Slides de aula III (3)

Prévia do material em texto

Prof. Dr. Anderson Silva
UNIDADE III
Auditoria de Sistemas
(Conceito e Aplicação)
Auditoria de Sistemas
 Unidade III
 Agenda
 Gestão de Riscos
 A Análise de Risco como 
Ferramenta da Auditoria
 Auditando Processos de TI
 Auditando Data Centers
 Auditando Hardware e 
Infraestrutura
Continuação...
 Auditando redes sem fio
 Auditorias em Inventários 
de Hardware
 Padrões Usados na 
Auditoria de Hardware
 Autenticação de Usuários
 Biometria
 Gerenciamento de 
Identidade e Acesso
 Política de Senha
 Gerenciamento 
Centralizado de Usuários 
e Grupos
Continuação...
 A ligação entre a 
Autenticação e o Controle 
de Acesso
 A Segregação de Ambientes 
como Ferramenta de 
Controle de Acesso
 A Responsabilização em 
Ambientes de TI
 Modelos de Controle de 
Acesso para Recursos 
Computacionais
 Controle e Gerenciamento de 
Usuários em Redes
 Norma ABNT NBR ISO/IEC 27005
 Fornece diretrizes para o processo de gestão de riscos de segurança da informação.
 Define que a Gestão de Riscos deve ser um processo contínuo.
 Aplicado em toda a organização.
Gestão de Riscos
Fonte: Autoria própria.
Probabilidade de uma
ameaça/vulnerabilidade
Controles
Impacto
da ameaça
Nível de
Risco
Função
de risco
Impacto: magnitude do prejuízo causado
pela ameaça/vulnerabilidade
Definições segundo a norma ABNT NBR ISO/IEC 27005:
Risco:
Função que envolve três pesos: 
 A probabilidade da exploração de um par ameaça/vulnerabilidade.
 O impacto resultante deste evento adverso na organização.
 A proteção oferecida pelos controles de segurança em uso no momento.
Gestão de Riscos
Fonte: Autoria própria.
Probabilidade de uma
ameaça/vulnerabilidade
Controles
Impacto
da ameaça
Nível de
Risco
Função
de risco
Impacto: magnitude do prejuízo causado
pela ameaça/vulnerabilidade
Definições segundo a norma ABNT NBR ISO/IEC 27005:
 Impacto: mudança adversa no nível obtido nos objetivos do negócio.
 Estimativa de riscos: atribuição à probabilidade e ao impacto de um risco.
 Identificação de riscos: processo para localizar, listar e caracterizar elementos do risco.
 Comunicação: as informações sobre os riscos devem ser compartilhadas para melhoria.
Gestão de Riscos
Fonte: Autoria própria.
Probabilidade de uma
ameaça/vulnerabilidade
Controles
Impacto
da ameaça
Nível de
Risco
Função
de risco
Impacto: magnitude do prejuízo causado
pela ameaça/vulnerabilidade
Análise e avaliação de riscos segundo 
a norma ABNT NBR ISO/IEC 27005:
 Identificação de riscos.
 Identificação de ativos.
 Identificação das ameaças.
 Identificação dos controles existentes.
 Identificação das vulnerabilidades.
 Identificação dos impactos.
Gestão de Riscos
Fonte: Adaptado de: 
ABNT NBR ISO/IEC 
27005 (2008 p. 5)
Análise/avaliação de riscos
Análise de riscos
M
o
n
it
o
ra
m
e
n
to
 e
 a
n
á
li
s
e
 c
rí
ti
c
a
 d
o
 r
is
c
o
C
o
m
u
n
ic
a
ç
ã
o
 d
o
 r
is
c
o
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
Tratamento do risco
Aceitação do risco
Definição do contexto
NÃO
NÃO
SIM
SIM
Ponto de decisão 1
Avaliação satisfatória
Ponto de decisão 2
Tratamento satisfatório
Fim da primeira ou das demais iterações
Análise e avaliação de riscos segundo 
a norma ABNT NBR ISO/IEC 27005:
 Estimativa de riscos.
 Metodologias para estimativa de riscos.
 Avaliação das consequências.
 Avaliação da probabilidade dos incidentes.
 Estimativa do nível de risco.
