Escolar Documentos
Profissional Documentos
Cultura Documentos
JOAQUIM CHISSANO
Segurança de
Sistema
Tema 1 –
Segurança da
Informação nas
Organizações
Sérgio Simbine
sergio.simbine@gmail.com
Fevereiro, 2020
1
Agenda
Apresentação
Introdução
Conceitos gerais sobre Segurança da Informação
Leitura recomendada
Considerações finais
Referências bibliográficas
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 2
Apresentação
Sérgio Simbine
Mestre em Sistemas de Informação pela UEM;
Membro do ISACA – Information Systems Audit and Control
Association (ISACA ID 748519);
Certified in Information System Auditor (CISA) – pela ISACA;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 3
Introdução
Objectivos:
Apresentar e discutir os principais conceitos relacionados a Segurança
de Sistemas de Informação;
Relacionar esses conceitos com a realidade do aluno e das
organizações;
Propiciar uma visão integrada (ciclo de segurança de Sistemas de
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 4
Conceitos gerais SegSI
Segurança de Sistemas de Informação:
“É a proteção da informação contra vários tipos de ameaças para
garantir a continuidade do negócio, minimizar riscos, maximizar o
retorno sobre os investimentos e as oportunidade de negócios” [ISO
27002].
“É a área do conhecimento dedicada á protecção dos activos de
informação contra acessos não autorizados, alterações indevidas ou
sua indisponibilidade”.
As informações podem existir em diversas formas;
O mesmo ocorre com as vulnerabilidades e ameaças;
A pergunta chave: O que e como devemos proteger?
(Actividade 0)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 5
Conceitos gerais SegSI
Segurança de Sistemas de Informação:
“É a protecção da informação contra vários tipos de ameaças
para garantir a continuidade do negócio, minimizar riscos,
maximizar o retorno sobre os investimentos e as oportunidade
de negócios” [ISO 27002].
As informações podem existir em diversas formas;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 6
Conceitos gerais SegSI
Cliclo de Vida de Segurança:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 7
Conceitos gerais SegSI
Princípios (propriedades) básicas da SegSI:
Confidencialidade - Certeza de que o que foi dito, escrito ou falado será acedido
Integridade:
Garantia de que a informação não foi alterada (de forma indevida ou não-autorizada);
Disponibilidade:
Garantia de que a informação será acedida quando necessário;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 8
Conceitos gerais SegSI
Confidencialidade
Somente pessoas explicitamente autorizadas podem
ter acesso à informação
Quebra de confidencialidade
Conversas no elevador, restaurantes, etc. sobre
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 9
Conceitos gerais SegSI
Integridade:
A informação acedida é completa, sem alterações ou distorções, e
portanto, confiável. Mesmo estando errada.
Quebra de Integridade
Falsificação de documentos;
Alteração de registos na Base de Dados
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 10
Conceitos gerais SegSI
Disponibilidade:
necessário.
Quebra de disponibilidade
Sistema fora do ar;
Perdas de documentos;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 11
Conceitos gerais SegSI
Princípios (propriedades) básicas da SegSI:
ser ...);
Autorização (concessão de permissões ...);
(Actividade 01)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 12
Conceitos gerais SegSI
Activos:
Qualquer elemento que tenha valor para a organização [ISO 27002];
Os ativos fornecem suporte aos processos de negócios, portanto devem ser protegidos.
• Os ativos são os elos da corrente e estes sempre trarão consigo vulnerabilidades que, por
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 13
Conceitos gerais SegSI
Categoria de Activos:
Os activos podem ser classificados / agrupados de diversas formas:
Informações; Hardware; Software; Ambiente Físico; Pessoas;
etc.;
Lógicos: informações armazenadas em uma rede, sistema ERP (sistema de gestão integrada), etc.;
Humanos: funcionários.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 14
Conceitos gerais SegSI
Vulnerabilidades:
Fragilidade de um activo ou grupo de activos que pode ser explorada por uma ou mais
“ Fraquezas inerentes aos activos de informação que podem ser exploradas por ameaças
ocasionando um incidente de segurança da informação. É possível que um activo de
informação possua uma vulnerabilidade que , de facto, nunca será efectivamente explorada
por uma ameaça.”
Tipos de Vulnerabilidades:
Físicas; naturais; hardware e software e humanas;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3ºano do Curso de Engenharia de TSI na UJC - 2020 15
Conceitos gerais SegSI
Tipos de Vulnerabilidades:
Vulnerabilidades de Hardware - Compreendem possíveis defeitos de fabricação, erros de configuração ou falhas nos
equipamentos. Como exemplos citam-se erros decorrentes da instalação, desgaste, obsolescência ou má utilização do
equipamento.
Vulnerabilidades de Software - São possíveis falhas de programação, erros de instalação e configuração, que podem, por
magnéticas, discos rígidos dos servidores, etc.) em que estão armazenadas as informações, como também o armazenamento de
fitas em local inadequado.
Vulnerabilidades de Comunicação - Relacionadas com o tráfego de informações, independente do meio de transmissão,
podendo envolver ondas de rádio, satélite, fibra óptica etc. Podem, por exemplo, permitir acesso não autorizado ou perda de
dados durante a transmissão de uma informação.
Vulnerabilidades Humanas - Relacionadas aos danos que as pessoas podem causar às informações e ao ambiente tecnológico
que as suporta, podendo ser intencionais ou não. Podem ocorrer devido a desconhecimentos das medidas de segurança, falta de
capacitação para execução da tarefa dentro dos princípios de segurança, erros e omissões.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 16
Ameaças
Conceitos gerais SegSI
Causa potencial (agente) de um incidente indesejado, que pode resultar em dano
para um sistema ou organização [ISO 27002];
A segurança da informação precisa prover mecanismos para impedir que as
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 17
Conceitos gerais SegSI
Tipos de Ameaças
Ameaças externas: São aqui representadas por todas as tentativas de ataque e
desvio de informações vindas de fora da empresa. Normalmente essas tentativas são
realizadas por pessoas com a intenção de prejudicar a empresa ou para utilizar seus
recursos para invadir outras empresas.
Ameaças internas – estão presentes, independentemente das empresas estarem ou
não conectadas à Internet. Podem causar desde incidentes leves até os mais graves,
como a inactividade das operações da empresa.
Involuntárias;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 18
Conceitos gerais SegSI
Ameaças em Sistemas Computacionais
Vazamento – Ocorre quando o utilizador legítimo (autorizado) fornece
informação para um ou mais receptores não autorizados . Isto pode
ocorrer propositadamente ou não.
Violação – Ocorre quando uma informação legítima sofre alteração
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 19
Conceitos gerais SegSI
Ameaças
São três aspectos básicos que um sistema de segurança da informação deve
atender para evitar a concretização dessas ameaças: Protecção, Detecção e
Recuperação
Violação – Ocorre quando uma informação legítima sofre alteração
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 20
Conceitos gerais SegSI
Ameaças à segurança
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 21
Conceitos gerais SegSI
Evento de Segurança da informação:
Uma ocorrência identificada de um estado de sistema, serviço ou rede,
indicando uma possível violação da política de segurança da informação ou
falha de controlos que possa ser relevante para a segurança da informação
[ISO 27000:2009].
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 22
Conceitos gerais SegSI
Exemplo:
(Actividade
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 23
Conceitos gerais SegSI
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 24
Conceitos gerais SegSI
Probabilidade:
“ È a chance que um incidente de segurança da informação tem de
acontecer, considerando o grau das vulnerabilidades presentes nos
activos de informação e o grau das ameaças que possam explorar essas
vulnerabilidades. Mas esses graus são relativos , ou seja, mesmo as
mais baixas vulnerabilidades poderão representar probabilidades
consideráveis, se o grau da ameaça for muito grande”.
“ A probabilidade do pão cair com
o lado da manteiga virado para baixo
é proporcional ao valor do carpete”
Joseph Murphy
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 25
Conceitos gerais SegSI
Impacto:
“ Resultado da acção bem sucedida de uma ameaça ao explorar as vulnerabilidades de um
activo, atigindo assim um ou mais conceitos da segurança da informação. O impacto se
denomina pelos danos/prejuízos causados por um incidente de segurança ocorrido no
negócio/organização”.
O tamanho ou grau de um impacto no negócio da organização depende do grau da
relebvância dos activos de informação para os processos da organização, ou seja, quanto
maior for a relevância do activo para a organização, maior será o impacto de um incidente
de segurança caso este venha a acontecer.
