Segurança da Informação

Prévia do material em texto

2
AULA 1 – INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
O advento da Internet e a globalização transformaram completamente o mundo em que vivemos.
Estas transformações afetaram em cheio as organizações onde trabalhamos, quebrando diversos paradigmas e promovendo uma profunda reavaliação das prioridades daqueles que estão no comando das empresas.
O ambiente corporativo e a necessidade de segurança
O crescimento explosivo da Internet e das tecnologias e aplicações a ela relacionadas está revolucionando o modo de operação das empresas, o modo como as pessoas trabalhas e a forma como a tecnologia da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais.
Há três razões fundamentais para todas as aplicações de tecnologia da informação nas empresas. Elas são encontradas nos três papeis vitais que os sistemas de informação podem desempenhar para uma empresa.
Apoio às estratégias para vantagem competitiva
Apoio à tomada de decisão empresarial
Apoio às operações e aos processos
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos, serviços e capacidades que confiram a esta empresa vantagens estratégicas sobre as forças competitivas que ela enfrenta no mercado mundial.
O valor da informação
Para compreendermos melhor o valor da informação no contexto atual vamos em primeiro lugar compreender o conceito de dado:
O dado é qualquer elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.
A informação é o dado trabalhado, que permite ao executivo tomar decisões. É a matéria-prima para o processo administrativo da tomada de decisão.
O propósito da informação é o habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação).
DADOS
INFORMAÇÃO
Para decidir sobre qualquer coisa, precisamos de informações, preferencialmente claras e oportunas. A informação é vital para o processo de tomada de decisão de qualquer corporação. Porém, não basta produzir a informação no prazo previsto. É necessário disponibilizá-la para quem tem a real necessidade de conhece-la. Além disso, é fundamental proteger o conhecimento gerado, quando este contiver aspectos estratégicos para a organização que o gerou.
DADO
INFORMAÇÃO
CONHECIMENTO
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento é implementação de novos usos da tecnologia da informação em uma empresa. Um destes desafios a ser considerado é a responsabilidade ética referente ao uso da tecnologia da informação.
Ética: É o ramo da filosofia que busca estudar e indicar o melhor modo de viver no cotidiano e na sociedade.
Vejamos a seguir alguns questionamentos sobre esse assunto!
· Quais os usos da tecnologia da informação poderiam ser considerados impróprios e responsáveis ou prejudiciais a outros indivíduos ou à sociedade?
· Qual é o uso adequado da Internet e dos recursos de TI de uma organização? O que é preciso para ser um usuário final responsável de tecnologia da informação?
· Como a empresa pode se proteger do crime com o uso de computadores e de outros riscos da tecnologia da informação?
Face a tantas mudanças tecnológicas, sociológicas e comportamentais, o profissional de TI deve levar em consideração os aspectos éticos sobre os danos potenciais ou riscos no uso da TI nas corporações:
RESPOSTAS POSSÍVEIS 
Os riscos e custos podem ser atenuados por:
· Auto regulação demo 
· Defesa 
· Educação 
· Código de ética 
· Incentivos 
· Certificação 
RISCOS POTENCIAIS 
Qual a probabilidade de ocorrência de ações legais, boicote dos consumidores, paralisações no trabalho e outras ameaças?
DANOS POTENCIAIS 
Qual a probabilidade de clientes funcionários parceiros empresariais ou concorrentes serem afetados por:
· Invasões de privacidade;
· Informações imprecisas;
· Conluio;
· Exclusão de facilidades essenciais;
APLICAÇÕES DE TI
· Ampliar o conhecimento do mercado;
· Aumentar a capacidade de resposta;
· Aperfeiçoar as comunicações;
· Melhorar a seleção de estratégias;
Essas são algumas das perguntas e considerações que delineiam as dimensões éticas dos sistemas de informação que iremos estudar nas próximas páginas.
Agora que você já compreendeu as necessidades dos ambientes corporativos vamos entender o conceito de segurança.
O que é segurança?
· É estar livre de perigos e incertezas;
· É um estado ou condição que se aplica a tudo aquilo que tem valor para a organização que é chamado de ativo;
Existem diversos tipos de ativos em uma organização. Estes ativos podem ser organizados e classificados através de diversas propriedades. Essa classificação permite a organização dos ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Desta forma os ativos podem ser classificados como:
Tangíveis: Informações impressas ou digitais, sistemas, móveis, pessoas.
Intangíveis: Marca de um produto, imagem de uma empresa, confiabilidade de um banco.
Podemos então agora entender o que vem a ser proteção. Elas podem ser:ADMINISTRATIVAS
FÍSICAS
LÓGICAS
	Cadeados
	Firewall
	Procedimentos
	Fechaduras
	Arquivos
	Normas
Proteção: são medidas que visam livrar os ativos de situações que possam trazer prejuízo.
Podemos classificar as proteções de acordo com a sua ação e o um momento na qual ela ocorre. De acordo com a finalidade elas podem ser:
Recuperação
Repara danos causados por incidentes 
Correção
Repara falhas existentes 
Reação
Reage a determinados incidentes 
Limitação
Diminuir danos causados 
Detecção
Detecta a ocorrência de incidente 
Monitoramento
Monitora o estado e o funcionamento 
Desencorajamento
Desencorajar a prática de ações 
Físicas
Evita que acidentes ocorram 
A partir deste ponto já conseguimos diferenciar segurança e ativos da informação:
Segurança da informação 
Visa a proteção de ativos de uma empresa que contém informações 
Ativos de informação 
São aqueles que produzem, processam, transmitem ou armazenam informações
Cada empresa ao tratar segurança da informação e, independentemente de sua área de negócio e dos objetivos de segurança que se deseje, normalmente irá utilizar um ou os três princípios fundamentais de segurança conhecido como a tríade CID ou em inglês, AIC ou CIA. 
O nível de segurança requerido para obter cada um desses três princípios difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócios de segurança. Entretanto todas as ações ou medições de segurança realizados em cada organização irão envolver sempre um ou mais princípios.
· Disponibilidade: Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações. Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.
· Confidencialidade: Trata-se da manutenção do segredo, sigilo ou da privacidade das informações. Essa propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
· Integridade: Trata-se da manutenção das informações tal e qual tenham sido geradas. Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
Confidencialidade
Integridade
Objetivo de Segurança
Disponibilidade
Fatores que impactam na segurança de uma organização:
	Valor
	Importância do ativo para a organização. Como já falamos pode ser avaliada por propriedades mensuráveis ou abstratas, ou seja, tangível ou intangível. 
	
	
	Ameaça
	Evento que tem potencial em si próprio para comprometer os objetivos da organização, sejatrazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. Exemplo: um incêndio, uma enchente, a invasão de um computador ou um roubo.
	
	
	Vulnerabilidade
	A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades permitem que as ameaças se concretizem. O que irá determinar se uma invasão de um computador pode ou não afetar os negócios de uma empresa é ausências ou existência de mecanismos de prevenção, detecção e eliminação, além do correto funcionamento destes mecanismos.
	
	
	Impacto
	Tamanho do prejuízo, medido através de propriedades mensuráveis abstratas, que a concretização de uma determinada ameaça causará. Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, poderemos ter impactos diferentes para uma ameaça. Exemplo: O impacto de uma invasão ao servidor de banco de dados pode ser maior que o impacto de uma invasão da máquina da secretária da gerência de operações.
	
	
	Risco
	Medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto que ela trará, maior será o risco associado a este incidente. 
Apresentamos a seguir a interação dos diversos componentes de segurança:
Que irá afetar
diretamente
Risco
Proteções
Exposição
Ativo
Agentes ameaçadores
Ameaças
Vulnerabilidade
Criam
Que exploram
Que gera um
E causar uma
Que são impedidas pelas
Que pode danificar o
	
Podemos concluir que um problema de segurança é:
A perda de qualquer aspecto de segurança importante para minha organização. E podem ser de diferentes tipos:
Desastres Naturais
Tempestade, inundações, incêndio etc.
Operação incorreta
Erro do usuário ou administrador do sistema 
Ataque ao sistema
Visando algum lucro
AULA 2 – O CICLO DE VIDA DA INFORMAÇÃO
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado a necessidade de administração desses dados de forma confiável. Para compreendermos melhor essa questão vamos ampliar nosso conceito de dados em informação:
· Dados: É a coleta da matéria-prima bruta dispersa nos documentos.
· Informação: É o tratamento do dado, transformado em informação. Pressupõe uma estrutura de dados organizada e formal. As bases e bancos de dados, bem como as redes, são sustentadas pela informação.
· Conhecimento: É o conteúdo informacional contido nos documentos, nas várias fontes de informação e na bagagem pessoal de cada indivíduo.
· Inteligência: É combinação destes três elementos resultante do processo de análise e validação por especialista. É a informação com valor agregado.
DADO
INFORMAÇÃO
CONHECIMENTO
Redução de custos
Vantagem competitiva
Diferenciação de produtos e processos
INTELIGÊNCIA
Percebe-se então, certa hierarquia entre dado, informação e conhecimento, em que cada termo pode ser considerado como matéria-prima do termo seguinte, num crescente de agregação de valor.
Dados
Informação
Conhecimento
· Baixo valor agregado.
· Uso independe de pessoas
· Foco disperso 
· Alto valor agregado.
· Uso depende de pessoas
· Foco pontual
Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo gerada e utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis hierárquicos, além de perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros.
	Resultado
	Ação
	Conhecimento
	Informação
	Dados
Ciclo de Vida da Informação
Desde o momento em que é gerada, a informação tem um ciclo de vida dentro das corporações, passando por diversas etapas de interação até retornar ao seu ponto inicial.
Neste exemplo, segundo Marcos Sêmola, os órgãos (analogamente, ativos físicos, tecnológicos e humanos), se utilizam de sangue (analogamente, informação), para pôr em funcionamento os sistemas digestivo, respiratório, (analogamente, processos de negócio), para consequentemente, manter a consciência é a vida do indivíduo (analogamente, a continuidade do negócio).
Continuidade do negócio
Processo de negócio 1
Ativo tecnológicos
Ativo físicos
Ativo humanos
Processo de negócio 2
Ativo tecnológicos
Ativo físicos
Ativo humanos
Processo de negócio 3
Ativo tecnológicos
Ativo físicos
Ativo humanos
Informação
Por que proteger a Informação?
Pelo seu valor:
Estratégico
Financeiro
Como qualquer bem o recurso organizacional a informação também possui seu conceito de valor apresentamos a seguir quatro tipos possíveis de valor da informação:
	Valor de uso 
	Baseia-se na utilização final que se fará com a informação 
	Valor de troca 
	É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda)
	Valor de propriedade 
	Reflete o custo substitutivo de um bem 
	Valor de restrição 
	Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas 
Quando proteger a Informação?
Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor.
O ciclo de vida de uma informação é composto identificado pelos momentos vividos pela informação que a colocam em risco.
Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantém a operação da empresa.
· Armazenamento: Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pendrive depositado em uma gaveta.
· Transporte: Momento em que a informação é transportada, seja ao encaminhar informações por e-mail, ao postar um documento via fax, ou ainda, ao falar ao telefone uma informação confidencial.
· Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador, ou ainda, descartar um CD-ROM usado que apresentou falha na leitura.
· Manuseio: Momento em que a informação é criada e manipulada, seja folhear um maço de papéis, ao digitar informações recém geradas em uma aplicação Internet, ou ainda, a utilizar a sua senha de acesso para autenticação.
Armazenamento
Descarte
Transporte
Manuseio
Onde proteger as Informações?
Nos ativos que as custodiam...
	ATIVOS
	Físicos
	Tecnológicos
	Humanos
	Agenda
	Sistema
	Funcionário
	Sala
	Servidor
	Parceiro
	Arquivo
	E-mail
	Secretária
	Cofre
	Notebook
	Porteiro
Do que proteger as Informações?
De ameaças...
	AMEAÇAS
	Físicos
	Tecnológicos
	Humanos
	Incêndio
	Vírus
	Sabotagem
	Inundação
	Bug do Software
	Fraude
	Curto-Circuito
	Defeito técnico
	Erro humano
	Apagão
	Invasão web
	Descuido
Percebe-se então que a gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão dos negócios. Sendo essencial a utilização do Gerenciamento do ciclo de vida da informação (ILM – Information Lifecycle Management), de forma a operacionalizar a informação e os dados, ou seja, organizar em meios físicos e com registros, categorizando-os para garantir a segurança e privacidade.
Este método permite que os gestores de tecnologia e os administradores da corporação definam por quanto tempo esses dados ficarão disponíveis, quando efetivamente serão descartados se permite classificar a informação quanto a sua finalidade.
· Informação sem interesse (Lixo): É considerada uma parcela negativa inversamente proporcional a sua quantidade, em uma hipotética equação de valor para a finalidade da informação organizacional e pode ser associada ao conceito de sobrecarga de informação a relevância se manifesta através doimpacto que a presença ou ausência da informação pode gerar no ambiente.
· Informação Potencial (Vantagem Competitiva): É dirigida principalmente para a direção da organização apontando possíveis vantagens competitivas a serem conquistadas.
· Informação Mínima (Gestão): É destinada originalmente aos gerentes de nível intermediário para a realização de atividades de gestão organizacional.
· Informação Crítica (Sobrevivência): Destina-se à sobrevivência da organização para atender, prioritariamente, às áreas operacionais.
Informação sem interesse (Lixo)
Informação Potencial (Competitiva)
Informação Mínima (Gestão)
Informação Crítica (Sobrevivência)
	
Essa classificação permite identificar o grau de relevância é prioridade que a informação exerce em cada nível da organização.
Assim, a aplicação do gerenciamento do ciclo de vida da informação traz uma série de benefícios à empresa.
Retenção de despesas
Conscientização
Economia de recursos
Segurança da Informação
Classificação da Informação
O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas.
Existem três aspectos importantes para a classificação das informações. Cada tipo de informação deve ser examinado a partir desses aspectos:
· Confidencialidade: A informação só é acessada pelos indivíduos autorizados.
· Integridade: A informação é a atual, completa e mantida por pessoas autorizadas.
· Disponibilidade: A informação está sempre disponível quando necessária às pessoas autorizadas.
· Autenticidade: A informação ou o usuário dela é autêntico. Atesta com exatidão, a origem do dado ou informação.
· Não repúdio: Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação. Não é possível negar o envio ou recepção de uma informação ou dado.
· Legalidade: É a aderência de um sistema a legislação. Garante a legalidade (jurídica) da informação.
· Privacidade: Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. É a capacidade do usuário realizar ações em um sistema sem que seja identificado.
· Auditoria: Rastreabilidade dos diversos passos que é um negócio o processo realizou o que uma informação foi submetida, identificando os participantes os locais e horários de cada etapa.
Outro fator que deve ser considerado é o nível de ameaça conhecido que cada informação tem. para isso devem ser respondidas questões como:
· Existem concorrentes buscando informação?
· É uma informação fácil de perder a integridade ficar desatualizada?
· É possível que ela fique indisponível e por qual motivo isso pode acontecer?
Níveis de Segurança da Informação
Com base na análise dos parâmetros anteriores, podemos chegar ao nível de segurança da informação. O nivelamento de segurança pode seguir a seguinte classificação: 
	Irrestrito 
	Esta informação é pública, podendo ser utilizada por todos sem causar danos à organização.
	Interna 
	É aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. Entretanto, caso essa informação seja disponibilizada, ela não causa danos sérios à organização. 
	Confidencial 
	Informação interna da organização cuja divulgação pode causar danos financeiros ou a imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes.
	Secreta 
	Informação interna, restrita a um grupo seleto dentro da organização sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Essa é a informação considerada vital para a companhia.
Para podermos chegar nestes níveis de segurança, podemos também considerar os seguintes aspectos:
	
	Confidencialidade
	Integridade
	Disponibilidade
	Alta
	Confidencial
	Confidencial
	Crítica
	Média
	Interna
	Interna
	Moderada
	Baixa
	Pública
	Pública
	Baixa
Quem define esse nível?
O que devemos notar, é que o nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade. Existem os casos onde estes fatores se somam. Por exemplo, uma informação pode ter requisitos de confidencialidade média, mas a integridade alta. Assim, o nível de segurança da informação deve ser definido levando em conta todos estes fatores em conjunto e não apenas um deles isoladamente.
Para definir o nível de segurança da informação de cada setor da organização a pessoa mais indicada é o próprio responsável daquele setor. Ele é quem certamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade é disponibilidade do setor.
Após esta classificação ser feita também é importante que alguém deu um nível superior a ele esteja verificando a classificação para garantir que as informações o que precisa em transitar entre os diversos setores não sejam demais protegidas se isoladas em um setor e também que as informações que não forem transitar estejam protegidas.
O mais importante para a organização é todo o conhecimento e as informações que ela tem relativos aos processos do seu negócio específico. Aqueles que conhecem melhor da sua área tem mais ferramentas, que no caso são as informações para o melhor desempenho.
Percebe-se então, que a gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão dos negócios. Lembrando que a informação que deve ser protegida, é aquela que oferece riscos de causar danos nas operações da empresa caso seja transmitida aqui não for autorizado o que é informação que deve ser disseminada também oferece riscos de causar danos às operações da empresa caso não chegue ao seu destinatários, ou não esteja disponível na hora certa.
AULA 3 – VULNERABILIDADE DE SEGURANÇA
A todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. Quando essas possibilidades aparecem, a quebra de segurança é consumada.
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização. 
Se partirmos do princípio de que não existem ambientes totalmente seguros, podemos afirmar que todos os ambientes empresariais são vulneráveis e muitas vezes encontramos também vulnerabilidades nas medidas implementadas pela empresa.
O que é Vulnerabilidade?
É a fragilidade presente ou associada a ativos que manipulam o processo informações que ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios de segurança da informação.
Ameaça: É um possível perigo que pode explorar uma vulnerabilidade.
Vulnerabilidades por si só não provocam um incidente pois são elementos passivos necessitando para tanto de um agente causador ou uma condição favorável que são as ameaças. Podemos concluir que:
Agentes ameaçadores
Vulnerabilidades
Incidente de segurança
Negócios
Clientes / Produtos
Exploram
Possibilitam
Afetam
Impactam negativamente
Exemplos de Vulnerabilidades
Não existe uma única causa para surgimento de vulnerabilidades. A negligência por parte dos administradores de rede e a falta de conhecimento técnico, são exemplos típicos de vulnerabilidade, porém diferentes tipos de vulnerabilidade podem estar presentes em diversos ambientes computacionais. As vulnerabilidades podem ser:
	Físicas 
	São aqueles presentes dos ambientes em que estão sendo armazenadas ou gerenciadas as informações. Ao serem explorados por ameaças, afetam diretamente os princípios básicos da segurança da informação, principalmente a disponibilidade. Exemplos:
· Instalações prediais fora do padrão;
· Salas de CPD mal planejadas;
· Falta de extintores detectores de fumaça;
· Risco de explosões vazamentos ou incêndios;
	Naturais 
	São aqueles relacionados às condiçõesda natureza que podem colocar em risco as informações. A probabilidade de estar expostos às ameaças naturais é fundamental na escolha e na preparação de um ambiente. Devem ser tomados cuidados especiais com o local, de acordo com o tipo de ameaça natural que possa ocorrer em uma determinada região geográfica. Exemplos:
· Incêndios;
· Enchentes;
· Terremotos;
· Tempestades;
· Falta de energia;
· Acúmulo de poeira;
· Aumento de umidade e de temperatura;
	Hardware 
	São os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas que podem permitir o ataque ou a alteração deles. Exemplos:
· Ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados;
· A conservação inadequada dos equipamentos;
· Falha nos recursos tecnológicos (desgaste, obsolescência, má utilização);
· Erros durante a instalação;
	Software 
	Podem ser classificadas como vulnerabilidade de aplicativo ou de sistema operacional. Neste caso os pontos fracos de software ocorrem quando aplicativos / sistema operacional permitem que ocorram acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede. Exemplos:
· A configuração e instalação indevidas dos programas de computador / sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal-intencionados;
· Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.
	Mídias 
	São as formas de utilização inadequadas dos dispositivos de armazenamento das informações, que podem deixar seu conteúdo vulnerável a uma série de fatores que poderiam afetar a integridade, a disponibilidade e a confidencialidade das informações. Exemplos:
· Uso incorreto das mídias de armazenamento (pendrive, CD ROM, DVD ROM, HD);
· Discos, fitas, relatórios em impressos podem ser extraviados;
· Local de armazenamento em locais insalubres ou com alto nível de umidade, magnetismo ou estática, mofo;
· Defeito de fabricação;
	Comunicação 
	Abrange todo o tráfego de informações, onde quer que transitem, seja por cabo, satélite, fibra ótica ou ondas de rádio. Abrange qualquer falha na comunicação que faça com que uma informação fique indisponível para os seus usuários, ou, pelo contrário, fique disponível para quem não possua direitos de acesso ou ainda que as informações sejam alteradas em seu estado original, afetando sua integridade. Exemplos:
· Acesso não autorizado;
· Perda de comunicação;
· A ausência de sistemas de criptografia nas comunicações;
· A má escolha dos sistemas de comunicação para o envio de mensagens de alta prioridade da empresa;
	Humanas 
	Relaciona-se aos danos que as pessoas podem causar às informações e ao ambiente tecnológico que lhes oferece suporte, podendo ser intencional ou não e, interna ou externa. Um importante exemplo de vulnerabilidade humana é o desconhecimento das medidas de segurança adequadas que são adotadas pela organização. Mais exemplos:
· Falta de treinamento;
· Compartilhamento de informações confidenciais;
· Não execução de rotinas de segurança;
· Erros ou omissões nos procedimentos operacionais da organização;
· Ameaça de bomba;
· Sabotagens;
· Vandalismo, roubo ou destruição da propriedade ou dos dados;
Análise de Vulnerabilidades
A verificação das vulnerabilidades é essencial para garantir a segurança do sistema e da rede. A análise de vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas.
é realizada através de um levantamento detalhado o ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que a empresa fornece ou desempenha. esta análise compreende todos os ativos da informação da empresa que abrange: 
	Pessoas
	São ativos da informação e executa um processo, logo, precisam ser analisadas.
	Processos
	Análise do fluxo de informação, a geração da informação e de seu consumo. Analisa também como a informação é compartilhada entre os setores da organização;
	Ambiente
	É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas.
	Tecnologias
	Software e hardware usado em servidores, estações de trabalho em outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores;
A análise de vulnerabilidade permite que os profissionais de segurança ETI da empresa possam ter maior conhecimento do ambiente de TI e seus problemas, assim como a possibilidade de tratamento das vulnerabilidades, com base nas informações geradas.
Os testes de vulnerabilidade consistem na determinação de que falhas de segurança podem ser aplicadas a máquina ou rede alvo. O objetivo do teste é a identificação das máquinas da rede alvo de:
· As portas do protocolo TCP/IP que se encontram desprotegidas (abertas);
· Os sistemas operacionais utilizados;
· Patches e Service Packs (se for o caso) aplicados;
· E os aplicativos instalados;
Existem também diferentes tipos de vulnerabilidades que podem ser encontradas:
· Bugs específicos dos sistemas operacionais/aplicativos;
· Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos;
· Falha nos softwares de dos equipamentos de comunicação;
· Fraquezas nas implementações de segurança dos equipamentos de comunicação;
· Fraqueza de segurança falhas nos scripts que executam nos servidores web;
· Falha nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos;
Ferramentas para análise de vulnerabilidades de segurança
Existem vários softwares para detectar vulnerabilidades e a cada dia com o avanço das tecnologias surgem novas versões e novos produtos. Exemplo: NMAP e NESSUS
Além da análise de vulnerabilidade também é muito importante que o profissional de ti periodicamente realize uma pesquisa de vulnerabilidade sobre os produtos ou aplica ações utilizados em sua organização. 
O que é pesquisa de Vulnerabilidade?
Significa descobrir as falhas e deficiências em um produto ou aplicação que podem comprometer a segurança. Quando um atacante encontra uma vulnerabilidade em um produto ou aplicação, ele tenta explorá-la.
Por que é importante realizar uma pesquisa de Vulnerabilidade?
Por que auxilia os profissionais de segurança a:
· Identificar e corrigir vulnerabilidades de rede;
· Proteger a rede de ser atacada por invasores;
· Obter informações que auxiliam a prevenir os problemas de segurança;
· Obter informações sobre vírus;
· Conhecer as fragilidades de redes de computadores;
· Conhecer os alertas de segurança antes de um ataque de rede;
· Conhecer como recuperar uma rede após o ataque.
Exploit
Em segurança da informação, é um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema operacional - como o próprio sistema operacional ou serviços de interação de protocolos (Ex.: Servidores Web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas.
AULA 4 – AMEAÇA AOS SISTEMAS DE INFORMAÇÃO
Introdução as ameaças de segurança
Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos motivados não só pela difusão da Internet, que cresceu de alguns milhares de usuários no início da década de 1980 para centenas de milhões de usuários ao redor do Globo nos dias de hoje, como também pela democratização da informação. A Internet tornou-se um canal online para fazer negócios, porém viabilizou também a atuação dos ladrões do mundo digital, seja hackers ou leigos mal-intencionados.Proporcionou também a propagação de códigos maliciosos (vírus, worms, trojans), spam e outros inúmeros inconvenientes, que colocam em risco a segurança de uma corporação. Outros fatores também contribuíram para impulsionarem no crescimento dos incidentes de segurança, tais como:
	O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurança nos sistemas operacionais utilizados em servidores e estações de trabalho.
	É a conjunção dessas condições que comina na parada generalizada dos sistemas e redes corporativas ao redor do mundo.
	O processo de mitigar tais vulnerabilidades, com a aplicação de correções do sistema, realizadas muitas vezes de forma manual é individual: de máquina em máquina.
	
	A complexidade é a sofisticação dos ataques, que assume as formas mais variadas, como, por exemplo: infecções por vírus, acesso não autorizado, ataques denial of service contra redes e sistemas, furto de informação proprietária, invasão de sistemas, fraudes internas e externas, uso não autorizado de redes sem fios, entre outras. 
	
O que é Ameaça?
Um ameaça, segundo a definição da RFC 2828, Internet Security Glossary, é:
“Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.”
Segundo Marcos Sêmola, as ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de:Confidencialidade
Integridade
Disponibilidade
Causando Impacto
Negócios
Quando classificadas quanto a sua intencionalidade, as ameaças podem ser:
	Naturais
	Ameaças decorrentes de fenômenos da natureza. Exemplos: incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição.
	Involuntárias
	Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Exemplos: Acidentes, erros, falta de energia.
	Voluntárias
	Ameaças propositais causadas por agentes humanos. Exemplos: hackers, invasores, criadores e disseminadores de vírus de computadores, incendiários.
Códigos maliciosos (Malware)
Segundo o Wikipédia, o termo malware é proveniente do inglês “malicious software”; é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms, trojan horses, backdoors, keyloggers, bots, rootkit e spywares são considerados malwares. Também pode ser considerada malware, uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supracitada.
Vírus
O vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.
Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro.
Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “Feliz Aniversário”, até alterar ou destruir programas e arquivos no disco.
Como a máquina pode ser infectada?
É preciso que é um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras tais como:
· Abrir arquivos anexados aos e-mails 
· Abrir arquivos do Word, Excel etc. 
· Abrir arquivos armazenados em outros computadores através do compartilhamento de recursos;
· Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquete, pendrive, CDs, DVDs etc. 
· Tem alguma mídia removível (infectada) conectada ou inserida no computador quando ele é ligado
Worms
Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, um worm não embute cópias de si mesmo em outros programas ou arquivos e não precisa se explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas da configuração de softwares instalados em computadores.
Geralmente, o worm não tem como consequência mesmos danos sendo gerados por um vírus, mas são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar.
Trojan horses (cavalos de Tróia)
São programas que parecem úteis, mas tem código destrutivo embutido. Além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas sem o conhecimento do usuário.
Normalmente é um programa, normalmente recebido como um presente que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de Tróia:
· Instalação de keyloggers ou screenloggers; 
· Furto de senhas e outras informações sensíveis, como número de cartões de crédito;
· Inclusão de backdoors, para permitir que o atacante tenha total controle sobre o computador;
· Alteração ou destruição de arquivos;
Adware (Advertising Software)
É o tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínios ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos.
Spyware
Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema de enviar as informações coletadas para terceiros. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas.
Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa.
Listamos abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou malicioso:
· Monitoramento de URLs acessadas enquanto o usuário navega na Internet;
· Alteração da página inicial apresentada no browser do usuário;
· Varredura dos arquivos armazenados no disco rígido do computador;
· Monitoramento e captura de informações inseridas em outros programas, como processadores de texto;
· Instalação de outros programas spywares;
· Monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse;
· Captura de senhas bancárias e números de cartões de crédito;
· Captura de outras senhas usadas em sites de comércio eletrônico.
É importante ressaltar que estes programas, na maioria das vezes, comprometem a privacidade do usuário e a segurança do computador do usuário, dependendo das ações realizadas pelos spywares no computador e de quais as informações são monitoradas e enviadas para terceiros.
Backdoors
Nome dado a programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim sem precisar recorrer aos métodos utilizados na invasão. Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado.
A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto (através da Internet). O backdoor pode ser incluído por um vírus, através de um trojan horse ou pela instalação de pacotes de software.
Keyloggers
Programacapaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. As informações capturadas podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito. Sua ativação está condicionada a uma ação prévia do usuário e, normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros (por exemplo, através de e-mails). A contaminação por keyloggers, geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os trojans.
Screenlogger
Formas mais avançadas de keylogger, que além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, também são capazes de armazenar a região que circunda a posição onde o mouse é clicado.
Rootkits
Conjunto de programas que fornecem mecanismos para responder e assegurar a presença de um invasor. O nome rootkit, não indica que o conjunto de ferramentas que o compõem são usadas para obter acesso privilegiado (root ou administrador) em um computador, mas sim, para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador. Um rootkit pode fornecer programas com as mais diversas funcionalidades:
· Programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede etc.;
· Backdoors, para assegurar o acesso futuro do invasor ao computador comprometido (presente na maioria dos rootkits);
· Programas para capturar informações na rede onde o computador está localizado, como por exemplo, senhas que estejam trafegando em claro (sem qualquer método de criptografia);
· Programas para remoção de evidências em arquivos de logs;
· Programas para mapear potenciais vulnerabilidades em outros computadores;
Bots e botnets
Segundo a Wikipédia uma botnet é uma coleção de agentes de software ou bots que executam autonomamente que automaticamente o termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores utilizando o software de computação distribuída. 
O bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Ele dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente.
Normalmente, o bot se conecta a um servidor de IRC e entra em um canal (sala) determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal.
O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por sequências especiais de caracteres, que são interpretadas pelo bot. Estas sequências de caracteres correspondem a instruções que devem ser executadas pelo bot.
IRC ou Internet Relay Chat: Protocolo de comunicação utilizado na Internet, basicamente como bate-papo (chat) e troca de arquivos, permitindo a conversa em grupo ou privada
Potenciais atacantes
Existem controvérsias sobre o conceito e a nomenclatura dos possíveis atacantes:
· Hackers: Pessoa com amplo conhecimento de programação e noções de rede e internet. Não desenvolvem vulnerabilidade, apenas copiam vulnerabilidades publicadas em sites especializados;
· White-hats: Exploram os problemas de segurança para divulgá-los abertamente;
· Crackers: Pessoas que invadem sistemas em rede ou computadores apenas por desafio;
· Black-hats: Usam suas descobertas e habilidades em benefício próprio, extorsão, fraudes etc.
· Phreakers: Pessoa que interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação;
· Wannabes (script-kiddies): são aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos;
· Defacers: São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las.
As ameaças podem ser classificadas também quanto a sua origem:
	Interna
	Nem sempre o “inimigo” está fora da nossa empresa, como um hacker ou cracker, mas sim dentro dela, como um funcionário mal-intencionado ou muito insatisfeito, que geralmente possui livre acesso aos recursos disponíveis e que podem comprometer a integridade e a privacidade de informações estratégicas da empresa.
	Externa
	Ameaça não pertencente ao ambiente da empresa.
Segundo William Stallings, na literatura os termos ameaças e ataques normalmente são usados para designar mais ou menos a mesma coisa:
	Ameaça
	Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
	Ataque
	Um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema.
Ataques passivos x ativos
Podemos classificar os ataques como:
	Passivos
	Possuem a natureza de bisbilhotar ou monitorar transmissões. O objetivo dos ataques passivos é obter as informações que estão sendo transmitidas 
	Ativos
	Envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso. Podem ser subdivididos em quatro categorias: disfarce, modificação de mensagem, repetição e negação de serviço.
Ataques Passivos
Existem dois tipos de ataques passivos:
	Liberação ou interceptação do conteúdo da mensagem
	Ocorre quando uma conversa telefônica, uma mensagem de correio eletrônico ou um arquivo transferido que podem conter informações importantes ou confidenciais que desejamos impedir que alguém descubra seu conteúdo, são interceptadas.
	Análise do tráfego
	Nesta modalidade, o oponente observa o padrão das mensagens enviadas e pode determinar o local e a identidade dos envolvidos na comunicação e observar a frequência e o tamanho das mensagens trocadas. Estas informações podem ser úteis para descobrir a natureza da comunicação que estava ocorrendo.
Ataques ativos
Existem quatro tipos de ataques ativos:
	Disfarce ou fabricação
	Ocorre quando uma entidade finge ser uma entidade diferente.
	Modificação de mensagem
	Simplesmente significa que alguma parte de uma mensagem legítima foi alterada ou que as mensagens foram adiadas ou reordenadas para produzir um efeito não autorizado.
	Repetição da mensagem
	Envolve a captura passiva de uma unidade de dados e sua subsequente retransmissão para produzir um efeito não autorizado.
	Negação de serviço
	Impede ou inibe o uso ou gerenciamento das instalações de comunicação esse ataque pode ter um alvo específico, por exemplo, um servidor. Outra forma de negação de serviço é a interrupção de uma rede inteira, seja desativando a rede ou sobrecarregando-a com mensagens, a fim de prejudicar o desempenho.
Como proteger o computador de ameaças?
Nós vimos que algumas das ameaças estudadas são capazes de se propagar automaticamente, através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Porém todas as ameaças exploram as vulnerabilidades encontradas. Segundo a cartilha de Segurança para internet do CERT.br, uma das formas de proteger um computador é: 
	Manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correções de segurança (patches) disponíveis aplicadas, para evitar que possuam vulnerabilidades.
Também é recomendado a utilização de antivírus, mantendo-o sempre atualizado, pois em muitos casos permite detectar e até mesmo evitar a propagação de um bot. Porém,o antivírus só será capaz de detectar bots conhecidos.
Ao final de nosso estudo podemos concluir que:
A tendência é que as ameaças ou ataques à segurança continuem a crescer não apenas em ocorrência, mas também em velocidade, complexidade e alcance, tornando o processo de prevenção e de mitigação de incidentes cada vez mais difícil e sofisticado. Novas formas de infecção podem surgir. Portanto, é importante manter-se informado através de jornais, revistas e de sites sobre segurança e de fabricantes de antivírus.
AULA 5 – ATAQUES À SEGURANÇA
Com o avanço das tecnologias e a valorização da informação nas organizações, o profissional da área de TI necessita atualmente além de ter conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores, noção sobre psicologia dos atacantes, seus perfis de comportamento e motivações que os levam a realizar um ataque. 
Deverá também ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas deverão ser adotadas pela organização.
Para que um ataque ocorra, normalmente o atacante irá seguir os seguintes passos:
	Levantamento das informações
	É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque. Existem duas formas de realizar o reconhecimento.
Passivo: Envolve aquisição de informação sem interação direta com alvo.
Ativo: Envolve interação direta com o alvo através de algum meio. Exemplo: contato telefônico por meio do help deixe o departamento técnico.
	Exploração das informações
	Fase onde o atacante explora a rede, baseado nas informações obtidas na fase de reconhecimento. Nesta fase apresenta um alto risco para os negócios de uma empresa, pois além de ser considerada uma fase de pré-ataque, envolve a utilização de diferentes técnicas de softwares. Exemplo: Utilização de port scan, scanner de vulnerabilidades e network mapping.
	Obtenção de acesso 
	Esta fase, consiste na penetração do sistema propriamente dita. Aqui, são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da Internet, da rede local, fraude ou roubo. Os fatores que irão influenciar nós métodos utilizados pelo atacante serão: a arquitetura e configuração do alvo escolhido, o grau de conhecimento do atacante e o nível de acesso obtido.
Nesta fase, o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede. 
	Manutenção do acesso 
	Nesta fase, o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de outros atacantes através da utilização de “acessos exclusivos” obtidos através de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase, o sistema atacado poderá ficar comprometido.
	Camuflagem das evidências 
	Esta fase, consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados, com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Podemos citar como técnicas utilizadas nesta fase a esteganografia, o tunelamento e a alteração dos arquivos de log.
Esteganografia, do grego (στιγογραφία / stigografía = “escrita escondida”), é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra. Em outras palavras, é o ramo particular da criptologia, que consiste em fazer com que uma forma escrita seja camuflada em outra, a fim de mascarar o seu verdadeiro sentido. É importante frisar a diferença entre criptografia e esteganografia, a primeira, oculta o significado da mensagem a segunda, oculta a existência da mensagem.
Principais tipos de ataque
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente, o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. Estes ataques podem ser classificados como:
	Ataque para obtenção de informações 
	Neste tipo de ataque é possível obter informações sobre um endereço específico, sobre o sistema operacional, arquitetura do sistema em outros serviços que estão sendo executadas em cada computador.
	Ataque aos sistemas operacionais 
	Os sistemas operacionais atuais apresentam uma natureza muito complexa devido a implementação de vários serviços, portas abertas por padrão, além de diversos programas instalados. Muitas vezes, a aplicação de patches e hotfixes não é tarefa tão trivial devido a essa complexidade: dos sistemas, da rede de computadores ou ainda pela falta de conhecimento e perfil do profissional de TI. Consequentemente, os atacantes procuram e exploram as vulnerabilidades existentes nos sistemas operacionais para obter acesso para o sistema de rede da organização.
	Ataques à aplicação
	Na maioria das vezes para conseguir entregar os produtos no prazo acordado, os desenvolvedores de software têm um tempo de desenvolvimento do produto muito curto. Apesar de muitas organizações utilizarem metodologias baseadas na engenharia de software, as aplicações muitas vezes são desenvolvidas com muitas funcionalidades e recursos, seja para cumprir prazos ou por falta de profissionais qualificados, não são realizados testes antes da liberação dos produtos.
Além disso, normalmente as características de segurança da aplicação são oferecidas posteriormente ou muitas das vezes como um componente “add-on”. A não existência de controles de erros nas aplicações podem levar a ataques por exemplo, de buffer overflow.
	Ataques de códigos pré-fabricados (shrink wrap code)
	Por que reinventar a roda se existem uma série de exemplos de códigos já prontos para serem executados? Quando um administrador de sistemas instala um sistema operacional ou uma aplicação, normalmente já existem uma série de scripts prontos, que acompanham a instalação e que tornam o trabalho dos administradores mais fácil e mais ágil. 
Normalmente, o problema na utilização destes scripts, é que não passaram por um processo de refinamento e customização quanto às reais necessidades de cada administrador e quando utilizado em sua versão padrão, podem então conduzir a um ataque do tipo shrink wrap code, ou seja, o atacante utiliza possível falhas de segurança nestes scripts para realizar o ataque.
	Ataques de configuração malfeita (misconfiguration)
	Muitos sistemas que deveriam estar fortemente seguros, podem apresentam vulnerabilidades caso não tenham sido configurados adequadamente. Com a complexidade dos sistemas atuais, os administradores podem não ter os conhecimentos e recursos necessários para corrigir ou perceber um problema de segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam configurações simples. Para aumentar a probabilidade de configurar um sistema adequadamente, os administradores devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional, evitando que, algum serviço ou software não necessário possa ser explorado.
Packet Sniffing 
Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede. Este tipo de ataque também é conhecido como espionagem passiva e sua utilização diminuiu muito com a utilização de switches no lugar dos hubs. 
Port Scanning
Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas dos protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta.
Como funciona o Port Scanning?
Um dos métodos de se implementar um port scanning, é a partir do protocolo TCP e através da primitiva connect() onde a system call connect() é utilizada para abrir uma conexão nas portas do alvo. Se a porta estiver aberta, a system call retornará com sucesso.
A utilização de firewalls contribui muito para evitaresse tipo de ataque. Pois além de limitar as portas que poderão ser acessadas, podemos definir os estados das conexões TCP que serão aceitos. Podemos, por exemplo, definir que para a porta 21, somente o endereço IP 192.168.0.10 poderá acessar.
Firewall: Nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas em impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra.
Scanning de vulnerabilidades
Após mapear os sistemas que podem ser atacados e os serviços que são executados, o atacante irá mapear as vulnerabilidades específicas para cada serviço através da utilização de um software de scanning de vulnerabilidades. Este tipo de scanner é muito útil para o invasor, já que, através dele, poderá escolher qual o exploit a ser utilizado para a invasão. Basicamente, a ideia do scanner de vulnerabilidade é, através de uma lista, checar se o sistema está ou não executando um serviço com problemas. Estes scanners são facilmente desatualizados, pois existe uma quantidade enorme de descobertas publicadas em sites de segurança atualmente.
Estes softwares possuem diversos padrões e testes para detectar vulnerabilidades. Seus principais alvo são aplicativos desatualizados, por exemplo: A versão de algum software utilizado na sua organização na qual foram achadas falhas críticas de segurança, mas que a equipe técnica, por não saber dessas falhas não atualizou a versão dele.
Mantenha-se sempre atualizado através de listas de segurança a respeito dos aplicativos de rede utilizados pela empresa e deixo-os sempre atualizados.
IP Spoofing
Nesta técnica o endereço IP real do atacante é alterado, evitando assim que ele seja encontrado. Sistemas que possuem a segurança baseada em lista de endereço IP são o principal alvo desse tipo de ataque, onde o atacante se passa por um usuário legítimo.
A melhor forma de tentar se proteger deste tipo de ataque é com aplicação de filtros, de acordo com as interfaces de rede onde os IPs são validados e as interfaces de rede por onde trafegam também.
SYN Flooding
Este tipo de ataque explora a metodologia de estabelecimento de conexões do protocolo TCP, baseado no three-way-handshake. Desta forma, muitas requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas.
A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.
Three-way-handshake
O protocolo TCP é um protocolo confiável, pertencente a pilha de protocolos TCP/IP. Para que ocorra troca de dados entre dois computadores, é necessário que as duas máquinas estabeleçam uma conexão. Essa conexão é virtual e é conhecida como uma sessão e ocorre através de um processo chamado handshake de três vias, pois ocorre em três etapas. Esse processo sincroniza os números de sequência e fornece outras informações necessárias para estabelecer a sessão:
	Cliente
Cliente
Cliente
Servidor
Servidor
Servidor
SYN
SYN-ACK
ACK
	1. O cliente manda uma requisição (SYN)
	2. O servidor responde que aceitou o protocolo e estabeleceu a conexão (SYN-ACK)
	3. O cliente envia a informação em forma de “pacotes”
Fragmentação de pacotes IP
Os pacotes do protocolo TCP/IP possuem um campo MTU (Maximum Transfer Unit) que especifica a quantidade máxima de dados que podem passar em um pacote por um meio físico da rede. Este tipo de ataque utiliza-se dessa característica devido ao modo como a fragmentação e o reagrupamento são implementados. Os sistemas não tentam processar o pacote até que todos os fragmentos sejam recebidos e reagrupados, isso cria a possibilidade de ocorrer um overflow na pilha do protocolo TCP quando há o reagrupamento dos pacotes.
Este tipo de ataque não pode ser evitado por meio da implementação de filtros de pacote, apenas com aplicação de correções no kernel do sistema operacional. Os atuais sistemas operacionais já lidam com esse problema.
Fraggle
Consiste em enviar um excessivo número de pacote PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma, todos os hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais.
Smurf
O ataque Smurf é idêntico ao ataque Fraggle, alterando apenas o fato que se utiliza de pacotes do protocolo UDP.
Para evitar esse tipo de ataque, o roteador não deve permitir esse tipo de comunicação para o endereço de Broadcast por meio de suas interfaces de rede.
SQL Injection
Um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.
Buffer Overflow
Consequência direta de péssimos hábitos de programação. Consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.
Ataque físico
Muitas vezes as organizações investem em equipamentos do tipo firewalls e antivírus e pensam que estão protegidos e esquecem que os ataque não ocorrem somente pela rede de computadores. As salas aonde ficam os servidores e os equipamentos de rede devem ter um controle rígido de acesso, assim como os arquivos com dados sigilosos ou sensíveis. Um ataque físico também pode ocorrer em instâncias menores como roubo da fita magnética de backup, através da conexão de dispositivos USB, ou ainda por acesso às informações sigilosas.
Dumpster diving ou trashing
Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal, visto que não existem leis a respeito dos lixos. Neste caso, é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma.
Engenharia Social
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É um dos meios mais utilizados de obtenção de informações sigilosas e importantes. 
Isso ocorre, pois a maioria das empresas não possui métodos que protejam seus funcionários das armadilhas de engenharia social. 
Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área etc. 
Os ataques de engenharia social são muito frequentes, não só na Internet, mas no dia-a-dia das pessoas.
Dois personagens que merecem destaques relevantes no contexto da engenharia social: Frank William Abagnale Jr e Kevin Mitnick.
Phishing Scam
Phishing, também conhecido como phishing scam ou phishing/scam, é um método de ataque que se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular.
Novas formas de phishing estão sempre surgindo. Portanto, é muito importante que os profissionais de TI e segurança se mantenham informados sobre os tipos de phishing que vêm sendo utilizadas pelos fraudadores, através dos veículos de comunicação.
Ataque de negação de serviço (DoS)
Um ataque de negação de serviço (também conhecido como DoS) é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores.Normalmente. tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis. Neste tipo de ataque, não ocorre uma invasão no sistema, mas a sua invalidação por sobrecarga. Estes tipos de ataques podem ser realizados de duas formas:
· Forçando o sistema alvo a reinicializar ou consumir todos os seus recursos (como memória ou processamento), de forma a não poder mais fornecer seu serviço.
· Obstruindo a mídia de comunicação entre os clientes e o sistema alvo de forma a não se comunicarem adequadamente.
Ataques coordenados (DDoS)
Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (master), pode ter sob seu comando até milhares de computadores (zombies) que terão a tarefa de ataque de negação de serviço. Como o ataque funciona?
· Consiste em fazer com que os zumbis se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. 
· Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. 
· Como servidores web possuem um número limitado de usuários que pode atender simultaneamente, o grande e repentino número de requisições de acesso faz com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.
Existe uma Série de vírus e ferramentas que foram criadas para a distribuição de rotinas de ataques de negação de serviço:MyBalls
Slammer
CodeRed
MyDoom
Fabi
Trin00
TFN
Bliznet
Shaft
DoS/DDoS
Vírus
Ferramentas
Sequestros de conexões
As conexões do protocolo TCP são definidas por quatro informações essenciais: 
Endereço IP de origem / porta TCP de origem / endereço IP do destino / porta TCP do destino. 
Todo byte enviado por um host, é identificado com um número de sequência que é conhecido pelo receptor. O número de sequência do primeiro byte é definido durante a abertura da conexão e é diferente para cada uma delas.
Neste tipo de ataque um terceiro host, do atacante, cria os pacotes com números de sequencias válidos, colocando-se entre os dois hosts e enviando os pacotes válidos para ambos.
