Guia de Referência Sobre Ataques Via Internet

Tamanho: px
Começar a partir da página:

Download "Guia de Referência Sobre Ataques Via Internet"

Transcrição

1 Guia de Referência Sobre Ataques Via Internet Junho/ Febraban

2 Conteúdo SEGURANÇA DAS INFORMAÇÕES...6 SEGURANÇA... 7 IDENTIFICAÇÃO DAS NECESSIDADES DE SEGURANÇA... 8 Necessidades de Segurança... 8 Avaliação de riscos...8 Necessidades legais, contratuais e estatutárias...8 Princípios, objetivos e necessidades organizacionais...9 AVALIAÇÃO DE RISCO Risco Classificação e identificação de ativos Identificação de Ameaças Identificação de Vulnerabilidades Vulnerabilidades técnicas...14 Vulnerabilidades processuais...14 Como detectar vulnerabilidades...14 Como se manter atualizado quanto a vulnerabilidades...14 Avaliação das políticas e procedimentos de segurança Relação entre os componentes de segurança GERENCIAMENTO Gerenciamento dos Riscos...18 ATAQUES VIA INTERNET ATAQUES Perfil do Invasor Motivos...20 Fases de um ataque PREVENÇÃO Princípios Menor Privilégio...23 Plano de Resposta a Ataques...23 Detecção e Correção de vulnerabilidades...24 Rotas e Links de acesso ao Internet Banking...24 Monitoração permanente...24 Classificação...25 Componentes de Arquitetura Segura para Internet Segmentação de Rede...26 Firewalls...27 Autenticação...28 Criptografia...29 Sistemas de Detecção de Intrusos (IDS)...29 Segurança de Servidores...29 Gerenciamento...30 Visão Geral da Arquitetura...30 Recomendações para Instalação Firewall...32 DMZ...36 Acesso Remoto...37 Proteção contra ataques Denial of Service...37 Spoofing...39 Acesso SNMP...39 Acesso a Roteadores e Switches via Console Local...39 Acesso via Telnet...40 Sincronização de Horário...40 Concentrador de logs...40 Senhas...40 Recomendações para clientes e usuários Guia de Proteção contra Ataques Via Internet 2

3 RESPOSTA A INCIDENTES Gerenciamento de Incidentes e Resposta...43 Sinais de que a segurança do site foi comprometida...44 Investigação ANEXOS BRITISH STANDARD GLOSSÁRIO DE TERMOS REFERÊNCIAS PARA CONSULTA OUTROS RECURSOS BIBLIOGRAFIA INTERNET SECURITY SYSTEMS Histórico Guia de Proteção contra Ataques Via Internet 3

4 APRESENTAÇÃO É uma grande satisfação poder apresentar este trabalho à comunidade. A idéia do Guia surgiu no final do ano passado, seguindo modelo de trabalho que mantemos com associações de bancos de diversos países. Agradecemos à Febraban pela parceria para a concretização do projeto, bem como os comentários e sugestões que recebemos dos CIOs dos bancos, participantes em muitas das fases de sua preparação. A Internet Security Systems - ISS (NASDAQ: ISSX) tem entre seus clientes 23 dos 25 maiores bancos mundiais e está envolvida em diferentes projetos do governo norte-americano, em especial junto à Casa Branca, FBI e NSA, contribuindo para a criação de metodologias, procedimentos e tecnologias de proteção e defesa na Internet. Nesta passagem para a chamada "Nova Economia", a Segurança Digital assume dimensões nunca antes imaginadas. Rapidamente, em todo o mundo, companhias de diferentes portes e mercados de atuação passaram a perceber como a proteção de seus "ativos digitais" tornou-se crítica para o próprio negócio. Desde sua simples operacionalização, até aspectos relativos à perda de imagem e valor perante os clientes, a mídia e o mercado de atuação. Seria redundante, pelo seu valor, enfatizar a necessidade de proteção, gestão e defesa dos "ativos digitais" no mercado financeiro. No Brasil, a velocidade e volume das transações bancárias por meio eletrônico já têm o padrão de Primeiro Mundo e a Internet Security Systems - ISS orgulha-se de poder contribuir com a consolidação da sua metodologia de projetos de segurança, apresentada neste Guia. Devemos ter consciência de que Segurança Digital é uma jornada constante, e não apenas um projeto que tem começo, meio e fim. Como as variáveis de mercado mudam a todo momento e ameaças e vulnerabilidades surgem em novos softwares, hardwares, aplicativos, protocolos de rede etc., recomendamos sempre a nossos clientes que tenham este conceito em mente e organizem equipes de defesa, as quais chamamos de "Grupos de Resposta a Ataques". Sites e redes dos grandes bancos, grandes sites de e-commerce (B2B, B2C etc) e também os pequenos comerciantes e profissionais autônomos de prestação de serviços serão permanentemente alvos de ataques. Novas variáveis exigem novas atitudes e medidas de gestão. A Segurança Digital deixa de ser apenas mais um dos componentes da arquitetura de sistemas e/ou tecnologia para ser também alvo das preocupações da alta administração. Já é freqüente a presença de um Diretor/VP de Segurança Digital e estima-se que os balanços tradicionais sejam substancialmente alterados para refletir o real valor das companhias na "Nova Economia", ou seja, o valor dos "ativos digitais". Convido a todos a visitarem com freqüência os sites da FEBRABAN e da Internet Security Systems - ISS em busca de atualização constante deste conteúdo. Leonardo Scudere Presidente - Internet Security Systems Mercosul Guia de Proteção contra Ataques Via Internet 4

