FACULDADE LOURENÇO FILHO BACHARELADO EM CIÊNCIAS DA COMPUTAÇÃO FRANCISCO MARCELO ALENCAR DE MATOS

Tamanho: px
Começar a partir da página:

Download "FACULDADE LOURENÇO FILHO BACHARELADO EM CIÊNCIAS DA COMPUTAÇÃO FRANCISCO MARCELO ALENCAR DE MATOS"

Transcrição

1 FACULDADE LOURENÇO FILHO BACHARELADO EM CIÊNCIAS DA COMPUTAÇÃO FRANCISCO MARCELO ALENCAR DE MATOS PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005 FORTALEZA 2010

2 FRANCISCO MARCELO ALENCAR DE MATOS PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005 Monografia apresentada ao curso de Ciências da Computação da Faculdade Lourenço Filho como requisito para obtenção do grau de bacharel. Sob a orientação do Professor Msc. José Alzir Bruno Falcão. FORTALEZA 2010

3 TERMO DE APROVAÇÃO PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005 Por FRANCISCO MARCELO ALENCAR DE MATOS Este estudo monográfico foi apresentado no dia 21 de Dezembro de 2010, como requisito parcial para a obtenção do grau de bacharel em CIÊNCIAS DA COMPUTAÇÃO da Faculdade Lourenço Filho, tendo sido aprovado pela Banca Examinadora composta pelos professores: BANCA EXAMINADORA Prof. Msc. José Alzir Falcão Orientador FLF Prof. Carlos Roberto Vieira de Aragão Examinador FLF Prof. José Vigno Examinador FLF

4 AGRADECIMENTOS A Deus primeiramente, por ter sempre me mostrado claramente os caminhos e me ajudado em todos os aspectos da minha vida, me abençoando sempre. A toda minha família, ao meu pai, José Clayton Rocha de Matos por ter me iniciado na área de informática, tendo me incentivado e ajudado sempre que necessário, e em especial à minha querida mãe, Maria do Socorro Alencar de Matos que sempre cuidou e me amou incondicionalmente, estando sempre presente em todos os momentos de minha vida e a minha esposa Camila Silva Alves de Matos por tanto ter me incentivado. Aos professores da Faculdade Lourenço Filho pela paciência e contribuição para a realização deste trabalho monográfico.

5 Na era da informação, ao mesmo tempo em que as informações são consideradas o principal patrimônio de uma organização, elas estão também sob permanente risco, como nunca estiveram antes. Com isso, a segurança da informação tornou-se crucial para a sobrevivência das instituições. José Batista Siqueira Filho José Bezerra da Silva Filho

6 RESUMO Este trabalho monográfico aborda a implantação da Segurança Física em uma organização tendo como base a Norma ABNT NBR ISO/IEC 27002:2005, principal fonte de pesquisa utilizada. Todos os aspectos propostos na norma estão aqui descritos. O objetivo final desta monografia consiste em propor um Checklist genérico para verificação de conformidade de uma organização com a Norma ABNT NBR ISO/IEC 27002:2005. Nas últimas décadas, o crescimento desordenado da Internet tem criado um ambiente propício ao desenvolvimento de muitas ameaças. Tais ameaças se valem, na maioria dos casos, da total ausência de um ambiente seguro e da deficiência de políticas de segurança. No início, a conectividade a qualquer custo e velocidade eram os objetivos principais. Com os grandes prejuízos obtidos nos últimos anos devido à ausência de segurança, é que surgiu a preocupação em investir em Segurança da Informação. A Segurança da Informação tem como objetivo proteger os ativos de rede, tentando minimizar ao máximo os riscos a que o ativo está exposto. Ela pode ser dividida em duas partes que são Segurança Lógica e Segurança Física. A Segurança Física, outro importante objeto de pesquisa neste projeto monográfico, é tão importante quanto a Segurança Lógica, e desempenha um importante papel na proteção aos ativos de uma empresa. Palavras-chave: Segurança da Informação. Segurança Física. ABNT NBR ISO/IEC 27002:2005. Checklist.

7 13 ABSTRACT This monographic work tries to explain the Physical Security deployment in an organization drawing upon ABNT NBR ISO / IEC 27002:2005 standard, the main source of research used. All proposed aspects in the rule are described here. The final objective of this monograph is to propose a generic Checklist for verification of compliance of an organization with the ABNT NBR ISO / IEC 27002:2005 standard. In recent decades, the disorderly growth of the Internet has created an environment conducive to the development of many threats. Such threats are worth, in most cases, the total absence of a secure environment and the lack of security policies. Initially, the connectivity at any cost and speed were the main objectives. With the big losses made in recent years due to lack of security, there the concern in investing in the Information Security. The Information Security is intended to protect the assets of network, trying to minimize as much as possible the risks to which the asset is exposed. It can be divided into two parts that are Logical Security and Physical Security. The Physical Security, another important research object of this monographic project, is as important as the Logical Security, and plays an important role in protecting the assets of a company. Key-Words: Information Security. Physical Security. ABNT NBR ISO/IEC 27002:2005. Checklist.

8 14 LISTA DE FIGURAS FIGURA 1 Evolução do número de domínios.br FIGURA 2 Internautas ativos em residências e no trabalho em horas navegadas FIGURA 3 Principais ameaças à Segurança FIGURA 4 Checklist baseado na Norma NBR ISO

9 15 LISTA DE ABREVIATURAS E SIGLAS ABNT Associação Brasileira de Normas Técnicas C Linguagem de Programação de alto nível C++ Linguagem de programação criada no início dos anos 70, a partir da linguagem C CB Comitês Brasileiros CE Comissões de Estudo CEET Comissões de Estudos Especiais Temporárias DDoS Distributed Denial of Service DoS Denial of Service EUA Estados Unidos da América IEC International Electrotechnical Commission IP Internet Protocol ISO International Standards Organization JTC Joint Technical Committee NBR Abreviatura que denota uma norma brasileira emitida pela ABNT NMAP Software livre que realiza port scan ONS Organismos de Normalização Setorial PIN Personal Identification Number SGSI Sistema de Gestão da Segurança da informação TCP Transmission Control Protocol TI Tecnologia da Informação UNIX Sistema operacional desenvolvido em 1969, pela empresa americana AT&T UPS Uninterruptible Power Supply

10 SUMÁRIO 1 INTRODUÇÃO Contextualização do problema Objetivo geral Objetivos específicos Justificativa Hipóteses Metodologia Estrutura da monografia Referencial teórico REVISÃO BIBLIOGRÁFICA Conceituação Informação Segurança da Informação Evolução da Internet nos últimos anos Necessidade de segurança Ameaças Ataques Principais ataques Estatísticas que justificam o investimento em segurança Sínteses de trabalhos que versam sobre Segurança da Informação Trabalho 1: Uma abordagem sobre política da segurança da informação implantada Trabalho 2: Segurança da informação na rede interna com certificados digitais e seus aspectos legais Trabalho 3: Hackers. Como se proteger?... 30

11 2.7.4 Trabalho 4: Política de segurança da informação para redes corporativas Trabalho 5: COBIT, ITIL e ISO/IEC melhores práticas para Governança de Tecnologia da Informação Trabalho 6: Segurança como estratégia de gestão da informação Normas para Segurança da Informação Norma ABNT NBR ISO/IEC 27002: Objetivos Abrangência Importância Norma ISO/IEC FDIS 27001: Segurança Física e do Ambiente de Acordo com a Norma ABNT NBR ISO/IEC 27002: Áreas seguras Perímetro de segurança física Controles de entrada física Segurança em escritórios, salas e instalações Proteção contra ameaças externas e do meio ambiente Trabalhando em áreas seguras Acesso do público, áreas de entrega e de carregamento Segurança de equipamentos Instalação e proteção do equipamento Utilidades Segurança do cabeamento Manutenção dos equipamentos Segurança de equipamentos fora das dependências da organização Reutilização e alienação segura de equipamentos Remoção de propriedade CHECKLIST PROPOSTO

