Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamanho: px
Começar a partir da página:

Download "Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development"

Transcrição

1 Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo trata da Segurança no Desenvolvimento de Aplicações Web. Este tema representa um grande desafio, devido ao crescimento da internet e com isso a necessidade cada vez maior da adoção de aplicações web para compartilhamento de informações pelas organizações, se fazendo necessária a adoção de mecanismos para manter tais informações seguras. Realizou-se uma pesquisa do tipo bibliográfica para esclarecer este tema. O estudo permitiu mostrar as principais vulnerabilidades encontradas em aplicações web, como também técnicas para mitigar essas vulnerabilidades. Palavras Chaves: Aplicações Web, Código Seguro, Segurança, Software. Abstract: This article speaks about Security in the Web Applications Development. This theme represents a great challenge, due to growth of the internet and therewith necessity increasing the adoption of web applications for sharing of information by organizations, making it necessary to adopt mechanisms to keep such information secure. Was formed a research type of Bibliographic to explain this theme. The study permitted show major vulnerabilities found in the web applications, as well as technics to mitigate these vulnerabilities. Keywords: Web applications, Security Code, Security and Software. 1 INTRODUÇÃO O presente estudo tem como tema mostrar a necessidade da elaboração de código seguro em desenvolvimento de aplicações Web. Com crescimento da Internet nos últimos anos o desenvolvimento de aplicações Web vem sendo cada vez maior, devido a fatores como: escalabilidade, flexibilidade, comodidade entre outros. Porém esse modelo de aplicação gera uma preocupação quanto à segurança desses sistemas. Como afirma Cabral. Terto (2011), durante os últimos anos o número de vulnerabilidades descobertas em aplicações web superou o número encontrado em 1 Graduando do curso de Bacharelado em Sistemas de Informação pela Faculdade Infórium de Tecnologia. 2 Graduando do curso de Bacharelado em Sistemas de Informação pela Faculdade Infórium de Tecnologia. 3 Pós-graduado em Gestão de Segurança da Informação. Professor da Faculdade Infórium de Tecnologia.

2 sistemas operacionais. Assim o objetivo geral do trabalho é demonstrar a necessidade de boas práticas de programação no desenvolvimento de sistemas web. São objetivos específicos: reunir informações que possam orientar por meio de normas, desenvolvedores de software para um desenvolvimento seguro de aplicações Web; bem como fornecer uma base aos profissionais e organizações sobre a importância de uma codificação segura nessa modalidade de sistema. A pergunta norteadora do estudo é no sentido de investigar a real necessidade da adoção de boas práticas de programação em aplicações Web. Justifica-se esta pesquisa tendo-se em vista que a informação é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida, sendo especialmente importante no ambiente dos negócios cada vez mais interconectados. Como resultado deste incrível aumento da interconectividade, a informação está exposta a uma grande variedade de ameaças e vulnerabilidades. De acordo com a Associação Brasileira de Normas Técnicas (ABNT), segurança da informação é obtida a partir das implementações de um conjunto de controles adequados, incluindo políticas, processos, estruturas organizacionais, hardware e funções de software. Dentre os exemplos citados, busca-se dar destaque no desenvolvimento de softwares. Quanto à metodologia do estudo, trata-se de uma pesquisa do tipo bibliográfica para qual se buscou reunir uma base conceitual e teórica para explicitar o tema proposto. Para a compreensão deste tema, este artigo foi dividido em cinco seções. A seção 1, esta introdução é indicativa do estudo, a seção 2 apresenta a abordagem teórica sobre a questão da segurança no desenvolvimento de aplicações Web, a seção 3 aborda as vulnerabilidades exploradas nas aplicações, a seção 4 aborda boas práticas para elaboração de uma aplicação Web mais segura, a seção 5 tece as conclusões obtidas.

