Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
01/02/2013
01/02/2013
01/02/2013
Objetivos:
Conhecer Vulnerabilidades
Detectar Ameaas
Calcular os Riscos
J dissecamos os desafios associados segurana com superficialidade executiva. necessrios agora definir com mais detalhes alguns aspectos e conceitos slidos amplamente reconhecidos da segurana da informao.
01/02/2013
rea do conhecimento dedicada proteo de ativos de informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade.
Prtica de gesto de riscos de incidentes que impliquem no comprometimento dos trs principais conceitos da segurana:
Confidencialidade Integridade Disponibilidade da informao
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Confidencialidade
Toda informao deve ser protegida de acordo com o grau de sigilo do seu contedo, visando a limitao do seu acesso e uso apenas s pessoas que so destinadas
Integridade
Toda informao deve ser mantida na mesma condio que foi disponibilizada pelo seu proprietrio, visando proteg-la contra alteraes indevidas, intencionais ou acidentais
Disponibilidade
Toda informao gerada ou adquirida por um indivduo ou instituio deve estar disponvel aos seus usurios no momento em que os mesmos necessitem delas para qualquer finalidade
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
01/02/2013
O Modelo de Gesto Corporativo de Segurana da Informao empresta expresso um sentido mais amplo, considerando em primeiro plano os desafios do negcio como um todo. Diante desta abrangente orientao, ganham autonomia mais dois conceitos de segurana:
Autenticidade Legalidade
Autenticidade
Garantia de que as entidades (informao, mquinas, usurios) identificadas em um processo de comunicao com remetentes ou autores sejam exatamente o que dizem ser e que a mensagem ou informao no foi alterada aps o seu envio ou validao.
Legalidade
Caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou internacional vigentes.
01/02/2013
Logo, ao se utilizar este termo, deve-se ter conscincia desta ambiguidade, a fim de se identificar o conceito mais apropriado a ser absorvido. Por exemplo: Segurana como um meio
A segurana da informao visa garantir a confidencialidade, integridade e disponibilidade da informao, a impossibilidade de que agentes participantes em transaes ou na comunicao repudiem a autoria de suas mensagens, a conformidade com a legislao vigente e a continuidade dos negcios A segurana da informao alcanada por meio de prticas e polticas voltadas a uma adequada padronizao operacional e gerencial dos ativos, e processos que manipulem e executem a informao
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
01/02/2013
Ativo
Todo elemento que compe os processos que manipulam e processam a informao, a contar a prpria informao, o meio em que ela armazenada, os equipamentos em que ela manuseada, transportada e descartada. Nome oriundo da rea financeira
Elemento de valor para um indivduo ou organizao Necessita de proteo adequada
01/02/2013
Ativo
Exemplo de diviso e agrupamento de ativos:
Equipamentos Aplicaes Usurios Ambientes Informaes Processos
Possibilita identificar melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentando qualitativamente as atividades de segurana.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Auditoria
Processo de coleta de evidncias de uso dos recursos existentes, a fim de identificar as entidades envolvidas num processo de troca de informaes, ou seja, a origem, destino e meios de trfego de uma informao
Severidade
Gravidade do dano que um determinado ativo pode sofrer devido explorao de uma vulnerabilidade por qualquer ameaa aplicvel
01/02/2013
Relevncia do Ativo
Grau de importncia de um ativo para a operacionalizao de um processo de negcio
Criticidade
Gravidade referente ao impacto ao negcio causado pela ausncia de um ativo, pela perda ou reduo de suas funcionalidades em um processo de negcio, ou pelo seu uso indevido e no autorizado
Irretratabilidade
Caracterstica de informaes que possuem uma identificao do emissor que o autentica como o autor de informaes por ele enviadas e recebidas
10
01/02/2013
Fragilidade presente ou associada a ativos que manipulam e/ou processam informaes que, ao ser explorada por ameaas, permite a ocorrncia de um incidente de segurana.
Um ponto falho ou de fraqueza que pode ser explorado negativamente de forma proposital ou inadvertida. So os elementos que afetam negativamente um ou mais princpios da segurana da informao: confidencialidade, disponibilidade e integridade.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de segurana tomar medidas para proteo, evitando assim ataques e consequentemente perda de informao. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada junto a cada organizao ou ambiente em questo. Sempre se deve ter em mente O QUE precisa ser protegido e DE QUEM precisa ser protegido de acordo com as ameaas existentes.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
11
01/02/2013
Situao:
Grandes quantidades de dados armazenados em formato eletrnico: vulnerveis a muito mais tipos de ameaas. Sistemas de Informao formados por muitos componentes que podem estar situados em diversos locais. Mundo da computao em rede (Internet): acesso informao de qualquer lugar.