12 4 CONSIDERAÇÕES FINAIS Conclusão Trabalhos Futuros REFERÊNCIAS

13 13 1 INTRODUÇÃO Na era da tecnologia digital e do mundo virtual, as organizações passam a ter a informação como um dos seus principais patrimônios. Sendo um dos principais ativos, a informação necessita ser protegida a qualquer custo de qualquer eventualidade. A perda das informações de uma organização acarreta um grande prejuízo para a mesma, e a proporção deste prejuízo aumenta à medida que a importância desta informação para a empresa também aumenta. No mundo hoje, existem muitas ameaças à informação. Previnir-se contra essas ameaças é essencial. É de vital importância que as organizações criem métodos de proteção contra tais ameaças. Para padronizar tais métodos e assegurar sua eficácia, existem órgãos responsáveis por criar normas e regras que assegurem a Segurança a Informação. A norma ABNT NBR ISO/IEC 27002:2005 é a principal referência para assegurar a implantação eficaz da Segurança da Informação em uma organização. Baseada nela, será apresentado um Checklist que servirá de termômetro para que as organizações consigam checar o seu nível de conformidade com a norma, e assim corrigir os pontos falhos. 1.1 Contextualização do problema A necessidade de segurança é um fato que vem transcendendo o limite da produtividade e da funcionalidade. Enquanto a velocidade e a eficiência em todos os processos de negócios significam uma vantagem competitiva, a falta de segurança nos meios que habilitam a velocidade e a eficiência pode resultar em grandes prejuízos e falta de oportunidades de negócios. (NAKAMURA; GEUS, 2003). Para a segurança da informação, minimizar as possibilidades de ataques e conseqüentes prejuízos às organizações não dependem somente dos recursos tecnológicos disponíveis, mas também dos aspectos humanos, processuais, jurídicos e de negócios da organização. A segurança física compreende-se no ambiente, ela abrange todo o ambiente onde os sistemas de informação estão instalados, normalmente se faz necessária a ajuda da

14 14 engenharia civil e elétrica, já a segurança lógica compreende-se em programas, onde mecanismos de proteção baseados em softwares são aplicados, ambas podem ser planejadas e implantadas em paralelo. 1.2 Objetivo geral Apresentar um Checklist genérico para verificação da segurança física da informação em qualquer empresa, baseado na Norma ABNT NBR ISO/IEC 27002: Objetivos específicos Analisar a Segurança da Informação, sua importância e os fatores que a ameaçam; Apresentar e comentar a norma ABNT NBR ISO/IEC 27002:2005, sua importância, objetivos e abrangência; Levantar todos os controles referentes à Segurança Física da Informação de acordo com a norma ABNT NBR ISO/IEC 27002: Justificativa O mundo da segurança é marcado pela evolução contínua, no qual novos ataques têm como resposta novas formas de proteção que levam ao desenvolvimento de novas técnicas de ataques e assim sucessivamente. Esse mesmo comportamento pode ser observado no mundo da informação, onde também se deve ter em mente que a segurança deve ser contínua e evolutiva. (NAKAMURA; GEUS, 2003).

15 15 Entretanto, ainda hoje a segurança é tratada de maneira superficial por grande parte das organizações. Não recebendo a devida importância e sem a definição de uma boa estratégia de segurança, são utilizadas técnicas parciais ou incompletas que podem aumentar a vulnerabilidade da organização. (NAKAMURA; GEUS, 2003). Os tipos de perdas que as empresas podem experimentar por causa de lapsos na segurança dos computadores podem ser contabilizados das seguintes maneiras (BURNETT, 2002) e (STEVE, 2002): Dados ou segredos: Perda de números de cartão de crédito do usuário, comprometimento de relatórios financeiros e acesso não-autorizado às informações; Perda de reputação: Às vezes uma avaliação negativa do analista pode causar um impacto tão grande quanto à própria invasão. Isso pode ser uma das principais razões pelas quais as empresas raramente informam invasões e roubo de dados; Perdas financeiras: Além dos roubos financeiros diretos, a perda de dados e a perda de reputação resultarão em perdas financeiras. Os seguintes fatores justificam a preocupação com a segurança contínua: a natureza dos ataques, as novas vulnerabilidades das novas tecnologias, a criação de novas formas de ataques, o aumento da conectividade, a complexidade da defesa, o aumento dos crimes digitais e os grandes prejuízos ocasionados pela falta de segurança. (NAKAMURA; GEUS, 2003). 1.5 Hipóteses A Segurança da Informação é realmente um ponto de vital importância, pois ela defende um dos maiores patrimônios das organizações, suas informações; A norma ABNT NBR ISO/IEC 27002:2005 é uma forte referência para a implantação adequeda e eficaz da Segurança da Informação;

16 O Checklist aqui proposto pode ser utilizado para medir o grau de conformidade da segurança física de uma organização com esta norma Metodologia Para desenvolver o estudo sobre Segurança Física da Informação e implantação da mesma em uma organização em conformidade com a norma ABNT NBR ISO/IEC 27002:2005, bem como para propor o Checklist serão aplicadas as técnicas de: Estudo de Bibliografias relacionadas à área; Gráficos comparativos. 1.7 Estrutura da monografia Este trabalho monográfico compreende em 4 capítulos. O primeiro capítulo de introdução que contextualiza o problema, especifica os objetivos gerais e específicos, demonstra justificativas, hipóteses, metodologia, estrutura e referencial teórico abordado neste trabalho. O segundo capítulo aborda os conceitos de Informação e Segurança da Informação, citando também a evolução da Internet nos últimos anos e sua importância, o surgimento e justificativas da necessidade de segurança da informação e os conceitos e exemplos de ameaças e ataques, finalizando com algumas estatísticas que justificam a preocupação e os investimentos em Segurança da Informação, síntese de alguns trabalhos, as normas para segurança da informação são abordadas, bem como alguns importantes orgãos criadores e gestores dessas normas. A Norma ABNT NBR ISO/IEC 27002:2005 tem seus objetivos, abrangência e importância comentados e explanados, são abordados também todos os controles da Norma ABNT NBR ISO/IEC 27002:2005. Cada controle é explicado e as medidas a se tomar para haver a conformidade com a norma são enumeradas.

17 17 No terceiro capítulo, o Checklist proposto, oriundo desta pesquisa é então disponibilizado e comentado. Já no último capítulo, é descrito as considerações finais e sugestões de trabalhos futuros. 1.8 Referencial teórico Neste trabalho foram utilizadas referências bibliográficas de vital importância para o seu desenvolvimento. A referência mais utilizada foi, sem dúvida, a própria norma ABNT NBR ISO/IEC 27002:2005. Sendo o tema proposto um retrato da norma, não haveria, assim, referência mais perfeita, tendo sido as outras referências utilizadas como apoio e complemento teórico à própria norma no decorrer deste trabalho.

18 18 2 REVISÃO BIBLIOGRÁFICA O advento da Internet e das diversas aplicações que passaram a ser desenvolvidas em ambiente web, assim como o paradigma de desenvolvimento de sistemas em ambiente distribuído podem representar um dos marcos iniciais para as preocupações com os aspectos de segurança lógica e física em ambientes de tecnologia da informação. É nesse instante quando começam as preocupações de gestores e desenvolvedores com invasões de sistemas e, sobretudo, com a criação de estratégias e mecanismos que dificultem a violabilidade de tais informações. Outro ponto extremamente significativo no processo de segurança lógica e física de ambientes de TI veio da quantidade de transações bancárias realizadas na Internet Conceituação Abaixo são apresentadas separadamente os conceitos de Informação e de Segurança da Informação, deixando clara a distinção de cada um, bem como a relação entre ambos Informação Segundo a ABNT NBR ISO/IEC (2005), a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectvidade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades. Como salienta Dias (2000), a informação é o principal patrimônio da empresa e está sob constante risco. A informação pode existir em diversas formas. Ela pode ser impressa

19 19 ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. A informação representa a inteligência competitiva dos negócios e é reconhecido como ativo crítico para a continuidade operacional da empresa (SÊMOLA, 2003). Nem toda informação é vital, porém determinadas informações podem ser tão importantes e necessárias que qualquer custo aplicado para manter sua integridade seria nada se comparado ao custo de não dispor de tais informações. Para medir o grau de importância de uma informação, Wadlow (2000) classifica-a em níveis de prioridade. Tais níveis respeitam a necessidade de cada empresa, bem como a importância da classe de informação para a manutenção das atividades da empresa. Seriam: Pública: Informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da empresa, e cuja integridade não é vital. Interna: O acesso livre a este tipo de informação deve ser evitado, embora as conseqüências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital. Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo. Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número reduzido de pessoas. A segurança desse tipo de informação é vital para a companhia Segurança da Informação Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio (ABNT NBR ISO/IEC 27002, 2005).

20 20 De acordo com Sêmola (2003), pode-se definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware (ABNT NBR ISO/IEC 27002, 2005). Para Krause (1999), Pereira (2000) e Albuquerque (2002), há três princípios básicos para garantir a Segurança da Informação: Confidencialidade: A informação somente pode ser acessada por pessoas explicitamente autorizadas. É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso; Disponibilidade: A informação deve estar disponível no momento em que a mesma for necessária; Integridade: A informação deve ser recuperada em sua forma original (no momento em que foi armazenada). É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas. 2.2 Evolução da Internet nos últimos anos Nas últimas décadas a Internet, bem como o seu uso tem crescido de forma acelerada. Tornando-se assim muito presente no dia-a-dia das pessoas de forma quase que indispensável. Não se pode mais imaginar o mundo, a rotina das pessoas, as empresas e os negócios sem a Internet. Segundo Honeycutt (1998), o crescimento da Internet tem sido explosivo. Em 1985, haviam mais de computadores host na Internet. Agora há bem mais de 9 milhões de computadores host que suportam milhões de usuários. A cada mês, a Internet incorpora milhões de novos usuários. A Internet não é de modo algum uma rede, mas sim um vasto conjunto de redes diferentes que utilizam certos protocolos comuns e fornecem determinados serviços comuns. É um sistema pouco usual no sentido de não ter sido planejado nem ser controlado por ninguém (TANENBAUM,2003).

21 A seguir, na Figura 1, temos algumas estatísticas do aumento de usuários, domínios e servidores na Internet, o que vem a confirmar tais afirmações. 21 FIGURA 1 Evolução do número de domínios.br. Fonte: Registro.br (2010) O gráfico abaixo, exibe o tempo médio em que os internautas brasileiros utilizam a Internet (tempo conectado e navegando), mês a mês. O gráfico também detalha a quantidade de usuários. Assim, pode-se comprovar o quanto a Internet é necesária atualmente. Isso é também um indício do crescimento acelerado da Internet. FIGURA 2 Internautas ativos em residências e no trabalho em horas navegadas. Fonte: IBOPE NetRattings (2010)

22 Necessidade de Segurança A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado. As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação. Danos causados por código malicioso, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (egov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída reduz a eficácia da implementação de um controle de acesso centralizado. Muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos apropriados. A identificação de controles a serem implantados requer um planejamento cuidadoso e uma atenção aos detalhes. A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização. Pode ser que seja necessária também a participação de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser também necessária (ABNT NBR ISO/IEC 27002, 2005).

23 Ameaças O conhecimento das ameaças e ataques potenciais que podem enfraquecer o ambiente computacional das empresas é fundamental antes de decidir sobre quais serão os investimentos na área de segurança, pois tais ameaças podem comprometer gravemente a segurança do patrimônio tecnológico da empresa como um todo. As ameaças internas podem ser consideradas como o risco número um à segurança dos recursos computacionais. É contra essas ameaças que a Segurança da Informação se propõe. Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ISO/IEC :2004). Segundo Moreira (2001), ameaças são fatores/ocorrências que podem violar sistemas e causar incidentes de segurança e, dessa forma, danos aos negócios da empresa. Para Soares et al. (1995), ameaça é uma possível violação da segurança de um sistema. Segundo os mesmos autores, existem os seguintes tipos de ameaças: Destruição de informação ou de outros recursos; Modificação ou deturpação da informação; Roubo ou perda da informação; Revelação da informação; Interrupção de serviços. Já para Salgado et al. (2004), uma lista das ameaças de segurança física poderia conter os seguintes itens: Incêndio (fogo e fumaça); Água (vazamentos, corrosão, enchentes); Tremores e abalos sísmicos; Tempestades, furacões; Terrorismo; Sabotagem e vandalismo; Explosões; Roubos, furtos; Desmoronamento de construções; Materiais tóxicos;

24 24 Interrupção de energia (bombas de pressão, ar-condicionado, elevadores); Interrupção de comunicação (links, voz, dados); Falhas em equipamentos; Outros. 2.5 Ataques Segundo Barbosa (2004), um dos problemas mais comuns à segurança é a má configuração dos hosts, que acontece devido à configuração default do sistema, que deixa muito a desejar, ou devido à instalação e habilitação de serviços de forma indiscriminada. Ainda segundo o mesmo autor, um outro problema são as falhas inerentes aos sistemas onde a culpa geralmente é colocada nos fabricantes, por que seus sistemas possuem vulnerabilidades e falhas, quando não deveriam ter. As falhas, os bugs e as vulnerabilidades sempre irão existir, então cabe a nós mantermo-nos atualizados quanto ao lançamento de correções, patches e updates. Conforme Honório (2003), os ataques podem ser intencionais ou acidentais, podendo ser ativos ou passivos. Acidentais: São os ataques que não tem intenção, não foi planejado anteriormente. Intencionais: São os ataques que tem intenção, foi planejado anteriormente. Passivos: São os ataques que não interferem na informação, no fluxo no canal de escuta. Ativos: São os ataques que interferem no fluxo normal de informações alterando o seu conteúdo, normalmente contra o intuito de alterar o sistema de segurança de uma empresa Principais ataques Quanto mais protegido o computador, melhor. Desta forma, fica mais difícil sofrer um ataque. São diversos os tipos de ataque.

25 25 A seguir, são enumeradas as principais formas de ataques. São elas: Vírus: São pequenos programas que têm a propriedade de se juntar a outros arquivos, alterar seu funcionamento normal e se reproduzir, contaminando outros arquivos. Em princípio um vírus poderia contaminar qualquer arquivo. No entanto, só faz sentido contaminarem executáveis, uma vez que estes são carregados e executados na memória (BARBOSA, 2004); Trojans ou Cavalos de Tróia: Assim como na história, são falsos presentes enviados às vítimas, geralmente via , ou seja, programas disfarçados que, ao serem executados, efetuam tarefas malígnas, tais como capturas de senhas e outros dados sigilosos. A principal diferença entre os Trojans e os Vírus é que o primeiro não se reproduz ou se replica, ele só é executado e propagado através de intervenção humana (BARBOSA, 2004) e (HONÓRIO, 2003); Worms: São programas que aproveitam falhas do sistemas para se propagar, e se replicar. Ao contrário dos trojans, os worms não contaminam arquivos. O Primeiro worm que se tem notícia foi criado por Robert Morris, em Este programa aproveitaria uma falha do finger daemon do UNIX e do sendmail. Mais o worm de Morris tinha um bug que o fazia reinfectar máquinas já contaminadas. Isso provocou a queda de vários computadores no EUA (BARBOSA, 2004); Sniffers: Os sniffings são programas que verificam o tráfego na rede, são úteis para o gerenciamento de rede e, nas mãos dos hackers, são bons para roubarem senhas e informações sigilosas. O sniffing é uma invasão passiva, na qual uma máquina diferente do destino pretende ter informações que se percorrem na rede, é um ataque muito difícil de ser detectado. Contudo o sniffing não pode ser considerado um ataque porque são usados para diagnosticar problemas na rede de uma empresa (HONÓRIO, 2003); Exploit: Programa criado para explorar uma falha de segurança de um sistema. Pode servir para obter acesso indevido ou tirar o sistema do ar (ANDRADE, 2005); Honeypot (Pote de Mel): Armadilha para hackers. Configura-se um computador para servir de isca, deixando brechas para a invasão. Os softwares instalados coletam informações sobre o invasor que são, depois, usadas para reforçar as defesas (ANDRADE, 2005); Estouro de Buffer (Buffer Overflow): Um tipo de ataque que faz com que um programa invada o final de uma área de armazenamento de dados. O resultado é que o

26 26 invasor pode sobrescrever parte do programa e executar seu código. Isso é um problema principalmente com software escrito em C e C ++. Outras linguagens como Java estão imunes a ele (ANDRADE, 2005); Rootkit: É uma coleção de softwares projetados para não deixar pistas de um invasor e fornecer portas de fundo para futuras invasões no sistema, normalmente também contêm limpadores de log. A defesa é feita de um software de avaliação de integridade, mas se o Rootkit atacar o Kernel (Núcleo do Sistema) a defesa é a prevenção através de scanners de Rootkit, ou seja, fazer uma varredura no sistema a procura de Rootkit (ANDRADE, 2005); Spoofing: É o ato de usar uma máquina para personificar outra. Isso é feito forjando o endereço de origem de um ou mais hosts empenhados na autenticação das máquinas individualmente. Para realizar uma sessão bem sucedida de spoofing, alguns crakers temporariamente matam ou anestesiam a máquina que eles estão personificando (ANDRADE, 2005). O IP Spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado (NAKAMURA; GEUS, 2003); Scanners de portas: Os scanners são programas que buscam portas TCP abertas por onde pode ser feita uma invasão. Para que a varredura não seja percebida pela vítima, alguns scanners testam as portas de um computador durante muitos dias em horários aleatórios. Um dos mais conhecidos é o Nmap, existe também outro tipo de Scanner chamado scanner de vulnerabilidades que são capazes de descrever as vulnerabilidades nos serviços oferecidos pelas portas dos computadores, um dos mais famoso é o Nessus (ANDRADE, 2005); Denial of service (DoS): Ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Há muitas variantes como os ataques distribuidos de negação de serviço (DDoS) que paralisam vários sites ao mesmo tempo. Nessa variante, o agressor invade muitos computadores e instala neles um software zumbi. Quando recebem a ordem para iniciar o ataque, os zumbis bombardeiam o servidor alvo, tirando-o do ar (ANDRADE, 2005); Ping Of Death: (Ping da Morte) Consiste em enviar um pacote IP com tamanho maior que o máximo permitido ( bytes), para a máquina que se deseja atacar. O pacote é enviado na forma de fragmentos (a razão é que nenhum tipo de rede permite o tráfego de pacotes deste tamanho) e quando a máquina destino tenta montar estes fragmentos, inúmeras situações podem ocorrer: a maioria da máquinas trava, algumas

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799 Fundamentos em Segurança de Redes de Computadores 1 Objetivos Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) Segurança em Redes de Computadores FACULDADE LOURENÇO FILHO Setembro/2014 Prof.:

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Segurança da Informação

Segurança da Informação Agência Nacional de Vigilância Sanitária Segurança da Informação (Gerenciamento de Acesso a Sistemas de Informação) Projeto a ser desenvolvido no âmbito da Gerência de Sistemas/GGTIN Brasília, junho de

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 276:2011) - OTS NORMA Nº NIT-DICOR-011 APROVADA EM MAR/2013 Nº 01/46 SUMÁRIO

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD Problema Controle de Acesso Lógico e Físico Prof. Alexandre Beletti Ferreira Com as informações armazenadas em computadores interligados com outros computadores no mundo todo surgi a necessidade de uma

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS Autor(a): Tatiene Rochelle Santana Melo Coautor(es): Gliner Dias Alencar INTRODUÇÃO Com o aumento

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos. 1 INTERNET BANKING: DICAS DE SEGURANÇA Alexandre Kaspary 1 Alexandre Ramos 2 Leo Andre Blatt 3 William Rohr 4 Fábio Matias Kerber 5 Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Via Internet Banking você pode realizar as mesmas ações disponíveis nas agências bancárias, sem enfrentar filas ou ficar restrito aos horários de atendimento Realizar transações

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 04 Tipos de Ataques

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 04 Tipos de Ataques Ataque de Dicionário www.projetoderedes.com.br Trata-se de um ataque baseado em senhas que consiste na cifragem das palavras de um dicionário e posterior comparação com os arquivos de senhas de usuários.

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Introdução a Gestão de Segurança da Informação. Professor Joerllys Sérgio

Introdução a Gestão de Segurança da Informação. Professor Joerllys Sérgio Introdução a Gestão de Segurança da Informação Professor Joerllys Sérgio A informação e sua importância para o negócio Os aspectos da geração de conhecimento a partir da informação são de especial interesse

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Capítulo 1 Introdução à Segurança de Redes

Capítulo 1 Introdução à Segurança de Redes Capítulo 1 Introdução à Segurança de Redes 1.1 Introdução à segurança da informação 1.2 Histórico da segurança 1.2.1 Surgimento da Internet, o Internet Worm e a criação do CERT 1.2.2 Segurança no Brasil

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Atualmente, graças à Internet, é possível comprar produtos sem sair de casa ou do trabalho, sem se preocupar com horários e sem enfrentar filas. Eainda receber tudo em casa ou

Leia mais

Introdução aos Sistemas de Informações

Introdução aos Sistemas de Informações Introdução aos Sistemas de Informações Módulo 6 Segurança da TI Por que os Controles São Necessários Os controles são necessários para garantir a qualidade e segurança dos recursos de hardware, software,

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança

Leia mais

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE Prof. Dr. Ivanir Costa Unidade III QUALIDADE DE SOFTWARE Normas de qualidade de software - introdução Encontra-se no site da ABNT (Associação Brasileira de Normas Técnicas) as seguintes definições: Normalização

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers Ataques e Intrusões Professor André Cardia andre@andrecardia.pro.br msn: andre.cardia@gmail.com Ataques e Intrusões O termo genérico para quem realiza um ataque é Hacker. Essa generalização, tem, porém,

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

A Evolução dos Problemas de Segurança e Formas de Proteção

A Evolução dos Problemas de Segurança e Formas de Proteção A Evolução dos Problemas de Segurança e Formas de Proteção Cristine Hoepers cristine@cert.br Klaus Steding-Jessen jessen@cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &RQWUROHVVREUHEDQFRGHGDGRVH PLFURFRPSXWDGRUHV

Leia mais

POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA GADE SOLUTION Tatiana Lúcia Santana GADE SOLUTION 1. Conceituação: A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Coordenadoria de Tecnologia da Informação. Documentos Formais. Governança de Auditoria Interna de TI com AGIL-GPR

Coordenadoria de Tecnologia da Informação. Documentos Formais. Governança de Auditoria Interna de TI com AGIL-GPR Coordenadoria de Tecnologia da Informação Documentos Formais Governança de Auditoria Interna de TI com AGIL-GPR NOV/2011 1 Sumário 1 Introdução... 03 2 Políticas de Governança de Auditoria Interna de TI...

Leia mais

ERP é um sistema de gestão empresarial que gerencia as informações relativas aos processos operacionais, administrativos e gerenciais das empresas.

ERP é um sistema de gestão empresarial que gerencia as informações relativas aos processos operacionais, administrativos e gerenciais das empresas. Introdução Sistemas de Informação é a expressão utilizada para descrever um Sistema seja ele automatizado (que pode ser denominado como Sistema Informacional Computadorizado), ou seja manual, que abrange

Leia mais

Norma de Segurança Estadual para Gerenciamento de Senhas

Norma de Segurança Estadual para Gerenciamento de Senhas GOVERNO DO ESTADO DE MATO GROSSO SECRETARIA DE ESTADO DE PLANEJAMENTO E COORDENAÇÃO GERAL CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE INFORMAÇÃO E TECNOLOGIA DA INFORMAÇÃO ANEXO I - RESOLUÇÃO Nº. 011/2011

Leia mais