AULA 01

Princípios da Segurança e Ciclo de Vida da Informação

Conceitos básicos:

Informação: é um dado contextualizado no qual existe uma percepção de valor.

Segurança da informação: as atividades, os procedimentos e as metodologias que

objetivam a proteção da informação, principalmente no que tange à confidencialidade, à
integridade e à disponibilidade (CID).

Política de confidencialidade: sobre políticas específicas de segurança, termo de uso ou

de serviço é um documento que define as regras de uso dos recursos computacionais, os
direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas

Aspectos: Prioridade do que deve ser protegido:

CID:

Confidencialidade: capacidade de acesso à informação somente por quem

possui autorização

Integridade: possibilidade de alteração da informação apenas por pessoas ou

sistemas autorizados (garante q a informação vai chegar íntegra, sem ser corrompida ou
danificada)

Disponibilidade: faculdade da informação poder ser acessada, em qq tempo,

por pessoas ou sistemas autorizados para tal

Outros:

Autenticidade: assegura que a informação foi gerada por pessoa ou sistema

autorizado.

Legalidade: alinhamento da informação e/ou dos processos com normas,

portarias, leis e quaisquer outros documentos normativos, cada um na sua respectiva esfera
de atribuição e abrangência.

Não repúdio/irretratabilidade: emissor negar a autoria de uma informação

divulgada.

Ciclo de Vida: Durante todas essas etapas, a informação deve ser protegida. Seu vazamento
em quaisquer etapas pode provocar problemas em vários aspectos.

1. Criação
2. Transporte*
3. Manuseio*
4. Descarte: de forma padronizada, já que o intuito é não conseguir recuperar as
informações.

*A ordem desses dois, apesar de mais comum dessa forma, pode ser invertida.

Tipos de segurança:
 No descarte: uso de trituradores adequados

Criptografia: embaralhamento das informações por meio de uma sequência de dados

que utiliza uma chave e um algoritmo. Esta chave é usada para embaralhar (criptografar) e
desembaralhar (decriptografar) as informações. Ex.: 7-zip* (compacta e criptografa a
informação)

Simétrica: a mesma chave é usada nas duas etapas

Assimétrica: chaves distintas nas duas etapas

* Processo de compactar com senha gera um aumento de tempo no manuseio

da informação. A proteção e a facilidade caminham em direções contrárias.

Funções de Hash: criam um conjunto de valores alfanuméricos que representa

a informação. Alterando-se um bit da informação, normalmente todo o conjunto de valores é
alterado. Dessa forma, assegura-se de que não haverá alteração da informação. (GARANTE A
INTEGRIDADE)

Controle de acesso:

Como os administradores de banco de dados devem fazer para gerenciá-los, uma vez que eles
podem manusear quaisquer dados armazenados em um SGBD?

Uso de criptografia na base de dados sem que a chave (simétrica, pública ou privada) esteja
em hard code, tampouco armazenada no BD ou no arquivo de computador.

Segurança Física: equipamentos e ambientes

Equipamentos:  camadas de segurança que dificultam o acesso físico ao servidor.

Exemplo: RFID, cancela para automóveis, solicitação de identificação pelo

segurança, etc. Câmeras de segurança, controles de temperatura, extintores de
incêndio e sprinkles (algumas vezes traduzidos como chuveiros automáticos); proteção
contra ameaças da natureza, como enchentes, incêndios e outras calamidades
provocadas pela natureza e/ou pelo homem.

O cabeamento e o acesso à rede externa (internet), bem como ao

fornecimento de energia, são fatores fundamentais nesse processo. Como eles
dependem de um fornecimento feito por terceiros, certos aspectos contratuais
e de redundância precisam ser estabelecidos.

Além disso, políticas e instruções normativas devem ser instituídas, treinadas e

simuladas visando à prontidão. Nesse sentido, é razoável haver uma
redundância no fornecimento de rede (internet), bem como uma
independência física desse fornecimento no que tange ao tipo de conexão
estipulada.

Segurança Lógica: medidas baseadas em software

Ex.: senhas, as listas de controle de acesso, a criptografia, e o firewall.

 Criptografia Simétrica:  funções matemáticas mais simples e uma única chave para
criptografar e decriptografar. 

Criptografia Assimétrica: algoritmos* que normalmente envolvem técnicas

matemáticas mais sofisticadas, como a fatoração de números grandes e o logaritmo discreto.
Emprega duas chaves: uma é utilizada para cifrar; a outra, para decifrar.

Chave pública: disponibilizada em um servidor de confiança

Chave privada: sob a posse do usuário

Com a combinação dessas duas chaves, é possível assegurar não somente a

confidencialidade, mas também o não repúdio ou irretratabilidade. Afinal, pode-se combinar o
uso desse controle tanto com a chave privada do emissor (não repúdio) quanto com a pública
do destinatário (confidencialidade).

* Diffie-Hellman, El Gamal e Curvas Elípticas

Controles aplicados à rede:  firewalls (2 políticas: negar por padrão ou aceitar por
padrão), sistemas detectores de intrusão e os VPNs

Esses controles permitem a criação de zonas de segurança dentro e fora da

instituição. Tais zonas, por sua vez, possibilitam a criação de segregações de funcionalidades.
Das zonas de segurança, a mais comumente encontrada é a DMZ. Zona desmilitarizada, ela
limita, conforme demonstra a figura a seguir, a região onde os servidores web e de aplicação
podem ficar.

Firewall: O componente que utiliza listas de controle de acesso formadas por regras que
determinam se um pacote pode ou não atravessar a barreira. Para proteger as redes de dados,
as empresas criam perímetros de segurança formados por componentes que avaliam o tráfego
de ingresso e egresso.
AULA 02

Ameaças e Vulnerabilidades à Segurança da Informação

Conceitos:

Vulnerabilidade: pontos fracos do sistema que podem ser explorados para obter
acesso não autorizado a dados ou controle do sistema (lacunas dos esforços de proteção).

Ameaça: qualquer coisa que possa explorar uma vulnerabilidade intencionalmente ou

acidentalmente para obter dados de forma indevida ou danificar um ativo.

Risco: função que relacionam ameaças e vulnerabilidades.

*ABNT NBR ISSO/IEC 27002:2005 (Código de Prática para Gestão de Segurança da

Informação) #foi cancelada???

Após a análise e avaliação do risco e a sua probabilidade de ocorrência, podemos

adotar uma metodologia como a identificação dos ativos e o cálculo do seu valor. Será mesmo
que precisamos usar todo e qualquer controle para proteger o ativo? E se o ativo valer menos
do que o controle, ainda seria vantajoso implementar esse controle? Com a definição do valor
do ativo, a análise e avaliação do risco e os custos para implementar as proteções necessárias,
começam as decisões.

Classificação:
 Resumo: se ocorrer falha em equipamentos e instalações, a ameaça é física. Caso
contrário, se estiver relacionada a problemas de software, algoritmos etc., é considerada
ameaça lógica.

Resumo: As ameaças humanas são aquelas que foram provocadas por seres humanos, e as não
humanas são provocadas pela natureza ou por problemas de infraestrutura.

Ameaças humanas:

1. Oriundas de colaboradores ou pessoas mal-intencionadas e aquelas

oriundas de pessoas ou colaboradores que não possuem o conhecimento
adequado (mal treinados): colaborador, propositalmente, faz ações que
podem provocar incidentes e prejuízos financeiros, seja pela perda de
confidencialidade de algum ativo, seja pela adulteração de algum ativo
para agente ou processo não autorizado.
2. Hackers: exploram as vulnerabilidades para demonstrar conhecimento e
exibir seu feito para a comunidade; ou ainda pelo simples desafio de
alcançar o objetivo, como se fosse um jogo; ou mesmo para obter ganhos
financeiros a partir da obtenção de ativos das instituições.
 Ameaças não-humanas:

1. Desastres: ex.> enchente

2. Problemas de infraestrutura: ex.> incêndio por sobrecarga elétrica

*Essas classificações se sobrepõem e permitem que determinada ameaça possa ser

classificada por vários critérios.

Tratamentos:

1. Contingência: desenvolvimento de alguma técnica/metodologia para suprir a

ausência ou falha do data center.
2. Processo e treinamento do uso da contingência.
3. Processo e realizações de cópias de segurança, bem como a verificação do status
dessas cópias, inclusive com simulação de desastres.

Ameaças cibernéticas: uso de técnicas que geralmente exploram a vulnerabilidade de uma

tecnologia (forma de desenvolvimento de uma tecnologia, mas novas versões trarão a
correção adequada), de um processo ou de uma metodologia.

Ataques cibernéticos: ações maliciosas intencionais, provocadas por hackers ou por

funcionários insatisfeitos.

1. obter determinada informação: ferindo a confidencialidade

2. danificar a informação: ferindo a integridade
3. interromper o funcionamento de determinado sistema: ferindo a
disponibilidade

* Redundâncias e contingências são sempre úteis e, quando possível, devem

sempre ser utilizadas.

Ataques de negação de serviço (DOS): tem por objetivo indisponibilizar

determinado sistema ou equipamento (exploradas vulnerabilidades de softwares, de
equipamentos e de algoritmos/protocolos).
 Exemplos: pod (ping of death), syn flood, udp flood e o tcp flood.
Exploram vulnerabilidades na implementação de algum serviço de
rede, sistema operacional ou protocolo utilizado. 

*Ataques distribuídos: quando há mais de uma fonte de emissão de

sinais de ataque destinados a uma ou mais vítimas. É comum haver
uma coordenação que determina a sincronicidade e o momento que os
ataques serão proferidos. A necessidade de coordenação tornou
urgente o desenvolvimento de uma infraestrutura de ataque e
que diversas etapas predecessoras fossem criadas (botnet).

Engenharia social: são usadas as fraquezas humanas para se obter informação (ferir a
confidencialidade) de uma pessoa ou organização.

Exemplos:

Phishing: comumente utilizado para obter dados de cartões de crédito,

visando ao ganho financeiro. Pode ser um e-mail semelhante ao de
uma instituição financeira, um SMS com um link para regularizar uma
situação, uma página (ou post) em uma rede social e até mesmo um
site inteiro clonado.

Pichação de sites (ou defacement): alteração não autorizada de determinado site na

internet através da exploração de vulnerabilidades. É relativamente fácil encontrá-lo em
ferramentas de gestão de conteúdo (CMS), onde o proprietário do site apenas customiza
determinados assuntos no portal, ou faz uso de plug-ins para ofertar novas formas de
interação com o usuário.

Botnets (ou rede zumbi): conjunto de equipamentos que sofreu um ataque, resultando
no controle do equipamento pelo hacker. O ataque é realizado através de um software
chamado bot, que explora uma vulnerabilidade do equipamento e faz a instalação nele. Na
botnet, existem alguns equipamentos cuja finalidade é orquestrar o ataque, permitindo a
manutenção do sigilo do hacker. Esses equipamentos são chamados de centros de comando e
controle. Os bots se assemelham aos worms no que se refere à forma de proliferação, porém
divergem por acatarem às ordens dos centros de comando e controle. Através de botnets é
possível fazer ataques de negação de serviço, envios de e-mails em massa e vários outros.

IP Spoofing: Ocorre quando o atacante forja o seu endereço IP, colocando outro valor
nesse campo, fingindo ser a fonte dos dados de outra origem. É muito comum por explorar a
vulnerabilidade do protocolo.

Pharming ou DNS Cache Poisoning: quando os servidores de DNS são atacados,

visando alterar a troca dos nomes de domínios por endereços IPs e, assim, destinando a vítima
para equipamentos e softwares falsos. Explora vulnerabilidades em determinadas
implementações e marcas de equipamento. É uma técnica difícil de ser identificada pelo
usuário final.

IP Session Hijacking: são programas capazes de alterar a página inicial do navegador. A

conexão entre o cliente e o servidor na internet é realizada através de troca de comandos
HTTP de requisição e resposta, por exemplo. Durante esse processo, é comum ter alguma
sessão de usuário (HTTP Session) configurada e em execução, visando identificar o usuário que
está acessando o portal. Uma das técnicas utilizadas, seja para quebrar a confidencialidade do
usuário, ou para realizar um ataque ao portal, é o sequestro de sessão do usuário. Logo, o
invasor captura essa troca de informações e se faz passar por um dos equipamentos. Trata-se
de uma técnica com certo grau de sofisticação e difícil de ser identificada por gerentes de rede
e usuários finais.

Quebra de senhas: As senhas nos sistemas de informação ficam codificadas no

servidor. A codificação pode ser realizada por meio de técnicas proprietárias do sistema, onde
são desenvolvidos algoritmos específicos de codificação, ou por meio de funções de
condensação, também conhecidas como hash. As quebras de senha podem usar conjuntos
especiais de tabelas, conhecidas como rainbow tables, ou até mesmo a testagem de todas as
combinações possíveis, chamada de força bruta. Nessa técnica, o grau de conhecimento do
atacante determinará a eficácia do ataque.

Hash: São algoritmos criados usando manipulações algébricas que transformam os

dados de entrada em um conjunto finito de números hexadecimais, chamado de hash do
dado. Essas manipulações impedem que os valores iniciais sejam recuperados a partir dos
dados gerados.

Trashing Dumpster Diving: são realizadas buscas nos lixos corporativos na expectativa
de ter sido realizado algum descarte de forma inapropriada. Isso nos remete ao primeiro
módulo, onde tratamos do ciclo de vida da informação. Se o descarte não for feito de forma
apropriada, técnicas como essa permitem a recuperação da informação direto do lixo. Em
muitos países, não há legislação que torne essa técnica ilegal.

Wardriving: Pesquisa de locais físicos contendo sinal de Wi-Fi desprotegido visando à

exploração da vulnerabilidade encontrada. O invasor percorre os espaços públicos procurando
os sinais desprotegidos, podendo ser a pé, de carro ou utilizando drones.

Softwares maliciosos:

Malwares:  infecção dos ativos de TI. Exemplos:

1. Vírus: precisam de um ambiente para a sua execução

2. Cavalo de Troia (relacionado com propaganda*): mascara-se um vetor de
ataque, normalmente um malware, dentro de um documento ou
ferramenta, enganando a vítima do ataque. Software malicioso se faz
passar por outro software.
3. Spywares ou Keyloggers (relacionado com propaganda*): capturam tudo o
que é digitado pelo usuário. captura o comportamento do usuário e envia
para um atacante.
4. Adwares (relacionado com propaganda*): trazem propaganda para o
usuário, sem sua autorização
 * Monitoram o usuário de alguma forma, visando explorar o aspecto
comportamental humano.

5. Ferramentas de suporte usadas indevidamente

6. Exploits: explorar determinadas vulnerabilidades existentes
7. Worms: muitas vezes confundidos com os vírus, utilizam as estruturas de
comunicação para sua disseminação. Pode ocorrer sem o controle da
vítima. Assim que o computador é infectado, o programa malicioso cria
cópias de si mesmo. Se prolifera sozinho através de compartilhamentos de
rede.
8. Sniffers (farejadores) de rede*: permite analisar o tráfego de rede
9. Port scanners*:  permite verificar quais são as portas de comunicação dos
protocolos da camada de transporte que estão disponíveis para conexão.

* Uso mal-intencionado de ferramentas de suporte

10. Ransomware: alto poder de reprodutibilidade, que invade a máquina da

vítima, criptografa os seus dados e solicita um resgate.
11. Backdoor: software malicioso que permite o acesso remoto de um invasor
a um sistema comprometido.
AULA 03

Normas de Segurança da Informação

A importância e a adoção de normas técnicas para o estabelecimento, implementação,

manutenção e melhoria de um Sistema de Gestão da Segurança da Informação (SGSI) em uma
organização, e a seleção de controles inserida no processo de implementação de um SGSI.

O SGSI preserva a tríade CID (confidencialidade, integridade e disponibilidade) da

informação, aplicando um processo de gestão de riscos. Com isso, as partes interessadas
(stakeholders) poderão ter uma maior confiança de que os riscos serão convenientemente
gerenciados.

Segundo a ABNT (2013), é importante que um SGSI seja parte, e esteja integrado com
os processos da organização e com a estrutura de administração global, e que a segurança da
informação seja considerada no projeto dos processos, sistemas de informação e controles.

ISO ‒ International Organization for Standardization:

Conceito: sediada na Suíça, congrega organismos de normalização nacionais.

Principal atividade:

1. Elaborar padrões para especificações e métodos de trabalho nas mais diversas

áreas da sociedade.
2. colabora estreitamente com a International Electrotechnical Commission (IEC) em
todos os assuntos de padronização eletrotécnica.

ISO/IEC27000: princípios e o vocabulário utilizados nas normas seguintes da família 27000

Normas conhecidas Internacionalmente:

 ISO/IEC 27001:2013 ou ABNT NBR ISO/IEC 27001:2013 (Código de Boas Práticas da Gestão da
Segurança da Informação): [DEVE] prover requisitos para estabelecer, implementar, manter e
melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI) e também
possui requisitos para avaliação e tratamento de riscos de segurança da informação voltados
para a necessidade da organização.

Fatores de Influência pra Implantação:

1. Necessidade
2. Objetivos
3. Requisitos de Segurança
4. Processos Organizacionais
5. Tamanho e estrutura da organização

Estrutura de Alto Nível:

 Cláusula 1: Escopo (define os objetivos e resultados que deseja
alcançar com a norma em cada organização)

Cláusula 2: Referência Normativa (normas relacionadas a norma em

foco)

Cláusula 3: Termos e Definições (que estão referenciados na norma)

Cláusula 4: Contexto da Organização (análise da situação da empresa:

identificar fatos internos e externos que podem afetar os resultados
almejados, os requisitos e os stakeholders; construir o escopo
documentado e definir limites para o sistema de gestão)

Cláusula 5: Liderança (assegurar os resultados; a integração dos

requisitos no processo de gestão da empresa; alocar os recursos
necessários; proceder com a comunicação da importância do sistema
de gestão para promover a participação dos funcionários)

Cláusula 6: Planejamento (definir riscos e oportunidades levantados na

cláusula 4. Traça o tratamento dos riscos futuros substituindo ações
corretivas por ações preventivas)

Cláusula 7: Suporte (tipos de suportes pra atingir as metas: recursos,

comunicações, documentos)

Cláusula 8: Operação (processos internos e terceirizados, incluindo

formas de controle e gestão de eventuais mudanças desses processos)

Cláusula 9: Avaliação de Desempenho (monitorar, medir, analisar e

avaliar a conformidade do sistema de gestão com os requisitos da
organização, bem como a norma, incluindo a auditoria)

Cláusula 10: Melhoria (estratégias para não-conformidade, ações

corretivas e melhoria contínua)

O que é:

1. Metodologia estruturada reconhecida internacionalmente dedicada à

segurança da informação
2. Processo definido para validar, implementar, manter e gerenciar a
segurança da informação
3. Grupo detalhado de controles compreendidos das melhores práticas de
segurança da informação
4. Desenvolvido pelas empresas para as empresas

O que NÃO é:

1. Padrão técnico
2. Produto ou tecnologia dirigida
 3. Metodologia de avaliação do equipamento
4. Pode exigir a utilização de níveis de Garantia dos Equipamentos

Anexo L, seção da ISSO/IEC Directives, Part 1, Consolidated ISO Suplement: padroniza

definições e estruturas de diferentes sistemas de gestão ISO. Assim, a norma está
alinhada com outros padrões de sistemas de gestão, como ISO 9001, ISO 14000, ISO
20000, ISO 22000, ISO 22301. Todas as normas de sistema de gestão do futuro terão a
mesma estrutura de alto nível (tabela 1)*, texto principal idêntico, bem como termos e
definições comuns.

* A estrutura de alto nível não pode ser modificada, por sua vez, podem ser
acrescentadas subcláusulas e textos específicos para cada disciplina abordada.

Finalidades:

1. Eficácia melhorada da Segurança da Informação

2. Diferenciação do mercado
3. Satisfazer exigências dos clientes
4. Único padrão com aceitação global
5. Responsabilidades focadas na equipe de trabalho
6. Tecnologia da Informação cobre padrões tão bem quanto a organização,
pessoal e facilidades
7. Mandados e leis

Benefícios:

1. Responsabilidade reduzida devido às políticas e aos procedimentos não

implementados ou reforçados
2. Oportunidade de identificar e eliminar fraquezas
3. Gerência participa da Segurança da Informação
4. Revisão independente do seu SGSI
5. Fornece segurança a todas as partes interessadas
6. Melhor consciência da segurança
7. Une recursos com outros sistemas de gerenciamento
8. Mecanismo para medir o sucesso do sistema

ISSO/IEC27002 ou ABNT NBR ISO/IEC 27002: [CONVÉM] finalidades e benefícios

Cada seção principal da norma contém:

1. Objetivo do controle declarando o que se espera que seja alcançado

2. Um ou mais controles que podem ser aplicados para se alcançar o objetivo
de controle

Descrições do controle:

1. Controle: é uma medida que pode modificar o risco, através de um

processo, política, dispositivo, prática ou outras ações que modifiquem a
 ameaça e/ou vulnerabilidade e, consequentemente, o risco. Define a
declaração específica do controle, para atender ao objetivo de controle.
2. Diretrizes para implementação: apresenta informações mais detalhadas
para apoiar a implementação do controle e alcançar o objetivo do
controle. Podem não ser totalmente adequadas ou suficientes em todas as
situações e podem, portanto, não atender completamente aos requisitos
de controle específicos de uma organização.
3. Informações adicionais: apresenta mais dados que podem ser
considerados, como questões legais e referências normativas. Se não
existem informações adicionais, essa parte não é mostrada no controle.