Guia de Referência Sobre Ataques Via Internet

Tamanho: px
Começar a partir da página:

Download "Guia de Referência Sobre Ataques Via Internet"

Transcrição

1 Guia de Referência Sobre Ataques Via Internet Junho/ Febraban

2 Conteúdo SEGURANÇA DAS INFORMAÇÕES...6 SEGURANÇA... 7 IDENTIFICAÇÃO DAS NECESSIDADES DE SEGURANÇA... 8 Necessidades de Segurança... 8 Avaliação de riscos...8 Necessidades legais, contratuais e estatutárias...8 Princípios, objetivos e necessidades organizacionais...9 AVALIAÇÃO DE RISCO Risco Classificação e identificação de ativos Identificação de Ameaças Identificação de Vulnerabilidades Vulnerabilidades técnicas...14 Vulnerabilidades processuais...14 Como detectar vulnerabilidades...14 Como se manter atualizado quanto a vulnerabilidades...14 Avaliação das políticas e procedimentos de segurança Relação entre os componentes de segurança GERENCIAMENTO Gerenciamento dos Riscos...18 ATAQUES VIA INTERNET ATAQUES Perfil do Invasor Motivos...20 Fases de um ataque PREVENÇÃO Princípios Menor Privilégio...23 Plano de Resposta a Ataques...23 Detecção e Correção de vulnerabilidades...24 Rotas e Links de acesso ao Internet Banking...24 Monitoração permanente...24 Classificação...25 Componentes de Arquitetura Segura para Internet Segmentação de Rede...26 Firewalls...27 Autenticação...28 Criptografia...29 Sistemas de Detecção de Intrusos (IDS)...29 Segurança de Servidores...29 Gerenciamento...30 Visão Geral da Arquitetura...30 Recomendações para Instalação Firewall...32 DMZ...36 Acesso Remoto...37 Proteção contra ataques Denial of Service...37 Spoofing...39 Acesso SNMP...39 Acesso a Roteadores e Switches via Console Local...39 Acesso via Telnet...40 Sincronização de Horário...40 Concentrador de logs...40 Senhas...40 Recomendações para clientes e usuários Guia de Proteção contra Ataques Via Internet 2

3 RESPOSTA A INCIDENTES Gerenciamento de Incidentes e Resposta...43 Sinais de que a segurança do site foi comprometida...44 Investigação ANEXOS BRITISH STANDARD GLOSSÁRIO DE TERMOS REFERÊNCIAS PARA CONSULTA OUTROS RECURSOS BIBLIOGRAFIA INTERNET SECURITY SYSTEMS Histórico Guia de Proteção contra Ataques Via Internet 3

4 APRESENTAÇÃO É uma grande satisfação poder apresentar este trabalho à comunidade. A idéia do Guia surgiu no final do ano passado, seguindo modelo de trabalho que mantemos com associações de bancos de diversos países. Agradecemos à Febraban pela parceria para a concretização do projeto, bem como os comentários e sugestões que recebemos dos CIOs dos bancos, participantes em muitas das fases de sua preparação. A Internet Security Systems - ISS (NASDAQ: ISSX) tem entre seus clientes 23 dos 25 maiores bancos mundiais e está envolvida em diferentes projetos do governo norte-americano, em especial junto à Casa Branca, FBI e NSA, contribuindo para a criação de metodologias, procedimentos e tecnologias de proteção e defesa na Internet. Nesta passagem para a chamada "Nova Economia", a Segurança Digital assume dimensões nunca antes imaginadas. Rapidamente, em todo o mundo, companhias de diferentes portes e mercados de atuação passaram a perceber como a proteção de seus "ativos digitais" tornou-se crítica para o próprio negócio. Desde sua simples operacionalização, até aspectos relativos à perda de imagem e valor perante os clientes, a mídia e o mercado de atuação. Seria redundante, pelo seu valor, enfatizar a necessidade de proteção, gestão e defesa dos "ativos digitais" no mercado financeiro. No Brasil, a velocidade e volume das transações bancárias por meio eletrônico já têm o padrão de Primeiro Mundo e a Internet Security Systems - ISS orgulha-se de poder contribuir com a consolidação da sua metodologia de projetos de segurança, apresentada neste Guia. Devemos ter consciência de que Segurança Digital é uma jornada constante, e não apenas um projeto que tem começo, meio e fim. Como as variáveis de mercado mudam a todo momento e ameaças e vulnerabilidades surgem em novos softwares, hardwares, aplicativos, protocolos de rede etc., recomendamos sempre a nossos clientes que tenham este conceito em mente e organizem equipes de defesa, as quais chamamos de "Grupos de Resposta a Ataques". Sites e redes dos grandes bancos, grandes sites de e-commerce (B2B, B2C etc) e também os pequenos comerciantes e profissionais autônomos de prestação de serviços serão permanentemente alvos de ataques. Novas variáveis exigem novas atitudes e medidas de gestão. A Segurança Digital deixa de ser apenas mais um dos componentes da arquitetura de sistemas e/ou tecnologia para ser também alvo das preocupações da alta administração. Já é freqüente a presença de um Diretor/VP de Segurança Digital e estima-se que os balanços tradicionais sejam substancialmente alterados para refletir o real valor das companhias na "Nova Economia", ou seja, o valor dos "ativos digitais". Convido a todos a visitarem com freqüência os sites da FEBRABAN e da Internet Security Systems - ISS em busca de atualização constante deste conteúdo. Leonardo Scudere Presidente - Internet Security Systems Mercosul Guia de Proteção contra Ataques Via Internet 4

5 INTRODUÇÃO Nos últimos anos a tecnologia da Internet tem experimentado um acelerado ritmo de aperfeiçoamento, criando a base da chamada Nova Economia. Este novo modelo de fazer negócios está trazendo inúmeras vantagens às organizações. No caso das instituições financeiras, permite uma redução expressiva de custos e o fornecimento de serviços cada vez mais atraentes aos clientes. Mas, infelizmente, a Nova Economia carrega alguns males da Velha Economia. Assim como as organizações, seus clientes e fornecedores estão migrando para a Internet, o crime também está. Como é mais fácil, rápido e barato realizar transações via Internet, é mais fácil, rápido e barato roubar via Internet. Mesmo crimes menos importantes, como depredação e pichação, estão presentes na Internet há muito tempo. A tecnologia utilizada pelos hackers ou crackers, os criminosos digitais, está presente desde o inicio da Internet e sendo constantemente aperfeiçoada. Ao contrário das empresas e corporações, que têm dificuldade em trocar experiências e informações, a experiência e tecnologia dos hackers e crackers transcendem países, é aberta e de fácil consulta. Cada vez mais as técnicas de invasão estão acessíveis para os usuários da Internet, permitindo que agressores com conhecimentos técnicos limitados possam efetivar ataques bem sucedidos. Como exemplo, a descrição completa de um ataque realizado contra um Banco está descrito no endereço: Embora o ataque não tenha tido origem da Internet, as informações estão acessíveis através dela. Quanto mais aumenta a quantidade de novos usuários domésticos, escolas e empresas, o risco, decorrente da falta de conhecimentos e informações sobre segurança aumenta sensivelmente. O presente Guia de Proteção Contra Ataques Via Internet visa colaborar com as instituições financeiras, empresas prestadoras de serviço de acesso à Internet e clientes do sistema bancário informando sobre as melhores práticas de segurança nas transações via Internet. O Guia está dividido em duas partes: Conceitos de Segurança da Informação e Proteção contra Ataques via Internet. A primeira parte apresenta conceitos gerais de segurança que são aplicaveis a toda a Organização; e são também vitais para segurança nos negócios via Internet. A segunda parte traz informações técnicas sobre os ataques via Internet e recomendações práticas para defesa. Guia de Proteção contra Ataques Via Internet 5

6 SEGURANÇA DAS INFORMAÇÕES Segurança não é uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários. Guia de Proteção contra Ataques Via Internet 6

7 SEGURANÇA Segurança das informações define-se como o processo de proteção de informações e ativos digitais armazenados em computadores e redes de processamento de dados. Os elementos básicos da segurança das informações são: Confidencialidade Disponibilidade Integridade proteger informações confidenciais contra revelação não autorizada ou captação compreensível; garantir que informações e serviços vitais estejam disponíveis quando requeridos. manter informações e sistemas computadorizados, dentre outros ativos, exatos e completos As necessidades de segurança e a importância relativa de cada um dos elementos dependem do negócio de cada organização. Para algumas transações financeiras, a disponibilidade de acesso e até mesmo a confidencialidade da transação pode ser menos importante que a sua integridade. Ao identificar o peso de cada um destes elementos em suas transações, as instituições financeiras darão um grande passo para definir sua estratégia de segurança para a Internet. Como exemplo, o quanto pesa um ataque tipo Denial of Service para um Banco? Para chegar a esta resposta, a empresa deverá antes responder a: 1. Qual o prejuízo em permanecer fora do ar por algumas horas? 2. Qual o prejuízo à imagem da instituição? 3. Perderei clientes devido ao ataque? Guia de Proteção contra Ataques Via Internet 7

8 IDENTIFICAÇÃO DAS NECESSIDADES DE SEGURANÇA Necessidades de Segurança As necessidades de segurança das informações são advindas das seguintes fontes: Avaliação de riscos; Necessidades legais, contratuais e estatutárias; Princípios, objetivos e necessidades organizacionais. Políticas e diretrizes de segurança Avaliação de riscos Todo processo de proteção de ativos deve ser precedido pela avaliação dos riscos inerentes a cada um destes ativos, para que se possa otimizar a aplicação de recursos de proteção em áreas que ofereçam maior risco aos negócios. Avaliação de riscos define-se como o processo de identificação de riscos de segurança, determinação de sua grandeza e impacto nos negócios da organização. Suas estratégias podem variar de acordo com os objetivos da organização, podendo caracterizar-se como: Risco Global: O risco varia a cada ambiente, mas é constante dentro destes. O método para se mensurar o risco para cada ambiente é baseado na suscetibilidade a ataques apresentada por cada ambiente. Vulnerabilidade a ataques: O risco é definido através do resultado de uma análise sobre as redes, determinando como elas poderiam ser atacadas. Quantitativa: O risco é definido através do cálculo de uma expectativa de perdas anuais. Este número seria uma combinação entre probabilidade de ocorrência da ameaça durante um ano e o custo de sua ocorrência para a organização. Controles básicos: Com base em pesquisas disponíveis, a organização implementa um conjunto de controles comuns utilizados pelo mercado, chamado de conjunto de controles básicos. Neste caso ameaças e vulnerabilidades não são consideradas a fundo. Após a implementação dos controles em questão, recomenda-se conduzir um processo de identificação das áreas de maior risco e de avaliação do nível de controle implementado, visando aprimorar-se o cenário. Nos próximos Capítulos o processo de avaliação de riscos será aprofundado. Necessidades legais, contratuais e estatutárias A segunda fonte que pode influenciar as necessidades de segurança das informações, refere-se a aspectos legais estatutários e contratuais que uma organização, seus parceiros de negócios, contratantes e provedores de serviços devem atender, destacando-se entre outros: o dever de diligência dos administradores da companhia que devem adotar as providências necessárias para a consecução dos objetivos sociais, evitando a ocorrência de fatos que impliquem prejuízos à companhia e por conseqüência aos seus acionistas; o respeito à legislação protetiva dos direitos do consumidor, garantindo segurança na prestação de serviços e na comercialização dos bens; Guia de Proteção contra Ataques Via Internet 8

9 o respeito à legislação protetiva dos direitos intelectuais, gênero que comporta os direitos do autor, a proteção à propriedade intelectual de programas de computador e a proteção à propriedade industrial; a observância aos direitos constituicionais relativamente ao sigilo de dados, intimidade e privacidade e à legislação infra-constitucional própria às instituições financeiras pertinente ao dever de sigilo bancário; os aspectos atinentes ao instituto de responsabilidade civil e aos eventos que ensejem a tipificação de crime; as determinações do Banco Central do Brasil. Portanto, é importante que a implementação ou ausência de controles de segurança em cada um dos sistemas seja balisada a partir de premissas que permitam à organização determinar o grau de exposição aos riscos e suas conseqüências jurídicas. Princípios, objetivos e necessidades organizacionais A terceira fonte que pode influenciar as necessidades de segurança das informações refere-se aos princípios, objetivos e necessidades organizacionais de processamento de informações que suportem suas operações de negócios, os quais a organização decidiu aplicar a seus sistemas de informação. É importante que a implementação ou ausência de controles de segurança em cada um dos sistemas da organização não impeça a eficiência das operações de negócios. Guia de Proteção contra Ataques Via Internet 9

10 AVALIAÇÃO DE RISCO Risco Podemos definir risco como a probabilidade de uma ameaça explorar vulnerabilidades para causar perdas ou danos a um ativo ou grupo de ativos da organização. Desta forma, riscos são determinados pela combinação das ameaças, vulnerabilidades e valores dos ativos, valores estes mensurados com base no impacto destes ativos aos negócios da organização, onde impacto se traduz como os resultados de um incidente inesperado. Desta forma, podemos dizer que risco é a possibilidade de uma dada ameaça explorar vulnerabilidades de um ativo ou grupo de ativos para causar perdas ou danos a estes. Durante o processo de avaliação de riscos é importante entender quais danos os riscos de segurança podem causar aos negócios da organização. Uma possível forma seria obter respostas às seguintes questões: Quais são as partes mais importantes dos negócios da organização (produtos, serviços, atividades, dentre outros)? Como as partes dos negócios são suportadas pelo uso de tecnologia e quão essencial é este suporte? O quanto decisões essenciais dependem da atualização, precisão, disponibilidade e integridade das informações? Quais informações confidenciais necessitam ser protegidas? Quais são as implicações de incidentes de segurança, relacionados a informações, para os negócios e para a organização? Como exemplos de danos podemos citar, dentre outros, os seguintes: Comprometimento e roubo de dados; Destruição de dados; Perda da integridade dos dados; Perda da integridade dos sistemas ou da rede; Perda da capacidade de acesso aos sistemas ou à rede; Perda de reputação; Implicações financeiras!"impacto sobre Demonstrações Financeiras!"Vantagem competitiva!"exposição à fraude Implicações indiretas à organização!"interesse dos funcionários na descoberta de determinadas informações!"efeitos pela descoberta de determinadas informações por funcionários Requisitos por confidencialidade e privacidade!"implicações sobre privacidade!"penalidades legais pela divulgação de informações É necessário que processos de identificação e avaliação dos riscos levem em consideração as seguintes recomendações: Guia de Proteção contra Ataques Via Internet 10

11 1. Adoção de ferramentas automatizadas para (i) identificação das vulnerabilidades existentes nas camadas de rede, sistemas operacionais e banco de dados; (ii) testes interno e externo de invasão; 2. Execução de revisões periódicas de segurança por um auditor ou especialista de segurança, seguindo o princípio da segregação de função, ou seja, não ser o administrador dos sistemas sob teste; 3. Elaboração de plano de ação periódico para (i) estudo de viabilidade de correção de vulnerabilidades, (ii) correção de vulnerabilidades e (iii) criação de controles que minimizem os riscos advindos da impossibilidade de se corrigir quaisquer vulnerabilidades; 4. Uso de técnicas e metodologias para mensurar os riscos inerentes aos ativos da organização; 5. Uso de laboratórios para simulações. Classificação e identificação de ativos Ativos são elementos aos quais a organização atribui valor e desta forma requerem proteção. Levantamento e gerenciamento de ativos adequados são vitais para o processo de proteção dos ativos da organização. Cada ativo deve ser claramente identificado e devidamente classificado. Desta forma, é desenhada a abordagem que será dada ao processo de análise de riscos como um todo. Inicialmente deveremos estipular uma métrica a ser utilizada como critério para classificar os ativos de maneira ordenada, que permita que os valores dados aos ativos sejam facilmente comparáveis, de forma que a visualização dos ativos mais importantes seja facilitada. Ao classificarmos os ativos podemos pensar em o quanto este ativo vale para a organização em termos de confidencialidade, integridade e disponibilidade, ou seja, qual o valor do prejuízo que a perda de confidencialidade, integridade e disponibilidade do referido ativo traria à organização e quanto custaria para corrigir os danos causados. Neste caso atribuir um peso para cada ativo em termos de (i) confidencialidade, (ii) integridade e (iii) disponibilidade, poderia ser a abordagem adotada. A partir desta classificação detalhada dos ativos envolvidos, poderemos efetuar os próximos passos do processo de análise de riscos, e efetuar uma relação entre as ameaças, as vulnerabilidades e o valor do ativo. Tal procedimento permitiria um resultado final rico em detalhes. Este tipo de abordagem poderá consumir um grande esforço da organização, sendo este esforço variável por fatores como (i) a natureza das atividades da organização, (ii) complexidade do ambiente de tecnologia da informação, (iii) nível de dependência da organização em seu ambiente de tecnologia da informação, (iv) determinações de órgãos regulamentadores, dentre outros. Uma outra abordagem seria atribuir um valor único ao ativo, que represente sua importância em termos de confidencialidade, integridade e disponibilidade, assumindo assim uma abordagem simplificada, que não oferece todo o detalhamento da sugestão anterior, porém oferece possivelmente um maior dinamismo aos trabalhos envolvidos. Uma terceira opção seria identificar inicialmente os ativos mais importantes para a organização e eles adotar uma estratégia que permita resultados mais detalhados, como a primeira sugestão de abordagem citada acima, e para os ativos de menor importância adotar uma abordagem simplificada, como por exemplo a da segunda sugestão. Caso esta seja a estratégia a ser adotada, a classificação inicial de ativos é de grande importância, pois caso esta classificação esteja incorreta poderemos direcionar recursos excessivos a ativos que não sejam críticos para a organização, ou poderemos dar atenção exagerada a ativos que não necessitem de tanto. Poderemos chegar a conclusões incorretas em função da má classificação inicial dos ativos. Guia de Proteção contra Ataques Via Internet 11

12 Devemos ainda verificar as possíveis desvantagens de optarmos por uma abordagem complexa que poderá levar o processo de análise de riscos a consumir vários meses, o que pode trazer um impacto negativo na qualidade do resultado final dos trabalhos. Em se tratando de análise de riscos em ambiente Web, em virtude de este ser um ambiente extremamente dinâmico, o resultado de um trabalho de análise de riscos extenso demais pode trazer um falso sentimento de segurança, pois pode resultar em (i) necessidades de segurança que não oferecem mais o nível de segurança desejado no momento da finalização dos trabalhos ou (ii) sugerir objetivos de segurança que perderam a aderência ao ambiente em função de alterações que o ambiente sofreu durante o período em questão, ou por novas vulnerabilidades que surgiram neste mesmo período. Já uma abordagem simples carrega o risco de não serem levantados resultados condizentes com a natureza da organização e com a riqueza de detalhes necessária para contribuir eficazmente com o incremento de seu nível de segurança. Adicionalmente, para que se possa melhor proteger os ativos, é necessário atribuir valores a estes em termos de sua importância aos negócios ou de seu valor potencial relacionado às oportunidades geradas por seu intermédio. Estes valores são usualmente expressados em termos do impacto de incidentes não esperados aos negócios da organização, tais como perda de confidencialidade, integridade e/ou disponibilidade, o que poderia conseqüentemente gerar perdas financeiras, perdas de receitas, perda de mercado ou danos à imagem da organização, dentre outros. Identificação de Ameaças Ativos estão sujeitos a uma série de ameaças. Ameaças são causas potenciais de incidentes não esperados, os quais talvez resultem em danos para aos ativos da organização. Tais danos podem ocorrer através de ataques diretos ou indiretos a informações da organização, como, por exemplo, destruição não autorizada, revelação, modificação, corrupção, indisponibilidade ou perda. Ameaças podem ser originadas de fontes ou eventos acidentais ou propositais. Para que possam efetivamente causar danos aos ativos da organização, ameaças necessitam explorar vulnerabilidades de sistemas, aplicações, serviços ou políticas e procedimentos. Como exemplos de ameaças podemos citar: Acesso e uso não autorizado de informações, sistemas de informações, redes e/ou serviços de rede; Software malicioso; Falhas de sistemas básicos e aplicativos; Reenvio de mensagens; Modificação não autorizada de mensagens e informações; Incêndios e inundações; Roubo; Erros humanos; Ataques baseados em senhas; Ataques que exploram o acesso confiável; Engenharia Social; Spoofing do IP (Internet Protocol); Rastreamento de Pacote (Ingerência); Exploração de vulnerabilidades tecnológicas; Exploração de bibliotecas compartilhadas; Guia de Proteção contra Ataques Via Internet 12

13 Falhas nos protocolos; DoS - Denial of Service ; DDoS - Distributed Denial of Service e Vírus. Ameaças e danos comerciais às organizações Danos comerciais Ameaças Efeito material nas demonstrações financeiras Vantagem competitiva Exposição a fraudes Implicações indiretas à organização Considerações sobre privacidade Requisitos de regulamentação Violação de integridade Violação de autorização de acesso Riscos legais Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Repudiação Violação de autorização de acesso Perda de reputação Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Violação de autorização de acesso Violação de integridade Troca de identidade para obtenção de privilégios de acesso Espionagem de informações Violação de autorização de acesso Perda de reputação Riscos legais Violação de integridade Espionagem de informações Repudiação Violação de autorização de acesso Negação de serviço Riscos legais Guia de Proteção contra Ataques Via Internet 13

14 Identificação de Vulnerabilidades Vulnerabilidades são pontos fracos associados a um ativo ou grupo de ativos, os quais podem ser explorados por uma ameaça causando incidentes não esperados que talvez resultem em perdas ou danos a estes ativos. Uma vulnerabilidade por si só não causa danos, sendo apenas uma condição ou um conjunto de condições que podem permitir a uma ameaça afetar ativos. Vulnerabilidades técnicas Como exemplos de vulnerabilidades técnicas podemos citar dentre outras: Falta de proteção adequada de acesso físico aos equipamentos; Uso de senhas inseguras; Vulnerabilidades inerentes da não aplicação de correções em sistemas operacionais; Vulnerabilidades inerentes da não aplicação de correções em bancos de dados; Conexões desprotegidas para redes externas, como por exemplo a Internet; Deficiências em protocolos de comunicação; Deficiências na configuração dos sistemas. Vulnerabilidades processuais Como exemplos de vulnerabilidades processuais podemos citar dentre outras: Armazenamento desprotegido de documentos; Destruição inadequada de mídias; Ausência de treinamentos adequados sobre segurança; Inexistência de Termos de Responsabilidade que visem documentar o comprometimento de cada funcionário com os ativos da organização. Como detectar vulnerabilidades Para se detectar vulnerabilidades, a recomendação mais eficaz seria a utilização de sistemas do tipo Scanner, destinados a vasculhar as diversas camadas de tecnologia e então tornar claras todas as vulnerabilidades existentes nos sistemas, estejam elas associadas a hosts, dispositivos de rede, sistemas operacionais e bancos de dados, dentre outros. Adicionalmente, faz-se necessária a classificação de cada uma das vulnerabilidades encontradas em termos de risco, para que se possa montar um plano de ação adequadamente priorizado para se eliminar as vulnerabilidades em questão. Como se manter atualizado quanto a vulnerabilidades Para se manter atualizado quanto a novas vulnerabilidades, é necessário (i) efetuar revisões periódicas de procedimentos, (ii) efetuar revisões periódicas de vulnerabilidades no ambiente computadorizado da instituição, (iii) assinar listas e serviços de conhecimento, (iv) manter contatos freqüentes com os fornecedores de sistemas básicos, (v) participar de fóruns de segurança e (v) ter profissionais e parceiros capacitados atuando em sua estrutura, dentre outros. Guia de Proteção contra Ataques Via Internet 14

15 Avaliação das políticas e procedimentos de segurança Visando as fases posteriores de Elaboração de plano de ação e Desenvolvimento de soluções, é necessário que sejam efetuados levantamento e avaliação formal das políticas e procedimentos de segurança em vigor, visando a elaboração de melhorias que visem tornar eficaz o ambiente de segurança da organização. Vale ressaltar que devem existir políticas e procedimentos que tratem, dentre outros, dos seguintes aspectos: Políticas para uso de Internet; Políticas para uso de ; Processo de revisão e avaliação das políticas e procedimentos de segurança; Infraestrutura interna de segurança; Segurança sobre o acesso de terceiros e prestadores de serviços; Metodologia para classificação e controle de ativos; Metodologia para classificação das informações; Políticas de Pessoal; Treinamento técnico e de segurança; Segurança Física e Ambiental ; Gerenciamento de operações e comunicações; Proteção contra vírus; Cópias de segurança; Trilhas de auditoria; Gerenciamento de redes de comunicação de dados; Segurança e manuseio de mídias; Uso de sistemas e aplicativos (homologação e licenciamento); Aspectos legais; Termo de Compromisso de Segurança de Informações e Utilização de Ativos; Gerenciamento de atribuição de privilégios de acesso; Configuração de mecanismos de segurança ( Firewall, sistemas de detecção de intrusos, antivírus, sistema de controle de acesso, sistemas biométricos, SecureId, Smart Card, filtros de pacotes, criptografia e assinatura digital, dentre outros); Computação móvel e comunicação remota; Desenvolvimento, manutenção e aquisição de sistemas; Manutenção de sistemas básicos; Plano de Continuidade dos Negócios e Revisões periódicas de segurança. Avaliação dos controles de segurança Visando suportar o processo de gerenciamento de riscos, é necessário que sejam efetuados levantamento e avaliação formal dos controles de segurança em vigor, visando a determinação de melhorias funcionais ou o planejamento de implementação de controles adicionais que visem tornar eficaz o ambiente de controles da organização. Como exemplos de controles, podemos citar dentre outros, os seguintes: Guia de Proteção contra Ataques Via Internet 15

16 Controles sobre desenvolvimento e manutenções em sistemas básicos e aplicativos; Controles sobre segurança de acesso físico aos equipamentos e instalações da organização; Controles sobre aquisição de sistemas básicos e aplicativos; Separação de ambientes para desenvolvimento, testes e produção; Controles para atualização da documentação de sistemas; Controles de identificação e autenticação de usuários para acesso a equipamentos e sistemas, como por exemplo senhas, SecureID, sistemas biométricos e Smart Cards; Controle sobre o gerenciamento de privilégios de acesso atribuídos a usuários; Controles que garantam a disponibilidade das informações, como por exemplo um plano de ação para a continuidade dos negócios; Controles que garantam a integridade das informações, como por exemplo campos de controle de lotes de digitação; Controles que garantam a confidencialidade das informações, como por exemplo criptografia com chave pública; Controles que visem a não-repudiação, como por exemplo assinatura digital; Controles voltados à geração de trilhas de auditoria, como por exemplo a habilitação de logs disponíveis nos sistemas básicos e aplicativos; Controles de detecção de intrusos, como por exemplo Sistemas de Detecção de Intrusos (IDS Intrusion Detection System); Controles para garantir o atendimento às políticas e procedimentos de segurança da organização; Controles que garantam adequada segregação de funções na área de Tecnologia; Controles que garantam que apenas aplicativos e sistemas homologados e devidamente licenciados sejam utilizados pela organização; Relação entre os componentes de segurança 1 O diagrama abaixo mostra a relação entre os componentes de segurança previstos pela British Standard No centro do diagrama estão os Riscos, cujo controle e redução é o objetivo final da Segurança das Informações. Os Riscos são influenciados diretamente pelas Ameaças e Vulnerabilidades. A existência de ameaças (um hacker, por exemplo) aumenta o nível de risco de um sistema. Simplesmente o ato de disponibilizar um servidor para acesso vindo da Internet aumenta o seu risco ao expô-lo a novas ameaças. As Ameaças exploram ou ocorrem a partir da existência de Vulnerabilidades, dessa forma um hacker ganhará acesso ao sistema explorando uma falha de segurança do sistema atacado. A existência ou aumento dos Riscos trazem Necessidades de Segurança específicas para combatê-lo. Como exemplo para proteção à ameaça de um hacker, torna-se necessário um sistema que detecte e bloqueie um ataque. Os Riscos também influenciam o Valor e o Impacto Potencial a Ativos. As Necessidades de Segurança são implementadas com Controles, que protegem a organização das Ameaças. 1 Guide to BS 7799 Risk Assessment and Risk Management, pág. 21 Guia de Proteção contra Ataques Via Internet 16

17 Ameaças Exploram Vulnerabilidades Protegem contra Aumentam Aumentam Expõem Controles Riscos Ativos implementadas com Indicam Aumentam Têm Necessidades de Segurança Valores e Impacto Potencial a Ativos Guia de Proteção contra Ataques Via Internet 17

18 Gerenciamento dos Riscos GERENCIAMENTO Pode-se dizer que o risco aceitável ou tolerável por uma organização é definido através da comparação dos riscos de exposição a determinadas ameaças com o custo das soluções de segurança que visem defender a organização de tais ameaças. Atenção deve ser dada para a escolha da solução de segurança a ser implementado visto que pode (i) não ser atrativa em termos de custo / benefício, (ii) impor perdas de desempenho, (iii) não ser compatível com o ambiente computadorizado atual da organização. Gerenciamento de riscos é o processo de definição e aplicação de controles de segurança dentro de uma organização, controles estes projetados proporcionalmente aos riscos avaliados, visando minimiza-los a ponto de torná-los aceitáveis ou toleráveis pela organização. Este processo se inicia com a finalização dos processos de (i) identificação e classificação de ativos, (ii) identificação de ameaças, (iii) identificação de vulnerabilidades, (iv) identificação do risco tolerável e (v) avaliação dos controles de segurança. Controles podem ser caracterizados como práticas, procedimentos e mecanismos, dentre outros, os quais podem proteger os ativos contra ameaças, reduzir vulnerabilidades, limitar o impacto de incidentes ou proteger quaisquer outras formas que influenciem os riscos. É necessário que a organização mantenha uma matriz contendo, para cada ativo identificado: (i) sua classificação, (ii) as ameaças a ele associadas, (iii) as vulnerabilidades que poderão ser exploradas por cada ameaça, (iv) o valor de risco mensurado para cada vulnerabilidade e (v) os controles em vigor que possam amenizar os riscos de exploração de cada vulnerabilidade. Por ela a organização poderá identificar quais áreas necessitam da implementação de controles adicionais ou quais áreas necessitam de melhorias nos controles existentes. De posse destas informações, a organização poderá montar uma outra matriz comparando os valores dos riscos das áreas/vulnerabilidades que necessitam de investimentos com os valores das soluções propostas para amenizar tais riscos. A segurança efetiva geralmente requer uma combinação de controles, os quais podem executar uma ou mais funções de detecção, retrocesso, prevenção, limitação, correção, recuperação, monitoração e anúncio. Guia de Proteção contra Ataques Via Internet 18

19 ATAQUES VIA INTERNET Guia de Proteção contra Ataques Via Internet 19

20 ATAQUES Perfil do Invasor Ainda nos dias de hoje predomina a figura do invasor ou cracker como um gênio jovem ou adolescente querendo apenas se divertir nas horas vagas. Embora este tipo de invasor ainda exista, a mudança da economia para um modelo digital, via Internet, está causando o aumento de outro tipo de invasor: o profissional. Enquanto os jovens querem apenas obter acesso gratuitamente sites Internet, brincar de pichação virtual e mostrar aos amigos sua capacidade; os hackers profissionais, também conhecidos como crackers são ladrões de fato. É esperado que o crime organizado proporcione um aumento dos investimentos no furto via Internet, dando aos invasores infraestrutura comparável à de suas vítimas. Historicamente a maior parte dos ataques ocorre em horário noturno ou na madrugada. Isto se deve a uma série de fatores, entre eles a maior disponibilidade e velocidade do acesso neste período, mas principalmente por ser um horário na qual o sistema possa estar desguarnecido. Daí algumas observações importantes: O site Internet nunca pode permanecer desguarnecido. O uso de ferramentas automáticas ajuda nesta tarefa; Os logs das atividades noturnas devem ser cuidadosamente analisados no dia seguinte. Motivos Os motivos para um ataque são muitos. É importante conhecê-los porque nem sempre o objetivo de uma invasão ou ataque a uma instituição financeira é o ganho financeiro. Seguem abaixo alguns motivos que poderiam motivar o ataque a uma instituição financeira: Ganhos Financeiros - Com freqüência, os intrusos são funcionários que obtêm acesso a sistemas financeiros para roubar dinheiro (através da transferência eletrônica de fundos). Vingança - Outra importante motivação para entrada não-autorizada em sistemas e rede é a vingança de funcionários descontentes e ex-funcionários. Necessidade de Aceitação ou Respeito - Muitos intrusos se dedicam a atividades ilegais devido à necessidade de aceitação e/ou respeito de outras pessoas, e não por cobiça ou vingança. Com freqüência, membros de clubes de crackers ganham aceitação ao cometerem atos de intrusão. Atacar com sucesso um grande Banco é sem dúvida importante para o currículo de um cracker. Idealismo - Alguns intrusos atacam sistemas por razões idealistas. Eles se vêem como heróis protegendo o mundo de operações clandestinas de coleta de dados por parte do governo ou contra empresas inimigas. Por exemplo, poderiam atacar Bancos por acreditar que o Governo deixa de ajudar os pobres para dar dinheiro aos Bancos. Curiosidade ou Busca de Emoção - Outro motivo muito comum para a intrusão em sistemas é a curiosidade. Alguns intrusos simplesmente querem saber "o que existe naquele sistema" ou como é dentro de um Internet Banking?. Aprendizado - Uma pequena parte daqueles que violam sistemas fazem isso para aprender mais sobre cracking. Mais uma vez, as instituições financeiras são alvos excelentes, já que são normalmente consideradas como ambientes seguros, com grande investimento em tecnologia. Guia de Proteção contra Ataques Via Internet 20

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers Ataques e Intrusões Professor André Cardia andre@andrecardia.pro.br msn: andre.cardia@gmail.com Ataques e Intrusões O termo genérico para quem realiza um ataque é Hacker. Essa generalização, tem, porém,

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

O processo de ataque em uma rede de computadores. Jacson R.C. Silva

O processo de ataque em uma rede de computadores. Jacson R.C. Silva <jacsonrcsilva@gmail.com> O processo de ataque em uma rede de computadores Jacson R.C. Silva Inicialmente, se conscientizando... É importante ter em mente os passos que correspondem a um ataque Porém,

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Objetivos deste capítulo

Objetivos deste capítulo 1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

SEGURANÇA E AUDITORIA DE TI

SEGURANÇA E AUDITORIA DE TI 1 SEGURANÇA E AUDITORIA DE TI Objetivos - Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados

Leia mais

Política de segurança de rede: White Paper de práticas recomendadas

Política de segurança de rede: White Paper de práticas recomendadas Política de segurança de : White Paper de práticas recomendadas Índice Introdução Preparação Criar declarações de política de uso Realizar uma análise de risco Estabelecer uma Estrutura de Equipe de Segurança

Leia mais

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos Prof. Carlos Faria (adaptação) 2011 DESAFIOS ÉTICOS E DE SEGURANÇA Emprego Privacidade Saúde Segurança Ética e Sociedade Crime Individualidade Condições

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes Introdução ao Gerenciamento de Redes O que é Gerenciamento de Redes? O gerenciamento de rede inclui a disponibilização, a integração e a coordenação de elementos de hardware, software e humanos, para monitorar,

Leia mais

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa.

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa. Boas Práticas de Segurança da Informação Regras para proteção de dados de cartões para a pequena e média empresa. Prezado Cliente, A constante evolução da tecnologia está sempre rompendo paradigmas, tornando

Leia mais

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &RQWUROHVVREUHEDQFRGHGDGRVH PLFURFRPSXWDGRUHV

Leia mais

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 7: IDS e Honeypots Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução IDS = Intrusion Detection Systems (Sistema de Detecção de Invasão) O IDS funciona sobre

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

Gerência de Redes de Computadores Gerência de Redes de Computadores As redes estão ficando cada vez mais importantes para as empresas Não são mais infra-estrutura dispensável: são de missão crítica, ou

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de

Leia mais

Módulo 6: Segurança da TI

Módulo 6: Segurança da TI 1 Módulo 6: Segurança da TI 6.1. Questões de Segurança da TI Discute como se pode promover a qualidade e segurança dos sistemas de informação por uma diversidade de controles, procedimentos e instalações.

Leia mais

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão Características Funciona como um alarme. Detecção com base em algum tipo de conhecimento: Assinaturas de ataques. Aprendizado de uma rede neural. Detecção com base em comportamento

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

Edilberto Silva - www.edilms.eti.br

Edilberto Silva - www.edilms.eti.br Baseado no material dos profs.: Márcio D avila / FUMEC Mauro Sobrinho / Unieuro Mehran Misaghi / SOCIESC Edilberto Silva edilms@yahoo.com / www.edilms.eti.br Sumário Tecnologias e Afins Servidores Redes

Leia mais

Empresa FIREWALLS. IDS x IPS. http://www.firewalls.com.br. Matriz: Bauru/SP Filial 1: Florianopolis/SC

Empresa FIREWALLS. IDS x IPS. http://www.firewalls.com.br. Matriz: Bauru/SP Filial 1: Florianopolis/SC Empresa FIREWALLS IDS x IPS Matriz: Bauru/SP Filial 1: Florianopolis/SC O que é a Firewalls? - Empresa Especializada em Segurança; - Profissionais Certificados; - Atenta a Padrões Internacionais; - Parceira

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

Manual. Honeypots e honeynets

Manual. Honeypots e honeynets Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor,

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 6 Projeto de Sistema Biométrico 1. Definição de Metas A primeira etapa no projeto

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões

Leia mais

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso. Firewalls Hackers Gostam de alvos fáceis. Podem não estar interessados nas suas informações. Podem invadir seu computador apenas por diversão. Para treinar um ataque a uma máquina relativamente segura.

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005 II Semana de Informática - CEUNSP Segurança da Informação Novembro/2005 1 Objetivo Apresentar os principais conceitos sobre Segurança da Informação Foco não é técnico Indicar onde conseguir informações

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Divisão de Infra-Estrutura

Divisão de Infra-Estrutura Divisão de Infra-Estrutura Análise de Firewalls Rodrigo Rubira Branco rodrigo@firewalls.com.br O que é a Firewalls? - Empresa Especializada em Segurança. - Profissionais Certificados. - Atenta a Padrões

Leia mais

Curso de Tecnologia em Redes de Computadores

Curso de Tecnologia em Redes de Computadores Curso de Tecnologia em Redes de Computadores Disciplina: Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 2: Segurança Física e Segurança Lógica Segurança

Leia mais

Segurança exposta em Rede de Computadores. Security displayed in Computer network

Segurança exposta em Rede de Computadores. Security displayed in Computer network Segurança exposta em Rede de Computadores Security displayed in Computer network Luiz Alexandre Rodrigues Vieira Graduando em: (Tecnologia em Redes e Ambientes Operacionais) Unibratec - União dos Institutos

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

Negação de Serviço, Negação de Serviço Distribuída e Botnets

Negação de Serviço, Negação de Serviço Distribuída e Botnets Negação de Serviço, Negação de Serviço Distribuída e Botnets Gabriel Augusto Amim Sab, Rafael Cardoso Ferreira e Rafael Gonsalves Rozendo Engenharia de Computação e Informação - UFRJ EEL878 Redes de Computadores

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

INTERNET BANKING: DICAS DE SEGURANÇA. Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos. 1 INTERNET BANKING: DICAS DE SEGURANÇA Alexandre Kaspary 1 Alexandre Ramos 2 Leo Andre Blatt 3 William Rohr 4 Fábio Matias Kerber 5 Palavras-chave: Segurança da Informação; Internet Banking; Fraudes; Riscos.

Leia mais

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS Resumo da solução RESUMO As novas ameaças de segurança exigem uma nova abordagem ao gerenciamento de segurança. As equipes de segurança precisam de uma

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Aspectos a Serem Considerados Rodrigo Rubira Branco rodrigo@firewalls.com.br O que é a Firewalls? - Empresa Especializada em Segurança; - Profissionais Certificados; - Atenta a

Leia mais

Firewall. Alunos: Hélio Cândido Andersson Sales

Firewall. Alunos: Hélio Cândido Andersson Sales Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Gerência de Redes e Serviços de Comunicação Multimídia

Gerência de Redes e Serviços de Comunicação Multimídia UNISUL 2013 / 1 Universidade do Sul de Santa Catarina Engenharia Elétrica - Telemática 1 Gerência de Redes e Serviços de Comunicação Multimídia Aula 3 Gerenciamento de Redes Cenário exemplo Detecção de

Leia mais

Indústria de Cartão de Pagamento (PCI)

Indústria de Cartão de Pagamento (PCI) Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança

Leia mais

PORTFÓLIO www.imatec.com.br

PORTFÓLIO www.imatec.com.br História A IMATEC foi estabelecida em 1993 com o objetivo de atuar nos segmentos de microfilmagem, digitalização e guarda de documentos e informações, hoje conta com 300 colaboradores, têm em seu quadro,

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais