FACULDADE LOURENÇO FILHO BACHARELADO EM CIÊNCIAS DA COMPUTAÇÃO FRANCISCO MARCELO ALENCAR DE MATOS

Tamanho: px
Começar a partir da página:

Download "FACULDADE LOURENÇO FILHO BACHARELADO EM CIÊNCIAS DA COMPUTAÇÃO FRANCISCO MARCELO ALENCAR DE MATOS"

Transcrição

1 FACULDADE LOURENÇO FILHO BACHARELADO EM CIÊNCIAS DA COMPUTAÇÃO FRANCISCO MARCELO ALENCAR DE MATOS PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005 FORTALEZA 2010

2 FRANCISCO MARCELO ALENCAR DE MATOS PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005 Monografia apresentada ao curso de Ciências da Computação da Faculdade Lourenço Filho como requisito para obtenção do grau de bacharel. Sob a orientação do Professor Msc. José Alzir Bruno Falcão. FORTALEZA 2010

3 TERMO DE APROVAÇÃO PROPOSTA DE UM CHECKLIST PARA VERIFICAÇÃO DA SEGURANÇA FÍSICA DE UMA EMPRESA BASEADA NA NORMA ABNT NBR ISO/IEC 27002:2005 Por FRANCISCO MARCELO ALENCAR DE MATOS Este estudo monográfico foi apresentado no dia 21 de Dezembro de 2010, como requisito parcial para a obtenção do grau de bacharel em CIÊNCIAS DA COMPUTAÇÃO da Faculdade Lourenço Filho, tendo sido aprovado pela Banca Examinadora composta pelos professores: BANCA EXAMINADORA Prof. Msc. José Alzir Falcão Orientador FLF Prof. Carlos Roberto Vieira de Aragão Examinador FLF Prof. José Vigno Examinador FLF

4 AGRADECIMENTOS A Deus primeiramente, por ter sempre me mostrado claramente os caminhos e me ajudado em todos os aspectos da minha vida, me abençoando sempre. A toda minha família, ao meu pai, José Clayton Rocha de Matos por ter me iniciado na área de informática, tendo me incentivado e ajudado sempre que necessário, e em especial à minha querida mãe, Maria do Socorro Alencar de Matos que sempre cuidou e me amou incondicionalmente, estando sempre presente em todos os momentos de minha vida e a minha esposa Camila Silva Alves de Matos por tanto ter me incentivado. Aos professores da Faculdade Lourenço Filho pela paciência e contribuição para a realização deste trabalho monográfico.

5 Na era da informação, ao mesmo tempo em que as informações são consideradas o principal patrimônio de uma organização, elas estão também sob permanente risco, como nunca estiveram antes. Com isso, a segurança da informação tornou-se crucial para a sobrevivência das instituições. José Batista Siqueira Filho José Bezerra da Silva Filho

6 RESUMO Este trabalho monográfico aborda a implantação da Segurança Física em uma organização tendo como base a Norma ABNT NBR ISO/IEC 27002:2005, principal fonte de pesquisa utilizada. Todos os aspectos propostos na norma estão aqui descritos. O objetivo final desta monografia consiste em propor um Checklist genérico para verificação de conformidade de uma organização com a Norma ABNT NBR ISO/IEC 27002:2005. Nas últimas décadas, o crescimento desordenado da Internet tem criado um ambiente propício ao desenvolvimento de muitas ameaças. Tais ameaças se valem, na maioria dos casos, da total ausência de um ambiente seguro e da deficiência de políticas de segurança. No início, a conectividade a qualquer custo e velocidade eram os objetivos principais. Com os grandes prejuízos obtidos nos últimos anos devido à ausência de segurança, é que surgiu a preocupação em investir em Segurança da Informação. A Segurança da Informação tem como objetivo proteger os ativos de rede, tentando minimizar ao máximo os riscos a que o ativo está exposto. Ela pode ser dividida em duas partes que são Segurança Lógica e Segurança Física. A Segurança Física, outro importante objeto de pesquisa neste projeto monográfico, é tão importante quanto a Segurança Lógica, e desempenha um importante papel na proteção aos ativos de uma empresa. Palavras-chave: Segurança da Informação. Segurança Física. ABNT NBR ISO/IEC 27002:2005. Checklist.

