Escolar Documentos
Profissional Documentos
Cultura Documentos
Conceitos básicos:
CID:
Outros:
Ciclo de Vida: Durante todas essas etapas, a informação deve ser protegida. Seu vazamento
em quaisquer etapas pode provocar problemas em vários aspectos.
1. Criação
2. Transporte*
3. Manuseio*
4. Descarte: de forma padronizada, já que o intuito é não conseguir recuperar as
informações.
*A ordem desses dois, apesar de mais comum dessa forma, pode ser invertida.
Tipos de segurança:
No descarte: uso de trituradores adequados
Controle de acesso:
Como os administradores de banco de dados devem fazer para gerenciá-los, uma vez que eles
podem manusear quaisquer dados armazenados em um SGBD?
Uso de criptografia na base de dados sem que a chave (simétrica, pública ou privada) esteja
em hard code, tampouco armazenada no BD ou no arquivo de computador.
Controles aplicados à rede: firewalls (2 políticas: negar por padrão ou aceitar por
padrão), sistemas detectores de intrusão e os VPNs
Firewall: O componente que utiliza listas de controle de acesso formadas por regras que
determinam se um pacote pode ou não atravessar a barreira. Para proteger as redes de dados,
as empresas criam perímetros de segurança formados por componentes que avaliam o tráfego
de ingresso e egresso.
AULA 02
Conceitos:
Vulnerabilidade: pontos fracos do sistema que podem ser explorados para obter
acesso não autorizado a dados ou controle do sistema (lacunas dos esforços de proteção).
Classificação:
Resumo: se ocorrer falha em equipamentos e instalações, a ameaça é física. Caso
contrário, se estiver relacionada a problemas de software, algoritmos etc., é considerada
ameaça lógica.
Resumo: As ameaças humanas são aquelas que foram provocadas por seres humanos, e as não
humanas são provocadas pela natureza ou por problemas de infraestrutura.
Ameaças humanas:
Tratamentos:
Engenharia social: são usadas as fraquezas humanas para se obter informação (ferir a
confidencialidade) de uma pessoa ou organização.
Exemplos:
Botnets (ou rede zumbi): conjunto de equipamentos que sofreu um ataque, resultando
no controle do equipamento pelo hacker. O ataque é realizado através de um software
chamado bot, que explora uma vulnerabilidade do equipamento e faz a instalação nele. Na
botnet, existem alguns equipamentos cuja finalidade é orquestrar o ataque, permitindo a
manutenção do sigilo do hacker. Esses equipamentos são chamados de centros de comando e
controle. Os bots se assemelham aos worms no que se refere à forma de proliferação, porém
divergem por acatarem às ordens dos centros de comando e controle. Através de botnets é
possível fazer ataques de negação de serviço, envios de e-mails em massa e vários outros.
IP Spoofing: Ocorre quando o atacante forja o seu endereço IP, colocando outro valor
nesse campo, fingindo ser a fonte dos dados de outra origem. É muito comum por explorar a
vulnerabilidade do protocolo.
Trashing Dumpster Diving: são realizadas buscas nos lixos corporativos na expectativa
de ter sido realizado algum descarte de forma inapropriada. Isso nos remete ao primeiro
módulo, onde tratamos do ciclo de vida da informação. Se o descarte não for feito de forma
apropriada, técnicas como essa permitem a recuperação da informação direto do lixo. Em
muitos países, não há legislação que torne essa técnica ilegal.
Softwares maliciosos:
Segundo a ABNT (2013), é importante que um SGSI seja parte, e esteja integrado com
os processos da organização e com a estrutura de administração global, e que a segurança da
informação seja considerada no projeto dos processos, sistemas de informação e controles.
Principal atividade:
ISO/IEC 27001:2013 ou ABNT NBR ISO/IEC 27001:2013 (Código de Boas Práticas da Gestão da
Segurança da Informação): [DEVE] prover requisitos para estabelecer, implementar, manter e
melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI) e também
possui requisitos para avaliação e tratamento de riscos de segurança da informação voltados
para a necessidade da organização.
1. Necessidade
2. Objetivos
3. Requisitos de Segurança
4. Processos Organizacionais
5. Tamanho e estrutura da organização
O que é:
O que NÃO é:
1. Padrão técnico
2. Produto ou tecnologia dirigida
3. Metodologia de avaliação do equipamento
4. Pode exigir a utilização de níveis de Garantia dos Equipamentos
* A estrutura de alto nível não pode ser modificada, por sua vez, podem ser
acrescentadas subcláusulas e textos específicos para cada disciplina abordada.
Finalidades:
Benefícios:
Descrições do controle: