Os#referenciais#de#segurança#da#informação#e#a# melhoria#contínua:#um#caso#exploratório#

Tamanho: px
Começar a partir da página:

Download "Os#referenciais#de#segurança#da#informação#e#a# melhoria#contínua:#um#caso#exploratório#"

Transcrição

1

2 Os#referenciais#de#segurança#da#informação#e#a# melhoria#contínua:#um#caso#exploratório# ## André#Filipe#Ferreira#Torres## Dissertação#para#obtenção#do#Grau#de#Mestre#em# Engenharia#Informática,#Área#de#Especialização#em# Arquiteturas,#Sistemas#e#Redes## Orientador:#Doutor#António#Manuel#Cardoso#da#Costa# CoLorientador:#Eng.#José#Luís#da#Rocha#Sousa## Júri: Presidente: DoutorLuísMiguelMoreiraLinoFerreira Vogais: DoutorNunoAlexandreMagalhãesPereira DoutorAntónioManuelCardosodaCosta Porto,Outubro2014

3 ii

4 Dedicatória# Aos meus pais e à Sofia # # iii

5 iv

6 Resumo# Pensar asegurançanummundoemconstantemudançaetecnologicamenteenraizado cria desafios constantes. Mais ainda quando este aspeto é o fator central no desempenho das tecnologias nas organizações e o seu suporte ao desenvolvimento e evolução, que são capazes de sustentar sistemas complexos em diferentes áreas de atuação como a energia, transportes,finançaspassandotambémpelainvestigação. Sendo o setor da investigação e ensino um gerador e consumidor de grandes volumes de dados,éfundamentalgarantirapreservaçãodasegurançadainformaçãoqueassentasobre ospilaresdaconfidencialidade,integridadeedisponibilidade. Práticas e políticas para a gestão da segurança da informação têm sido desenvolvidas de modo a proporcionar às organizações um nível adequado para a gestão de segurança da informação. De igual modo, é importante que as organizações e os seus elementos constituintessejamsensibilizadosparaestetema. Nestadissertação,pretendeTseavaliarasdiferentesnormasparaasegurançadeinformaçãoe auditar uma organização, neste caso uma instituição de investigação na área da saúde, avaliandoosseuspontosfortesefracoseimplementandosoluçõescapazesdeosresolverou minimizar. Com este trabalho concluiutse que a segurança da informação assenta sobretudo nos processosepessoasenãonastecnologias.aauditoriarealizada,aavaliaçãodosprocessosea consciencialização das pessoas contribuíram para a implementação de uma cultura de segurançanaorganização. # PalavrasLchave:Segurançadainformação,auditoria,gestãodorisco,tecnologiasde informação,segurançadeoperações v

7 vi

8 Abstract# Thinking about security in a changing world and technologically pervasive creates constant challenges. Especially when this aspect is the central factor in the performance of technologiesinorganizationsandtheirsupporttothedevelopmentandevolution,whichare capableofsupportingcomplexsystemsindifferentareassuchasenergy,transport,finance, alsopassingthroughtheresearch. Sinceresearchandteachingsectorsareproducersandconsumersoflargeamountsofdata,is crutial to ensure the preservation of information security, based on the pillars of confidentiality,integrityandavailability. Practicesandpoliciesforthemanagementofsecurityinformationhavebeendeveloped to provideanadequatelevelofinformationsecuritymanagementtoorganizations.similarly,itis importantthatorganizationsandtheirconstituentsaremadeawareofthistopic. Inthisdissertation,weintendtoevaluatethedifferentstandardsforinformationsecurityand audit an organization, in this case a research institution in health, assessing their strengths andweaknessesandimplementingsolutionsabletosolveorminimizethem. Thisstudyconcludedthatinformationsecurityisprimarilybasedonprocessesandpeopleand notthetechnology.theaudit,evaluationprocessesandawarenessofpeoplecontributedto theimplementationofasafetycultureintheorganization. Keywords:Informationsecurity,auditing,riskmanagement,informationtechnology, operationssecurity vii

9 viii

10 Agradecimentos# Gostaria de agradecer ao meu orientador Doutor António Cardoso Costa pelo contributo e disponibilidadeparaestedesafio. AoLaboratórioAssociadoIBMCTINEB,emespecialaoEng.JoséLuísSousaeaoscolegasde departamentopeloapoioepelapossibilidadedepoderrealizarestetrabalho. ix

11 x

12 Índice# # 1 Introdução Enquadramento Objetivos Estrutura da tese Contexto Estado da arte Segurança informática e da informação Panorama atual Tipos de ameaças Riscos, ameaças e vulnerabilidades Ameaças à segurança da informação Risco de segurança em aplicações OWASP Top Fator humano Legislação nacional Enquadramento legal Lei da proteção de dados pessoais Lei do cibercrime Leis da proteção jurídica de programas de computador Lei das comunicações eletrónicas Lei da proteção da privacidade no setor das comunicações eletrónicas Padrões ITIL Cobit SOX PCI DSS Common Criteria ISF OSSTMM ITSEC ISO ISO OWASP ASVS Standard Situação atual Auditoria Metodologia ISO/IEC 27001:2013 Objetivos de controlo OWASP ASVS Análise de resultados ISO xi

13 4.2.4 Análise de resultados OWASP ASVS Análise de risco Análise de risco quantitativa Análise de risco qualitativa Resultados à analise de risco qualitativa Implementação da solução Resultados OWASP ASVS Resultados ISO Resultados Análise de risco Discussão de resultados Metodologias organizacionais e tecnológicas Conclusões Trabalho futuro Referências xii

