Escolar Documentos
Profissional Documentos
Cultura Documentos
Ameaas Segurana
Ameaa algo que possa provocar danos segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade.
Em outras palavras, uma AMEAA tudo aquilo que pode comprometer a
segurana de um sistema, podendo ser acidental (falha de hardware,
erros de programao, desastres naturais, erros do usurio, bugs de software,
uma ameaa secreta enviada a um endereo incorreto, etc.) ou deliberada
(roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc. Como exemplos de ameaa podemos destacar:
concorrente, cracker, erro humano (deleo de arquivos digitais
acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio
insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software
(sniffer, cavalo de troia, etc.).
Basicamente existem dois tipos de ameaas: internas e externas.
Ameaas externas: so aqui representadas por todas as tentativas de
ataque e desvio de informaes vindas de fora da empresa. Normalmente
essas tentativas so realizadas por pessoas com a inteno de prejudicar a
empresa ou para utilizar seus recursos para invadir outras empresas.
Ameaas internas: esto presentes, independentemente das empresas
estarem ou no conectadas Internet. Podem causar desde incidentes
leves at os mais graves, como a inatividade das operaes da empresa.
A norma ABNT NBR ISO/IEC 27002 trata a avaliao dos riscos como uma
atividade fundamental para ajuste das necessidades de controles. Assim,
ANTES de se implementar qualquer controle, deve-se fazer uma anlise e
avaliao dos riscos de segurana.
Importante ressaltar que no h controles mnimos OBRIGATRIOS a
serem implementados, ou seja, nem todos os controles e diretrizes
contidos na norma podem ser aplicados. Alm disto, controles
adicionais e recomendaes no includos na norma podem ser
necessrios.
A ABNT NBR ISO/IEC 27002 NO uma norma impositiva, ela faz
recomendaes de segurana baseadas nas melhores prticas relacionadas
segurana da informao, de forma que qualquer empresa possa fazer a
implementao e a adaptao da norma de acordo com a sua convenincia ou
necessidade.
O processo de gesto dos riscos de uma empresa passa pelas etapas listadas
a seguir.
=>Estabelecimento de contexto para avaliao dos riscos, que envolve:
1) identificar uma metodologia de anlise/avaliao de riscos adequada ao
SGSI e aos requisitos legais, regulamentares e de segurana da informao
para o negcio;
2) desenvolver critrios para aceitao de riscos e identificar os nveis
aceitveis de risco (risco residual).
=>Identificao dos riscos
Gesto de ativos
Esta seo possui 2 categorias:
- responsabilidade pelos ativos;
- classificao da informao.
Esta seo da norma ABNT NBR ISO/IEC 27002:2005 possui 2 categorias, que
so: responsabilidade pelos ativos; e classificao da informao.
A norma ABNT NBR ISO/IEC 27002, destaca vrios tipos de ativos, como:
a) ativos de informao: base de dados e arquivos, contratos e acordos,
documentao de sistema, informaes sobre pesquisa, manuais de usurio,
material de treinamento, procedimentos de suporte ou operao, planos de
Controle de acesso
Esta seo possui 7 categorias:
- requisitos de negcio para controle de acesso;
- gerenciamento de acesso do usurio;
- responsabilidades dos usurios;
(CESPE/2010/ANEEL)
A gesto de continuidade de negcios complementar gesto de
riscos e tem como foco o desenvolvimento de uma resposta a uma
interrupo causada por um incidente de difcil previso, materializada
na forma de um plano de continuidade de negcios.
Os negcios da organizao podem ser interrompidos por uma grande
variedade de incidentes, como falhas tecnolgicas, atos de terrorismo etc.
No entanto, para a maioria desses incidentes, h como fazer uma previso e,
portanto, tomar medidas preventivas para evitar que realmente se tornem
realidade. Nesse contexto temos a gesto de riscos!! Mas como a
organizao precisa estar preparada para enfrentar situaes no previstas
que atinjam seus recursos de informao, para os incidentes de difcil deteco
(que no foram previstos e que podem causar uma interrupo) utilizamos a
gesto de continuidade de negcios, com o objetivo de fazer com que os
negcios da organizao no sejam interrompidos em virtude do incidente.
O Plano de Continuidade de Negcios, nesse contexto, ir listar as medidas
de resposta ao incidente que devem ser realizadas de forma que a organizao
continue trabalhando e, em seguida, volte situao anterior de normalidade.
(CESPE/2007/TCU)
(CESPE/2009)
A identificao de eventos que podem causar interrupes aos
processos de negcio e das probabilidades e impactos de tais
interrupes, associada s consequncias para a segurana de
informao, constitui atividade executada no mbito da gesto de
continuidade de negcios, embora se constitua, mais
especificamente, atividade de anlise de risco.
Segundo a NBR 15999, os testes devem ser realistas, planejados
cuidadosamente e acordados com as partes interessadas, de modo que haja
um risco mnimo de interrupo dos processos de negcio, e de forma a
minimizar a chance de que ocorra um incidente como resultado direto do teste.
Todo teste deve ter objetivos claramente definidos. Relatrios e anlises que
demonstrem se os objetivos do teste foram alcanados devem ser elaborados
aps o teste. Alm disso, importante que seja elaborado um relatrio
ps-teste, que contenha recomendaes juntamente de uma previso de
tempo para a implementao destas.
A escala e a complexidade dos testes devem ser apropriadas aos objetivos de
recuperao da organizao. O programa de testes deve considerar o papel de
todas as partes envolvidas, inclusive principais fornecedores, parceiros
terceirizados e outros que poderiam participar das atividades de recuperao.
A organizao deve inclu-los nos testes.
Observaes:
A norma 27002 (antiga 17999) mais fcil de ser obtida pela internet,
algumas empresas a disponibilizam na ntegra, apesar de isso ser proibido!
Veja por exemplo em
http://pt.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-
Informacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-
Seguranca-da-Informacao.
Comentrios
O termo pragas virtuais est associado aos malwares (combinao de
malicious software programa malicioso): so programas que executam
deliberadamente aes mal-intencionadas em um computador, como
vrus, worms, bots, cavalos de troia, spyware, backdoor, keylogger,
screenlogger.
Comentrios
Item I. A Criptografia a cincia e arte de escrever mensagens em forma
cifrada ou em cdigo. Os mtodos de criptografia atuais so seguros e
eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma
sequncia de caracteres, que pode conter letras, dgitos e smbolos (como uma
senha), e que convertida em um nmero, utilizado pelos mtodos de
criptografia para codificar e decodificar mensagens.
Cabe destacar ento que a principal finalidade da criptografia , sem
dvida, reescrever uma mensagem original de uma forma que seja
incompreensvel, para que ela no seja lida por pessoas no
autorizadas. E isso no suficiente para impedir a invaso de redes. Item
FALSO.
Item II. O certificado digital uma credencial eletrnica, no palpvel
gerada por uma Autoridade Certificadora (AC), que vincula a pessoa fsica ou
jurdica a um par de chaves sendo uma pblica e outra privada (ou secreta). O
certificado fica armazenado em dispositivos de segurana, como por ex.:
Token ou Smart Card, ilustrados na figura seguinte.
Token
Smart Card
Figura. Ilustrao de dispositivos de segurana
Quanto aos objetivos do certificado digital podemos destacar:
tansferir a credibilidade que hoje baseada em papel e conhecimento para
o ambiente eletrnico;
vincular uma chave pblica a um titular (eis o objetivo principal). O
certificado digital precisa ser emitido por uma autoridade reconhecida pelas
partes interessadas na transao, conforme visto na prxima figura.
Chamamos essa autoridade de Autoridade Certificadora, ou AC.
Um certificado contm:
Item VERDADEIRO.
A seguir, irei explicar primeiramente o item IV, em seguida, passamos aos
comentrios do item III, para uma melhor compreenso.
Comentrios