Foram realizadas implementações no protocolo TCP/IP que praticamente inviabilizaram esse tipo de ataque, que se tornou famoso por ter sido utilizado por Kevin Mitnick, em conjunto com outras técnicas.
Source Routing
Mecanismo legítimo que foi especificado para o protocolo IP, mas que pode ser explorado de forma ilícita. Neste tipo de ataque, define-se uma rota reversa para o tráfego de resposta, em vez de utilizar algum protocolo de roteamento padrão.
Melhor forma de evitar esse tipo de ataque é bloqueando a utilização da opção Source Routing, visto que normalmente não é utilizada.
AULA 6 – GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO
Risco
Segundo o Guia de Orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades (Instituto Brasileiro de Governança Corporativa).
Segundo a norma ABNT NBR ISO 31000:2009 - Gestão de Risco, Princípios e Diretrizes, as organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.
Como estabelecer o contexto do risco?
Segundo Beal, os termos e definições do ISO Guide 73, dizem respeito a todo e qualquer tipo de situação (ou evento) que constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento. Como ele está estruturado de uma forma genérica e básica para o entendimento comum a organizações de diversos países, são necessárias algumas adaptações para atender às necessidades dentro de um domínio específico.
Por exemplo, para as empresas do ramo do comércio/indústria, o risco é visto como a exposição às perdas baseada nas frequências estimadas e custo de concorrência. Já em uma organização da área de saúde, segundo a resolução CNS 196/96, o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social, cultural.
Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover ajustes na terminologia adotada, alterando-a e expandindo-a na medida do necessário para tratar a questão dentro do escopo que está sendo estudada.
Alguns termos e definições
	Ativo
	Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.
	Escopo
	Conjunto de ativos que será coberto pelo processo de gestão de risco.
	Parte envolvida
	Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
	Ameaça
	Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.
	Incidente
	Quando uma ameaça se concretiza.
	Vulnerabilidades
	Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
	Análise de vulnerabilidades
	Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
	Avaliação das vulnerabilidades
	Quando esses dados são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes.
Risco
Probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. Sua escala é dada por dois fatores:
Probabilidade de ocorrência da ameaça medida através da combinação da sua frequência com a avaliação das vulnerabilidades
Consequências trazidas pela ocorrência do incidente (impacto)
Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação, cujo valor, compõe o cálculo da estimativa do risco. Em muitos casos, a probabilidade associada a uma ameaça é calculada com base na frequência de ocorrência; em outros, quando dados de frequência não estão disponíveis, a probabilidade pode ser estimada com base no grau de confiança atribuído a ocorrência.
Os riscos não podem ser completamente eliminados e a porção do risco existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.
As medidas de proteção também chamada de controles, servem para eliminar ou reduzir o risco, reduzindo a probabilidade de concretização de uma ameaça, as vulnerabilidades que podem ser exploradas por essa ameaça ou os impactos advindos de incidentes que venham a se concretizar.
Risco percebido: forma como um risco é visto por uma parte envolvida. Pode variar em virtude de critérios, valores, interesses e prioridades. Nem sempre o risco percebido é o risco verdadeiro.
GERAM
EVITAM
EXPLORA
Agente
Ameaça
Vulnerabilidade
Medidas de proteção
Incidente
Impacto
Ataque
Alvo
probabilidade
PRODUZ
ALVO
REDUZEM
EVITAM
AFASTAM
CAUSA
Gestão de risco
Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa. O que torna algo seguro ou não, está muito mais ligado à gerência de uma série de fatores do que à compra ou implementação de uma solução de software ou hardware definitiva. No âmbito da segurança da informação, a gestão de riscos é utilizada com o intuito de prevenir incidentes e melhorar o nível de segurança das informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), sendo um dos componentes mais importantes. É por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua.
Principais benefícios em sua utilização:
	Entender os riscos associados com o negócio e a gestão da informação.
	Melhorar a efetividade das decisões para controlar riscos nos processos internos e externose suas interações
	Melhorar a eficácia no controle de riscos
	Manter a reputação e imagem da organização.
	Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
	Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser:
	Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
	Conformidade legal e a evidência da realização dos procedimentos corretos;
	Preparação de um plano de continuidade de negócios;
	Preparação de um plano de resposta a incidentes;
	Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo.
Segundo a norma AS/NZS 4360, podemos definir a gestão de risco como: 
“Cultura, estruturas e processos voltados ao reconhecimento de oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos adversos.” 
E segundo a norma NBR ISO 27002: 
“Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o risco”. 
Primeira norma do mundo sobre Gestão de Riscos: AS/NZS 4360:2004.
Etapas da Gestão de Risco
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do PDCA, que nos permite entender a gestão do Risco como um processo contínuo:
Identificar e avaliar os riscos
Verificar e analisar criticamente os resultados
Selecionar, implementar, e operar controles para tratar os riscos
Manter e melhorar os controles
PDCA
O ciclo começa pelo planejamento, em seguida a ação ou conjunto de ações planejadas são executadas, checa-se se o que foi feito estava de acordo com o planejado, constantemente e repetidamente (ciclicamente), e toma-se uma ação para eliminar ou ao menos mitigar defeitos no produto ou na execução. Os passos são os seguintes:
· PLAN (Planejamento): Estabelecer uma meta ou identificar o problema (um problema tem o sentido daquilo que impede o alcance dos resultados esperados, ou seja, o alcance da meta); analisar o fenômeno (analisar os dados relacionados ao problema); analisar o processo (descobrir as causas fundamentais dos problemas) e elaborar um plano de ação.
· DO (Execução): Realizar, executar as atividades conforme o plano de ação.
· CHECK (Verificação): Monitorar e avaliar periodicamente os resultados, avaliar processos e resultados, confrontando-os com o planejado, objetivos, especificações e estado desejado, consolidando as informações, eventualmente confeccionando relatórios. Atualizar ou implantar a gestão à vista.
· ACT (Ação): Agir de acordo com o avaliado e de acordo com os relatórios, eventualmente determinar e confeccionar novos planos de ação, de forma a melhorar a qualidade, eficiência e eficácia, aprimorando a execução e corrigindo.
Etapas da Gestão de Risco
Uma forma mais detalhada e que facilita a análise do processo de gestão de risco é apresentada a seguir, cobrindo todo o ciclo de vida do risco, desde a sua identificação até a sua comunicação às partes envolvidas:
ANÁLISE DOS RISCOS
ESTABELECIMENTO DO CONTEXTO
IDENTIFICAÇÃO DOS RISCOS
VULNERABILIDADE
AMEAÇA
IMPACTO
GRAU DE EXPOSIÇÃO
PROBABILIDADE
PERDA ESTIMADA 
AVALIAÇÃO DO RISCO
TRATAMENTO DO RISCO
ACEITAÇÃO DO RISCO RESIDUAL
ESTIMATIVA DE RISCO
MONITORAÇÃO E AVALIAÇÃO DOS RESULTADOS
COMUNICAÇÃO DOS RISCOS
Análise e avaliação dos riscos 
Cobre todo o processo de identificação das ameaças e estimativa de risco. Inicia-se com a identificação dos riscos e seus elementos, já estudados anteriormente:
VULNERABILIDADE
IMPACTOS
AMEAÇAS
AGENTES
ALVO
A decomposição do risco (na figura anterior) e seus componentes e a posterior avaliação das “características mensuráveis” desses componentes levam a uma estimativa do valor do risco, que pode depois ser comparado com uma referência para que sua relevância seja determinada, possibilitando a tomada de decisão quanto a aceitá-lo ou tratá-lo.
Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que costumam ser classificadas como:
	Quantitativa
	Método Quantitativo: 
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras.
Os métodos quantitativos costumam ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade.
	Qualitativa
	Método Qualitativo: 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. O que torna o processo mais rápido. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Vários métodos de avaliação qualitativa do risco utilizam questionários e matrizes de risco como a apresentada abaixo.
	Gravidade do Impacto
	Probabilidade de ocorrência do incidente
	
	F
Impossível
	E
Improvável
	D
Remota
	C
Ocasional
	B
Provável
	A
Frequente
	I
Catástrofe
	
	
	/////
	XXXXX
	XXXXX
	XXXXX
	II
Alta
	
	
	
	/////
	XXXXX
	XXXXX
	III
Média
	
	
	
	
	/////
	/////
	IV
Baixa
	
	
	
	
	
	
	XXXXX: Imperativo reduzir riscos; ///// Medidas de proteção adicionais requeridas; Em branco: As medidas básicas de proteção adotadas pela organização, são consideradas suficientes para manter os riscos em níveis aceitáveis
Tratamento dos riscos
Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação possível é:
	Medidas preventivas
	Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo; sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na sua organização.
	Medidas corretivas ou reativas
	Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento.
	Métodos detectivos
	Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo oi impedir que se repita .
Aceitação do risco
Ocorre quando o custo de proteção quando contra um determinado risco não vale a pena. aceitar um risco é uma das maneiras de tratá-lo. 
Comunicação do risco
Divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisem ter conhecimento a respeito deles. Uma das melhores formas de se comunicar os riscos de maneira genérica, com o intuito de notificar os colaboradores a respeito deles, é desenvolver e manter campanha de conscientização de segurança.
Gestão dos riscos
A gestão do risco precisa ser desenvolvida de forma permanente e iterativa, para que mudanças no sistema e na forma como são usados, no perfil dos usuários, no ambiente, na tecnologia, nas ameaças, nas vulnerabilidades e outras variáveis pertinentes não tornem obsoletos os requisitos de segurança estabelecidos. esta etapa consiste na verificação contínua, supervisão, observação crítica ou determinação da situação visando identificar alteração no nível de desempenho requerido ou esperados dos riscos.
Riscos, medidas de segurança e o ciclo de segurança
Segundo Sêmola, para um melhor entendimento da amplitude e complexidade da segurança, é comum estudarmos os desafios em camadas ou fases para tornar mais claro o entendimento de cada uma delas. Estas fases são chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita integração e interação:
AMEAÇAS
DESENCORAJAR
DIFICULTAR
DISCRIMINAR
DETECTAR
DETER