3 2 ABORDAGEM TEÓRICA SOBRE SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES WEB De acordo com a McAfee for Businesss 4 (2014), uma das maiores ameaças que as organizações enfrentam nos dias atuais são os softwares desprotegidos, uma vez que os usuários mal intencionados voltam sua atenção para os aplicativos e softwares que formam a infra-estrutura de TI das organizações, assim a melhor forma de proteção é criar um software seguro desde o início. Seguindo a mesma linha de raciocínio Cabral. Terto (2011), afirma que processo de software é um conjunto de fatores e resultados associados desenvolvidos de forma cíclica em uma organização que produz softwares e buscam desenvolver aplicações com qualidade. Todas essas organizações adotam um processo de desenvolvimento mesmo que ele seja ineficaz. Alguns modelos de processos de software como, por exemplo: o processo unificado aberto (UP) 5, entre outros, foram concebidos em um momento histórico, onde a segurança de informação não era o foco principal até mesmo devido aos softwares não serem expostos de forma abrangente. [...] De fato, pode--se dizer que, de forma complementar aos incidentes de segurança decorrentes de falhas ou ataques do componente humano no trato da informação, a grande maioria dos demais incidentes de segurança da informação tem sua origem nas vulnerabilidades presentes no software. Um dos principais fatores causadores dessas vulnerabilidades é a codificação ingênua do software por um programador, quando o mesmo considera basicamente os cenários positivos de execução de um código, sem se preocupar com o caso de usuários maliciosos. (CABRAL; TERTO, 2011, p.10). Ainda segundo Cabral. Terto (2011), atualmente o processo de desenvolvimento de software não tem como requisito fundamental a segurança, que são influenciadas pela pressão do mercado. O desenvolvimento de um software seguro que não necessita de atualizações constantes ainda é um desafio para a indústria de desenvolvimento de software, que encontram problemas para desenvolver um produto que possibilite um gerenciamento seguro. Durante os últimos anos o número de vulnerabilidades descobertas em aplicações web superou o número encontrado em sistemas operacionais e com isso mais tentativas de 4 MacAfee é uma empresa focada em soluções de segurança de TI. 5 Processo Unificado Aberto (UP) é uma metodologia para desenvolvimento de software

4 ataques nessas aplicações. Com emprego de desenhos e codificação de software ingênua, que não consideram as más intenções dos usuários na outra ponta da aplicação, ou até mesmo o uso de bibliotecas de códigos de origem não confiável, torna o problema mais evidente, fazendo o uso de aplicações web arriscado. A forma mais comum de garantir que será produzido código seguro é por meio de aderência ao uso de padrões de codificação que reduzem a ocorrência de vulnerabilidades de código, chamados padrões de codificação segura, e da verificação de que os programadores a estão adotando. Tais padrões tendem a evitar a injeção de código e outros ataques. (CABRAL; TERTO, 2011, p.11). De acordo com dados levantados por Uto. Pereira (2009), as vulnerabilidades exploráveis listadas no ano de 2009, aproximadamente 80% estavam diretamente ligadas à má codificação de programas e outros 19% estavam ligados a problemas de projeto dos programas. Além disso, 40% das vulnerabilidades exploráveis do período estavam relacionados com problemas de estouro de buffers 6. Dessa forma pode-se afirmar que código não seguro representa uma grande fatia dos problemas de falha de segurança, já um é código seguro resulta em um software seguro que por sua vez consiste em uma composição de confidencialidade aplicáveis ao software. [...] Para minimizar vulnerabilidades de codificação, os desenvolvedores devem ser treinados em técnicas gerais de programação segura e nas especialidades das linguagens com as quais trabalham (UTO; PEREIRA, 2009, p.240). De acordo com o The Open Aplication Security Projet (OWASP, 2013) 7, a medida que a infraestrutura digital se torna cada vez mais complexa e interligada, torna-se mais difícil obter segurança em aplicações. Não sendo toleráveis problemas de segurança relativamente simples. Destaca-se das ideias expostas nesta seção que uma das maiores causas de vulnerabilidades em aplicações WEB está no código, onde na maioria das vezes a elaboração do software é realizada de forma descuidada, não levando em conta aspectos de segurança na elaboração dos códigos. 3 ABORDAGEM DAS VULNERABILIDADES EXPLORADAS EM UMA APLICAÇÃO WEB 6 Estouro de buffers consiste em uma falha de segurança explorada para fins de invasão de softwares 7 A OWASP é um dos mais importantes guias sobre segurança focada em aplicações Web

5 A OWASP (2010) retrata que o grande problema em relação às aplicações web é que mesmo a rede de comunicações sendo seguras, com firewall 8, controle de acesso entre outros mecanismos de segurança, ainda é possível que um usuário mal intencionado possa, através de entrada de dados em um formulário web, executar vários tipos de ataques que escapam completamente ao controle da equipe de segurança em redes. Diante do exposto, apresenta-se de acordo com pesquisa realizada pela OWASP (2013), algumas das técnicas utilizadas para explorar falhas nas aplicações Web. a) Injeção: as falhas de injeção, em especial SQL Injection, são comuns em aplicações Web. A injeção ocorre quando os dados fornecidos pelo usuário são enviados a um interpretador com parte do comando ou consulta. A informação fornecida pelo atacante engana o interpretador que irá executar comandos mal intencionados ou manipular informações. b) Autenticação Falha e Gerenciamento de Sessão: as credenciais de acesso e o token de sessão não são protegidos apropriadamente com bastante frequência. Atacantes comprometem senhas, chaves ou tokens de autenticação de forma a assumir a identidade de outros usuários. c) Cross-Site Scripting (XSS): os furos XSS ocorrem sempre que aplicações obtêm as informações fornecidas pelo usuário e as envia de volta ao navegador sem realizar validação ou codificação daquele conteúdo. O XSS permite aos atacantes roubar sessões de usuários e modificar sites Web. d) Referência Insegura Direta a Objetos: uma referência direta a objeto ocorre quando um desenvolvedor expõe a referência a um objeto implementado internamente, como é o caso de arquivos, diretórios, registros da base de dados ou chaves, na forma de uma URL ou parâmetro de formulário. Os atacantes podem manipular essas referências 8 Firewall é uma solução de segurança adotada em redes de computadores, podendo ser hardware ou software.

6 para acessar outros objetos sem autorização. e) Exposição de Dados Sensíveis: a maioria das aplicações web não protegem devidamente seus dados mais sensíveis, tais como cartões de crédito, Ids fiscais e credenciais de autenticação. Essas informações podem ser roubadas por atacantes com o propósito de realizar diversas fraudes. Dados sensíveis merecem proteção como criptografia no armazenamento ou no transporte. f) Falha de Restrição de Acesso à URL: frequentemente, uma aplicação protege suas funcionalidades críticas somente pela supressão de informações como links ou URLs para usuários não autorizados. Os atacantes podem fazer uso dessa fragilidade para acessar e realizar operações não autorizadas por meio do acesso direto às URLs. g) Cross Site Request Forgery (CSRF): um ataque CSRF força o navegador da vítima que esteja autenticado em uma aplicação a enviar uma requisição pré-autenticada a um servidor Web vulnerável, que por sua vez força o navegador da vítima a executar uma ação maliciosa para o atacante. O CSRF pode ser tão poderoso quanto à aplicação Web que ele ataca. h) Erros de Configuração de Segurança: atacantes acessam falhas de atualização em pacotes de correção ou atualização do sistema, com objetivo de ter acesso não autorizado para conhecimento do sistema. Erro na configuração de segurança pode acontecer em qualquer nível de uma pilha de aplicação, incluindo a plataforma, servidor web, servidor de aplicação, framework código customizado. Desenvolvedores e administradores de rede necessitam trabalhar juntos para garantir que a pilha de entrada seja configurada apropriadamente. i) Proteção insuficiente em nível de transporte: as aplicações frequentemente falham em criptografar tráfego de rede quando se faz necessário proteger comunicações críticas e confidenciais. j) Redirecionamento e Encaminhamentos não validados: frequentemente, aplicações web redirecionam e encaminham usuários para outras páginas

7 e sites web, e usa dados não confiáveis, sem uma validação apropriada para definir o destino. O atacante pode usar esse problema para redirecionar vítimas a sites maliciosos ou usar os encaminhamentos para acessar páginas não autorizadas. A OWASP (2013) destaca que os ataques de SQL e Cross -Site Scripting (XSS) estão no topo da lista de vulnerabilidades exploradas em aplicações web, desta forma descreve-se a seguir com maior detalhe a respeito dessas técnicas. - Injeção de SQL Um ataque de injeção de SQL é um tipo específico de ataque de injeção, baseado na exploração de características da linguagem SQL. O ataque é realizado a partir de um texto simples que explora a sintaxe do interpretador, frequentemente encontrado em consultas SQL, um ataque deste tipo pode resultar em perda ou roubo de dados, negação de acesso. Considerando o valor dos dados afetados o prejuízo pode ser muito grande. - Cross-Site Scripting (XSS) De acordo com a OWASP o ataque de Cross-Site Scripting é um dos ataques mais predominantes e perigosos em aplicações Web, pois esses ataques decorrem de uma combinação das características do protocolo Hipertext Transfer Protocol (HTTP), da mistura de dados, do uso de diversos esquemas de codificação e dos navegadores web com interface rica. O ataque acontece quando uma aplicação web que fica do lado servidor inclui nos dados de uma página web enviada para um usuário legitimo um conjunto de dados que foram previamente recebidos de um usuário malicioso. Estes dados contém um script malicioso, que quando executado no computador do usuário legitimo poderá ser usado para enviar dados para o atacante, englobando roubo de cookies, identificadores de sessão, senhas, dados de formulários entre outros. A OWASP (2013) exemplifica alguns cenários propensos a estes ataques, conforme os apêndices A e B deste estudo.

