Você está na página 1de 82

• UNIVERSIDADE

JOAQUIM CHISSANO

Segurança de
Sistema

Tema 1 –
Segurança da
Informação nas
Organizações

Sérgio Simbine
sergio.simbine@gmail.com

Fevereiro, 2020
1
Agenda
 Apresentação
 Introdução
 Conceitos gerais sobre Segurança da Informação
 Leitura recomendada
 Considerações finais
 Referências bibliográficas

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 2
Apresentação
Sérgio Simbine
 Mestre em Sistemas de Informação pela UEM;
 Membro do ISACA – Information Systems Audit and Control
Association (ISACA ID 748519);
 Certified in Information System Auditor (CISA) – pela ISACA;

 Certified in COBIT 5 Foundation – pela ISACA;

 Certified in COBIT 4.1 – pela ISACA;

 Certified in ISO 22301 Lead Auditor – pela Continuity Link.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 3
Introdução
Objectivos:
 Apresentar e discutir os principais conceitos relacionados a Segurança
de Sistemas de Informação;
 Relacionar esses conceitos com a realidade do aluno e das
organizações;
 Propiciar uma visão integrada (ciclo de segurança de Sistemas de

informação) entre os conceitos chave.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 4
Conceitos gerais SegSI
Segurança de Sistemas de Informação:
“É a proteção da informação contra vários tipos de ameaças para
garantir a continuidade do negócio, minimizar riscos, maximizar o
retorno sobre os investimentos e as oportunidade de negócios” [ISO
27002].
“É a área do conhecimento dedicada á protecção dos activos de
informação contra acessos não autorizados, alterações indevidas ou
sua indisponibilidade”.
 As informações podem existir em diversas formas;
 O mesmo ocorre com as vulnerabilidades e ameaças;
 A pergunta chave: O que e como devemos proteger?

(Actividade 0)

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 5
Conceitos gerais SegSI
Segurança de Sistemas de Informação:
“É a protecção da informação contra vários tipos de ameaças
para garantir a continuidade do negócio, minimizar riscos,
maximizar o retorno sobre os investimentos e as oportunidade
de negócios” [ISO 27002].
 As informações podem existir em diversas formas;

 O mesmo ocorre com as vulnerabilidades e ameaças;


 A pergunta chave: O que e como devemos proteger?

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 6
Conceitos gerais SegSI
Cliclo de Vida de Segurança:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 7
Conceitos gerais SegSI
Princípios (propriedades) básicas da SegSI:

 Confidencialidade - Certeza de que o que foi dito, escrito ou falado será acedido

somente por pessoas autorizadas;

 Integridade:
 Garantia de que a informação não foi alterada (de forma indevida ou não-autorizada);

 A quebra da integridade ocorre quando a informação é corrompida, falsificada ou roubada;

 Disponibilidade:
 Garantia de que a informação será acedida quando necessário;

 Disponibilidade -> estratégias de contingência

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 8
Conceitos gerais SegSI
Confidencialidade
Somente pessoas explicitamente autorizadas podem
ter acesso à informação

Quebra de confidencialidade
 Conversas no elevador, restaurantes, etc. sobre

assuntos confidenciais de trabalho,


disponibilizando assim a informação para todos à
sua volta.
 Engenharia social

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 9
Conceitos gerais SegSI
Integridade:
A informação acedida é completa, sem alterações ou distorções, e
portanto, confiável. Mesmo estando errada.

Quebra de Integridade
 Falsificação de documentos;
 Alteração de registos na Base de Dados

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 10
Conceitos gerais SegSI
Disponibilidade:

A informação está acessível à pessoas autorizadas sempre que

necessário.

Quebra de disponibilidade
 Sistema fora do ar;

 Ataques de negação de serviços (DoS)

 Perdas de documentos;

 Perda de acesso à informação

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 11
Conceitos gerais SegSI
Princípios (propriedades) básicas da SegSI:

Para proteger os activos, em determinados casos, pode ser


necessário aspectos de segurança adicionais, por exemplo:
 Não-repúdio (emissor autenticado como autor ...);

 Legalidade (activos com valor legal ...);

 Autenticação (processo de identificação e reconhecimento das partes ...);

 Autenticidade (garantia de que as partes envolvidas são quem afirmam

ser ...);
 Autorização (concessão de permissões ...);

(Actividade 01)

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 12
Conceitos gerais SegSI
Activos:
 Qualquer elemento que tenha valor para a organização [ISO 27002];

 Os ativos fornecem suporte aos processos de negócios, portanto devem ser protegidos.

Todo elemento utilizado para armazenar, processar, transportar, armazenar, manusear e


descartar a informação, inclusive a própria.

• Os ativos são os elos da corrente e estes sempre trarão consigo vulnerabilidades que, por

sua vez, submetem os ativos a ameaças.


• Valor do activo – quantificação de perda de determinado activo quando esse tem a sua

confidencialidade, integridade ou disponibilidade afectadas.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 13
Conceitos gerais SegSI
Categoria de Activos:
Os activos podem ser classificados / agrupados de diversas formas:
 Informações; Hardware; Software; Ambiente Físico; Pessoas;

 Lógico; Físico Humano;

 Equipamentos; aplicações, usuários, ambientes, informações e processos;

Nota: Alguns autores consideram a seguinte categoria/classificação de activos:


 Tangíveis: informações impressas, móveis, hardware (Ex.: impressoras, scanners);

 Intangíveis: marca de um produto, nome da empresa, confiabilidade de um órgão estatal/governo,

etc.;
 Lógicos: informações armazenadas em uma rede, sistema ERP (sistema de gestão integrada), etc.;

 Físicos: galpão, sistema de electricidade, estação de trabalho, etc.;

 Humanos: funcionários.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 14
Conceitos gerais SegSI
Vulnerabilidades:
 Fragilidade de um activo ou grupo de activos que pode ser explorada por uma ou mais

ameaças [ISO 27002];


 As vulnerabilidades devem ser geridas (identificadas e corrigidas); Qualquer elemento

que tenha valor para a organização [ISO 27002];

“ Fraquezas inerentes aos activos de informação que podem ser exploradas por ameaças
ocasionando um incidente de segurança da informação. É possível que um activo de
informação possua uma vulnerabilidade que , de facto, nunca será efectivamente explorada
por uma ameaça.”

