Segurança da Informação

Tamanho: px
Começar a partir da página:

Download "Segurança da Informação"

Transcrição

1 Segurança da Informação Conceito Está cada vez mais difícil manter em segurança as informações referentes a empresas ou pessoas. O descuido nessa área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das empresas está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm alguma política de segurança. A Segurança da Informação refere-se à proteção requerida para proteger as informações de empresas ou de pessoas, ou seja, o conceito se aplica tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. Podem ser estabelecidas métricas para definição do nível de segurança existente e requerido. Dessa forma, são estabelecidas as bases para análise da melhoria da situação de segurança existente. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação. Propriedades As principais propriedades que orientam a análise, o planejamento e a implementação de uma política de segurança são confidencialidade, integridade e disponibilidade. Na medida em que se desenvolve o uso de transações comerciais em todo o mundo, por intermédio de redes eletrônicas públicas ou privadas, outras propriedades são acrescentadas às primeiras, como legitimidade e autenticidade. Confidencialidade - Propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Integridade - Propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição). Disponibilidade - Propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Em todas as fases da evolução corporativa, é fato que as transações de toda a cadeia de produção passando pelos fornecedores, fabricantes, distribuidores e consumidores sempre tiveram a informação como uma base fundamental de relacionamento e coexistência. O fato é que hoje, quer seja como princípio para troca de mercadorias, segredos estratégicos, regras de mercado, dados operacionais, quer seja simplesmente resultado de pesquisas, a informação, aliada à crescente complexidade do mercado, à forte concorrência e à velocidade imposta pela modernização das relações corporativas, elevou seu posto na pirâmide estratégica, tornando-se fator vital para seu sucesso ou fracasso. Proteção da informação DiálgoTI / NextGenerationCenter Pagina 1

2 Entre as inúmeras tendências que explodiram em tecnologia, poucas assumiram o status de imprescindível. Ao fazer uma comparação, ainda que os sistemas de ERP e CRM sejam de vital importância para a rotina corporativa, ou que soluções de Business Intelligence e Balanced Scorecard permitam aos negócios atingir patamares invejáveis de lucratividade, a Segurança da Informação é a única que não pode faltar em nenhuma hipótese. É ela que protege o bem maior das companhias, ou seja, a informação estratégica. Para entender a importância da proteção das informações, basta pensar no prejuízo que causaria para os negócios a posse desses dados pela concorrência ou por alguém malintencionado. Atualmente, o período é de revisão de processos e de avaliação de soluções que protejam cada vez mais as informações corporativas, sem impactar fortemente na produtividade. Fato é que hoje a segurança é considerada estratégica e já encabeça a lista de preocupações de grandes empresas. A Segurança deixou de ser submetida aos domínios da TI, para se tornar uma nova área que responde ao vice-presidente ou ao gestor de operações, ganhando orçamento próprio, salas específicas e, claro, prazos e demandas a serem atendidas. Um dos maiores dilemas da Segurança da Informação está relacionado com a proteção dos ativos e a compreensão da amplitude desse conceito dentro da empresa. A idéia de ativo corporativo envolve também uma questão de difícil medição: a marca da companhia e a percepção que ela desperta no mercado. Um grande escândalo, uma falha latente ou uma brecha negligenciada podem sepultar uma companhia para sempre, ainda que ela tenha tido muito sucesso até então. Outra questão relacionada com a Segurança da Informação, que também causa preocupação, é que se trata de um investimento sem fim. Pois à medida que ela vai se fortalecendo, os ataques cada vez mais vão se sofisticando também. Um caminho sem volta Não há como voltar atrás. Qualquer companhia, desde a pequena empresa com dois ou três PCs, até uma complexa organização com atuação em diversos países, sabe que em maior ou menor grau a tecnologia é essencial para seu negócio. E é justamente por ser vital, que esse bem não palpável traz consigo uma necessidade básica: segurança. O desafio não é tão simples. Pela própria natureza, embora muitas empresas de TI estejam se esforçando para mudar essa realidade, a segurança da informação é reativa. Isso significa que, tradicionalmente, primeiro verifica-se a existência de um problema, como vírus, fraude, invasão, para depois encontrar sua solução, vacina, investigação, correção de vulnerabilidade. Para muitos, esse cenário pode causar pânico. Afinal, primeiro eleva-se a informação ao patamar mais crítico da empresa, tornando-a peça principal do jogo. Em seguida, vê-se que esse dado, pela forma e processo com que é disponibilizado, corre o risco de ser corrompido, alterado ou roubado por um garoto de 16 anos, que resolveu testar programas hackers disponibilizados na própria Internet ou, em casos piores, usurpado por funcionários e passado para a concorrência ou ainda simplesmente causando danos financeiros à empresa. Mas já existem práticas e soluções tecnológicas suficientemente eficientes para comprovar que a digitalização das transações corporativas não transformou os negócios em uma "terra de ninguém". Embora reconheçam que afirmar ser 100% seguro é algo precipitado e arriscado, especialistas de segurança apontam que educação profissional, processos e DiálgoTI / NextGenerationCenter Pagina 2

3 tecnologia formam um tripé resistente no combate ao crime eletrônico. Pesquisas mostram que aumentam os investimentos na proteção dos dados. A segurança é o maior desafio das soluções em TI para o sistema financeiro. Nem só de software Outro fenômeno que tem sido observado é a concentração dos serviços de segurança pelo grupo dos dez maiores integradores mundiais. Isso reflete a necessidade prioritária das grandes corporações e governos de moverem-se em direção a fornecedores sólidos, que possam atender as demandas com flexibilidade, inteligência e rapidez, elevando a importância dos fatores de ética profissional, confiabilidade e independência, posicionando-se para o gestor como o "security advisor corporativo". Mas as experiências corporativas demonstraram que não é só de software que se constrói uma muralha resistente à crescente variedade de ameaças, falhas e riscos. É preciso que as ações corporativas sejam direcionadas por um Plano Diretor de Segurança, de forma que possam estar à frente de determinadas situações de emergência e risco, uma postura mais pró-ativa que reativa. Esse plano será responsável por verificar se a corporação está destinando verba suficiente para manter o nível de segurança alinhado com as expectativas de negócios. Também apontará se as vulnerabilidades são de fato corrigidas ou se há uma falsa sensação de segurança. É muito comum haver grande disparidade entre o cenário que se pensa ter e aquilo que realmente ele é. De forma mais ampla, esse plano deve considerar questões estratégicas, táticas e operacionais de negócios, atrelando-as a três tipos básicos de risco: humano, tecnológico e físico. Ao longo desse curso será abordada cada uma dessas variáveis, desde os tipos mais tradicionais de vírus que se disseminam pela rede, até as portas mais vulneráveis da empresa, passando pelo monitoramento de sua rede, seus profissionais, soluções de TI, gestão e políticas de segurança. Tecnologias O maior desafio da indústria mundial de software de segurança é prover soluções no espaço de tempo mais curto possível, a partir da descoberta de determinada ameaça ou problema. Mas foi-se o tempo em que tudo se resumia a encontrar um antivírus eficaz, que fosse capaz de deter um determinado vírus. Hoje em dia, os vírus de computador não são mais os únicos vilões do crime digital. Não se trata mais de apenas proteger a estação de trabalho do funcionário. A companhia deve garantir que o correio eletrônico enviado desse mesmo computador passará pelo servidor da empresa, seguirá pela Internet (ou, em certos casos, por uma rede privada virtual), chegará a um outro servidor, que transmitirá a mensagem ao destinatário com a garantia de que se trata de um conteúdo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada. Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar atrelada a um amplo Programa de Segurança da Informação, que se constitui de pelo menos DiálgoTI / NextGenerationCenter Pagina 3

4 três fases principais: 1) O primeiro passo consiste em realizar o levantamento e a classificação dos ativos da empresa. 2) Concluída essa fase, é preciso avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar a sua segurança. 3) A infraestrutura de tecnologias é a terceira fase desse planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso. Infraestrutura Apresentar um organograma consolidado das ferramentas e soluções que compreendem a segurança de uma rede corporativa é algo, em certo sentido, até arriscado, considerando a velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaças. No entanto, algumas aplicações já fazem parte da rotina e do amadurecimento tecnológico de muitas organizações que, pela natureza de seus negócios, compreenderam quão críticas são suas operações. Algumas dessas aplicações são: Antivírus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico. Balanceamento de carga: Ferramentas relacionadas à capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papéis da segurança corporativa é garantir a disponibilidade da informação, algo que pode ser comprometido se não houver acompanhamento preciso da capacidade de processamento da empresa. Firewall: Atua como uma barreira e cumpre a função de controlar os acessos. Basicamente, o firewall é um software, mas também pode incorporar um hardware especializado. Sistema Detector de Intrusão (IDS, da sigla em inglês): Como complemento do firewall, o IDS se baseia em dados dinâmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, códigos de ataque etc. Varredura de vulnerabilidades: Produtos que permitem à corporação realizar verificações regulares em determinados componentes de sua rede como, por exemplo, servidores e roteadores. Rede Virtual Privada (VPN, da sigla em inglês): Uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs são canais em forma de túnel, fechados, utilizados para o tráfego de dados criptografados entre divisões de uma mesma companhia, parceiros de negócios. Criptografia: Utilizada para garantir a confidencialidade das informações. Autenticação: Processo de identificação de pessoas, para disponibilizar acesso. Baseia-se em algo que o indivíduo saiba (uma senha, por exemplo), com algo que ele tenha (dispositivos como tokens, cartões inteligentes, certificados digitais); e em algo que ele seja (leitura de íris, linhas das mãos). Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operações da companhia. Mais que uma solução, trata-se de um conceito. Sistemas antispam: eliminam a maioria dos s não solicitados. Software de backup: São programas para realizar cópias dos dados para que, em alguma situação de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuperá-los. DiálgoTI / NextGenerationCenter Pagina 4

5 Pela complexidade de cada uma das etapas compreendidas em um projeto de segurança, especialistas recomendam que a empresa desenvolva a implementação baseando-se em projetos independentes. Falsa sensação de segurança O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e ataques é confiar cegamente em uma estrutura que não seja capaz de impedir o surgimento de problemas. Por isso, os especialistas não confiam apenas em uma solução baseada em software. Quando se fala em tecnologia, é necessário considerar três pilares do mesmo tamanho, apoiados uns nos outros para suportar um peso muito maior. Esses três pilares são as tecnologias, os processos e as pessoas. Não adianta fortalecer um deles, sem que todos os três não estejam equilibrados. Ao se analisar a questão da Segurança da Informação, no entanto, além da importância relativa de cada um desses pilares, é preciso levar em conta um outro patamar de relevância, pois estará sendo envolvida uma gama muito grande de soluções de inúmeros fornecedores. Por isso, a Segurança da Informação precisa envolver Tecnologias, Processos e Pessoas em um trabalho que deve ser cíclico, contínuo e persistente, com a consciência de que os resultados estarão consolidados em médio prazo. Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares são importantes e complementares para uma atuação segura: uma casa. Sua proteção é baseada em grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a analogia dá conta da interdependência entre as bases da atuação da segurança e de como cada parte é fundamental para o bom desempenho da proteção na corporação. Recursos de proteção A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma estrutura de Segurança da Informação, com política e normas definidas, sem soluções moderníssimas que cuidem da enormidade de pragas que infestam os computadores e a Internet hoje em dia. Os appliances de rede, com soluções de segurança integradas, também precisam ser adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet e destacado entrave para a produtividade, também podem ser alocados para dentro do chapéu da Segurança da Informação. Programas para controlar o acesso de funcionários, bloqueando as visitas a páginas suspeitas e que evitem sites com conteúdo malicioso, também são destaques. Mas antes da implementação da tecnologia, é necessária a realização de uma consultoria que diagnostique as soluções importantes. Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essa estrutura dentro de uma rotina corporativa que demanda urgência e dificilmente está completamente dedicada à segurança? A melhor resposta está no gerenciamento unificado. A adoção de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de análise dos pré-requisitos em segurança. DiálgoTI / NextGenerationCenter Pagina 5

6 Outro ponto do tripé são os processos, que exigem revisão constante. O grande combate realizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é equilibrar a flexibilidade dos processos de forma que eles não tornem a companhia frágil, mas que, por outro lado, não endureça demais a produtividade, em busca do maior nível possível de segurança. A visão da companhia como um emaranhado de processos causou grande revolução ao ir de encontro com os conceitos de gestão clássicos, focados na estrutura. Nesse novo enfoque, a adição de segurança segue a mesma linha turbulenta. Como no novo modelo, todos os processos estão integrados, um impacto causado pela segurança pode não apenas causar prejuízos para a rotina da empresa, mas também criar certo mal-estar entre as áreas. Tomar atitudes cautelosas e estudadas, mas sem receio de atritos, precisa ser a prática do gestor. Pessoas: desafio constante A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito para chegar à conclusão de que as pessoas são pedras fundamentais dentro do ambiente corporativo, sobretudo em Segurança da Informação. Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, do inimigo interno. As pessoas estão em toda a parte da empresa e enxergam como ponto fundamental apenas a proteção da máquina. Os cuidados básicos com as atitudes das pessoas, muitas vezes são esquecidos ou ignorados. Encontrar senhas escritas e coladas no monitor, bem como a troca de informações sigilosas em ambientes sem confidencialidade, como táxi e reuniões informais são situações muito comuns. Assim, contar com a colaboração das pessoas é simplesmente fundamental numa atividade crítica para a empresa e que não tem final em vista. Mas o ponto principal da preocupação com as pessoas é que os fraudadores irão à busca delas para perpetrar seus crimes. Uma exigência cada vez mais importante para o CSO é ser também um gestor de pessoas, uma vez que elas podem causar muitos estragos e provocar sérios prejuízos. Mas ao se analisar o contexto de formação dos gerentes de segurança, talvez seja esse o ponto mais fraco. Investimento em formação profissional nesse sentido é uma iniciativa muito válida, assim como intercâmbio de informações entre áreas como Recursos Humanos e Marketing para aumentar o alcance e a eficácia das recomendações. O fato de envolver um dilema cultural também é outro complicador. Segurança da Informação representa um desafio de inédita magnitude para os profissionais do setor e, também, para a companhia como um todo. Gestor da Segurança da Informação Estabelecer procedimentos em transações corporativas, operar por meio de regras de acesso e restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou vulnerabilidades e, acima de tudo, manter um padrão no que se refere à segurança da companhia. Entre outras, são essas as atribuições que culminaram na criação da função de CSO Chief Security Officer, ou Gestor da Segurança da Informação. DiálgoTI / NextGenerationCenter Pagina 6

7 Todas as mudanças importantes ocorridas em Segurança da Informação demandavam um novo profissional. O gestor de tecnologia não tinha condições, e muito menos tempo, para assumir toda essa área que se constituía com velocidade estonteante. A resposta foi a criação de uma nova função dentro da companhia que organizasse e coordenasse as iniciativas em Segurança da Informação em busca da eficiência e eficácia no tema. Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode desenhar a estratégia de Segurança da Informação de maneira competente, implementando políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade. Ainda que a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes companhias, não se chegou a um consenso sobre a natureza do seu cargo. Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sob o mesmo chapéu a Segurança lógica e a física. O isolamento entre essas áreas pode ser fatal para uma companhia no caso de um desastre natural, como o furacão Katrina em 2005, que atingiu a cidade norte-americana de Nova Orleans, ou o tsunami que afetou a Indonésia em 2004, ou até mesmo uma pane elétrica ou incêndio. Responsabilidades Algumas metas gerais para os gestores de segurança são: Desenvolver e implementar políticas, padrões e guias gerais para o pessoal, para a segurança de dados, recuperação de desastre e continuidade de negócios. Supervisionar o contínuo monitoramento e proteção da infra-estrutura, os recursos necessários de processos que envolvam pessoas ou dados. Avaliar possíveis brechas de segurança e recomendar as correções necessárias. Negociar e gerenciar service-level agreements (SLAs) com fornecedores externos de serviços de proteção ou hospedagem de dados. Qualificações Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também e aumentam as atribuições e as habilidades necessárias para exercer a função de CSO. Hoje, um CSO tem de entender de segurança, conhecer bem os negócios e participar de todas as ações estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de negócios. As qualificações que costumam ser exigidas para o cargo de CSOs são: Habilidades em questões de segurança física Familiaridade com a linguagem e os dilemas próprios da TI Experiência prévia em segurança é um destaque, se acompanhada também por conhecimento de negócios Exigência de lidar com pessoas Facilidade de comunicação, para ter a desenvoltura necessária para fazer a interface tanto na esfera de decisão quanto nos diversos setores e níveis culturais dentro da companhia Capacidade de liderança e de gerenciamento de equipes para atingir uma atuação bemsucedida em qualquer corporação Ter conhecimentos maduros sobre questões como autenticação, auditoria, preservação da DiálgoTI / NextGenerationCenter Pagina 7

8 cena do crime real ou virtual, e gerenciamento de risco Ter visão estratégica e experiência no gerenciamento das operações Formação Geralmente, o CSO possui formação em Ciências da Computação, Engenharia ou Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas é diminuir os riscos nas operações, com todas as conseqüências positivas. Mas a verdade é que um profissional assim tão completo não é encontrado facilmente no mercado. Por isso, calcula-se que há mais de 20 mil vagas abertas para CSOs naquele país. No Brasil, a demanda não chega a ser tão grande, mas esses profissionais já são comuns em instituições financeiras, seguradoras, operadoras de telecomunicação e empresas com operações na Internet. Especialistas em carreira recomendam que o CSO tenha atuação independente e não se reporte ao CIO, mas diretamente à diretoria ou à presidência. Estatísticas recentes apontam para o crescimento dos empregos na área de segurança. De acordo com estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium, a projeção de profissionais para a região das Américas passará de 647 mil em 2006 para 787 mil em O estudo Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO. Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação e 73% afirmaram que esta tendência se manterá. Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. E para isso, é preciso contar com profissionais competentes para lidar com soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas. Dessa forma, o CSO deve proceder a gestão de riscos e está mais integrado às funções de negócio. Profissionais de segurança precisam aprimorar suas habilidades técnicas e de negócio para que possam exercer a função. Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação é procurar obter certificações de uma associação de segurança profissional, para ajudar a impulsionar a carreira. Para 90% dos participantes da pesquisa envolvidos com contratação, as certificações são um pouco ou muito importantes na decisão de contratar alguém. Mais de 60% pretendem adquirir pelo menos uma certificação de segurança da informação nos próximos 12 meses. A certificação de Segurança da Informação pode ser dependente e/ou independente de fabricantes e ambas são úteis para o desenvolvimento da carreira. As credenciais atreladas a fabricantes (como as da Cisco e da Microsoft, por exemplo) são meios importantes para conseguir as habilidades necessárias ao cargo. No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificações Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções. Ao elaborar o plano de carreira, as associações que oferecem serviços de construção de carreira e educação continuada podem ajudar. No contato com essas associações, o candidato a CSO pode explorar oportunidades para demonstrar sua experiência na área, DiálgoTI / NextGenerationCenter Pagina 8

9 fazer parte de redes de comunicação com colegas, e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário. Entretanto, certificações e experiência na área são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CSO, é necessário saber se comunicar em termos de negócios. Para isso, a proficiência técnica deve ser aliada à habilidade de transmitir o valor do negócio. O CSO deve ser capaz de explicar os benefícios da segurança em termos de retorno do investimento (ROI), seu valor para melhorar a capacidade da empresa em fechar negócios, além de deixar claro quais são as soluções práticas que ela pode trazer para a resolução dos problemas. Dicas para se tornar um CSO 1) Aprender a colaborar com outros departamentos, para integrar e avaliar outras funções. Pesquisa da IDC indica os entrevistados afirmam que 62% de suas tarefas cotidianas dependem da troca de informação ou da cooperação com outras pessoas. 2) Adotar a abordagem do valor agregado, ou seja, alinhar suas atribuições e responsabilidades com as metas de negócio de cada departamento. 3) Desenvolver seu próprio círculo de confiança dentro da organização, com representantes de cada departamento para ajudar a promover a compreensão mútua, a valorização e o trabalho em equipe. 4) Manter conversas com executivos para que eles possam conhecê-lo e aprender a confiar em você. Essas conversas devem ser sucintas, porém expressivas, contendo termos de negócio e não vocabulário geek ou acrônimos. Determine como você pode agregar valor às suas metas e demonstre por que você deve ser consultado ou incluído em uma reunião. 5) Oferecer treinamento para conscientizar os executivos e usuários sobre ameaças à segurança que afetam os home offices e apresentar técnicas de prevenção. O objetivo é conquistar confiança dos executivos na sua capacidade de fazer recomendações para as redes da empresa. 6) Aprender a equilibrar riscos e oportunidade. Muitos executivos consideram o staff de segurança inflexível e evitam convidá-lo para reuniões de estratégia. Seja flexível ao equilibrar os riscos à segurança com os processos de negócio que ajudam a organização a cumprir as metas. Vulnerabilidades Em pouco tempo, os computadores se tornaram uma parte intrínseca e essencial da vida cotidiana. O resultado é um enorme potencial de lucros financeiros para os criadores de programas mal-intencionados. Com a ascensão de técnicas sofisticadas, está ficando cada vez mais difícil para a base de usuários em geral identificar ou evitar as infecções por programas mal-intencionados. A principal ameaça à segurança das transações corporativas são as pessoas. Esta é a primeira resposta que muitos institutos de pesquisas e especialistas de segurança têm utilizado quando questionados sobre a principal ameaça às transações corporativas. DiálgoTI / NextGenerationCenter Pagina 9

10 Soluções tecnológicas sofisticadas, integradas a parceiros, clientes e fornecedores, a última palavra em ferramentas de gestão empresarial, relatórios detalhados etc. Nada disso tem valor se não há restrições, políticas e processos que estabeleçam e organizem a conduta do profissional dentro da corporação. Na maior parte das vezes, já se verifica que os problemas relacionados à interferência humana não estão diretamente ligados a ações fraudulentas ou às demais situações em que o funcionário tem o objetivo de prejudicar sua empresa. Pelo contrário. A grande maioria dos incidentes de segurança ocorre por falta de informação, falta de processos e orientação ao recurso humano. Outro fator determinante nessa equação está vinculado à evolução rápida e contínua das tecnologias. Em pouco tempo, até mesmo os computadores domésticos ganham recursos em potência e em capacidade de armazenamento. Ao mesmo tempo em que essa evolução proporciona inúmeros benefícios, também se encarrega de gerar novos riscos e ameaças virtuais. Esse cenário, que estará presente em breve em muitas residências, sinaliza o que virá no ambiente corporativo. Mas as questões de segurança atreladas à gestão de pessoal são apenas parte dos desafios que as empresas precisam enfrentar na atualidade. Antes desses, e não menos críticas, estão as vulnerabilidades tecnológicas, renovadas a cada instante. Especialistas em identificar e estudar essas brechas vêm se esforçando para alertar sobre aquelas que hoje são consideradas as principais ameaças às transações eletrônicas. O System Administration, Networking and Security (SANS) e o National Infrastructure Protection Center (NIPC/FBI) são bons exemplos dessa realidade. A seguir estão mencionadas algumas das falhas mais comumente identificadas, independentemente do porte ou da área de atuação da companhia, bem como da complexidade de sua infra-estrutura tecnológica e dos sistemas que utiliza. Senhas fracas Muitas vezes, as senhas de um funcionário podem ser facilmente descobertas, mesclando itens comuns como nome e sobrenome, data de aniversário, nome de esposa, filho etc. A administração desses acessos também se dá de forma desordenada, o usuário geralmente não tem educação para lidar com seu código de acesso. Atualmente, as empresas contam com o benefício de estabelecer uma autenticação forte, isto é, mesclar algo que o usuário sabe (memória), com algo que ele tem (token) e algo que ele é (biometria). Algumas ferramentas possibilitam à corporação verificar o grau de segurança das senhas de seus funcionários. Utilizar um desses recursos para quebra de senhas pode ser um bom caminho para identificar contas com senhas fracas ou sem senha. Sistemas de backups falhos Muitas empresas afirmam realizar backups diários de suas transações, mas sequer fazem manutenção para verificar se o trabalho realmente está sendo feito. É preciso manter backups atualizados e métodos de recuperação dos dados previamente testados. Muitas vezes, uma atualização diária é pouco diante das necessidades da empresa, caso venha a sofrer algum dano. Também é recomendável tratar da proteção física desses sistemas, que por vezes ficam relegados à manutenção precária. Já é comum, depois dos tristes fatos ocorridos em 11 de setembro de 2001, sites de backup onde os dados são replicados e, em DiálgoTI / NextGenerationCenter Pagina 10

11 caso de uma catástrofe, os sistemas são utilizados para a continuidade dos negócios. Portas abertas Portas abertas são convites para invasões. Boas ferramentas de auditoria de servidores ou de scan podem auxiliar a empresa a identificar quais são suas brechas nos sistemas. Para não ser surpreendido, é recomendado fazer uma auditoria regular dessas portas. Independentemente da ferramenta utilizada para realizar essa operação, é preciso que ela varra todas as portas UDP e TCP do sistema, nas quais se encontram os alvos atacados por invasores. Além disso, essas ferramentas verificam outras falhas nos sistemas operacionais tais como serviços desnecessários e aplicações de patches de segurança requeridos. Brechas de instalações Muitos fornecedores de sistemas operacionais padrão (default) e aplicativos oferecem uma versão padrão e de fácil instalação para seus clientes. Eles acreditam que é melhor habilitar funções que não são necessárias, do que fazer com que o usuário tenha de instalar funções adicionais quando necessitar. Embora esse posicionamento seja conveniente para o usuário, ele acaba abrindo espaço para vulnerabilidades, já que não mantém, nem corrige componentes de software não usados. Sobre os aplicativos, é comum que instalações default incluam scripts ou programas de exemplos, que muitas vezes são dispensáveis. Sabe-se que uma das vulnerabilidades mais sérias relacionadas a servidores web diz respeito aos scripts de exemplo, os quais são utilizados por invasores para invadir o sistema. As recomendações básicas são remover softwares desnecessários, desabilitar serviços fora de uso e bloqueio de portas não usadas. Falhas em sistemas de logs Logs são responsáveis por prover detalhes sobre o que está acontecendo na rede, quais sistemas estão sendo atacados e os que foram de fato invadidos. Caso a empresa venha a sofrer um ataque, será o sistema de registro de logs o responsável por dar as pistas básicas para identificar a ocorrência, saber como ocorreu e o que é preciso para resolvê-la. É recomendável realizar backup de logs periodicamente. Transações sem fio desprotegidas Os equipamentos móveis são tecnologias emergentes. No entanto, os padrões de comunicação utilizados atualmente requerem configuração minuciosa para apresentar um mínimo de segurança (encontre mais detalhes no próximo módulo deste curso). Novos padrões prometem mais tranqüilidade à comunicação wireless. No entanto, é recomendável ter cautela na adoção desses recursos, conforme o grau de confidencialidade do que está sendo transmitido pelo canal sem fio. Falha na atualização de camadas de segurança e sistemas operacionais A falta de gerenciamento de cada ferramenta de segurança e a correção de software disponibilizado pelos fornecedores estão entre os fatores mais críticos na gestão corporativa. Para muitos, esse é um desafio constante, visto o volume de patches anunciado por diversos fornecedores, bem como a velocidade com que se atualizam os softwares de segurança. Já existem, inclusive, empresas especializadas em fornecer ferramentas que cumprem a função específica de automatizar a atualização de patches de segurança. Um Plano Diretor de Segurança deve contemplar e explicar, em detalhes, como esses processos devem ser realizados. DiálgoTI / NextGenerationCenter Pagina 11

12 Dez ameaças de 2008 Enquanto o volume de fraudes via internet banking caiu de 300 milhões de reais em 2007 para 130 milhões de reais este ano, o mercado negro de comercialização de informações confidenciais faturou mais de 276 milhões de dólares, o número de malwares triplicou, as redes sociais como Orkut, Facebook e Myspace foram vítimas de ataques de engenharia social. Em 2008, os crackers provaram que os sistemas de segurança (firewall, antivírus, anti-spam, IDS) utilizados atualmente passam uma falsa sensação de segurança. Quanto mais segurança implementamos, novas técnicas de ataques e fraudes surgem. Conheça agora as quatro principais ameaças à segurança de dados em 2009 e saiba como se proteger. 1) Falsificação de Links Em 2008, as empresas investiram na conscientização de seus funcionários e clientes. O objetivo das campanhas de conscientização foi minimizar o número de incidentes relacionados à engenharia social (arte de enganar as pessoas). Os crackers estão aprimorando suas técnicas para dificultar a identificação (tecnicamente falando) de uma armadilha online. Ataques conhecidos como link spoofing (falsificação de links) devem aumentar em Isso ocorre porque quando você recebe um , por exemplo, uma das principais dicas para saber que não se trata de um golpe online é passar o mouse sobre o link para conferir se o endereço do website está correto. No caso do "link spoofing", ao passar o mouse sobre o link da mensagem, o internauta verá o endereço correto do website. Porém, ao clicar no link, ele será direcionado para uma página falsa e pode ter um cavalo-de-tróia instalado em sua máquina. 2) Mobilidade ameaçada As pessoas estão investindo cada vez mais dinheiro na compra de celulares mais avançados. Os celulares estão sendo utilizados como ferramenta de trabalho para troca de s, programas de mensagem instantânea, SMS, agenda corporativa e armazenamento de informações confidenciais (projetos, fotos etc.). A migração do computador para o celular já é uma realidade no internet banking também. A nova mobilidade já está na mira do crackers. Em 2009, ocorrerá um aumento de programas espiões para a tecnologia móvel. O objetivo do cracker será conseguir copiar as informações armazenadas no aparelho e roubar a senha do internet banking. É importante observarmos que os bancos estão migrando toda a tecnologia para acesso aos dados financeiros via celular. O cracker sempre irá explorar o elo mais fraco da corrente e atacar os dispositivos que possuem acesso a conta corrente. 3) Clonagem de cartões de crédito com chip e senha. Para diminuir os casos de clonagem envolvendo cartões de crédito, os bancos estão disponibilizando para seus clientes o cartão de crédito com chip e senha (PIN). Este novo recurso de segurança criptografa as informações do cliente do banco no chip, aumentando o grau de dificuldade de acesso indevido as informações necessárias para a conclusão da fraude. Em 2007 surgiram as primeiras provas de conceito demonstrando como clonar um cartão de DiálgoTI / NextGenerationCenter Pagina 12

13 crédito com chip. A técnica consiste em capturar as informações do cartão de crédito no momento em que ele é introduzido na leitora do chip, extrair todas as informações para um notebook e realizar uma engenharia reversa para reconstruir os dados. Já existem registros de clonagem de cartão de crédito com chip no Brasil. Alguns clientes corporativos que atendo foram vítimas desta nova técnica. O número de casos deve aumentar com a evolução do dispositivo capaz de realizar a clonagem do chip e também com a redução do custo de construção deste equipamento. A evolução do equipamento que clona o chip permitirá que pessoas não especializadas comecem a aplicar o golpe também. Ataques em banco de dados e sistemas de gestão O número de ataques nas aplicações tem aumentando constantemente. Em 2009, as empresas irão sofrer um aumento de ataques bem-sucedidos em seus sistemas porque estão surgindo softwares que automatizam os ataques na camada de aplicação. e já não será preciso ser um expert para promovê-las. Bancos de dados protegidos serão copiados e/ou alterados através da internet, áreas restritas por usuário e senha serão exploradas e invadidas sem que ninguém perceba o ataque, páginas web serão alteradas de forma indevida etc. É importante lembrar que firewalls, antivírus, sistemas de detecção de intrusos e anti-spam não conseguem detectar ou até mesmo bloquear ataques na camada de aplicação. Não há 100% de segurança neste nível. Dicas de proteção Algumas dicas de segurança podem ajudar a minimizar os riscos relacionados às novas ameaças em 2009: - Tudo que não é monitorado na sua empresa deve ser bloqueado. A falta de rastreabilidade é uma das principais vulnerabilidades exploradas pelos craquers; - Compre e mantenha instalado um antivírus para o aparelho celular; - Use tecnologias conhecidas como Web Application Firewall em sua empresa; - Utilize seu cartão de crédito em estabelecimentos comerciais confiáveis; - Desconfie sempre de links que você recebe via e programas de mensagens instantâneas. Um profissional da área de desenvolvimento de software pode ajudar a identificar uma armadilha on-line no link suspeito; - Assine boletins de segurança e acompanhe as notícias relacionadas a segurança da informação. Conhecer as ameaças e vulnerabilidades pode ser a principal arma contra as ameaças de Mobilidade Cada vez mais, equipamentos móveis, como notebooks e smartphones, estão presentes na vida das pessoas, especialmente de executivos que se deslocam em viagens de negócios. Porém, esses dispositivos móveis possuem fragilidades diferentes das encontradas em computadores fixos. Isso exige uma política segurança diferenciada para controlar possíveis ameaças. DiálgoTI / NextGenerationCenter Pagina 13

14 Não é novidade para ninguém. A adoção em larga escala de equipamentos móveis, especialmente notebooks e smartphones, traz vantagens inquestionáveis para o ambiente corporativo, como o aumento da produtividade, disponibilidade e flexibilidade. Uma questão, no entanto, permanece sem resposta: até que ponto o produto em suas mãos é seguro? O contexto precisa ser explicado. Em meados dos anos 80, os computadores pessoais substituíram o mainframe e revolucionaram a forma pela qual as pessoas se relacionavam com a tecnologia. Eles dominaram completamente o cenário mundial. O reinado, contudo, está terminando. A coroa está com os terminais móveis, com predomínio dos notebooks, mas também com a presença crescente de handhelds, smartphones, PDAs e telefones celulares. A mudança está tão consolidada que, hoje, é inimaginável um executivo de sucesso, em qualquer vertical de atuação, que não carregue seu dispositivo móvel, seja este qual for. Uma das exigências para o sucesso no atual mercado globalizado é a capacidade de estar conectado a qualquer momento, pronto para fazer algum negócio assim que ele apareça. Essa reestruturação está revolucionando o mercado corporativo. Se, por um lado, é possível atingir níveis de produtividade impensáveis no formato antigo, quando o executivo permanecia preso no ambiente tradicional de escritório, por outro, a Segurança da Informação surge como o seu calcanhar-de-aquiles. Os argumentos a favor são atraentes: garantias de grande disponibilidade e flexibilidade, já que o executivo pode acessar informações da rede da companhia em qualquer horário e de qualquer lugar do mundo. Mas os contrários, no entanto, assustam. Nova realidade Os dispositivos móveis possuem fragilidades que não encontram paralelo nas estações fixas, fato que exige do gestor de segurança da informação uma política estruturada para cuidar de todos esses limites. As tecnologias de acesso sem fio, outra base da mobilidade, também representam um grande problema. Independente do padrão escolhido, elas significam, no limite, uma falta de controle da organização sobre a rede em que se acessa. Especificamente, as funcionalidades integradas de wireless LAN permitem o acesso a recursos corporativos por meio de redes terceiras, que estão longe da visão da corporação e das suas políticas de segurança. O desenvolvimento da tecnologia também aumenta o escopo do problema. Com discos de maior capacidade de armazenamento, o usuário acaba sendo encorajado a salvar seus dados localmente, o que representa problemas de segurança. A disseminação de USB Drives, bem como gravadores de CDs e DVDs, abrem espaço para a utilização pessoal do dispositivo, retendo informações que não deveriam estar ali. Outro ponto preocupante diz respeito à transferência de informações do notebook para esses aparelhos, já que, caso não exista uma política clara e estruturada, é difícil controlar quais arquivos foram copiados em outras mídias. Além disso, o aspecto físico da solução também precisa ser levado em conta. Pelo seu valor, os aparelhos portáteis atraem enorme atenção e são roubados constantemente. Em São Paulo, por exemplo, existem quadrilhas especializadas em roubos de laptops, procurando suas vítimas em locais estratégicos como aeroportos ou de concentração de grandes empresas. Outro fator que causa bastante preocupação está, graças à miniaturização dos aparelhos, na DiálgoTI / NextGenerationCenter Pagina 14

15 possibilidade de perda desses dispositivos. Mais do que o preço do aparelho, o dado armazenado também tem valor. Muitas vezes, incalculável. Como lidar com todas essas questões? Oportunidade de negócios Na outra ponta, a grande preocupação para os CSOs representa uma grande oportunidade de negócios para as empresas de segurança. Assim, inúmeros players olham com atenção para essas questões, oferecendo soluções que prometem diminuir os riscos do uso de soluções móveis no ambiente corporativo. A primeira resposta está nos softwares de conformidade de terminal. Aproveitando a estrutura consolidada dentro da empresa, o gestor replica as soluções de segurança instaladas e confere se o aparelho está dentro das políticas especificadas internamente. Com isso, o usuário de um aparelho móvel permanece numa VPN, que funciona como quarentena, tendo seu acesso à rede corporativa liberado apenas quando atender todos os pré-requisitos, como instalação das atualizações de antivírus e patches de segurança. Com isso, é possível garantir que todos os níveis de proteção estabelecidos pela companhia sejam passados para as plataformas móveis. Assim, é eliminado o problema de um worm ou vírus no notebook, por exemplo, infectar toda a rede corporativa sem que o usuário tenha conhecimento. Isso, no entanto, é apenas o primeiro nível de proteção no contexto das plataformas móveis. Um CSO preocupado e atento às novas tendências precisa entender que, na verdade, a conformidade entra mais como um fator de controle dentro da companhia. Isso porque a abordagem de maior proteção precisa estender a preocupação para os próprios dispositivos móveis em uso, com cada um tendo uma solução de segurança conforme suas necessidades e analisando com qual tipo de dado costuma trabalhar. Acima de tudo, a mobilidade significa que as empresas usuárias precisarão fazer novos investimentos para se adequar à nova realidade que a mobilidade impôs. Esta nova realidade exige novas políticas e soluções contra o inimigo interno, a preocupação com esse tema ganha um novo patamar. De qualquer forma, toda a implementação de segurança, seja na corporação ou nos dispositivos móveis, deve ser precedida por uma fase de rigorosa análise. O contexto da mobilidade é multifacetado, com variações marcantes conforme o terminal, ou seja, um notebook precisa de uma abordagem determinada, enquanto um smartphone precisa de outras soluções. É preciso levar em conta quais são os riscos e qual é a importância dos dados armazenados para, a partir daí, tomar a decisão mais adequada, seja investir numa solução que combine antivírus, firewall e IPS ou apostar em outra alternativa. De olho no notebook Atualmente, o dispositivo mais visado é o notebook. As ferramentas de criptografia são obrigatórias, nesse cenário. É preciso proteger os dados armazenados, especialmente os estratégicos, os quais, se roubados, podem causar grandes estragos para a companhia. A criptografia diminui esse perigo. Dados do Gartner, no estudo chamado Update Your Security Practices to Protect Notebook PCs, dão conta de que grande parte das organizações tem dificuldade em reconhecer a DiálgoTI / NextGenerationCenter Pagina 15

16 necessidade de levar a Segurança da Informação aos dispositivos móveis. Avaliando os motivos desse comportamento, o instituto enumerou o nível de amadurecimento do mercado de segurança, já que os fornecedores do setor, tanto em software quanto em serviços, ainda não abrangem toda a gama de vulnerabilidades dos notebooks. Também foram destacadas as abordagens em soluções únicas. Segundo o levantamento, apostar em apenas um único produto ou procedimento para atingir um nível de segurança satisfatório em notebooks é muito perigoso. A estratégia de proteção adotada para notebooks, no entanto, deve ser seguida fielmente pelos outros dispositivos. Conforme as aplicações dentro de cada aparelho forem sendo ampliadas e a importância dos dados crescendo na mesma razão, será necessário cuidar de soluções próprias para os outros dispositivos, sejam eles PDAs, smartphones ou os populares telefones celulares. Ainda que alguns especialistas afirmem que a consolidação já é uma realidade para aparelhos de menor porte, o mercado ainda se mostra incipiente. Mas um dado precisa ser levado em consideração: enquanto o primeiro worm de rede levou cerca de 20 anos para ser desenvolvido, a praga eletrônica que infestou os celulares não demorou mais do que oito meses. Antes do surgimento da mobilidade, todos os investimentos estavam focados no perímetro de rede das empresas. Hoje, a situação se modificou sensivelmente. A estrutura de combate construída para proteger a companhia do ambiente externo, empilhando soluções de antivírus, firewall, IDS e IPS, além dos appliances de rede que trazem funcionalidades de segurança não é suficiente. Friamente, a mobilidade trouxe um novo conceito de perímetro de rede e, com ele, gerou paralelamente inúmeras brechas de segurança. Não é ilusório imaginar que, como toda grande revolução com ganhos fantásticos, a mobilidade está também pagando um alto preço. Reestruturar todo o ambiente corporativo, ganhar muito em produtividade e disponibilidade, fechando negócios em tempo real de qualquer lugar do mundo, gerou conseqüências. E elas serão bem mais sérias do que vírus que invadem a rede ou worms que se reproduzem para toda a lista de contatos. Envolvem inúmeras possibilidades muito mais complicadas, como o roubo de informações confidenciais de importância ímpar para a corporação, podendo prejudicar seriamente a empresa ou até comprometer sua marca, exigindo sua saída do mundo de negócios. A Segurança da Informação em mobilidade é algo que vai preocupar bastante os gestores de segurança nos próximos anos. Redes sem fio A comunicação de dados por redes sem fio ainda é objeto de estudo de organizações especializadas em soluções de segurança da informação. A facilidade de se trafegar bits por ondas de rádio, sem necessidade de conexão a qualquer tipo de rede de cabos, tem atraído cada vez mais usuários em todas as partes do mundo. Mas o fato é que, em termos práticos, esse meio de comunicação ainda não está totalmente protegido de invasões e fraudes, realidade que está diretamente relacionada ao desenvolvimento dos padrões de comunicação das redes sem fio. Grandes são as expectativas junto de um mercado que ainda se encontra em seu estado inicial. No Brasil, as pesquisas apontam que a adoção de redes sem fio está em processo acelerado. DiálgoTI / NextGenerationCenter Pagina 16

17 Entre outros fatores, especialistas afirmam que uma rede WLAN pode ser até mais barata do que uma estrutura com cabeamento, uma vez que dispensa a aquisição de diversos equipamentos e serviços. Mas, existe também a mobilidade que oferece uma conectividade praticamente ininterrupta para o usuário. Várias empresas instalaram hot spots (conexões sem fio em lugares públicos) nos principais pontos de acesso no Brasil, tais como aeroportos, bares e livrarias, o que abre muitas possibilidades de comunicação de funcionários com suas empresas e acesso à Internet. Tecnologias com o WiMax aumentam a área de cobertura das redes sem fio e prometem ser o próximo grande boom nas corporações e na vida das pessoas. Terceirização A terceirização é uma forte tendência em todos os setores de TI, e não poderia ser diferente, quando falamos em Segurança da Informação. Trata-se de um assunto recorrente, isso porque a Segurança da Informação não é especialidade da indústria de manufatura, como também não faz parte dos negócios do setor automobilístico, de empresas alimentícias ou do varejo. No entanto, para que possam manter o core business de suas operações, essas corporações devem garantir a manutenção das condições ideais de segurança, que cada vez mais se torna fator crítico em todas as suas transações. Por isso, podemos nos preparar para ver as ações de proteção sendo executadas fora da corporação. No caso da segurança, a diferença é que a viabilidade do processo depende do tamanho das organizações. Grandes empresas têm pouca probabilidade em passar a segurança para o esquema outsourcing. Já as pequenas e médias empresas mostram-se mais abertas a essa opção, como podemos observar nas estruturas de software as a service, que vêm crescendo no mercado, tornando-se mais maduras. Muitos profissionais da área acreditam que a terceirização da Segurança da Informação é o caminho natural tanto para o mercado corporativo quanto para usuários domésticos. A integridade dos dados é um aspecto importante para usuários em todos os níveis. Entre outros benefícios, a terceirização dos processos de proteção à rede proporciona a redução no custo de manutenção dos dispositivos. Não é por acaso que os institutos de pesquisa têm indicado crescimento nos orçamentos de tecnologia da informação (TI) no que se refere à segurança. Em alguns casos, a verba dessa área é totalmente independente do que é gasto com TI. Porém, o outsourcing de segurança ainda está engatinhando no Brasil. Apesar disso, números da consultoria IDC indicam que a terceirização tende a ganhar espaço. O segmento de MSS Managed Security Services é o que mais cresce no mundo na área de segurança. Previsão A previsão da consultoria é que o setor cresça em média 16% até 2010, sendo que a fatia de serviços tende a aumentar o seu percentual no bolo. Segundo dados da Frost & Sullivan, o mercado latino-americano de serviços gerenciados de segurança deve superar o total de US$ 272 milhões em De acordo com a consultoria, o Brasil continuará a concentrar DiálgoTI / NextGenerationCenter Pagina 17

18 40% desse mercado. Em seguida vem o México, com 23%. Especialistas apontam que todos os negócios, grandes ou pequenos, possuem gaps em sua estrutura interna quando se trata de segurança. Ao tentar garantir que todas as áreas estejam seguras, algum segmento acaba sempre ficando descoberto, mais vulnerável a ameaças e intrusos. A solução para preencher esse gap seria enxergar a segurança como um serviço e transferir sua gestão a um especialista. Dessa forma, as organizações podem melhor direcionar seus profissionais e recursos. Além disso, todas as atenções ficam mais voltadas ao foco do negócio e resultados que devem ser obtidos. Para a Frost & Sullivan, as companhias estão se conscientizando dos benefícios da contratação de terceiros para o gerenciamento da segurança. A consultoria destaca que entre as vantagens do outsourcing desses serviços estão a redução de custos com mão-deobra especializada e simplificação do investimento em equipamentos para proteção. O acesso contínuo a recursos atualizados e a possibilidade de se dedicar mais tempo ao negócio da empresa também são citados como benefícios diretos. O mercado brasileiro ainda passa por uma fase de maturação, mas em se tratando de segurança, nunca existe certeza absoluta do que está por vir. O que é bom e seguro hoje passa a ser vulnerável amanhã. Assim, é muito importante que todos tenham um bom parceiro para cuidar do assunto; alguém especializado, que estará sempre atualizado. E esta é a função, e a principal vantagem, das empresas que oferecem a segurança como serviço. Valor estratégico O que se nota é que, conforme a segurança ganha espaço entre outras prioridades das organizações, ela passa a ter valor estratégico, isto é, participa das decisões de mercado, integração com a cadeia de valor, formas de oferta de produtos e serviços etc. Assim, é natural que, em um mesmo grau de complexidade que as transações eletrônicas, a Segurança da Informação demande diversas aplicações e camadas tanto no que se refere à infraestrutura tecnológica (hardware e software), quanto na prestação de serviços e recursos humanos. Frente ao desafio, a terceirização tem sido um dos caminhos procurados pelas organizações. Como na maioria dos casos, essa tanto pode ser uma ótima como uma péssima opção. O que definirá cada experiência depende de uma série de processos preestabelecidos. Não há regra geral que se aplique a tudo e todos. Atualmente, algumas corporações terceirizaram toda sua infra-estrutura de segurança, desde pessoal até backup de transações, filtragem etc., e estão plenamente satisfeitas com isso. Em outros casos, a empresa opta por fazer um trabalho parcial, tirando de sua responsabilidade, por exemplo, os serviços de contingência, com duplicação de operações por meio de um datacenter. Independentemente dos caminhos escolhidos para trilhar, o que a maior parte dos especialistas orienta, ao decidir partir para um processo de outsourcing é não tirar a inteligência de dentro de casa. Ou seja, deve ser terceirizado apenas o que é operacional, pois é o que gera investimentos pesados em infra-estrutura, hardware, licenças de software etc. Em suma, cada corporação deve avaliar em detalhes os benefícios e riscos de decidir pela terceirização, gerando assim, um Planejamento de Outsourcing de Segurança. Esse relatório deverá contemplar desde os recursos de TI necessários, bem como a mão-de-obra DiálgoTI / NextGenerationCenter Pagina 18

19 envolvida, os processos de migração, atendimento a clientes e parceiros, suporte, resposta a incidentes etc. Será esse material baseado em preço, prazos e processos de implementação que definirá se a terceirização da Segurança da Informação terá ou não sucesso. De outra forma, está será encarada apenas como mais uma maneira de burocratizar os serviços, consumir investimentos e não adicionar qualquer valor às transações da organização. O que terceirizar Salvo exceções, algumas áreas de segurança são passíveis de terceirização como suporte, monitoramento, gerenciamento e contingência. Os SOCs (Security Operation Center) disponíveis são especializados na prestação de serviços dessa natureza, entre outros. Esses centros de segurança e gerenciamento de dados estão atraindo o interesse das empresas por uma série de razões como, por exemplo, menor custo com equipe interna, investimentos divididos com outras companhias, respostas rápidas a incidentes e qualidade de serviço estabelecida em contratos, os chamados Service Level Agreements (SLAs). Mas mesmo com vantagens competitivas tangíveis e de retorno rápido, a terceirização de segurança tem como barreira central a questão cultural das corporações. Invariavelmente, esse é o principal desafio a ser vencido, já que exige uma relação de total confiança entre os parceiros. Essa responsabilidade tem de estar esboçada em detalhes no contrato de SLA. Um programa que garanta 100% de atividade ao longo de um ano levanta suspeita. Basta verificar o volume de incidentes de segurança que ocorrem diariamente com empresas altamente protegidas, como as do setor financeiro. Além do nível de serviço oferecido pelo fornecedor, vale ressaltar o compromisso deste em ter uma postura pró-ativa com o usuário, ou seja, na medida do possível manter os níveis de segurança os mais preparados possíveis. Esse contrato estabelece como serão atendidas as necessidades futuras do contratante e quais multas e penalidades no caso de nãocumprimento ou rompimento do acordo. Não é tão simples Em tese, tudo é passível de ser terceirizado. Mas na realidade, o processo não é tão simples e imediato como se imagina. Portanto, o ideal é que a empresa tenha conhecimento sobre seus próprios custos e infra-estrutura, algo que muitas vezes não está organizado ou quantificado. Na prática, o outsourcing deve retirar da empresa tarefas repetitivas e burocráticas, que não demandam ou envolvam decisões complexas ou estratégicas. Estudos apontam que, atualmente, esses serviços são responsáveis por algo entre 5% e 10% dos orçamentos de TI. Também é preciso avaliar a utilização e a disponibilidade de bens que não se limitam à infraestrutura tecnológica. Em grandes corporações, já ocorreu de a empresa contratante perder profissionais estratégicos, os quais passaram a atender a organização via outsourcing. Presente e futuro Foi-se o tempo em que os criminosos virtuais contentavam-se em invadir um site e deixar ali DiálgoTI / NextGenerationCenter Pagina 19

20 a sua marca. Hoje, eles são silenciosos e muito mais perigosos. Nesse exato momento, sem que você saiba, pode ser que seu computador esteja mandando milhares de s para o mundo todo e você nem se dá conta disso. Ou pior: pode ser que você tenha um programa espião instalado em sua máquina, capaz de copiar todas as suas senhas. Já pensou? Hoje, o objetivo é obter vantagem financeira. Por isso, todos precisam ficar muito espertos. Saiba quais são as principais ameaças virtuais que rondam as empresas: Fraudes A fraude implementada por meio de recursos de Tecnologia da Informação cresce gradativamente e exige a melhoria de controles internos e de processos de monitoramento. Mesmo com a rápida e constante evolução da tecnologia, é difícil afirmar que vulnerabilidades e falhas deixarão de existir nos sistemas e nas redes de computadores. Isso não quer dizer que as fraudes em TI não possam ser evitadas ou, pelo menos, que seus riscos não possam ser minimizados em níveis aceitáveis pelas organizações. Para atingir esse objetivo, é necessário um esforço integrado de investimento, em mecanismos de segurança tecnológica e em processos operacionais. Exigências legais, como a lei Sarbanes-Oxley, obrigam as empresas a estabelecer controles antifraude em seus processos de gestão de riscos corporativos. Deficiências nesses controles podem resultar em fraudes executadas por meio dos recursos de TI disponíveis. Phishing Trata-se de uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações confidenciais, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um ou uma mensagem instantânea. O termo phishing surge das cada vez mais sofisticadas artimanhas para pescar (fish) as informações sensíveis dos usuários. Essas informações particulares são usadas para causar algum prejuízo, tal como o roubo de dinheiro da sua conta corrente. Vírus e variações Vírus é um programa malicioso desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios. A maioria das contaminações ocorre pela ação do usuário executando o anexo de um . A segunda causa de contaminação é por sistema operacional desatualizado, sem a aplicação de corretivos que bloqueiam chamadas maliciosas nas portas do micro. Ainda existem alguns tipos de vírus que permanecem ocultos, mas entram em execução em horas especificas. Spyware Programa automático de computador, que recolhe informações sobre o usuário, sobre seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem seu conhecimento ou consentimento. Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidade externa, por um cracker. Os spywares podem ser desenvolvidos por empresas que desejam monitorar o hábito dos usuários para avaliar seus costumes e vender esses dados pela Internet. Elas costumam produzir inúmeras variantes de seus programas-espiões, aperfeiçoando-os e dificultando sua DiálgoTI / NextGenerationCenter Pagina 20

Segurança da Informação. Módulo 1 - Conceito

Segurança da Informação. Módulo 1 - Conceito Segurança da Informação Módulo 1 - Conceito Está cada vez mais difícil manter em segurança as informações referentes a empresas ou pessoas. O descuido nessa área pode causar prejuízos significativos, e

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria Proteção confiável para ambientes de endpoints e mensageria Visão geral O Symantec Protection Suite Enterprise Edition cria um ambiente de endpoints e mensageria protegido contra as complexas ameaças atuais,

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Criptografia de Informação. Guia corporativo

Criptografia de Informação. Guia corporativo Criptografia de Informação Guia corporativo A criptografia de dados em empresas 1. Introdução 3 Guia corporativo de criptografia de dados 1. Introdução A informação é um dos ativos mais importantes de

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Via Internet Banking você pode realizar as mesmas ações disponíveis nas agências bancárias, sem enfrentar filas ou ficar restrito aos horários de atendimento Realizar transações

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 2 0 1 3 OBJETIVO O material que chega até você tem o objetivo de dar dicas sobre como manter suas informações pessoais, profissionais e comerciais preservadas. SEGURANÇA DA INFORMAÇÃO,

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

SOLO NETWORK. Criptografia de Informação. Guia corporativo

SOLO NETWORK. Criptografia de Informação. Guia corporativo (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 (71) 4062-7479 Criptografia de Informação Guia corporativo (11) 4062-6971 (21) 4062-6971 (31) 4062-6971

Leia mais

tendências MOBILIDADE CORPORATIVA Setembro/2012 INFORMATIVO TECNOLÓGICO DA PRODESP EDIÇÃO 03 Introdução Cenário atual Tendências Vantagens Riscos

tendências MOBILIDADE CORPORATIVA Setembro/2012 INFORMATIVO TECNOLÓGICO DA PRODESP EDIÇÃO 03 Introdução Cenário atual Tendências Vantagens Riscos tendências EDIÇÃO 03 Setembro/2012 MOBILIDADE CORPORATIVA Introdução Cenário atual Tendências Vantagens Riscos Recomendações para adoção de estratégia de mobilidade 02 03 04 06 07 08 A mobilidade corporativa

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança.

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda Managed Office Protection É fato, tanto pequenas e médias e grandes empresas enfrentam os mesmos riscos

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Dicas de Segurança no uso de Computadores Desktops

Dicas de Segurança no uso de Computadores Desktops Universidade Federal de Goiás Dicas de Segurança no uso de Computadores Desktops Jánison Calixto CERCOMP UFG Cronograma Introdução Conceitos Senhas Leitores de E-Mail Navegadores Anti-Vírus Firewall Backup

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

compras online com Segurança

compras online com Segurança 12 Dicas para realizar compras online com Segurança As compras online chegaram no mercado há muito tempo e, pelo visto, para ficar. Com elas também despertaram os desejos dos cibercriminosos de se apropriarem

Leia mais

Atividade Capitulo 6 - GABARITO

Atividade Capitulo 6 - GABARITO Atividade Capitulo 6 - GABARITO 1. A Internet é uma força motriz subjacente aos progressos em telecomunicações, redes e outras tecnologias da informação. Você concorda ou discorda? Por quê? Por todos os

Leia mais

EMBRATEL ENTREVISTA: Bruno Tasco (Frost & Sullivan) SEGURANÇA DA INFORMAÇÃO MSS/ DDoS

EMBRATEL ENTREVISTA: Bruno Tasco (Frost & Sullivan) SEGURANÇA DA INFORMAÇÃO MSS/ DDoS EMBRATEL ENTREVISTA: Bruno Tasco (Frost & Sullivan) SEGURANÇA DA INFORMAÇÃO MSS/ DDoS SEGURANÇA DA INFORMAÇÃO MSS/ DDoS Em entrevista, Bruno Tasco, consultor sênior da Frost & Sullivan relata os principais

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

CARTILHA INFORMATIVA

CARTILHA INFORMATIVA CARTILHA INFORMATIVA SEGURANÇA DA INFORMAÇÃO A Segurança da Informação se refere à proteção existente sobre as informações de empresa ou pessoa, e aplica-se tanto as informações corporativas quanto às

Leia mais

Segurança em Internet Banking.

Segurança em Internet Banking. <Nome> <Instituição> <e-mail> Segurança em Internet Banking Agenda Internet Banking Riscos principais Cuidados a serem tomados Créditos Internet Banking (1/4) Permite: realizar ações disponíveis nas agências

Leia mais

Prevenção. Como reduzir o volume de spam

Prevenção. Como reduzir o volume de spam Prevenção Como reduzir o volume de spam A resposta simples é navegar consciente na rede. Este conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito ou ao entrar e sair de nossas

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Gestão da Segurança da Informação

Gestão da Segurança da Informação Gestão da Segurança da Informação Mercado Empresas levam 200 dias até descobrirem que foram hackeadas Companhias precisam estabelecer uma visão holística de segurança para serem mais ágeis na detecção

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

Segurança em Dispositivos Móveis.

Segurança em Dispositivos Móveis. <Nome> <Instituição> <e-mail> Segurança em Dispositivos Móveis Agenda Dispositivos móveis Riscos principais Cuidados a serem tomados Créditos Dispositivos móveis (1/2) Tablets, smartphones, celulares,

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Novidades do AVG 2013

Novidades do AVG 2013 Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento

Leia mais

Índice. Ameaças à Segurança da Informação. Introdução. Dispositivos de Segurança no Bradesco Net Empresa. E-Mail. Como Identificar um Phishing Scan

Índice. Ameaças à Segurança da Informação. Introdução. Dispositivos de Segurança no Bradesco Net Empresa. E-Mail. Como Identificar um Phishing Scan www.bradesco.com.br Índice Versão 01-2007 Introdução 2 Ameaças à Segurança da Informação 12 Dispositivos de Segurança no Bradesco Net Empresa 3 E-Mail 14 Procuradores e Níveis de Acesso 6 Como Identificar

Leia mais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais Fundamentos em Segurança de Redes de Computadores Pragas Virtuais 1 Pragas Virtuais São programas desenvolvidos com fins maliciosos. Pode-se encontrar algumas semelhanças de um vírus de computador com

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

http://cartilha.cert.br/ Publicação

http://cartilha.cert.br/ Publicação http://cartilha.cert.br/ Publicação O uso de tablets, smartphones e celulares está cada vez mais comum e inserido em nosso cotidiano Caso tenha um dispositivo móvel (tablet, smartphone, celular, etc.)

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e regulamentares, e tendo em vista o que consta do Processo

Leia mais

Soluções de Segurança IBM

Soluções de Segurança IBM Soluções de Segurança IBM Security Framework As organizações frequentemente adotam uma abordagem orientada à tecnologia para a segurança. Porém, proteger só a tecnologia não oferece proteção para os processos

Leia mais

Segurança da Informação

Segurança da Informação Em parceria com: Segurança da Informação Sua organização se preocupa em proteger as informações? Informação X Segurança DO QUE proteger as informações? ENTENDENDO A AMEAÇA Existem mais de 26.000 produtos

Leia mais

CLAIN 2008. Fraude Eletrônica. Moises J Santos. Internet Banking

CLAIN 2008. Fraude Eletrônica. Moises J Santos. Internet Banking CLAIN 2008 Fraude Eletrônica Moises J Santos Fraude Eletrônica Definição Fraude Subterfúgio para alcançar um fim ilícito, ou ainda, o engano dolosamente provocado, o malicioso induzimento em erro ou aproveitamento

Leia mais

USE O PODER DA NUVEM. VEJA COMO A NUVEM PODE TRANSFORMAR SEUS NEGÓCIOS.

USE O PODER DA NUVEM. VEJA COMO A NUVEM PODE TRANSFORMAR SEUS NEGÓCIOS. USE O PODER DA NUVEM. VEJA COMO A NUVEM PODE TRANSFORMAR SEUS NEGÓCIOS. A computação em nuvem é uma mudança de paradigma no gerenciamento de TI e de datacenters, além de representar a capacidade da TI

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Evolução Tecnológica e a Segurança na Rede

Evolução Tecnológica e a Segurança na Rede Evolução Tecnológica e a Segurança na Rede Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasill Núcleo de Informação e Coordenação do Ponto br

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Voz em ambiente Wireless

Voz em ambiente Wireless Voz em ambiente Wireless Mobilidade, acesso sem fio e convergência são temas do momento no atual mercado das redes de comunicação. É uma tendência irreversível, que vem se tornando realidade e incorporando-se

Leia mais

10 Dicas para proteger seu computador contra Vírus

10 Dicas para proteger seu computador contra Vírus 10 Dicas para proteger seu computador contra Vírus Revisão 00 de 14/05/2009 A cada dia a informática, e mais especificamente a internet se tornam mais imprescindíveis. Infelizmente, o mundo virtual imita

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Equipamentos de rede também precisam de cuidados de segurança Independente do tipo de tecnologia usada, um equipamento conectado à rede, seja um computador, dispositivo móvel,

Leia mais

Por Renan Hamann Fonte: www.tecmundo.com.br/7528-as-coisas-mais-perigosas-que-voce-pode-fazer-na-internet.htm

Por Renan Hamann Fonte: www.tecmundo.com.br/7528-as-coisas-mais-perigosas-que-voce-pode-fazer-na-internet.htm Imprimir Por Renan Hamann Fonte: www.tecmundo.com.br/7528-as-coisas-mais-perigosas-que-voce-pode-fazer-na-internet.htm Sexta-Feira 7 de Janeiro de 2011 Confira quais são os erros mais comuns dos usuários

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7 MANUAL DO PRODUTO TIM Protect Família Versão 10.7 1 1 Índice 1 Índice... 2 2 TIM Protect Família... 4 2.1 Instalação do TIM Protect Família... 5 2.1.1 TIM Protect Família instalado... 7 2.2 Ativação do

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Cinco requisitos. ao considerar a segurança do e-mail

Cinco requisitos. ao considerar a segurança do e-mail Cinco requisitos ao considerar a segurança do e-mail 2015 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. (1110R) 1 Resumo Em um panorama de

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Crescendo e Inovando com um Parceiro Confiável de Suporte

Crescendo e Inovando com um Parceiro Confiável de Suporte IBM Global Technology Services Manutenção e suporte técnico Crescendo e Inovando com um Parceiro Confiável de Suporte Uma abordagem inovadora em suporte técnico 2 Crescendo e Inovando com um Parceiro Confiável

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Privacidade.

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

EMBRATEL- Business Security. Provedor de Serviços Gerenciados de Segurança (MSSP*) *Managed Security Services Provider

EMBRATEL- Business Security. Provedor de Serviços Gerenciados de Segurança (MSSP*) *Managed Security Services Provider EMBRATEL- Business Security Provedor de Serviços Gerenciados de Segurança (MSSP*) *Managed Security Services Provider Daniela Ceschini Especialista em Segurança da Informação 1 AGENDA Panorama e desafios

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

Defesa contra os ataques de phishing direcionados atuais

Defesa contra os ataques de phishing direcionados atuais Defesa contra os ataques de phishing direcionados atuais Introdução O email é phishing ou é legítimo? Essa é a pergunta que os funcionários e especialmente os executivos estão fazendo com frequência cada

Leia mais

Alavancando a segurança a partir da nuvem

Alavancando a segurança a partir da nuvem Serviços Globais de Tecnologia IBM White Paper de Liderança em Pensamento Serviços de Segurança IBM Alavancando a segurança a partir da nuvem O quem, o que, quando, por que e como dos serviços de segurança

Leia mais

Textos para "soluções Integratto"

Textos para soluções Integratto Textos para "soluções Integratto" 1) Segurança para comunicação confiável e prevenção no vazamento de dados sigilosos Para alguns tipos de negócio, o sigilo na comunicação e a segurança no trânsito de

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

O poder da colaboração e da comunicação baseadas na Nuvem

O poder da colaboração e da comunicação baseadas na Nuvem O poder da colaboração e da comunicação baseadas na Nuvem O Microsoft Office 365 é a suíte de Produtividade da Microsoft, que oferece as vantagens da Nuvem a empresas de todos os tamanhos, ajudando-as

Leia mais

Ameaças e Segurança da Informação para dispositivos Móveis. gilberto@sudre.com.br http://gilberto.sudre.com.br

Ameaças e Segurança da Informação para dispositivos Móveis. gilberto@sudre.com.br http://gilberto.sudre.com.br Ameaças e Segurança da Informação para dispositivos Móveis gilberto@sudre.com.br http://gilberto.sudre.com.br Ameaças e Vulnerabilidades em Dispositivos Móveis gilberto@sudre.com.br http://gilberto.sudre.com.br

Leia mais

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade sobre o Autor Bacharel em Análise de Sistemas pela Universidade de Ribeirão Preto e Pós-graduado em Segurança da Informação pelo ITA Instituto

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

APRESENTAÇÃO INSTITUCIONAL

APRESENTAÇÃO INSTITUCIONAL APRESENTAÇÃO INSTITUCIONAL 2 0 1 5 EMPRESA A Connection está presente no mercado desde 1993 atuando nas áreas de Segurança da Informação e Gestão da Tecnologia da Informação com atuação nos três estados

Leia mais

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &RQWUROHVVREUHEDQFRGHGDGRVH PLFURFRPSXWDGRUHV

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Usar apenas senhas pode não ser suficiente para proteger suas contas na Internet Senhas são simples e bastante usadas para autenticação em sites na Internet. Infelizmente elas

Leia mais

LINHA CRIATIVA, Informática & Soluções PORTFOLIO

LINHA CRIATIVA, Informática & Soluções PORTFOLIO LINHA CRIATIVA, Informática & Soluções PORTFOLIO 2015 A LINHA CRIATIVA é uma solução de TI focada em produtos inteligentes e simples, actuando no sector de empresas de médio e pequeno porte, nas áreas

Leia mais

Cartilha de Segurança para Internet Checklist

Cartilha de Segurança para Internet Checklist Cartilha de Segurança para Internet Checklist NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Este checklist resume as principais recomendações contidas no documento intitulado Cartilha

Leia mais

Segurança de Dados. Relatório de Segurança de Dados, Inteligência de Mercado

Segurança de Dados. Relatório de Segurança de Dados, Inteligência de Mercado Segurança de Dados Segurança de dados e sigilo de informações ainda é um tema longe de ser solucionado no Brasil e no Mundo. A cada novo dispositivo lançado, cada nova transação bancária ou a cada novo

Leia mais

LANDesk Security Suite

LANDesk Security Suite LANDesk Security Suite Proporcione aos seus ativos proteção integrada a partir de uma console única e intuitiva que integra múltiplas camadas de segurança. Aplique políticas de segurança à usuários e dispositivos

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós!

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós! Prezado Colaborador, O conteúdo desta cartilha tem como objetivo compartilhar alguns conceitos relacionados ao tema Segurança da Informação. Além de dicas de como tratar os recursos e as informações corporativas

Leia mais

Melhorando o desempenho do data center por meio da virtualização de bancos de dados SQL Server

Melhorando o desempenho do data center por meio da virtualização de bancos de dados SQL Server Melhorando o desempenho do data center por meio da virtualização de bancos de dados SQL Server Conteúdo Resumo.........................................................1 O papel do SQL Server em pequenas

Leia mais

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos. 1 INTERNET BANKING: DICAS DE SEGURANÇA Alexandre Kaspary 1 Alexandre Ramos 2 Leo Andre Blatt 3 William Rohr 4 Fábio Matias Kerber 5 Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

Leia mais

Curso de Tecnologia em Redes de Computadores

Curso de Tecnologia em Redes de Computadores Curso de Tecnologia em Redes de Computadores Disciplina: Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 2: Segurança Física e Segurança Lógica Segurança

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

Segurança e Auditoria em Sistemas

Segurança e Auditoria em Sistemas Segurança e Auditoria em Sistemas Curso: Analise e Desenvolvimento de Sistemas Prof.Eduardo Araujo Site:www.professoreduardoaraujo.com O que é Segurança? Confidencialidade Integridade Disponibilidade Jogo

Leia mais

Cards Brasil 2006 Segurança, Autenticação e Certificação nos Meios Digitais. Abril de 2006 Gustavo E. Prellwitz Diretor de Banking América do Sul

Cards Brasil 2006 Segurança, Autenticação e Certificação nos Meios Digitais. Abril de 2006 Gustavo E. Prellwitz Diretor de Banking América do Sul Cards Brasil 2006 Segurança, Autenticação e Certificação nos Meios Digitais Abril de 2006 Gustavo E. Prellwitz Diretor de Banking América do Sul Agenda 2 Segurança Digital: O Ambiente Mundial e do Brasil

Leia mais