Os#referenciais#de#segurança#da#informação#e#a# melhoria#contínua:#um#caso#exploratório#

Tamanho: px
Começar a partir da página:

Download "Os#referenciais#de#segurança#da#informação#e#a# melhoria#contínua:#um#caso#exploratório#"

Transcrição

1

2 Os#referenciais#de#segurança#da#informação#e#a# melhoria#contínua:#um#caso#exploratório# ## André#Filipe#Ferreira#Torres## Dissertação#para#obtenção#do#Grau#de#Mestre#em# Engenharia#Informática,#Área#de#Especialização#em# Arquiteturas,#Sistemas#e#Redes## Orientador:#Doutor#António#Manuel#Cardoso#da#Costa# CoLorientador:#Eng.#José#Luís#da#Rocha#Sousa## Júri: Presidente: DoutorLuísMiguelMoreiraLinoFerreira Vogais: DoutorNunoAlexandreMagalhãesPereira DoutorAntónioManuelCardosodaCosta Porto,Outubro2014

3 ii

4 Dedicatória# Aos meus pais e à Sofia # # iii

5 iv

6 Resumo# Pensar asegurançanummundoemconstantemudançaetecnologicamenteenraizado cria desafios constantes. Mais ainda quando este aspeto é o fator central no desempenho das tecnologias nas organizações e o seu suporte ao desenvolvimento e evolução, que são capazes de sustentar sistemas complexos em diferentes áreas de atuação como a energia, transportes,finançaspassandotambémpelainvestigação. Sendo o setor da investigação e ensino um gerador e consumidor de grandes volumes de dados,éfundamentalgarantirapreservaçãodasegurançadainformaçãoqueassentasobre ospilaresdaconfidencialidade,integridadeedisponibilidade. Práticas e políticas para a gestão da segurança da informação têm sido desenvolvidas de modo a proporcionar às organizações um nível adequado para a gestão de segurança da informação. De igual modo, é importante que as organizações e os seus elementos constituintessejamsensibilizadosparaestetema. Nestadissertação,pretendeTseavaliarasdiferentesnormasparaasegurançadeinformaçãoe auditar uma organização, neste caso uma instituição de investigação na área da saúde, avaliandoosseuspontosfortesefracoseimplementandosoluçõescapazesdeosresolverou minimizar. Com este trabalho concluiutse que a segurança da informação assenta sobretudo nos processosepessoasenãonastecnologias.aauditoriarealizada,aavaliaçãodosprocessosea consciencialização das pessoas contribuíram para a implementação de uma cultura de segurançanaorganização. # PalavrasLchave:Segurançadainformação,auditoria,gestãodorisco,tecnologiasde informação,segurançadeoperações v

7 vi

8 Abstract# Thinking about security in a changing world and technologically pervasive creates constant challenges. Especially when this aspect is the central factor in the performance of technologiesinorganizationsandtheirsupporttothedevelopmentandevolution,whichare capableofsupportingcomplexsystemsindifferentareassuchasenergy,transport,finance, alsopassingthroughtheresearch. Sinceresearchandteachingsectorsareproducersandconsumersoflargeamountsofdata,is crutial to ensure the preservation of information security, based on the pillars of confidentiality,integrityandavailability. Practicesandpoliciesforthemanagementofsecurityinformationhavebeendeveloped to provideanadequatelevelofinformationsecuritymanagementtoorganizations.similarly,itis importantthatorganizationsandtheirconstituentsaremadeawareofthistopic. Inthisdissertation,weintendtoevaluatethedifferentstandardsforinformationsecurityand audit an organization, in this case a research institution in health, assessing their strengths andweaknessesandimplementingsolutionsabletosolveorminimizethem. Thisstudyconcludedthatinformationsecurityisprimarilybasedonprocessesandpeopleand notthetechnology.theaudit,evaluationprocessesandawarenessofpeoplecontributedto theimplementationofasafetycultureintheorganization. Keywords:Informationsecurity,auditing,riskmanagement,informationtechnology, operationssecurity vii

9 viii

10 Agradecimentos# Gostaria de agradecer ao meu orientador Doutor António Cardoso Costa pelo contributo e disponibilidadeparaestedesafio. AoLaboratórioAssociadoIBMCTINEB,emespecialaoEng.JoséLuísSousaeaoscolegasde departamentopeloapoioepelapossibilidadedepoderrealizarestetrabalho. ix

11 x

12 Índice# # 1 Introdução Enquadramento Objetivos Estrutura da tese Contexto Estado da arte Segurança informática e da informação Panorama atual Tipos de ameaças Riscos, ameaças e vulnerabilidades Ameaças à segurança da informação Risco de segurança em aplicações OWASP Top Fator humano Legislação nacional Enquadramento legal Lei da proteção de dados pessoais Lei do cibercrime Leis da proteção jurídica de programas de computador Lei das comunicações eletrónicas Lei da proteção da privacidade no setor das comunicações eletrónicas Padrões ITIL Cobit SOX PCI DSS Common Criteria ISF OSSTMM ITSEC ISO ISO OWASP ASVS Standard Situação atual Auditoria Metodologia ISO/IEC 27001:2013 Objetivos de controlo OWASP ASVS Análise de resultados ISO xi

13 4.2.4 Análise de resultados OWASP ASVS Análise de risco Análise de risco quantitativa Análise de risco qualitativa Resultados à analise de risco qualitativa Implementação da solução Resultados OWASP ASVS Resultados ISO Resultados Análise de risco Discussão de resultados Metodologias organizacionais e tecnológicas Conclusões Trabalho futuro Referências xii

14 # # # # # # # xiii

15 Lista#de#Figuras# Figura1 Relaçãoentreconfidencialidade,integridadeedisponibilidaderetiradode [Pfleegeer,C.ePfleeger,S.,2006]...8 Figura2TUtilizadoresdaInternetporcada100habitantes,retiradode[Wikipedia,2014]...10 Figura3 Perdasdereceitasonlinedevidoafraudeinformática.Retiradode[NetTSecurity, 2012]...11 Figura4 Motivaçõesdosataques.Retiradode[Santos,J.,2011]...11 Figura5 Fatoresquerepresentamaameaça...13 Figura6TDefiniçãoderisco,deacordocomaENISA...13 Figura7TDefiniçãoderisco,deacordocomaISO Figura8TAsquatrodimensõesdaameaçaadaptadode[Loch,K.D.,Carr,H.H.eWarkentin, M.E.,1992]...14 Figura9TProcessodeumataquedotipoSQLInjectionretiradode[HalfondeOrso,2005]...16 Figura10TProcessodeconsultaLDAPretiradode[Veracode,2013]...20 Figura11 DiagramadesequênciadeumataqueXSSretiradode[Acunetix,2013]...23 Figura12 ProcessodeataquedotipoCSRFretiradode[Citrix,2010]...26 Figura13 Origemdosataquesretiradode[Verizon,2013]...27 Figura14TExemplodeumataquedephishingretiradode[Gartner,2010]...28 Figura15 Gráficorepresentativodasprioridadesdasorganizaçõesnoquedizrespeitoà consciencializaçãodosfuncionáriosnasquestõesdasegurançadainformação[ernst&young, 2013]...29 Figura16TProcessoITILretiradode[Portalgsti,2013]...34 Figura17TCubodeCOBITretiradode[SM3G,2013]...35 Figura18TOsníveisdeverificaçãodoOWASPASVSretiradode[OWASP,2009]...42 Figura19 Representaçãodoníveldeverificaçõesnonível1retiradode[OWASP,2009]...43 Figura20TRepresentaçãodoníveldeverificaçõesnonível2retiradode[OWASP,2009]...44 Figura21TRepresentaçãodoníveldeverificaçõesnonível3retiradode[OWASP,2009]...45 Figura22TRepresentaçãodoníveldeverificaçõesnonível3retiradode[OWASP,2009]...46 Figura23 ResultadosporsecçãodaauditoriausandoanormaISO Figura24TResultadosdaimplementaçãodanormaISO

16 # # # # # # # # xv

17 Lista#de#Tabelas# Tabela1 Exemplosdeameaçasàsegurançadainformação...14 Tabela2TPontosdecontrolodanormaISO Tabela3 Níveisdeclassificação...48 Tabela4TComentáriosaocontrolopolíticadesegurançadainformação...48 Tabela5TComentáriosaocontrolodaorganizaçãodasegurançadainformação...48 Tabela6TComentáriosaocontrolodasegurançanosrecursoshumanos...49 Tabela7TComentáriosaocontrolodagestãodosativos...49 Tabela8TComentáriosaopontodecontrolosdeacesso...50 Tabela9TComentáriosaocontrolodacriptografia...51 Tabela10TComentáriosaocontrolodasegurançafísicaedoambiente...51 Tabela11TComentáriosaocontrolodasegurançanasoperações...52 Tabela12TComentáriosaocontrolodasegurançanascomunicações...52 Tabela13TComentáriosaocontrolodaaquisição,desenvolvimentoemanutençãode sistemas...53 Tabela14TComentáriosaocontrolodasrelaçõescomosfornecedores...53 Tabela15TComentáriosaocontrologestãodeincidentesdesegurançadainformação...54 Tabela16TComentáriosaocontroloaspetosdasegurançadainformaçãonagestãoda continuidadedonegócio...54 Tabela17TComentáriosaocontrolodaconformidade...54 Tabela18TNúmerodeocorrênciasnonível1AdoOWASPASVS...56 Tabela19TNíveldeclassificaçãodaanálisequalitativaparaasameaças...60 Tabela20 Resultadosdaanálisederiscoqualitativa...60 Tabela21TResultadosdascorreçõesdasvulnerabilidadesencontradasusandoomodelode verificaçãoowaspasvs...62

18 # # # # # # # # xvii

19 Acrónimos#e#Símbolos# Lista#de#Acrónimos## AD#LDS ADAM Lightweight(Directory(Services Active(Directory(Application(Mode ASVS Application(Security(Verification blon BibliotecadoConhecimentoNnline BSI British(Standards(Institute( BYOD( ( Cobit Bring(Your(Own(Device Common(Objectives(for(Information(and(related(Technology CSRF CrossDSite(Request(Forgery DOM ENISA( ( HTML HTTP Document(Object(Model( European(Union(Agency(for(Network(and(Information(Security( HyperText(Markup(Language Hypertext(Transfer(Protocol I 3 S Consórciodeinvestigaçãoemsaúde IBM International(Business(Machines IBMC InstitutodeBiologiaMoleculareCelular IEC International(Electrotechnical(Commission( INEB IPATIMUP ISACA InstitutodeEngenhariaBiomédica InstitutodePatologiaeImunologiaMoleculardaUniversidadedoPorto Information(Systems(Audit(and(Control(Association ISF Information(Security(Forum ISMS Information(Security(Management(System ISO International(Organization(for(Standardization( ITIL Information(Technology(Infrastructure(Library

20 ITSEC Information(Technology(Security(Evaluation(Criteria LDAP Lightweight(Directory(Access(Protocol NIST National(Institute(of(Standards(and(Technology OML Open(Methodology(License OSSTMM OWASP PCI#DSS Open(Source(Security(Testing(Methodology(Manual( Open(Web(Application(Security(Project Payment(Card(Industry( (Data(Security(Standard( RCTS( ( RedeCiência,TecnologiaeSociedade SOX SarbanesDOxley SQL# Structured(Query(Language( TI TecnologiasdeInformação TIC TecnologiasdeInformaçãoeComunicação URL Uniform(Resource(Locator( XHTML## Extensible(Hypertext(Markup(Language# XML( ( Extensible(Markup(Language XSS# CrossTSiteScripting # # ( # # xix