14 # # # # # # # xiii

15 Lista#de#Figuras# Figura1 Relaçãoentreconfidencialidade,integridadeedisponibilidaderetiradode [Pfleegeer,C.ePfleeger,S.,2006]...8 Figura2TUtilizadoresdaInternetporcada100habitantes,retiradode[Wikipedia,2014]...10 Figura3 Perdasdereceitasonlinedevidoafraudeinformática.Retiradode[NetTSecurity, 2012]...11 Figura4 Motivaçõesdosataques.Retiradode[Santos,J.,2011]...11 Figura5 Fatoresquerepresentamaameaça...13 Figura6TDefiniçãoderisco,deacordocomaENISA...13 Figura7TDefiniçãoderisco,deacordocomaISO Figura8TAsquatrodimensõesdaameaçaadaptadode[Loch,K.D.,Carr,H.H.eWarkentin, M.E.,1992]...14 Figura9TProcessodeumataquedotipoSQLInjectionretiradode[HalfondeOrso,2005]...16 Figura10TProcessodeconsultaLDAPretiradode[Veracode,2013]...20 Figura11 DiagramadesequênciadeumataqueXSSretiradode[Acunetix,2013]...23 Figura12 ProcessodeataquedotipoCSRFretiradode[Citrix,2010]...26 Figura13 Origemdosataquesretiradode[Verizon,2013]...27 Figura14TExemplodeumataquedephishingretiradode[Gartner,2010]...28 Figura15 Gráficorepresentativodasprioridadesdasorganizaçõesnoquedizrespeitoà consciencializaçãodosfuncionáriosnasquestõesdasegurançadainformação[ernst&young, 2013]...29 Figura16TProcessoITILretiradode[Portalgsti,2013]...34 Figura17TCubodeCOBITretiradode[SM3G,2013]...35 Figura18TOsníveisdeverificaçãodoOWASPASVSretiradode[OWASP,2009]...42 Figura19 Representaçãodoníveldeverificaçõesnonível1retiradode[OWASP,2009]...43 Figura20TRepresentaçãodoníveldeverificaçõesnonível2retiradode[OWASP,2009]...44 Figura21TRepresentaçãodoníveldeverificaçõesnonível3retiradode[OWASP,2009]...45 Figura22TRepresentaçãodoníveldeverificaçõesnonível3retiradode[OWASP,2009]...46 Figura23 ResultadosporsecçãodaauditoriausandoanormaISO Figura24TResultadosdaimplementaçãodanormaISO

16 # # # # # # # # xv

17 Lista#de#Tabelas# Tabela1 Exemplosdeameaçasàsegurançadainformação...14 Tabela2TPontosdecontrolodanormaISO Tabela3 Níveisdeclassificação...48 Tabela4TComentáriosaocontrolopolíticadesegurançadainformação...48 Tabela5TComentáriosaocontrolodaorganizaçãodasegurançadainformação...48 Tabela6TComentáriosaocontrolodasegurançanosrecursoshumanos...49 Tabela7TComentáriosaocontrolodagestãodosativos...49 Tabela8TComentáriosaopontodecontrolosdeacesso...50 Tabela9TComentáriosaocontrolodacriptografia...51 Tabela10TComentáriosaocontrolodasegurançafísicaedoambiente...51 Tabela11TComentáriosaocontrolodasegurançanasoperações...52 Tabela12TComentáriosaocontrolodasegurançanascomunicações...52 Tabela13TComentáriosaocontrolodaaquisição,desenvolvimentoemanutençãode sistemas...53 Tabela14TComentáriosaocontrolodasrelaçõescomosfornecedores...53 Tabela15TComentáriosaocontrologestãodeincidentesdesegurançadainformação...54 Tabela16TComentáriosaocontroloaspetosdasegurançadainformaçãonagestãoda continuidadedonegócio...54 Tabela17TComentáriosaocontrolodaconformidade...54 Tabela18TNúmerodeocorrênciasnonível1AdoOWASPASVS...56 Tabela19TNíveldeclassificaçãodaanálisequalitativaparaasameaças...60 Tabela20 Resultadosdaanálisederiscoqualitativa...60 Tabela21TResultadosdascorreçõesdasvulnerabilidadesencontradasusandoomodelode verificaçãoowaspasvs...62

18 # # # # # # # # xvii

19 Acrónimos#e#Símbolos# Lista#de#Acrónimos## AD#LDS ADAM Lightweight(Directory(Services Active(Directory(Application(Mode ASVS Application(Security(Verification blon BibliotecadoConhecimentoNnline BSI British(Standards(Institute( BYOD( ( Cobit Bring(Your(Own(Device Common(Objectives(for(Information(and(related(Technology CSRF CrossDSite(Request(Forgery DOM ENISA( ( HTML HTTP Document(Object(Model( European(Union(Agency(for(Network(and(Information(Security( HyperText(Markup(Language Hypertext(Transfer(Protocol I 3 S Consórciodeinvestigaçãoemsaúde IBM International(Business(Machines IBMC InstitutodeBiologiaMoleculareCelular IEC International(Electrotechnical(Commission( INEB IPATIMUP ISACA InstitutodeEngenhariaBiomédica InstitutodePatologiaeImunologiaMoleculardaUniversidadedoPorto Information(Systems(Audit(and(Control(Association ISF Information(Security(Forum ISMS Information(Security(Management(System ISO International(Organization(for(Standardization( ITIL Information(Technology(Infrastructure(Library

20 ITSEC Information(Technology(Security(Evaluation(Criteria LDAP Lightweight(Directory(Access(Protocol NIST National(Institute(of(Standards(and(Technology OML Open(Methodology(License OSSTMM OWASP PCI#DSS Open(Source(Security(Testing(Methodology(Manual( Open(Web(Application(Security(Project Payment(Card(Industry( (Data(Security(Standard( RCTS( ( RedeCiência,TecnologiaeSociedade SOX SarbanesDOxley SQL# Structured(Query(Language( TI TecnologiasdeInformação TIC TecnologiasdeInformaçãoeComunicação URL Uniform(Resource(Locator( XHTML## Extensible(Hypertext(Markup(Language# XML( ( Extensible(Markup(Language XSS# CrossTSiteScripting # # ( # # xix

21 # # xx

22 1 Introdução# 1.1 Enquadramento# Desde o início do desenvolvimento da digitalização das empresas que a segurança da sua informação tem constituído um problema, sobretudo quando essa informação tornatse fundamental para a manutenção do funcionamento organizacional. A abordagem a essa segurança tem variado entre a nossa informação não é suficientemente interessante para quealguémaqueira ou todaanossainformaçãoéimportante.acresceaindaacapacidade instalada de os sistemas tecnológicos e de comunicação se terem transformado numa arquitetura completamente ubíqua. A componente social sofreu também nos últimos anos um incremento fundamental na aceitação da incorporação tecnológica no diatatdia com a perceção de que essa introdução aumenta a qualidade dos processos de negócios num mundocadavezmaisglobalizadoemaisdesafiador. Para além dos meios tradicionais de fluxo da informação corporativa, a Internet emergiu comoumnovoefundamentalelementodossistemasdeinformaçãoglobais,sendoadotado de forma massiva pelos utilizadores, transformando de forma radical o desenvolvimento organizacional.hojeemdiatodasasorganizaçõestêmdealgumaformaumacessoweb.isto permiteumnovopontodecontactonatrocadeinformaçãoedeligaçãodedispositivos. Estesfactoresentreoutroscontribuíramparaumaculturaorganizacionalquesecaracteriza nãoapenasporumambientetecnologicamenteintegradomastambémcomnecessidadede tornaracessíveloacessodoutilizadoraferramentasqueconsiderafundamentais.ocentro de decisão da plataforma tecnológica organizacional neste ambiente ubíquo movetse abruptamentetendocomocentrodedecisãooutilizador. PodeTse definir esta sociedade como sendo uma nova forma de organização social, proporcionada pelas novas características da informação cara de produzir, mas de reprodução muito barata, graças ao enorme desenvolvimento das TIC. Esta característica repassa toda a sociedade, reclamando novos modos de expressão da cidadania, da relação 1

23 interpessoal e interinstitucional, da expressão cultural e, naturalmente, da organização económicaedogoverno.[silva,j.a.d.,2001] Esteparadigmafazcomqueaquantidadededadosgeradoshojeemdiasejaenorme,eque paralelamente, o número de ameaças e a sua complexidade também têm vindo a crescer, tornandotse assim essencial a implementação de mecanismos capazes de assegurar a segurança da informação e dos meios que a transmitem ou a armazenam. Para combater essasameaçasgovernoseorganizaçõestêmvindoacriarlegislaçõesepadrõesparaassegurar a gestão da segurança da informação. Neste ambiente, a segurança da informação é um elementofundamentaleasuacorretaimplementaçãotemdeserumaferramentanoapoioà relação do utilizador com a organização, passando pelos departamentos de sistemas de informação. 1.2 Objetivos# Neste documento pretendetse aprofundar e aplicar conceitos no âmbito da segurança informáticaedainformaçãonoseiodeumaorganização,nestecasoolaboratórioassociado doinstitutodebiologiamolecularecelulareinstitutodeengenhariabiomédica.osprincipais objetivosdesenvolvidosnestetrabalhosão: Auditaraspolíticaseprocessosdaorganização; Identificarosriscos,ameaçasevulnerabilidadesdaorganização; Estudarospadrõesdagestãodasegurançadainformaçãoparafuturaaplicabilidade; Sensibilizar os funcionários da organização para a importância da segurança da informação. 1.3 Estrutura#da#tese# Opresentedocumentoestáorganizadoemsetecapítulos: No primeiro capítulo é feita uma abordagem geral à importância da segurança informáticaedainformação; O capítulo 2 faz uma contextualização do problema, explicando o ecossistema da organizaçãoefazendoumaantevisãodasolução; No capítulo 3 revêmtse as temáticas da segurança da informação e da segurança informática.sãoapresentadasasameaças,riscosevulnerabilidadesmaiscomunseé mostrada a importância do fator humano no que diz respeito a assegurar a confidencialidade,integridadeedisponibilidade.incluiumlevantamentodalegislação nacional para a cibercriminalidade. Por último é apresentado um estudo sobre frameworksexistentesparaagestãodasegurançadainformação.; Nocapítulo4sãoapresentadososresultadosdaauditoriaaosrecursoseprocessosda organização.foifeitatambémumaanálisederisco; 2

24 Nocapítulo5sãomostradososresultadosdaimplementaçãodasolução; Nosextocapítulosãoapresentadasasconclusõeseotrabalhofuturo. 3

25 4

26 2 Contexto# A massificação das tecnologias de informação referida no capítulo anterior, estão intimamente ligadas aos avanços da investigação científica. Permitiu às instituições de investigação e seus elementos constituintes acederem e partilharem fontes de informação necessáriasparanovasdescobertascientíficas. O Laboratório Associado IBMCTINEB, doravante chamado LA IBMCTINEB, é uma parceria do Instituto de Biologia Molecular e Celular e do Instituto de Engenharia Biomédica. É uma instituiçãodeinvestigaçãoeensinonasáreasdasciênciasdavida,saúdeebiomedicina.ola IBMCTINEBcontaatualmentecommaisde600colaboradores cercade500investigadorese 100 técnicos. Em termos de organização o LA IBMCTINEB é composto por 56 grupos de investigação divididos por 6 divisões: Infeção e Imunidade, Biologia Molecular e Celular, Neurociências,Biomateriais,SinaleImagemBiomédicaegruposassociados.12serviçosde apoioàinvestigaçãoe14gruposdeserviçosadministrativossuportamtambémestaestrutura. A incorporação das novas tecnologias da informação no LA IBMCTINEB ofereceu novas oportunidades, novos modelos de negócio e um conjunto de vantagens competitivas associadas,permitindomelhoriasdeeficiênciaedeintegraçãoentreosdiferentessistemas. O que alguns autores chamam de sociedade da informação [Toffler, A., 1980] traduztse no bemmaisprecioso,ainformação.essainformaçãoestápresenteemtodooprocessodocore( businessdainstituição,queéadefazerinvestigação.todavia,instituiçõesdestetipotambém dependem de outras unidades capazes de assegurar o bom funcionamento e até mesmo asseguraracompetitividadedainstituição.éexemplodissoodepartamentodesistemasde Informação, que é responsável pelo desenvolvimento, implementação e gestão de um conjunto de tecnologias para a comunidade do LA IBMCTINEB, desde o Departamento AdministrativoTFinanceiro ao apoio dos grupos de investigação. É neste contexto de diversidade, competitividade, inovação, mudança e crescimento contínuo que emergem novos riscos que ameaçam um dos ativos mais valiosos para os processos do negócio a informação. 5

27 Ostiposdeameaçasàinformaçãoassentamsobre3pilares:confidencialidade,integridadee disponibilidade e dado que neste caso se trata de uma instituição de investigação as motivaçõesquepoderãolevaràviolaçãodestestrêspilarespoderãopassarpelaespionagem organizacionalcomoobjetivodecriaçãodepatentes,passandoporgruposdedefesaanimal contraaexperimentaçãoanimal. TornaTse necessário dotar a organização de soluções capazes de responder a este tipo de ameaças.assoluçõespoderãopassarporimplementaçãooudesenvolvimentodetecnologias, aplicaçãodenormasdesegurança,desenvolvimentodeumplanodesegurança,criaçãode procedimentosparageririncidentes,especializaçãodoscolaboradoresdodepartamentode sistemas de informação, adoção de normas de disponibilização e serviços com controlo de qualidadeesensibilizaçãodosutilizadoresparaasquestõesdasegurançainformática.como forma de proteger a organização das ameaças, quer interna quer externas, adotartsetá a implementaçãodeumconjuntodenormasparaagestãodasegurançadainformação,que servirátambémcomomodelodereferênciaparaofuturoconsórciodeinvestigaçãoemsaúde I 3 S,quecorrespondeàjunçãodosinstitutosdeinvestigaçãoIBMC,INEBeIPATIMUP. 6

28 3 Estado#da#arte# 3.1 Segurança#informática#e#da#informação# Quandosetratadesegurançadainformaçãoesegurançainformáticaexistealgumaconfusão nasuacorretadefinição,apesardeseremcomplementares,estastêmobjetivosdiferentes.a segurança informática é responsável pela proteção dos sistemas informáticos onde a informaçãoénormalmenteguardadaoutransmitida.anormainternacionaliso/iec13335t1 de 2004 define segurança informática como sendo um termo relacionado com a implementação e manutenção da confidencialidade, integridade, disponibilidade, irrefutabilidade,responsabilidade,autenticidadeeconfiabilidadedosrecursosdainformação. Jáasegurançadainformaçãonãosetratadeumprodutooutecnologia,massimumprocesso [Kevin, M., Williams, S. and Steve, W., 2002] mais abrangente que, para além de ser responsável pela proteção da informação armazenada digitalmente em computadores é tambémresponsávelpelainformaçãoguardadadediferentesformaseatravésdediferentes canais,porexemplodocumentosimpressosouescritos.anormainternacionaliso/iec27002 definetacomosendoapreservaçãodaconfidencialidade,integridadeedisponibilidade. Diferentesautoresdefinemaexpressão SegurançadaInformação deformastambémelas diferentes. [Sêmola, M., 2003] define segurança da informação como uma área do conhecimentodedicadaàproteçãodeativosdainformaçãocontraacessosnãoautorizados, alteraçõesindevidasousuaindisponibilidade.porsuavez,[mitrović,p.,2005],defendequea segurançadainformaçãoéumtermoquedescreveanecessidadedeprotegerasinformações combasenofactodequeainformaçãoéclassificadacomoumativovalioso.para[anderson, R.,2008],asegurançadainformaçãoésobrepoder.TrataTsededeterminarquemserácapaz deconceder(ounegar)ousodeumrecurso.já[whitman,m.,mattord,h.,2011]consideram a segurança da informação como sendo a proteção das informações e dos seus elementos essenciais,incluindoossistemasehardwarequeusa,armazenaetransmiteessainformação. Como referido anteriormente e também defendido por [Harris, S., 2005], a segurança da informaçãoassentaemtrêspilares: 7

29 Confidencialidade Garantirqueainformaçãonãoédisponibilizadaouacedidapor pessoasouentidadessemautorização; IntegridadeTProtegerinformações,incluindoprogramas,backups,temposdecriação do arquivo, documentação sejam excluídas ou alteradas sem a permissão do proprietáriodasinformações; Disponibilidade T Assegurar que os serviços não são degradados ou ficam indisponíveissemautorização. Figura1 Relaçãoentreconfidencialidade,integridadeedisponibilidaderetiradode[Pfleegeer,C.e Pfleeger,S.,2006] DesdeoprimórdiodacivilizaçãoqueoHomemdemonstravapreocupaçõesnasquestõesda segurança da informação. Essas preocupações podem ser encontradas desde o império romanoondeanecessidadedeassegurarqueainformaçãosóseriaacedidapordeterminadas pessoasfezcomqueacriptografiasetornassecadavezmaiscomplexa.sãoexemplodissoa cifradecésar,umacifradesubstituiçãonaqualcadaletradotextoésubstituídaporoutrae foiusadapeloimperadorromanojúliocésarparatrocarinformaçõescomfinsmilitaresentre os seus generais. Passando pela era dos descobrimentos (entre o século XV e XVII) onde a possessão de mapas detalhados contendo indicações de marés e ventos significava uma vantagemcompetitivasobreasrestantesnaçõesequeprecisavadesersalvaguardada. AvançandoparaoséculoXX,nadécadade70,aIBMdesenvolveucomputadoresqueforam emgrandeparteutilizadospordepartamentosgovernamentaisdoseuaegrandesempresas (dadooseucustoetamanho),factoquelevouaosurgimentodasquestõesdasegurançada informação,masdestavezsobaformadigital.nosetormilitarimpunhatsequeainformação classificadateriadesertratadadeformasegura.nosoutrossetoresgovernamentaisosdados sensíveis,comoinformaçãopessoaldoscidadãos,implicavaaimplementaçãodemecanismos decontrolodeacesso. 8

30 Adécadade80representaosurgimentodoscomputadorespessoais,esteseramdemenores dimensõesqueosseusantecessores,compreçosmaisacessíveisejápossuíamumainterface gráfica, software de produtividade, programação e jogos. Esta massificação foi também acompanhada pelo surgimento da Internet nas empresas, o que acabou por impulsionar o númeroetiposdeataquesasistemasinformáticos,desdevulnerabilidadesdotipoforçabruta para descoberta de passwords até a de explorar as más configurações existentes nos computadores. Exemplo disso, em 1988 um worm conseguiu infetar entre 5% a 10% do número de computadores ligadas à Internet, um valor que representava cerca de máquinas.[networkworld,2008] Nosanos90,autilizaçãodoprotocoloHTTPedalinguagemHTML,emconjuntocombrowsers gráficos,alterouporcompletoaformacomocomunicamos.umcomputadorligadoàinternet significava que deixava de ser possível controlar que tipo de inputs eram enviados para a máquina, por exemplo Stack Smashing. Com o aumento do número vulnerabilidades reportadas,empresascomoamicrosoft,compaq,ibm,intelehewletttpackardfundaramem 1999aTrusted(Computing(Plataform(AlliancecomoobjetivodetornaraInternetumlugar seguroparaosutilizadores. Comoaparecimento daweb( 2.0, outilizadorpassouaterumpapeldinâmiconainternet, deixandodeserummeroespectadorparaserummembroparticipativo.web(2.0éotermo usado para descrever uma variedade de recursos onde é possível compartilhar, colaborar, comunicarecriarconteúdos,como são exemplodisso sítios como ofacebook, Youtube ou Wikipedia. O número de ameaças na Web também aumentou devido a fatores como a utilização de servidores Web mal protegidos ou configurados, bases de dados que aceitam pedidos genéricos, uso de computadores com software desatualizado ou dispositivos de proteçãomalconfigurados. Ainformaçãonasorganizaçõespodeexistirnosmaisvariadossuportes:papel,armazenadoou transportado eletronicamente, o que faz com que cada vez mais as empresas procurem encontrarsoluçõesnoquedizrespeitoàsuaproteção.essaprocuraédevidaaofactodea informaçãoserumativoimportanteparaosnegóciosdaorganização.segundo[dias,2000],a informaçãoéoprincipalpatrimóniodaempresaeestásobconstanterisco. 3.2 Panorama#atual# AInternettemtidoumgrandeimpactoemtodasaspartesdasociedade.Avidaquotidiana passandopelaeconomiadependemcadavezmaisdastecnologiasdeinformaçãotornandotse estasnofococentraldocrescimentoeconómicomundial.nocasoportuguêsedeacordocom orelatório ASociedadedaInformaçãoemPortugal de2010,60%dosagregadosfamiliares possuíamcomputadoresedestes,50%tinhamligaçõesdebandalargaàinternete75%das pessoasreferiramqueusavamainternettodosouquasetodososdias.noquedizrespeitoàs empresas,omesmorelatóriorefereque97%dasempresasusamcomputadoreque94%têm acesso à Internet. Para o caso especifico das instituições que se dedicam à investigação 9

31 científica,orelatóriodizque86%dosistemanacionaldoensinosuperiorestavacobertopela RCTS onde se verificou que 5,6 milhões de downloads de artigos de publicações científicas internacionais disponibilizadas através da bdon. Do ponto de vista global 39 em cada 100 habitantes,em2013,usavamainternet.onúmeroaumentapara77porcada100habitantes nospaísesindustrializados. Figura2TUtilizadoresdaInternetporcada100habitantes,retiradode[Wikipedia,2014] PodeTseafirmarqueaInternettalcomoaconhecemospromoveumespaçolivredepartilha deinformaçõesedeideias,quebrandobarreiraspolíticasesociais.noentanto,estaliberdade existente no ciberespaço acarreta também problemas relacionados com a segurança. [Tanebaum,A.S.,2003]definiaaInternetcomosendoumsistemaforadonormalnosentido denãotersidoplaneadonemsercontroladoporninguém. Tanto os governos como o setor privado deverão ter um papel importante em assegurar a liberdadeerespeitopelosdireitosfundamentaisegarantirafiabilidadedainternet.áreasda energia,saúde,transportesoubanca,dependemfortementedasegurançanainternet.como exemplo,noanode2012omercadodecomprasonlineatingiuovalorde1triliãodedólares um aumento de 21,1% em relação a [Emarketer, 2013] Mas ao mesmo tempo que aumentam o número de transações online o número de fraudes também aumenta. Já em 2006umaemcadadezpessoasfoivitimadefraudeonlineeem2011asperdasrelacionadas comafraudeonlinerepresentaram3,4biliõesdedólares. 10

32 Figura3 Perdasdereceitasonlinedevidoafraudeinformática.Retiradode[NetTSecurity,2012] Outrofenómenoquetemtidograndedestaquenoquedizrespeitoàsegurançainformáticaé ohacktivismo. Podendo em alguns casos não estar relacionado com o crime informático, o hacktivismopodeserdefinidocomoumaformadepromoverideaispolíticosnainternet.este está também muitas vezes associados ao roubo e exposição de documentação de caráter confidencial ou pessoal. São também associados a atos de defacing de páginas Web ou ataquesdenegaçãodeserviçocomointuitodefazerreivindicaçõespolíticasousociais. SãoexemplodissoosgruposcomoosAnonymousouLulzSec,quepossuemramificaçõesem diferentes países, Portugal incluído. Foram noticiados, por exemplo, roubos de 1,5TB de dadosdodepartamentodejustiçadoseua[mashable,2012],ataquesdenegaçãodeserviço a sítios do governo do Reino Unido [Sol, 2012], divulgação de informação confidencial associadaacontasbancáriasde1milhãodepessoas[sol,2012]ou,emportugal,ataquesa sitesdepartidosegovernamentais.[rr,2013] Figura4 Motivaçõesdosataques.Retiradode[Santos,J.,2011] 11

33 Vieram também à ribalta casos mais mediáticos como o da WikiLeaks, que se trata de um websiteondesãopublicadosdocumentoseinformaçõesconfidenciaisusurpadasdegovernos ouempresas.[cnn,2013]amaiornotoriedadedestecasodeveutsesobretudoàdivulgação de informações sobre as incursões militares no Iraque e Afeganistão por parte dos EUA, levadas a cabo pelo soldado Bradley Mannings, onde são reportadas violações dos direitos humanosecrimesdeguerra.[guardian,the,2013]em2013,umnovoescândaloveioalertar as pessoas para a segurança da informação e a privacidade, quando Edward Snowden divulgou detalhes da vigilância de comunicações e tráfego de informações a nível mundial perpetradopelogovernodoseua[bbc,2013],eem2014fotosdecelebridadesamericanas foram expostas publicamente, possivelmente, devido a uma falha no sistema icloud da empresaapple.[guardian,the,2014] 3.3 Tipos#de#ameaças# Riscos,ameaçasevulnerabilidades Nestecapituloserádebatidoosignificadoderisco,ameaçaevulnerabilidadenocontextoda segurança da informação. É importante conhecer o significado destes três conceitos, pois estesfuncionamcomopontocentralparatodooconhecimentodasquestõesdasegurançada informação.asegurançadainformaçãoexisteparaogeriroriscoeoriscoexisteemfunção dasameaçasevulnerabilidades. A vulnerabilidade neste contexto pode ser definido como uma falha ou debilidade no hardware,softwareouprocessoquepodecomprometerumsistema,redeouaplicação.de acordo com [Wadlow, T.A., 2000] as vulnerabilidades são os pontos fracos existentes nos ativos,quequandoexploradosporameaças,afetamaconfidencialidade,adisponibilidadeea integridadedasinformaçõesdeumapessoaouorganização. Nocasodadefiniçãodeameaça,oNISTdefineTacomosendoaintençãoouamotivaçãoque leva um indivíduo, organização ou governo a explorar uma vulnerabilidade. As motivações podemserdecarizsocial,políticooufinanceiro. 12

34 Figura5 Fatoresquerepresentamaameaça AENISAdefineriscocomosendoqualquercircunstânciaoueventocompotencialparaafetar negativamenteumativoatravésdeacessonãoautorizado,destruição,divulgação,alteração dedadose/ounegaçãodeserviço. O risco é a hipótese de algo não esperado acontecer. É a combinação das ameaças e vulnerabilidades. Figura6TDefiniçãoderisco,deacordocomaENISA AnormaISO/IEC13335dizqueoriscocontémelementosdeumaameaça(ator,motivaçãoe vulnerabilidade), mais o elemento probabilidade e também o elemento do impacto no negócio. Figura7TDefiniçãoderisco,deacordocomaISO

35 3.3.2 Ameaçasàsegurançadainformação A ameaça é definida como qualquer causa inesperada ou potencial de um incidente indesejado,quetemumimpactonegativonumsistemaouorganização.segundo[loch,k.d., Carr, H. H. e Warkentin, M. E., 1992] podemos definir as ameaças em quatro dimensões: Fonte,quepodeserinternaouexternaàorganização;perpetradorquerepresentaaorigem daameaça,podendoserhumanaounãohumana(i.e.ambiental,tecnológica);intençãoque define se o incidente é acidental ou intencional e a consequência do incidente que expõe quais os pilares da segurança da informação (integridade, confidencialidade ou disponibilidade)foramviolados. Consequência (Violaçãodaintegridade, confidencialidadee/ou disponibilidade) Intenção (Acidentalouintencional) Fonte (Internaouexterna) Perpetrador (HumanaounãoThumana) Figura8TAsquatrodimensõesdaameaçaadaptadode[Loch,K.D.,Carr,H.H.eWarkentin,M.E.,1992] Tabela1 Exemplosdeameaçasàsegurançadainformação. # Tipodeameaça Naturais Humanas Tecnológicas Competição organizacional Exemplos Terramotos,vulcões,fogos,tempestades, cheias,acidentesdetransporte(carro,avião, etc). Errohumano,sabotagem,vandalismo, roubo,fraude,negligência. Bugsnosoftware,defeitotécnico. Espionagem,roubodepropriedade intelectual,infraçãodedireitosdecópia. 14

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Sobre o Symantec Internet Security Threat Report

Sobre o Symantec Internet Security Threat Report Sobre o Symantec Internet Security Threat Report O Symantec Internet Security Threat Report apresenta uma atualização semestral das atividades das ameaças na Internet. Nele se incluem as análises dos ataques

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados 5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados A proteção jurídica das bases de dados em Portugal é regulada pelo Decreto-Lei n.º 122/2000, de 4 de Julho, que transpõe

Leia mais

ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2

ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 ENGENHARIA SOCIAL Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 RESUMO: Engenharia Social é o uso da persuasão humana para obtenção de informações

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Soluções de Segurança IBM

Soluções de Segurança IBM Soluções de Segurança IBM Security Framework As organizações frequentemente adotam uma abordagem orientada à tecnologia para a segurança. Porém, proteger só a tecnologia não oferece proteção para os processos

Leia mais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais Segurança na Internet Disciplina: Informática Prof. Higor Morais 1 Agenda Segurança de Computadores Senhas Engenharia Social Vulnerabilidade Códigos Maliciosos Negação de Serviço 2 Segurança de Computadores

Leia mais

Requisitos de controlo de fornecedor externo

Requisitos de controlo de fornecedor externo Requisitos de controlo de fornecedor externo Cibersegurança para fornecedores classificados como baixo risco cibernético Requisito de 1. Proteção de ativos e configuração de sistemas Os dados do Barclays

Leia mais

Desafios da Segurança na 3ª Plataforma Tecnológica

Desafios da Segurança na 3ª Plataforma Tecnológica Desafios da Segurança na 3ª Plataforma Tecnológica 1. Situação atual 2. Governação e riscos da segurança da informação 1. Tecnologias em utilização 2 Uma nova plataforma de inovação TI IDC Visit us at

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Aumento dos incidentes de segurança A freqüência de incidentes de segurança continua a aumentar rapidamente 120.000 100.000 80.000 60.000

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Segurança da Informação. Disciplina: Segurança da Informação Professor: Jiyan Yari

Segurança da Informação. Disciplina: Segurança da Informação Professor: Jiyan Yari Segurança da Informação Disciplina: Segurança da Informação Professor: Jiyan Yari O que é Segurança da Informação? Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

Trojans bancários dominaram malware do tráfego de email em Julho

Trojans bancários dominaram malware do tráfego de email em Julho Trojans bancários dominaram malware do tráfego de email em Julho Relatório de Spam. Julho 2013 Lisboa, 6 de Setembro de 2013 Edward Snowden torna-se num dos claros protagonistas do spam de Julho Volume

Leia mais

Proteção de dados e informação que possuem valor para uma pessoa ou empresa

Proteção de dados e informação que possuem valor para uma pessoa ou empresa Professor Gedalias Valentim Informática para Banca IADES Segurança da Informação Segurança da Informação Proteção de dados e informação que possuem valor para uma pessoa ou empresa 1 Segurança da Informação

Leia mais

Escola EB 2,3 de António Feijó

Escola EB 2,3 de António Feijó AGRUPAMENTO DE ESCOLAS DE ANTÓNIO FEÍJO Escola EB 2,3 de António Feijó 8.º ANO PLANIFICAÇÃO SEMESTRAL Tecnologias de Informação e Comunicação Ano Letivo 2014/2015 INFORMAÇÃO Domínio Conteúdos Objetivos

Leia mais

Kaspersky Security for Mobile

Kaspersky Security for Mobile Kaspersky Security for Mobile 1 Kaspersky Security for Mobile Dez anos de liderança em segurança móvel Tecnologia em constante evolução para ameaças em constante evolução. A Kaspersky Lab tem vindo a

Leia mais

COMUNICADO DE IMPRENSA

COMUNICADO DE IMPRENSA COMUNICADO DE IMPRENSA Os Trojans Zeus ressurgem e já representam 26,2% dos programas maliciosos no email As redes sociais continuam no primeiro posto da estatística das organizações mais atacadas pelos

Leia mais

Noções de Segurança na Internet. Seminário de Tecnologia da Informação Codevasf

Noções de Segurança na Internet. Seminário de Tecnologia da Informação Codevasf Noções de Segurança na Internet Conceitos de Segurança Precauções que devemos tomar contra riscos, perigos ou perdas; É um mal a evitar; Conjunto de convenções sociais, denominadas medidas de segurança.

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014

RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014 TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicação (POSIC-TRT3) no âmbito do Tribunal Regional do Trabalho

Leia mais

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos. 1 INTERNET BANKING: DICAS DE SEGURANÇA Alexandre Kaspary 1 Alexandre Ramos 2 Leo Andre Blatt 3 William Rohr 4 Fábio Matias Kerber 5 Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

www.ufmg.br/dti Filtros Antispam Centro de Computação CECOM Divisão de Infraestrutura de Serviços - DIS

www.ufmg.br/dti Filtros Antispam Centro de Computação CECOM Divisão de Infraestrutura de Serviços - DIS www.ufmg.br/dti Filtros Antispam Centro de Computação CECOM Divisão de Infraestrutura de Serviços - DIS Agenda Funcionalidades pretendidas para nova solução Software IBM Lotus Protector Solução implantada

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

Introdução a Segurança da Informação

Introdução a Segurança da Informação Introdução a Segurança da Informação Caio S. Borges 1, Eduardo C. Siqueira 1 1 Faculdade de Informática Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS) CEP 90.619-900 Porto Alegre RS Brasil

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

O elo mais fraco. Parte I

O elo mais fraco. Parte I O elo mais fraco A segurança da informação nas empresas é sem dúvida um tema que começa a merecer cada vez mais atenção. Os responsáveis dos departamentos de informática e as empresas que desenvolvem actividade

Leia mais

... 1º Período. Metas/Objetivos Descritores Conceitos/Conteúdos Estratégias/Metodologias Avaliação

... 1º Período. Metas/Objetivos Descritores Conceitos/Conteúdos Estratégias/Metodologias Avaliação DEPARTAMENTO DE MATEMÁTICA E INFORMÁTICA DISCIPLINA: TECNOLOGIAS DA INFORMAÇÃO E COMUNICAÇÃO PLANIFICAÇÃO DE 8º ANO... 1º Período Domínio COMUNICAÇÃO E COLABORAÇÃO CC8 Conhecimento e utilização adequada

Leia mais

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade sobre o Autor Bacharel em Análise de Sistemas pela Universidade de Ribeirão Preto e Pós-graduado em Segurança da Informação pelo ITA Instituto

Leia mais

TIC Microempresas 2007

TIC Microempresas 2007 TIC Microempresas 2007 Em 2007, o Centro de Estudos sobre as Tecnologias da Informação e da Comunicação do NIC.br, no contexto da TIC Empresas 2007 1, realizou pela primeira vez um estudo sobre o uso das

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Tutorial sobre Phishing

Tutorial sobre Phishing Tutorial sobre Phishing Data: 2006-08-15 O que é o Phishing? Phishing é um tipo de fraude electrónica que tem se desenvolvido muito nos últimos anos, visto que a Internet a cada dia que passa tem mais

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Política de Utilização Aceitável (PUA)

Política de Utilização Aceitável (PUA) Política de Utilização Aceitável (PUA) HOST TUGATECH Host TugaTech HOST.TUGATECH.COM.PT HOST@TUGATECH.COM.PT A Política de Utilização Aceitável (PUA) do Host TugaTech é disponibilizada com o objetivo de

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

Ameaças a computadores. Prof. César Couto

Ameaças a computadores. Prof. César Couto Ameaças a computadores Prof. César Couto Conceitos Malware: termo aplicado a qualquer software desenvolvido para causar danos em computadores. Estão nele incluídos vírus, vermes e cavalos de tróia. Vírus:

Leia mais

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.pt KASPERSKY FRAUD PREVENTION 1. Formas de atacar serviços bancários online O principal motivo por trás do cibercrime é fazer dinheiro e os conhecimentos

Leia mais

Guia de Segurança em Redes Sociais

Guia de Segurança em Redes Sociais Guia de Segurança em Redes Sociais INTRODUÇÃO As redes sociais são parte do cotidiano de navegação dos usuários. A maioria dos internautas utiliza ao menos uma rede social e muitos deles participam ativamente

Leia mais

SOLO NETWORK. Guia de Segurança em Redes Sociais

SOLO NETWORK. Guia de Segurança em Redes Sociais (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 (71) 4062-7479 Guia de Segurança em Redes Sociais (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41)

Leia mais

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos.

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos. INTRODUÇÃO Essa apostila foi idealizada como suporte as aulas de Informática Educativa do professor Haroldo do Carmo. O conteúdo tem como objetivo a inclusão digital as ferramentas de pesquisas on-line

Leia mais

Alavancando a segurança a partir da nuvem

Alavancando a segurança a partir da nuvem Serviços Globais de Tecnologia IBM White Paper de Liderança em Pensamento Serviços de Segurança IBM Alavancando a segurança a partir da nuvem O quem, o que, quando, por que e como dos serviços de segurança

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

CLAIN 2008. Fraude Eletrônica. Moises J Santos. Internet Banking

CLAIN 2008. Fraude Eletrônica. Moises J Santos. Internet Banking CLAIN 2008 Fraude Eletrônica Moises J Santos Fraude Eletrônica Definição Fraude Subterfúgio para alcançar um fim ilícito, ou ainda, o engano dolosamente provocado, o malicioso induzimento em erro ou aproveitamento

Leia mais

PLANIFICAÇÃO DAS UNIDADES DIDÁTICAS DO MANUAL (8º ano Turmas A B e C)

PLANIFICAÇÃO DAS UNIDADES DIDÁTICAS DO MANUAL (8º ano Turmas A B e C) ESCOLA E.B. 2,3/S DE VILA FLOR Disciplina: Tecnologias da Informação e Comunicação PLANIFICAÇÃO DAS UNIDADES DIDÁTICAS DO MANUAL (8º ano Turmas A B e C) UNIDADES OBJETIVOS GERAIS CONTEÚDOS DESCRITORES

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

RESUMO DA SOLUÇÃO SEGURANÇA MÓVEL. Você pode acelerar com segurança seus negócios móveis?

RESUMO DA SOLUÇÃO SEGURANÇA MÓVEL. Você pode acelerar com segurança seus negócios móveis? RESUMO DA SOLUÇÃO SEGURANÇA MÓVEL Você pode acelerar com segurança seus negócios móveis? A CA Technologies permite acelerar a inovação móvel para clientes e funcionários sem colocar em risco seus dados

Leia mais

Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013

Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013 Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013 RELATÓRIO CIBERAMEAÇAS B2B 2O13 Lisboa, 18 de Dezembro de 2013 O uso alargado

Leia mais

Ferramenta de Comunicações

Ferramenta de Comunicações Ferramenta de Comunicações Índice SEGURANÇA INFORMÁTICA Objetivos da segurança informática Implementação de uma política de segurança GFI LANGUARD Como funciona Modos de instalação Funcionalidades Correção

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

Política de privacidade do Norton Community Watch

Política de privacidade do Norton Community Watch Política de privacidade do Norton Community Watch Data de início: 5 de agosto de 1999 Última atualização: 16 de abril de 2010 O que é o Norton Community Watch? O Norton Community Watch permite que os usuários

Leia mais

Segurança e Auditoria em Sistemas

Segurança e Auditoria em Sistemas Segurança e Auditoria em Sistemas Curso: Analise e Desenvolvimento de Sistemas Prof.Eduardo Araujo Site:www.professoreduardoaraujo.com O que é Segurança? Confidencialidade Integridade Disponibilidade Jogo

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais Fundamentos em Segurança de Redes de Computadores Pragas Virtuais 1 Pragas Virtuais São programas desenvolvidos com fins maliciosos. Pode-se encontrar algumas semelhanças de um vírus de computador com

Leia mais

Segurança a da Informação Aula 02. Aula 02

Segurança a da Informação Aula 02. Aula 02 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Segurança a da Informação é: Cultura, Cidadania, Desenvolvimento pessoal e social, Competitividade, Influência e poder, Imprescindível para a

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros

Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros Lisboa, 21 de Agosto de 2013 As notificações de falha de entrega de e-mails são novo isco de spam O volume

Leia mais

RELATÓRIO VIROLOGIA MÓVEL 2011 E TENDÊNCIAS 2012. 2012 é o ano dos worms massivos para Android e da propagação da ciber-espionagem móvel

RELATÓRIO VIROLOGIA MÓVEL 2011 E TENDÊNCIAS 2012. 2012 é o ano dos worms massivos para Android e da propagação da ciber-espionagem móvel RELATÓRIO RELATÓRIO VIROLOGIA MÓVEL 2011 E TENDÊNCIAS 2012 2012 é o ano dos worms massivos para Android e da propagação da ciber-espionagem móvel O Android tornou-se no sistema operativo móvel mais atacado

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Agenda. ABCTec Risco Pesquisas sobre fraudes no Brasil e no Mundo Valores envolvidos e perfil do fraudador Como se proteger

Agenda. ABCTec Risco Pesquisas sobre fraudes no Brasil e no Mundo Valores envolvidos e perfil do fraudador Como se proteger Agenda ABCTec Risco Pesquisas sobre fraudes no Brasil e no Mundo Valores envolvidos e perfil do fraudador Como se proteger Quem é a ABCTec Atuando no mercado de TI desde 1996, a ABCTec está hoje focada

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

LANDesk Security Suite

LANDesk Security Suite LANDesk Security Suite Proporcione aos seus ativos proteção integrada a partir de uma console única e intuitiva que integra múltiplas camadas de segurança. Aplique políticas de segurança à usuários e dispositivos

Leia mais