Escolar Documentos
Profissional Documentos
Cultura Documentos
A importncia da conscientizao de
pessoas nos ambientes com tecnologia e
principais riscos com engenharia social
Um dos assuntos que necessitam de uma ateno muito especial a conscientizao de pessoas.
A conscientizao das pessoas dentro do ambiente corporativo um fator crtico de
sucesso para que se possa atingir um grande nvel de segurana da informao.
Iremos ver nesta aula que todos os assuntos discutidos no curso podem ter sucesso
apenas se houver uma grande conscientizao de todos os envolvidos.
Conscientizao de pessoas
Dentro do ambiente corporativo, dever haver um programa de conscientizao das
pessoas sobre o uso correto dos ativos da informao.
Esse programa apoiado pela norma NBR ISO/IEC 27002, que, em um dos seus
controles, se preocupa com a utilizao correta dos recursos, pois por meio dele podemos
ter acesso indevido ou mesmo uso incorreto, que gera uma ameaa s informaes da
companhia.
A norma tambm apoia um programa de processo disciplinar em caso de uma violao de polticas de segurana da informao, em que tenham sido transgredidas as regras
estabelecidas no uso indevido de ativos da informao.
O programa muito importante para que todos da companhia saibam de suas responsabilidades dentro do contexto de suas atribuies, e tenham plena conscincia de
que existe um programa disciplinar, nas leis vigentes de cada pas.
Engenharia social
Engenharia social engloba as prticas utilizadas para obter acesso a informaes
importantes ou sigilosas em organizaes ou sistemas por meio da enganao ou explorao da conana das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade,
ngir que um prossional de determinada rea etc. uma forma de entrar em organizaes que no necessita da fora bruta ou de erros em mquinas. Explora as falhas de
segurana das prprias pessoas que, quando no treinadas para esses ataques, podem
ser facilmente manipuladas.
Um engenheiro social no um prossional na engenharia social (a engenharia
social no uma faculdade, e sim um conjunto de tcnicas), mas trata-se de uma pessoa
que pode ter profundos conhecimentos em diversas reas; 99% das pessoas que praticam a engenharia social, de maneira benca ou no, trabalham em empresas de grande
ou mdio porte, visando buscar falhas em um sistema de segurana da informao para
elimin-las ou explor-las.
Uma das mais clssicas e antigas tcnicas utilizadas pelos engenheiros o poder
de persuaso. Um lme que estreou no ano de 2002 conta a histria de Frank William
Abagnale Jr., um jovem que se utilizava da engenharia social para realizar golpes na
dcada de 1960.
Entre seus principais golpes, ele desenvolveu uma tcnica que empregou durante
oito anos, pela qual se passou como mdico, piloto de avio, advogado e professor, convencendo todas as pessoas que cruzavam seu caminho.
Outro nome muito conhecido no mundo da engenharia social o do norte-america-
no Kevin Mitnick, que nos anos 1990 realizou inmeras fraudes, a maioria por meio da
engenharia social. Em uma de suas tcnicas, Mitnick se passava por algum que era do
corpo tcnico de uma empresa, entrando em contato com os prossionais da empresa, e
por meio da engenharia social conseguia senha e usurio de administrador dos sistemas,
endereo de rede e tudo o que pedisse, e assim realizava suas invases nos sistemas
desejados.
Redes sociais
Outro fator de grande preocupao nas empresas o crescente nmero de redes
sociais que esto tomando conta da web.
As redes sociais podem apresentar um grande perigo quanto ao acrscimo de informaes sigilosas das pessoas. Informaes sigilosas devem ser restritas em redes
sociais, pois por meio delas os engenheiros sociais podem se aproveitar e investir na vida
de sua vtima.
Referncias
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel
Books, 2000.
CARUSO, C.A.A. Segurana em informtica e de informaes. So Paulo: SENAC, 1999.
OLIVEIRA, Wilson Jos de. Segurana da informao tcnicas e solues. Florianpolis: Visual Books, 2001.
SANTOS, Alfredo. Gerenciamento de identidade. Rio de Janeiro: Brasport, 2007.337
SMOLA, Marcos. Gesto da segurana da informao uma viso executiva. Rio de
Janeiro: Editora Campus, 2003.
TERADA, Routo. Segurana de dados criptograa em redes. So Paulo: Edgard Blucher, 2000.
Indicao de Sites
Microsoft Technet. Acesso em: 20 abr 2010 - http://www.microsoft.com/brasil/athome/
security/privacy/password.mspx
http://www.cert.org/
http://www.infoexame.com.br
http://www.iso17799.hpg.ig.com.br/index.htm
http://www.sms.com.br
http://www.engetron.com.br
http://www.aceco.com.br
http://www.caviglia.com.br
http://www.isaca.com.br
http://www.modulo.com.br
http://www.drii.org
http://www.nbso.nic.br
http://www.abnt.org.br
http://www.b5c.com.br
Anotaes
Anotaes
Anotaes
Anotaes
ndice
Aula 01
A complexidade da segurana da informao nas empresas ............................................................ 3
Ambientes de negcios complexos, globalizao e a necessidade de proteo e adequao s leis e aos mecanismos regulatrios ................................................................................. 4
Referncias ..................................................................................................................................... 6
Indicao de Sites .......................................................................................................................... 6
Figuras ............................................................................................................................................. 8
Aula 02
Principais padres e normas relacionadas segurana da informao ........................................ 13
Norma de segurana da informao srie ABNT NBR ISO/IEC 27000 ..........................13
Payment Card Industry PCI .................................................................................................... 14
Lei SarbanesOxley .................................................................................................................... 16
Cobit 4.1 Control Objectives for Information and Related Technology ............................. 17
ITIL IT Infrastructure Library ................................................................................................... 18
Referncias ................................................................................................................................... 20
Figuras ........................................................................................................................................... 21
Aula 03
Poltica de segurana da informao ................................................................................................... 28
Referncias ................................................................................................................................... 32
Aula 04
Criao de normas de utilizao dos recursos fsicos dentro das empresas ................................ 37
Documentao de responsabilidade de uso segundo a iso/iec 27002 ............................... 37
Seo 7.1.2. Proprietrio dos ativos ................................................................................ 37
Seo 7.1.3. Uso aceitvel dos ativos ............................................................................. 38
Referncias ................................................................................................................................... 40
Aula 05
Mapeamento de processos de negcio, identicao e classicao da informao e a importncia para a continuidade de negcios. Identicao dos ativos que suportam os negcios
(relao de dependncia: processo de negcio, sistema e infraestrutura envolvida) .................. 45
Mapeamento de processos de negcio ................................................................................... 45
Identicao e classicao da informao e a importncia para a continuidade do negcio ......................................................................................................................................................46
Identicao dos ativos que suportam os negcios .............................................................. 47
Relao de dependncia: processo de negcio, sistema e infraestrutura envolvida ....... 47
Referncias ................................................................................................................................... 49
Figuras ........................................................................................................................................... 50
Aula 06
Inventrio de ativos de hardware e softwares: planos de controles e responsabilidades ........... 56
A importncia da iso 27002 e o framework itil para gesto de ativos ................................. 56
Inventrio de ativos de hardware e software: planos de controles e responsabilidade sobre o uso .......................................................................................................................................... 56
Planos de controles de ativos utilizando a ISO/IEC 27002 ............................................... 57
Responsabilidade sobre o uso de um ativo de TI .................................................................. 58
A seo da norma ISO/IEC 27002 gesto de ativos .......................................................... 59
ITIL gerenciamento da congurao ..................................................................................... 60
Atividades do gerenciamento da congurao ....................................................................... 60
Identicao .................................................................................................................................. 60
Controle ......................................................................................................................................... 61
Referncias ................................................................................................................................... 62
Figuras ........................................................................................................................................... 63
Aula 07
Anlise de riscos fsicos em infraestruturas de suporte aos ambientes de TI ............................... 69
Mapeamento e identicao de riscos fsicos e lgicos ....................................................... 69
Aula 12
Plano de continuidade de negcios (BCP/PCN) Sites de contingncia: sites de continuidade
operacional (hot site, cold site e warm site) ....................................................................................... 138
Requisitos empresariais para a continuidade de servios .................................................. 139
Sites de continuidade operacional cold site ....................................................................... 140
Sites de continuidade operacional warm site ..................................................................... 141
Sites de continuidade operacional hot site ......................................................................... 141
Referncias ................................................................................................................................. 142
Indicao de Sites ......................................................................................................................142
Figuras ......................................................................................................................................... 144
Aula 13
Segurana lgica: auditoria em controle de acesso lgico. Direitos e permisses: AAA (autorizao, autenticao e auditoria) .......................................................................................................... 150
Qual papel do AAA no ambiente? ........................................................................................... 151
Mtodos de autenticao ..........................................................................................................152
Procedimento de criao de usurios .................................................................................... 154
Criao de grupos de acesso lgico ...................................................................................... 155
Referncias ................................................................................................................................. 157
Indicao de Sites ......................................................................................................................157
Figuras ......................................................................................................................................... 159
Aula 14
Polticas de senhas de ambiente de ti e de desenvolvimento. Recomendaes de criao de senhas ...................................................................................................................................................... 166
Polticas de senhas do ambiente de TI .................................................................................. 166
O que torna uma senha forte recomendaes .................................................................. 167
Crie uma senha forte e fcil de lembrar em seis passos .................................................... 168
Estratgias de senha a evitar ...................................................................................................169
Referncias ................................................................................................................................. 171
Referncias
207
Indicao de Sites
207
Figuras
209
Aula 18
Controles de acessos fsicos: tipos de controles mais utilizados. Modelos de acesso RBAC
(role based access control), MAC (mandatory access control) e DAC (discretionary access
control) ..................................................................................................................................................... 215
MAC Mandatory Access Control
215
216
217
Referncias
219
Indicao de Sites
219
Figuras
221
Aula 19
Cuidados e controles de segurana fsica em equipamentos de proteo de energia eltrica
Monitorao do ambiente com CFTV Isolamento e proteo de reas crticas ......................... 227
Cuidados com a segurana fsica em equipamentos .......................................................... 227
Monitoramento com CFTV ....................................................................................................... 228
Referncias ................................................................................................................................. 230
Indicao de Sites ..................................................................................................................... 230
Figuras ......................................................................................................................................... 232
Aula 20
A importncia da conscientizao de pessoas nos ambientes com tecnologia e principais riscos
com engenharia social .......................................................................................................................... 237
Conscientizao de pessoas ................................................................................................... 237
Engenharia social ...................................................................................................................... 238
Redes sociais ............................................................................................................................. 239
Referncias ................................................................................................................................. 240
Indicao de Sites ..................................................................................................................... 240