Gestão de Riscos
Fonte: Adaptado de: 
ABNT NBR ISO/IEC 
27005 (2008 p. 5)
Análise/avaliação de riscos
Análise de riscos
M
o
n
it
o
ra
m
e
n
to
 e
 a
n
á
li
s
e
 c
rí
ti
c
a
 d
o
 r
is
c
o
C
o
m
u
n
ic
a
ç
ã
o
 d
o
 r
is
c
o
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
Tratamento do risco
Aceitação do risco
Definição do contexto
NÃO
NÃO
SIM
SIM
Ponto de decisão 1
Avaliação satisfatória
Ponto de decisão 2
Tratamento satisfatório
Fim da primeira ou das demais iterações
Tratamento dos riscos segundo
a norma ABNT NBR ISO/IEC 27005:
Gestão de Riscos
Fonte: Adaptado de: ABNT NBR ISO/IEC 27005 (2008 p. 5)
Fonte: Autoria própria.
Tratamento do risco
RESULTADOS DA
AVALIAÇÃO DE RISCOS
RISCOS
RESIDUAIS
AVALIAÇÃO
SATISFATÓRIA
TRATAMENTO
SATISFATÓRIO
OPÇÕES DE TRATAMENTO DO RISCO
REDUÇÃO
DO RISCO
RETENÇÃO
DO RISCO
AÇÃO
DE EVITAR
O RISCO
TRANSFERÊNCIA
DO RISCO
Ponto de Decisão 1
Ponto de Decisão 1
Definições segundo a norma ABNT NBR ISO/IEC 27005:
 Redução do risco: ações tomadas para reduzir a probabilidade e o impacto de um risco.
 Retenção do risco: aceitação da perda associada a um determinado risco.
 Transferência do risco: compartilhamento do prejuízo associado a um risco (seguro).
 Evitar o risco: o risco existe, mas mudanças no processo evitam a ocorrência dele.
Gestão de Riscos
Fonte: Autoria própria.
Probabilidade de uma
ameaça/vulnerabilidade
Controles
Impacto
da ameaça
Nível de
Risco
Função
de risco
Impacto: magnitude do prejuízo causado
pela ameaça/vulnerabilidade
A análise de riscos exige a medição e a análise das situações do dia a dia:
Quais controles de segurança devem ser implementados?
Como gerenciar os níveis de risco sem influenciar o desempenho da organização?
Como medir e obter um retorno sobre o investimento realizado em segurança?
A análise de risco serve para justificar investimentos em segurança:
 O Return Over Security Investment (ROSI) é um exemplo de ferramenta, complementar ao 
gerenciamento de riscos, que avalia qual o retorno que o investimento em segurança gera.
A Análise de Risco como Ferramenta da Auditoria
Operacional
Custo dos
Controles
Fonte: Autoria própria.
Em qual das alternativas está listada a ação de evitar o risco?
a) Um ameaça cibernética em potencial está sendo tratada.
b) O impacto de uma ameaça é muito baixo e ela não será considerada.
c) Um vírus está sendo removido por um antivírus.
d) Um sistema operacional antigo não vai ser mais usado por causa das vulnerabilidades dele.
e) A empresa contratou um seguro para o caso de danos ao servidor.
Interatividade
Em qual das alternativas está listada a ação de evitar o risco?
a) Um ameaça cibernética em potencial está sendo tratada.
b) O impacto de uma ameaça é muito baixo e ela não será considerada.
c) Um vírus está sendo removido por um antivírus.
d) Um sistema operacional antigo não vai ser mais usado por causa das vulnerabilidades dele.
e) A empresa contratou um seguro para o caso de danos ao servidor.
Resposta
 Além dos controles de segurança, existem os controles organizacionais e operacionais.
 São voltados para a organização dos processos do dia a dia da empresa.
 Auxiliam as várias transações da empresa (financeiras, operacionais, comerciais).
Um exemplo é a segregação de funções:
 Tem o objetivo de diminuir o risco de acesso não autorizado, modificação ou mau uso não 
intencional de um ativo.
Auditando processos de TI
 A atribuição de responsabilidades é um resultado da segregação de funções.
Políticas do privilégio mínimo:
 Funcionário só tem acesso ao necessário.
Need-to-know basis:
 O usuário saberá apenas o necessário para execução de sua função.
 Deve haver uma política de responsabilidades.