É preciso definir um grau de impacto para cada incidente de segurança da informação que
possa vir a ocorrer. Este grau de impacto será de extrema importância para o cálculo do
risco.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 26
Conceitos gerais SegSI
Controlos:
Medidas de segurança são práticas, procedimentos e mecanismos utilizados
Tipos de controlos:
Técnicos, administrativos e de gestão;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 27
Conceitos gerais SegSI
(Actividade 2)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 28
Conceitos gerais SegSI
Informação:
Na gestão empresarial moderna, a informação é tratada como um importante activo da
empresa. Essa informação pode ser impressa, manuscrita, gravada em meios magnéticos, ou
simplesmente ser do conhecimento dos funcionários (falada). Essas informações (ou
activos), também podem ser classificadas de acordo com o eventual impacto negativo
gerado decorrente de acesso, divulgação ou conhecimento não autorizado. Podemm por
exemplo ser classificadas como confidenciais ou restritas , internas ou públicas.
A divulgação ou conhecimento não autorizado desses activos pode gerar impactos dos mais
variados, dentre os quais cita-se: problemas financeiros, queda na produtividade, riscos para
o negócio, perda de credibilidade, desgaste da imagem, etc. A segurança da informação,
mais que um problema de utilização de tecnologias, deve ser encarrada como a gestão
inteligente da informação em qualquer ambiente.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 29
Conceitos gerais SegSI
Classificação da Informação:
A Classificação da informação é o proceso de identificar e definir níveis e critérios de protecção adequada para a
informação, objectivando garantir a segurança da mesma. Uma organização precisa ser capaz de identificar o valor de
sua informação para garantir sua confidencialidade, integridade e disponibilidade.
O objectivo principal dessa classificação está em priorizar recursos, focando os investimentos na informação mais
Activos físicos: equipamentos computacionais (processadores, monitores), equipamentosde comunicação (roteadores, hubs), mídia
integridade e disponibilidade que a informação tiver no momento. Por exemplo, a informaçãp sobre um novo produto de
uma empresa que ainda será lançado comercialmente. Esta informação no momento anterior ao lançamento é
considerada confidencial, mas no momento em que este produto é divulgado publicamente, esta informação passa a ser
pública.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 30
Conceitos gerais SegSI
Classificação da Informação:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 31
Conceitos gerais SegSI
Critérios de Classificação da Informação:
Os Critérios de classificação definem qual o tratamento de segurança que uma informação receberá, ou seja, quanto será preciso investir em
segurança para garantir a confidencialidade, integridade e disponibilidade dessa informação, objectivando sempre oriorizar recursos. Assim, a
informação pode ser classificada quanto a:
Confidencialidade – Classificar a informação levando em consideração a gravidade do impacto ou prejuízo que a revelação não autorizada da
mesma trará para a organização. Podem se definir três níveis de classificação quanto a confidencialidade:
Confidencial – é toda informação considerada de alto risco para a empresa, pois sua revelação não autorizada pode trazer graves prejuízos .
Geralmente estas informações são acedidas pela alta administração (Conselho de Administração, Presidência, Directores, Administradores....);
Restrita - é toda a informação considerada de médio e baixo risco para a empresa , pois sua revelação não autorizada pode trazer prejuízos a uma
determinada área da empresa. Geralmente estas informações são acedidas pelas áreas envolvidas na geração e uso destas informações, pelos gestores
da área e pela alta administração;
Pública - é toda informação considerada de nenhum risco para a empresa e sua revelação não autorizada não traz nenhum prejuízo. Estas informações
Não Crítica – é toda a informação que, se alterada sem prévia autorização, não representa nenhum risco para a empresa.
Disponibilidade – Classificar a informação levando em consideração a gravidade do impacto ou prejuízos que a indisponibilidade da
Não Vital – é toda a informação que em caso de indisponibilidade não representa nenhum risco para a empresa.
Classificação padrão – Todas as informações que não forem classficadas deverão entrar no nível padrão de classificação.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 32
Conceitos gerais SegSI
Funções e Responsabilidades
Em um processo de classificação da informação deve-se definir as funções e os responsáveis por cada
etapa desta classificação, ou seja, deve-se definir quem classifica, quem armazena, quem actualiza, etc.
Proprietários – são considerados proprietários da informação os gestores das áreas geradoras das
Implementação da política ;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 33
Conceitos gerais SegSI
Gestão da Segurança da Informação
A gestão da segurança da informação desempenha um papel prepoderante nas organizações,
princípios de gestão de riscos dos activo da organização, mitigar esses riscos para um nível
aceitável, conforme determinado pela gestão e monitoria dos correspondente risco residual.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 34
Conceitos gerais SegSI
Análise de Impacto no Negócio ou Business Impact Analysis - BIA:
“ É um processo administrativo, uma ferramenta de gestão , que tem como finalidade identificar e analisar
os processos de um negócio /actividade (incluíndo os recursos necessários), com o objectivo de
compreender o impato do tempo de inactividade, e estabelecer objectivos de recuperação e priorização”.
A BIA é um processo de análise das actividades e dos efeitos que uma interrupção de negócio pode ter
sobre elas, é o ponto de partida da Gestão de Continuidade de Negócios , sendo considerado o processo
mais importante dentro do ciclo de gestão.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 35
Conceitos gerais SegSI
A Análise de Impacto no Negócio Identificará:
Critérios para aferir a relevância e criticidade dos processos;
Impactos financeiros (perdas) que poderiam ocorrer se estes processos fossem suspensos; e
Impactos operacionais (segurança, por exemplo) legais de imagem (como “satisfação do Cliente”) finalizando com a
Na análise de Impacto de Negócios deve ser contemplado o tempo real de recuperação para cada actividade crítica dentro
da organização. Para tal, os aspectos a seguir devem ser considerados:
Identificação de riscos e definição de cenários possíveis de falha para cada processo crítico, levando em conta a
Custos inerentes e os limites máximos aceitáveis de permanência da falha sem a activação da respectiva medida de
contigência.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 36
Conceitos gerais SegSI
A Análise de Impacto no Negócio deve contemplar:
Breve resumo dos processos críticos e descrição das principais actividades;
Perfil e quantidade dos profissionais envolvidos;
Critérios para a priorização dos processos em face do tipo de impacto (financeiro, legal, operacional ou imagem);
Definição de nível de criticidade , ou seja da gravidade das consequência do impacto, paa cada atributo(impacto no sector e impacto corporativo, por exemplo);
Determinação dos acordos com fornecedores e parceiros externos externos de produtos e serviços dos quais as actividades críticas dependam.
Danos à reputação;
Danos ambientais.
Apartir do BIA, a entidade deve identificar as medidas que reduzam o período de ointerrupção(mitigação de +erdas e tratamento de riscos) e seus custos.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 37
Fases da implantação da Análise de Impacto no Negócio – BIA:
Conceitos gerais SegSI
a) Definição do Projecto – a entidade deve definir o responsável pela sua implementação e sua autoridade, escopo (âmbito), objectivos e prazos;
b) Elaboração do questinário – A elaboração de um questionário para cplecta das informações subsidia a análise do BIA na identificação dos impactos resultantes
de interrupções ao longo do tempo , dos recursos necessários para recuperação e da existência ou não de rotinas para situações de contigência.
É uma boa prática conjugar no questionário questões qualitativas e quantitativas.
Não existe uma receita de questionário pronta, aplicável a qualquer organização, no entanto os seguintes itens podem constae do questionário:
o Número de colaboradores encolvidos;
o Custo da operação por período;
o Prejuízo por tempo parado;
o Aspectos legais de uma interrupção de serviço;
o Aspectos de imagens e demais prejuízos intagíveis.
Elaboradas as questões, os critérios devem ser definidos: se o entrevistado responder perguntas pela atribuição de valores, por exemplo, de 1 a 5 , é
imprescindível explicar a distinção destas cinco notas. Não é raro que o mesmo evento seja avaliado de uma forma pelos colaboradores de nível funcional mais
operacional e de outra pela alta administração.
c) Entrevista – Elaborado o questionário, parte-se para a entrevista . Os melhores resultados , com esclarecimento de questões e respostas coerentes, são obtidos
quando a entrevista é realizada directamente com o responsável por uma actividade crítica.IA devem ser observados os seguintes aspectos:
d) Determinação do Tempo de recuperação – Determinação dos “tempos reais de recuperação”(RTO- Recovery Time Objectives) somente depois de identificadas
todas as interdências processuais.
O Recovery Time Objective – RTO ou tempo real de recuperação é o período dentro do qual um processo deve ser restabelecido após um incidente, afim de
evitar consequências inaceitáveis relacionadas com uma quebra na continuidade dos negócios.
Pode incluir o tempo para tentar corrigir o problema sem uma recuperação, a recuperação em si, testes e comunicação para os utilizadores.
A título de exemplo, com o resutado do questionáio é possível concluir que para a actividade rítica “A”o tempo máximo aceitável de tnterrupção é de dois
dias, porém , o tempo máximo aceitável de interrupção para a actividade crítica “B” é de um dia.
Além disso, esta actividade não pode ser recuperada sem a ajuda da activiadade crítica “A”. Isso significa que o tempo real de recuperação para “A” será um
dia e não dois.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 38
Conceitos gerais SegSI
Fases da implantação da Análise de Impacto no Negócio – BIA: (continução)
e) Estabelecimento do “ponto real de recuperação” – Estabelecimento do “ponto real de recuperação” (RPO – Recorevery Point Objective) é definido pelo
período máximo de tolerância em que informações podem ser perdidas ou ficarem ndisponíveis devido a um incidente.
(Actividade 3)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 39
Conceitos gerais SegSI
Plano de Continuidade de Negócios (BCP):
Para garantir a continuidade de serviços, um BCP deve ser escrito para minimizar o impacto das disrupções de serviços. Esse plano
deve ser baseado no plano da àrea de TI de longo prazo e deve estar apoiado e alinhado com o estratégia geral de continuidade dos
Realizar avaliação de risco - identificar e priorizar os sistemas e outros recursos necessários para apoiar negócios críticos
Preparar Análise de Impacto nos Negócios (BIA) ou o efeito da perda de processos críticos de negócios e seus componentes de
suporte.
Escolher controlos e medidas apropriados para recuperar os componentesde TI (e não só) para dar suporte aos processos críticos
de negócios.
Desenvolver um Plano detalhado para as funções críticas de negócios continuem a operar a um nível aceitável (BCP).
Actulaizar os Planos sempre que se verificarem alterações ou novos desenvolvimentos nos negócios e nos sistemas.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 40
Conceitos gerais SegSI
Plano de Recuperação de Desastres (DRP):
DRP, enquanto suporte às operações comerciais / provisionamento de serviço de IT, é um elemento de um Sistema de Controlo Interno estabelecido para gerir
disponibilidade e restaurar Processos de serviços críticos; em caso de uma eventual de interrupção. O objectivo desse processo de planeamento contínuo é
garantir a implementação de controlos eficientes (custos versus benefícios) para evitar possíveis problemas de TI bem como recuperar a capacidade operacional
da organização, em especial da área de IT, no caso de ocorrência de um evento que cause a interrupção na disponibilização dos serviços.
A importância da disponibilidade de aplicativos individuais dependem da criticidade dos respectivos processos de negócios que eles suportam. A importância
e urgência desses processos de negócios e serviços e aplicativos de TI correspondentes podem ser definidos através da realização de um BlA e da atribuição de
RPOs e RTOs.
A disponibilidade de dados comerciais e capacidade de processar e manipular são vitais para o desenvolvimento sustentável e sobrevivência de qualquer
organização, daí que, planear (prevêr) desastres é, portanto, uma parte importante do processo de gestão de riscos e de BCP.
DRP é um processo contínuo. Uma vez defina a criticidade dos processos de negócios processos, dos serviços de suporte, dos sistemas e dados de TI, deverá ser
periodicamente revista e actualizada. Podem ser indicados pelo menos dois resultados (outputs) do DRP, designadamente:
Alterações na infra-estrutura de TI (servidores, redes, armazenamento de dados sistemas, ctc.), mudanças nos processos de suporte (aumento do nível de
maturidade), procedimentos e estrutura organizacional (por exemplo novas atribuições/papéis). Essas mudanças são combinados no Programa Director de
Planos (DRP) desenvolvidos como parte desse processo que direcionam a resposta a incidentes que variam de emergências simples a desastres complexos
ou interrupções totais. O DRP abrange desde o nível departamental, procedimentos modulares e de vários níveis que cobrem diferentes localizações com
O objectivo final do processo de DRP é responder a incidentes que podem impactar as pessoas e a capacidade de a organização entregar bens e serviços ao
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 41
Conceitos gerais SegSI
Relação entre RTO e RPO:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 42
Conceitos gerais SegSI
Alternativas de Recuperação (Recovery Alternatives):
Quando as instalações normais de produção se tornam indisponíveis, a organização pode utilizar outras alternativas
de instalações credenciadas para executar o seu processamento até que as principais Instalações possam ser
Cold Sites;
Mobile Sites;
Warm Sites;
Reciprocal Agreements;
Hot Sites;
Mirrored Sites.
(Actividade 4)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 43
Conceitos gerais SegSI
Elementos-Chave para a Gestão da Segurança de informação:
Falhas se segurança podem ser despendiosas para a organização/negócio. Perdas podem resultar de falhas de
segurança propriamente ditas, ou como resultado do processo de recuperação após a ocorrêcia de um incidente,
seguidas por mais custos na adequação dos controlos e medidas de prevenção para novas falhas não ocorram. A
seguir estão indicados os elementos-chave para uma adequada gestão da segurança de informação:
Políticas e procedimentos;
Estrutura orgâncica adequada (existência de umaárea que zela pela segurança na organização);
Monitorização e Conformidade;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 44
Conceitos gerais SegSI
Normas (Standards):
Normas são entendidas como um conjunto de regras ou orientações que visam qualidade, na actuação de uma tarefa. As
normas em estudo visam tornar o ambiente computacional das organizações mais seguro com relação a mitigar os
incidentes computacionais, além de orientar sobre acções a serem tomadas, quando estes incidentes ocorrem.
Aplicar normas de segurança em um ambiente computacional é mais do que um modismo, é uma forma de garantir a
existência de coerência nas acções dos coordenadores e executores das tarefas de administração dos ambientes
computacionais. Adoptar padrões (normas ou standards) reconhecidamente eficientes minimiza a ocorrência de problemas
de incidentes relacionados às operações sustentadas por computadores.
O principal objectivo da Norma é estabelecer um referencial para as organizações desenvolverem, implementar e
avaliarem a gestão da segurança de informação.
Nota: A Tecnologia por si só não garante segurança da informação - os dois itens mais importantes
na hora de manter a informação da organização segura são: a elaboração de políticas de segurança
e a gestão de suprte adequados, seguido do nível de consciencilalização dos funcionários.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 45
Conceitos gerais SegSI
Alguns Standards de Segurança:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 46
Conceitos gerais SegSI
Alguns Standards de Segurança:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 47
Conceitos gerais SegSI
Conclusão:
A Segurança da informação é um processo que envolve todas
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 48
Conclusão:
Conceitos gerais SegSI
(Actividade 5)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 49
Segurança Ciberbética
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 50
Segurança Ciberbética
Cibersegurança:
Cibersegurança (também chamada Segurança Cibernética), refere-se às práticas empregadas para garantir a
integridade, confidencialidade e disponibilidade da informação. Ela é composta por um conjunto de ferramentas,
abordagens de gestão de risco, tecnologias, treinamento e métodos para proteger redes, dispositivos, programas e
dados contra ataques ou acesso não autorizado.
Ciber segurança é o conjunto de tecnologias , processos e práticas desenhado para proteger as redes, os
computadores e outros dispositivos electrónicos, programas e dados, de potencias ataques ou ameaças.
Na prática, garantir segurança cibernética em uma empresa/organização, por exemplo, requer a coordenação de
esforços em todo o sistema de informação, que inclui:
Segurança de aplicativos;
Segurança da informação;
Segurança de rede;
Recuperação de desastres/planeamento de continuidade de negócios;
Segurança operacional;
Educação do utilizador final.
(Actividade 06)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 51
Segurança Ciberbética
Abordagens mais comuns de Cibersegurança:
Aqui estão as frentes de Cibersegurança que mais comumente são adoptadas nas empresas:
Network Security (Segurança de Rede): protege o tráfego de rede controlando as conexões de entrada e saída para
impedir que as ameaças entrem ou se espalhem na rede;
Data Loss Prevention (Prevenção de Perda de Dados): protege os dados concentrando-se na localização, classificação e
monitoramento das informações em repouso, em uso e em movimento;
Cloud Security (Segurança na Nuvem): fornece protecção para dados usados em serviços e aplicativos baseados em
nuvem;
Adopção de sistemas de detecção de intrusão ou sistemas de prevenção de invasão: trabalham para identificar
actividades cibernéticas potencialmente hostis;
Gestão de Identidades e Acesso: serviços de autenticação para limitar e rastrear o acesso de funcionários para proteger
sistemas internos contra entidades maliciosas;
Criptografia: processo de codificar dados para torná-los ininteligíveis e é usado frequentemente durante a transferência de
dados para evitar roubos em trânsito;
Soluções antivírus / antimalware: aplicações que examinam os sistemas em busca de ameaças conhecidas — as mais
modernas são capazes de detectar ameaças anteriormente desconhecidas com base em seu comportamento.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 52
Segurança Ciberbética
Ameaças mais comuns no Ciberespaço:
Método Definição
Engenharia Social Técnica usada na obtenção de informações confidenciais, através da
exploração do conhecimento ou confiança das pessoas.
Man-in-the-middle Forma de ataque, em que é interceptada e retransmitida informação
trocada entre duas partes num dado canal.
Man-in-the-browser Consiste na infeção (normalmente, um trojan) do computador da
vítima e que é capaz de modificar as comunicações entre o cliente e o
servidor de uma maneira imperceptível, quer para a vítima quer para
a aplicação.
Trojan Programa malicioso introduzido num computador sem que a vítima
saiba, com o objectivo de abrir uma ligação com o computador do
invasor e, assim, este ter total controlo do computador da vítima.
Worms Programa idêntico a um vírus com a capacidade de replicar-se num
sistema inteiro. O objectivo pode ser, por exemplo, sabotar um
sistema informático até apagar todos os dados contidos nele.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 53
Segurança Ciberbética
Ameaças mais comuns no Ciberespaço (Cont.):
Método Definição
Virus Pedaço de software malicioso com a finalidade de infetar um
computador e que este se espalhe por outros computadores.
Phishing Técnica que tenta obter dados pessoais, através do envio de e-mails
fraudulentos que tentam fazer passar-se por uma pessoa ou empresa
de confiança e, deste modo, enganar a vítima.
Keylogger Programa capaz de capturar todas as teclas marcadas pelo utilizador.
Spyware Programa de computador que é instalado no computador da vítima e
tem a capacidade de recolher informações sobre a mesma e depois
envia esses dados para outra entidade.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 54
Segurança Ciberbética
Ameaças mais comuns no Ciberespaço (Cont.):
Método Definição
Botnet Conjunto de computadores infectados que são controlados remotamente, funcionando, por exemplo,
como um exército de computadores que realizam diversas tarefas como enviar e-mails com spam,
propagação de malware.
Clickjacking Método que utiliza as acções de um utilizador numa determinada página web para realizar operações
maliciosas. O atacante coloca um iframe num elemento clicável, por exemplo, um botão, de forma a
conseguir que a vítima clique nesse iframe e o invasor, sem o conhecimento da vítima, realize uma
operação por si definida.
Negação de É um ataque que consiste em fazer diversas tentativas ao computador/serviço alvo (ex. servidor web)
para que tenham dificuldade ou mesmo sejam impedidos de executar suas tarefas, por outras palavras,
Serviço sobrecarregam os sistemas. Uma variante deste ataque, muito utilizado, é o DDoS (Negação de
Serviço Distribuído): é um ataque em rede, em que um computador mestre controla um certo número
de computadores cliente para inundar o alvo com tráfego, através da utilização de um software
específico para o efeito.
SQL Isso acontece quando o invasor insere código malicioso em um servidor que usa o Structured Query
Language. As SQL Injections só são bem-sucedidas quando existe vulnerabilidade de segurança.
Injection Nesse caso, o ataque forçará o servidor a fornecer acesso ou modificar dados.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 55
Segurança Ciberbética
Exposição e questões relacionadas com o Crime Informático:
Os sistemas Informáticos (computadores no geral) podem ser usados para roubar dinheiro, mercadorias, software ou informação corporativa. Crimes informáticos podem ser também
cometidos quando as aplicações informáticas (sistemas), são manipulados para processarem dados falsos ou transacções não autorizadas. Também podem ser usados não técnicos – como
é o caso do roubo do próprio equipamento informático (computador por exemplo).
O crime informático pode ocorrer sem que não tenha sido furtado ou roubado absolutamente nenhum recurso físco ou equipamento, podendo este crime realizado a partir de qualquer
local, escritório, casa ou mesmo um café.
Os cibercriminosos tomam vantagem de lacunas existentes na legislação dos diferentes países ao planear ataques cibernéticos, a fim de evitar que sejam responsabilizados
criminalmente.
Cometer crimes que exploram os sistemas informáticos ou recursos computacionais pode atentar contra a reputação, moral ou mesmo a continuação da existência ou operação da
orhanização, perda de clientes ou mercado, constrangimento à gestão e ações legais. Ameaças ao negócio ou organização resultantes de crimes informáticos incluem os seguintes:
Perdas financeiras;
Colaboradores ligados à área de Informática;
Repercussões legais;
(Actividade 07)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 56
Segurança Ciberbética
Taxonomia para incidentes de segurança Cibernéticos:
Classe de Tipo de incidente Classe de Incidente Tipo de incidente
Incidente
Intrusão Exploração de Vulnerabilidade;
Código Malicioso Infecção;
Compromisso de Conta
Distribuição;
Sabotagem autorizada
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 57
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 58
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 59
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:
(Actividade 8)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 60
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 61
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 62
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 63
Segurança Ciberbética
Factos importantes: Cibersegurança em África
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 64
Segurança Ciberbética
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 65
Segurança Ciberbética
Abordagem de Segurança coordenada:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 66
Segurança Ciberbética
Soluções de segurança sincronizada (SOPHOS):
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 67
Segurança Ciberbética
Soluções de segurança sincronizada (SOPHOS):
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 68
Segurança Ciberbética
A CISCO garante que a organização veja de forma centralizada o datacenter até a nuvem:
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 69
Segurança Ciberbética
Solução: Rede + Segurança
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 70
Segurança Ciberbética
Internet Gateway
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 71
Segurança Ciberbética
Internet Gateway
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 72
Segurança Ciberbética
Ameaças bloqueadas (diariamente):
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 73
Segurança Ciberbética
Amostras de malware exclusivas (diariamente):
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 74
Segurança Ciberbética
URLs Processadas (diariamente):
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 75
Segurança Ciberbética
Messagens de e-mail scaneadas (diariamente):
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 76
Segurança Ciberbética
Alguns Standards de Segurança Cibernética:
COBIT 5
COBIT é uma estrutura emitida pela ISACA (Information Systems Audit and Control Association) que se concentra na governação de
TI corporativa reflectindo o papel fundamental que a tecnologia da informação tem em organizações modernas e baseia-se no
conceito de gestão de riscos e mantendo os serviços a um nível aceitável. Sua principal característica é fornecer o alinhamento entre
os objectivos estratégicos da organização e o uso de TI.
http://www.isaca.org/COBIT/Pages/default.aspx
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 77
Segurança Ciberbética
Alguns Standards de Segurança Cibernética:
ISO/IEC 27032
A norma ISO/IEC 27032- Guidelines for cybersecurity (Directrizes para a segurança cibernética), está alinhada com o "espírito" de segurança da
informação inerente à família das normas internacionais 27000, e fornece orientação sobre as seguintes áreas centrais da Segurança Cibernética:
Segurança da Informação
Segurança de rede
Segurança da Internet
A relação entre segurança cibernética e outros tipos de segurança
Problemas comuns de segurança cibernética e como resolvê-los.
CIIP (protecção de infra-estrutura de informação crítica)
Adicionalmente, a norma ISO / IEC 27032: 2012 oferece conselhos práticos sobre como minimizar riscos cibernéticos e orientação para o
gerenciamento de um programa de segurança cibernética.
https://www.iso.org/standard/44375.html
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 78
Segurança Ciberbética
Modelos de maturidade de Segurança Cibernética:
A avaliação da Segurança Cibernética (SegCiber) nas organizações pode ser realizada por meio de um
modelo de maturidade, que fornece um ponto de referência para conhecer o nível de suas práticas,
processos e métodos para, então, definir metas e prioridades de melhoria.
Um modelo de maturidade pode ajudar as organizações públicas a avaliarem o seu estado actual e a
necessidade de um modelo desse tipo surge em decorrência da dependência tecnológica dessas
organizações.
Com tantas ameaças por aí, é essencial aprender como se proteger de violações de segurança
cibernética. Para se proteger de tais riscos, é importante ter uma base sólida de segurança
cibernética que atenue o risco de um ataque. Além disso, existem algumas dicas que devem ser
úteis para todos que usam a rede e todos os tipos de dispositivos da Internet:
Instale e actualize regularmente o software antivírus para todos os computadores usados nos
negócios, em casa ou em outros locais. Faça uma pequena pesquisa e encontre o melhor
provedor de protecção na internet e não compre o software mais barato.
Altere regularmente senhas e use senhas robustas. Uma senha robusta contém letras
minúsculas, maiúsculas, caractéres especiais e números. É recomendável não torná-lo uma
palavra, apenas uma combinação aleatória.
Proteja a rede.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 81
BIBLIOGRAFIA
STEWART, J.M., CHAPPLE, M., GIBSON, D., CISSP Study guide, 7th
edition. Sybex, 2018
82