21 # # xx

22 1 Introdução# 1.1 Enquadramento# Desde o início do desenvolvimento da digitalização das empresas que a segurança da sua informação tem constituído um problema, sobretudo quando essa informação tornatse fundamental para a manutenção do funcionamento organizacional. A abordagem a essa segurança tem variado entre a nossa informação não é suficientemente interessante para quealguémaqueira ou todaanossainformaçãoéimportante.acresceaindaacapacidade instalada de os sistemas tecnológicos e de comunicação se terem transformado numa arquitetura completamente ubíqua. A componente social sofreu também nos últimos anos um incremento fundamental na aceitação da incorporação tecnológica no diatatdia com a perceção de que essa introdução aumenta a qualidade dos processos de negócios num mundocadavezmaisglobalizadoemaisdesafiador. Para além dos meios tradicionais de fluxo da informação corporativa, a Internet emergiu comoumnovoefundamentalelementodossistemasdeinformaçãoglobais,sendoadotado de forma massiva pelos utilizadores, transformando de forma radical o desenvolvimento organizacional.hojeemdiatodasasorganizaçõestêmdealgumaformaumacessoweb.isto permiteumnovopontodecontactonatrocadeinformaçãoedeligaçãodedispositivos. Estesfactoresentreoutroscontribuíramparaumaculturaorganizacionalquesecaracteriza nãoapenasporumambientetecnologicamenteintegradomastambémcomnecessidadede tornaracessíveloacessodoutilizadoraferramentasqueconsiderafundamentais.ocentro de decisão da plataforma tecnológica organizacional neste ambiente ubíquo movetse abruptamentetendocomocentrodedecisãooutilizador. PodeTse definir esta sociedade como sendo uma nova forma de organização social, proporcionada pelas novas características da informação cara de produzir, mas de reprodução muito barata, graças ao enorme desenvolvimento das TIC. Esta característica repassa toda a sociedade, reclamando novos modos de expressão da cidadania, da relação 1

23 interpessoal e interinstitucional, da expressão cultural e, naturalmente, da organização económicaedogoverno.[silva,j.a.d.,2001] Esteparadigmafazcomqueaquantidadededadosgeradoshojeemdiasejaenorme,eque paralelamente, o número de ameaças e a sua complexidade também têm vindo a crescer, tornandotse assim essencial a implementação de mecanismos capazes de assegurar a segurança da informação e dos meios que a transmitem ou a armazenam. Para combater essasameaçasgovernoseorganizaçõestêmvindoacriarlegislaçõesepadrõesparaassegurar a gestão da segurança da informação. Neste ambiente, a segurança da informação é um elementofundamentaleasuacorretaimplementaçãotemdeserumaferramentanoapoioà relação do utilizador com a organização, passando pelos departamentos de sistemas de informação. 1.2 Objetivos# Neste documento pretendetse aprofundar e aplicar conceitos no âmbito da segurança informáticaedainformaçãonoseiodeumaorganização,nestecasoolaboratórioassociado doinstitutodebiologiamolecularecelulareinstitutodeengenhariabiomédica.osprincipais objetivosdesenvolvidosnestetrabalhosão: Auditaraspolíticaseprocessosdaorganização; Identificarosriscos,ameaçasevulnerabilidadesdaorganização; Estudarospadrõesdagestãodasegurançadainformaçãoparafuturaaplicabilidade; Sensibilizar os funcionários da organização para a importância da segurança da informação. 1.3 Estrutura#da#tese# Opresentedocumentoestáorganizadoemsetecapítulos: No primeiro capítulo é feita uma abordagem geral à importância da segurança informáticaedainformação; O capítulo 2 faz uma contextualização do problema, explicando o ecossistema da organizaçãoefazendoumaantevisãodasolução; No capítulo 3 revêmtse as temáticas da segurança da informação e da segurança informática.sãoapresentadasasameaças,riscosevulnerabilidadesmaiscomunseé mostrada a importância do fator humano no que diz respeito a assegurar a confidencialidade,integridadeedisponibilidade.incluiumlevantamentodalegislação nacional para a cibercriminalidade. Por último é apresentado um estudo sobre frameworksexistentesparaagestãodasegurançadainformação.; Nocapítulo4sãoapresentadososresultadosdaauditoriaaosrecursoseprocessosda organização.foifeitatambémumaanálisederisco; 2

24 Nocapítulo5sãomostradososresultadosdaimplementaçãodasolução; Nosextocapítulosãoapresentadasasconclusõeseotrabalhofuturo. 3

25 4

26 2 Contexto# A massificação das tecnologias de informação referida no capítulo anterior, estão intimamente ligadas aos avanços da investigação científica. Permitiu às instituições de investigação e seus elementos constituintes acederem e partilharem fontes de informação necessáriasparanovasdescobertascientíficas. O Laboratório Associado IBMCTINEB, doravante chamado LA IBMCTINEB, é uma parceria do Instituto de Biologia Molecular e Celular e do Instituto de Engenharia Biomédica. É uma instituiçãodeinvestigaçãoeensinonasáreasdasciênciasdavida,saúdeebiomedicina.ola IBMCTINEBcontaatualmentecommaisde600colaboradores cercade500investigadorese 100 técnicos. Em termos de organização o LA IBMCTINEB é composto por 56 grupos de investigação divididos por 6 divisões: Infeção e Imunidade, Biologia Molecular e Celular, Neurociências,Biomateriais,SinaleImagemBiomédicaegruposassociados.12serviçosde apoioàinvestigaçãoe14gruposdeserviçosadministrativossuportamtambémestaestrutura. A incorporação das novas tecnologias da informação no LA IBMCTINEB ofereceu novas oportunidades, novos modelos de negócio e um conjunto de vantagens competitivas associadas,permitindomelhoriasdeeficiênciaedeintegraçãoentreosdiferentessistemas. O que alguns autores chamam de sociedade da informação [Toffler, A., 1980] traduztse no bemmaisprecioso,ainformação.essainformaçãoestápresenteemtodooprocessodocore( businessdainstituição,queéadefazerinvestigação.todavia,instituiçõesdestetipotambém dependem de outras unidades capazes de assegurar o bom funcionamento e até mesmo asseguraracompetitividadedainstituição.éexemplodissoodepartamentodesistemasde Informação, que é responsável pelo desenvolvimento, implementação e gestão de um conjunto de tecnologias para a comunidade do LA IBMCTINEB, desde o Departamento AdministrativoTFinanceiro ao apoio dos grupos de investigação. É neste contexto de diversidade, competitividade, inovação, mudança e crescimento contínuo que emergem novos riscos que ameaçam um dos ativos mais valiosos para os processos do negócio a informação. 5

27 Ostiposdeameaçasàinformaçãoassentamsobre3pilares:confidencialidade,integridadee disponibilidade e dado que neste caso se trata de uma instituição de investigação as motivaçõesquepoderãolevaràviolaçãodestestrêspilarespoderãopassarpelaespionagem organizacionalcomoobjetivodecriaçãodepatentes,passandoporgruposdedefesaanimal contraaexperimentaçãoanimal. TornaTse necessário dotar a organização de soluções capazes de responder a este tipo de ameaças.assoluçõespoderãopassarporimplementaçãooudesenvolvimentodetecnologias, aplicaçãodenormasdesegurança,desenvolvimentodeumplanodesegurança,criaçãode procedimentosparageririncidentes,especializaçãodoscolaboradoresdodepartamentode sistemas de informação, adoção de normas de disponibilização e serviços com controlo de qualidadeesensibilizaçãodosutilizadoresparaasquestõesdasegurançainformática.como forma de proteger a organização das ameaças, quer interna quer externas, adotartsetá a implementaçãodeumconjuntodenormasparaagestãodasegurançadainformação,que servirátambémcomomodelodereferênciaparaofuturoconsórciodeinvestigaçãoemsaúde I 3 S,quecorrespondeàjunçãodosinstitutosdeinvestigaçãoIBMC,INEBeIPATIMUP. 6

28 3 Estado#da#arte# 3.1 Segurança#informática#e#da#informação# Quandosetratadesegurançadainformaçãoesegurançainformáticaexistealgumaconfusão nasuacorretadefinição,apesardeseremcomplementares,estastêmobjetivosdiferentes.a segurança informática é responsável pela proteção dos sistemas informáticos onde a informaçãoénormalmenteguardadaoutransmitida.anormainternacionaliso/iec13335t1 de 2004 define segurança informática como sendo um termo relacionado com a implementação e manutenção da confidencialidade, integridade, disponibilidade, irrefutabilidade,responsabilidade,autenticidadeeconfiabilidadedosrecursosdainformação. Jáasegurançadainformaçãonãosetratadeumprodutooutecnologia,massimumprocesso [Kevin, M., Williams, S. and Steve, W., 2002] mais abrangente que, para além de ser responsável pela proteção da informação armazenada digitalmente em computadores é tambémresponsávelpelainformaçãoguardadadediferentesformaseatravésdediferentes canais,porexemplodocumentosimpressosouescritos.anormainternacionaliso/iec27002 definetacomosendoapreservaçãodaconfidencialidade,integridadeedisponibilidade. Diferentesautoresdefinemaexpressão SegurançadaInformação deformastambémelas diferentes. [Sêmola, M., 2003] define segurança da informação como uma área do conhecimentodedicadaàproteçãodeativosdainformaçãocontraacessosnãoautorizados, alteraçõesindevidasousuaindisponibilidade.porsuavez,[mitrović,p.,2005],defendequea segurançadainformaçãoéumtermoquedescreveanecessidadedeprotegerasinformações combasenofactodequeainformaçãoéclassificadacomoumativovalioso.para[anderson, R.,2008],asegurançadainformaçãoésobrepoder.TrataTsededeterminarquemserácapaz deconceder(ounegar)ousodeumrecurso.já[whitman,m.,mattord,h.,2011]consideram a segurança da informação como sendo a proteção das informações e dos seus elementos essenciais,incluindoossistemasehardwarequeusa,armazenaetransmiteessainformação. Como referido anteriormente e também defendido por [Harris, S., 2005], a segurança da informaçãoassentaemtrêspilares: 7

29 Confidencialidade Garantirqueainformaçãonãoédisponibilizadaouacedidapor pessoasouentidadessemautorização; IntegridadeTProtegerinformações,incluindoprogramas,backups,temposdecriação do arquivo, documentação sejam excluídas ou alteradas sem a permissão do proprietáriodasinformações; Disponibilidade T Assegurar que os serviços não são degradados ou ficam indisponíveissemautorização. Figura1 Relaçãoentreconfidencialidade,integridadeedisponibilidaderetiradode[Pfleegeer,C.e Pfleeger,S.,2006] DesdeoprimórdiodacivilizaçãoqueoHomemdemonstravapreocupaçõesnasquestõesda segurança da informação. Essas preocupações podem ser encontradas desde o império romanoondeanecessidadedeassegurarqueainformaçãosóseriaacedidapordeterminadas pessoasfezcomqueacriptografiasetornassecadavezmaiscomplexa.sãoexemplodissoa cifradecésar,umacifradesubstituiçãonaqualcadaletradotextoésubstituídaporoutrae foiusadapeloimperadorromanojúliocésarparatrocarinformaçõescomfinsmilitaresentre os seus generais. Passando pela era dos descobrimentos (entre o século XV e XVII) onde a possessão de mapas detalhados contendo indicações de marés e ventos significava uma vantagemcompetitivasobreasrestantesnaçõesequeprecisavadesersalvaguardada. AvançandoparaoséculoXX,nadécadade70,aIBMdesenvolveucomputadoresqueforam emgrandeparteutilizadospordepartamentosgovernamentaisdoseuaegrandesempresas (dadooseucustoetamanho),factoquelevouaosurgimentodasquestõesdasegurançada informação,masdestavezsobaformadigital.nosetormilitarimpunhatsequeainformação classificadateriadesertratadadeformasegura.nosoutrossetoresgovernamentaisosdados sensíveis,comoinformaçãopessoaldoscidadãos,implicavaaimplementaçãodemecanismos decontrolodeacesso. 8

30 Adécadade80representaosurgimentodoscomputadorespessoais,esteseramdemenores dimensõesqueosseusantecessores,compreçosmaisacessíveisejápossuíamumainterface gráfica, software de produtividade, programação e jogos. Esta massificação foi também acompanhada pelo surgimento da Internet nas empresas, o que acabou por impulsionar o númeroetiposdeataquesasistemasinformáticos,desdevulnerabilidadesdotipoforçabruta para descoberta de passwords até a de explorar as más configurações existentes nos computadores. Exemplo disso, em 1988 um worm conseguiu infetar entre 5% a 10% do número de computadores ligadas à Internet, um valor que representava cerca de máquinas.[networkworld,2008] Nosanos90,autilizaçãodoprotocoloHTTPedalinguagemHTML,emconjuntocombrowsers gráficos,alterouporcompletoaformacomocomunicamos.umcomputadorligadoàinternet significava que deixava de ser possível controlar que tipo de inputs eram enviados para a máquina, por exemplo Stack Smashing. Com o aumento do número vulnerabilidades reportadas,empresascomoamicrosoft,compaq,ibm,intelehewletttpackardfundaramem 1999aTrusted(Computing(Plataform(AlliancecomoobjetivodetornaraInternetumlugar seguroparaosutilizadores. Comoaparecimento daweb( 2.0, outilizadorpassouaterumpapeldinâmiconainternet, deixandodeserummeroespectadorparaserummembroparticipativo.web(2.0éotermo usado para descrever uma variedade de recursos onde é possível compartilhar, colaborar, comunicarecriarconteúdos,como são exemplodisso sítios como ofacebook, Youtube ou Wikipedia. O número de ameaças na Web também aumentou devido a fatores como a utilização de servidores Web mal protegidos ou configurados, bases de dados que aceitam pedidos genéricos, uso de computadores com software desatualizado ou dispositivos de proteçãomalconfigurados. Ainformaçãonasorganizaçõespodeexistirnosmaisvariadossuportes:papel,armazenadoou transportado eletronicamente, o que faz com que cada vez mais as empresas procurem encontrarsoluçõesnoquedizrespeitoàsuaproteção.essaprocuraédevidaaofactodea informaçãoserumativoimportanteparaosnegóciosdaorganização.segundo[dias,2000],a informaçãoéoprincipalpatrimóniodaempresaeestásobconstanterisco. 3.2 Panorama#atual# AInternettemtidoumgrandeimpactoemtodasaspartesdasociedade.Avidaquotidiana passandopelaeconomiadependemcadavezmaisdastecnologiasdeinformaçãotornandotse estasnofococentraldocrescimentoeconómicomundial.nocasoportuguêsedeacordocom orelatório ASociedadedaInformaçãoemPortugal de2010,60%dosagregadosfamiliares possuíamcomputadoresedestes,50%tinhamligaçõesdebandalargaàinternete75%das pessoasreferiramqueusavamainternettodosouquasetodososdias.noquedizrespeitoàs empresas,omesmorelatóriorefereque97%dasempresasusamcomputadoreque94%têm acesso à Internet. Para o caso especifico das instituições que se dedicam à investigação 9

31 científica,orelatóriodizque86%dosistemanacionaldoensinosuperiorestavacobertopela RCTS onde se verificou que 5,6 milhões de downloads de artigos de publicações científicas internacionais disponibilizadas através da bdon. Do ponto de vista global 39 em cada 100 habitantes,em2013,usavamainternet.onúmeroaumentapara77porcada100habitantes nospaísesindustrializados. Figura2TUtilizadoresdaInternetporcada100habitantes,retiradode[Wikipedia,2014] PodeTseafirmarqueaInternettalcomoaconhecemospromoveumespaçolivredepartilha deinformaçõesedeideias,quebrandobarreiraspolíticasesociais.noentanto,estaliberdade existente no ciberespaço acarreta também problemas relacionados com a segurança. [Tanebaum,A.S.,2003]definiaaInternetcomosendoumsistemaforadonormalnosentido denãotersidoplaneadonemsercontroladoporninguém. Tanto os governos como o setor privado deverão ter um papel importante em assegurar a liberdadeerespeitopelosdireitosfundamentaisegarantirafiabilidadedainternet.áreasda energia,saúde,transportesoubanca,dependemfortementedasegurançanainternet.como exemplo,noanode2012omercadodecomprasonlineatingiuovalorde1triliãodedólares um aumento de 21,1% em relação a [Emarketer, 2013] Mas ao mesmo tempo que aumentam o número de transações online o número de fraudes também aumenta. Já em 2006umaemcadadezpessoasfoivitimadefraudeonlineeem2011asperdasrelacionadas comafraudeonlinerepresentaram3,4biliõesdedólares. 10

32 Figura3 Perdasdereceitasonlinedevidoafraudeinformática.Retiradode[NetTSecurity,2012] Outrofenómenoquetemtidograndedestaquenoquedizrespeitoàsegurançainformáticaé ohacktivismo. Podendo em alguns casos não estar relacionado com o crime informático, o hacktivismopodeserdefinidocomoumaformadepromoverideaispolíticosnainternet.este está também muitas vezes associados ao roubo e exposição de documentação de caráter confidencial ou pessoal. São também associados a atos de defacing de páginas Web ou ataquesdenegaçãodeserviçocomointuitodefazerreivindicaçõespolíticasousociais. SãoexemplodissoosgruposcomoosAnonymousouLulzSec,quepossuemramificaçõesem diferentes países, Portugal incluído. Foram noticiados, por exemplo, roubos de 1,5TB de dadosdodepartamentodejustiçadoseua[mashable,2012],ataquesdenegaçãodeserviço a sítios do governo do Reino Unido [Sol, 2012], divulgação de informação confidencial associadaacontasbancáriasde1milhãodepessoas[sol,2012]ou,emportugal,ataquesa sitesdepartidosegovernamentais.[rr,2013] Figura4 Motivaçõesdosataques.Retiradode[Santos,J.,2011] 11

33 Vieram também à ribalta casos mais mediáticos como o da WikiLeaks, que se trata de um websiteondesãopublicadosdocumentoseinformaçõesconfidenciaisusurpadasdegovernos ouempresas.[cnn,2013]amaiornotoriedadedestecasodeveutsesobretudoàdivulgação de informações sobre as incursões militares no Iraque e Afeganistão por parte dos EUA, levadas a cabo pelo soldado Bradley Mannings, onde são reportadas violações dos direitos humanosecrimesdeguerra.[guardian,the,2013]em2013,umnovoescândaloveioalertar as pessoas para a segurança da informação e a privacidade, quando Edward Snowden divulgou detalhes da vigilância de comunicações e tráfego de informações a nível mundial perpetradopelogovernodoseua[bbc,2013],eem2014fotosdecelebridadesamericanas foram expostas publicamente, possivelmente, devido a uma falha no sistema icloud da empresaapple.[guardian,the,2014] 3.3 Tipos#de#ameaças# Riscos,ameaçasevulnerabilidades Nestecapituloserádebatidoosignificadoderisco,ameaçaevulnerabilidadenocontextoda segurança da informação. É importante conhecer o significado destes três conceitos, pois estesfuncionamcomopontocentralparatodooconhecimentodasquestõesdasegurançada informação.asegurançadainformaçãoexisteparaogeriroriscoeoriscoexisteemfunção dasameaçasevulnerabilidades. A vulnerabilidade neste contexto pode ser definido como uma falha ou debilidade no hardware,softwareouprocessoquepodecomprometerumsistema,redeouaplicação.de acordo com [Wadlow, T.A., 2000] as vulnerabilidades são os pontos fracos existentes nos ativos,quequandoexploradosporameaças,afetamaconfidencialidade,adisponibilidadeea integridadedasinformaçõesdeumapessoaouorganização. Nocasodadefiniçãodeameaça,oNISTdefineTacomosendoaintençãoouamotivaçãoque leva um indivíduo, organização ou governo a explorar uma vulnerabilidade. As motivações podemserdecarizsocial,políticooufinanceiro. 12

34 Figura5 Fatoresquerepresentamaameaça AENISAdefineriscocomosendoqualquercircunstânciaoueventocompotencialparaafetar negativamenteumativoatravésdeacessonãoautorizado,destruição,divulgação,alteração dedadose/ounegaçãodeserviço. O risco é a hipótese de algo não esperado acontecer. É a combinação das ameaças e vulnerabilidades. Figura6TDefiniçãoderisco,deacordocomaENISA AnormaISO/IEC13335dizqueoriscocontémelementosdeumaameaça(ator,motivaçãoe vulnerabilidade), mais o elemento probabilidade e também o elemento do impacto no negócio. Figura7TDefiniçãoderisco,deacordocomaISO

35 3.3.2 Ameaçasàsegurançadainformação A ameaça é definida como qualquer causa inesperada ou potencial de um incidente indesejado,quetemumimpactonegativonumsistemaouorganização.segundo[loch,k.d., Carr, H. H. e Warkentin, M. E., 1992] podemos definir as ameaças em quatro dimensões: Fonte,quepodeserinternaouexternaàorganização;perpetradorquerepresentaaorigem daameaça,podendoserhumanaounãohumana(i.e.ambiental,tecnológica);intençãoque define se o incidente é acidental ou intencional e a consequência do incidente que expõe quais os pilares da segurança da informação (integridade, confidencialidade ou disponibilidade)foramviolados. Consequência (Violaçãodaintegridade, confidencialidadee/ou disponibilidade) Intenção (Acidentalouintencional) Fonte (Internaouexterna) Perpetrador (HumanaounãoThumana) Figura8TAsquatrodimensõesdaameaçaadaptadode[Loch,K.D.,Carr,H.H.eWarkentin,M.E.,1992] Tabela1 Exemplosdeameaçasàsegurançadainformação. # Tipodeameaça Naturais Humanas Tecnológicas Competição organizacional Exemplos Terramotos,vulcões,fogos,tempestades, cheias,acidentesdetransporte(carro,avião, etc). Errohumano,sabotagem,vandalismo, roubo,fraude,negligência. Bugsnosoftware,defeitotécnico. Espionagem,roubodepropriedade intelectual,infraçãodedireitosdecópia. 14

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais Segurança na Internet Disciplina: Informática Prof. Higor Morais 1 Agenda Segurança de Computadores Senhas Engenharia Social Vulnerabilidade Códigos Maliciosos Negação de Serviço 2 Segurança de Computadores

Leia mais

Sobre o Symantec Internet Security Threat Report

Sobre o Symantec Internet Security Threat Report Sobre o Symantec Internet Security Threat Report O Symantec Internet Security Threat Report apresenta uma atualização semestral das atividades das ameaças na Internet. Nele se incluem as análises dos ataques

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Requisitos de controlo de fornecedor externo

Requisitos de controlo de fornecedor externo Requisitos de controlo de fornecedor externo Cibersegurança para fornecedores classificados como baixo risco cibernético Requisito de 1. Proteção de ativos e configuração de sistemas Os dados do Barclays

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp Aula 03 Malware (Parte 01) Visão Geral Prof. Paulo A. Neukamp Mallware (Parte 01) Objetivo: Descrever de maneira introdutória o funcionamento de códigos maliciosos e os seus respectivos impactos. Agenda

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: Malwares Códigos Maliciosos - Malware Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas

Leia mais

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados 5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados A proteção jurídica das bases de dados em Portugal é regulada pelo Decreto-Lei n.º 122/2000, de 4 de Julho, que transpõe

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Noções de Segurança na Internet. Seminário de Tecnologia da Informação Codevasf

Noções de Segurança na Internet. Seminário de Tecnologia da Informação Codevasf Noções de Segurança na Internet Conceitos de Segurança Precauções que devemos tomar contra riscos, perigos ou perdas; É um mal a evitar; Conjunto de convenções sociais, denominadas medidas de segurança.

Leia mais

Política de privacidade do Norton Community Watch

Política de privacidade do Norton Community Watch Política de privacidade do Norton Community Watch Data de início: 5 de agosto de 1999 Última atualização: 16 de abril de 2010 O que é o Norton Community Watch? O Norton Community Watch permite que os usuários

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos.

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos. INTRODUÇÃO Essa apostila foi idealizada como suporte as aulas de Informática Educativa do professor Haroldo do Carmo. O conteúdo tem como objetivo a inclusão digital as ferramentas de pesquisas on-line

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Guia de Segurança em Redes Sociais

Guia de Segurança em Redes Sociais Guia de Segurança em Redes Sociais INTRODUÇÃO As redes sociais são parte do cotidiano de navegação dos usuários. A maioria dos internautas utiliza ao menos uma rede social e muitos deles participam ativamente

Leia mais

SOLO NETWORK. Guia de Segurança em Redes Sociais

SOLO NETWORK. Guia de Segurança em Redes Sociais (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 (71) 4062-7479 Guia de Segurança em Redes Sociais (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41)

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

Segurança da Informação. Disciplina: Segurança da Informação Professor: Jiyan Yari

Segurança da Informação. Disciplina: Segurança da Informação Professor: Jiyan Yari Segurança da Informação Disciplina: Segurança da Informação Professor: Jiyan Yari O que é Segurança da Informação? Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

Introdução a Segurança da Informação

Introdução a Segurança da Informação Introdução a Segurança da Informação Caio S. Borges 1, Eduardo C. Siqueira 1 1 Faculdade de Informática Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) CEP 90.619-900 Porto Alegre RS Brasil

Leia mais

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.pt KASPERSKY FRAUD PREVENTION 1. Formas de atacar serviços bancários online O principal motivo por trás do cibercrime é fazer dinheiro e os conhecimentos

Leia mais

PRIVACIDADE EM REDES SOCIAIS ONLINE. Talita Lopes Gomes

PRIVACIDADE EM REDES SOCIAIS ONLINE. Talita Lopes Gomes PRIVACIDADE EM REDES SOCIAIS ONLINE Talita Lopes Gomes Redes Sociais Online Importante meio de comunicação e socialização Permite aos usuários: Criação de um perfil do usuário Instalação de aplicativos

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2

ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 ENGENHARIA SOCIAL Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 RESUMO: Engenharia Social é o uso da persuasão humana para obtenção de informações

Leia mais

Códigos Maliciosos.

Códigos Maliciosos. <Nome> <Instituição> <e-mail> Códigos Maliciosos Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente desenvolvidos para executar

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Segurança da Informação. Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha

Segurança da Informação. Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha Segurança da Informação Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha Cenário Atual Era da Informação e da Globalização: Avanços da Tecnologia da Informação; Avanços

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

COMUNICADO DE IMPRENSA

COMUNICADO DE IMPRENSA COMUNICADO DE IMPRENSA Os Trojans Zeus ressurgem e já representam 26,2% dos programas maliciosos no email As redes sociais continuam no primeiro posto da estatística das organizações mais atacadas pelos

Leia mais

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17.

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17. REGULAMENTO INTERNO DO USO E ADMINISTRAÇÃO DOS RECURSOS COMPUTACIONAIS E DA REDE DA FACULDADE PROCESSUS CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Este ato tem como objetivo definir o uso e administração

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

SISTEMAS DE INFORMAÇÃO Prof. Esp. Fabiano Taguchi fabianotaguchi@gmail.com http://fabianotaguchi.wordpress.com INTERNET Como surgiu? Por que surgiu? O que trouxe de vantagens? E de desvantagens? 1 POLÍTICA

Leia mais

Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A.

Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A. Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A. Princípios Gerais A garantia que os clientes e utilizadores da Cabovisão-Televisão por Cabo S.A. ( Cabovisão ) sabem e conhecem,

Leia mais

Termos & Condições www.grey.com (o website ) é de propriedade do Grupo Grey e operado por ele ( nosso, nós e nos ).

Termos & Condições www.grey.com (o website ) é de propriedade do Grupo Grey e operado por ele ( nosso, nós e nos ). Condições de Uso do Website Termos & Condições www.grey.com (o website ) é de propriedade do Grupo Grey e operado por ele ( nosso, nós e nos ). Ao acessar este site, você concorda em ficar vinculado a

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros

Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros Lisboa, 21 de Agosto de 2013 As notificações de falha de entrega de e-mails são novo isco de spam O volume

Leia mais

Ref.: Política de uso de Internet e correio eletrônico

Ref.: Política de uso de Internet e correio eletrônico Ref.: Política de uso de Internet e correio eletrônico Introdução A PROVÍNCIA LA SALLE BRASIL-CHILE, através de seu setor de Tecnologia da Informação, tem como objetivo o provimento de um serviço de qualidade,

Leia mais

Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda

Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda Segurança na rede Segurança na rede refere-se a qualquer atividade planejada para proteger sua rede. Especificamente

Leia mais

Política de Utilização Aceitável (PUA)

Política de Utilização Aceitável (PUA) Política de Utilização Aceitável (PUA) HOST TUGATECH Host TugaTech HOST.TUGATECH.COM.PT HOST@TUGATECH.COM.PT A Política de Utilização Aceitável (PUA) do Host TugaTech é disponibilizada com o objetivo de