Exemplo inicial: Uma anlise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrio: a sala dos servidores no possui controle de acesso fsico!! Eis a vulnerabilidade detectada nesse ambiente.
12
01/02/2013
13
01/02/2013
1.
Vulnerabilidades Fsicas:
So aquelas presentes em ambientes onde se armazenam as informaes, como:
instalaes prediais fora do padro; CPDs mal planejados; disposio desorganizada de fios de energia e cabos de rede; ausncia de controle de acesso fsico, etc.
2.
Vulnerabilidades de Hardware:
Compreendem possveis defeitos de fabricao, erros de configurao ou falhas nos equipamentos.
Erros decorrentes da instalao, desgaste, obsolescncia ou m utilizao do equipamento.
importante observar detalhes como o dimensionamento adequado do equipamento, ou seja, se sua capacidade de armazenamento, processamento e velocidade esto compatveis com as necessidades, de modo a no sub ou super dimension-lo.
14
01/02/2013
3.
Vulnerabilidades de Software:
So possveis falhas de programao, erros de instalao e configurao, que podem, por exemplo, causar acesso indevido, vazamento de informaes, perda de dados, etc. Sistemas operacionais so altamente visados para ataque, pois atravs deles possvel ter acesso ao hardware do computador. Ataques como estes so de alta gravidade, e podem comprometer todo o sistema. Algumas empresas, ao identificarem alguma vulnerabilidade em seus softwares, lanam boletins informativos a fim de alertar os usurios, e normalmente disponibilizam pacotes de atualizao, denominados Service Packs, para correo desta vulnerabilidade.
4.
Vulnerabilidades de Armazenamento:
Relacionadas com a forma de utilizao das mdias (disquetes, CD-ROMs, fitas magnticas, discos rgidos dos servidores, etc.) em que esto armazenadas as informaes, como armazenamento de disquetes em local inadequado, etc.
15
01/02/2013
5.
Vulnerabilidades de Comunicao:
Relacionadas com o trfego de informaes, independente do meio de transmisso, podendo envolver ondas de rdio, satlite, fibra tica, etc.
Podem, por exemplo, permitir acesso no autorizado ou perda de dados durante a transmisso de uma informao.
A escolha do meio de transmisso e das medidas de segurana de suma importncia, pois a informao poder ser interceptada antes de chegar ao destino. Uma opo de segurana nesse contexto envolveria, por exemplo, o uso de criptografia.
6.
Vulnerabilidades Humanas:
Relacionadas aos danos que as pessoas podem causar s informaes e ao ambiente tecnolgico que as suporta, podendo ser intencionais ou no. Pode ocorrer devido a desconhecimentos das medidas de segurana, falta de capacitao para execuo da tarefa dentro dos princpios de segurana, compartilhamento de informaes confidenciais, erros e omisses, etc.
16
01/02/2013
7.
Vulnerabilidades Naturais:
Relacionadas aos danos naturais aos quais os computadores esto propensos a sofrer.
Tempestades Incndio falta de energia acmulo de poeira aumento da umidade e temperatura, etc.
17
01/02/2013
Vulnerabilidades no seriam um problema se no houvesse elementos capazes de explor-las, causando danos. Estes elementos so conhecidos como:
Ameaas
Definio:
Ameaa algo que pode provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade.
Agentes ou condies que causariam incidentes que comprometem os ativos, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negcios de uma organizao.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
18
01/02/2013
Em outras palavras, uma ameaa tudo aquilo que pode comprometer a segurana de um sistema. As ameaas podem ser:
Acidentais: falha de hardware, erros de programao, desastres
naturais, erros do usurio, bugs de software, uma ameaa secreta enviada a um endereo incorreto, etc.
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de causar dano a um recurso ou ativo.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
As ameaas so muitas das vezes consequncias das vulnerabilidades existentes. Seguindo o exemplo da sala dos servidores, poderamos identificar a ameaa da seguinte forma:
Fraudes Sabotagens Roubo de informaes Paralisao dos servios, etc.
19
01/02/2013
A ameaa a acesso no autorizado est ligada a controles de acesso inadequados. A ameaa de incndio est associada a vulnerabilidade da preveno contra incndio inadequada.
Vulnerabilidade X Ameaa Imagine o seguinte: Quando voc se sente ameaado, seja por qualquer tipo de fator ou circunstncia, voc no se sente necessariamente vulnervel. Mas quando voc se considera vulnervel a alguma situao ou momento, instintivamente voc se v, ou se acha ameaado. No uma regra, mas vale principalmente no contexto do que se diz respeito as informaes.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
20
01/02/2013
21
01/02/2013
22
01/02/2013
1.
Script Kiddie
No possui muita habilidade, mas teve a sorte de encontrar um sistema remoto que no aplicou o patch de correo a tempo. So bons na razo inversamente proporcional negligncia de administradores/usurios que no acompanham listas de segurana. Um invasor que faz intruso vinculada a uma falha conhecida.
1.
Script Kiddie
Sua tcnica consiste em ficar revirando a Internet atrs de mquinas vulnerveis e invadir utilizando ferramentas que permitam explorar as falhas em servios. Podem desenvolver suas prprias ferramentas. Existem os que no conhecem nenhuma tcnica, e tudo o que sabem executar as ferramentas fornecidas por outro Script Kiddie.
23
01/02/2013
2.
Hacker
So aqueles que utilizam seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vtimas, mas sim como um desafio s suas habilidades. Ganharam, junto opinio pblica influenciada pelos meios de comunicao, uma conotao negativa, que nem sempre corresponde realidade. Tem conhecimentos avanados de informtica e exploram falhas de segurana em sistemas de informao.
2.
Hacker
Eles invadem os sistemas, capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. Eles no tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento poder. Exmios programadores e conhecedores dos segredos que envolvem as redes e os computadores, eles geralmente no gostam de ser confundidos com crackers.
24
01/02/2013
3.
Hacker tico
Programador ou administrador que se reserva a questionar os problemas de segurana nas tecnologias disponveis e as formas de provar o conceito do que discutido. Se dedica a investigar a integridade e a segurana de uma rede ou sistema operacional. Usa o conhecimento avanado sobre software e hardware para entrar no sistema atravs de formas inovadoras.
3.
Hacker tico
Programador ou administrador que se reserva a questionar os problemas de segurana nas tecnologias disponveis e as formas de provar o conceito do que discutido. Se dedica a investigar a integridade e a segurana de uma rede ou sistema operacional. Usa o conhecimento avanado sobre software e hardware para entrar no sistema atravs de formas inovadoras.
25
01/02/2013
3.
Hacker tico
Compartilha seu conhecimento gratuitamente atravs da Internet . No usa de ms intenes. Tenta oferecer um servio comunidade interessada.
4.
Cracker
um hacker que usa seus conhecimentos para quebrar sistemas de segurana, danificar os dados acessados e/ou obter vantagens ilcitas. Normalmente uma ameaa e gera prejuzos. Tambm uma denominao utilizada para aqueles que decifram cdigos e destroem protees de software.
26
01/02/2013
4.
Cracker
Um invasor de bons conhecimentos tcnicos e assim sendo, ele ser capaz de apagar seus rastros de maneira mais sutil. Se caracteriza pelo alto nvel tcnico, na medida em que cada passo da invaso realmente estudado e bem pensado. Busca dados como configuraes padres ou senhas padres que ele possa explorar. Realiza ataques inteligentes para comprometer a segurana da rede.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
27
01/02/2013
Spoofing (Disfarce)
Envolve o redirecionamento de um link para um endereo diferente do desejado, estando o site esprio disfarado como o destino pretendido. Phishing: montar sites falsos ou enviar mensagens de email parecidas com as enviadas por destinatrios legtimos, a fim de pedir aos usurios dados pessoais confidenciais.
Evil Twins: redes sem fio falsas, similares s verdadeiras. Pharming: redireciona usurios pginas Web falsas, mesmo quando o endereo correto digitado.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Sniffer (Farejador)
Programa espio que monitora as informaes transmitidas por uma rede. Permitem o roubo de informaes de qualquer parte da rede.
Mensagens de e-mail Arquivos da empresa Relatrios confidenciais
28
01/02/2013
29
01/02/2013
1.
Vrus
So pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
30
01/02/2013
2.
Worms So programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Os Worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos. Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas, etc). No necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores.
3.
Bots
De modo similar ao Worm, um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de software instalado em um computador. Adicionalmente ao Worm, dispe de mecanismos de comunicao com o invasor, permitindo que o Bot seja controlado remotamente.
31
01/02/2013
4.
5.
Spyware
Programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros.
32
01/02/2013
6.
Keylogger
Tipo de malware que capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails).
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
7.
Screenlogger
Forma avanada de keylogger, capaz de armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou armazenar a regio que circunda a posio onde o mouse clicado.
33
01/02/2013
Incidente:
Fato ou evento decorrente de ao de uma ameaa, que explora uma ou mais vulnerabilidades, levando perda de princpios da segurana da informao. Gera impactos aos processos de negcio da empresa, devendo ser evitado. A gravidade de um incidente pode ser analisada em termos qualitativos e quantitativos, sendo medida pelo seu impacto.
Impacto:
Resultados indesejados da ocorrncia de uma ameaa contra um bem, que resulta em perda mensurvel para uma organizao. Abrangncia dos danos causados por um incidente de segurana por um ou mais processos de negcio. Quase todo risco tem um impacto, embora de difcil previso.
34
01/02/2013
Definio:
Risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios.
Smola (2003)
Risco a medida da exposio qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante desse ataque. Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo da informao. Assim pode-se entender como risco tudo aquilo que traz danos s informaes e com isso promove perdas para a organizao.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
35
01/02/2013
O risco medido pela probabilidade de uma ameaa acontecer e o dano potencial empresa. Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de ALTO RISCO.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Moreira (2001)
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
36
01/02/2013
Anlise de riscos:
uma medida que busca rastrear vulnerabilidades nos ativos que possam ser explorados por ameaas. Pode ser realizada em vrios mbitos: tecnolgico, humano e fsico. Todos devem ser considerados, pois a segurana deve ser implantada visando a correo de todo o ambiente. Se um desses ambientes no for considerado, poder deixar vulnerabilidades crticas.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
37
01/02/2013
Anlise de riscos:
Anlise de riscos:
Contudo, alguns negcios, independente de seus segmentos de mercado, podem possui dezenas, talvez centenas de variveis que se relacionam direta e indiretamente com a definio do seu nvel de risco. Identificar estas variveis passa a ser a primeira etapa do desafio.
38
01/02/2013
Anlise de riscos:
Por melhor que estejam protegidos os ativos, novas tecnologias, mudanas organizacionais e novos processos de negcio podem criar vulnerabilidades ou identificar e chamar a ateno para as j existentes. Alm disso, novas ameaas podem surgir e aumentar significativamente a possibilidade de impactos ao negcio. Sendo assim, medidas corretivas de segurana precisam ser consideradas, pois sempre haver a possibilidade de um incidente ocorrer, por mais que tenhamos tomado todas as medidas preventivas adequadas.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Anlise de riscos:
Outra proposta para a equao de risco de segurana da informao poderia ser:
39
01/02/2013
O que so?
Buscam:
40
01/02/2013
1.
Caractersticas: Preventivas: Tem como objetivo evitar que incidentes venham a ocorrer. Visam manter a segurana j implementada por meio de mecanismos que estabeleam a conduta e a tica da segurana a instituio.
Exemplos:
Polticas de segurana Instrues e procedimentos de trabalho Ferramentas para implementao da poltica de segurana
Caractersticas: Detectveis: Identificar condies ou indivduos causadores de ameaas, a fim, de evitar que as mesmas explorem vulnerabilidades. Exemplos
2.
41
01/02/2013
Caractersticas: Corretivas: aes voltadas correo de uma estrutura tecnolgica e humana para que as mesmas se adaptem s condies de segurana estabelecidas pela instituio. Exemplos
3.
Equipes para emergncias Restaurao de backup Plano de continuidade operacional Plano de recuperao de desastres
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Muitas medidas de segurana podem se encaixar em mais de uma caracterstica: Ex.: Plano de continuidade de negcios
Ao preventiva (criao) Ao corretiva (utilizao)
Logo, esta categorizao serve apenas para a identificao do foco que o trabalho de segurana est se propondo, quando o mesmo est sendo realizado.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
42
01/02/2013
Baseada na estratgia militar de segmentar os ambientes fsicos para adotar as medidas de defesa adequadas a cada um Aplicvel ao ambiente de segurana das empresas, contudo, extrapolando a segmentao tambm para ambientes lgicos
Exemplo: Acessos Internet e sistemas segmentados por departamentos
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Para garantir melhor retorno dos mecanismos que garantam os nveis de proteo da informao importante se pensar na segmentao inteligente dos ativos.
Assim possvel se aplicar os controles adequados, cada um oferecendo um nvel previamente dosado de proteo.
43
01/02/2013
Cumpre importante papel de alerta e de mecanismo de resistncia distribudo por reas Visa permitir que tentativas de acesso indevido e invaso gerem sinais de alerta e se deparem com a resistncia que propiciar tempo para que as medidas contingenciais sejam tomadas antes da ao avanar ainda mais em direo ao alvo
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
44
01/02/2013
Devido amplitude e complexidade do papel da segurana, comum estudarmos os seus desafios em camadas ou fases, dividindo o trabalho para melhor o conquistarmos! A esta diviso damos o nome de Barreiras de Segurana. As barreiras de segurana tm como principal objetivo reduzir os riscos, e so dimensionadas adequadamente para proporcionar a mais perfeita interao e integrao como se fossem peas de um quebra-cabea.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
45
01/02/2013
O modelo de barreiras de segurana implementa a teoria do permetro, segmentando permetros fsicos ou lgicos, e oferecendo nveis de resistncia e proteo complementares e crescentes
46
01/02/2013
Primeira das barreiras e cumpre o papel importante de desencorajar as ameaas. As ameaas podem ser desmotivadas ou perder o estmulo por efeito de mecanismos fsicos, tecnolgicos ou humanos. Exemplos
Presena de cmeras de vdeo Aviso de existncia de alarmes Campanhas de divulgao da Poltica de Segurana Treinamento dos funcionrios informando as prticas de auditoria e monitoramento de acesso aos sistemas
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
O papel desta barreira complementar anterior atravs da adoo efetiva dos controles que iro dificultar o acesso indevido Exemplos
Dispositivos de autenticao para acesso fsico
Roletas Detectores de metal Alarmes
Ou acesso lgico
47
01/02/2013
Adiciona soluo de segurana dispositivos que sinalizem, alertem e instrumentem os gestores da segurana na deteco de situaes de risco
Tentativas de invaso, contaminao por vrus, descumprimento da Poltica de Segurana, cpia e envio de informaes sigilosas de forma inadequada
Exemplos
Sistemas de monitoramento e auditoria para auxiliar na identificao de atitudes de exposio, como o antivrus e o sistema de deteco de intrusos
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
48
01/02/2013
Impede que a ameaa atinja os alvos que suportam o negcio. O acionamento desta barreira, ativando seus mecanismos de controle, um sinal de que as barreiras anteriores no foram suficientes para conter a ao da ameaa Exemplos
Medidas de deteno
Aes administrativa e punitivas Bloqueio de acessos fsicos e lgicos, respectivamente a ambientes e sistemas
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Apesar de ser a ltima barreira do diagrama, esta fase representa continuidade do processo de gesto de segurana da informao. Elo de ligao com a primeira barreira, criando um movimento cclico e contnuo. Barreira de maior importncia
Anlise de riscos (aspectos fsicos, tecnolgicos e humanos) Diagnstico mal feito pode ocasionar muitas falhas de segurana e impedir ou dificultar o ROI.
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
49
01/02/2013
Ter instalado, em seu computador e no da empresa, um programa antivrus capaz de detectar a presena de Malware em e-mails ou arquivos do computador.
Os antivrus so programas de computador capazes de reconhecer diversos cdigos computacionais maliciosos, impedir seu funcionamento, retir-los do sistema e em diversos casos, desfazer o mal feito ocasionado pelos mesmos.
No executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas (caso seja necessrio abrir o arquivo, certifique-se de que ele foi verificado pelo programa antivrus).
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Procurar utilizar na elaborao de documentos formatos menos suscetveis propagao de vrus, tais como RTF, ou PDF, dentre outros; No abrir arquivos anexos a e-mails de pessoas que voc no conhece e cuidado ao arquivos anexos a e-mails de pessoas que voc conhece.
Os Worms atuais atacam um computador e usam a sua listagem de endereos para mandar um e-mail para cada pessoa da lista como se fosse o dono do computador
50
01/02/2013
Evitar utilizao de software piratas. Desconfiar de arquivos com duplas-extenses (ex: .txt.exe ou jpg.vbs). Evitar troca de dados com computadores pblicos (Ex: lan house). Manter uma rotina eficiente de cpia dos dados armazenados (backup).
CEA 463 Segurana e Auditoria de Sistemas
PROF. MATEUS FERREIRA SATLER
Laudon, K. C., & Laudon, J. P. (2005). Sistemas de informao gerenciais: administrando a empresa digital: Pearson Prentice Hall. Ramos, A.; Bastos, A.; Layra, A. (2006). Guia oficial para formao de gestores em segurana da informao. 1. ed. Rio Grande do Sul: ZOUK. Smola, M. (2003). Gesto da segurana da informao. 2 ed. So Paulo: Campus Elsevier. Turban, E., Rainer, R. K., & Potter, R. E. (2005). Administrao de tecnologia da informao: teoria e prtica: Campus.
51