Segurana Fsica, Lgica e Controles de Acesso

A importncia da conscientizao de
pessoas nos ambientes com tecnologia e
principais riscos com engenharia social
Um dos assuntos que necessitam de uma ateno muito especial a conscientizao de pessoas.
A conscientizao das pessoas dentro do ambiente corporativo um fator crtico de
sucesso para que se possa atingir um grande nvel de segurana da informao.
Iremos ver nesta aula que todos os assuntos discutidos no curso podem ter sucesso
apenas se houver uma grande conscientizao de todos os envolvidos.

Conscientizao de pessoas
Dentro do ambiente corporativo, dever haver um programa de conscientizao das
pessoas sobre o uso correto dos ativos da informao.
Esse programa apoiado pela norma NBR ISO/IEC 27002, que, em um dos seus
controles, se preocupa com a utilizao correta dos recursos, pois por meio dele podemos
ter acesso indevido ou mesmo uso incorreto, que gera uma ameaa s informaes da
companhia.

Conscientizao das pessoas no ambiente - NBR ISO/IEC 27002

8.2.2 - Conscientizao, educao e treinamento em seg. da informao
Controle
Convm que todos os funcionrios da organizao e, onde pertinente,
fornecedores e terceiros recebam treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais,
relevantes para as suas funes.

Aula 20 pg. 237

Segurana Fsica, Lgica e Controles de Acesso

A norma tambm apoia um programa de processo disciplinar em caso de uma violao de polticas de segurana da informao, em que tenham sido transgredidas as regras
estabelecidas no uso indevido de ativos da informao.
O programa muito importante para que todos da companhia saibam de suas responsabilidades dentro do contexto de suas atribuies, e tenham plena conscincia de
que existe um programa disciplinar, nas leis vigentes de cada pas.

Engenharia social
Engenharia social engloba as prticas utilizadas para obter acesso a informaes
importantes ou sigilosas em organizaes ou sistemas por meio da enganao ou explorao da conana das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade,
ngir que um prossional de determinada rea etc. uma forma de entrar em organizaes que no necessita da fora bruta ou de erros em mquinas. Explora as falhas de
segurana das prprias pessoas que, quando no treinadas para esses ataques, podem
ser facilmente manipuladas.
Um engenheiro social no um prossional na engenharia social (a engenharia
social no uma faculdade, e sim um conjunto de tcnicas), mas trata-se de uma pessoa
que pode ter profundos conhecimentos em diversas reas; 99% das pessoas que praticam a engenharia social, de maneira benca ou no, trabalham em empresas de grande
ou mdio porte, visando buscar falhas em um sistema de segurana da informao para
elimin-las ou explor-las.
Uma das mais clssicas e antigas tcnicas utilizadas pelos engenheiros o poder
de persuaso. Um lme que estreou no ano de 2002 conta a histria de Frank William
Abagnale Jr., um jovem que se utilizava da engenharia social para realizar golpes na
dcada de 1960.
Entre seus principais golpes, ele desenvolveu uma tcnica que empregou durante
oito anos, pela qual se passou como mdico, piloto de avio, advogado e professor, convencendo todas as pessoas que cruzavam seu caminho.
Outro nome muito conhecido no mundo da engenharia social o do norte-america-

Aula 20 pg. 238

Segurana Fsica, Lgica e Controles de Acesso

no Kevin Mitnick, que nos anos 1990 realizou inmeras fraudes, a maioria por meio da
engenharia social. Em uma de suas tcnicas, Mitnick se passava por algum que era do
corpo tcnico de uma empresa, entrando em contato com os prossionais da empresa, e
por meio da engenharia social conseguia senha e usurio de administrador dos sistemas,
endereo de rede e tudo o que pedisse, e assim realizava suas invases nos sistemas
desejados.

Redes sociais
Outro fator de grande preocupao nas empresas o crescente nmero de redes
sociais que esto tomando conta da web.
As redes sociais podem apresentar um grande perigo quanto ao acrscimo de informaes sigilosas das pessoas. Informaes sigilosas devem ser restritas em redes
sociais, pois por meio delas os engenheiros sociais podem se aproveitar e investir na vida
de sua vtima.

Acesse o ambiente virtual de aprendizagem UNINOVE

para ver o vdeo sobre conscientizao da engenharia social.

Acesse o ambiente virtual de aprendizagem UNINOVE

para praticar seus exerccios.

Aula 20 pg. 239

Segurana Fsica, Lgica e Controles de Acesso

Referncias
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel
Books, 2000.
CARUSO, C.A.A. Segurana em informtica e de informaes. So Paulo: SENAC, 1999.
OLIVEIRA, Wilson Jos de. Segurana da informao tcnicas e solues. Florianpolis: Visual Books, 2001.
SANTOS, Alfredo. Gerenciamento de identidade. Rio de Janeiro: Brasport, 2007.337
SMOLA, Marcos. Gesto da segurana da informao uma viso executiva. Rio de
Janeiro: Editora Campus, 2003.
TERADA, Routo. Segurana de dados criptograa em redes. So Paulo: Edgard Blucher, 2000.

Indicao de Sites
Microsoft Technet. Acesso em: 20 abr 2010 - http://www.microsoft.com/brasil/athome/
security/privacy/password.mspx
http://www.cert.org/
http://www.infoexame.com.br
http://www.iso17799.hpg.ig.com.br/index.htm
http://www.sms.com.br
http://www.engetron.com.br
http://www.aceco.com.br

Aula 20 pg. 240

Segurana Fsica, Lgica e Controles de Acesso

http://www.caviglia.com.br
http://www.isaca.com.br
http://www.modulo.com.br
http://www.drii.org
http://www.nbso.nic.br
http://www.abnt.org.br
http://www.b5c.com.br

Aula 20 pg. 241

Segurana Fsica, Lgica e Controles de Acesso

Anotaes

Segurana Fsica, Lgica e Controles de Acesso

Anotaes

Segurana Fsica, Lgica e Controles de Acesso

Anotaes

Segurana Fsica, Lgica e Controles de Acesso

Anotaes

Segurana Fsica, Lgica e Controles de Acesso

ndice
Aula 01
A complexidade da segurana da informao nas empresas ............................................................ 3
Ambientes de negcios complexos, globalizao e a necessidade de proteo e adequao s leis e aos mecanismos regulatrios ................................................................................. 4
Referncias ..................................................................................................................................... 6
Indicao de Sites .......................................................................................................................... 6
Figuras ............................................................................................................................................. 8
Aula 02
Principais padres e normas relacionadas segurana da informao ........................................ 13
Norma de segurana da informao srie ABNT NBR ISO/IEC 27000 ..........................13
Payment Card Industry PCI .................................................................................................... 14
Lei SarbanesOxley .................................................................................................................... 16
Cobit 4.1 Control Objectives for Information and Related Technology ............................. 17
ITIL IT Infrastructure Library ................................................................................................... 18
Referncias ................................................................................................................................... 20
Figuras ........................................................................................................................................... 21
Aula 03
Poltica de segurana da informao ................................................................................................... 28
Referncias ................................................................................................................................... 32
Aula 04
Criao de normas de utilizao dos recursos fsicos dentro das empresas ................................ 37
Documentao de responsabilidade de uso segundo a iso/iec 27002 ............................... 37
Seo 7.1.2. Proprietrio dos ativos ................................................................................ 37
Seo 7.1.3. Uso aceitvel dos ativos ............................................................................. 38
Referncias ................................................................................................................................... 40

Segurana Fsica, Lgica e Controles de Acesso

Aula 05
Mapeamento de processos de negcio, identicao e classicao da informao e a importncia para a continuidade de negcios. Identicao dos ativos que suportam os negcios
(relao de dependncia: processo de negcio, sistema e infraestrutura envolvida) .................. 45
Mapeamento de processos de negcio ................................................................................... 45
Identicao e classicao da informao e a importncia para a continuidade do negcio ......................................................................................................................................................46
Identicao dos ativos que suportam os negcios .............................................................. 47
Relao de dependncia: processo de negcio, sistema e infraestrutura envolvida ....... 47
Referncias ................................................................................................................................... 49
Figuras ........................................................................................................................................... 50
Aula 06
Inventrio de ativos de hardware e softwares: planos de controles e responsabilidades ........... 56
A importncia da iso 27002 e o framework itil para gesto de ativos ................................. 56
Inventrio de ativos de hardware e software: planos de controles e responsabilidade sobre o uso .......................................................................................................................................... 56
Planos de controles de ativos utilizando a ISO/IEC 27002 ............................................... 57
Responsabilidade sobre o uso de um ativo de TI .................................................................. 58
A seo da norma ISO/IEC 27002 gesto de ativos .......................................................... 59
ITIL gerenciamento da congurao ..................................................................................... 60
Atividades do gerenciamento da congurao ....................................................................... 60
Identicao .................................................................................................................................. 60
Controle ......................................................................................................................................... 61
Referncias ................................................................................................................................... 62
Figuras ........................................................................................................................................... 63
Aula 07
Anlise de riscos fsicos em infraestruturas de suporte aos ambientes de TI ............................... 69
Mapeamento e identicao de riscos fsicos e lgicos ....................................................... 69

Segurana Fsica, Lgica e Controles de Acesso

Anlise de riscos em infraestrutura de suporte aos ambientes de TI ................................. 69

Risco .............................................................................................................................................. 70
Vulnerabilidade ............................................................................................................................. 71
Ameaas ........................................................................................................................................ 71
Tipos de ameaas .............................................................................................................. 71
Conformidade com o risco ......................................................................................................... 72
Analisando as possveis ameaas no ambiente de TI ........................................................... 74
Anlise de riscos lgicos em ambiente de processamento de dados (servidores, rewall,
acesso fsico) ................................................................................................................................... 75
Estudo de impactos CIDAL e prioridades GUT ...................................................................... 76
Referncias ................................................................................................................................... 78
Indicao de Sites......................................................................................................................... 78
Figuras ........................................................................................................................................... 80
Aula 08
Segurana fsica ambiental: sala dos servidores, cpd e data center .............................................. 86
Principais controles relacionados segurana em data center ...........................................86
Os objetivos da segurana fsica de TI .................................................................................... 87
Controles da norma NBR ISO/IEC 27002 relacionados segurana fsica e ambiental. 88
Referncias ................................................................................................................................... 91
Indicao de Sites ........................................................................................................................91
Aula 09
Segurana fsica: identicao de reas de acessos restritos e permetro de segurana seguindo a iso 27002 .......................................................................................................................................... 97
Descarte seguro das informaes ............................................................................................ 97
Utilizando a norma NBR ISO/IEC 27002 ................................................................................. 97
Identicao dos permetros de segurana ............................................................................ 98
Descarte seguro da informao .............................................................................................. 101
Referncias ................................................................................................................................. 102
Indicao de Sites ..................................................................................................................... 102

Segurana Fsica, Lgica e Controles de Acesso

Figuras ......................................................................................................................................... 104

Aula 10
Necessidade da implantao de sistemas de tolerncia a falhas ..................................................110
Cluster de alta disponibilidade ................................................................................................. 110
Tipos de tolerncias s falhas RAID ................................................................................... 110
RAID 1 ................................................................................................................................ 111
RAID 5 ................................................................................................................................ 112
Cluster .......................................................................................................................................... 113
Cluster de alta disponibilidade ........................................................................................ 113
Cluster de balanceamento de carga .............................................................................. 114
Cluster de alto desempenho ........................................................................................... 114
Referncias ................................................................................................................................. 115
Indicao de Sites ...................................................................................................................... 115
Figuras ......................................................................................................................................... 117
Aula 11
Processos de backup. Processos de recuperao de backup. Auditoria em processos de recuperao de backup e restore Segregao de funes .................................................................... 123
Processos de backups .............................................................................................................. 123
Backup full ................................................................................................................................... 123
Backup incremental ................................................................................................................... 124
Backup diferencial ...................................................................................................................... 124
Processos de recuperao de backups ................................................................................. 125
Processos de auditorias de backup ........................................................................................ 126
A realizao da auditoria de backup .......................................................................................126
Segregao de funes ............................................................................................................ 127
Referncias ................................................................................................................................. 129
Indicao de Sites ......................................................................................................................129
Figuras ......................................................................................................................................... 131

Segurana Fsica, Lgica e Controles de Acesso

Aula 12
Plano de continuidade de negcios (BCP/PCN) Sites de contingncia: sites de continuidade
operacional (hot site, cold site e warm site) ....................................................................................... 138
Requisitos empresariais para a continuidade de servios .................................................. 139
Sites de continuidade operacional cold site ....................................................................... 140
Sites de continuidade operacional warm site ..................................................................... 141
Sites de continuidade operacional hot site ......................................................................... 141
Referncias ................................................................................................................................. 142
Indicao de Sites ......................................................................................................................142
Figuras ......................................................................................................................................... 144
Aula 13
Segurana lgica: auditoria em controle de acesso lgico. Direitos e permisses: AAA (autorizao, autenticao e auditoria) .......................................................................................................... 150
Qual papel do AAA no ambiente? ........................................................................................... 151
Mtodos de autenticao ..........................................................................................................152
Procedimento de criao de usurios .................................................................................... 154
Criao de grupos de acesso lgico ...................................................................................... 155
Referncias ................................................................................................................................. 157
Indicao de Sites ......................................................................................................................157
Figuras ......................................................................................................................................... 159
Aula 14
Polticas de senhas de ambiente de ti e de desenvolvimento. Recomendaes de criao de senhas ...................................................................................................................................................... 166
Polticas de senhas do ambiente de TI .................................................................................. 166
O que torna uma senha forte recomendaes .................................................................. 167
Crie uma senha forte e fcil de lembrar em seis passos .................................................... 168
Estratgias de senha a evitar ...................................................................................................169
Referncias ................................................................................................................................. 171

Segurana Fsica, Lgica e Controles de Acesso

Indicao de Sites ...................................................................................................................... 171

Aula 15
Gerenciamento de acesso lgico: comprovao de privilgio de acesso Procedimentos de criao de usurios e grupo de acesso lgico. Processo de aprovao de criao de usurio .... 177
Comprovao de privilgios de acesso ................................................................................. 177
Procedimentos de criao de usurios e grupo de acesso lgico .................................... 179
Grupo de acesso lgico processo de criao e administrao ...................................... 180
Processo de aprovao de criao de usurio ..................................................................... 181
Referncias ................................................................................................................................. 182
Indicao de Sites ......................................................................................................................182
Figuras ......................................................................................................................................... 184
Aula 16
Grupo de administrao de recursos de recursos de TI. Procedimentos de criao de usurios
e grupo de acesso lgico Concesso de acessos autorizados atravs de documentao ...... 191
Concesso de acessos por meio de documentao ........................................................... 191
Referncias ................................................................................................................................. 196
Indicao de Sites ..................................................................................................................... 196
Figuras ......................................................................................................................................... 198
Aula 17
Hackers, ramicaes e estratgias de invases: principais invases nos ambientes ............. 203
Tipos de invasores .....................................................................................................................203
Principais invases nos ambientes ......................................................................................... 204
Varreduras de portas ....................................................................................................... 204
IP spoong ........................................................................................................................ 205
Ataques utilizando o RIP ................................................................................................. 205
Cavalo de troia .................................................................................................................. 205
Worm .................................................................................................................................. 206
Snifng ............................................................................................................................... 206

Segurana Fsica, Lgica e Controles de Acesso

Referncias

207

Indicao de Sites

207

Figuras

209

Aula 18
Controles de acessos fsicos: tipos de controles mais utilizados. Modelos de acesso RBAC
(role based access control), MAC (mandatory access control) e DAC (discretionary access
control) ..................................................................................................................................................... 215
MAC Mandatory Access Control

215

DAC Discretionary Access Control

216

RBAC Controle de Acesso Baseado em Funo (Role Based Access Control)

217

Referncias

219

Indicao de Sites

219

Figuras

221

Aula 19
Cuidados e controles de segurana fsica em equipamentos de proteo de energia eltrica
Monitorao do ambiente com CFTV Isolamento e proteo de reas crticas ......................... 227
Cuidados com a segurana fsica em equipamentos .......................................................... 227
Monitoramento com CFTV ....................................................................................................... 228
Referncias ................................................................................................................................. 230
Indicao de Sites ..................................................................................................................... 230
Figuras ......................................................................................................................................... 232
Aula 20
A importncia da conscientizao de pessoas nos ambientes com tecnologia e principais riscos
com engenharia social .......................................................................................................................... 237
Conscientizao de pessoas ................................................................................................... 237
Engenharia social ...................................................................................................................... 238
Redes sociais ............................................................................................................................. 239
Referncias ................................................................................................................................. 240
Indicao de Sites ..................................................................................................................... 240