5 INTRODUÇÃO Nos últimos anos a tecnologia da Internet tem experimentado um acelerado ritmo de aperfeiçoamento, criando a base da chamada Nova Economia. Este novo modelo de fazer negócios está trazendo inúmeras vantagens às organizações. No caso das instituições financeiras, permite uma redução expressiva de custos e o fornecimento de serviços cada vez mais atraentes aos clientes. Mas, infelizmente, a Nova Economia carrega alguns males da Velha Economia. Assim como as organizações, seus clientes e fornecedores estão migrando para a Internet, o crime também está. Como é mais fácil, rápido e barato realizar transações via Internet, é mais fácil, rápido e barato roubar via Internet. Mesmo crimes menos importantes, como depredação e pichação, estão presentes na Internet há muito tempo. A tecnologia utilizada pelos hackers ou crackers, os criminosos digitais, está presente desde o inicio da Internet e sendo constantemente aperfeiçoada. Ao contrário das empresas e corporações, que têm dificuldade em trocar experiências e informações, a experiência e tecnologia dos hackers e crackers transcendem países, é aberta e de fácil consulta. Cada vez mais as técnicas de invasão estão acessíveis para os usuários da Internet, permitindo que agressores com conhecimentos técnicos limitados possam efetivar ataques bem sucedidos. Como exemplo, a descrição completa de um ataque realizado contra um Banco está descrito no endereço: Embora o ataque não tenha tido origem da Internet, as informações estão acessíveis através dela. Quanto mais aumenta a quantidade de novos usuários domésticos, escolas e empresas, o risco, decorrente da falta de conhecimentos e informações sobre segurança aumenta sensivelmente. O presente Guia de Proteção Contra Ataques Via Internet visa colaborar com as instituições financeiras, empresas prestadoras de serviço de acesso à Internet e clientes do sistema bancário informando sobre as melhores práticas de segurança nas transações via Internet. O Guia está dividido em duas partes: Conceitos de Segurança da Informação e Proteção contra Ataques via Internet. A primeira parte apresenta conceitos gerais de segurança que são aplicaveis a toda a Organização; e são também vitais para segurança nos negócios via Internet. A segunda parte traz informações técnicas sobre os ataques via Internet e recomendações práticas para defesa. Guia de Proteção contra Ataques Via Internet 5

6 SEGURANÇA DAS INFORMAÇÕES Segurança não é uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários. Guia de Proteção contra Ataques Via Internet 6

7 SEGURANÇA Segurança das informações define-se como o processo de proteção de informações e ativos digitais armazenados em computadores e redes de processamento de dados. Os elementos básicos da segurança das informações são: Confidencialidade Disponibilidade Integridade proteger informações confidenciais contra revelação não autorizada ou captação compreensível; garantir que informações e serviços vitais estejam disponíveis quando requeridos. manter informações e sistemas computadorizados, dentre outros ativos, exatos e completos As necessidades de segurança e a importância relativa de cada um dos elementos dependem do negócio de cada organização. Para algumas transações financeiras, a disponibilidade de acesso e até mesmo a confidencialidade da transação pode ser menos importante que a sua integridade. Ao identificar o peso de cada um destes elementos em suas transações, as instituições financeiras darão um grande passo para definir sua estratégia de segurança para a Internet. Como exemplo, o quanto pesa um ataque tipo Denial of Service para um Banco? Para chegar a esta resposta, a empresa deverá antes responder a: 1. Qual o prejuízo em permanecer fora do ar por algumas horas? 2. Qual o prejuízo à imagem da instituição? 3. Perderei clientes devido ao ataque? Guia de Proteção contra Ataques Via Internet 7