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança

TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança DEPARTAMENTO DE ENGENHARIA INFORMÁTICA FACULDADE DE CIÊNCIAS E TECNOLOGIA DA UNIVERSIDADE DE COIMBRA Negócio Electrónico, 2006/2007 TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Gestão de SI- seção 4.4 Gestão da segurança da informação 1 Segurança Dados e informações devem estar bem guardadas e cuidadas Vulnerabilidades (externa e interna) Acesso sem autorização

Leia mais

Termos de Serviço do Code Club World

Termos de Serviço do Code Club World Termos de Serviço do Code Club World POR FAVOR LEIA ESTE DOCUMENTO CUIDADOSAMENTE. CONTÉM INFORMAÇÕES IMPORTANTES SOBRE SEUS DIREITOS E OBRIGAÇÕES. CONTÉM TAMBÉM A ISENÇÃO DE RESPONSABILIDADE E A CLÁUSULA

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente

Leia mais

Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013

Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013 Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013 RELATÓRIO CIBERAMEAÇAS B2B 2O13 Lisboa, 18 de Dezembro de 2013 O uso alargado

Leia mais

UNIVERSIDADE FEDERAL DE PELOTAS

UNIVERSIDADE FEDERAL DE PELOTAS Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Aumento dos incidentes de segurança A freqüência de incidentes de segurança continua a aumentar rapidamente 120.000 100.000 80.000 60.000

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

O site www.grey.com é operado e de propriedade do Grupo Grey.

O site www.grey.com é operado e de propriedade do Grupo Grey. Termos e Condições O site www.grey.com é operado e de propriedade do Grupo Grey. Ao acessar este site, você concorda em cumprir estes termos e condições. Leia atentamente. CASO NÃO CONCORDE EM CUMPRIR

Leia mais

A segurança na utilização da Internet é um tema muito debatido nos dias atuais devido à grande quantidade de ladrões virtuais.

A segurança na utilização da Internet é um tema muito debatido nos dias atuais devido à grande quantidade de ladrões virtuais. A segurança na utilização da Internet é um tema muito debatido nos dias atuais devido à grande quantidade de ladrões virtuais. Sobre as práticas recomendadas para que a utilização da internet seja realizada

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL 1 OBJETIVO A Política de Segurança da Informação do Instituto Federal Sul-rio-grandense estabelece as diretrizes para a segurança da informação, visando preservar

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Sobre Nós. NossaVisão

Sobre Nós. NossaVisão 2015 Sobre Nós 1 ArtsSec foi fundada por um grupo de profissionais dedicados à segurança da informação a fim de proporcionar soluções criativas e de alto valor aos seus clientes. A empresa surgiu em 2012,

Leia mais

Cloud Computing: Quando a nuvem pode ser um risco para o negócio. Marco Lima aka Mago Enterprise Technology Specialist

Cloud Computing: Quando a nuvem pode ser um risco para o negócio. Marco Lima aka Mago Enterprise Technology Specialist Cloud Computing: Quando a nuvem pode ser um risco para o negócio Marco Lima aka Mago Enterprise Technology Specialist 05 De onde vem o termo nuvem? Business Servidores SAN WAN SAN LANs Roteador NAS Switch

Leia mais

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura?

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura? Qual a importância da Segurança da Informação para nós? No nosso dia-a-dia todos nós estamos vulneráveis a novas ameaças. Em contrapartida, procuramos sempre usar alguns recursos para diminuir essa vulnerabilidade,

Leia mais

15 de Junho a 7 de Julho Lisboa MOTIVAÇÃO Conhecer a informação que utilizamos diariamente, os seus processos de gestão e procedimentos directamente com ela associados, constituem formas de melhor compreendermos

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação ÍNDICE INTRODUÇÃO 3 AUDIÊNCIA 3 IMPORTÂNCIA DA INFORMAÇÃO E DA SEGURANÇA DA INFORMAÇÃO 3 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 5 RESPONSABILIDADES NA SEGURANÇA DA INFORMAÇÃO 6 MANUTENÇÃO E COMUNICAÇÃO DAS

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Malware, scam e fraudes Italo Valcy Fraudes Fraudes na Internet Engenharia social Phishing / Scam Código malicioso Engenharia

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Segurança em computadores e em redes de computadores

Segurança em computadores e em redes de computadores Segurança em computadores e em redes de computadores Uma introdução IC.UNICAMP Matheus Mota matheus@lis.ic.unicamp.br @matheusmota Computador/rede segura Confiável Integro Disponível Não vulnerável 2 Porque

Leia mais

Ferramenta de Comunicações

Ferramenta de Comunicações Ferramenta de Comunicações Índice SEGURANÇA INFORMÁTICA Objetivos da segurança informática Implementação de uma política de segurança GFI LANGUARD Como funciona Modos de instalação Funcionalidades Correção

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos. 1 INTERNET BANKING: DICAS DE SEGURANÇA Alexandre Kaspary 1 Alexandre Ramos 2 Leo Andre Blatt 3 William Rohr 4 Fábio Matias Kerber 5 Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

Leia mais

Prof.: MARCIO HOLLWEG mhollweg@terra.com.br

Prof.: MARCIO HOLLWEG mhollweg@terra.com.br INFORMÁTICA Prof.: MARCIO HOLLWEG mhollweg@terra.com.br CONCEITOS DE INTERNET E INTRANET CONCEITOS DE INTERNET E INTRANET INTERNET => CONJUNTO DE REDES LIGANDO COMPUTADORES MUNDO A FORA. INTRANET => REDE

Leia mais

O papel do CTI Renato Archer em Segurança Cibernética

O papel do CTI Renato Archer em Segurança Cibernética O papel do CTI Renato Archer em Segurança Cibernética Amândio Ferreira Balcão Filho Campinas, 04 de outubro de 2011 Roteiro Apresentação do CTI e DSSI Segurança Cibernética Projeto Pandora Sandbox Arquitetura

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais