Política de Segurança da Informação nas Corporações Policy of Information Security in Corporations Información Política de Seguridad en las empresas

Tamanho: px
Começar a partir da página:

Download "Política de Segurança da Informação nas Corporações Policy of Information Security in Corporations Información Política de Seguridad en las empresas"

Transcrição

1 Política de Segurança da Informação nas Corporações Policy of Information Security in Corporations Información Política de Seguridad en las empresas Agenor Nogueira de Souza 1 Prof. Ricardo Augusto Coelho Leite 2 Resumo: O objetivo deste artigo é descrever as estratégias da política de segurança da informação que visam minimizar os incidentes em segurança da informação nas corporações. Realizou-se uma pesquisa do tipo exploratória, teve-se como base a pesquisa bibliográfica e a pesquisa documental. Utilizou-se de dados quantitativos do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br). Palavras chaves: Segurança da Informação. Política de segurança da informação. Ameaças. Fraudes. Abstract: The objective of this article is to describe the strategies of Policy of information security for to minimize the incidents in information security in the corporations. A research was conducted of type exploratory, based on the Bibliographic and documentary research. We used quantitative data from the Center of Studies, Response and Treatment of Security Incidents in Brazil (CERT.br). Keywords: Information Security. Policy of information security. Threats. Fraud. Resumen: El propósito de este artículo es describir las estrategias de la política de seguridad de la información dirigida a minimizar los incidentes de seguridad de la información en la empresa. Se realizó una encuesta de la cuenta de exploración se basó en la literatura y la investigación documental. Hemos utilizado los datos cuantitativos del Centro de Estudios, Respuesta y Tratamiento de Incidentes de Seguridad en Brasil (CERT.br). Palavras clave: Seguridad de la Información. Información de la política de seguridad. Amenazas. Fraude. 1 - INTRODUÇÃO Constitui-se objeto deste artigo uma descrição das políticas de segurança da informação utilizadas nas corporações. A política de segurança de uma corporação deve ser baseada em normas, incluindo ainda as suas práticas e conhecimento da cultura e valores da empresa. O apoio da direção das corporações é fundamental na defesa dos recursos a serem investidos. Para ser possível fazer uma política mais abrangente, a representatividade deste apoio na divulgação de campanhas internas torna-se necessária a participação de todos. 1 Graduando em Sistemas de Informação pela Faculdade Infórium de Tecnologia. 2 Especialista; professor dos cursos de graduação em CST Redes de Computadores, Sistemas de Internet e Bacharel em Sistemas de Informação na Faculdade Infórium de Tecnologia.

2 Delimitou-se o tema em estudo a uma análise dos incidentes do tipo fraude e a relação deste incidente com a política de segurança da informação utilizada nas corporações para inibir este e outros incidentes mais comuns. O objetivo geral é descrever as estratégias da política de segurança que visam minimizar os incidentes em segurança da informação no uso de computadores nas corporações. São objetivos específicos: conceituar incidentes em segurança da informação; reunir informações sobre os principais incidentes em segurança da informação no uso de computadores nas corporações; conceituar política de segurança da informação. A pergunta que norteia o estudo é no sentido de investigar se os incidentes em segurança da informação estariam relacionados a uma política de segurança da informação ineficiente. A hipótese básica orientadora do estudo propõe fazer uma relação entre os incidentes em segurança da informação e a falta de uma política de segurança da informação, que abranja todos os usuários de uma corporação. Justifica-se a relevância deste tema tendo-se em vista a difusão da tecnologia da informação em todos os meios da comunidade, nas micros, pequenas, médias e grandes corporações, onde os incidentes são muitos frequentes, principalmente quando não são geridos por pessoas capacitadas e com metas e estratégias bem definidas. Para a compreensão do tema proposto dividiu-se este artigo em cinco seções. A seção 1, esta introdução, é indicativa do estudo; a seção 2, apresenta o embasamento teórico sobre Segurança da Informação e Política de Segurança da Informação; a seção 3, apresenta a caracterização do objeto de estudo, relata os incidentes mais comuns nas corporações; a seção 4, trata da discussão sobre o tema; a seção 5, tece as conclusões do artigo. 2 - SEGURANÇA DA INFORMAÇÃO E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO: UMA ABORDAGEM TEÓRICA A segurança da informação é a proteção mais apropriada sobre as informações de uma determinada empresa ou pessoa, sendo que esta pode se apresentar de várias formas, como: informações impressas, eletrônicas, escrita e de forma tácita, disponível apenas no conhecimento do ser humano.

3 a) Segurança da Informação Fazendo-se uma comparação do mundo real em que têm-se que tomar os devidos cuidados ao sair de casa, certificando de que as janelas, portas e o portão estejam fechados, Nakamura; Geus (2007) afirmam que os mesmos critérios de segurança devem ser seguidos, por meio de medidas estritas de segurança. As empresas têm que proteger os seus ativos, ter uma política de segurança da informação, fazer separação entre rede pública e rede interna. No final da década de 80, surgiu uma das principais ferramentas para proteção dos ativos nas corporações dada a necessidade de manter bloqueios de acesso e restrições de tráfego entre as redes existentes, esta se distinguiu como firewall, que segundo a comparação feita por Nakamura; Geus (2007) é equivalente ao controle de acesso em uma loja real o qual é feito por intermédio de porteiros, vigias, limites físicos e portas. Destaca-se que a escolha da palavra firewall para definir as funções desse programa ou dispositivo é baseada numa técnica de combate a incêndios que consiste na utilização de portas corta-fogo (firewall) que impedem a propagação do fogo em uma construção. O firewall pode ser utilizado na forma de software 3 e hardware 4 ou combinados. A determinação de qual forma de segurança será usada dependerá do porte da rede, da política de segurança que será aplicada e o grau de segurança desejado. A necessidade de utilização cada vez maior da internet pelas organizações e a constituição de ambientes cooperativos levam a uma crescente preocupação quanto à segurança. Como consequência, pode-se ver uma rápida evolução nessa área, principalmente com relação ao firewall, que é um dos principais, mais conhecidos e antigos componentes de um sistema de segurança. Sua fama, de certa forma, acaba contribuindo para a criação de uma falsa expectativa quanto à segurança total da organização, além de causar uma mudança ou mesmo uma banalização quanto à sua definição (NAKAMURA; GEUS, 2007, p. 220). Assim como os firewalls, há no mercado da tecnologia da informação os sistemas de detecção de intrusão, Intrusion Detections System (IDS), e sistemas de prevenção de intrusão, Intrusion Prevention System (IPS), que funcionam como um 3 Software, em um sistema computacional, o conjunto dos componentes informacionais, que não faz parte do equipamento físico e inclui os programas e os dados a eles associados. Qualquer programa ou conjunto de programas de computador (FERREIRA, 2001). 4 Hardware, componente, ou conjunto de componentes físicos de um computador (FERREIRA, 2001).

4 alarme. A detecção normalmente é feita com base em algum tipo de conhecimento, como: assinaturas de ataques e aprendizado de uma rede. Há também a detecção com base em comportamento anômalo. O IDS é um componente essencial em um ambiente cooperativo. Sua capacidade de detectar diversos ataques e intrusões auxilia na proteção do ambiente, e sua localização é um dos pontos a serem definidos com cuidado. Novos tipos de sistemas, que procuram não apenas detectar, mas também prevenir os ataques, estes sistemas são conhecidos como sistemas de prevenção de intrusão, IPS, (NAKAMURA; GEUS, 2007, p. 264). A criptografia é uma das formas mais seguras de transmitir informação, ela se baseia em um conjunto de técnicas para ocultar a informação de um acesso indevido. O objetivo da criptografia é transformar uma mensagem, uma informação legível em um conjunto de caracteres impossível de ser compreendido. A criptográfica tem a função e importância cada vez mais fundamentais para a segurança nas organizações; é a ciência de manter as mensagens seguras. A cifragem (encryption) é o processo de disfarçar a mensagem original, o texto claro (plaintext) ou (cleartext), de tal modo que sua substância é escondida em uma mensagem como texto cifrado (ciphertext), enquanto a decifragem (decrytpion) é o processo de transformar o texto cifrado de volta em texto claro original (NAKAMURA; GEUS, 2007, p. 301). Neste sentido Lyra(2008) afirma que a criptografia é uma arte ou ciência de se escrever em códigos, com o objetivo de garantir a segurança da informação. Com a segurança dada pela criptografia foi possível a expansão do comércio eletrônico. A criptografia é definida como arte ou ciência de escrever em cifras ou em códigos, com o propósito de restringir ao destinatário a capacidade de decodificá-la e compreendê-la. Mecanismos de criptografia são amplamente adotados em ambientes computacionais para oferecer garantia de autenticação, privacidade e integridade dos dados e comunicações, e sem essa tecnologia não teria sido possível popularizar o comércio eletrônico (LYRA, 2008, p. 37). A NBR ISO/IEC (2001) 5 define que a informação é um ativo fundamental para os negócios de uma organização, um bem como outro qualquer e que precisa ser protegido de forma adequada. A segurança da informação tem o papel de proteger esse tipo de ativo de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar os retornos dos investimentos realizados pela organização. A norma cita também que a segurança da informação é caracterizada pela preservação da confidencialidade, integridade e disponibilidade. 5 NBR ISO/IEC Norma Brasileira Tecnologia da informação Código de prática para gestão de segurança da informação.

5 Para a NBR ISO/IEC (2001) é essencial que uma organização identifique os seus requisitos de segurança, ela define três principais fontes. A primeira fonte é derivada de uma avaliação dos potencias de riscos que os ativos da organização estão expostos, como as ameaças, as vulnerabilidades, probabilidade de sua ocorrência e o impacto potencial estimado. A segunda fonte é a legislação vigente, os estatutos, a regulamentação, e cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço tem que atender. Por último, a terceira fonte diz respeito ao conjunto particular de princípios, objetivos e requisitos para o processamento a informação que a organização tem que desenvolver para atender as suas necessidades. Avaliação de risco é uma consideração sistemática: - do impacto nos negócios como resultado de uma falha de segurança, levando-se em conta as potencias consequências da perda de confidencialidade, integridade ou disponibilidade da informação ou de outros ativos; - da probabilidade de tal falha realmente ocorrer à luz das ameaças e vulnerabilidades mais frequentes e nos controles atualmente implementados (NBR ISO/IEC 17799, 2001, p.2). A Associação Brasileira de Normas Técnicas (ABNT) NBR ISO 6 /IEC (2006) 8 tem várias definições dos termos de segurança, quadro 1. Quadro 1 - ABNT NBR ISO/IEC (2006) e os termos de segurança Ativo qualquer coisa que tenha valor para a organização Disponibilidade propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada Confidencialidade propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados 6 ISO: sigla de International Organization for Standardization. A ISO tem como objetivo criar normas que facilitem o comércio e promovam boas práticas de gestão e o avanço tecnológico, além de disseminar conhecimentos. No Brasil, a ISO é representada pela Associação Brasileira de Normas Técnicas,( ABNT) (INMETRO, 2014) 7 IEC: sigla de International Electrotechnical Commission. O IEC é uma organização não governamental, sem fins lucrativos, que desenvolve normas internacionais e opera sistemas de avaliação de conformidade nas áreas de eletrotécnica (elétricas, eletrônicas e tecnologias correlatas) (IEC, 2014) 8 NBR ISO/IEC Norma Brasileira Tecnologia da informação - Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos.

6 Segurança da informação Evento de segurança da informação Incidente de segurança da informação preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação Integridade propriedade de salvaguarda da exatidão e completeza de ativos Fonte: NBR ISO/IEC A política de segurança da informação serve como base para o estabelecimento de normas e procedimentos, visando garantir a segurança da informação, assim como determinar responsabilidades relativas à segurança nas corporações. As políticas de segurança fornecem parâmetros para a implementação de mecanismos de segurança, definem procedimentos adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na eventualidade de ataques. b) Política de segurança da informação A política de segurança da informação segundo Nakamura; Geus (2 007) abrange os aspectos humanos, culturais e tecnológicos de uma organização, como também os processos, o ramo de atividade, enfim os negócios desta organização. É a partir da política de segurança da informação que são definidos as normas e os procedimentos a serem adotas e seguidos em toda a organização. O planejamento da política de segurança da informação é um dos principais passos para a sua implantação, passo esse que exige uma visão ampla de toda a sorte de riscos sejam entendidos para que possam ser estrategicamente combatidos. O ideal é que a abordagem da política de segurança seja pró ativa, considerando sempre o não é se, mas sim quando, a abordagem pró ativa bem definida, traz consigo a definição

7 de responsabilidades individuais e essa é bem clara, facilitando assim a sua atuação em todas as áreas da organização. O planejamento da política de segurança da informação deve ser feito tendo como diretriz o caráter geral e abrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos. Essas regras devem especificar quem pode acessar quais recursos, quais são os tipos de usos permitidos no sistema, bem como os procedimentos e controles necessários para proteger as informações. (NAKAMURA; GEUS, 2007, p.190). Segundo Lyra (2008) a elaboração de uma política de segurança da informação sólida deve considerar de forma criteriosa a particularização e detalhamento as características de cada processo, de cada local e infraestrutura, tomando corpo através de diretrizes e normas, procedimentos e instruções que tornaram oficiais sobre a questão em toda a organização. Divulgar corporativamente a política de segurança da informação, afim de torná-la o instrumento oficial, de conhecimento de todos, que irá nortear os executivos, técnicos e usuários quanto às melhores práticas no relacionamento com a informação. Capacitar, conscientizando os usuários no que se refere ao comportamento diante do manuseio, armazenamento, transporte e descarte da informação, incluindo o conhecimento dos critérios, proibições e responsabilidades inerentes ao assunto (LYRA, 2008, p. 53). Para Nakamura; Geus (2007) os principais elementos da política de segurança da informação são vigilância, atitude, estratégia e tecnologia. Sendo que vigilância diz respeito à forma que todos os membros de uma corporação devem se comportar diante a alarmes e alertas e terem uma posição de guardiões para evitar abusos sistêmicos e acidentais. Atitude, significa uma postura reflexo do treinamento, a política deve ser de fácil acesso para que seja alcançada a sua compreensão e cumplicidade da política definida. Estratégia traduz na maneira mais criativa possível, sendo capaz de se adaptar as mudanças no ambiente de trabalho, evitando grandes perdas de produção em função da demanda da segurança desejada. Tecnologia, a solução tecnológica deve ser bem dimensionada, flexível e adaptável, o ideal que ela não seja nem subdimensionada, em que venha dar uma falsa sensação de proteção e nem sobre dimensionada, o ideal que ao invés da política se basear em um produto e/ou solução, se norteie mais na essência da política de segurança da informação. Uma característica importante de uma política é que ela deve ser curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa. A essa política de alto nível devem ser acrescentados políticas, normas e procedimentos específicos para setores e áreas particulares, como por exemplo, para a área de informática. (NAKAMURA; GEUS, 2007, p.194).

8 A autenticação libera o acesso inicial a qualquer sistema, identifica, estabelece o nível de privilégio que o usuário pode exercer: libera ou nega acesso a determinadas áreas de um sistema. Autenticação é essencial para garantir a segurança da informação. Neste sentido Nakamura; Geus ( 2007) assinala que a autenticação tem um papel fundamental para a segurança de um ambiente cooperativo, ao validar a identificação dos usuários. Uma vez que o usuário é identificado, libera-se para ele os acessos aos quais o perfil dele permite. Este acesso vai ser mais restritivo, intermediário ou amplo de acordo com as responsabilidades e atribuições do usuário na corporação. O controle de acesso pela validação implica em segurança, em maior ou menor chance de ocorrerem falhas acidentais, em acesso indevido a informações sigilosas, entre outros ganhos. Uma política de segurança da informação tem que ter diretrizes relativas a senha, como: tempo de validade, quantidade de dígitos mínimo e máximo, quais tipos de caracteres são permitidos, prazo mínimo que se possa repetir a senha já utilizada entres outros. Para Nakamura; Geus (2007) as senhas são utilizadas pela grande maioria dos sistemas de autenticação e são consideradas necessárias como um meio de proteção. Contudo, elas são consideradas também perigosas, pois dependem do elo mais fraco da corrente, que são os usuários. Os usuários podem, escolher senhas óbvias e fáceis, compartilhá-las com seus colegas. A existência de uma política de segurança que auxilie na escolha de senha segura, que seja boa para o usuário e para a organização é fundamental, pois pode aumentar o nível de segurança de toda uma organização. Completando Lyra (2008) afirma que as melhores práticas relacionadas à política de senha recomendam a troca periódica das senhas, a identificação de senhas de fácil dedução e bloqueio após, por exemplo, três tentativas sem sucesso. A segurança no contexto da governança de tecnologia da informação conforme Lyra (2008) é definido pelo Control Objetives for Information And Related Technology (COBIT) como um guia semelhante a um framework 9, direcionado para a gestão da tecnologia da informação. O guia traz consigo uma série de recursos que podem servir de referência para a gestão da tecnologia da informação, nele 9 Framework Estrutura, armação, esqueleto, composição, organização. (MARQUES; DRAPER, 1990)

9 encontra-se um sumário executivo, um framework, controle de objetivos, mapas de auditoria, ferramentas para sua implementação e principalmente um guia importante com técnicas de gerenciamento. COBIT cobre os quatro domínios: planejar e organizar; adquirir e implementar; entregar e dar suporte; monitorar e avaliar. 3 - A SEGURANÇA DA INFORMAÇÃO A evolução da segurança da informação Nesta seção descreve-se os antecedentes da segurança da informação, difusão e sua predominância, bem como os tipos de incidentes em segurança da informação, os ataques mais comuns utilizados pelos hackers 10 e uma abordagem de fraudes mais utilizadas. a) Antecedentes históricos da segurança da informação Um dado histórico relevante que se tem como referência na segurança da informação é o Orange Book, livro laranja americano de normas relativas à segurança da informação, que começou a ser formulado em 1978 e teve sua versão final em Em 1977, o Departamento de Defesa, (DoD) dos Estados Unidos apresentou um plano sistemático para tratar do Problema Clássico de Segurança, o qual daria origem ao "DoD Computer Security Initiative" 11, que, logo depois desenvolveria um "centro" para avaliar se as soluções disponibilizadas, eram realmente seguras. Com a construção do "Centro", foi gerada uma necessidade da criação de um conjunto de regras a serem utilizadas no processo de avaliação. Este conjunto de regras ficaria conhecido informalmente como "The Orange Book". Oprocesso de escrita do "Orange Book", conhecido oficialmente como Trusted Computer Evaluation Criteria - DoD STD" 12,foi iniciado ainda no ano de 1978, sendo feita a publicação da versão "draft", ou rascunho, e no dia 26 de dezembro de 1985 foi publicada a versão final e atual deste documento. Mesmo que o "Orange Book" seja considerado, atualmente, um documento ultrapassado, pode-se considerá-lo como o marco inicial na busca de um conjunto de medidas que permitam a um ambiente computacional ser qualificado como seguro. Fonte: História da computação e da segurança de informação (s.d.) b) Difusão da segurança da informação 10 Hackers São especialistas que já dominam diversas técnicas de invasão e conhecem com profundidade pelo menos um sistema operacional. São excelentes programadores e administradores de sistemas. (ULBRICH; DELLA VALLE, 2009) 11 Iniciativas de Segurança de Informática 12 Livro Critérios de avaliação de informática confiável do Departamento de Defesa STD

10 Segundo o site profissionaisti.com.br a tecnologia da informação é encontrada em todos os portes de empresas, sejam elas micros ou grandes. Um fator que pode ser determinante para todo o andamento da empresa é a preocupação com a segurança da informação. A Segurança da Informação vem ganhando cada vez mais espaço e importância nas empresas. O seu princípio considera as informações e as pessoas como seus principais ativos. Com o avanço da tecnologia e com a grande competitividade do mercado é cada vez mais importante para uma organização investir em um sistema de informação seguro e políticas claras de segurança da informação, independente do seu porte e de suas colocações no mercado. Atualmente a informação pode ser considerada um dos ativos mais importantes de uma empresa. Se uma empresa possui segurança de suas informações, certamente isso transparece uma sensação de credibilidade para os seus clientes. Segundo a concepção de Rezende (2009), informação nos dias de hoje tem um valor significativo dentro de uma organização, representando muitas vezes a base para manter recursos financeiros e seus ativos em atividade. Fonte: Segurança da informação no ambiente corporativo (2013) c) Predominância da segurança da informação Em 2013 o site pwc 13.com.br divulgou o resultado da décima Pesquisa Global de Segurança da Informação, um estudo conduzido pela PwC e outras duas parceiras, realizado em 128 países. Segundo a PwC os maiores investimentos em segurança da informação estão concentrados na Ásia, a América do Norte mantém em posição estável, já a Europa está estagnada na questão de investimentos e está se enfraquecendo em relação à segurança da informação. A América do Sul desponta como líder em algumas categorias, o Brasil está cada vez mais sólido na questão de investimentos e alinhado às práticas dos lideres mundiais. Dada a limitação de espaço este estudo apresenta apenas um dos gráficos da pesquisa da PwC, onde pode-se verificar que está ocorrendo queda no uso de ferramentas de segurança da informação, observa-se também um relaxamento das políticas que estabelecem padrões nas organizações. Muitos dos elementos vêm sendo excluídos nos últimos anos. Como por exemplo as políticas relativas a backup e recuperação de dados, que aparece com apenas 51%. em vigor nas empresas. Gráfico 1: Elementos que compõem as políticas de segurança no mundo 13 PriceWaterhouseCoopers - A marca PwC se originou da fusão das firmas Price e Waterhouse em meados do século XIX e com a Coopers&Lybrand em 1998.

11 Fonte: d) Os tipos de incidentes em segurança da informação, os ataques mais comuns Um dos principais ataques que as corporações enfrentam no dia-a-dia é a engenharia social, vista de maneira similar por praticamente todos os teóricos do assunto. A engenharia social é a técnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Ela tem o objetivo de enganar e ludibriar pessoas assumindo-se uma falsa identidade, afim de que elas revelem senhas ou outras informações que possam comprometer a segurança da organização. Esta técnica explora o fato de os usuários estarem sempre dispostos a ajudar e colaborar com os serviços da organização. Ela é capaz de convencer a pessoa que está do outro lado da porta a abri-la, independentemente do tamanho do cadeado. O engenheiro social manipula as pessoas para que elas entreguem chaves ou abram o cadeado, explorando características humanas como reciprocidade, consistência, busca por aprovação social, simpatia, autoridade e medo (NAKAMURA; GEUS, 2007, p. 85). Neste sentido Lyra (2008) afirma que as pessoas menos avisadas fornecem informações sigilosas apenas pelo fato de serem prestativas e pelo fato de acharem que todos são de boa índole. Segundo o SANS Institute 14, Engenharia Social é a arte de utilizar o comportamento humano para quebrar a segurança sem que a vítima sequer perceba que foi manipulada. E segundo o CERT.br define engenharia social como um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado aos ativos da informação (LYRA, 2008, p. 21). 14 SANS Institute - Computer Security Education and Information Security Training, Instituto de Segurança Computacional, Educação e Treinamento em Segurança da Informação.

12 Segundo Ulbrich; Della Valle (2009) a engenharia social visa colher informações vitais sobre o alvo escolhido, além das óbvias, como dados financeiros, pessoais e hierárquicos, como também informações de instalações físicas e lógicas, topologia de rede, política de senhas e chaves criptográficas. A engenharia social basicamente, significa a garimpagem de informações vitais sobre uma determinada pessoa, empresa, produto ou organização. Essas informações são provenientes quase sempre de pessoas próximas ao indivíduo a ser atacado ou do próprio quadro de funcionários e clientes no caso de empresas (ULBRICH; DELLA VALLE, 2009, p. 124). Entre as diversas vulnerabilidades há também a captura da conta, senha e demais dados do usuário via sites, até mesmo aqueles ditos como confiáveis, que dão a garantia a privacidade das informações dos seus clientes. Esta vulnerabilidade ocorre via SQL Injection 15. SQL Injection, que consiste em inserir comandos da linguagem SQL nos campos de login 16 e senha para, de acordo com a mensagem de erro retornada pelo servidor, mapear todo o banco de dados dos usuários. Esse método funciona para scripts ASP 17 que utilizam de chamadas SQL, mas pode ser adaptado para qualquer linguagem.. A sintaxe pode ser diferente, mas o mecanismo é similar (ULBRICH; DELLA VALLE, 2009, p. 205). Apresenta-se a seguir as ameaças mais comuns que as corporações estão expostas, entre elas, cavalo de Tróia, spans, DoS, WEB, engenharia social e outras. Quadro 2 Ameaças mais comuns nas corporações Cavalo de Tróia Ulbrich; Della Valle (2009) afirmam que os cavalos de troia são apenas expedientes utilizados para fazer a vítima acreditar que o arquivo em questão trata-se de algo inofensivo ou mesmo um presente embora guarde algo danoso em suas entranhas. Cavalos de Tróia guardam e transportam qualquer coisa pode ser um backdoor 18 (o mais usual), mas também pode ser um vírus 19, um programa inocente ou mesmo outro cavalo de Tróia mais poderoso. DoS (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede. (CERT.br) 15 SQL Injection é um dos muitos mecanismos de ataque utilizados por hackers para roubar dados de organizações em páginas na internet. 16 Campo para a entrada da conta/chave do usuário 17 Série de instruções para serem seguidas no padrão ASP, Microsoft Active Server Pages. 18 Backdoor (também conhecido por porta dos fundos) são programas que instalam um ambiente de serviço em um computador, tornando-o acessível à distância, permitindo o controle remoto da máquina sem que o usuário saiba. (Vírus e cia., s.d) 19 Vírus é código escrito com o objetivo de contaminar sistemas computacionais que se propaga rapidamente. É considerado um agente hospedeiro que age fazendo cópia de seu próprio código e sua ação está ligada diretamente à execução do programa ou do arquivo infectado (GLBO,2006).

13 Invasão Um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede. (CERT.br) Web Um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet. (CERT.br) Scan Notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador. (CERT.br) Fraude Segundo Houaiss 20, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". (CERT.br) Fonte: Diversas fontes conforme citado em cada item A base legal da política de segurança da informação As leis voltadas para a segurança da informação estão distribuídas em diversos dispositivos, como pode-se verificar no quadro 3. O Marco Civil aprovado recentemente regulamenta o uso da internet no Brasil, não sendo propriamente um instrumento voltado para a política de segurança da informação no âmbito corporativo. Quadro 3 Relação de leis, artigos e decretos que regulamentam os aspectos relativos à segurança da informação. Dispositivo Mandamento Legal Aspecto Segurança Informação Constituição Federal, art. Direito à privacidade. 5º, inciso X. Consolidação Leis Trabalho - Rescisão de contrato de trabalho de CLT, art. 482, empregado que viola segredo da empresa. alínea g. Código de Defesa do Consumidor, arts. 43 e 44. Código Penal, art. 154-A. Código Penal, art. 313-B. Direito de acesso do consumidor às suas informações pessoais arquivadas em bancos de dados e direito de retificação das informações incorretas. Pena - detenção, de 3 meses a 1 ano, e multa. Pena de 3 meses a 2 anos e multa por crime de modificação ou alteração não autorizada de sistemas de informações. Sigilo das informações relacionadas à intimidade ou à vida privada de alguém. Proteção das informações sigilosas acessadas no exercício de emprego público Garantia da integridade e disponibilidade das informações dos consumidores arquivadas em bancos de dados. Proteção à violação de equipamentos e sistemas - sejam eles conectados ou não à internet - com intenção de destruir dados, ou instalar vulnerabilidades. Proteção da integridade e disponibilidade das informações constantes nos órgãos públicos. 20 Dicionário Houaiss da Língua Portuguesa, elaborado pelo lexicógrafo brasileiro Antônio Houaiss.

14 Lei nº 7.232/84, art. 2o, inciso VIII. Lei nº 9.296/96, art. 10. Lei nº /03, art. 6º, inciso IV. Decreto nº 3.505/00, art. 1º. Exigência de mecanismos e instrumentos legais e técnicos para a proteção do sigilo dos dados informatizados armazenados, processados e veiculados, do interesse da privacidade e de segurança das pessoas Pena de dois a quatro anos, e multa por crime de interceptação de comunicações telefônicas, de informática ou telemática, ou quebra de segredo da Justiça, sem autorização judicial Prevê a competência do GSIPR de coordenar a atividade de segurança da informação. Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Sigilo dos dados relacionados à intimidade, vida privada e honra, especialmente dos dados armazenados através de recursos informáticos. Sigilo dos dados e das comunicações privadas. Todos os aspectos da segurança da informação. Pressupostos básicos da segurança da informação. Fonte: site

15 3.3 - Dados quantitativos sobre incidentes em segurança da informação Os incidentes em segurança da informação têm crescido ano a ano conforme pode-se verificar no gráfico 2 do CERT 21, o ano de 2013 teve um decréscimo considerável, assim como houve também em 2010, mas mesmo assim essa não é a tendência. No detalhamento por tipo de ataques, fraude é segundo colocado na classificação geral. Este estudo propõe dar foco ao tipo de incidente/ataque fraude, em que pode-se ter um detalhamento maior nos gráficos e nas análise feitas pelo CERT-br. Como pode-se observar, o total de notificações recebidas 2013 foi de , este número foi 24% menor que o total de pelo CERT em Gráfico 2: Total de Incidentes Reportados ao CERT.br de 1999 à 2013 Fonte: CERT.br Este estudo apresenta os gráficos relativos ao fechamento anual de Alguns destaques que pode-se observar da análise do CERT. Embora o total de notificações reportadas ao CERT tenha retraído em 2013, as notificações de tentativas de fraude, em 2013, totalizaram , correspondendo a um aumento de 23% em relação a Como também, as notificações de casos de páginas falsas 21 O CERT.br mantém estatísticas sobre notificações de incidentes a ele reportados. Estas notificações são voluntárias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao CERT.br.

16 de bancos e sites de comércio eletrônico (phishing clássico) em 2013 cresceram 44% em relação a Gráfico 3 : Incidentes Reportados - Tipos de Ataque Acumulado Janeiro a Dezembro de 2013 Fonte: CERT.br Gráfico 4 : Incidentes Reportados - Tipos de Ataques em Percentual Janeiro a Dezembro de 2013 Fonte: CERT.br

17 As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram um crescimento de 4% em relação ao ano de Seguindo a tendência geral, em 2013 o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve uma queda de 49% em relação a O CERT, recebeu notificações relacionadas a eventuais quebras de direitos autorais, este número foi 11% maior que o do ano de 2012, conforme pode-se verificar no gráfico 5. Gráfico 5 : Incidentes Reportados - Tentativas de fraudes reportadas Janeiro a Dezembro de 2013 Fonte: CERT.br 4 - DISCUSSÃO SOBRE OS DIVERSOS ASPECTOS DA SEGURANÇA DA INFORMAÇÃO sobre a a) Em Segurança da informação O estudo apresenta, inicialmente, a analogia de Nakamura; Geus (2007) preocupação com portas, acessos que devem ser mantidos fechados para garantir o mínimo de segurança, sendo que o mesmo comportamento tem que se verificar no ambiente da informática para a proteção dos ativos. Seguindo este raciocínio são apresentados as proteções, as vantagens de se utilizar Firewalls, IDS e IPS para proteção de acesso à internet e outros sistemas de como um todo.

18 Cita-se o papel da criptografia que tem a crucial importância para as organizações nas transferências de mensagens de forma segura. Entrando mais para o lado da teoria e normas a (NBR ISO/IEC 17799, 2001) faz referência dos requisitos de segurança, as principais fontes: avaliação dos potenciais riscos, legislação vigente, princípios e objetivos da corporação. b) Em Política de segurança da informação As políticas de segurança fornecem parâmetros para a implementação de mecanismos de segurança; A política de segurança da informação segundo Nakamura; Geus (2007) abrange os aspectos humanos, culturais e tecnológicos. O planejamento da política de segurança da informação deve ser feito tendo como diretriz o caráter geral. Segundo Lyra (2008), deve-se divulgar corporativamente a política de segurança da informação, afim de torná-la o instrumento oficial. A autenticação libera acesso inicial a qualquer sistema, identifica, estabelece o nível de privilégio que o usuário pode exercer. Assim, uma boa política de segurança da informação tem que ter diretrizes relativas à senha, como: tempo de validade, quantidade de dígitos, conforme indica Nakamura; Geus (2007) a autenticação tem um papel fundamental para a segurança. A governança de tecnologia da informação para Lyra (2008) o COBIT é um modelo a ser seguido. c) Em Aspectos da Segurança da Informação A referência histórica em segurança da informação, o Orange Book, teve o seu início de elaboração 1978, com a versão final em A difusão da Segurança da Informação vem ganhando cada vez mais espaço e importância nas empresas, esta tem sido considerada um dos ativos mais importantes de uma empresa. Segundo a pesquisa da PWC, a Ásia destaca-se como líder mundial em segurança da informação. O Brasil se mostra cada vez mais sólido e alinhado com os investimentos, práticas e o desempenho dos líderes mundiais.

19 d) Ataques/ameaças: A engenharia social é a técnica que explora as fraquezas humanas e sociais, em vez de explorar a tecnologia. Pode ser minimizada com a política de segurança da informação bem formulada; SQL Injection, que consiste em inserir comandos da linguagem SQL nos campos de login e senha para, de acordo com a mensagem de erro retornada pelo servidor, mapear todo o banco de dados dos usuários. Pode ser combatida com Firewalls e IDS/IPS. Cavalo de Tróia são expedientes utilizados para fazer a vítima acreditar que o arquivo em questão trata-se de algo inofensivo. Pode ser minimizada com a política de segurança da informação bem formulada; Invasão é um ataque bem sucedido que resulte no acesso não autorizado. Pode-se utilizar Firewalls, IDS/IPS para tentar evitar tais ataques. Scan são notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. Pode-se utilizar Firewalls, IDS/IPS para tentar evitar tais ataques. Fraudes é qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro. Pode ser minimizada com a política de segurança da informação bem formulada. 5 - CONCLUSÃO Os incidentes em segurança da informação têm aumentado proporcionalmente com o aumento da utilização dos computadores tanto nas corporações quanto no uso doméstico, conforme pode-se verificar nos dados disponibilizados pelo CERT. Porém, há de se considerar que os dados do CERT são uma referência, pois provavelmente muitos incidentes que ocorrem não são reportados por diversas razões e estratégicas empresarias. Através deste estudo, pode-se dizer que as corporações que utilizam das ferramentas adequadas, das tecnologias apropriadas e das melhores práticas do

20 mercado, associadas a uma política de segurança da informação eficaz, tendem a minimizar os incidentes em segurança da informação, seja qual for a natureza que estes incidentes venham ter. Diante do exposto, conclui-se que mediante a uma política de segurança da informação abrangente, eficaz, utilizando-se de todos os recursos possíveis disponíveis; como tecnologias, treinamento, conscientização e envolvimento de todos, é possível sim minimizar falhas em segurança da informação e evitar incidentes em fraudes, engenharia social e tantos outros em que as tecnologias disponíveis barram de forma automática.

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Plano de Ensino Contato Introdução Análise e Avaliação de Riscos 2 1 PLANO DE ENSINO 3 Ementa Requisitos de segurança de aplicações, de base de dados e de comunicações

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Segurança de Redes. em Ambientes Cooperativos. Emilio Tissato Nakamura Paulo Lício de Geus. Novatec

Segurança de Redes. em Ambientes Cooperativos. Emilio Tissato Nakamura Paulo Lício de Geus. Novatec Segurança de Redes em Ambientes Cooperativos Emilio Tissato Nakamura Paulo Lício de Geus Novatec sumário Agradecimentos...11 Palavra dos autores...13 Sobre os autores...14 Sobre este livro...15 Apresentação...16

Leia mais

Segurança e Auditoria em Sistemas

Segurança e Auditoria em Sistemas Segurança e Auditoria em Sistemas Curso: Analise e Desenvolvimento de Sistemas Prof.Eduardo Araujo Site:www.professoreduardoaraujo.com O que é Segurança? Confidencialidade Integridade Disponibilidade Jogo

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação Segurança da Informação Fundamentos do Modelo de Segurança da Informação A Segurança da Informação no Governo Federal OGoverno Federal, em diversas oportunidades, tem se manifestado no sentido de assegurar

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Cap. 2: Políticas de Segurança e Respostas Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Estar derrotado é sempre uma condição temporária. Desistir é o que o torna

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade sobre o Autor Bacharel em Análise de Sistemas pela Universidade de Ribeirão Preto e Pós-graduado em Segurança da Informação pelo ITA Instituto

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Plano de Ensino Contato Introdução Análise e Avaliação de Riscos 2 1 PLANO DE ENSINO 3 Ementa Fundamentos da Segurança da Informação Análise e Avaliação de Riscos Ameaças

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação Ministério da Saúde Departamento de Informática do SUS DATASUS Segurança da Informação e Comunicação Conceitos : Disponibilidade Segurança da Informação Significa estar acessível e utilizável quando demandado

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Algumas Leis da Segurança

Algumas Leis da Segurança Algumas Leis da Segurança Marcos Aurelio Pchek Laureano laureano@ppgia.pucpr.br Roteiro Leis Fundamentais Leis Imutáveis Seus significados Sua Importância 2 Algumas Leis da Segurança As leis Fundamentais

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

SIG - Sistemas de Informações Gerenciais. Segurança da Informação

SIG - Sistemas de Informações Gerenciais. Segurança da Informação Segurança da Informação Importância da Informação A Informação é considerada atualmente como um dos principais patrimônio de uma organização. Importância da Informação Ela é um ativo que, como qualquer

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Segurança de Sistemas

Segurança de Sistemas Faculdade de Tecnologia Senac Pelotas Curso Superior de Tecnologia em Análise e Desenvolvimento de Sistemas Segurança de Sistemas Prof. Edécio Fernando Iepsen Segurança de Sistemas Verificar e definir

Leia mais

segurança da informação

segurança da informação Superior Tribunal de Justiça Secretaria de Controle Interno CARTILHA segurança da informação Coordenadoria de Auditoria de Tecnologia da Informação O que você faz para proteger as informações do STJ?

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2

ENGENHARIA SOCIAL. Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 ENGENHARIA SOCIAL Andresa Luchtemberg Pereira 1 Diuli Keiti da Luz Tiscoski 1 Marcos Henrique Henkes 1 Eva Lourdes Pires 2 RESUMO: Engenharia Social é o uso da persuasão humana para obtenção de informações

Leia mais

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX. Empresa XX LTDA

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX. Empresa XX LTDA 1 REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX Empresa XX LTDA A EMPRESA XX LTDA, através de seu Comitê de Tecnologia da Informação, órgão responsável pela normatização e padronização

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar

Leia mais

Informação e Comunicações

Informação e Comunicações ORIGEM Ministério da Integração Nacional Departamento Nacional de Obras Política de Segurança da Contra as Secas DNOCS Informação e Comunicações Departamento Nacional de Obras Contra as Secas REFERÊNCIA

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Proteção de dados e informação que possuem valor para uma pessoa ou empresa

Proteção de dados e informação que possuem valor para uma pessoa ou empresa Professor Gedalias Valentim Informática para Banca IADES Segurança da Informação Segurança da Informação Proteção de dados e informação que possuem valor para uma pessoa ou empresa 1 Segurança da Informação

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014

RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014 TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicação (POSIC-TRT3) no âmbito do Tribunal Regional do Trabalho

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

POLÍTICA DE UTILIZAÇÃO DE COMPUTADORES E REDES - PUR

POLÍTICA DE UTILIZAÇÃO DE COMPUTADORES E REDES - PUR 1. INTRODUÇÃO CENTRO UNIVERSITÁRIO DO PLANALTO DE ARAXÁ POLÍTICA DE UTILIZAÇÃO DE COMPUTADORES E REDES - PUR Este documento pretende descrever como deverá ser o uso apropriado dos recursos de computação

Leia mais

Evolução Tecnológica e a Segurança na Rede

Evolução Tecnológica e a Segurança na Rede Evolução Tecnológica e a Segurança na Rede Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasill Núcleo de Informação e Coordenação do Ponto br

Leia mais

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA UNIVERSIDADE FEDERAL DE PELOTAS (UFPelNet)

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA UNIVERSIDADE FEDERAL DE PELOTAS (UFPelNet) REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA UNIVERSIDADE FEDERAL DE PELOTAS (UFPelNet) A Universidade Federal de Pelotas (UFPel), através de seu Comitê de Tecnologia da Informação (PORTARIA

Leia mais

Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006

Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006 Apresentamos os resultados da Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe, realizada com o apoio da SUCESU-BA. O objetivo dessa pesquisa é transmitir aos gestores e ao mercado

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

Segurança de Sistemas

Segurança de Sistemas Faculdade de Tecnologia Senac Curso de Análise e Desenvolvimento de Sistemas Segurança de Sistemas Edécio Fernando Iepsen (edeciofernando@gmail.com) Segurança em Desenvolvimento de Software Segurança do

Leia mais

Auditoria e Segurança em Tecnologia da Informação

Auditoria e Segurança em Tecnologia da Informação Auditoria e Segurança em Tecnologia da Informação @lucianodoll Conceitos de segurança Introdução Segurança Um computador é seguro se atende a 3 requisitos: Confidencialidade: a informação só está disponível

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais