Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Dr. Anderson Silva UNIDADE III Auditoria de Sistemas (Conceito e Aplicação) Auditoria de Sistemas Unidade III Agenda Gestão de Riscos A Análise de Risco como Ferramenta da Auditoria Auditando Processos de TI Auditando Data Centers Auditando Hardware e Infraestrutura Continuação... Auditando redes sem fio Auditorias em Inventários de Hardware Padrões Usados na Auditoria de Hardware Autenticação de Usuários Biometria Gerenciamento de Identidade e Acesso Política de Senha Gerenciamento Centralizado de Usuários e Grupos Continuação... A ligação entre a Autenticação e o Controle de Acesso A Segregação de Ambientes como Ferramenta de Controle de Acesso A Responsabilização em Ambientes de TI Modelos de Controle de Acesso para Recursos Computacionais Controle e Gerenciamento de Usuários em Redes Norma ABNT NBR ISO/IEC 27005 Fornece diretrizes para o processo de gestão de riscos de segurança da informação. Define que a Gestão de Riscos deve ser um processo contínuo. Aplicado em toda a organização. Gestão de Riscos Fonte: Autoria própria. Probabilidade de uma ameaça/vulnerabilidade Controles Impacto da ameaça Nível de Risco Função de risco Impacto: magnitude do prejuízo causado pela ameaça/vulnerabilidade Definições segundo a norma ABNT NBR ISO/IEC 27005: Risco: Função que envolve três pesos: A probabilidade da exploração de um par ameaça/vulnerabilidade. O impacto resultante deste evento adverso na organização. A proteção oferecida pelos controles de segurança em uso no momento. Gestão de Riscos Fonte: Autoria própria. Probabilidade de uma ameaça/vulnerabilidade Controles Impacto da ameaça Nível de Risco Função de risco Impacto: magnitude do prejuízo causado pela ameaça/vulnerabilidade Definições segundo a norma ABNT NBR ISO/IEC 27005: Impacto: mudança adversa no nível obtido nos objetivos do negócio. Estimativa de riscos: atribuição à probabilidade e ao impacto de um risco. Identificação de riscos: processo para localizar, listar e caracterizar elementos do risco. Comunicação: as informações sobre os riscos devem ser compartilhadas para melhoria. Gestão de Riscos Fonte: Autoria própria. Probabilidade de uma ameaça/vulnerabilidade Controles Impacto da ameaça Nível de Risco Função de risco Impacto: magnitude do prejuízo causado pela ameaça/vulnerabilidade Análise e avaliação de riscos segundo a norma ABNT NBR ISO/IEC 27005: Identificação de riscos. Identificação de ativos. Identificação das ameaças. Identificação dos controles existentes. Identificação das vulnerabilidades. Identificação dos impactos. Gestão de Riscos Fonte: Adaptado de: ABNT NBR ISO/IEC 27005 (2008 p. 5) Análise/avaliação de riscos Análise de riscos M o n it o ra m e n to e a n á li s e c rí ti c a d o r is c o C o m u n ic a ç ã o d o r is c o Identificação de riscos Estimativa de riscos Avaliação de riscos Tratamento do risco Aceitação do risco Definição do contexto NÃO NÃO SIM SIM Ponto de decisão 1 Avaliação satisfatória Ponto de decisão 2 Tratamento satisfatório Fim da primeira ou das demais iterações Análise e avaliação de riscos segundo a norma ABNT NBR ISO/IEC 27005: Estimativa de riscos. Metodologias para estimativa de riscos. Avaliação das consequências. Avaliação da probabilidade dos incidentes. Estimativa do nível de risco. Gestão de Riscos Fonte: Adaptado de: ABNT NBR ISO/IEC 27005 (2008 p. 5) Análise/avaliação de riscos Análise de riscos M o n it o ra m e n to e a n á li s e c rí ti c a d o r is c o C o m u n ic a ç ã o d o r is c o Identificação de riscos Estimativa de riscos Avaliação de riscos Tratamento do risco Aceitação do risco Definição do contexto NÃO NÃO SIM SIM Ponto de decisão 1 Avaliação satisfatória Ponto de decisão 2 Tratamento satisfatório Fim da primeira ou das demais iterações Tratamento dos riscos segundo a norma ABNT NBR ISO/IEC 27005: Gestão de Riscos Fonte: Adaptado de: ABNT NBR ISO/IEC 27005 (2008 p. 5) Fonte: Autoria própria. Tratamento do risco RESULTADOS DA AVALIAÇÃO DE RISCOS RISCOS RESIDUAIS AVALIAÇÃO SATISFATÓRIA TRATAMENTO SATISFATÓRIO OPÇÕES DE TRATAMENTO DO RISCO REDUÇÃO DO RISCO RETENÇÃO DO RISCO AÇÃO DE EVITAR O RISCO TRANSFERÊNCIA DO RISCO Ponto de Decisão 1 Ponto de Decisão 1 Definições segundo a norma ABNT NBR ISO/IEC 27005: Redução do risco: ações tomadas para reduzir a probabilidade e o impacto de um risco. Retenção do