8 4 BOAS PRÁTICAS PARA UMA APLICAÇÃO WEB MAIS SEGURA. Conforme conceito descrito pela OWASP (2013), a segurança de softwares tem como objetivo manter a confidencialidade, integridade e disponibilidade dos recursos de informação e esse objetivo é possível por meio de implementação de controles de segurança. Assim descrevem-se algumas técnicas e metodologias descritas pela Microsoft (2005), juntamente com boas práticas descritas pela OWASP (2013). a) Security Development Lifecycle(SDL) O Security Development Lifecycle é um processo adotado pela MicroSoft, e consiste em uma série de atividades com o objetivo de conceber um software seguro. Essas atividades possuem aspectos como desenvolvimento de modelos de ameaça durante o design do software, o uso de ferramentas de verificação de código de análise estática durante a implementação, como também revisões de código e testes de segurança. b) Treinamento de segurança O treinamento de segurança consiste na aplicação de um treinamento desde o básico ao avançando para todos os membros da equipe de desenvolvimento, onde serão abordados princípios e tendências em segurança e privacidade. De acordo com a Microsoft (2005), os conceitos para serem abordados em um treinamento são; desenho seguro de software, redução de superfície de ataque, teste de segurança que envolva equilíbrio entre testes funcionais com testes de segurança. c) Requisitos Na fase de requisitos de segurança os detalhes relacionados à segurança são analisados com mais detalhes, juntamente com uma análise de custos, onde o objetivo é determinar se os recursos necessários para melhorar a segurança da aplicação estão de acordo com os objetivos do negócio do projeto de software. Um dos pontos mais fortes desta fase é o estabelecimento de um sistema para rastreamento das possíveis falhas de segurança.

9 d) Comprehensive, Lightweight Application Security Process (CLASP) O CLASP foi inicialmente desenvolvido pela empresa Secure Software e hoje está sobre a responsabilidade da OWASP. Ele articula práticas para a construção de software seguro, fazendo assim com que o ciclo de vida de desenvolvimento, Software Delevopment Life Cicle (SDLC), seja de maneira estruturada com repetição e mensuração. A OWASP (2008) descreve o CLASP como um conjunto de pedaços de processo que pode ser utilizado em qualquer processo de desenvolvimento de software. Ele foi projetado para ser de fácil utilização, onde é documentado as atividades que as organizações devem realizar, desta forma é proporcionado uma ampla riqueza de recursos de segurança que traz mais facilidade à implementação das atividades. O CLASP é organizado conforme a seguinte estrutura: a) Visões CLASP O processo de desenvolvimento seguro CLASP, pode ser visto por meio de perspectivas de alto nível, que são chamadas de Visões CLASP e essa é dividida em visão de conceito, visão baseada em regras, visão de avaliação de atividades, visão de implementação de atividades e visão de vulnerabilidade. A visão conceitual apresenta de modo geral o funcionamento do processo CLASP e também a interação de seus componentes, são introduzidas as melhores práticas, a interação entre o CLASP e as políticas de segurança e alguns conceitos de segurança e a relação entre elas. A visão baseada em regras estabelece as reponsabilidades básicas de cada membro do projeto (gerente, arquiteto, especificador de requisitos, projetista, implementador, analista de testes e auditor de segurança), relacionando cada um com sua atividade proposta, como também especifica quais os requerimentos básicos para cada função. A visão de avaliação de atividades descreve o objetivo de cada atividade, os custos para implementação, a aplicabilidade, o impacto de cada atividade e os riscos, caso alguma atividade não seja feita.

10 A visão de implementação descreve o conteúdo das 24 atividades de segurança definidas pelo CLASP e identifica os responsáveis pela implementação de cada atividade. A visão de vulnerabilidade engloba um catálogo que descreve 104 tipos de vulnerabilidades no desenvolvimento de software, divididas em cinco categorias: Erros de tipo e limites de tamanho; Problemas do ambiente; Erros de sincronização e temporização; Erros de protocolo e erros lógicos em geral. Nessa fase também são aplicadas técnicas de mitigação e avaliação de riscos. b) Caso de uso de Vulnerabilidades Os casos de uso de vulnerabilidades descrevem as condições as quais os serviços de segurança podem tornar aplicações de software vulnerável. Por meio de exemplos de fácil entendimento os casos de uso fornecem aos usuários CLASP o relacionamento de causa e efeito sobre a codificação do programa e seu design, ainda mostra os possíveis resultados da exploração de vulnerabilidades em serviços de segurança básicos, como por exemplo: Autorização, autenticação, confidencialidade, disponibilidade, responsabilização e não repúdio. 5 CONSIDERAÇÕES FINAIS O presente trabalho apresentou alguns aspectos sobre codificação segura no desenvolvimento de aplicações Web, onde buscou-se apresentar por meio de fundamentação teórica as principais vulnerabilidades exploradas nessas aplicações, como também descrever boas práticas para fins de mitigar as vulnerabilidades exploradas em códigos das aplicações. Por tanto com base na pesquisa realizada pode-se concluir que para a concepção de uma aplicação web segura é preciso que além da implementação de mecanismos de segurança de rede e politicas de segurança, seja adotado pelas organizações boas práticas de codificação, onde será possível a utilização de técnicas de codificação segura, ferramentas para testes e detecção de vulnerabilidades no código.

11 REFERÊNCIAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISSO/IEC 27002:2005. Tecnologia da Informação Técnicas de Segurança Código de Prática para Gestão da Segurança da Informação. CABRAL, Maristela e TERTO, Holanda. Segurança no Desenvolvimento de Aplicações. CEGSIC Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações. HOWARD, Michael e LIPNER, Steve. O clico de vida do desenvolvimento de segurança de computação confiável (2005). Disponível em: < Acesso em: 22 nov MCAFFE FOR BUSINESS. Criando Software seguro. Disponível em: < Acesso em: 27 nov OWASP. Melhores Práticas de Codificação Segura Guia de Referência Rápida Disponível em:< _v1.3_pt- BR.pdf >. Acesso em: 17 nov.2014 OWASP. Project CLASP. Disponível em: < OWASP_SCP_v1.3_pt-BR.pdf>. Acesso em: 17 nov OWASP. Os dez riscos de segurança mais críticos em aplicações web. Disponível em: < Acesso em: 17 nov UTO Nelson e PEREIRA, Sandro M. Vulnerabilidades em Aplicações Web e Mecanismos de Proteção. Disponível em: < Acesso em: 17 nov

12 Apêndice A Cenários de ataques de injeção de SQL - Neste exemplo é utilizado dados não confiáveis na construção da chamada SQL. String query = "SELECT * FROM accounts WHERE custid='" + request.getparameter("id") + "'"; - A utilização de frameworks como linguagem de consulta Hiebernate (HQL) de forma incorreta pode resultar em consultas vulneráveis. Query HQLQuery = session.createquery( FROM accounts WHERE custid=' + request.getparameter("id") + "'"); Nos dois casos descritos, o atacante modifica o valor do parâmentro id em seu navegador e envia or 1 = 1. Como exemplo: or '1'='1. Esse procedimento muda o significado das duas consultas para que sejam retornados todos os registros de tabelas de contas. Apêndices B Cenários de ataques de Cross-Site Scripting (XSS) - Utilização de dados não confiáveis na elaboração do trecho HTML sem validação ou filtro. (String) page += "<input name='creditcard' type='text value='" + request.getparameter("cc") + "'>"; - O atacante modifica o parâmetro CC sem eu navegador da seguinte forma: <script>document.location=' foo='+document.cookie</script>'.: Esse procedimento faz com que o ID de sessão da vítima seja enviado ao site do atacante, permitindo a captura da sessão atual do usuário.

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Modelo de processo para desenvolvimento de aplicações seguras OWASP. The OWASP Foundation http://www.owasp.org

Modelo de processo para desenvolvimento de aplicações seguras OWASP. The OWASP Foundation http://www.owasp.org Modelo de processo para desenvolvimento de aplicações seguras Tarcizio Vieira Neto member SERPRO tarcizio.vieira@owasp.org AppSec LATAM 2011 06/10/2011 Copyright The Foundation Permission is granted to

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Segurança em PHP Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Márcio Pessoa Novatec capítulo 1 Conceitos gerais No primeiro capítulo serão

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Algumas Leis da Segurança

Algumas Leis da Segurança Algumas Leis da Segurança Marcos Aurelio Pchek Laureano laureano@ppgia.pucpr.br Roteiro Leis Fundamentais Leis Imutáveis Seus significados Sua Importância 2 Algumas Leis da Segurança As leis Fundamentais

Leia mais

Privacidade na Web. Cristine Hoepers cristine@cert.br!

Privacidade na Web. Cristine Hoepers cristine@cert.br! Privacidade na Web Cristine Hoepers cristine@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação do Ponto BR Comitê Gestor da Internet

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Visão Geral do Mercado Embora o uso dos produtos da Web 2.0 esteja crescendo rapidamente, seu impacto integral sobre

Leia mais

ATIVIDADES PRÁTICAS SUPERVISIONADAS

ATIVIDADES PRÁTICAS SUPERVISIONADAS ATIVIDADES PRÁTICAS SUPERVISIONADAS CST em Análise e Desenvolvimento de Sistemas 4ª Série Desenvolvimento de Software Seguro A atividade prática supervisionada (ATPS) é um procedimento metodológico de

Leia mais

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Política de Software Seguro da empresa Produção S.A

Política de Software Seguro da empresa Produção S.A Política de Software Seguro da empresa Produção S.A 1 Índice 1.0 - Introdução ----------------------------------------------------------------------------------3 2.0 - Objetivo -------------------------------------------------------------------------------------4

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Segurança nos sites governamentais de Cabo Verde Security in the Cape Verdean government websites

Segurança nos sites governamentais de Cabo Verde Security in the Cape Verdean government websites Segurança nos sites governamentais de Cabo Verde Security in the Cape Verdean government websites Anilton Pina Brandão Laboratório de Educação Digital Universidade Jean Piaget de Cabo Verde Praia, Cabo

Leia mais

Ameaças, riscos e vulnerabilidades Cont. Objetivos

Ameaças, riscos e vulnerabilidades Cont. Objetivos Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

Sobre o Symantec Internet Security Threat Report

Sobre o Symantec Internet Security Threat Report Sobre o Symantec Internet Security Threat Report O Symantec Internet Security Threat Report apresenta uma atualização semestral das atividades das ameaças na Internet. Nele se incluem as análises dos ataques

Leia mais

Computação em Nuvem: Riscos e Vulnerabilidades

Computação em Nuvem: Riscos e Vulnerabilidades Computação em Nuvem: Riscos e Vulnerabilidades Bruno Sanchez Lombardero Faculdade Impacta de Tecnologia São Paulo Brasil bruno.lombardero@gmail.com Resumo: Computação em nuvem é um assunto que vem surgindo

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

Injeção de SQL - Detecção de evasão

Injeção de SQL - Detecção de evasão Injeção de SQL - Detecção de evasão Resumo A detecção dos ataques de injeção de SQL era feita inicialmente com o uso de técnicas de reconhecimento de padrões, verificados contra assinaturas e palavraschave

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

UMA VISÃO GERAL DA COMPUTAÇÃO EM NUVEM

UMA VISÃO GERAL DA COMPUTAÇÃO EM NUVEM UMA VISÃO GERAL DA COMPUTAÇÃO EM NUVEM Ederson dos Santos Cordeiro de Oliveira 1, Tiago Piperno Bonetti 1, Ricardo Germano 1 ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil edersonlikers@gmail.com,

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

Auditoria e Segurança de Sistemas: Apresentação da Disciplina

Auditoria e Segurança de Sistemas: Apresentação da Disciplina Auditoria e Segurança de Sistemas: Apresentação da Disciplina Adriano J. Holanda http://holanda.xyz 4 de agosto de 2015 Ementa Segurança em informática como fator crítico de sucesso nas empresas; Planos

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Aplicação Prática de Lua para Web

Aplicação Prática de Lua para Web Aplicação Prática de Lua para Web Aluno: Diego Malone Orientador: Sérgio Lifschitz Introdução A linguagem Lua vem sendo desenvolvida desde 1993 por pesquisadores do Departamento de Informática da PUC-Rio

Leia mais

Política de privacidade do Norton Community Watch

Política de privacidade do Norton Community Watch Política de privacidade do Norton Community Watch Data de início: 5 de agosto de 1999 Última atualização: 16 de abril de 2010 O que é o Norton Community Watch? O Norton Community Watch permite que os usuários

Leia mais

A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS

A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS Rafael Mariano Rodrigues Silva¹, Júlio Cesar Pereira¹ Universidade Paranaense (Unipar) Paranavaí PR Brasil rafaelmarianors@gmail.com, juliocesarp@unipar.br

Leia mais

Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2

Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Aula 2 Computação em Nuvem Desafios e Oportunidades A Computação em Nuvem

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

Quais tipos de informações nós obteremos para este produto

Quais tipos de informações nós obteremos para este produto Termos de Uso O aplicativo Claro Facilidades faz uso de mensagens de texto (SMS), mensagens publicitárias e de serviços de internet. Nos casos em que houver uso de um serviço tarifado como, por exemplo,

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Políticas de Segurança. Everson Santos Araujo everson@por.com.br

Políticas de Segurança. Everson Santos Araujo everson@por.com.br Políticas de Segurança Everson Santos Araujo everson@por.com.br Política de Segurança Política de Segurança é um conjunto de diretrizes que definem formalmente as regras e os direitos dos funcionários

Leia mais

UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO

UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO CURITIBA 2011 JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB:

Leia mais

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS Autor(a): Tatiene Rochelle Santana Melo Coautor(es): Gliner Dias Alencar INTRODUÇÃO Com o aumento

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

UNIVERSIDADE FEDERAL DE SANTA MARIA CENTRO DE TECNOLOGIA AULA 10 PROFª BRUNO CALEGARO

UNIVERSIDADE FEDERAL DE SANTA MARIA CENTRO DE TECNOLOGIA AULA 10 PROFª BRUNO CALEGARO UNIVERSIDADE FEDERAL DE SANTA MARIA CENTRO DE TECNOLOGIA AULA 10 PROFª BRUNO CALEGARO Santa Maria, 10 de Outubro de 2013. Revisão aula anterior Documento de Requisitos Estrutura Padrões Template Descoberta

Leia mais

MÓDULO 11 ELEMENTOS QUE FAZEM PARTE DO PROJETO DO SISTEMA

MÓDULO 11 ELEMENTOS QUE FAZEM PARTE DO PROJETO DO SISTEMA MÓDULO 11 ELEMENTOS QUE FAZEM PARTE DO PROJETO DO SISTEMA Através dos elementos que fazem parte do projeto do sistema é que podemos determinar quais as partes do sistema que serão atribuídas às quais tipos

Leia mais

AULA 5. Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação.

AULA 5. Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação. AULA 5 OBJETIVOS EM SEGURANÇA DA INFORMAÇÃO Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação. Podemos listar como

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Sequência da Apresentação

Sequência da Apresentação Fernando Welter Orientador: Paulo Roberto Dias Sequência da Apresentação Introdução Objetivos Fundamentação teórica Desenvolvimento do sistema Operacionalidade da implementação Resultados e discussões

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Outubro de 2007 Resumo Este white paper explica a função do Forefront Server

Leia mais

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Palestrante: Alexandre Sieira, CISSP Autores: Alexandre Correia Pinto, CISSP Alexandre Sieira, CISSP

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Segurança da Informação. Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha

Segurança da Informação. Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha Segurança da Informação Givanaldo Rocha givanaldo.rocha@ifrn.edu.br http://docente.ifrn.edu.br/givanaldorocha Cenário Atual Era da Informação e da Globalização: Avanços da Tecnologia da Informação; Avanços

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

17º Seminário de Capacitação e Inovação Ementa dos cursos

17º Seminário de Capacitação e Inovação Ementa dos cursos 17º Seminário de Capacitação e Inovação Ementa dos cursos Local: Hotel Everest Rio (Avenida Prudente de Morais nº 1117, Ipanema) Cidade: Rio de Janeiro RJ Período: 24 a 28/10/2011 Carga horária de cada

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

Módulo 4: Gerenciamento de Dados

Módulo 4: Gerenciamento de Dados Módulo 4: Gerenciamento de Dados 1 1. CONCEITOS Os dados são um recurso organizacional decisivo que precisa ser administrado como outros importantes ativos das empresas. A maioria das organizações não

Leia mais