 Deve haver um Plano de Continuidade do Negócio (PCN).
Auditando processos de TI
 Um data center é um ambiente crítico.
Deve levar em conta:
 Controles de segurança físicos.
 Controle de temperatura.
 Gerenciamento de energia.
 Otimização de espaços físicos.
 Gerenciamento de desastres naturais.
 Controle de acesso físico.
 Manutenção.
 Redundância.
 Controles de segurança lógicos.
Auditando Data Centers
 A norma EIA/TIA 942:2005 trata da construção e implementação de data centers.
 Os data centers são classificados em quatro níveis (tiers) de acordo com a redundância:
 Tier 1: parada anual máxima de 28,8 horas.
 Tier 2: parada anual máxima de 22 horas. Tier 3: parada anual máxima de 1,6 horas.
 Tier 4: parada anual máxima de 0,4 horas.
Auditando Data Centers
 Auditoria de hardware envolve computadores e equipamentos (placas, sensores).
 Auditoria de infraestrutura envolve rede e equipamentos switches, roteadores.
Necessidades:
 Controles físicos.
 Controles de acesso físicos.
 Manutenção.
 Data centers com virtualização monitorada.
Auditando Hardware e Infraestrutura
Fonte: https://pixabay.com/pt/photos/rede-conex%C3%A3o-pc-endere%C3%A7o-web-197300/
 Redes sem fio
 Infraestrutura.
 Ad-hoc.
Necessidades:
 Proteção do sinal. 
 Criptografia. 
 Roteamento adequado.
Auditando Redes sem Fio
Rede ad-hoc
Rede de infraestrutura
Access point ligado à rede cabeada
Fonte: Autoria própria.
 Inventário de hardware é um levantamento sobre os equipamentos.
 Permite o gerenciamento e a evolução destes ativos.
Automáticos:
 Etiquetas de Radio Frequency IDentification (RFID).
 Simple Network Management Protocol (SNMP).
 Manuais.
Auditorias em Inventários de Hardware
Health Insurance Portability and Accountability Act (HIPAA):
 Regulamento para proteção de dados pessoais sensíveis da área médica.
 Regras que garantem a confidencialidade e a privacidade de exames e prontuários.
 Provê controle de acesso físico.
 Utiliza acesso de emergência e desligamento automático.
 Provê a rastreabilidade em trilhas de auditoria e logs.
 Cria Planos de Continuidade dos Negócios (PCN).
Padrões Usados na Auditoria de Hardware
Payment Card Industry Data Security Standard (PCI DSS):
 Padrão internacional de segurança em transações com cartões eletrônicos.
Padrões Usados na Auditoria de Hardware
Requisitos de conformidade definidos pelo PCI DSS:
Firewall
Não usar padrões fornecidos pelo fornecedor (senhas)
Proteger os dados armazenados do portador do cartão
Criptografia da transmissão
Proteção contra malwares
Desenvolver sistemas seguros
Segurança com os dados do portador do cartão
Identificar e autenticar o acesso
Restringir o acesso físico aos dados do portador do cartão
Rastrear e monitorar acessos, rede e dados
Testar os processos de segurança
Manter uma PSI forte e abrangente
Marque a alternativa correta:
a) O nível de segurança em um data center diminui à medida que se aumenta o tier.
b) O need-to-know basis prega que um auditor deve aprender tudo sobre um sistema.
c) A atribuição de responsabilidades está diretamente ligada com a segregação de funções.
d) Em uma rede ad-hoc existe uma ligação via cabo do roteador.
e) A norma EIA/TIA 942:2005 trata da segregação de funções.
Interatividade
Marque a alternativa correta:
a) O nível de segurança em um data center diminui à medida que se aumenta o tier.
b) O need-to-know basis prega que um auditor deve aprender tudo sobre um sistema.
c) A atribuição de responsabilidades está diretamente ligada com a segregação de funções.
d) Em uma rede ad-hoc existe uma ligação via cabo do roteador.
e) A norma EIA/TIA 942:2005 trata da segregação de funções.
Resposta
Identificação:
 O usuário mostra algo que o identifique.
Autenticação:
 O sistema valida a identificação e confirma se é realmente o usuário.
 É importante uma auditoria para a verificação de tentativas de acesso válidas e inválidas.
 Esse é o pilar de segurança Authentication, Authorization and Auditing (AAA).
Autenticação de Usuários
Os três métodos mais conhecidos para a validação de usuários são:
 O que ele sabe: como uma senha ou PIN.
 O que ele possui: como um token ou smartphone.
 O que ele é: algum traço biométrico, como a digital.
 A autenticação multifator emprega mais de um método de autenticação.
Autenticação de Usuários
 A biometria é o estudo das características dos seres vivos.
Físicas:
 Impressão digital, face, íris, geometria da mão e da orelha.
Comportamentais:
 Voz, assinatura, dinâmica da digitação e forma de andar dos seres vivos.
Identificação biométrica:
 Verifica se o usuário está cadastrado.
 Busca aberta 1:N.
Verificação biométrica:
 Verifica se o usuário é quem ele alega ser.
 O usuário coleta a biometria + sua identidade alegada.
 Busca fechada 1:1.
Biometria
 Identity Management (IdM) ou gerenciamento de identidade
 É um conceito que envolve autenticação, mapeamento de funções, controle de acesso, 
auditoria e relatórios de acessos de todos os ativos críticos de uma organização.
 Um IdM gerencia diversos recursos 
tecnológicos, como catraca, fechadura 
eletrônica, sistemas, software, redes 
e aplicações Single Sign-On (SSO).
Gerenciamento de Identidade e Acesso
Entrar
Nome de Usuário
Senha
Lembrar dados
Não recomendado para computadores
públicos
Ou conecte-se com
um destes serviços
Entrar
Entrar com o Google
Entrar com a Microsoft
Entrar com o Facebook
Entrar com o Twitter
Entrar com o Linkedin
Sign in with Discord
Esqueceu sua senha?
Fonte: Autoria própria.
Uma política de senha define os processos envolvidos na gestão das senhas:
 Quantidade de caracteres.
 Minúsculas.
 Números.
 Obrigatoriedade.
 Lembrar diversas senhas robustas, de diversas aplicações é uma tarefa complexa.
 Gerenciador de senhas.
 Armazena todas as senha em uma base criptografada por uma chave mestra.
Política de Senha
 É importante centralizar o controle de acesso dos usuários e grupos de um sistema.
Security Assertion Markup Language (SAML):
 Integra provedores de identidades e serviços web através de um do login único SSO.
Lightweight Directory Access Protocol (LDAP):
 Protocolo de identidade e serviço de diretório que integra diversos sistemas.
 Funciona sobre o TCP/IP.
Gerenciamento Centralizado de Usuários e Grupos
Lightweight Directory Access Protocol (LDAP):
 Organiza os dados de uma rede na forma de árvores hierárquicas de diretório.
A estrutura tem por base:
 Nome dos atributos.
 Valores de chaves.
 Classes de objetos.
Gerenciamento Centralizado de Usuários e Grupos
Fonte: Autoria própria.
Árvore de diretórios LDAP
Relative Distinguished Name (RDN)
(nome único relativo)
dc=plano, dc=br
ou=funcionáriosou=dispositivos
cn=josé silva
Atributos 
(tipos:valores):
cn: josé silva
objectClass: pessoa
sn: silva
fonte: 999-888-777dn: cn=josé silva, ou=funcionários, dc=plano, dc=br
 Há uma ligação entre os serviços de segurança de autenticação e controle de acesso.
 Ambos os serviços precisam estar integrados.
Role Based Access Control (RBAC):
 Categoriza os perfis para controle de acesso baseado em funções.
A ligação entre a Autenticação e o Controle de Acesso
Fonte: Autoria própria.
Administrador define
regras para usuários
específicos
Regras são
atribuídas aos
usuários
As regras
definem o nível
de permissão
Usuário
Usuário
Permissões são
autorizadas para
regras específicas
Role Based Access Control (RBAC):
 É um controle de acesso não discricionário proposto pela norma americana NIST.
Utiliza:
 Segregação de funções.
 O princípio do privilégio mínimo.
 O conceito need-to-know basis.
A ligação entre a Autenticação e o Controle de Acesso
Fonte: Autoria própria.
Administrador define
regras para usuários
específicos
Regras são
atribuídas aos
usuários
As regras
definem o nível
de permissão
Usuário
Usuário
Permissões são
autorizadas para
regras específicas
Marque a alternativa errada:
a) O princípio do privilégio mínimo diz que um sistema tenha um nível mínimo de segurança. 
b) Um IdM gerencia identidades.
c) O RBAC usa as funções para categorizar os perfis de controle de acesso.
d) O LDAP serve para organizar dados de forma hierárquica com rapidez.
e) Um processo AAA garante autenticação, autorização e auditoria.
Interatividade
Marque a alternativa errada:
a) O princípio do privilégio mínimo diz que um sistema tenha um nível mínimo de segurança. 
b) Um IdM gerencia identidades.
c) O RBAC usa as funções para categorizar os perfis de controle de acesso.
d) O LDAP serve para organizardados de forma hierárquica com rapidez.
e) Um processo AAA garante autenticação, autorização e auditoria.
Resposta
Ataques computacionais são baseados em:
 Acesso indevido.
 Uso indevido.
 Isso apenas denota como o controle de acesso é importante para a SI.
Ferramentas de controle de acesso podem ser divididas em duas fases:
 A fase de definição da política.
 A fase de imposição da política.
A Segregação de Ambientes como Ferramenta de Controle de Acesso
Fase de definição da política:
 É definido quem deve ter acesso a quais sistemas e/ou recursos.
 Uma política de acesso serve para organizar a criação de privilégios, diminuindo riscos.
Tem uma única etapa chamada autorização:
 Trata-se da identificação de quem pode acessar + o que pode ser acessado.
A Segregação de Ambientes como Ferramenta de Controle de Acesso
Fase de imposição da política:
 Os privilégios de acesso concedidos na autorização são confirmados ou revogados.
Tem três etapas:
1. Identificação
 Forma de identificação dos usuários (ID, nome, documento, número, código, etc.).
2. Autenticação
 Processo de autenticação que garante a veracidade da 
identificação de um usuário.
3. Responsabilização
 Registro e ligação das tarefas executadas com os 
usuários executantes.
A Segregação de Ambientes como Ferramenta de Controle de Acesso
A atribuição de acesso tem como base as quatro etapas citadas do controle de acesso:
 Autorização.
 Identificação.
 Autenticação.
 Responsabilização.
A Segregação de Ambientes como Ferramenta de Controle de Acesso
Fonte: Autoria própria.
Etapa 1: Autorização
Etapa 2:
Identificação
Etapa 3:
Autenticação
Etapa 4:
Responsabilização
Objetos
Políticas
de Acesso
Controlador
Banco de dados
Regras de Acesso
Monitor de
Referência
Logs
Usuário
Controles de acesso físicos:
 Controlam os acessos físicos em áreas restritas (condomínios, salas ou estádios).
 O controle pode ser automático ou manual.
Exemplo:
 Catracas (automático) ou agente de segurança na entrada de um ginásio (manual).
A Segregação de Ambientes como Ferramenta de Controle de Acesso
Controles de acesso físicos:
 Controles de acesso físico, como catracas, que controlam a entrada mediante a leitura de um 
cartão magnético ou por biometria, existem dois controles de segurança envolvidos:
 Autenticação.
 Controle de acesso.
A Segregação de Ambientes como Ferramenta de Controle de Acesso
Fonte: https://www.micromap.com.br/wp-content/uploads/2016/12/catraca-eletr%C3%B4nica3.jpg
Controles de acesso lógicos:
 São usados para o acesso a servidores, arquivos, pastas, áreas de armazenamento, nuvens 
ou redes, entre outros.
 Controles lógicos vão além da funcionalidade lógico-binária dos controles de acesso físicos, 
já que podem indicar outros tipos de acesso, como ler, modificar, criar, apagar e alterar 
atributos, entre outros.
A Segregação de Ambientes como Ferramenta de Controle de Acesso
Responsabilização:
Acompanhamento das atividades de usuários (sistemas também) para definir:
 Quem, quando, como e porque uma tarefa ou evento foi executado.
 Por atribuir privilégios e responsabilidades, a responsabilização deve ser auditável.
Utiliza os seguintes controles:
 Administrativo: normas gerenciais.
 Lógico/técnico: regras automatizadas por sistemas.
 Hardware: equipamentos que funcionam como controles.
 Software: sistemas que funcionam como controles.
 Físico: controles de acesso físico.
A Responsabilização em Ambientes de TI
Existem vários modelos de controle de acesso:
Controle de acesso não discricionário:
 São controles de monitoração do administrador de segurança.
Controle de acesso baseado em regra:
 Proprietário usa uma lista de regras com os nomes dos usuários com acesso a recursos.
Método de controle de acesso:
 Métodos para controle individual (regras) ou de grupos 
(funções) definidos no S.O.
 Padronização no registro de novos usuários.
 Revisão periódica de permissões.
Modelos de Controle de Acesso para Recursos Computacionais
 Existem vários modelos de controle de acesso
DAC x MAC:
Modelos de Controle de Acesso para Recursos Computacionais
DAC X MAC
Discretionary Access Control
(DAC)
Mandatory Access Control
(MAC)
O proprietário restringe o 
acesso ao recurso com base 
na identidade do usuário
Restringe o acesso a um recurso 
a partir de regras pré-definidas 
em um sistema
O proprietário define quem 
pode acessar com quais 
privilégios
O acesso do usuário depende do 
nível pré-determinado pelo 
sistema
Mais flexível Menos flexível
Menos seguro Mais seguro
Implementação mais simples Implementação mais complexa
Network Access Control (NAC):
 Fortalecem a segurança.
 Impedem dispositivos sem autorização 
de acessar a rede.
Controle e Gerenciamento de Usuários em Redes
Internet
Roteador
Controle de
Segurança
NAC
Vítima
Site legítimo
Rede local
Filtro SSL/TLS
Monitoramento
Roteamento
Balanceador
Controle de acesso
Relatórios
e Estatísticas
Apesar de possuir um sistema que registra muito bem os eventos de sucesso ou falha nos 
acessos e as atividades executadas, Gerson instalou um sistema de controle de acesso 
adicional, que funciona a partir de algumas regras predeterminadas. Para isso, precisou 
cadastrar todos os usuários. Em relação ao acesso ao sistema, os usuários agora estão 
limitados às suas funções. Em relação a essas medidas, marque a alternativa errada:
a) O controle de acesso é baseado em regras.
b) O controle de acesso é não discricionário.
c) Pelas informações do enunciado, pode-se dizer que o sistema é baseado na responsabilização.
d) Claramente, o NAC está sendo executado, enquanto 
o MAC não.
e) Gerson está baseando tudo em controles lógicos.
Interatividade
Apesar de possuir um sistema que registra muito bem os eventos de sucesso ou falha nos 
acessos e as atividades executadas, Gerson instalou um sistema de controle de acesso 
adicional, que funciona a partir de algumas regras predeterminadas. Para isso, precisou 
cadastrar todos os usuários. Em relação ao acesso ao sistema, os usuários agora estão 
limitados às suas funções. Em relação a essas medidas, marque a alternativa errada:
a) O controle de acesso é baseado em regras.
b) O controle de acesso é não discricionário.
c) Pelas informações do enunciado, pode-se dizer que o sistema é baseado na responsabilização.
d) Claramente, o NAC está sendo executado, enquanto 
o MAC não.
e) Gerson está baseando tudo em controles lógicos.
Resposta
 ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27005: 
Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da 
Informação, v. 18. Rio de Janeiro, 2008, 59p.
 ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 19011: 
Diretrizes para auditoria de sistemas de gestão, v. corrigida 2019. Rio de Janeiro, 2019, 53p.
 ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Normalização. Site ABNT. 
Disponível em http://www.abnt.org.br/normalizacao/o-que-e/o-que-e - acesso em 19 de julho 
de 2020.
 AKUNE, L. Y. Um sistema de prevenção de vazamento de dados de imagens baseado em 
aprendizado de máquina. Dissertação de mestrado - Engenharia da Computação - Instituto 
de pesquisas tecnológicas do Estado de São Paulo (IPT), São 
Paulo, Brasil, 2019.
 AVANCO, L.; et al.. An effective intrusion detection approach 
for jamming attacks on RFID systems. 2015 International
EURASIP Workshop on RFID Technology (EURFID), 
Rosenheim, 2015, pp. 73-80, doi: 
10.1109/EURFID.2015.7332388.
Referências
 BARROS FILHO, A. C. Processo e uso da Biometria de Comportamento na Autenticação 
Contínua em redes BYOD. Dissertação de mestrado - Engenharia da Computação - Instituto 
de pesquisas tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019.
 BENETON, E. Auditoria e controle de acesso. Editora Senac São Paulo, Edição do Kindle, 
2019, 177p.
 BOLLE, Ruud et al. 2004. Guide to biometrics.New York: Springer. 364p.
 CARVALHO, K. S. Uma proposta para automatização e continuidade de serviços em nuvens 
públicas. Dissertação de mestrado - Engenharia da Computação - Instituto de pesquisas 
tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2020.
 Danta, L. M. S. Método preventivo baseado em esquema de 
ranking e votação para detecção de intrusão em webservice. 
Dissertação de mestrado - Engenharia da Computação -
Instituto de Pesquisas Tecnológicas do Estado de São Paulo 
(IPT), São Paulo, Brasil, 2018.
Referências
 E. Pontes, A. E. Guelfi, S. T. Kofuji, A. A. A. Silva and A. E. Guelfi, Applying multi-correlation
for improving forecasting in cyber security, 2011 Sixth International Conference on Digital 
Information Management, Melbourn, QLD, 2011, pp. 179-186, doi: 
10.1109/ICDIM.2011.6093323.
 FERNANDES, J. H. C. Auditoria e Certificação de Segurança da Informação. Especialização 
em Ciência da Computação - Gestão da Segurança da Informação e Comunicações - UNB -
2008, 26 pp.
 FERREIRA, H. S. Identificação de anomalias geradas por sensores que usam variantes do 
protocolo LEACH. Dissertação de mestrado - Engenharia da Computação - Instituto de 
Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019.
 GREVE, F. et al. Blockchain e a Revolução do Consenso sob 
Demanda. Simpósio Brasileiro de Redes de Computadores e 
Sistemas Distribuídos. (SBRC) - Minicursos, 2018.
 HOWARD, M.; LEBLANC, D. Escrevendo Código Seguro: 
Estratégias e técnicas práticas para codificação segura de 
aplicativos em um mundo em rede. Bookman 2ª ed. Trad. 
Edson Furmankieni - Cz. Porto Alegre, 2005, 704p.
Referências
 KREPS, J. I Love Logs: Event Data, Stream Processing, and Data Integration. First Edition. 
ed. [S.l.]: O’Reilly Media, Inc, 2014. ISBN 9789351108641, 60p.
 MONTEIRO, G. B. Auditoria De Tecnologia da Informação na Administração Pública no 
Âmbito dos Municípios do Estado do Rio De Janeiro. Dissertação de Mestrado - EBAPE-GV. 
2008, 132 pp.
 NIST – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-30, 
Revision 1. Guide for Conducting Risk Assessments, EUA, 2012, 95p.
 NUNES, A. J. V. Governança da tecnologia da informação: 
uma análise das práticas de avaliação, direção e 
monitoramento utilizando o COBIT 5 na Universidade Federal 
Rural do Semi-Árido. Dissertação de Mestrado. Brasil, 
2019 223 pp.
 SAVINO, M. (Ed.). Risk Management in Environment, 
Production and Economy. BoD–Books on Demand, 
2011, 226p.
Referências
 SILVA, A. A. A.; GUELFI, A. E. Sistema para identificação de alertas falso positivos por meio 
de análise de correlacionamentos e alertas isolados. The 9th IEEE I2TS, 2010, 7p.
 SILVA, J. M. Uma arquitetura para processamento de fluxos contínuos de dados em 
sistemas de transações de cartões de crédito. Dissertação de mestrado - Engenharia da 
Computação - Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, 
Brasil, 2020.
 STALLINGS, W. Computer Security: Principles and Practice (7th Edition) - Pearson 
Education, 2017, 767p.
 TIA - TELECOMMUNICATIONS INDUSTRY ASSOCIATION. 
ANSI/EIA/TIA 942: Padrão de Infraestrutura de 
Telecomunicações, Arlington, EUA, 2005, 148p.
 VELHO, J. A. et al. Tratado de Computação Forense. 
Millenium, Campinas, Brasil, 2016, 610 p.
 WETHERALL, J.; TANENBAUM, A. S. Redes de 
Computadores. 5ª edição. Rio de Janeiro: Editora 
Campus, 2011.
Referências
ATÉ A PRÓXIMA!