risco: aceitação da perda associada a um determinado risco. Transferência do risco: compartilhamento do prejuízo associado a um risco (seguro). Evitar o risco: o risco existe, mas mudanças no processo evitam a ocorrência dele. Gestão de Riscos Fonte: Autoria própria. Probabilidade de uma ameaça/vulnerabilidade Controles Impacto da ameaça Nível de Risco Função de risco Impacto: magnitude do prejuízo causado pela ameaça/vulnerabilidade A análise de riscos exige a medição e a análise das situações do dia a dia: Quais controles de segurança devem ser implementados? Como gerenciar os níveis de risco sem influenciar o desempenho da organização? Como medir e obter um retorno sobre o investimento realizado em segurança? A análise de risco serve para justificar investimentos em segurança: O Return Over Security Investment (ROSI) é um exemplo de ferramenta, complementar ao gerenciamento de riscos, que avalia qual o retorno que o investimento em segurança gera. A Análise de Risco como Ferramenta da Auditoria Operacional Custo dos Controles Fonte: Autoria própria. Em qual das alternativas está listada a ação de evitar o risco? a) Um ameaça cibernética em potencial está sendo tratada. b) O impacto de uma ameaça é muito baixo e ela não será considerada. c) Um vírus está sendo removido por um antivírus. d) Um sistema operacional antigo não vai ser mais usado por causa das vulnerabilidades dele. e) A empresa contratou um seguro para o caso de danos ao servidor. Interatividade Em qual das alternativas está listada a ação de evitar o risco? a) Um ameaça cibernética em potencial está sendo tratada. b) O impacto de uma ameaça é muito baixo e ela não será considerada. c) Um vírus está sendo removido por um antivírus. d) Um sistema operacional antigo não vai ser mais usado por causa das vulnerabilidades dele. e) A empresa contratou um seguro para o caso de danos ao servidor. Resposta Além dos controles de segurança, existem os controles organizacionais e operacionais. São voltados para a organização dos processos do dia a dia da empresa. Auxiliam as várias transações da empresa (financeiras, operacionais, comerciais). Um exemplo é a segregação de funções: Tem o objetivo de diminuir o risco de acesso não autorizado, modificação ou mau uso não intencional de um ativo. Auditando processos de TI A atribuição de responsabilidades é um resultado da segregação de funções. Políticas do privilégio mínimo: Funcionário só tem acesso ao necessário. Need-to-know basis: O usuário saberá apenas o necessário para execução de sua função. Deve haver uma política de responsabilidades. Deve haver um Plano de Continuidade do Negócio (PCN). Auditando processos de TI Um data center é um ambiente crítico. Deve levar em conta: Controles de segurança físicos. Controle de temperatura. Gerenciamento de energia. Otimização de espaços físicos. Gerenciamento de desastres naturais. Controle de acesso físico. Manutenção. Redundância. Controles de segurança lógicos. Auditando Data Centers A norma EIA/TIA 942:2005 trata da construção e implementação de data centers. Os data centers são classificados em quatro níveis (tiers) de acordo com a redundância: Tier 1: parada anual máxima de 28,8 horas. Tier 2: parada anual máxima de 22 horas. Tier 3: parada anual máxima de 1,6 horas. Tier 4: parada anual máxima de 0,4 horas. Auditando Data Centers Auditoria de hardware envolve computadores e equipamentos (placas, sensores). Auditoria de infraestrutura envolve rede e equipamentos switches, roteadores. Necessidades: Controles físicos. Controles de acesso físicos. Manutenção. Data centers com virtualização monitorada. Auditando Hardware e Infraestrutura Fonte: https://pixabay.com/pt/photos/rede-conex%C3%A3o-pc-endere%C3%A7o-web-197300/ Redes sem fio Infraestrutura. Ad-hoc. Necessidades: Proteção do sinal. Criptografia. Roteamento adequado. Auditando Redes sem Fio Rede ad-hoc Rede de infraestrutura Access point ligado à rede cabeada Fonte: Autoria própria. Inventário de hardware é um levantamento sobre os equipamentos. Permite o gerenciamento e a evolução destes ativos. Automáticos: Etiquetas de Radio Frequency IDentification (RFID). Simple Network Management Protocol (SNMP). Manuais. Auditorias em Inventários de Hardware Health Insurance Portability and Accountability Act (HIPAA): Regulamento para proteção de dados pessoais sensíveis da área médica. Regras que garantem a confidencialidade e a privacidade de exames e prontuários. Provê controle de acesso físico. Utiliza acesso de emergência e desligamento automático. Provê a rastreabilidade em trilhas de auditoria e logs. Cria Planos de Continuidade dos Negócios (PCN). Padrões Usados na Auditoria de Hardware Payment Card Industry Data Security Standard (PCI DSS): Padrão internacional de segurança em transações com cartões eletrônicos. Padrões Usados na Auditoria de Hardware Requisitos de conformidade definidos pelo PCI DSS: Firewall Não usar padrões fornecidos pelo fornecedor (senhas) Proteger os dados armazenados do portador do cartão Criptografia da transmissão Proteção contra malwares Desenvolver sistemas seguros Segurança com os dados do portador do cartão Identificar e autenticar o acesso Restringir o acesso físico aos dados do portador do cartão Rastrear e monitorar acessos, rede e dados Testar os processos de segurança Manter uma PSI forte e abrangente Marque a alternativa correta: a) O nível de segurança em um data center diminui à medida que se aumenta o tier. b) O need-to-know basis prega que um auditor deve aprender tudo sobre um sistema. c) A atribuição de responsabilidades está diretamente ligada com a segregação de funções. d) Em uma rede ad-hoc existe uma ligação via cabo do roteador. e) A norma EIA/TIA 942:2005 trata da segregação de funções. Interatividade Marque a alternativa correta: a) O nível de segurança em um data center diminui à medida que se aumenta o tier. b) O need-to-know basis prega que um auditor deve aprender tudo sobre um sistema. c) A atribuição de responsabilidades está diretamente ligada com a segregação de funções. d) Em uma rede ad-hoc existe uma ligação via cabo do roteador. e) A norma EIA/TIA 942:2005 trata da segregação de funções. Resposta Identificação: O usuário mostra algo que o identifique. Autenticação: O sistema valida a identificação e confirma se é realmente o usuário. É importante uma auditoria para a verificação de tentativas de acesso válidas e inválidas. Esse é o pilar de segurança Authentication, Authorization and Auditing (AAA). Autenticação de Usuários Os três métodos mais conhecidos para a validação de usuários são: O que ele sabe: como uma senha ou PIN. O que ele possui: como um token ou smartphone. O que ele é: algum traço biométrico, como a digital. A autenticação multifator emprega mais de um método de autenticação. Autenticação de Usuários A biometria é o estudo das características dos seres vivos. Físicas: Impressão digital, face, íris, geometria da mão e da orelha. Comportamentais: Voz, assinatura, dinâmica da digitação e forma de andar dos seres vivos. Identificação biométrica: Verifica se o usuário está cadastrado. Busca aberta 1:N. Verificação biométrica: Verifica se o usuário é quem ele alega ser. O usuário coleta a biometria + sua identidade alegada. Busca fechada 1:1. Biometria Identity Management (IdM) ou gerenciamento de identidade É um conceito que envolve autenticação, mapeamento de funções, controle de acesso, auditoria e relatórios de acessos de todos os ativos críticos de uma organização. Um IdM gerencia diversos recursos tecnológicos, como catraca, fechadura eletrônica, sistemas, software, redes e aplicações Single Sign-On (SSO). Gerenciamento de Identidade e Acesso Entrar Nome de Usuário Senha Lembrar dados Não recomendado para computadores públicos Ou conecte-se com um destes serviços Entrar Entrar com o Google Entrar com a Microsoft Entrar com o Facebook Entrar com o Twitter Entrar com o Linkedin Sign in with Discord Esqueceu sua senha? Fonte: Autoria própria. Uma política de senha define os processos envolvidos na gestão das senhas: Quantidade de caracteres. Minúsculas. Números. Obrigatoriedade. Lembrar diversas senhas robustas, de diversas aplicações é uma tarefa complexa. Gerenciador de senhas. Armazena todas as senha em uma base criptografada por uma chave mestra. Política de Senha É importante centralizar o controle de acesso dos usuários e grupos de um sistema. Security Assertion Markup Language (SAML): Integra provedores de identidades e serviços web através de um do login único SSO. Lightweight Directory Access Protocol (LDAP): Protocolo de identidade e serviço de diretório que integra diversos sistemas. Funciona sobre o TCP/IP. Gerenciamento Centralizado de Usuários e Grupos Lightweight Directory Access Protocol (LDAP): Organiza os dados de uma rede na forma de árvores hierárquicas de diretório. A estrutura tem por base: Nome dos atributos. Valores de chaves. Classes de objetos. Gerenciamento Centralizado de Usuários e Grupos Fonte: Autoria própria. Árvore de diretórios LDAP Relative Distinguished Name (RDN) (nome único relativo) dc=plano, dc=br ou=funcionáriosou=dispositivos cn=josé silva Atributos (tipos:valores): cn: josé silva objectClass: pessoa sn: silva fonte: 999-888-777dn: cn=josé silva, ou=funcionários, dc=plano, dc=br Há uma ligação entre os serviços de segurança de autenticação e controle de acesso. Ambos os serviços precisam estar integrados. Role Based Access Control (RBAC): Categoriza os perfis para controle de acesso baseado em funções. A ligação entre a Autenticação e o Controle de Acesso Fonte: Autoria própria. Administrador define regras para usuários específicos Regras são atribuídas aos usuários As regras definem o nível de permissão Usuário Usuário Permissões são autorizadas para regras específicas Role Based Access Control (RBAC): É um controle de acesso não discricionário proposto pela norma americana NIST. Utiliza: Segregação de funções. O princípio do privilégio mínimo. O conceito need-to-know basis. A ligação entre a Autenticação e o Controle de Acesso Fonte: Autoria própria. Administrador define regras para usuários específicos Regras são atribuídas aos usuários As regras definem o nível de permissão Usuário Usuário Permissões são autorizadas para regras específicas Marque a alternativa errada: a) O princípio do privilégio mínimo diz que um sistema tenha um nível mínimo de segurança. b) Um IdM gerencia identidades. c) O RBAC usa as funções para categorizar os perfis de controle de acesso. d) O LDAP serve para organizar dados de forma hierárquica com rapidez. e) Um processo AAA garante autenticação, autorização e auditoria. Interatividade Marque a alternativa errada: a) O princípio do privilégio mínimo diz que um sistema tenha um nível mínimo de segurança. b) Um IdM gerencia identidades. c) O RBAC usa as funções para categorizar os perfis de controle de acesso. d) O LDAP serve para organizardados de forma hierárquica com rapidez. e) Um processo AAA garante autenticação, autorização e auditoria. Resposta Ataques computacionais são baseados em: Acesso indevido. Uso indevido. Isso apenas denota como o controle de acesso é importante para a SI. Ferramentas de controle de acesso podem ser divididas em duas fases: A fase de definição da política. A fase de imposição da política. A Segregação de Ambientes como Ferramenta de Controle de Acesso Fase de definição da política: É definido quem deve ter acesso a quais sistemas e/ou recursos. Uma política de acesso serve para organizar a criação de privilégios, diminuindo riscos. Tem uma única etapa chamada autorização: Trata-se da identificação de quem pode acessar + o que pode ser acessado. A Segregação de Ambientes como Ferramenta de Controle de Acesso Fase de imposição da política: Os privilégios de acesso concedidos na autorização são confirmados ou revogados. Tem três etapas: 1. Identificação Forma de identificação dos usuários (ID, nome, documento, número, código, etc.). 2. Autenticação Processo de autenticação que garante a veracidade da identificação de um usuário. 3. Responsabilização Registro e ligação das tarefas executadas com os usuários executantes. A Segregação de Ambientes como Ferramenta de Controle de Acesso A atribuição de acesso tem como base as quatro etapas citadas do controle de acesso: Autorização. Identificação. Autenticação. Responsabilização. A Segregação de Ambientes como Ferramenta de Controle de Acesso Fonte: Autoria própria. Etapa 1: Autorização Etapa 2: Identificação Etapa 3: Autenticação Etapa 4: Responsabilização Objetos Políticas de Acesso Controlador Banco de dados Regras de Acesso Monitor de Referência Logs Usuário Controles de acesso físicos: Controlam os acessos físicos em áreas restritas (condomínios, salas ou estádios). O controle pode ser automático ou manual. Exemplo: Catracas (automático) ou agente de segurança na entrada de um ginásio (manual). A Segregação de Ambientes como Ferramenta de Controle de Acesso Controles de acesso físicos: Controles de acesso físico, como catracas, que controlam a entrada mediante a leitura de um cartão magnético ou por biometria, existem dois controles de segurança envolvidos: Autenticação. Controle de acesso. A Segregação de Ambientes como Ferramenta de Controle de Acesso Fonte: https://www.micromap.com.br/wp-content/uploads/2016/12/catraca-eletr%C3%B4nica3.jpg Controles de acesso lógicos: São usados para o acesso a servidores, arquivos, pastas, áreas de armazenamento, nuvens ou redes, entre outros. Controles lógicos vão além da funcionalidade lógico-binária dos controles de acesso físicos, já que podem indicar outros tipos de acesso, como ler, modificar, criar, apagar e alterar atributos, entre outros. A Segregação de Ambientes como Ferramenta de Controle de Acesso Responsabilização: Acompanhamento das atividades de usuários (sistemas também) para definir: Quem, quando, como e porque uma tarefa ou evento foi executado. Por atribuir privilégios e responsabilidades, a responsabilização deve ser auditável. Utiliza os seguintes controles: Administrativo: normas gerenciais. Lógico/técnico: regras automatizadas por sistemas. Hardware: equipamentos que funcionam como controles. Software: sistemas que funcionam como controles. Físico: controles de acesso físico. A Responsabilização em Ambientes de TI Existem vários modelos de controle de acesso: Controle de acesso não discricionário: São controles de monitoração do administrador de segurança. Controle de acesso baseado em regra: Proprietário usa uma lista de regras com os nomes dos usuários com acesso a recursos. Método de controle de acesso: Métodos para controle individual (regras) ou de grupos (funções) definidos no S.O. Padronização no registro de novos usuários. Revisão periódica de permissões. Modelos de Controle de Acesso para Recursos Computacionais Existem vários modelos de controle de acesso DAC x MAC: Modelos de Controle de Acesso para Recursos Computacionais DAC X MAC Discretionary Access Control (DAC) Mandatory Access Control (MAC) O proprietário restringe o acesso ao recurso com base na identidade do usuário Restringe o acesso a um recurso a partir de regras pré-definidas em um sistema O proprietário define quem pode acessar com quais privilégios O acesso do usuário depende do nível pré-determinado pelo sistema Mais flexível Menos flexível Menos seguro Mais seguro Implementação mais simples Implementação mais complexa Network Access Control (NAC): Fortalecem a segurança. Impedem dispositivos sem autorização de acessar a rede. Controle e Gerenciamento de Usuários em Redes Internet Roteador Controle de Segurança NAC Vítima Site legítimo Rede local Filtro SSL/TLS Monitoramento Roteamento Balanceador Controle de acesso Relatórios e Estatísticas Apesar de possuir um sistema que registra muito bem os eventos de sucesso ou falha nos acessos e as atividades executadas, Gerson instalou um sistema de controle de acesso adicional, que funciona a partir de algumas regras predeterminadas. Para isso, precisou cadastrar todos os usuários. Em relação ao acesso ao sistema, os usuários agora estão limitados às suas funções. Em relação a essas medidas, marque a alternativa errada: a) O controle de acesso é baseado em regras. b) O controle de acesso é não discricionário. c) Pelas informações do enunciado, pode-se dizer que o sistema é baseado na responsabilização. d) Claramente, o NAC está sendo executado, enquanto o MAC não. e) Gerson está baseando tudo em controles lógicos. Interatividade Apesar de possuir um sistema que registra muito bem os eventos de sucesso ou falha nos acessos e as atividades executadas, Gerson instalou um sistema de controle de acesso adicional, que funciona a partir de algumas regras predeterminadas. Para isso, precisou cadastrar todos os usuários. Em relação ao acesso ao sistema, os usuários agora estão limitados às suas funções. Em relação a essas medidas, marque a alternativa errada: a) O controle de acesso é baseado em regras. b) O controle de acesso é não discricionário. c) Pelas informações do enunciado, pode-se dizer que o sistema é baseado na responsabilização. d) Claramente, o NAC está sendo executado, enquanto o MAC não. e) Gerson está baseando tudo em controles lógicos. Resposta ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27005: Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação, v. 18. Rio de Janeiro, 2008, 59p. ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 19011: Diretrizes para auditoria de sistemas de gestão, v. corrigida 2019. Rio de Janeiro, 2019, 53p. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Normalização. Site ABNT. Disponível em http://www.abnt.org.br/normalizacao/o-que-e/o-que-e - acesso em 19 de julho de 2020. AKUNE, L. Y. Um sistema de prevenção de vazamento de dados de imagens baseado em aprendizado de máquina. Dissertação de mestrado - Engenharia da Computação - Instituto de pesquisas tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019. AVANCO, L.; et al.. An effective intrusion detection approach for jamming attacks on RFID systems. 2015 International EURASIP Workshop on RFID Technology (EURFID), Rosenheim, 2015, pp. 73-80, doi: 10.1109/EURFID.2015.7332388. Referências BARROS FILHO, A. C. Processo e uso da Biometria de Comportamento na Autenticação Contínua em redes BYOD. Dissertação de mestrado - Engenharia da Computação - Instituto de pesquisas tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019. BENETON, E. Auditoria e controle de acesso. Editora Senac São Paulo, Edição do Kindle, 2019, 177p. BOLLE, Ruud et al. 2004. Guide to biometrics.New York: Springer. 364p. CARVALHO, K. S. Uma proposta para automatização e continuidade de serviços em nuvens públicas. Dissertação de mestrado - Engenharia da Computação - Instituto de pesquisas tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2020. Danta, L. M. S. Método preventivo baseado em esquema de ranking e votação para detecção de intrusão em webservice. Dissertação de mestrado - Engenharia da Computação - Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2018. Referências E. Pontes, A. E. Guelfi, S. T. Kofuji, A. A. A. Silva and A. E. Guelfi, Applying multi-correlation for improving forecasting in cyber security, 2011 Sixth International Conference on Digital Information Management, Melbourn, QLD, 2011, pp. 179-186, doi: 10.1109/ICDIM.2011.6093323. FERNANDES, J. H. C. Auditoria e Certificação de Segurança da Informação. Especialização em Ciência da Computação - Gestão da Segurança da Informação e Comunicações - UNB - 2008, 26 pp. FERREIRA, H. S. Identificação de anomalias geradas por sensores que usam variantes do protocolo LEACH. Dissertação de mestrado - Engenharia da Computação - Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019. GREVE, F. et al. Blockchain e a Revolução do Consenso sob Demanda. Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos. (SBRC) - Minicursos, 2018. HOWARD, M.; LEBLANC, D. Escrevendo Código Seguro: Estratégias e técnicas práticas para codificação segura de aplicativos em um mundo em rede. Bookman 2ª ed. Trad. Edson Furmankieni - Cz. Porto Alegre, 2005, 704p. Referências KREPS, J. I Love Logs: Event Data, Stream Processing, and Data Integration. First Edition. ed. [S.l.]: O’Reilly Media, Inc, 2014. ISBN 9789351108641, 60p. MONTEIRO, G. B. Auditoria De Tecnologia da Informação na Administração Pública no Âmbito dos Municípios do Estado do Rio De Janeiro. Dissertação de Mestrado - EBAPE-GV. 2008, 132 pp. NIST – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-30, Revision 1. Guide for Conducting Risk Assessments, EUA, 2012, 95p. NUNES, A. J. V. Governança da tecnologia da informação: uma análise das práticas de avaliação, direção e monitoramento utilizando o COBIT 5 na Universidade Federal Rural do Semi-Árido. Dissertação de Mestrado. Brasil, 2019 223 pp. SAVINO, M. (Ed.). Risk Management in Environment, Production and Economy. BoD–Books on Demand, 2011, 226p. Referências SILVA, A. A. A.; GUELFI, A. E. Sistema para identificação de alertas falso positivos por meio de análise de correlacionamentos e alertas isolados. The 9th IEEE I2TS, 2010, 7p. SILVA, J. M. Uma arquitetura para processamento de fluxos contínuos de dados em sistemas de transações de cartões de crédito. Dissertação de mestrado - Engenharia da Computação - Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2020. STALLINGS, W. Computer Security: Principles and Practice (7th Edition) - Pearson Education, 2017, 767p. TIA - TELECOMMUNICATIONS INDUSTRY ASSOCIATION. ANSI/EIA/TIA 942: Padrão de Infraestrutura de Telecomunicações, Arlington, EUA, 2005, 148p. VELHO, J. A. et al. Tratado de Computação Forense. Millenium, Campinas, Brasil, 2016, 610 p. WETHERALL, J.; TANENBAUM, A. S. Redes de Computadores. 5ª edição. Rio de Janeiro: Editora Campus, 2011. Referências ATÉ A PRÓXIMA!
Compartilhar