também contém um várias checklists que proporcionam orientação sobre como configurar sistemas operacionais e aplicativos para fornecer um ambiente codificado. Clique aqui para visitar o repositório do programa nacional de checklist. 8.2.3.2 CERT CERT O Software Engineering Institute (SEI) da Universidade Carnegie Mellon ajuda governos e empresas do setor a desenvolver, operar e manter sistemas de software que são inovadores, acessíveis e confiáveis. É um centro de pesquisa e desenvolvimento financiado pelo governo federal com dinheiro do Departamento de Defesa dos EUA. A divisão CERT de estudos SEI estuda e resolve problemas na área de segurança cibernética, incluindo vulnerabilidades de segurança nos produtos de software, mudanças nos sistemas em rede e treinamento, para ajudar a melhorar a segurança cibernética. O CERT proporciona os seguintes serviços: • Ajuda a resolver vulnerabilidades de software • Desenvolve ferramentas, produtos e métodos para realizar exames de computação forense • Desenvolve ferramentas, produtos e métodos para analisar vulnerabilidades • Desenvolve ferramentas, produtos e métodos para monitorar redes grandes • Ajuda as empresas a determinar se suas práticas relacionadas à segurança são eficazes O CERT tem uma extensa base de dados de informações sobre vulnerabilidades de software e código malicioso para ajudar a desenvolver soluções e estratégias de remediação. Clique aqui para visitar o site do CERT. https://nvd.nist.gov/home.cfm https://scap.nist.gov/ https://web.nvd.nist.gov/view/ncp/repository http://www.cert.org/ 8.2.3.3Internet Storm Center Internet Storm Center O Internet Storm Center (ISC) fornece uma análise e um serviço de aviso gratuitos para as empresas e usuários da Internet. Ele também funciona com provedores de serviços de Internet para combater criminosos digitais. O Internet Storm Center coleta todos os dias milhões de entradas de registro de sistemas de detecção de invasão com sensores que incluem 500.000 endereços IP em mais de 50 países. O ISC identifica sites usados para ataques e proporciona dados sobre os tipos de ataques lançados contra vários setores e regiões do mundo. Clique aqui para visitar o Internet Storm Center. O site oferece os seguintes recursos: • Um arquivo de blog de diário InfoSec • Podcasts que incluem o Stormcasts diário, atualizações diárias de ameaças à segurança da informação de cinco a dezminutos • Postagens de emprego InfoSec • Notícias de segurança da informação • Ferramentas InfoSec • Relatórios InfoSec • Fóruns InfoSec SANS ISC O Instituto SANS suporta o Internet Storm Center. O SANS é uma fonte confiável para pesquisa, certificação e treinamento de segurança da informação. 8.2.3.4 Advanced Cyber Security Center Advanced Cyber Security Center O Advanced Cyber Security Center (ACSC) é uma empresa sem fins lucrativos que reúne indústria, academia e governo para abordar ameaças cibernéticas avançadas. A empresa compartilha informações sobre ameaças digitais, faz pesquisa e desenvolvimento sobre segurança cibernética e cria programas de educação para promover a profissão de segurança cibernética. O ACSC definiu quatro desafios que ajudarão a moldar as suas prioridades: • Construir sistemas resilientes para se recuperar de ataques e falhas. • Melhorar a segurança móvel. • Desenvolver o compartilhamento de ameaças em tempo real. • Integrar os riscos cibernéticos com as estruturas de risco da empresa. Clique aqui para visitar o Advanced Cyber Security Center. https://isc.sans.edu/ http://www.acscenter.org/ 8.2.4 Armas de segurança cibernética 8.2.4.1 Scanners de vulnerabilidades Scanners de vulnerabilidades Um scanner de vulnerabilidades avalia computadores, sistemas de computador, redes ou aplicações, em busca de pontos fracos. Os scanners de vulnerabilidades ajudam a automatizar a auditoria de segurança ao buscar riscos de segurança na rede e produzir uma lista priorizada para abordar as vulnerabilidades. Um scanner de vulnerabilidades procura os seguintes tipos de vulnerabilidades: • Uso de senhas padrão ou senhas comuns • Patches não instalados • Portas abertas • Erro de configuração de software e de sistemas operacionais • Endereços IP ativos Ao avaliar um scanner de vulnerabilidades, analise como ele é classificado com relação a precisão, confiabilidade, escalabilidade e geração de relatórios. Existem dois tipos de scanners de vulnerabilidades para escolher — baseados em software ou baseado em nuvem. A varredura de vulnerabilidade é fundamental para empresas com redes que incluem um grande número de segmentos de rede, roteadores, firewalls, servidores e outros dispositivos comerciais. Clique aqui para ver várias opções disponíveis para versões comerciais e gratuitas. 8.2.4.2 Teste de penetração Teste de penetração O teste de penetração (pen testing) é um método de testar áreas de fraquezas em sistemas usando várias técnicas maliciosas. O teste de penetração não é o mesmo que teste de vulnerabilidade. O teste de vulnerabilidade apenas identifica os possíveis problemas. O pen testing envolve um especialista em segurança cibernética que entra em um site, rede ou servidor com permissão da empresa para tentar obter acesso a recursos com o conhecimento de nomes de usuários, senhas ou outros meios normais. A diferenciação importante http://sectools.org/tag/vuln-scanners/ entre criminosos virtuais e especialistas em segurança cibernética é que os especialistas em segurança cibernética têm a permissão da organização para realizar os testes. Um dos motivos principais por que uma empresa usa o pen testing é encontrar e corrigir todas as vulnerabilidades, antes dos criminosos virtuais. Testes de penetração são também conhecidos como ataque ético de hacker. 8.2.4.3 Packet Analyzers Packet Analyzers Os packet analyzers (ou analisadores de pacotes) interceptam e registram o tráfego de rede. O packet analyzer captura cada pacote, mostra os valores de vários campos no pacote e analisa o conteúdo. Um sniffer pode capturar o tráfego em redes com e sem fio. Packet analyzers executam as seguintes funções: • Análise de problemas de rede • Detecção de tentativas de invasão da rede • Isolamento do sistema explorado • Log de tráfego • Detecção de uso indevido da rede Clique aqui para ver uma comparação de packet analyzers. 8.2.4.4 Ferramentas de segurança Ferramentas de segurança Não há um padrão universal quando se trata das melhores ferramentas de segurança. Muito vai depender da situação, circunstância e preferência pessoal. Um especialista em segurança cibernética deve saber onde obter informações fundamentadas. Kali Kali é uma distribuição de segurança Linux de código aberto. Profissionais de TI usam o Kali Linux para testar a segurança de suas redes. O Kali Linux incorpora mais de 300 testes de penetração e programas de auditoria de segurança em uma plataforma Linux. Clique aqui para visitar o site. Reconhecimento da situação da rede Uma empresa precisa da capacidade de monitorar redes, analisar os dados resultantes e detectar atividade maliciosa. Clique aqui para obter acesso a um conjunto de ferramentas de análise de tráfego desenvolvidas pelo CERT. 8.2.4.5 Atividade - uso da ferramenta adequada https://en.wikipedia.org/wiki/Comparison_of_packet_analyzers https://www.kali.org/ http://www.cert.org/netsa/tools/index.cfm 8.3 Próxima etapa 8.3.1 Explorar a profissão de segurança cibernética 8.3.1.1 Definição das funções dos profissionais de segurança cibernética Definição das funções dos profissionais de segurança cibernética O padrão ISO define a função dos profissionais de segurança cibernética. A estrutura do ISO 27000 exige: • Um gerente sênior responsável por TI e ISM (frequentemente o responsável de auditoria) • Profissionais de segurança da informação • Administradores de segurança • Gerente de segurança do local/física e contatos das instalações • Contato de RH para assuntos de RH, como ação disciplinar e treinamento • Gerentes de sistemas e rede, arquitetos de segurança e outros profissionais de TI Os tipos de cargos de segurança da informação podem ser divididos da seguinte forma: • Os definidores proporcionam políticas, diretrizes e normas e incluem consultores que fazem avaliação de risco e desenvolvem o produto as arquiteturas técnicas e indivíduos de nível sênior dentro da empresa que têm um conhecimento amplo, mas não muito aprofundado. • Os construtores são os técnicos reais que criam e instalam as soluções de segurança. • Monitores administram as ferramentas de segurança, executam a função de monitoramento de segurança e melhoram os processos. Clique em cada cargo de segurança da informação que desempenha um papel fundamental em qualquer empresa, para saber sobre os componentes-chave de cada um. 8.3.1.2 Ferramentas de busca de emprego Ferramentas de busca de emprego Uma variedade de sites e aplicativos móveis anunciam empregos de tecnologia da informação. Cada site é direcionado a diferentes candidatos e proporciona diferentes ferramentas para candidatos que procuram o cargo ideal. Muitos sites são agregadores de sites de emprego, ou seja, um site de busca de emprego que reúne anúncios de outros sites de emprego e de sites de carreira de empresas e os exibem em um único local. Indeed.com Anunciado como o site de empregos número 1 do mundo, o Indeed.com atrai mais de 180 milhões de visitantes únicos por mês de mais de 50 países diferentes. O Indeed é, verdadeiramente, um site mundial de empregos. O Indeed ajuda as empresas de todos os tamanhos a contratar os melhores talentos e oferece a melhor oportunidade para os candidatos a emprego. CareerBuilder.com O CareerBuilder atende a muitas empresas grandes e de prestígio. Como resultado, esse site atrai candidatos específicos que normalmente têm mais educação e credenciais mais altas. Os empregadores que publicam no CareerBuilder normalmente conseguem mais candidatos com ensino superior, credenciais avançadas e certificações do setor. USAJobs.gov O governo federal publica vagas no USAJobs. Clique aqui para saber mais sobre o processo de candidatura usado pelogoverno dos EUA. 8.3.1.3 Packet Tracer – Desafio de Integração de Habilidades Packet Tracer – Desafio de Integração de Habilidades Esta atividade final inclui muitas das habilidades que você adquiriu durante este curso. Você irá configurar um roteador sem fio, fazer upload e baixar arquivos usando FTP, conectar-se com segurança a um site remoto usando uma VPN e proteger um roteador Cisco IOS. Packet Tracer – Desafio de Habilidades Integradas - Instruções Packet Tracer – Desafio de Habilidades Integradas - Atividade 8.4 Resumo 8.4.1 Conclusão 8.4.1.1 Capítulo 8: como se tornar um especialista em segurança Capítulo 8: como se tornar um especialista em segurança Este capítulo categoriza a infraestrutura de tecnologia da informação criada pelo avanço da tecnologia em sete domínios. O especialista em segurança cibernética bem-sucedido deve conhecer os controles de segurança adequados em cada domínio necessários para atender às exigências da tríade CIA. O capítulo discutiu as leis que afetam os requisitos de tecnologia e segurança cibernética. Leis como FISMA, GLBA e FERPA estão voltadas para a proteção da confidencialidade. Leis que focam na proteção de integridade incluem FISMA, SOX e FERPA e leis que dizem respeito à disponibilidade incluem FISMA, SOX, GLBA e CIPA. Além da legislação em vigor, o especialista em segurança cibernética precisa compreender como o uso dos computadores e da tecnologia afetam os indivíduos e a sociedade. O capítulo também explorou a oportunidade para se tornar um especialista em segurança cibernética. Por fim, este capítulo também discutiu várias ferramentas disponíveis aos especialistas em segurança cibernética. https://www.usajobs.gov/Help/About/ https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/course/files/8.3.1.3%20Packet%20Tracer%20-%20Skills%20Integrated%20Challenge.pdf https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/course/files/8.3.1.3%20Packet%20Tracer%20-%20Skills%20Integrated%20Challenge.pdf https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/course/files/8.3.1.3%20Packet%20Tracer%20-%20Skills%20Integrated%20Challenge.pka https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/course/files/8.3.1.3%20Packet%20Tracer%20-%20Skills%20Integrated%20Challenge.pka
Compartilhar