7 13 ABSTRACT This monographic work tries to explain the Physical Security deployment in an organization drawing upon ABNT NBR ISO / IEC 27002:2005 standard, the main source of research used. All proposed aspects in the rule are described here. The final objective of this monograph is to propose a generic Checklist for verification of compliance of an organization with the ABNT NBR ISO / IEC 27002:2005 standard. In recent decades, the disorderly growth of the Internet has created an environment conducive to the development of many threats. Such threats are worth, in most cases, the total absence of a secure environment and the lack of security policies. Initially, the connectivity at any cost and speed were the main objectives. With the big losses made in recent years due to lack of security, there the concern in investing in the Information Security. The Information Security is intended to protect the assets of network, trying to minimize as much as possible the risks to which the asset is exposed. It can be divided into two parts that are Logical Security and Physical Security. The Physical Security, another important research object of this monographic project, is as important as the Logical Security, and plays an important role in protecting the assets of a company. Key-Words: Information Security. Physical Security. ABNT NBR ISO/IEC 27002:2005. Checklist.

8 14 LISTA DE FIGURAS FIGURA 1 Evolução do número de domínios.br FIGURA 2 Internautas ativos em residências e no trabalho em horas navegadas FIGURA 3 Principais ameaças à Segurança FIGURA 4 Checklist baseado na Norma NBR ISO

9 15 LISTA DE ABREVIATURAS E SIGLAS ABNT Associação Brasileira de Normas Técnicas C Linguagem de Programação de alto nível C++ Linguagem de programação criada no início dos anos 70, a partir da linguagem C CB Comitês Brasileiros CE Comissões de Estudo CEET Comissões de Estudos Especiais Temporárias DDoS Distributed Denial of Service DoS Denial of Service EUA Estados Unidos da América IEC International Electrotechnical Commission IP Internet Protocol ISO International Standards Organization JTC Joint Technical Committee NBR Abreviatura que denota uma norma brasileira emitida pela ABNT NMAP Software livre que realiza port scan ONS Organismos de Normalização Setorial PIN Personal Identification Number SGSI Sistema de Gestão da Segurança da informação TCP Transmission Control Protocol TI Tecnologia da Informação UNIX Sistema operacional desenvolvido em 1969, pela empresa americana AT&T UPS Uninterruptible Power Supply

10 SUMÁRIO 1 INTRODUÇÃO Contextualização do problema Objetivo geral Objetivos específicos Justificativa Hipóteses Metodologia Estrutura da monografia Referencial teórico REVISÃO BIBLIOGRÁFICA Conceituação Informação Segurança da Informação Evolução da Internet nos últimos anos Necessidade de segurança Ameaças Ataques Principais ataques Estatísticas que justificam o investimento em segurança Sínteses de trabalhos que versam sobre Segurança da Informação Trabalho 1: Uma abordagem sobre política da segurança da informação implantada Trabalho 2: Segurança da informação na rede interna com certificados digitais e seus aspectos legais Trabalho 3: Hackers. Como se proteger?... 30

11 2.7.4 Trabalho 4: Política de segurança da informação para redes corporativas Trabalho 5: COBIT, ITIL e ISO/IEC melhores práticas para Governança de Tecnologia da Informação Trabalho 6: Segurança como estratégia de gestão da informação Normas para Segurança da Informação Norma ABNT NBR ISO/IEC 27002: Objetivos Abrangência Importância Norma ISO/IEC FDIS 27001: Segurança Física e do Ambiente de Acordo com a Norma ABNT NBR ISO/IEC 27002: Áreas seguras Perímetro de segurança física Controles de entrada física Segurança em escritórios, salas e instalações Proteção contra ameaças externas e do meio ambiente Trabalhando em áreas seguras Acesso do público, áreas de entrega e de carregamento Segurança de equipamentos Instalação e proteção do equipamento Utilidades Segurança do cabeamento Manutenção dos equipamentos Segurança de equipamentos fora das dependências da organização Reutilização e alienação segura de equipamentos Remoção de propriedade CHECKLIST PROPOSTO

12 4 CONSIDERAÇÕES FINAIS Conclusão Trabalhos Futuros REFERÊNCIAS

13 13 1 INTRODUÇÃO Na era da tecnologia digital e do mundo virtual, as organizações passam a ter a informação como um dos seus principais patrimônios. Sendo um dos principais ativos, a informação necessita ser protegida a qualquer custo de qualquer eventualidade. A perda das informações de uma organização acarreta um grande prejuízo para a mesma, e a proporção deste prejuízo aumenta à medida que a importância desta informação para a empresa também aumenta. No mundo hoje, existem muitas ameaças à informação. Previnir-se contra essas ameaças é essencial. É de vital importância que as organizações criem métodos de proteção contra tais ameaças. Para padronizar tais métodos e assegurar sua eficácia, existem órgãos responsáveis por criar normas e regras que assegurem a Segurança a Informação. A norma ABNT NBR ISO/IEC 27002:2005 é a principal referência para assegurar a implantação eficaz da Segurança da Informação em uma organização. Baseada nela, será apresentado um Checklist que servirá de termômetro para que as organizações consigam checar o seu nível de conformidade com a norma, e assim corrigir os pontos falhos. 1.1 Contextualização do problema A necessidade de segurança é um fato que vem transcendendo o limite da produtividade e da funcionalidade. Enquanto a velocidade e a eficiência em todos os processos de negócios significam uma vantagem competitiva, a falta de segurança nos meios que habilitam a velocidade e a eficiência pode resultar em grandes prejuízos e falta de oportunidades de negócios. (NAKAMURA; GEUS, 2003). Para a segurança da informação, minimizar as possibilidades de ataques e conseqüentes prejuízos às organizações não dependem somente dos recursos tecnológicos disponíveis, mas também dos aspectos humanos, processuais, jurídicos e de negócios da organização. A segurança física compreende-se no ambiente, ela abrange todo o ambiente onde os sistemas de informação estão instalados, normalmente se faz necessária a ajuda da

14 14 engenharia civil e elétrica, já a segurança lógica compreende-se em programas, onde mecanismos de proteção baseados em softwares são aplicados, ambas podem ser planejadas e implantadas em paralelo. 1.2 Objetivo geral Apresentar um Checklist genérico para verificação da segurança física da informação em qualquer empresa, baseado na Norma ABNT NBR ISO/IEC 27002: Objetivos específicos Analisar a Segurança da Informação, sua importância e os fatores que a ameaçam; Apresentar e comentar a norma ABNT NBR ISO/IEC 27002:2005, sua importância, objetivos e abrangência; Levantar todos os controles referentes à Segurança Física da Informação de acordo com a norma ABNT NBR ISO/IEC 27002: Justificativa O mundo da segurança é marcado pela evolução contínua, no qual novos ataques têm como resposta novas formas de proteção que levam ao desenvolvimento de novas técnicas de ataques e assim sucessivamente. Esse mesmo comportamento pode ser observado no mundo da informação, onde também se deve ter em mente que a segurança deve ser contínua e evolutiva. (NAKAMURA; GEUS, 2003).

15 15 Entretanto, ainda hoje a segurança é tratada de maneira superficial por grande parte das organizações. Não recebendo a devida importância e sem a definição de uma boa estratégia de segurança, são utilizadas técnicas parciais ou incompletas que podem aumentar a vulnerabilidade da organização. (NAKAMURA; GEUS, 2003). Os tipos de perdas que as empresas podem experimentar por causa de lapsos na segurança dos computadores podem ser contabilizados das seguintes maneiras (BURNETT, 2002) e (STEVE, 2002): Dados ou segredos: Perda de números de cartão de crédito do usuário, comprometimento de relatórios financeiros e acesso não-autorizado às informações; Perda de reputação: Às vezes uma avaliação negativa do analista pode causar um impacto tão grande quanto à própria invasão. Isso pode ser uma das principais razões pelas quais as empresas raramente informam invasões e roubo de dados; Perdas financeiras: Além dos roubos financeiros diretos, a perda de dados e a perda de reputação resultarão em perdas financeiras. Os seguintes fatores justificam a preocupação com a segurança contínua: a natureza dos ataques, as novas vulnerabilidades das novas tecnologias, a criação de novas formas de ataques, o aumento da conectividade, a complexidade da defesa, o aumento dos crimes digitais e os grandes prejuízos ocasionados pela falta de segurança. (NAKAMURA; GEUS, 2003). 1.5 Hipóteses A Segurança da Informação é realmente um ponto de vital importância, pois ela defende um dos maiores patrimônios das organizações, suas informações; A norma ABNT NBR ISO/IEC 27002:2005 é uma forte referência para a implantação adequeda e eficaz da Segurança da Informação;

16 O Checklist aqui proposto pode ser utilizado para medir o grau de conformidade da segurança física de uma organização com esta norma Metodologia Para desenvolver o estudo sobre Segurança Física da Informação e implantação da mesma em uma organização em conformidade com a norma ABNT NBR ISO/IEC 27002:2005, bem como para propor o Checklist serão aplicadas as técnicas de: Estudo de Bibliografias relacionadas à área; Gráficos comparativos. 1.7 Estrutura da monografia Este trabalho monográfico compreende em 4 capítulos. O primeiro capítulo de introdução que contextualiza o problema, especifica os objetivos gerais e específicos, demonstra justificativas, hipóteses, metodologia, estrutura e referencial teórico abordado neste trabalho. O segundo capítulo aborda os conceitos de Informação e Segurança da Informação, citando também a evolução da Internet nos últimos anos e sua importância, o surgimento e justificativas da necessidade de segurança da informação e os conceitos e exemplos de ameaças e ataques, finalizando com algumas estatísticas que justificam a preocupação e os investimentos em Segurança da Informação, síntese de alguns trabalhos, as normas para segurança da informação são abordadas, bem como alguns importantes orgãos criadores e gestores dessas normas. A Norma ABNT NBR ISO/IEC 27002:2005 tem seus objetivos, abrangência e importância comentados e explanados, são abordados também todos os controles da Norma ABNT NBR ISO/IEC 27002:2005. Cada controle é explicado e as medidas a se tomar para haver a conformidade com a norma são enumeradas.

17 17 No terceiro capítulo, o Checklist proposto, oriundo desta pesquisa é então disponibilizado e comentado. Já no último capítulo, é descrito as considerações finais e sugestões de trabalhos futuros. 1.8 Referencial teórico Neste trabalho foram utilizadas referências bibliográficas de vital importância para o seu desenvolvimento. A referência mais utilizada foi, sem dúvida, a própria norma ABNT NBR ISO/IEC 27002:2005. Sendo o tema proposto um retrato da norma, não haveria, assim, referência mais perfeita, tendo sido as outras referências utilizadas como apoio e complemento teórico à própria norma no decorrer deste trabalho.

18 18 2 REVISÃO BIBLIOGRÁFICA O advento da Internet e das diversas aplicações que passaram a ser desenvolvidas em ambiente web, assim como o paradigma de desenvolvimento de sistemas em ambiente distribuído podem representar um dos marcos iniciais para as preocupações com os aspectos de segurança lógica e física em ambientes de tecnologia da informação. É nesse instante quando começam as preocupações de gestores e desenvolvedores com invasões de sistemas e, sobretudo, com a criação de estratégias e mecanismos que dificultem a violabilidade de tais informações. Outro ponto extremamente significativo no processo de segurança lógica e física de ambientes de TI veio da quantidade de transações bancárias realizadas na Internet Conceituação Abaixo são apresentadas separadamente os conceitos de Informação e de Segurança da Informação, deixando clara a distinção de cada um, bem como a relação entre ambos Informação Segundo a ABNT NBR ISO/IEC (2005), a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectvidade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades. Como salienta Dias (2000), a informação é o principal patrimônio da empresa e está sob constante risco. A informação pode existir em diversas formas. Ela pode ser impressa

19 19 ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. A informação representa a inteligência competitiva dos negócios e é reconhecido como ativo crítico para a continuidade operacional da empresa (SÊMOLA, 2003). Nem toda informação é vital, porém determinadas informações podem ser tão importantes e necessárias que qualquer custo aplicado para manter sua integridade seria nada se comparado ao custo de não dispor de tais informações. Para medir o grau de importância de uma informação, Wadlow (2000) classifica-a em níveis de prioridade. Tais níveis respeitam a necessidade de cada empresa, bem como a importância da classe de informação para a manutenção das atividades da empresa. Seriam: Pública: Informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da empresa, e cuja integridade não é vital. Interna: O acesso livre a este tipo de informação deve ser evitado, embora as conseqüências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital. Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo. Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número reduzido de pessoas. A segurança desse tipo de informação é vital para a companhia Segurança da Informação Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio (ABNT NBR ISO/IEC 27002, 2005).

20 20 De acordo com Sêmola (2003), pode-se definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware (ABNT NBR ISO/IEC 27002, 2005). Para Krause (1999), Pereira (2000) e Albuquerque (2002), há três princípios básicos para garantir a Segurança da Informação: Confidencialidade: A informação somente pode ser acessada por pessoas explicitamente autorizadas. É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso; Disponibilidade: A informação deve estar disponível no momento em que a mesma for necessária; Integridade: A informação deve ser recuperada em sua forma original (no momento em que foi armazenada). É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas. 2.2 Evolução da Internet nos últimos anos Nas últimas décadas a Internet, bem como o seu uso tem crescido de forma acelerada. Tornando-se assim muito presente no dia-a-dia das pessoas de forma quase que indispensável. Não se pode mais imaginar o mundo, a rotina das pessoas, as empresas e os negócios sem a Internet. Segundo Honeycutt (1998), o crescimento da Internet tem sido explosivo. Em 1985, haviam mais de computadores host na Internet. Agora há bem mais de 9 milhões de computadores host que suportam milhões de usuários. A cada mês, a Internet incorpora milhões de novos usuários. A Internet não é de modo algum uma rede, mas sim um vasto conjunto de redes diferentes que utilizam certos protocolos comuns e fornecem determinados serviços comuns. É um sistema pouco usual no sentido de não ter sido planejado nem ser controlado por ninguém (TANENBAUM,2003).

21 A seguir, na Figura 1, temos algumas estatísticas do aumento de usuários, domínios e servidores na Internet, o que vem a confirmar tais afirmações. 21 FIGURA 1 Evolução do número de domínios.br. Fonte: Registro.br (2010) O gráfico abaixo, exibe o tempo médio em que os internautas brasileiros utilizam a Internet (tempo conectado e navegando), mês a mês. O gráfico também detalha a quantidade de usuários. Assim, pode-se comprovar o quanto a Internet é necesária atualmente. Isso é também um indício do crescimento acelerado da Internet. FIGURA 2 Internautas ativos em residências e no trabalho em horas navegadas. Fonte: IBOPE NetRattings (2010)

22 Necessidade de Segurança A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado. As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação. Danos causados por código malicioso, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (egov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída reduz a eficácia da implementação de um controle de acesso centralizado. Muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos apropriados. A identificação de controles a serem implantados requer um planejamento cuidadoso e uma atenção aos detalhes. A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização. Pode ser que seja necessária também a participação de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser também necessária (ABNT NBR ISO/IEC 27002, 2005).

23 Ameaças O conhecimento das ameaças e ataques potenciais que podem enfraquecer o ambiente computacional das empresas é fundamental antes de decidir sobre quais serão os investimentos na área de segurança, pois tais ameaças podem comprometer gravemente a segurança do patrimônio tecnológico da empresa como um todo. As ameaças internas podem ser consideradas como o risco número um à segurança dos recursos computacionais. É contra essas ameaças que a Segurança da Informação se propõe. Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ISO/IEC :2004). Segundo Moreira (2001), ameaças são fatores/ocorrências que podem violar sistemas e causar incidentes de segurança e, dessa forma, danos aos negócios da empresa. Para Soares et al. (1995), ameaça é uma possível violação da segurança de um sistema. Segundo os mesmos autores, existem os seguintes tipos de ameaças: Destruição de informação ou de outros recursos; Modificação ou deturpação da informação; Roubo ou perda da informação; Revelação da informação; Interrupção de serviços. Já para Salgado et al. (2004), uma lista das ameaças de segurança física poderia conter os seguintes itens: Incêndio (fogo e fumaça); Água (vazamentos, corrosão, enchentes); Tremores e abalos sísmicos; Tempestades, furacões; Terrorismo; Sabotagem e vandalismo; Explosões; Roubos, furtos; Desmoronamento de construções; Materiais tóxicos;

24 24 Interrupção de energia (bombas de pressão, ar-condicionado, elevadores); Interrupção de comunicação (links, voz, dados); Falhas em equipamentos; Outros. 2.5 Ataques Segundo Barbosa (2004), um dos problemas mais comuns à segurança é a má configuração dos hosts, que acontece devido à configuração default do sistema, que deixa muito a desejar, ou devido à instalação e habilitação de serviços de forma indiscriminada. Ainda segundo o mesmo autor, um outro problema são as falhas inerentes aos sistemas onde a culpa geralmente é colocada nos fabricantes, por que seus sistemas possuem vulnerabilidades e falhas, quando não deveriam ter. As falhas, os bugs e as vulnerabilidades sempre irão existir, então cabe a nós mantermo-nos atualizados quanto ao lançamento de correções, patches e updates. Conforme Honório (2003), os ataques podem ser intencionais ou acidentais, podendo ser ativos ou passivos. Acidentais: São os ataques que não tem intenção, não foi planejado anteriormente. Intencionais: São os ataques que tem intenção, foi planejado anteriormente. Passivos: São os ataques que não interferem na informação, no fluxo no canal de escuta. Ativos: São os ataques que interferem no fluxo normal de informações alterando o seu conteúdo, normalmente contra o intuito de alterar o sistema de segurança de uma empresa Principais ataques Quanto mais protegido o computador, melhor. Desta forma, fica mais difícil sofrer um ataque. São diversos os tipos de ataque.

25 25 A seguir, são enumeradas as principais formas de ataques. São elas: Vírus: São pequenos programas que têm a propriedade de se juntar a outros arquivos, alterar seu funcionamento normal e se reproduzir, contaminando outros arquivos. Em princípio um vírus poderia contaminar qualquer arquivo. No entanto, só faz sentido contaminarem executáveis, uma vez que estes são carregados e executados na memória (BARBOSA, 2004); Trojans ou Cavalos de Tróia: Assim como na história, são falsos presentes enviados às vítimas, geralmente via , ou seja, programas disfarçados que, ao serem executados, efetuam tarefas malígnas, tais como capturas de senhas e outros dados sigilosos. A principal diferença entre os Trojans e os Vírus é que o primeiro não se reproduz ou se replica, ele só é executado e propagado através de intervenção humana (BARBOSA, 2004) e (HONÓRIO, 2003); Worms: São programas que aproveitam falhas do sistemas para se propagar, e se replicar. Ao contrário dos trojans, os worms não contaminam arquivos. O Primeiro worm que se tem notícia foi criado por Robert Morris, em Este programa aproveitaria uma falha do finger daemon do UNIX e do sendmail. Mais o worm de Morris tinha um bug que o fazia reinfectar máquinas já contaminadas. Isso provocou a queda de vários computadores no EUA (BARBOSA, 2004); Sniffers: Os sniffings são programas que verificam o tráfego na rede, são úteis para o gerenciamento de rede e, nas mãos dos hackers, são bons para roubarem senhas e informações sigilosas. O sniffing é uma invasão passiva, na qual uma máquina diferente do destino pretende ter informações que se percorrem na rede, é um ataque muito difícil de ser detectado. Contudo o sniffing não pode ser considerado um ataque porque são usados para diagnosticar problemas na rede de uma empresa (HONÓRIO, 2003); Exploit: Programa criado para explorar uma falha de segurança de um sistema. Pode servir para obter acesso indevido ou tirar o sistema do ar (ANDRADE, 2005); Honeypot (Pote de Mel): Armadilha para hackers. Configura-se um computador para servir de isca, deixando brechas para a invasão. Os softwares instalados coletam informações sobre o invasor que são, depois, usadas para reforçar as defesas (ANDRADE, 2005); Estouro de Buffer (Buffer Overflow): Um tipo de ataque que faz com que um programa invada o final de uma área de armazenamento de dados. O resultado é que o

26 26 invasor pode sobrescrever parte do programa e executar seu código. Isso é um problema principalmente com software escrito em C e C ++. Outras linguagens como Java estão imunes a ele (ANDRADE, 2005); Rootkit: É uma coleção de softwares projetados para não deixar pistas de um invasor e fornecer portas de fundo para futuras invasões no sistema, normalmente também contêm limpadores de log. A defesa é feita de um software de avaliação de integridade, mas se o Rootkit atacar o Kernel (Núcleo do Sistema) a defesa é a prevenção através de scanners de Rootkit, ou seja, fazer uma varredura no sistema a procura de Rootkit (ANDRADE, 2005); Spoofing: É o ato de usar uma máquina para personificar outra. Isso é feito forjando o endereço de origem de um ou mais hosts empenhados na autenticação das máquinas individualmente. Para realizar uma sessão bem sucedida de spoofing, alguns crakers temporariamente matam ou anestesiam a máquina que eles estão personificando (ANDRADE, 2005). O IP Spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado (NAKAMURA; GEUS, 2003); Scanners de portas: Os scanners são programas que buscam portas TCP abertas por onde pode ser feita uma invasão. Para que a varredura não seja percebida pela vítima, alguns scanners testam as portas de um computador durante muitos dias em horários aleatórios. Um dos mais conhecidos é o Nmap, existe também outro tipo de Scanner chamado scanner de vulnerabilidades que são capazes de descrever as vulnerabilidades nos serviços oferecidos pelas portas dos computadores, um dos mais famoso é o Nessus (ANDRADE, 2005); Denial of service (DoS): Ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Há muitas variantes como os ataques distribuidos de negação de serviço (DDoS) que paralisam vários sites ao mesmo tempo. Nessa variante, o agressor invade muitos computadores e instala neles um software zumbi. Quando recebem a ordem para iniciar o ataque, os zumbis bombardeiam o servidor alvo, tirando-o do ar (ANDRADE, 2005); Ping Of Death: (Ping da Morte) Consiste em enviar um pacote IP com tamanho maior que o máximo permitido ( bytes), para a máquina que se deseja atacar. O pacote é enviado na forma de fragmentos (a razão é que nenhum tipo de rede permite o tráfego de pacotes deste tamanho) e quando a máquina destino tenta montar estes fragmentos, inúmeras situações podem ocorrer: a maioria da máquinas trava, algumas

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799 Fundamentos em Segurança de Redes de Computadores 1 Objetivos Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

O processo de ataque em uma rede de computadores. Jacson R.C. Silva

O processo de ataque em uma rede de computadores. Jacson R.C. Silva <jacsonrcsilva@gmail.com> O processo de ataque em uma rede de computadores Jacson R.C. Silva Inicialmente, se conscientizando... É importante ter em mente os passos que correspondem a um ataque Porém,

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) Segurança em Redes de Computadores FACULDADE LOURENÇO FILHO Setembro/2014 Prof.:

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software Avaliação de riscos em fornecedores Manual de controles de segurança da informação para Fábricas de Software DSC Diretoria de segurança corporativa SSI Superintendência de Segurança da Informação 1 Índice

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Introdução aos Sistemas de Informações

Introdução aos Sistemas de Informações Introdução aos Sistemas de Informações Módulo 6 Segurança da TI Por que os Controles São Necessários Os controles são necessários para garantir a qualidade e segurança dos recursos de hardware, software,

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC 1. INTRODUÇÃO A informação é o elemento básico para que a evolução

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 04 Tipos de Ataques

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 04 Tipos de Ataques Ataque de Dicionário www.projetoderedes.com.br Trata-se de um ataque baseado em senhas que consiste na cifragem das palavras de um dicionário e posterior comparação com os arquivos de senhas de usuários.

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

3 Ataques e Intrusões

3 Ataques e Intrusões 3 Ataques e Intrusões Para se avaliar a eficácia e precisão de um sistema de detecção de intrusões é necessário testá-lo contra uma ampla amostra de ataques e intrusões reais. Parte integrante do projeto

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers Ataques e Intrusões Professor André Cardia andre@andrecardia.pro.br msn: andre.cardia@gmail.com Ataques e Intrusões O termo genérico para quem realiza um ataque é Hacker. Essa generalização, tem, porém,

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica Capítulo 2 Conceitos de Segurança Física e Segurança Lógica 2.1 Introdução 2.2 Segurança Física 2.2.1 Segurança externa e de entrada 2.2.2 Segurança da sala de equipamentos 2.2.3 Segurança dos equipamentos

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS Resumo da solução RESUMO As novas ameaças de segurança exigem uma nova abordagem ao gerenciamento de segurança. As equipes de segurança precisam de uma

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Segurança da Informação

Segurança da Informação Agência Nacional de Vigilância Sanitária Segurança da Informação (Gerenciamento de Acesso a Sistemas de Informação) Projeto a ser desenvolvido no âmbito da Gerência de Sistemas/GGTIN Brasília, junho de

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS Autor(a): Tatiene Rochelle Santana Melo Coautor(es): Gliner Dias Alencar INTRODUÇÃO Com o aumento

Leia mais

Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma

Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma loja específica Manter um Antivírus atualizado; Evitar

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Principais Ameaças na Internet e

Principais Ameaças na Internet e Principais Ameaças na Internet e Recomendações para Prevenção Cristine Hoepers cristine@cert.br Klaus Steding-Jessen jessen@cert.br Esta Apresentação: http://www.cert.br/docs/palestras/ Centro de Estudos,

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Ameaças, riscos e vulnerabilidades. Prof. Anderson Maia. Objetivos. ameaças mais comuns na internet;

Ameaças, riscos e vulnerabilidades. Prof. Anderson Maia. Objetivos. ameaças mais comuns na internet; Ameaças, riscos e vulnerabilidades Prof. Anderson Maia Objetivos è compreender o funcionamento de algumas ameaças mais comuns na internet; è entender como tais ameaças podem ser exploradas por meio das

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Gestão da Segurança da Informação

Gestão da Segurança da Informação Gestão da Segurança da Informação Mercado Empresas levam 200 dias até descobrirem que foram hackeadas Companhias precisam estabelecer uma visão holística de segurança para serem mais ágeis na detecção

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Supervisão das Politicas de Segurança Computação em nuvem Fernando Correia Capitão-de-fragata

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Disciplina: Administração de Redes de Computadores.

Disciplina: Administração de Redes de Computadores. Disciplina: Administração de Redes de Computadores. Abordagem: Segurança Prof. Leandro Meireles 2011.2 Sistema Seguro Confidencialidade Integridade Disponibilidade Porque se preocupar com a segurança?

Leia mais

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1 ] Blinde seu caminho contra as ameaças digitais Manual do Produto Página 1 O Logon Blindado é um produto desenvolvido em conjunto com especialistas em segurança da informação para proteger os clientes

Leia mais

Capítulo 1 Introdução à Segurança de Redes

Capítulo 1 Introdução à Segurança de Redes Capítulo 1 Introdução à Segurança de Redes 1.1 Introdução à segurança da informação 1.2 Histórico da segurança 1.2.1 Surgimento da Internet, o Internet Worm e a criação do CERT 1.2.2 Segurança no Brasil

Leia mais

Segurança a da Informação Aula 03. Aula 03

Segurança a da Informação Aula 03. Aula 03 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Riscos envolvendo informações: O maior risco é crer que não há riscos Caruso & Steffen Os riscos agravaram-se após: a centralização da informação

Leia mais

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD Problema Controle de Acesso Lógico e Físico Prof. Alexandre Beletti Ferreira Com as informações armazenadas em computadores interligados com outros computadores no mundo todo surgi a necessidade de uma

Leia mais

Gerenciamento de Redes

Gerenciamento de Redes Gerenciamento de Redes As redes de computadores atuais são compostas por uma grande variedade de dispositivos que devem se comunicar e compartilhar recursos. Na maioria dos casos, a eficiência dos serviços

Leia mais

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos Prof. Carlos Faria (adaptação) 2011 DESAFIOS ÉTICOS E DE SEGURANÇA Emprego Privacidade Saúde Segurança Ética e Sociedade Crime Individualidade Condições

Leia mais

Gerência de Redes e Serviços de Comunicação Multimídia

Gerência de Redes e Serviços de Comunicação Multimídia UNISUL 2013 / 1 Universidade do Sul de Santa Catarina Engenharia Elétrica - Telemática 1 Gerência de Redes e Serviços de Comunicação Multimídia Aula 3 Gerenciamento de Redes Cenário exemplo Detecção de

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

Proposta de Politica de Segurança da Informação Física e Lógica para a empresa Northlane

Proposta de Politica de Segurança da Informação Física e Lógica para a empresa Northlane 1 FACULDADE INTEGRADA PROMOVE DE BRASÍLIA CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO TRABALHO DE CONCLUSÃO DE CURSO Alber Adolfo Flores Santos Proposta de Politica de Segurança da Informação Física

Leia mais