Tipos de Vulnerabilidades:
 Físicas; naturais; hardware e software e humanas;

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3ºano do Curso de Engenharia de TSI na UJC - 2020 15
Conceitos gerais SegSI
Tipos de Vulnerabilidades:
 Vulnerabilidades de Hardware - Compreendem possíveis defeitos de fabricação, erros de configuração ou falhas nos
equipamentos. Como exemplos citam-se erros decorrentes da instalação, desgaste, obsolescência ou má utilização do
equipamento.
 Vulnerabilidades de Software - São possíveis falhas de programação, erros de instalação e configuração, que podem, por

exemplo, causar acesso indevido, vazamento de informações, perda de dados.


 Vulnerabilidades de Armazenamento - Relacionadas com a forma de utilização das mídias (disquetes, CD-ROMs, fitas

magnéticas, discos rígidos dos servidores, etc.) em que estão armazenadas as informações, como também o armazenamento de
fitas em local inadequado.
 Vulnerabilidades de Comunicação - Relacionadas com o tráfego de informações, independente do meio de transmissão,

podendo envolver ondas de rádio, satélite, fibra óptica etc. Podem, por exemplo, permitir acesso não autorizado ou perda de
dados durante a transmissão de uma informação.
 Vulnerabilidades Humanas - Relacionadas aos danos que as pessoas podem causar às informações e ao ambiente tecnológico

que as suporta, podendo ser intencionais ou não. Podem ocorrer devido a desconhecimentos das medidas de segurança, falta de
capacitação para execução da tarefa dentro dos princípios de segurança, erros e omissões.

Nota: Alguns autores classificam os Tipos de Vulnerabilidades, nos seguintes:

 Físicas; naturais; hardware e software e humanas;

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 16
Ameaças
Conceitos gerais SegSI
 Causa potencial (agente) de um incidente indesejado, que pode resultar em dano
para um sistema ou organização [ISO 27002];
 A segurança da informação precisa prover mecanismos para impedir que as

ameaças explorem as vulnerabilidades;

“São agentes externos ao activo de informação que, exploram as vulnerabilidades


para gerar a quabra de um ou mais dos três princípios básicos da segurança da
informação(confidencialidade, integridade e disponibilidade), ou seja, um
incidente de segurança da informação”

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 17
Conceitos gerais SegSI
Tipos de Ameaças
 Ameaças externas: São aqui representadas por todas as tentativas de ataque e
desvio de informações vindas de fora da empresa. Normalmente essas tentativas são
realizadas por pessoas com a intenção de prejudicar a empresa ou para utilizar seus
recursos para invadir outras empresas.
 Ameaças internas – estão presentes, independentemente das empresas estarem ou

não conectadas à Internet. Podem causar desde incidentes leves até os mais graves,
como a inactividade das operações da empresa.

Nota: Alguma literatura considera como Tipos de Ameaças os seguintes:


 Naturais;
 Intencionais; e

 Involuntárias;

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 18
Conceitos gerais SegSI
Ameaças em Sistemas Computacionais
 Vazamento – Ocorre quando o utilizador legítimo (autorizado) fornece
informação para um ou mais receptores não autorizados . Isto pode
ocorrer propositadamente ou não.
 Violação – Ocorre quando uma informação legítima sofre alteração

não autorizada (incluíndo programas).


 Furto de recursos - Ocorre quando alguém não autorizado benficia-se

das facilidades dos sistemas computacionais.


 Vandalismo – Quando alguém não autorizado, interfere, causando

prejuízo às operações dos sistemas , sem ganhos próprios.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 19
Conceitos gerais SegSI
Ameaças
São três aspectos básicos que um sistema de segurança da informação deve
atender para evitar a concretização dessas ameaças: Protecção, Detecção e
Recuperação
 Violação – Ocorre quando uma informação legítima sofre alteração

não autorizada (incluíndo programas).


 Furto de recursos - Ocorre quando alguém não autorizado benficia-se

das facilidades dos sistemas computacionais.


 Vandalismo – Quando alguém não autorizado, interfere, causando

prejuízo às operações dos sistemas , sem ganhos próprios.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 20
Conceitos gerais SegSI
Ameaças à segurança

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 21
Conceitos gerais SegSI
Evento de Segurança da informação:
 Uma ocorrência identificada de um estado de sistema, serviço ou rede,
indicando uma possível violação da política de segurança da informação ou
falha de controlos que possa ser relevante para a segurança da informação
[ISO 27000:2009].

Incidente de segurança da informação:


 Um simples ou uma série de eventos de segurança da informação indesejados

ou inesperados, que tenham uma grande probabilidade de comprometer as


operações de negócios e ameaçar a segurança da informação [ISO
27000:2009].

“É a ocorrência de um evento que possa interromper os processos de negócio de


um ou mais dos três princípios básicos de segurança da informação”

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 22
Conceitos gerais SegSI
Exemplo:

(Actividade

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 23
Conceitos gerais SegSI

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 24
Conceitos gerais SegSI
Probabilidade:
“ È a chance que um incidente de segurança da informação tem de
acontecer, considerando o grau das vulnerabilidades presentes nos
activos de informação e o grau das ameaças que possam explorar essas
vulnerabilidades. Mas esses graus são relativos , ou seja, mesmo as
mais baixas vulnerabilidades poderão representar probabilidades
consideráveis, se o grau da ameaça for muito grande”.
“ A probabilidade do pão cair com
o lado da manteiga virado para baixo
é proporcional ao valor do carpete”
Joseph Murphy

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 25
Conceitos gerais SegSI
Impacto:
“ Resultado da acção bem sucedida de uma ameaça ao explorar as vulnerabilidades de um
activo, atigindo assim um ou mais conceitos da segurança da informação. O impacto se
denomina pelos danos/prejuízos causados por um incidente de segurança ocorrido no
negócio/organização”.
O tamanho ou grau de um impacto no negócio da organização depende do grau da
relebvância dos activos de informação para os processos da organização, ou seja, quanto
maior for a relevância do activo para a organização, maior será o impacto de um incidente
de segurança caso este venha a acontecer.
É preciso definir um grau de impacto para cada incidente de segurança da informação que
possa vir a ocorrer. Este grau de impacto será de extrema importância para o cálculo do
risco.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 26
Conceitos gerais SegSI
Controlos:
 Medidas de segurança são práticas, procedimentos e mecanismos utilizados

para a protecção de activos;


 Esses controlos podem:

(a) impedir que as ameaças explorem as vulnerabilidades,


(b) reduzir o surgimento de vulnerabilidades e
(c) minimizar o impacto dos incidentes de segurança da informação;

Tipos de controlos:
 Técnicos, administrativos e de gestão;

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 27
Conceitos gerais SegSI

(Actividade 2)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 28
Conceitos gerais SegSI
Informação:
 Na gestão empresarial moderna, a informação é tratada como um importante activo da

empresa. Essa informação pode ser impressa, manuscrita, gravada em meios magnéticos, ou
simplesmente ser do conhecimento dos funcionários (falada). Essas informações (ou
activos), também podem ser classificadas de acordo com o eventual impacto negativo
gerado decorrente de acesso, divulgação ou conhecimento não autorizado. Podemm por
exemplo ser classificadas como confidenciais ou restritas , internas ou públicas.
 A divulgação ou conhecimento não autorizado desses activos pode gerar impactos dos mais

variados, dentre os quais cita-se: problemas financeiros, queda na produtividade, riscos para
o negócio, perda de credibilidade, desgaste da imagem, etc. A segurança da informação,
mais que um problema de utilização de tecnologias, deve ser encarrada como a gestão
inteligente da informação em qualquer ambiente.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 29
Conceitos gerais SegSI
Classificação da Informação:
 A Classificação da informação é o proceso de identificar e definir níveis e critérios de protecção adequada para a

informação, objectivando garantir a segurança da mesma. Uma organização precisa ser capaz de identificar o valor de
sua informação para garantir sua confidencialidade, integridade e disponibilidade.
 O objectivo principal dessa classificação está em priorizar recursos, focando os investimentos na informação mais

importante para a organização. São exemplos de informação:


 Dados: base de dados e arquivos, documentação de sistema, informações armazenadas , procedimentos de suporte ou operação;

 Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

 Activos físicos: equipamentos computacionais (processadores, monitores), equipamentosde comunicação (roteadores, hubs), mídia

magnética (fitas, discos), mesas, cadeiras;


 Serviços: serviço de operadoras de telecomunicaçção, serviço de energia eléctrica, àgua,

Desclassificação e reclassificação da Informação


 Uma informação pode ter seu nível de classificação alterado ou rebaixado, dependendo do nível de confidencialidade,

integridade e disponibilidade que a informação tiver no momento. Por exemplo, a informaçãp sobre um novo produto de
uma empresa que ainda será lançado comercialmente. Esta informação no momento anterior ao lançamento é
considerada confidencial, mas no momento em que este produto é divulgado publicamente, esta informação passa a ser
pública.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 30
Conceitos gerais SegSI
Classificação da Informação:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 31
Conceitos gerais SegSI
Critérios de Classificação da Informação:
Os Critérios de classificação definem qual o tratamento de segurança que uma informação receberá, ou seja, quanto será preciso investir em
segurança para garantir a confidencialidade, integridade e disponibilidade dessa informação, objectivando sempre oriorizar recursos. Assim, a
informação pode ser classificada quanto a:
 Confidencialidade – Classificar a informação levando em consideração a gravidade do impacto ou prejuízo que a revelação não autorizada da

mesma trará para a organização. Podem se definir três níveis de classificação quanto a confidencialidade:
 Confidencial – é toda informação considerada de alto risco para a empresa, pois sua revelação não autorizada pode trazer graves prejuízos .

Geralmente estas informações são acedidas pela alta administração (Conselho de Administração, Presidência, Directores, Administradores....);
 Restrita - é toda a informação considerada de médio e baixo risco para a empresa , pois sua revelação não autorizada pode trazer prejuízos a uma

determinada área da empresa. Geralmente estas informações são acedidas pelas áreas envolvidas na geração e uso destas informações, pelos gestores
da área e pela alta administração;
 Pública - é toda informação considerada de nenhum risco para a empresa e sua revelação não autorizada não traz nenhum prejuízo. Estas informações

são acedidas por todos os funcionários e pessoas externas à empresa.


 Integridade – Classificar a informação levanndo em consideração a gravidade do impacto ou ds prejuízos que a modificação não autorizada da

informação trará. Podem se definis dois níveis de classificação quanto à integrigade:


 Crítica – é toda a informação de alto risco para a empresa. Esta informação não pode ser alterada sem prévia autorização;

 Não Crítica – é toda a informação que, se alterada sem prévia autorização, não representa nenhum risco para a empresa.

 Disponibilidade – Classificar a informação levando em consideração a gravidade do impacto ou prejuízos que a indisponibilidade da

informação trará. Podem se definir dois níveis de classificação quanto à disponibilidade:


 Vital – é toda a informação de alto risco para a empresa. Essa informação precisa estar sempre disponível;

 Não Vital – é toda a informação que em caso de indisponibilidade não representa nenhum risco para a empresa.

 Classificação padrão – Todas as informações que não forem classficadas deverão entrar no nível padrão de classificação.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 32
Conceitos gerais SegSI
Funções e Responsabilidades
Em um processo de classificação da informação deve-se definir as funções e os responsáveis por cada
etapa desta classificação, ou seja, deve-se definir quem classifica, quem armazena, quem actualiza, etc.
 Proprietários – são considerados proprietários da informação os gestores das áreas geradoras das

informações, sendo os proprietários responsáveis por classificar, desclassificar, redefinir, os níveis de


classificação das informações;
 Custodiante – é considerada custodiante das informações a área de informática, sendo responsável por

guardar e recuperar as informações classificadas e responsáveis por prover e administrar os acessos ás


informações devidamente solicitados pelos proprietários.

Etapas para o processo de classificação das informações:


 Elaboração de uma política e classificação

 Levantamento das informações;

 Classificação das informações levantadas;

 Implementação da política ;

 Revisão periódica da classificação

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 33
Conceitos gerais SegSI
Gestão da Segurança da Informação
 A gestão da segurança da informação desempenha um papel prepoderante nas organizações,

ao garantir que as informações da organização e os recursos de processamento da


informação sob o seu controlo estão devidamente protegidos. Isso inclui a implementação
de um Programa de Segurança da Informação que abrange toda a organização, o qual deverá
contemplar o desenvolvimento da Análise de Impacto nos Negócios (BIA – Business
Impact Analysis), Planos de Continuidade de Negócios (BCPs – Business Continuity
Plans) e Planos de Recuperação de Desastres (DRPs – Disaster Recovery Plans).

 Um componente importante no estabelecimento de tais programas é a aplicação dos

princípios de gestão de riscos dos activo da organização, mitigar esses riscos para um nível
aceitável, conforme determinado pela gestão e monitoria dos correspondente risco residual.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 34
Conceitos gerais SegSI
Análise de Impacto no Negócio ou Business Impact Analysis - BIA:
“ É um processo administrativo, uma ferramenta de gestão , que tem como finalidade identificar e analisar
os processos de um negócio /actividade (incluíndo os recursos necessários), com o objectivo de
compreender o impato do tempo de inactividade, e estabelecer objectivos de recuperação e priorização”.
A BIA é um processo de análise das actividades e dos efeitos que uma interrupção de negócio pode ter
sobre elas, é o ponto de partida da Gestão de Continuidade de Negócios , sendo considerado o processo
mais importante dentro do ciclo de gestão.

A BIA identifica o que é vital e crítico para o funcionamento do negócio,


além de identificar o tmpo tolerável de interrupção, calcular os possíveis
impactos e a infra-estrutura mínima para a contigência.

A BIA tem por objectivos revelar vulnerabilidades e subsidiar o


desenvolvimento de estratégias para minimizar os riscos.
O resultado é um relatório de análise de impacto, que descreve os riscos
potenciais específicos para a entidade no caso de uma interrupção do
negócio.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 35
Conceitos gerais SegSI
A Análise de Impacto no Negócio Identificará:
 Critérios para aferir a relevância e criticidade dos processos;

 Actividades críticas realizadas em cada processo;

 Necessidades de demandas regulatórias;

 Dependências de Sistemas e pessoas;

 Impactos financeiros (perdas) que poderiam ocorrer se estes processos fossem suspensos; e

 Impactos operacionais (segurança, por exemplo) legais de imagem (como “satisfação do Cliente”) finalizando com a

verificação da existênca de contigência.

Na análise de Impacto de Negócios deve ser contemplado o tempo real de recuperação para cada actividade crítica dentro
da organização. Para tal, os aspectos a seguir devem ser considerados:
 Identificação de riscos e definição de cenários possíveis de falha para cada processo crítico, levando em conta a

probabilidade de ocorrência de cada falha;


 Duração dos efeitos e consequências resultantes;

 Custos inerentes e os limites máximos aceitáveis de permanência da falha sem a activação da respectiva medida de

contigência.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 36
Conceitos gerais SegSI
A Análise de Impacto no Negócio deve contemplar:
 Breve resumo dos processos críticos e descrição das principais actividades;
 Perfil e quantidade dos profissionais envolvidos;

 Tecnologias que suportam as actividades;

 Impactos de localidade onde é realizada a actividade);

 Impactos financeiros, legais, operacionaise de imagem ocasionados por uma ruptura;

 Critérios para a priorização dos processos em face do tipo de impacto (financeiro, legal, operacional ou imagem);

 Priorização por impacto;

 Definição de nível de criticidade , ou seja da gravidade das consequência do impacto, paa cada atributo(impacto no sector e impacto corporativo, por exemplo);

 Definição de um tempo de recuperação;

 Determinação dos acordos com fornecedores e parceiros externos externos de produtos e serviços dos quais as actividades críticas dependam.

Na avaliação do BIA devem ser observados os seguintes aspectos:


 Aumento do custo operacional;
 Perda de oportunidade de negócio;

 Impacto ao bem-estar das pessoas;

 Dano ou perca de instalações, tecnologia ou informação;

 Não cumprimento de deveres ou regulamentação;

 Danos à reputação;

 Danos à viabilidade financeira;

 Deterioração da qualidade de produtos e serviços; e

 Danos ambientais.

Apartir do BIA, a entidade deve identificar as medidas que reduzam o período de ointerrupção(mitigação de +erdas e tratamento de riscos) e seus custos.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 37
Fases da implantação da Análise de Impacto no Negócio – BIA:
Conceitos gerais SegSI
 a) Definição do Projecto – a entidade deve definir o responsável pela sua implementação e sua autoridade, escopo (âmbito), objectivos e prazos;

 b) Elaboração do questinário – A elaboração de um questionário para cplecta das informações subsidia a análise do BIA na identificação dos impactos resultantes

de interrupções ao longo do tempo , dos recursos necessários para recuperação e da existência ou não de rotinas para situações de contigência.
É uma boa prática conjugar no questionário questões qualitativas e quantitativas.
Não existe uma receita de questionário pronta, aplicável a qualquer organização, no entanto os seguintes itens podem constae do questionário:
o Número de colaboradores encolvidos;
o Custo da operação por período;
o Prejuízo por tempo parado;
o Aspectos legais de uma interrupção de serviço;
o Aspectos de imagens e demais prejuízos intagíveis.

Elaboradas as questões, os critérios devem ser definidos: se o entrevistado responder perguntas pela atribuição de valores, por exemplo, de 1 a 5 , é
imprescindível explicar a distinção destas cinco notas. Não é raro que o mesmo evento seja avaliado de uma forma pelos colaboradores de nível funcional mais
operacional e de outra pela alta administração.
 c) Entrevista – Elaborado o questionário, parte-se para a entrevista . Os melhores resultados , com esclarecimento de questões e respostas coerentes, são obtidos

quando a entrevista é realizada directamente com o responsável por uma actividade crítica.IA devem ser observados os seguintes aspectos:
 d) Determinação do Tempo de recuperação – Determinação dos “tempos reais de recuperação”(RTO- Recovery Time Objectives) somente depois de identificadas
todas as interdências processuais.
O Recovery Time Objective – RTO ou tempo real de recuperação é o período dentro do qual um processo deve ser restabelecido após um incidente, afim de
evitar consequências inaceitáveis relacionadas com uma quebra na continuidade dos negócios.
Pode incluir o tempo para tentar corrigir o problema sem uma recuperação, a recuperação em si, testes e comunicação para os utilizadores.
A título de exemplo, com o resutado do questionáio é possível concluir que para a actividade rítica “A”o tempo máximo aceitável de tnterrupção é de dois
dias, porém , o tempo máximo aceitável de interrupção para a actividade crítica “B” é de um dia.
Além disso, esta actividade não pode ser recuperada sem a ajuda da activiadade crítica “A”. Isso significa que o tempo real de recuperação para “A” será um
dia e não dois.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 38
Conceitos gerais SegSI
Fases da implantação da Análise de Impacto no Negócio – BIA: (continução)
e) Estabelecimento do “ponto real de recuperação” – Estabelecimento do “ponto real de recuperação” (RPO – Recorevery Point Objective) é definido pelo
período máximo de tolerância em que informações podem ser perdidas ou ficarem ndisponíveis devido a um incidente.

(Actividade 3)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 39
Conceitos gerais SegSI
Plano de Continuidade de Negócios (BCP):
 Para garantir a continuidade de serviços, um BCP deve ser escrito para minimizar o impacto das disrupções de serviços. Esse plano

deve ser baseado no plano da àrea de TI de longo prazo e deve estar apoiado e alinhado com o estratégia geral de continuidade dos

negócios. Portanto, o processo de desenvolver e manter um DRP/BCP apropriado seria:

 Realizar avaliação de risco - identificar e priorizar os sistemas e outros recursos necessários para apoiar negócios críticos

processos em caso de interrupção. Identifique e priorize ameaças e vulnerabilidades.

 Preparar Análise de Impacto nos Negócios (BIA) ou o efeito da perda de processos críticos de negócios e seus componentes de

suporte.

 Escolher controlos e medidas apropriados para recuperar os componentesde TI (e não só) para dar suporte aos processos críticos

de negócios.

 Desenvolver um Plano detalhado para recuperar infra-estrututas de TI (DRP).

 Desenvolver um Plano detalhado para as funções críticas de negócios continuem a operar a um nível aceitável (BCP).

 Actulaizar os Planos sempre que se verificarem alterações ou novos desenvolvimentos nos negócios e nos sistemas.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 40
Conceitos gerais SegSI
Plano de Recuperação de Desastres (DRP):
 DRP, enquanto suporte às operações comerciais / provisionamento de serviço de IT, é um elemento de um Sistema de Controlo Interno estabelecido para gerir

disponibilidade e restaurar Processos de serviços críticos; em caso de uma eventual de interrupção. O objectivo desse processo de planeamento contínuo é

garantir a implementação de controlos eficientes (custos versus benefícios) para evitar possíveis problemas de TI bem como recuperar a capacidade operacional

da organização, em especial da área de IT, no caso de ocorrência de um evento que cause a interrupção na disponibilização dos serviços.

 A importância da disponibilidade de aplicativos individuais dependem da criticidade dos respectivos processos de negócios que eles suportam. A importância

e urgência desses processos de negócios e serviços e aplicativos de TI correspondentes podem ser definidos através da realização de um BlA e da atribuição de

RPOs e RTOs.

 A disponibilidade de dados comerciais e capacidade de processar e manipular são vitais para o desenvolvimento sustentável e sobrevivência de qualquer

organização, daí que, planear (prevêr) desastres é, portanto, uma parte importante do processo de gestão de riscos e de BCP.

 DRP é um processo contínuo. Uma vez defina a criticidade dos processos de negócios processos, dos serviços de suporte, dos sistemas e dados de TI, deverá ser

periodicamente revista e actualizada. Podem ser indicados pelo menos dois resultados (outputs) do DRP, designadamente:

 Alterações na infra-estrutura de TI (servidores, redes, armazenamento de dados sistemas, ctc.), mudanças nos processos de suporte (aumento do nível de

maturidade), procedimentos e estrutura organizacional (por exemplo novas atribuições/papéis). Essas mudanças são combinados no Programa Director de

TI ou Plano Estratégico de TI (normalmente com vigência de 3 - 5 anos).

 Planos (DRP) desenvolvidos como parte desse processo que direcionam a resposta a incidentes que variam de emergências simples a desastres complexos

ou interrupções totais. O DRP abrange desde o nível departamental, procedimentos modulares e de vários níveis que cobrem diferentes localizações com

vários arquivos e vários níveis de negócios.

O objectivo final do processo de DRP é responder a incidentes que podem impactar as pessoas e a capacidade de a organização entregar bens e serviços ao

mercado e em conformidade com as requisitos regulamentares.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 41
Conceitos gerais SegSI
Relação entre RTO e RPO:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 42
Conceitos gerais SegSI
Alternativas de Recuperação (Recovery Alternatives):
Quando as instalações normais de produção se tornam indisponíveis, a organização pode utilizar outras alternativas

de instalações credenciadas para executar o seu processamento até que as principais Instalações possam ser

restauradas. abaixo são indicadas algumas alternativas de recuperação:

 Cold Sites;

 Mobile Sites;

 Warm Sites;

 Reciprocal Agreements;

 Hot Sites;

 Mirrored Sites.

(Actividade 4)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 43
Conceitos gerais SegSI
Elementos-Chave para a Gestão da Segurança de informação:
Falhas se segurança podem ser despendiosas para a organização/negócio. Perdas podem resultar de falhas de

segurança propriamente ditas, ou como resultado do processo de recuperação após a ocorrêcia de um incidente,

seguidas por mais custos na adequação dos controlos e medidas de prevenção para novas falhas não ocorram. A

seguir estão indicados os elementos-chave para uma adequada gestão da segurança de informação:

 Comprometimento e Suporte da alta administração da organização;

 Políticas e procedimentos;

 Estrutura orgâncica adequada (existência de umaárea que zela pela segurança na organização);

 Advocacia e formação em segurança aos colaboradores (a todos os níveis) da organização;

 Monitorização e Conformidade;

 Tratamento e resposta a incidentes de segurança.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 44
Conceitos gerais SegSI
Normas (Standards):
 Normas são entendidas como um conjunto de regras ou orientações que visam qualidade, na actuação de uma tarefa. As
normas em estudo visam tornar o ambiente computacional das organizações mais seguro com relação a mitigar os
incidentes computacionais, além de orientar sobre acções a serem tomadas, quando estes incidentes ocorrem.
 Aplicar normas de segurança em um ambiente computacional é mais do que um modismo, é uma forma de garantir a
existência de coerência nas acções dos coordenadores e executores das tarefas de administração dos ambientes
computacionais. Adoptar padrões (normas ou standards) reconhecidamente eficientes minimiza a ocorrência de problemas
de incidentes relacionados às operações sustentadas por computadores.
 O principal objectivo da Norma é estabelecer um referencial para as organizações desenvolverem, implementar e
avaliarem a gestão da segurança de informação.

Nota: A Tecnologia por si só não garante segurança da informação - os dois itens mais importantes
na hora de manter a informação da organização segura são: a elaboração de políticas de segurança
e a gestão de suprte adequados, seguido do nível de consciencilalização dos funcionários.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 45
Conceitos gerais SegSI
Alguns Standards de Segurança:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 46
Conceitos gerais SegSI
Alguns Standards de Segurança:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 47
Conceitos gerais SegSI
Conclusão:
 A Segurança da informação é um processo que envolve todas

as áreas de negócio de uma organização e deve ser entendida


como mais uma disciplina orientada a atingir a missão
estabelecida;
 A Segurança da Informação é obtida a partir da implementação

de um conjunto de controlos adequados as necessidades da


organização;
 Controlos precisam ser estabelecidos, implementados,
monitorados, analisados e melhorados para garantir que os
objectivos do negócio e de segurança sejam atendidos;

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 48
Conclusão:
Conceitos gerais SegSI

(Actividade 5)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 49
Segurança Ciberbética

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 50
Segurança Ciberbética
Cibersegurança:
Cibersegurança (também chamada Segurança Cibernética), refere-se às práticas empregadas para garantir a
integridade, confidencialidade e disponibilidade da informação. Ela é composta por um conjunto de ferramentas,
abordagens de gestão de risco, tecnologias, treinamento e métodos para proteger redes, dispositivos, programas e
dados contra ataques ou acesso não autorizado.

Ciber segurança é o conjunto de tecnologias , processos e práticas desenhado para proteger as redes, os
computadores e outros dispositivos electrónicos, programas e dados, de potencias ataques ou ameaças.

Na prática, garantir segurança cibernética em uma empresa/organização, por exemplo, requer a coordenação de
esforços em todo o sistema de informação, que inclui:
 Segurança de aplicativos;
 Segurança da informação;
 Segurança de rede;
 Recuperação de desastres/planeamento de continuidade de negócios;
 Segurança operacional;
 Educação do utilizador final.

(Actividade 06)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 51
Segurança Ciberbética
Abordagens mais comuns de Cibersegurança:
Aqui estão as frentes de Cibersegurança que mais comumente são adoptadas nas empresas:

 Network Security (Segurança de Rede): protege o tráfego de rede controlando as conexões de entrada e saída para
impedir que as ameaças entrem ou se espalhem na rede;

 Data Loss Prevention (Prevenção de Perda de Dados): protege os dados concentrando-se na localização, classificação e
monitoramento das informações em repouso, em uso e em movimento;

 Cloud Security (Segurança na Nuvem): fornece protecção para dados usados em serviços e aplicativos baseados em
nuvem;

 Adopção de sistemas de detecção de intrusão ou sistemas de prevenção de invasão: trabalham para identificar
actividades cibernéticas potencialmente hostis;

 Gestão de Identidades e Acesso: serviços de autenticação para limitar e rastrear o acesso de funcionários para proteger
sistemas internos contra entidades maliciosas;

 Criptografia: processo de codificar dados para torná-los ininteligíveis e é usado frequentemente durante a transferência de
dados para evitar roubos em trânsito;

 Soluções antivírus / antimalware: aplicações que examinam os sistemas em busca de ameaças conhecidas — as mais
modernas são capazes de detectar ameaças anteriormente desconhecidas com base em seu comportamento.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 52
Segurança Ciberbética
Ameaças mais comuns no Ciberespaço:

Método Definição
Engenharia Social Técnica usada na obtenção de informações confidenciais, através da
exploração do conhecimento ou confiança das pessoas.
Man-in-the-middle Forma de ataque, em que é interceptada e retransmitida informação
trocada entre duas partes num dado canal.
Man-in-the-browser Consiste na infeção (normalmente, um trojan) do computador da
vítima e que é capaz de modificar as comunicações entre o cliente e o
servidor de uma maneira imperceptível, quer para a vítima quer para
a aplicação.
Trojan Programa malicioso introduzido num computador sem que a vítima
saiba, com o objectivo de abrir uma ligação com o computador do
invasor e, assim, este ter total controlo do computador da vítima.
Worms Programa idêntico a um vírus com a capacidade de replicar-se num
sistema inteiro. O objectivo pode ser, por exemplo, sabotar um
sistema informático até apagar todos os dados contidos nele.

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 53
Segurança Ciberbética
Ameaças mais comuns no Ciberespaço (Cont.):

Método Definição
Virus Pedaço de software malicioso com a finalidade de infetar um
computador e que este se espalhe por outros computadores.
Phishing Técnica que tenta obter dados pessoais, através do envio de e-mails
fraudulentos que tentam fazer passar-se por uma pessoa ou empresa
de confiança e, deste modo, enganar a vítima.
Keylogger Programa capaz de capturar todas as teclas marcadas pelo utilizador.
Spyware Programa de computador que é instalado no computador da vítima e
tem a capacidade de recolher informações sobre a mesma e depois
envia esses dados para outra entidade.

Ransomware Tipo de malware que restringe o acesso ao computador ou aos


arquivos, exibindo uma mensagem em que exige um pagamento para
remover a restrição, por exemplo, através de e-mails com anexos
maliciosos ou websites infectados

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 54
Segurança Ciberbética
Ameaças mais comuns no Ciberespaço (Cont.):
Método Definição
Botnet Conjunto de computadores infectados que são controlados remotamente, funcionando, por exemplo,
como um exército de computadores que realizam diversas tarefas como enviar e-mails com spam,
propagação de malware.

Clickjacking Método que utiliza as acções de um utilizador numa determinada página web para realizar operações
maliciosas. O atacante coloca um iframe num elemento clicável, por exemplo, um botão, de forma a
conseguir que a vítima clique nesse iframe e o invasor, sem o conhecimento da vítima, realize uma
operação por si definida.
Negação de É um ataque que consiste em fazer diversas tentativas ao computador/serviço alvo (ex. servidor web)
para que tenham dificuldade ou mesmo sejam impedidos de executar suas tarefas, por outras palavras,
Serviço sobrecarregam os sistemas. Uma variante deste ataque, muito utilizado, é o DDoS (Negação de
Serviço Distribuído): é um ataque em rede, em que um computador mestre controla um certo número
de computadores cliente para inundar o alvo com tráfego, através da utilização de um software
específico para o efeito.
SQL Isso acontece quando o invasor insere código malicioso em um servidor que usa o Structured Query
Language. As SQL Injections só são bem-sucedidas quando existe vulnerabilidade de segurança.
Injection Nesse caso, o ataque forçará o servidor a fornecer acesso ou modificar dados.

Fonte: S. Mamede, 2006; A. Torres, 2014

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 55
Segurança Ciberbética
Exposição e questões relacionadas com o Crime Informático:

Os sistemas Informáticos (computadores no geral) podem ser usados para roubar dinheiro, mercadorias, software ou informação corporativa. Crimes informáticos podem ser também
cometidos quando as aplicações informáticas (sistemas), são manipulados para processarem dados falsos ou transacções não autorizadas. Também podem ser usados não técnicos – como
é o caso do roubo do próprio equipamento informático (computador por exemplo).

O crime informático pode ocorrer sem que não tenha sido furtado ou roubado absolutamente nenhum recurso físco ou equipamento, podendo este crime realizado a partir de qualquer
local, escritório, casa ou mesmo um café.

Os cibercriminosos tomam vantagem de lacunas existentes na legislação dos diferentes países ao planear ataques cibernéticos, a fim de evitar que sejam responsabilizados
criminalmente.

Cometer crimes que exploram os sistemas informáticos ou recursos computacionais pode atentar contra a reputação, moral ou mesmo a continuação da existência ou operação da
orhanização, perda de clientes ou mercado, constrangimento à gestão e ações legais. Ameaças ao negócio ou organização resultantes de crimes informáticos incluem os seguintes:

 Perdas financeiras;
 Colaboradores ligados à área de Informática;
 Repercussões legais;

 Perda de credibilidade ou vantagem competitiva;  Utilizadores finais;

 Chantagem / Espionagem industrial / crime organizado;  Ex- Colaboradores da organização;


 Divulgação de informações confidenciais ou sensíveis;  Pessoal interressado ou bem informado fora da
 Hachers (também refenciado como crackers);
organização;
 Script.Kiddies;
 Colaboradores eventuais ou em tempo parcial;
 Colaboradores da organização (autorizados ou não
 Terceiros (Corporativos ou individuais);
autorizados)

(Actividade 07)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 56
Segurança Ciberbética
Taxonomia para incidentes de segurança Cibernéticos:
Classe de Tipo de incidente Classe de Incidente Tipo de incidente
Incidente
Intrusão Exploração de Vulnerabilidade;
Código Malicioso Infecção;
Compromisso de Conta
Distribuição;

Comando e Controlo (C&C) Segurança da Acesso não autorizado;


Disponibilidade DoS/DDoS; Informação Modificação/Remoção não

Sabotagem autorizada

Recolha de Scan; Fraude Utilização indevida ou não


Informação autorizada de recursos Utilização
Sniffing;
ilegítima de nome de terceiros
Phishing;
Conteúdo Abusivo Spam Direitos de autor Pornografia
Tentativa de Exploração de
infantil, racismo e apologia da
Intrusão Vulnerabilidade;
violência
Tentativa de login Fonte: CNCS, 2015

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 57
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 58
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 59
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:

(Actividade 8)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 60
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 61
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:

Pirataria de Software e falta de software actualizado

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 62
Segurança Ciberbética
Ameaças Cibernéticas Emergentes:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 63
Segurança Ciberbética
Factos importantes: Cibersegurança em África

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 64
Segurança Ciberbética

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 65
Segurança Ciberbética
Abordagem de Segurança coordenada:

….é tempo de sincronizar a segurança corporative.es:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 66
Segurança Ciberbética
Soluções de segurança sincronizada (SOPHOS):

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 67
Segurança Ciberbética
Soluções de segurança sincronizada (SOPHOS):

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 68
Segurança Ciberbética
A CISCO garante que a organização veja de forma centralizada o datacenter até a nuvem:

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 69
Segurança Ciberbética
Solução: Rede + Segurança

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 70
Segurança Ciberbética
Internet Gateway

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 71
Segurança Ciberbética
Internet Gateway

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 72
Segurança Ciberbética
Ameaças bloqueadas (diariamente):

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 73
Segurança Ciberbética
Amostras de malware exclusivas (diariamente):

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 74
Segurança Ciberbética
URLs Processadas (diariamente):

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 75
Segurança Ciberbética
Messagens de e-mail scaneadas (diariamente):

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 76
Segurança Ciberbética
Alguns Standards de Segurança Cibernética:

 CIS CSC 7.0


O Catálogo de controlos críticos de Cibersegurança (CSC) é publicado pelo Center for Internet Security (CIS). Este catálogo
disponibiliza uma lista de acções, priorizada, que é regularmente revista pela comunidade académica de forma a ser utilizável pelas
organizações.
https://www.cisecurity.org/

 COBIT 5
COBIT é uma estrutura emitida pela ISACA (Information Systems Audit and Control Association) que se concentra na governação de
TI corporativa reflectindo o papel fundamental que a tecnologia da informação tem em organizações modernas e baseia-se no
conceito de gestão de riscos e mantendo os serviços a um nível aceitável. Sua principal característica é fornecer o alinhamento entre
os objectivos estratégicos da organização e o uso de TI.
http://www.isaca.org/COBIT/Pages/default.aspx

 ISA 99/IEC 62443


A série de normas ISA / IEC 62443, desenvolvida pelo comitê ISA99 e adotada pela Comissão Eletrotécnica Internacional (IEC),
fornece uma estrutura flexível para abordar e mitigar vulnerabilidades de segurança actuais e futuras em sistemas de controlo e
automação industrial (IACSs). Esta norma descreve as directrives relacionadas com segurança cibernética em tecnologias de
automação.
https://www.isa.org/intech/201810standards/

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 77
Segurança Ciberbética
Alguns Standards de Segurança Cibernética:

 NIST SP-800-53 Rev4


A Norma NIST SP 800-800-53 Rev4, foi publicada pela NIST (National Institute of Standards and Technology), é um catálogo de
controlos de segurança e de privacidade para redes e Sistemas de Informação de organismos do governo. Disponibiliza também um
processo de selecção de controlos para protecção da operação e dos activos das organizações, de incidentes, desastres naturais, falhas
estruturais ou erro humano. Provavelmente constituem a biblioteca mais abrangente de melhores práticas publicamente disponíveis, à
semelhança da norma PCI DSS são principalmente orientadas para questões técnicas de segurança.
https://csrc.nist.gov/csrc/media/publications/sp/800-53/rev-4/archive/2013-04-30/documents/sp800-53-rev4-ipd.pdf

 ISO/IEC 27032
A norma ISO/IEC 27032- Guidelines for cybersecurity (Directrizes para a segurança cibernética), está alinhada com o "espírito" de segurança da
informação inerente à família das normas internacionais 27000, e fornece orientação sobre as seguintes áreas centrais da Segurança Cibernética:
 Segurança da Informação
 Segurança de rede
 Segurança da Internet
 A relação entre segurança cibernética e outros tipos de segurança
 Problemas comuns de segurança cibernética e como resolvê-los.
 CIIP (protecção de infra-estrutura de informação crítica)
Adicionalmente, a norma ISO / IEC 27032: 2012 oferece conselhos práticos sobre como minimizar riscos cibernéticos e orientação para o
gerenciamento de um programa de segurança cibernética.
https://www.iso.org/standard/44375.html

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 78
Segurança Ciberbética
Modelos de maturidade de Segurança Cibernética:

A avaliação da Segurança Cibernética (SegCiber) nas organizações pode ser realizada por meio de um
modelo de maturidade, que fornece um ponto de referência para conhecer o nível de suas práticas,
processos e métodos para, então, definir metas e prioridades de melhoria.

Um modelo de maturidade pode ajudar as organizações públicas a avaliarem o seu estado actual e a
necessidade de um modelo desse tipo surge em decorrência da dependência tecnológica dessas
organizações.

 Cybersecurity Capability Maturity Model (C2M2)


https://innovationatwork.ieee.org/what-is-a-cyber-security-maturity-model/

 NIST Cybersecurity Framework


https://www.nist.gov/cyberframework

 The Community Cyber Security Maturity Model


https://www.researchgate.net/publication/221182620_The_Community_Cyber_Security_Maturity_Model
(Actividade 9)
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 79
Segurança Ciberbética
Como “evitar” ataques de segurança cibernética:

Com tantas ameaças por aí, é essencial aprender como se proteger de violações de segurança
cibernética. Para se proteger de tais riscos, é importante ter uma base sólida de segurança
cibernética que atenue o risco de um ataque. Além disso, existem algumas dicas que devem ser
úteis para todos que usam a rede e todos os tipos de dispositivos da Internet:

 Instale e actualize regularmente o software antivírus para todos os computadores usados nos
negócios, em casa ou em outros locais. Faça uma pequena pesquisa e encontre o melhor
provedor de protecção na internet e não compre o software mais barato.

 Proteja sua conexão à Internet usando um firewall.

 Faça cópias de segurança para dados importantes e mantenha-os em segurança.

 Treine funcionários ou familiares em segurança cibernética e seus princípios.

 Altere regularmente senhas e use senhas robustas. Uma senha robusta contém letras
minúsculas, maiúsculas, caractéres especiais e números. É recomendável não torná-lo uma
palavra, apenas uma combinação aleatória.

 Actualize regularmente o software e os sistemas operacionais.

 Proteja a rede.

A segurança cibernética é um dos aspectos mais importantes do mundo digital em


rápido crescimento. As ameaças são difíceis de negar, por isso é crucial aprender
como se defender delas e ensinar aos outros como fazer isso também.
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 80
Segurança Ciberbética

Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 81
BIBLIOGRAFIA

STEWART, J.M., CHAPPLE, M., GIBSON, D., CISSP Study guide, 7th
edition. Sybex, 2018

MAMADE, H. , Segurança Informática nas organizações, FCA Editora


Informática, 2006

CANNON, D., CISA – Certified Information Systems Auditor Study Guide,


Sybex. 2013

Livraria online www.isaca.org

82