8 IDENTIFICAÇÃO DAS NECESSIDADES DE SEGURANÇA Necessidades de Segurança As necessidades de segurança das informações são advindas das seguintes fontes: Avaliação de riscos; Necessidades legais, contratuais e estatutárias; Princípios, objetivos e necessidades organizacionais. Políticas e diretrizes de segurança Avaliação de riscos Todo processo de proteção de ativos deve ser precedido pela avaliação dos riscos inerentes a cada um destes ativos, para que se possa otimizar a aplicação de recursos de proteção em áreas que ofereçam maior risco aos negócios. Avaliação de riscos define-se como o processo de identificação de riscos de segurança, determinação de sua grandeza e impacto nos negócios da organização. Suas estratégias podem variar de acordo com os objetivos da organização, podendo caracterizar-se como: Risco Global: O risco varia a cada ambiente, mas é constante dentro destes. O método para se mensurar o risco para cada ambiente é baseado na suscetibilidade a ataques apresentada por cada ambiente. Vulnerabilidade a ataques: O risco é definido através do resultado de uma análise sobre as redes, determinando como elas poderiam ser atacadas. Quantitativa: O risco é definido através do cálculo de uma expectativa de perdas anuais. Este número seria uma combinação entre probabilidade de ocorrência da ameaça durante um ano e o custo de sua ocorrência para a organização. Controles básicos: Com base em pesquisas disponíveis, a organização implementa um conjunto de controles comuns utilizados pelo mercado, chamado de conjunto de controles básicos. Neste caso ameaças e vulnerabilidades não são consideradas a fundo. Após a implementação dos controles em questão, recomenda-se conduzir um processo de identificação das áreas de maior risco e de avaliação do nível de controle implementado, visando aprimorar-se o cenário. Nos próximos Capítulos o processo de avaliação de riscos será aprofundado. Necessidades legais, contratuais e estatutárias A segunda fonte que pode influenciar as necessidades de segurança das informações, refere-se a aspectos legais estatutários e contratuais que uma organização, seus parceiros de negócios, contratantes e provedores de serviços devem atender, destacando-se entre outros: o dever de diligência dos administradores da companhia que devem adotar as providências necessárias para a consecução dos objetivos sociais, evitando a ocorrência de fatos que impliquem prejuízos à companhia e por conseqüência aos seus acionistas; o respeito à legislação protetiva dos direitos do consumidor, garantindo segurança na prestação de serviços e na comercialização dos bens; Guia de Proteção contra Ataques Via Internet 8

9 o respeito à legislação protetiva dos direitos intelectuais, gênero que comporta os direitos do autor, a proteção à propriedade intelectual de programas de computador e a proteção à propriedade industrial; a observância aos direitos constituicionais relativamente ao sigilo de dados, intimidade e privacidade e à legislação infra-constitucional própria às instituições financeiras pertinente ao dever de sigilo bancário; os aspectos atinentes ao instituto de responsabilidade civil e aos eventos que ensejem a tipificação de crime; as determinações do Banco Central do Brasil. Portanto, é importante que a implementação ou ausência de controles de segurança em cada um dos sistemas seja balisada a partir de premissas que permitam à organização determinar o grau de exposição aos riscos e suas conseqüências jurídicas. Princípios, objetivos e necessidades organizacionais A terceira fonte que pode influenciar as necessidades de segurança das informações refere-se aos princípios, objetivos e necessidades organizacionais de processamento de informações que suportem suas operações de negócios, os quais a organização decidiu aplicar a seus sistemas de informação. É importante que a implementação ou ausência de controles de segurança em cada um dos sistemas da organização não impeça a eficiência das operações de negócios. Guia de Proteção contra Ataques Via Internet 9

10 AVALIAÇÃO DE RISCO Risco Podemos definir risco como a probabilidade de uma ameaça explorar vulnerabilidades para causar perdas ou danos a um ativo ou grupo de ativos da organização. Desta forma, riscos são determinados pela combinação das ameaças, vulnerabilidades e valores dos ativos, valores estes mensurados com base no impacto destes ativos aos negócios da organização, onde impacto se traduz como os resultados de um incidente inesperado. Desta forma, podemos dizer que risco é a possibilidade de uma dada ameaça explorar vulnerabilidades de um ativo ou grupo de ativos para causar perdas ou danos a estes. Durante o processo de avaliação de riscos é importante entender quais danos os riscos de segurança podem causar aos negócios da organização. Uma possível forma seria obter respostas às seguintes questões: Quais são as partes mais importantes dos negócios da organização (produtos, serviços, atividades, dentre outros)? Como as partes dos negócios são suportadas pelo uso de tecnologia e quão essencial é este suporte? O quanto decisões essenciais dependem da atualização, precisão, disponibilidade e integridade das informações? Quais informações confidenciais necessitam ser protegidas? Quais são as implicações de incidentes de segurança, relacionados a informações, para os negócios e para a organização? Como exemplos de danos podemos citar, dentre outros, os seguintes: Comprometimento e roubo de dados; Destruição de dados; Perda da integridade dos dados; Perda da integridade dos sistemas ou da rede; Perda da capacidade de acesso aos sistemas ou à rede; Perda de reputação; Implicações financeiras!"impacto sobre Demonstrações Financeiras!"Vantagem competitiva!"exposição à fraude Implicações indiretas à organização!"interesse dos funcionários na descoberta de determinadas informações!"efeitos pela descoberta de determinadas informações por funcionários Requisitos por confidencialidade e privacidade!"implicações sobre privacidade!"penalidades legais pela divulgação de informações É necessário que processos de identificação e avaliação dos riscos levem em consideração as seguintes recomendações: Guia de Proteção contra Ataques Via Internet 10

11 1. Adoção de ferramentas automatizadas para (i) identificação das vulnerabilidades existentes nas camadas de rede, sistemas operacionais e banco de dados; (ii) testes interno e externo de invasão; 2. Execução de revisões periódicas de segurança por um auditor ou especialista de segurança, seguindo o princípio da segregação de função, ou seja, não ser o administrador dos sistemas sob teste; 3. Elaboração de plano de ação periódico para (i) estudo de viabilidade de correção de vulnerabilidades, (ii) correção de vulnerabilidades e (iii) criação de controles que minimizem os riscos advindos da impossibilidade de se corrigir quaisquer vulnerabilidades; 4. Uso de técnicas e metodologias para mensurar os riscos inerentes aos ativos da organização; 5. Uso de laboratórios para simulações. Classificação e identificação de ativos Ativos são elementos aos quais a organização atribui valor e desta forma requerem proteção. Levantamento e gerenciamento de ativos adequados são vitais para o processo de proteção dos ativos da organização. Cada ativo deve ser claramente identificado e devidamente classificado. Desta forma, é desenhada a abordagem que será dada ao processo de análise de riscos como um todo. Inicialmente deveremos estipular uma métrica a ser utilizada como critério para classificar os ativos de maneira ordenada, que permita que os valores dados aos ativos sejam facilmente comparáveis, de forma que a visualização dos ativos mais importantes seja facilitada. Ao classificarmos os ativos podemos pensar em o quanto este ativo vale para a organização em termos de confidencialidade, integridade e disponibilidade, ou seja, qual o valor do prejuízo que a perda de confidencialidade, integridade e disponibilidade do referido ativo traria à organização e quanto custaria para corrigir os danos causados. Neste caso atribuir um peso para cada ativo em termos de (i) confidencialidade, (ii) integridade e (iii) disponibilidade, poderia ser a abordagem adotada. A partir desta classificação detalhada dos ativos envolvidos, poderemos efetuar os próximos passos do processo de análise de riscos, e efetuar uma relação entre as ameaças, as vulnerabilidades e o valor do ativo. Tal procedimento permitiria um resultado final rico em detalhes. Este tipo de abordagem poderá consumir um grande esforço da organização, sendo este esforço variável por fatores como (i) a natureza das atividades da organização, (ii) complexidade do ambiente de tecnologia da informação, (iii) nível de dependência da organização em seu ambiente de tecnologia da informação, (iv) determinações de órgãos regulamentadores, dentre outros. Uma outra abordagem seria atribuir um valor único ao ativo, que represente sua importância em termos de confidencialidade, integridade e disponibilidade, assumindo assim uma abordagem simplificada, que não oferece todo o detalhamento da sugestão anterior, porém oferece possivelmente um maior dinamismo aos trabalhos envolvidos. Uma terceira opção seria identificar inicialmente os ativos mais importantes para a organização e eles adotar uma estratégia que permita resultados mais detalhados, como a primeira sugestão de abordagem citada acima, e para os ativos de menor importância adotar uma abordagem simplificada, como por exemplo a da segunda sugestão. Caso esta seja a estratégia a ser adotada, a classificação inicial de ativos é de grande importância, pois caso esta classificação esteja incorreta poderemos direcionar recursos excessivos a ativos que não sejam críticos para a organização, ou poderemos dar atenção exagerada a ativos que não necessitem de tanto. Poderemos chegar a conclusões incorretas em função da má classificação inicial dos ativos. Guia de Proteção contra Ataques Via Internet 11

12 Devemos ainda verificar as possíveis desvantagens de optarmos por uma abordagem complexa que poderá levar o processo de análise de riscos a consumir vários meses, o que pode trazer um impacto negativo na qualidade do resultado final dos trabalhos. Em se tratando de análise de riscos em ambiente Web, em virtude de este ser um ambiente extremamente dinâmico, o resultado de um trabalho de análise de riscos extenso demais pode trazer um falso sentimento de segurança, pois pode resultar em (i) necessidades de segurança que não oferecem mais o nível de segurança desejado no momento da finalização dos trabalhos ou (ii) sugerir objetivos de segurança que perderam a aderência ao ambiente em função de alterações que o ambiente sofreu durante o período em questão, ou por novas vulnerabilidades que surgiram neste mesmo período. Já uma abordagem simples carrega o risco de não serem levantados resultados condizentes com a natureza da organização e com a riqueza de detalhes necessária para contribuir eficazmente com o incremento de seu nível de segurança. Adicionalmente, para que se possa melhor proteger os ativos, é necessário atribuir valores a estes em termos de sua importância aos negócios ou de seu valor potencial relacionado às oportunidades geradas por seu intermédio. Estes valores são usualmente expressados em termos do impacto de incidentes não esperados aos negócios da organização, tais como perda de confidencialidade, integridade e/ou disponibilidade, o que poderia conseqüentemente gerar perdas financeiras, perdas de receitas, perda de mercado ou danos à imagem da organização, dentre outros. Identificação de Ameaças Ativos estão sujeitos a uma série de ameaças. Ameaças são causas potenciais de incidentes não esperados, os quais talvez resultem em danos para aos ativos da organização. Tais danos podem ocorrer através de ataques diretos ou indiretos a informações da organização, como, por exemplo, destruição não autorizada, revelação, modificação, corrupção, indisponibilidade ou perda. Ameaças podem ser originadas de fontes ou eventos acidentais ou propositais. Para que possam efetivamente causar danos aos ativos da organização, ameaças necessitam explorar vulnerabilidades de sistemas, aplicações, serviços ou políticas e procedimentos. Como exemplos de ameaças podemos citar: Acesso e uso não autorizado de informações, sistemas de informações, redes e/ou serviços de rede; Software malicioso; Falhas de sistemas básicos e aplicativos; Reenvio de mensagens; Modificação não autorizada de mensagens e informações; Incêndios e inundações; Roubo; Erros humanos; Ataques baseados em senhas; Ataques que exploram o acesso confiável; Engenharia Social; Spoofing do IP (Internet Protocol); Rastreamento de Pacote (Ingerência); Exploração de vulnerabilidades tecnológicas; Exploração de bibliotecas compartilhadas; Guia de Proteção contra Ataques Via Internet 12

13 Falhas nos protocolos; DoS - Denial of Service ; DDoS - Distributed Denial of Service e Vírus. Ameaças e danos comerciais às organizações Danos comerciais Ameaças Efeito material nas demonstrações financeiras Vantagem competitiva Exposição a fraudes Implicações indiretas à organização Considerações sobre privacidade Requisitos de regulamentação Violação de integridade Violação de autorização de acesso Riscos legais Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Repudiação Violação de autorização de acesso Perda de reputação Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Violação de autorização de acesso Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Violação de autorização de acesso Perda de reputação Riscos legais Violação de integridade Espionagem de informações Repudiação Violação de autorização de acesso Negação de serviço Riscos legais Guia de Proteção contra Ataques Via Internet 13

14 Identificação de Vulnerabilidades Vulnerabilidades são pontos fracos associados a um ativo ou grupo de ativos, os quais podem ser explorados por uma ameaça causando incidentes não esperados que talvez resultem em perdas ou danos a estes ativos. Uma vulnerabilidade por si só não causa danos, sendo apenas uma condição ou um conjunto de condições que podem permitir a uma ameaça afetar ativos. Vulnerabilidades técnicas Como exemplos de vulnerabilidades técnicas podemos citar dentre outras: Falta de proteção adequada de acesso físico aos equipamentos; Uso de senhas inseguras; Vulnerabilidades inerentes da não aplicação de correções em sistemas operacionais; Vulnerabilidades inerentes da não aplicação de correções em bancos de dados; Conexões desprotegidas para redes externas, como por exemplo a Internet; Deficiências em protocolos de comunicação; Deficiências na configuração dos sistemas. Vulnerabilidades processuais Como exemplos de vulnerabilidades processuais podemos citar dentre outras: Armazenamento desprotegido de documentos; Destruição inadequada de mídias; Ausência de treinamentos adequados sobre segurança; Inexistência de Termos de Responsabilidade que visem documentar o comprometimento de cada funcionário com os ativos da organização. Como detectar vulnerabilidades Para se detectar vulnerabilidades, a recomendação mais eficaz seria a utilização de sistemas do tipo Scanner, destinados a vasculhar as diversas camadas de tecnologia e então tornar claras todas as vulnerabilidades existentes nos sistemas, estejam elas associadas a hosts, dispositivos de rede, sistemas operacionais e bancos de dados, dentre outros. Adicionalmente, faz-se necessária a classificação de cada uma das vulnerabilidades encontradas em termos de risco, para que se possa montar um plano de ação adequadamente priorizado para se eliminar as vulnerabilidades em questão. Como se manter atualizado quanto a vulnerabilidades Para se manter atualizado quanto a novas vulnerabilidades, é necessário (i) efetuar revisões periódicas de procedimentos, (ii) efetuar revisões periódicas de vulnerabilidades no ambiente computadorizado da instituição, (iii) assinar listas e serviços de conhecimento, (iv) manter contatos freqüentes com os fornecedores de sistemas básicos, (v) participar de fóruns de segurança e (v) ter profissionais e parceiros capacitados atuando em sua estrutura, dentre outros. Guia de Proteção contra Ataques Via Internet 14

15 Avaliação das políticas e procedimentos de segurança Visando as fases posteriores de Elaboração de plano de ação e Desenvolvimento de soluções, é necessário que sejam efetuados levantamento e avaliação formal das políticas e procedimentos de segurança em vigor, visando a elaboração de melhorias que visem tornar eficaz o ambiente de segurança da organização. Vale ressaltar que devem existir políticas e procedimentos que tratem, dentre outros, dos seguintes aspectos: Políticas para uso de Internet; Políticas para uso de ; Processo de revisão e avaliação das políticas e procedimentos de segurança; Infraestrutura interna de segurança; Segurança sobre o acesso de terceiros e prestadores de serviços; Metodologia para classificação e controle de ativos; Metodologia para classificação das informações; Políticas de Pessoal; Treinamento técnico e de segurança; Segurança Física e Ambiental ; Gerenciamento de operações e comunicações; Proteção contra vírus; Cópias de segurança; Trilhas de auditoria; Gerenciamento de redes de comunicação de dados; Segurança e manuseio de mídias; Uso de sistemas e aplicativos (homologação e licenciamento); Aspectos legais; Termo de Compromisso de Segurança de Informações e Utilização de Ativos; Gerenciamento de atribuição de privilégios de acesso; Configuração de mecanismos de segurança ( Firewall, sistemas de detecção de intrusos, antivírus, sistema de controle de acesso, sistemas biométricos, SecureId, Smart Card, filtros de pacotes, criptografia e assinatura digital, dentre outros); Computação móvel e comunicação remota; Desenvolvimento, manutenção e aquisição de sistemas; Manutenção de sistemas básicos; Plano de Continuidade dos Negócios e Revisões periódicas de segurança. Avaliação dos controles de segurança Visando suportar o processo de gerenciamento de riscos, é necessário que sejam efetuados levantamento e avaliação formal dos controles de segurança em vigor, visando a determinação de melhorias funcionais ou o planejamento de implementação de controles adicionais que visem tornar eficaz o ambiente de controles da organização. Como exemplos de controles, podemos citar dentre outros, os seguintes: Guia de Proteção contra Ataques Via Internet 15

16 Controles sobre desenvolvimento e manutenções em sistemas básicos e aplicativos; Controles sobre segurança de acesso físico aos equipamentos e instalações da organização; Controles sobre aquisição de sistemas básicos e aplicativos; Separação de ambientes para desenvolvimento, testes e produção; Controles para atualização da documentação de sistemas; Controles de identificação e autenticação de usuários para acesso a equipamentos e sistemas, como por exemplo senhas, SecureID, sistemas biométricos e Smart Cards; Controle sobre o gerenciamento de privilégios de acesso atribuídos a usuários; Controles que garantam a disponibilidade das informações, como por exemplo um plano de ação para a continuidade dos negócios; Controles que garantam a integridade das informações, como por exemplo campos de controle de lotes de digitação; Controles que garantam a confidencialidade das informações, como por exemplo criptografia com chave pública; Controles que visem a não-repudiação, como por exemplo assinatura digital; Controles voltados à geração de trilhas de auditoria, como por exemplo a habilitação de logs disponíveis nos sistemas básicos e aplicativos; Controles de detecção de intrusos, como por exemplo Sistemas de Detecção de Intrusos (IDS Intrusion Detection System); Controles para garantir o atendimento às políticas e procedimentos de segurança da organização; Controles que garantam adequada segregação de funções na área de Tecnologia; Controles que garantam que apenas aplicativos e sistemas homologados e devidamente licenciados sejam utilizados pela organização; Relação entre os componentes de segurança 1 O diagrama abaixo mostra a relação entre os componentes de segurança previstos pela British Standard No centro do diagrama estão os Riscos, cujo controle e redução é o objetivo final da Segurança das Informações. Os Riscos são influenciados diretamente pelas Ameaças e Vulnerabilidades. A existência de ameaças (um hacker, por exemplo) aumenta o nível de risco de um sistema. Simplesmente o ato de disponibilizar um servidor para acesso vindo da Internet aumenta o seu risco ao expô-lo a novas ameaças. As Ameaças exploram ou ocorrem a partir da existência de Vulnerabilidades, dessa forma um hacker ganhará acesso ao sistema explorando uma falha de segurança do sistema atacado. A existência ou aumento dos Riscos trazem Necessidades de Segurança específicas para combatê-lo. Como exemplo para proteção à ameaça de um hacker, torna-se necessário um sistema que detecte e bloqueie um ataque. Os Riscos também influenciam o Valor e o Impacto Potencial a Ativos. As Necessidades de Segurança são implementadas com Controles, que protegem a organização das Ameaças. 1 Guide to BS 7799 Risk Assessment and Risk Management, pág. 21 Guia de Proteção contra Ataques Via Internet 16

17 Ameaças Exploram Vulnerabilidades Protegem contra Aumentam Aumentam Expõem Controles Riscos Ativos implementadas com Indicam Aumentam Têm Necessidades de Segurança Valores e Impacto Potencial a Ativos Guia de Proteção contra Ataques Via Internet 17

18 Gerenciamento dos Riscos GERENCIAMENTO Pode-se dizer que o risco aceitável ou tolerável por uma organização é definido através da comparação dos riscos de exposição a determinadas ameaças com o custo das soluções de segurança que visem defender a organização de tais ameaças. Atenção deve ser dada para a escolha da solução de segurança a ser implementado visto que pode (i) não ser atrativa em termos de custo / benefício, (ii) impor perdas de desempenho, (iii) não ser compatível com o ambiente computadorizado atual da organização. Gerenciamento de riscos é o processo de definição e aplicação de controles de segurança dentro de uma organização, controles estes projetados proporcionalmente aos riscos avaliados, visando minimiza-los a ponto de torná-los aceitáveis ou toleráveis pela organização. Este processo se inicia com a finalização dos processos de (i) identificação e classificação de ativos, (ii) identificação de ameaças, (iii) identificação de vulnerabilidades, (iv) identificação do risco tolerável e (v) avaliação dos controles de segurança. Controles podem ser caracterizados como práticas, procedimentos e mecanismos, dentre outros, os quais podem proteger os ativos contra ameaças, reduzir vulnerabilidades, limitar o impacto de incidentes ou proteger quaisquer outras formas que influenciem os riscos. É necessário que a organização mantenha uma matriz contendo, para cada ativo identificado: (i) sua classificação, (ii) as ameaças a ele associadas, (iii) as vulnerabilidades que poderão ser exploradas por cada ameaça, (iv) o valor de risco mensurado para cada vulnerabilidade e (v) os controles em vigor que possam amenizar os riscos de exploração de cada vulnerabilidade. Por ela a organização poderá identificar quais áreas necessitam da implementação de controles adicionais ou quais áreas necessitam de melhorias nos controles existentes. De posse destas informações, a organização poderá montar uma outra matriz comparando os valores dos riscos das áreas/vulnerabilidades que necessitam de investimentos com os valores das soluções propostas para amenizar tais riscos. A segurança efetiva geralmente requer uma combinação de controles, os quais podem executar uma ou mais funções de detecção, retrocesso, prevenção, limitação, correção, recuperação, monitoração e anúncio. Guia de Proteção contra Ataques Via Internet 18

19 ATAQUES VIA INTERNET Guia de Proteção contra Ataques Via Internet 19

20 ATAQUES Perfil do Invasor Ainda nos dias de hoje predomina a figura do invasor ou cracker como um gênio jovem ou adolescente querendo apenas se divertir nas horas vagas. Embora este tipo de invasor ainda exista, a mudança da economia para um modelo digital, via Internet, está causando o aumento de outro tipo de invasor: o profissional. Enquanto os jovens querem apenas obter acesso gratuitamente sites Internet, brincar de pichação virtual e mostrar aos amigos sua capacidade; os hackers profissionais, também conhecidos como crackers são ladrões de fato. É esperado que o crime organizado proporcione um aumento dos investimentos no furto via Internet, dando aos invasores infraestrutura comparável à de suas vítimas. Historicamente a maior parte dos ataques ocorre em horário noturno ou na madrugada. Isto se deve a uma série de fatores, entre eles a maior disponibilidade e velocidade do acesso neste período, mas principalmente por ser um horário na qual o sistema possa estar desguarnecido. Daí algumas observações importantes: O site Internet nunca pode permanecer desguarnecido. O uso de ferramentas automáticas ajuda nesta tarefa; Os logs das atividades noturnas devem ser cuidadosamente analisados no dia seguinte. Motivos Os motivos para um ataque são muitos. É importante conhecê-los porque nem sempre o objetivo de uma invasão ou ataque a uma instituição financeira é o ganho financeiro. Seguem abaixo alguns motivos que poderiam motivar o ataque a uma instituição financeira: Ganhos Financeiros - Com freqüência, os intrusos são funcionários que obtêm acesso a sistemas financeiros para roubar dinheiro (através da transferência eletrônica de fundos). Vingança - Outra importante motivação para entrada não-autorizada em sistemas e rede é a vingança de funcionários descontentes e ex-funcionários. Necessidade de Aceitação ou Respeito - Muitos intrusos se dedicam a atividades ilegais devido à necessidade de aceitação e/ou respeito de outras pessoas, e não por cobiça ou vingança. Com freqüência, membros de clubes de crackers ganham aceitação ao cometerem atos de intrusão. Atacar com sucesso um grande Banco é sem dúvida importante para o currículo de um cracker. Idealismo - Alguns intrusos atacam sistemas por razões idealistas. Eles se vêem como heróis protegendo o mundo de operações clandestinas de coleta de dados por parte do governo ou contra empresas inimigas. Por exemplo, poderiam atacar Bancos por acreditar que o Governo deixa de ajudar os pobres para dar dinheiro aos Bancos. Curiosidade ou Busca de Emoção - Outro motivo muito comum para a intrusão em sistemas é a curiosidade. Alguns intrusos simplesmente querem saber "o que existe naquele sistema" ou como é dentro de um Internet Banking?. Aprendizado - Uma pequena parte daqueles que violam sistemas fazem isso para aprender mais sobre cracking. Mais uma vez, as instituições financeiras são alvos excelentes, já que são normalmente consideradas como ambientes seguros, com grande investimento em tecnologia. Guia de Proteção contra Ataques Via Internet 20

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Política de segurança de rede: White Paper de práticas recomendadas

Política de segurança de rede: White Paper de práticas recomendadas Política de segurança de : White Paper de práticas recomendadas Índice Introdução Preparação Criar declarações de política de uso Realizar uma análise de risco Estabelecer uma Estrutura de Equipe de Segurança

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &RQWUROHVVREUHEDQFRGHGDGRVH PLFURFRPSXWDGRUHV

Leia mais

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers Ataques e Intrusões Professor André Cardia andre@andrecardia.pro.br msn: andre.cardia@gmail.com Ataques e Intrusões O termo genérico para quem realiza um ataque é Hacker. Essa generalização, tem, porém,

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Objetivos deste capítulo

Objetivos deste capítulo 1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes Introdução ao Gerenciamento de Redes O que é Gerenciamento de Redes? O gerenciamento de rede inclui a disponibilização, a integração e a coordenação de elementos de hardware, software e humanos, para monitorar,

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005 II Semana de Informática - CEUNSP Segurança da Informação Novembro/2005 1 Objetivo Apresentar os principais conceitos sobre Segurança da Informação Foco não é técnico Indicar onde conseguir informações

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Firewall. Alunos: Hélio Cândido Andersson Sales

Firewall. Alunos: Hélio Cândido Andersson Sales Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Firewalls. Firewalls

Firewalls. Firewalls Firewalls Firewalls Paredes Corta-Fogo Regula o Fluxo de Tráfego entre as redes Pacote1 INTERNET Pacote2 INTERNET Pacote3 Firewalls Firewalls Barreira de Comunicação entre duas redes Host, roteador, PC

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões

Leia mais

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Exame de Fundamentos da ITIL

Exame de Fundamentos da ITIL Exame de Fundamentos da ITIL Simulado A, versão 5.1 Múltipla escolha Instruções 1. Todas as 40 perguntas devem ser respondidas. 2. Todas as respostas devem ser assinaladas na grade de respostas fornecida.

Leia mais

Indústria de Cartão de Pagamento (PCI)

Indústria de Cartão de Pagamento (PCI) Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 09 Tema:

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão Características Funciona como um alarme. Detecção com base em algum tipo de conhecimento: Assinaturas de ataques. Aprendizado de uma rede neural. Detecção com base em comportamento

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação Utilização cada vez maior da Internet e a criação de ambientes cooperativos, levam a uma crescente preocupação

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança.

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda Managed Office Protection É fato, tanto pequenas e médias e grandes empresas enfrentam os mesmos riscos

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos. 1 INTERNET BANKING: DICAS DE SEGURANÇA Alexandre Kaspary 1 Alexandre Ramos 2 Leo Andre Blatt 3 William Rohr 4 Fábio Matias Kerber 5 Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 7: IDS e Honeypots Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução IDS = Intrusion Detection Systems (Sistema de Detecção de Invasão) O IDS funciona sobre

Leia mais

Apostila de Gerenciamento e Administração de Redes

Apostila de Gerenciamento e Administração de Redes Apostila de Gerenciamento e Administração de Redes 1. Necessidades de Gerenciamento Por menor e mais simples que seja uma rede de computadores, precisa ser gerenciada, a fim de garantir, aos seus usuários,

Leia mais

Segurança a da Informação Aula 02. Aula 02

Segurança a da Informação Aula 02. Aula 02 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Segurança a da Informação é: Cultura, Cidadania, Desenvolvimento pessoal e social, Competitividade, Influência e poder, Imprescindível para a

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

Segurança exposta em Rede de Computadores. Security displayed in Computer network

Segurança exposta em Rede de Computadores. Security displayed in Computer network Segurança exposta em Rede de Computadores Security displayed in Computer network Luiz Alexandre Rodrigues Vieira Graduando em: (Tecnologia em Redes e Ambientes Operacionais) Unibratec - União dos Institutos

Leia mais

É desejável que o Proponente apresente sua proposta para ANS considerando a eficiência e conhecimento do seu produto/serviço.

É desejável que o Proponente apresente sua proposta para ANS considerando a eficiência e conhecimento do seu produto/serviço. 1 Dúvida: PROJETO BÁSICO Item 4.1.1.1.2 a) Entendemos que o Suporte aos usuários finais será realizado pelo PROPONENTE através de um intermédio da CONTRATANTE, que deverá abrir um chamado específico para

Leia mais

NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT

NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE E TECNOLOGIA DA NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT 1/10 CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE E TECNOLOGIA

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

ParanáBanco. REGULAMENTO DE USO DO NETBANKING PARANÁ BANCO Atualizado em 16/09/2015

ParanáBanco. REGULAMENTO DE USO DO NETBANKING PARANÁ BANCO Atualizado em 16/09/2015 O Cliente, pela assinatura física e/ou eletrônica do Termo de Adesão e Uso do NetBanking Paraná Banco, adere ao presente Regulamento, definido conforme os seguintes termos e condições: 1. Regras de uso

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro

Leia mais

Estratégias em Tecnologia da Informação. Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar)

Estratégias em Tecnologia da Informação. Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar) Estratégias em Tecnologia da Informação Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar) Material de apoio 2 Esclarecimentos Esse material é de apoio para as aulas da disciplina

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais