Conteúdo Psi Completo

Segurança da Informação
Profª. Edna Mataruco Duarte

Informações corporativas e a Evolução do ambiente
Ciclo de vida da informação
CIDAL – Aula 1
Ementa
 Abordagem dos principais conceitos relacionados à

Segurança da Informação como requisitos de segurança,
políticas, vulnerabilidades e outros tópicos relacionados.
Discussões relacionadas ao panorama da área de
Segurança da Informação no Brasil e em outros países
possibilitando a elaboração de uma visão geral sobre as
funções dessa área.
Profª. Edna
1
Objetivo
 Compreender o papel da Segurança da Informação nas
organizações, ter uma visão abrangente sobre os aspectos
que envolvem essa atividade bem como sobre os
profissionais que atuam nesta área e de seu relacionamento
com o restante da organização. Compreender a necessidade
de elaboração e aplicação de controles no que diz respeito à
Segurança Física e Lógica (incluindo acesso) dos recursos
de Tecnologia da Informação nas organizações.
Compreender as funções de Gestão da Segurança da
Informação e que estão inter-relacionadas na definição de
um planejamento global, estratégico e operacional de
Segurança da Informação nas organizações.
Profª. Edna
Avaliação
 Avaliação
 N1
 Prova (0-7 ptos) – 10/10/2020
 Atividades (0-3 ptos)
 N2
 Prova (0-6 ptos) – 28/11/2020
 Trabalho (0-4 ptos) - 28/11/2020
 N3
 Prova (0-7 ptos) – 12/12/2020
 Atividades (0-3 ptos)
Profª. Edna
2
Definições
 Segurança da informação
 “É a proteção da informação contra vários tipos de ameaças para
garantir a continuidade do negócio, minimizar riscos, maximizar
retorno sobre os investimentos e as oportunidade de negócios”
[ISO 27002]
 Informação
 Algo que se conhece e em que se baseia para racionalizar.
Marcos Sêmola
Profª. Edna
Valor da informação
 Possuir informação é ganhar agilidade, competividade, previsibilidade, dinamismo.
 Informação é um diferencial (Informações úteis que podem ser usadas a seu favor ou
contra você e sua empresa).
Profª. Edna
3
Informações corporativas e a evolução do ambiente
computacional
 Informação é o maior patrimônio para muitas empresas por este motivo deve
ser protegida, não é uma atividade simples.
 Para que seja possível obter um nível aceitável de segurança, não basta reunir um
conjunto de ferramentas de software e implementá-las. Os seus resultados
tornam-se mais eficazes quando sua atualização está dentro do contexto de um
Plano de Segurança, elaborado em conjunto pelos níveis estratégicos, tático
e operacional da empresa.
 Por outro lado, com o aumento da competitividade, e visando o aumento da
qualidade dos serviços prestados, uma tendência natural nas Organizações
é o aumento da confiança e da dependência nos sistemas computacionais.
Antes, havia um conjunto de sistemas que estavam fora da rede, agora, o negócio
da empresa gira em torno de um conjunto de sistemas, todos interligados e
disponíveis 24 horas por dia em muitos casos, fazendo com que o nível de
exposição aos riscos, em muitas empresas despreparadas sob o ponto de vista da
segurança, aumente.
Profª. Edna
computacional
 Estes riscos, muitas vezes herdados da Internet, e que no passado não existiam,
agora fazem parte do dia-a-dia das empresas. Além dos riscos externos, os riscos
internos continuam fazendo parte deste cenário, que também é muito
preocupante.
 É nesse momento que surge a necessidade de um Programa de Segurança da
Informação, que tem como objetivo garantir a continuidade do negócio e
minimizar os danos causados à Organização através da prevenção e redução
dos impactos gerados por incidentes de segurança.
 Segurança questão-chave para às empresas oferecendo a liberdade para a
criação de novas oportunidades de negócio.
 É claro que as medidas de segurança não asseguram 100% de proteção contra
todas as ameaças, mas a definição das expectativas da Organização, com
relação ao comportamento e os procedimentos necessários no manuseio dos
seus bens/ativos, deverão estar mais do que enraizados na cultura da
empresa, pois segurança não é só uma questão técnica, mas de política e
educação empresarial.
Profª. Edna
4
computacional
 Segurança da Informação é resolvida somente com softwares desenvolvidos para
segurança?
 Abrangência :
 Análise de Risco
 Política de Segurança
 Controle de Acesso Físico e Lógico
 Treinamento e Conscientização para a Segurança da
Informação
 Plano de Continuidade de Negócios
 Entre outros.
Profª. Edna
computacional
 Negócio
 Dependência dos negócios
Profª. Edna
10
5
computacional
 Negócio
 Dependência dos negócios
 Processos
“1. Método, sistema, modo de fazer uma coisa; 2. Conjunto
de manipulações para obter um resultado; 3. O conjunto
dos papéis relativos a um negócio”.
 Ativos
 Qualquer elemento que tenha valor para a organização
[ISO 27002];
 Ameaças
 Causa potencial (agente) de um incidente indesejado, que
pode resultar em dano para um sistema ou organização
Profª. Edna
11
computacional
 Negócio
 Fatores motivacionais
 Seguir uma tendência de mercado
 Ser reconhecida como uma empresa visionária
 Estar a frente da concorrência / Não ficar atrás da
concorrência
 Demonstrar solidez
 Atrair investidores
 Fortalecer a imagem de credibilidade da marca
 Respeitar regulamentações setoriais ou leis
Profª. Edna
12
6
computacional
 Negócio
 Retorno do investimento (Market Share, significa participação de mercado, em português, é a fatia ou quota de
mercado que uma empresa tem no seu segmento ou no segmento de um determinado produto. O Market Share serve para avaliar a força e as
dificuldades de uma empresa, além da aceitação dos seus produtos).
Profª. Edna
13
computacional
 Negócio
 Tendência / Ampliação do perímetro
Profª. Edna
14
7
computacional
 Negócio
 Desafios
 Priorização
 Equilíbrio
 Mitigação
Profª. Edna
15
computacional
 Negócio
 Gestão
Profª. Edna
16
8
computacional
 Negócio
 Problemas
 POR QUE proteger as informações?
 Valor direto
 Impacto de sua ausência
 Impacto resultante de seu uso por terceiros
 Relação de dependência com sua atividade
 QUANDO proteger as informações?
 Durante o ciclo de vida
 Manuseio
 Armazenamento
 Transporte
Profª. Edna
 Descarte
17
computacional
 Negócio
 Problemas
 ONDE proteger as informações?
 Nos ativos que as custodiam
 Físicos
 Tecnológicos
 Humanos
Profª. Edna
18
9
computacional
 Negócio
 Problemas
 O QUE proteger as informações?
 Os atributos principais
 Confidencialidade
 Integridade
 Disponibilidade
 Outros aspectos – LEGALIDADE e AUTENTICIDADE
 CIDAL é um acrônimo para os atributos principais da informação

(CID – a tríade da Segurança da Informação –Confidencialidade,
Integridade e Disponibilidade), somados aos atributos
considerados complementares: Autenticidade e Legalidade
Profª. Edna
19
computacional
 Negócio
 Problemas
 CIDAL
 Confidencialidade: é uma propriedade da informação que define a dimensão do grupo de
pessoas e sistemas que necessitam possuir acesso à informação
 Certeza de que o que foi dito, escrito ou falado será acessado somente por pessoas autorizadas;
 Integridade: Por definição, a garantia de integridade busca evitar que TERCEIROS, ou seja,
elementos não autorizados a acessar a informação, consigam alterá-la ou corrompê-la.
Mecanismos de garantia de integridade não são eficazes quando a alteração é feita pelo elemento
que possui as credenciais para fazê-lo;
 Garantia de que a informação não foi alterada (de forma indevida ou não-autorizada);
 A quebra da integridade ocorre quando a informação é corrompida, falsificada ou roubada;
 Disponibilidade: Este atributo está ligado a uma demanda temporal que a empresa possui para
tomada de decisões, para as quais as informações são essenciais. Se não existem, precisam ser
construídas para que uma decisão adequada possa ser tomada, e isso pode ser inviável para o
negócio. Além disso, caso as informações existam, e rápidas decisões precisam ser tomadas,
existe a demanda de alta disponibilidade, definindo a necessidade de mecanismos de redundância
de equipamentos e enlaces, replicação de bases de dados, etc
Profª. Edna
20
10
computacional
 Negócio
 Problemas
 CIDAL
 Autenticidade: É considerado atributo complementar por ser necessário a todos os outros. Se a
informação é confidencial, serão necessários mecanismos auxiliares de autenticidade para
garantir que a pessoa ou sistema que está acessando a informação realmente é quem diz ser e
está autorizado a acessá-la.
 Legalidade: Atualmente, a sua ausência é a causadora da maioria dos grandes incidentes de

segurança das empresas. Pessoas habilitadas para acesso à informação se corrompem e usam os
seus direitos físicos e tecnológicos de acesso à informação para obterem vantagens financeiras.
A ausência de mecanismos corretivos legais, tanto em nível federal / estadual / municipal quanto
corporativo, criam um ambiente propício às fraudes. A incapacidade das empresas em lidar com
funcionários que se corrompem e cometem atos contrários aos interesses das empresas.
Profª. Edna
21
Atividade I
1. CIDAL
Profª. Edna
22
11
Atividade I
2. CIDAL
Profª. Edna
23
Atividade I
2. CIDAL
Profª. Edna
24
12
Conceitos básicos de Segurança de Informação

 Definições
 Ativos – manipula a informação direta ou indiretamente, inclusive
a própria informação.
 Risco - tudo aquilo que pode afetar o negócio e impedir que este
alcance seus objetivos.
 Corresponde a um grau de perda ou a possibilidade de um impacto
negativo ao negócio.
 Um risco existe quando uma ameaça, com potencial para causar
algum dano, possui uma vulnerabilidade correspondente com alto
índice de probabilidade de ocorrência no ambiente computacional e
um baixo nível de proteção.
Profª. Edna
25

 Como surgem os riscos?
Profª. Edna
26
13

 Definições
 Vulnerabilidade
 Ponto no qual qualquer sistema é suscetível a um ataque, logo, uma
condição encontrada em determinados recursos, processos,
configurações, etc.
 Condição causada muitas vezes pela ausência ou ineficiência das

medias de proteção utilizadas com o intuito de salvaguardar os bens
da empresa.
Profª. Edna
27

 Tipos de vulnerabilidade
 Físicas:
 Falta de extintores;
 Salas de CPD mal projetadas;
 Falta de detectores de fumaça e de outros recursos para combate a
incêndio;
 Vulnerabilidades Naturais
 Possibilidade de desastres naturais (incêndios, enchentes, terremotos,
tempestades);
 Acúmulo de poeira, aumento de umidade e de temperatura;
Profª. Edna
28
14

 Hardware
 Falha nos recursos tecnológicos (desgaste, obsolescência, mal uso);
 Erros ou problemas durante a instalação.
 Software
 Erros na instalação ou na configuração que podem acarretar acessos
indevidos;
 Falhas e bugs nos Sistemas Operacionais;
 Falhas em programas que implementam serviços de rede.
Profª. Edna
29

 Mídias
 Disquetes antigos com informações importantes;
 Fitas magnética de baixa qualidade;
 Relatórios e impressos podem ser perdidos ou danificados;
 Comunicações
 Constantes falhas nos links;
 Tráfego de informações confidenciais sem proteção adicional
(criptografia);
 Perda de comunicação
Profª. Edna
30
15

 Humana
 Falta de treinamento;
 Compartilhamento de informações confidenciais;
 Não execução de rotinas de segurança;
 Falta de comprometimento dos funcionários.
Profª. Edna
31

 Incidente de segurança
 Qualquer evento que prejudique o bom andamento dos sistemas, das
redes ou do próprio negócio.
 Pode ser o resultado de uma violação de segurança
concretizada, um acesso não autorizado ou até mesmo
um site tirado do ar pela ação de um hacker.
Profª. Edna
32
16

 Considerações
 Vulnerabilidades X incidente de segurança
 A vulnerabilidade é a principal causa da ocorrência
de incidentes de segurança.
 Vulnerabilidade X medidas de proteção

 Os riscos estão ligados ao nível de vulnerabilidades
e o grau de eficiência da proteção.
Profª. Edna
33

 Medidas de segurança
 Esforços como procedimentos, software, configurações, hardware
e técnicas empregadas para atenuar as vulnerabilidades com o
objetivo de reduzir a probabilidade de ocorrência da ação de
ameaças e, por conseguinte, os incidentes de segurança.
 Estratégicas de segurança
 Medida Preventiva
 Medida Detectiva
 Medida corretiva
Profª. Edna
34
17

 Medidas de segurança
 Esforços como procedimentos, software, configurações, hardware
e técnicas empregadas para atenuar as vulnerabilidades com o
objetivo de reduzir a probabilidade de ocorrência da ação de
ameaças e, por conseguinte, os incidentes de segurança.
 Estratégicas de segurança
Profª. Edna
35

 Prevenção da ocorrência de incidentes de segurança
 Necessidade de obter auditoria, monitoramento e detecção em
tempo real de tentativas de invasão.
 Propor mecanismos para a continuidade das operações
Profª. Edna
36
18

 Ameaças
 Eventos que podem violar sistemas e causar incidentes de
seguranças.
 Tipos de ameaças:
 Intencionais
 Podem variar entre o uso de técnicas e ferramentas simples até os
ataques mais sofisticados.
 Acidentais
 Não estão associadas à intenção premeditada
 Passivas
 Não resultam em qualquer modificação nas informações contidas em um
sistema, em sua operação ou em seu estado
Profª. Edna
37

 Ameaças
 Ativas
 Envolve a alteração da informação ou modificações em seu estado ou
operação.
 Exemplos:
 Vírus eletrônico
 Funcionário insatisfeito
 Software pirata na empresa
 Divulgação de senhas
 Espionagem industrial
 Sabotagem
 Etc.
Profª. Edna
38
19

 Origem das ameaças
 Interna
 Estão presentes no dia-a-dia das Organizações independentes de
estarem conectados ou não à Internet.
 Externa
 Representam todos os ataques oriundos de fora do ambiente
organizacional com o objetivo de explorar as vulnerabilidades de um
determinado sistema computacional para um finalidade qualquer.
Profª. Edna
39
Análise de risco
 Processo de identificação e avaliação dos fatores de risco
presentes, e de forma antecipada no Ambiente
Organizacional, possibilitando uma visão do impacto
negativo causado ao negócio.
 Prioridades de ação em função do risco identificado, para

que seja atingido o nível de segurança desejado pela
Organização.
 Aponta os possíveis perigos e suas consequências em

virtude das vulnerabilidades presentes no ambiente
computacional de muitas empresas. Profª. Edna
40
20
Análise de risco
 Este processo deve, no mínimo, proporcionar as seguintes
informações:
 Pontos vulneráveis do ambiente;
 Ameaças potenciais ao ambiente;
 Incidentes de segurança causado pela ação de cada ameaça;
 Impacto negativo para o negócio a partir de cada incidente de
segurança;
 Medidas de proteção adequadas para impedir ou diminuir ou
diminuir o impacto de cada incidente.
Profª. Edna
41
Análise de risco
 Peça fundamental para a obtenção da qualidade em um
programa de segurança, pois ajudará a identificar todos
os pontos críticos e falhos de proteção em todos os
processos, configurações, documentações, enfim, tudo
que possa ser valioso para a atividade da Organização.
 Muitas empresas gastam fortunas investindo em

ferramentas caríssimas com a ilusão de que todos os
problemas estarão resolvidos.
Profª. Edna
42
21
Análise de risco
 Questionamentos:
 Que ativos devem ser protegidos?
 Quais ativos críticos deverão ter proteção adicional?
 Quais serviços na rede deverão estar disponíveis para os
funcionários?
 Quem terá acesso a esses serviços?
 Quem poderá conceder autorizações e privilégios para o acesso
aos sistemas?
 Que software permitir nas estações de trabalho?
 Como proceder quando programas não aprovados/piratas forem
encontrados nas estações de trabalho?
Profª. Edna
43
Análise de risco
 Abrangência
 Controle de acesso aos sistemas críticos da empresa.
 Análise de segurança das estações de trabalho e notebooks.
 Análise de segurança física e lógica dos servidores de rede.
 Análise da segurança contra contaminação por vírus.
 Avaliação da configuração do firewall X Política de Segurança.
 Criptografia de dados (e-mails e informações confidenciais).
 Análise da política de backup.
 Análise da segurança do acesso físico aos locais críticos da
empresa.
 Análise da existência de softwares piratas na empresa.
 Plano de Contingência.
Profª. Edna
 Etc.
44
22
Análise de risco
 Os três pilares da segurança
 Segurança Física.
 Segurança Técnica.
 Segurança Lógica.
 Os três são necessários e complementares. A gerência deve ser integrada sendo que
recursos e investimentos deverão ser cuidadosamente distribuídos.
 Técnicas de análise de risco

 A análise de risco deve ser feita considerando vários aspectos como:
 ativos;
 ameaças;
 vulnerabilidades.
 Para cada cenário deverão ser:
 previstos os prejuízos;
 recursos envolvidos para evitar a concretização do risco no cenário;
 custos;
 benefícios. Profª. Edna
45
Análise de risco
 Classificação dos ativos
 Os ativos podem ser classificados em tangíveis e intangíveis:
 Tangíveis
 Aplicações: software ou pacotes de aplicativos existente. Devemos analisar e
verificar quais deles causam maior impacto ao negócio do cliente.
 Equipamentos: máquinas, computadores e mídias, ou seja, qualquer tipo de
equipamento que manipule informações.
 Informações: tecnologias, patentes, planejamentos, senhas, pastas ou outras
informações estratégicas que devam ser protegidas.
 Organização: localização dos escritórios ou áreas departamentais de importância
relevante, como por exemplo, a estrutura dos servidores.
 Usuários: alta administração, administradores de rede, operadores de sistemas
críticos, prestadores de serviço e usuários chave.
 Intangíveis
 Imagem, reputação, credibilidade, habilidade de desenvolvimento de alguma
atividade.
Profª. Edna
46
23
Análise de risco
 Conhecendo os riscos, ameaças e vulnerabilidades poderemos tomar
4 atitudes
 Aceitar: só se justifica quando o custo de implementação é maior que o impacto
negativo que o risco poderá trazer.
 Diminuir: colocar em práticas ações com o objetivo de reduzir o risco.
 Ignorar: Não dar nenhum tipo de importância e acreditar que nada irá acontecer.
 Transferir: transferir o risco para um terceiro, criando compensações, quase
sempre menores, sobre as perdas
Profª. Edna
47
Análise de risco
 Técnicas de análise de risco
 Análise subjetiva: documentos são escritos com vários cenários como base para
sessão de brainstorming”.
 Análise quantitativa: orientada a mensurar os impactos financeiros provocados por
uma situação de quebra de segurança a partir da valoração dos próprios ativos.
Para cada ameaça quantificar a sua incidência. Estimar o valor dos prejuízos que
pode causar. Estimar o custo de combater a ameaça. Pesar as várias ameaças
para obter um valor final.
 Análise qualitativa: orientada por critérios que permitem estimar os impactos aos
negócios provocados pela exploração de uma vulnerabilidade por parte de uma
ameaça. Baseia-se em critérios e classificações que podem pegar ao mesmo
tempo valores tangíveis e intangíveis. Esta tem se demonstrado com eficiência
superior pois abrange o processo como um todo.
Profª. Edna
48
24
Análise de risco
 Impacto
 É o conceito utilizado para medir os efeitos positivos ou negativos que uma
determinada atividade pode causar.
 Como impactos podemos citar:
 Perda financeira; Abalo na imagem; Multas ou sanções; Perda de investidores; Prejuízo
operacional; Aumento no custo operacional; Parada no negócio da empresa; Perda de
ativos; Alteração na quantidade de pessoas para a execução do processo; Redução da
margem de lucro e etc..
Profª. Edna
49
25
Método GUT para análise de riscos– Aula 4

Profa. Edna Mataruco
Segurança de Redes
Método GUT para análise de riscos
 Mapeamento de processos
 Identificar e mapear os processos internos é uma atitude que ajuda a
empresa a se tornar mais competitiva otimizando o tempo e alcançando
melhores resultados. Trata-se de uma ferramenta simples, que pode ser
adotada por organizações de qualquer porte ou área de atuação, com
inúmeros ganhos principalmente na segurança da informação. Qualquer
organização é composta por um conjunto de processos tanto de natureza
técnica como social. Estes processos são as atividades de negócio
típicas que a empresa desenvolve para gerar valor, satisfazer as
necessidades dos seus clientes e criar rendimento.
 Processo
 Processo é um grupo de tarefas interligadas logicamente, que utilizam os recursos
da organização para gerar os resultados definidos, de forma a apoiar os seus
objetivos. Teoricamente, a transformação que nele ocorre deve adicionar valor e
criar um resultado que seja mais útil e eficaz ao recebedor acima ou abaixo da
cadeia produtiva.
Profª. Edna
1
Segurança de Redes
 O método GUT é uma ferramenta de auxílio na priorização de ações, especialmente
quando elas não apresentam dados quantificáveis. É um trabalho em grupo e a
priorização pode ser feita utilizando consenso ou multivotação.
 O consenso é obtido a partir de uma argumentação lógica acerca do grau de gravidade,
urgência e tendência das questões/problemas em análise.
 Gerar consenso a partir de argumentação lógica não é tarefa simples, mas possibilita a participação
democrática, considerando a opinião de todos os participantes, com o cuidado de não perder o foco, caindo
em discussões inócuas e sem resultados.
 O método da multivotação, onde cada um vota em suas prioridades em cada uma das
dimensões GUT, pode agilizar o processo, mas deve ser complementado com um
consenso debatido para priorização final dos 3 itens mais votados.
Profª. Edna
Segurança de Redes
 Matriz de G.U.T (Gravidade, Urgência e Tendência)
 A prioridade das ações a serem executada pode ser encontrada utilizando a matriz de G.U.T (gravidade,
urgência e tendência). A definição da prioridade final é composta pela análise e pelo produto das 3 dimensões
do GUT (Impacto = Gravidade X Urgência x Tendência).
 Dimensão gravidade
 Nesta linha de análise deve ser considerada a severidade dos impactos relacionados ao
processo do negócio analisado. Por exemplo: o que seria do Telemarketing se toda a base de
dados dos clientes fosse corrompida?
 Dimensão urgência
 Nesta linha de análise deve ser considerado o tempo da duração dos impactos relacionados ao
processo de negócio que esta sendo analisado. Por exemplo: o que aconteceria com a empresa
do exemplo anterior se a base continuasse corrompida por mais de 07 dias?
 Dimensão tendência
 Nesta linha de análise deve ser considerado a oscilação dos impactos relacionados ao
processo analisado. Por exemplo: o que aconteceria com a empresa do exemplo anterior se a
base ficasse comprometida a curto, médio e longo prazo?
Profª. Edna
2
Segurança de Redes
 Como se processa:
 Listar os problemas ou os pontos de análise;
 Pontuar cada tópico;
 Classificar os problemas;
 Tomar decisões estratégicas
 Classificação
Profª. Edna
Segurança de Redes
 Impacto (o responsável pelo processo é que indica os pesos)
 Impacto = Gravidade x Urgência x Tendência
 Sistema de coloração da matriz de G.U.T

 Os valores obtidos depois da análise são multiplicados gerando o
impacto final, sendo que a faixa dos valores possíveis vai de 1 a
125. O objetivo da matriz de GUT é facilitar a identificação rápida
dos processos e suas prioridades. O resultado final é posicionado
por cores onde:
 as faixa de 1 a 42  cor verde
 as faixa de 43 a 83  cor amarela
 as faixa de 84 a 125  cor vermelha
 Desta forma poderá ser visto qual ativo ou processo tem maior
impacto negativo em caso de incidente.
Profª. Edna
3
Segurança de Redes
 Exemplo:
Profª. Edna
Segurança de Redes
Método GUT para análise de riscos - Atividade
 Mapeamento de riscos
 Cada grupo deverá escolher 3 processos, sendo estes os principais
da empresa. Para cada processo deverão ser apontados 3 ativos.
Para cada ativo deverão ser apontadas 3 vulnerabilidades. Para
cada vulnerabilidade deverá ser apontado uma ameaça que possa
explorar esta vulnerabilidade. Para cada ameaça identificar um
método de controle mitigador da mesma. Depois aplicar o método
de GUT.
Profª. Edna
4
Segurança de Redes
Análise de Risco
 Como analisar o meu risco?
 Existem diversas formas de calcular o risco, tudo dependerá dos
índices a serem utilizados. Um exemplo de fórmula que poderia ser
utilizada seria fazer a seguinte equação matemática.
 Risco = ((T.A X T.V X T.I)/M) onde:
 R = Risco
 T.A = Total das Ameaças
 T.V = Total das Vulnerabilidades
 T.I = Total dos Impactos
 M = Medidas de Proteção
 Nesta fórmula ainda poderia ser acrescentada a variável P, onde P é a
probabilidade de ocorrer o evento (vezes por ano)
 ((T.A X T.V X T.I)/M)*P
Profª. Edna
Segurança de Redes
Análise de Risco
 Revisão constante dos Riscos/Ameaças/Vulnerabilidade

 Este trabalho não deve ser feito apenas uma única vez. Novos
riscos, ameaças e vulnerabilidades podem surgir. Mudanças nos
ambientes são uma constante. Os riscos podem ser identificados,
porém, não é possível sua total eliminação. Os riscos podem ser
quantificados, porém, não é possível quantificar na sua totalidade.
Não importa quanto seja seguro um sistema, computador ou rede,
pois sempre poderá ser atacado.
 O sucesso no ataque depende dos recursos, tempo, motivação e
dinheiro empregado.
 Exemplo: calcula-se que o roubo de dados de 1 unidade de smart card, custe
R$ 100.000,00 envolvendo equipamentos e habilidades que o atacante deverá
possuir.
Profª. Edna
10
5
Segurança de Redes
Análise de Risco
 Como saber se é melhor investir em segurança ou não

fazer nada?
 Após fazer a análise de risco é recomendável fazer a análise de
custo benefício, para determinar qual será o custo da perda caso
uma ameaça se concretize. Este cálculo pode ser simples ou
complexo dependendo das abordagens e dos ativos envolvidos:
 É necessário trocar o equipamento.
 É necessário reparar o equipamento.
 É necessário recriar o ambiente.
 É necessário recriar a informação (este é o mais complexo e o mais
caro).
Profª. Edna
11
Segurança de Redes
Análise de Risco
 Fluxo da análise de risco

 Escopo / Ativos / Vulnerabilidades / Ameaças / Impacto /
Probabilidade / Risco
 Valor do ativo
 Valor da reposição
 Valor da informação no mercado
 Valor da perda aos negócios
 Valor da perda da credibilidade
 Determinação da probabilidade
 Registros históricos
 Conhecimentos e experiências
 Observar as medidas de segurança já implementadas;
Profª. Edna
12
6
Segurança de Redes
Análise de Risco
 Erros comuns na Análise de Risco
 Um escopo muito abrangente
 Período de tempo da análise ou muito longo ou muito pequeno
 Falta de comprometimento da Alta Direção
 Basear-se exclusivamente em tecnologia
 Basear-se exclusivamente nas pessoas
 Falta de verbas para mitigação
 Não conhecimento total do negócio da empresa
 Falta de tempo
Profª. Edna
13
7

Política de Segurança de Informação – Aula 5
Políticas de Segurança
 Conjunto de leis, regras e práticas que regulam como uma

organização gerencia, protege e distribui suas informações e
recursos. É um documento que formaliza e detalha todo o conceito
informal ou formal sobre segurança, podendo este ser físico ou lógico
e que deverá ser aplicado na empresa. Permite o estabelecimento de
limites (direitos e deveres) dos usuários ou departamentos ao
utilizarem os recursos da empresa. Como cada empresa tem sua
metodologia, recursos e conceitos, não existe um receita pronta para
todas. Por isso, cabe a cada organização decidir a complexidade e
severidade que deverá ser implementada de acordo com a sua
necessidade..
Profª. Edna
1
 Importância
 Na medida em que o tempo passa, aumenta-se a dependência das empresas no
uso de computadores e sistemas. Esta dependência é necessária para que ela se
torne eficiente e a partir daí, gere mais negócios.
 Dessa forma, a informação passa a ter um valor estratégico e tático para as

Organizações. Hoje em dia, a informação é o ativo mais valioso para muitas
empresas.
 Diante deste cenário a Política de Segurança passa a ter uma importante função,
pois visa à proteção dos ativos da Organização para que os negócios não parem e
ocorram dentro de um ambiente harmônico e seguro.
Profª. Edna
 Os 3 blocos e as camadas de atuação da Política de Segurança

 No caso da política de segurança a mesma pode ser subdividida em três
blocos (Diretrizes, Normas e Procedimentos) sendo destinados
respectivamente às camadas estratégica, tática e operacional:
 Camada Estratégica: define o rumo a ser seguido.
 Camada Tática: define a padronização para melhor controlar e fazer com que
todos os pontos da empresa tenham o mesmo nível de segurança.
 Camada Operacional: detalha se os procedimentos estão formalmente
descritos. Um procedimento deverá possuir apenas um método de execução.
Profª. Edna
2
 Exemplo: Autenticação
 Estratégico:
 A autenticação nos sistemas de informática serão baseadas em uma senha.
Esse meio é muito utilizado por sua facilidade de implantação e manutenção e
por seu baixo custo. Infelizmente esse meio também é o mais inseguro.
 Tático:
 Senhas como nome de usuário, combinações simples (abc123), substantivos
(casa, meia, cadeira), datas (20130405) e outros são fáceis de descobrir.
Então aprenda a criar senha de forma coerente, observando nossa política de
senha.
 As senhas terão um tempo de vida útil determinado pela equipe de segurança.
 Tudo que for executado com a sua senha será de sua inteira
responsabilidade, por isso tome todas as precauções possíveis para manter
sua senha secreta.
Profª. Edna
 Exemplo: Autenticação
 Operacional:
 Uma senha segura deve conter no mínino 7 caracteres alfanuméricos (letras e
números) com diferentes caixas.
 Para facilitar a memorização das senhas utilize os exemplos:
 eSu6C  eu Sempre uso 6 CARACTERES
 s3Nh45  A palavra senha onde o 3 substitui o E, o 4 o A e o 5 o S
 Caso desconfie que sua senha não está mais segura, sinta-se à vontade para
alterá-la, mesmo antes do prazo determinado de validade.
Profª. Edna
3
 Filosofia dos Planos

 Fechado: tudo aquilo que não é permitido é explicitamente proibido.
 Aberto: tudo aquilo que não é proibido explicitamente é permitido.
 A documentação da política de segurança apresenta uma série de
dificuldades, tais como:
 elaborar;
 imprimir;
 distribuir;
 implementar (colocar em execução);
 ensinar (educar);
 atualizar.
Profª. Edna
 Os 4 P’s dos planos de Segurança

 Existem diversas filosofias para planos de segurança, mas podemos citar
os principais tipos:
 Paranóico: tudo é proibido, mesmo aquilo que deveria ser permitido.
 Proibitivo: tudo aquilo que não é permitido é explicitamente proibido.
 Permissivo: oposto ao proibitivo. tudo aquilo que não é proibido é
explicitamente permitido.
 Promíscuo: tudo é permitido, incluindo aquilo que deveria ser proibido.
Profª. Edna
4
 A segurança é um fator crítico de sucesso

 A segurança se faz protegendo todos os elos da corrente, todos os ativos que
compõem seu negócio. Se algum componente falhar, todo o processo estará
prejudicado. Podemos compará-la a um guarda-chuva, onde sempre aparecerá
um lugar desprotegido.
 Procedimentos de Segurança
 Um procedimento de segurança deverá possuir as características a seguir:
 ser fácil de entender ou não será posto em prática;
 ter sua finalidade explicada ou será ignorado;
 ser implementado com energia ou exceções serão criadas e virarão regras;
 possuir sanções para os violadores;
 cada colaborador deverá conhecer apenas os procedimentos de segurança
que lhe dizem respeito;
 deve estar documentado formalmente e incluir diretivas claras. Profª. Edna
 Formato dos procedimentos de segurança

 O procedimento de segurança deverá possuir as seguintes
características:
 ser aprovado pelo mais alto nível da hierarquia da empresa.
 ser claro.
 ser conciso.
 ser elaborado por um responsável direto (CSO).
 ser dirigido para atingir o nível de segurança adequado aos
bens que se quer proteger.

 causar o mínimo de alterações no funcionamento da
organização.
 não deve ser muito específico.
Profª. Edna
10
5
 Formato dos procedimentos de segurança

 ser possível executar.
 deve quantificar os recursos necessários para seu
funcionamento.
 deve prever as ações concretas e quem as realiza.
 deve prever o que fazer em casos de falha na execução dos
procedimentos (plano B).
Profª. Edna
11
 Fatores para o sucesso da política de segurança

 A política de segurança deverá ter o aval da pessoa mais
graduada (CEO, Presidente, etc), a fim de evitar tentativas de
coação / pressão dos administradores.
 Possuir cultura organizacional (consciência coletiva).
 A alta direção deve estar comprometida e dar amplo apoio aos
seus implementadores.
 Deve ter bom entendimento dos requisitos de segurança,
avaliação e gestão de riscos.
 A presença de um marketing interno eficaz para a segurança
dentro da organização.
Profª. Edna
12
6
 Fatores para o sucesso da política de segurança

 Divulgação para todos os funcionários e contratados (Guia da
Política de Segurança da Informação).
 Treinamento.
 Alocação de recursos pessoais e financeiros.
 Procurar embasamento jurídico, principalmente no tocante a
ações / punições eventuais a serem aplicadas.
 E muita cooperação.
Profª. Edna
13
 Quem são os diretores responsáveis dentro das empresas

 CIO - chief information officer
 Responsável pelo planejamento e estratégia por trás da tecnologia. Pode ser
também chief imagination officer.
 CFO - chief financial officer
 Um nome mais sofisticado para diretor de finanças.
 CEO - chief executive officer
 É o cargo mais alto da empresa. É chamado também de presidente, principal
executivo, diretor geral, entre outros. Quando existe um presidente e um CEO,
o primeiro é mais forte.
 CRO - chief risk officer
 Além de gerenciar o risco nas operações financeiras, o CRO também é
responsável por analisar as estratégias do negócio, a concorrência e a
legislação.
Profª. Edna
14
7
 Quem são os diretores responsáveis dentro das empresas

 CTO - chief technology officer
 Existe uma confusão muito grande. Geralmente o CTO comanda a
infraestrutura da área de tecnologia. Enquanto o CIO o seu uso estratégico.
 CSO: Chief Security Officer

 Possui a responsabilidade da segurança da informação de maneira
global, enxergando a organização como um todo.
 É responsável pela segurança física, pelos serviços de proteção e
privacidade da corporação e de seus colaboradores.
 É responsável por coordenar todas as atividades corporativas e
suas implicações de segurança.
Profª. Edna
15
 CSO: Chief Security Officer

 Conhecimentos e características necessárias ao profissional:
 visão generalista (visão global com ação local).
 sólidos conhecimento em gestão de projetos.
 sólidos conhecimentos de sistemas de gestão.
 perfil executivo.
 saber lidar com pessoas.
 ser atento às necessidades de negócio.
 atuar orientado à resultados, encontrando o equilíbrio entre a
proteção corporativa, seus riscos e retornos de investimentos

através de métricas e indicadores.
 ter bom senso e senso crítico.
Profª. Edna
16
8
Atividade I - Exercício 1 – Diretriz / Norma /
Procedimento
 A) Criar uma descrição que represente a política no nível estratégico,
para um determinado serviço.
 B) Criar uma descrição que represente a política no nível tático, para

um determinado serviço.
 C) Criar uma descrição que represente a política no nível operacional,

para um determinado serviço.
Profª. Edna
17
Atividade I – Exercício 2
 Relacione 10 exemplos de assuntos a serem tratados em normas que
poderão fazer parte de uma política de segurança.
 Elaborem de forma macro em 15 linhas uma política que o grupo
aplicaria em uma determinada empresa.

 Exemplo: A política de segurança da Uninove, visa que nenhum aluno possa
entrar dentro da faculdade e ter acesso aos terminais, sem possuir um cartão
de identificação visando desta forma garantir o acesso restrito aos dados
disponibilizados para os alunos etc.
Profª. Edna
18
9
Atividade I – Exercício 3
 Criar com no mínimo 15 linhas uma sugestão de como divulgar a
política de segurança dentro da empresa.
 Deverá ser indicada e citada qualquer ajuda extra dos outros
departamentos da empresa.
 Poderá ser utilizado exemplo prático vivenciado pelo aluno.
Profª. Edna
19
10

Classificação da Informação – Aula 7
Classificação da Informação
 As informações possuem valor e usos diferenciados, e portanto,

precisam de graus diferenciados de proteção.
 Cada tipo de proteção possui seu próprio custo, e classificar a

informação é um esforço para evitar o desperdício de investimento ao
se tentar proteger todas a informação.
 A informação deve ser classificada em nível corporativo, e não por

aplicação ou departamento. Os principais benefícios são:
Profª. Edna
1
 O processo de classificação da informação consiste em identificar quais são

os níveis de proteção que as informações demandam e estabelecer classes e
formas de identificá-las. Além de determinar os controles de proteção
necessários a cada uma delas.
 O fato de algumas informações demandarem mais proteção que outras cria
dois cenários indesejáveis que as organizações buscam evitar:
 Informações sensíveis ou críticas sem níveis de proteção
adequado, geralmente incidentes de segurança que trazem
prejuízos e comprometem a eficácia das operações;
 Informações que não precisam de proteção, sendo protegidas de
forma excessiva, consumindo recursos de forma desnecessária e
direcionando erroneamente o escasso de segurança.
Profª. Edna
 Para começar, algumas perguntas:

 Existe um patrocinador para o projeto de classificação?
 O que você está tentando proteger, e do que?
 Existe algum requerimento regulatório a ser considerado?
 O negócio entende sua responsabilidade sobre a informação?
 Existem recursos disponíveis para o projeto?
Profª. Edna
2
 Proteção
 Quando adotamos uma visão de proteção focada nas ameaças e
nas vulnerabilidades que um local ou um sistema possuem,

corremos o risco de não estarmos protegendo a informação mais
critica e sensível ao longo de todo o seu ciclo de vida. Esses
ciclos possuem diversas fases, desde a criação e o descarte,
passando pela manipulação, processamento, armazenamento,
etc.
 A melhor forma de protegermos as informações é justamente pela
adoção de uma abordagem que analisa as demandas de

segurança pela ótica do próprio ativo e suas necessidades. Dessa
forma, podemos combinar diversos mecanismos e obteremos
níveis de proteção uniformes independente da forma como a
Profª. Edna
informação está sendo usada.
 A informação deve ser classificada em nível corporativo, e não por

aplicação ou departamento. Os principais benefícios são:
 CIDAL é fortalecido pelos controles implementados em toda a
organização;
 O investimento em proteção é otimizado;
 A qualidade das decisões é aumentada, já que as informações
são mais confiáveis;

 A organização controla melhor suas informações e pode fazer
uma re-análise periódica de seus processos e informações.
Profª. Edna
3
Classificação da informação
 Exemplos:
 As informações são classificadas mediante sua necessidade de
sigilo. Porém uma organização também pode elaborar
procedimentos para classificá-las perante suas necessidades de
integridades e disponibilidades
 Decreto 4.553 – Casa Cível níveis de classificação em nível federal
 Cada nível de classificação é criado visando a um tipo de
informação, temos que desenvolver critérios para avaliar uma
informação
Profª. Edna
 A política de segurança da informação deve contemplar as políticas

de classificação. Alguns critérios essenciais precisam ser definidos
nesta política:
 As definições para cada uma das classificações;
 Os critérios de segurança para cada classificação, tanto em
termos de dados quanto em termos de software;

 As responsabilidades e obrigações de cada grupo de indivíduos
responsável pela implementação da classificação e por seu uso.
Profª. Edna
4
 Ainda, a política precisa estabelecer as seguintes regras:

 A informação é um bem e precisa ser protegido;
 Os gerentes são proprietários da informação;
 A área de TI é custodiante da informação;
 Obrigações e responsabilidades para proprietários da informação;
 Propor um conjunto mínimo de controle s que devem ser
estabelecidos.
Profª. Edna
 Os procedimentos básicos da Classificação da

Informações são:
 Classificações – Atribuir um nível de classificação a um
informação, faz com que as informações passe a se sujeitar às
proteções especificas pelo nível de classificação escolhido.
Algumas organizações optam por criar um nível de classificação
onde, a partir da implementação do programa de CI, todas as
informações da organização passam a se enquadrar nesse nível.
Não existe o estado “ não-classificado” , eliminando o processo de
classificações e desclassificação. Nesse caso o procedimento de
reclassificação é permitido.
Profª. Edna
10
5
 Reclassificação – Alteração no nível classificação de uma
informação . São nível de proteção mais baixa, de forma a evitar o
comprometimento da confidencialidade.
 Desclassificação – Remoção do nível de proteção. Aplicável

apenas quando o estado “não-classificado” for previsto . Pode ser
feita de forma automática, o prazo cairia de alguns anos para o
níveis mais baixos de classificação até décadas para os mais altos
no setor governamental
Profª. Edna
11
 Papéis de responsabilidades
 Uma das principais funções da Classificação da informação é
definir e atribuir responsabilidades relacionadas a segurança
diversas pessoas dentro de uma organização . Esses papeis e
responsabilidades variam de acordo com a relação que a pessoa
tem com a informação em questão.
 Proprietário da Informação – É responsabilidade do
proprietário atribuir os níveis de classificação que uma

informação demanda. Dessa forma ele também estará
participado do processo de escolha dos níveis de proteção
e será também exposto ao processo de balancear as
necessidades de proteção, com a facilidade de uso e o
orçamento disponível para se investir em controles.
Profª. Edna
12
6
 Custodiante – É aquele que zela pelo armazenamento e
preservação de informações que não lhe pertencem
 Existe dois tipos de Custodiante :
 O proprietário de Aplicação – Um profissional de perfil
técnico responsável pela administração e funcionamento
de algum sistema , cabe a ele protegê-las e garantir que
enquanto elas se encontrem sob sua responsabilidade os
requisitos da classificação em termos de proteção estejam
sendo obedecidos.
 O proprietário do Processo - É a pessoa responsável
pelo processo de negócio, um exemplo é um processo de
emissão de nota fiscal , que são informações sendo
geradas e processadas ao longo do seu funcionamento.
Profª. Edna
13
 Equipe de segurança – é o ponto de apoio das unidades
de negócios de forma de desenvolver, implementar e
monitorar estratégias de segurança que atendem aos
objetivos da organização, responsável pela avaliação e
seleção de controles apropriados para oferecer as
informações os níveis de proteção exigidos por cada
classificação . Esse equipe não pode assumir a total
responsabilidade pela proteção, já que deve ser
compartilhada por todos. Cabe ela sim selecionar os
melhores controles, conscientizar os usuários a respeito do
seu uso, administrá-los e monitorá-las, além de verificar se
todos na organização colaboram com as medidas.
Profª. Edna
14
7
 Gerente de Usuários – Responde pela ação de grupos
de usuários de sua responsabilidade, além dos
funcionários reponde pela ação dos visitantes, prestadores
de serviços que fazem o uso de informações da
organização. Desempenha outro papel fundamental que é
a solicitação, transferência e revogação de IDs de acesso
para os seus funcionários.
 Usuário Final – Pessoal que faz uso constante das
informações e o que mais tem contato com elas, é o
responsável pelo seguimento das recomendações de
segurança.
Profª. Edna
15
 Implementação
 Identificando a situação atual
 O primeiro passo é identificar quais os tipos de documentos
que farão parte do escopo dos nossos trabalhos muitas das

vezes esse é o primeiro problema que nos deparamos na
implementação : Falta uma definição clara dentro da
organização do que é ou não um documento. Nem todas as
informações podem se enquadrar na categoria “documento” o
programa de classificação se aplica aos documentos formais :
relatórios , planos, projetos , atas etc.
Profª. Edna
16
8
 Levantamentos de requisitos
 Uma vez identificados os ativos, devemos levantar os
requisitos de proteção aos quais esses ativos estão sujeitos.
Além dos aspectos legais devemos levar em conta uma série
de outros detalhes que veremos a seguir:
 Requisitos legais – Fator importante na identificação dos
requisitos de proteção que uma dada informação precisa

atender é olhar a legislação / regulamentação à qual a
organização está sujeita, analisando-a em detalhes em
busca de determinações específicas sobre certos tipos de
informações
Profª. Edna
17
 Análise de Riscos – A Analise de riso, depois dos
aspectos legais, é o passo mais importante no
levantamento dos requisitos de proteção. Os aspectos
legais são inegociáveis. Já os aspectos mapeados na
Analise e Avaliação de Riscos dependem de nosso
discernimento.
 BIA – Business Impact Analysis ou Analise de
impacto de negócios – é um processo executado
normalmente durante a elaboração e um BCP/PCN
(Business Continuity Plan ou Plano de continuidade de
negócios). Sua finalidade é avaliar única e exclusividade os
estragos causados por um evento indesejado,
normalmente de grandes proporções como um furação ,
uma inundação ou um apagão .
Profª. Edna
18
9
 Valorização – Pelo nome não precisa nem comentar
muito , é tudo aquilo que tem valor para a empresa ,
exemplo o balanço financeiro antes da sua publicação , ele
tem o valor importante para os acionistas. É difícil obter
uma valorização precisa, quase sempre, apenas uma
estimativa já é suficiente escolher proteções adequadas.
 Custo de Aquisição: São informações que podem ser
adquiridas, isto é comprada
 Custo de recriação: É custo para produzir novamente
uma documentação, como um relatório, caso ele tenha
sido perdido de uma maneira definitiva
Profª. Edna
19
 Vantagem competitiva: Permite que uma organização
tenha vantagem sobre outra em uma situação de
competição. Situações que pode ser uma lançamento de
um produto, um Home Site, pesquisa de mercado etc.
Nesse caso o valor da informação é normalmente avaliado
perante o comprimento de sua confidencialidade. Existem
muitas formas de estimar os prejuízos da divulgação não
autorizada
 Desenvolvendo a Política de classificação da Informação
 Uma vez levantados os requisitos que auxiliam na elaboração das
classificações, o passo seguinte é elaborar a Política de CI, Ao
elaborarmos a política, convém analisar as recomendações da NBR
ISO /IEC 17799:2005 no que tange ‘A classificação da informação
, Essas recomendações se encontram na Seção 7.2
Profª. Edna
20
10

Segurança em desenvolvimento de sistemas de
Informação
Desafios para a Administração

 Projetar sistemas que não sejam nem supercontrolados nem
subcontrolados
 Aplicar padrões de garantia de qualidade a grandes projetos

de sistemas
Profª. Edna
1
Antes e Depois
 Antes da existência dos computadores e sistemas os dados
dos indivíduos eram mantidos e protegidos como registros de
papel, dispersos entre os deptos da organização.
 Com a vinda da tecnologia é necessária a mesma

preocupação, para que sistemas não venham a também ter
vulnerabilidade.
Profª. Edna
Por que Sistemas são Vulneráveis ?
 Grandes quantidades de dados armazenadas sob formato

eletrônico, ficam vulneráveis a um número maior de ameaças
do que em formato manual.
 Com o aumento da complexidade nos SI´s, estas

vulnerabilidades acabam aumentando também. Um sistema
em um computador local pode ser considerado mais seguro
do que quando o mesmo sistema está utilizando uma rede de
telecomunicações.
Profª. Edna
2
Ameaças aos SI´s

 Falha de Hardware
 Falha de Software
 Invasão
 Roubo de dados, serviços, equipamentos
 Incêndio
 Problemas Elétricos
 Erros por parte de usuários
 Mudanças / alterações
 Problemas de telecomunicação
Profª. Edna
Preocupações para Desenvolvedores e

Usuários
 O aumento da vulnerabilidade de dados tem criado
preocupações especiais para os desenvolvedores e usuários
de SI´s. Estas preocupações incluem:
(1) Desastres
(2) Violações da segurança
(3) Erros administrativos
Profª. Edna
3
Preocupações - Desastre
 Destruição de hardware, software e dados por incêndio,
interrupção da energia, furacões, etc
 Para as organizações se protegerem deste mal, utilizam

formas de backup, e dependendo da criticidade de seu
negócio pode contemplar até redundância total da
infraestrutura.
Profª. Edna
Preocupações - Erros
 Erros em sistemas pode causar sérias rupturas de dados ou

até causar a perda de informações de uma organização ou
até gerar uma tomada de decisão errada.
Profª. Edna
4
Criação de um Ambiente com Controle
 Controle: consiste em todos os métodos, políticas e

procedimentos organizacionais garantirem a segurança dos
ativos da organização, a precisão e confiabilidade de seus
registros contábeis e a adesão operacional aos padrões
administrativos
Profª. Edna
Auditoria
 Identifica todos os controles que governam os sistemas de
informação individuais e avalia sua eficácia
 Objetivo
 Validar e avaliar os controles internos de Sistemas
 Validar a eficácia do sistema
 Reunir, agrupar e validar evidências
 Garantir a segurança (física e lógica) da Informação e sistema
Profª. Edna
10
5
Auditoria
 Tipos de abordagem de auditorias de sistemas
 Ao redor do computador:
 Trabalha com documentos de entrada e saída;
 Não necessita profundo conhecimento em TI;
 Vantagens: baixo custo
 Desvantagens: Incompleta, poucos parâmetros
 Através do computador:
 Envolve aprovação e registro de transações;
 Utiliza técnicas de verificação;
 Vantagens: aprofundado validação e apontamentos;
 Desvantagens: alto custo
Profª. Edna
11
Auditoria
 Principais tipos de auditorias de sistemas
 Auditoria Legal ou Regulatória:

 Atendimento a regulamentações locais e internacionais (Lei Sarbanes-
Oxley, Basileia II, Comissão de Valores Mobiliários, etc).
 Auditoria de Integridade de Dados

 Classificação dos dados, atualização, bancos de dados, aplicativos,
acessos, estudo dos fluxos (entradas e saídas) de transmissão,
controles de verificação qualidade e confiabilidade das informações.
Profª. Edna
12
6
Auditoria
 Auditoria em Segurança da Informação:

 Métodos de autenticação, autorização, criptografia, gestão de
certificados digitais, segurança de redes, gestão dos usuários,
configuração de antivírus, atualizações, políticas, normas, manuais
operacionais.
 Auditoria de Segurança Física:

 Avaliação de localidades e riscos ambientais: vidas (capital intelectual),
furto/roubo, acesso, umidade, temperatura, acidentes, desastres, etc.
e as proteções: perímetros de segurança, câmeras, sensores, guardas,
dispositivos, proteções do ambiente.
Profª. Edna
13
Auditoria
 Auditoria de Desenvolvimento de Sistemas:

 Validação dos processos de gestão de projetos, cumprimento de
metodologia de qualidade, orçamentos previstos e realizados e
avaliação de desvios.
Profª. Edna
14
7
Como garantir a Qualidade do Sistema ?
 Metodologia de desenvolvimento: Conjunto de

métodos, para cada atividade em cada fase de um projeto
de desenvolvimento
 Projeto estruturado: Engloba um conjunto de regras e
técnicas para o projeto de sistemas
 Métricas de Software: Avaliações objetivas do software
usado em um sistema, na forma de medidas quantitativas
 Testes: Realizando testes e garantindo o efetivo
funcionamento de uma função no sistema.
Profª. Edna
15
Aplicações web - Segurança
 Open Web Application Security Project (OWASP)

 Comunidade aberta, dedicada a capacitar as organizações a
desenvolver, adquirir e manter aplicações confiáveis
 Fornece:
 Normas e ferramentas de segurança em aplicações
 Livros completos sobre testes de segurança, desenvolvimento
de código seguro e revisão de segurança de código
 Normas e bibliotecas de controles de segurança
Grátis e  Capítulos locais do OWASP pelo mundo
aberto  Pesquisas última geração
 Conferências do OWASP pelo mundo
 Listas de discussão.
Profª. Edna
16
8
 Open Web Application Security Project (OWASP)

 Fundação OWASP é uma entidade sem fins lucrativos que
garante o sucesso do projeto a longo prazo. Quase todos os
associados à OWASP são voluntários, incluindo a Direção da
OWASP, os Comitês Globais, os Líderes dos Capítulos, os
Líderes de Projetos e os membros dos projetos.
 Para canalizar os esforços na segurança de aplicações e APIs,

realizou um levantamento global e colaborativo com os 10 riscos
de segurança mais críticos da web, conhecido como OWASP TOP
10.
Profª. Edna
17
 OWASP Top 10
 Objetivo
 educar desenvolvedores, projetistas, arquitetos, gestores e
organizações sobre as consequências das mais importantes
vulnerabilidades de segurança de aplicações web.
 Apresenta técnicas básicas para proteção das áreas

problemáticas e de alto risco.
Profª. Edna
18
9
 OWASP Top 10 – 2017

 “A edição 2017 do Top 10 foi baseada em 11 grandes conjuntos
de dados de empresas especializadas em aplicações de
segurança, incluindo três fornecedores de produtos e oito
empresas de consultoria. Os dados revelam vulnerabilidades de
segurança encontradas em centenas de empresas e mais de 20
mil aplicações e APIs do mundo. A iBLISS contribuiu com o envio
de dados anônimos do último ano de vulnerabilidades
encontradas no ambiente de dezenas de empresas brasileiras, os
quais foram selecionados e priorizados em combinação com
estimativas de consenso dos especialistas do OWASP em termos
de exploração, detecção e impacto para o negócio. (iBLISS Digital
Security)”.
Profª. Edna
19
 A1 – Injeção de código
 As falhas de Injeção, tais como injeção de SQL, de Sistema
Operacional e de LDAP, ocorrem quando dados não confiáveis
são enviados para um interpretador como parte de um comando
ou consulta. Os dados manipulados pelo atacante podem iludir o
interpretador para que este execute comandos indesejados ou
permita o acesso a dados não autorizados.
Profª. Edna
20
10
 A2. Quebra de autenticação e gerenciamento de

sessão
 O atacante usa vazamentos ou falhas nas funções de
autenticação ou gerenciamento de sessão (por exemplo, contas
expostas, senhas, IDs de sessão) para assumir a identidade de
outro usuário. Essas falhas normalmente são encontradas em
funcionalidades de gerenciamento de senhas, como: “Esqueci
minha senha”, ou do tipo “Lembrar-me”.
Profª. Edna
21
 A3 – Exposição de Dados Sensíveis

 Muitas aplicações web não protegem devidamente os dados
sensíveis, tais como cartões de crédito, IDs fiscais e credenciais
de autenticação. Os atacantes podem roubar ou modificar esses
dados desprotegidos com o propósito de realizar fraudes de
cartões de crédito, roubo de identidade, ou outros crimes. Os
dados sensíveis merecem proteção extra como criptografia no
armazenamento ou em trânsito, bem como precauções especiais
quando trafegadas pelo navegador.
Profª. Edna
22
11
 A4 – Entidades Externas XML (XXE)

 Muitos processadores XML mais antigos ou mal configurados
avaliam referências de entidades externas em documentos XML.
As entidades externas podem ser usadas para divulgar arquivos
internos usando o manipulador de URI de arquivo,
compartilhamentos de arquivos internos, varredura de porta
interna, execução remota de código e ataques de negação de
serviço.
Profª. Edna
23
 A5 – Controle de Acesso Ineficiente

 O conceito de gestão de acesso trata das concessões e
restrições sobre o que os usuários autenticados são
autorizados, ou não, a fazer.
 Também é um conceito básico de segurança da informação.
As falhas nesse controle podem permitir, entre outras, a
exploração das 4 (quatro) vulnerabilidades anteriores.
 A importância da gestão de acessos fica clara no fato de
esta vulnerabilidade ser a combinação de 2 (duas) das 10
(dez) Top 10 2013: Referência Insegura (A4) e Falta de
Controle de Acesso (A7).
Profª. Edna
24
12
 A6 – Má Configuração de Segurança
 Configurações padrão inseguras (às vezes de fábrica),
configurações incompletas das aplicações e de seus
componentes, armazenamento em nuvem aberta
(economia “de baixa inteligência”), cabeçalhos HTTP mal
configurados e mensagens de erro contendo informações
confidenciais não possuem justificativa aceitável, pois,
violam os 3 (três) pilares da SI diretamente.
 “next next finish”.
Profª. Edna
25
Introdução – Cloud Computer
 Infraestrutura cloud
 Conjunto de recursos de hardware e software que são
fornecidos como serviços aos consumidores.
 Características
 Auto provisionamento
 Acesso universal
 Grupo de recursos
 Elasticidade
 Serviço mensurável
Profª. Edna
26
13
 Modelos de Serviço Cloud

 Especifica os serviços e recursos que são fornecidos
 Três modelos primários:

 Infraestrutura como Serviço (IaaS)
 Platform as a Service (PaaS)
 Software como Serviço (SaaS)
Profª. Edna
27
 Infraestrutura como Serviço (IaaS)
Profª. Edna
28
14
 Platform as a Service (PaaS)
Profª. Edna
29
 Software como Serviço (SaaS)
Profª. Edna
30
15
 Modelos de Implantação de Cloud

 Especifica como uma infraestrutura de nuvem é construída,
gerenciada e acessada
 Pública
 Privada
 Comunidade
 Híbrida
 Modelos de serviços
 IaaS, PaaS e SaaS
Profª. Edna
31
 Pública
Profª. Edna
32
16
 Pública
 Benefícios
 Baixo custo com recursos de TI
 Escalabilidade
 Preocupações
 Disponibilidade da rede
 Riscos com multi-tenancy
 Pouco ou nenhum controle sobre os recursos e dados
Profª. Edna
33
 Privada
 Infraestrutura de nuvem está configurada para uso exclusivo
de uma organização;
 Oferece maior grau de privacidade e controle sobre a

infraestrutura, aplicativos e dados.
 Há duas variantes:
 Local ou Interna
 Hospedagem externa
Profª. Edna
34
17
 Privada
 Privada Local ou Interna
Profª. Edna
35
 Privada
 Privada hospedagem externa
Profª. Edna
36
18
 Comunidade
 Provisionada para uso exclusivo por uma comunidade
específica de consumidores com objetivos ou requisitos
comuns
 Missão, segurança, política, etc.
 Há duas variante:
 Comunidade local ou interna
 Comunidade hospedada externamente
Profª. Edna
37
 Comunidade
 Comunidade Local ou Interna
Profª. Edna
38
19
 Comunidade
 Comunidade hospedada externamente
Profª. Edna
39
 Híbrida
Profª. Edna
40
20
 Modelos de uso – Híbrida

 Ruptura
 Fornecimento de recursos por um tempo limitado a partir de
uma nuvem pública para lidar com picos de trabalho
 Hospedagem de aplicativos Web

 Hospedagem aplicações menos críticas
 Pacotes de aplicativos
 Migração de aplicativos, tais como e-mail para a nuvem pública
Profª. Edna
41
 Modelos de uso – Híbrida

 Desenvolvimento e teste de aplicativos
 Desenvolver e testar aplicativos na nuvem pública antes de
colocar em produção
Profª. Edna
42
21
 A7 – Cross-Site Scripting (XSS)

 Falhas XSS ocorrem sempre que uma aplicação recebe dados
não confiáveis e os envia ao navegador sem validação ou filtro
adequados. XSS permite aos atacantes executarem scripts no
navegador da vítima que podem “sequestrar” sessões do usuário,
desfigurar sites, ou redirecionar o usuário para sites maliciosos.
 Permite: (1) o “roubo” de credenciais e sessões e (2) a interação

com o navegador do usuário pelo atacante, caso este tenha o
conhecimento para isso.
 Por padrão, vários campos disponíveis aos usuários podem permitir este
ataque, se a prevenção for deixada de lado durante as fases de codificação e
testes do projeto ou das mudanças em produção.
Profª. Edna
43
 A8 – Desserialização Insegura
 “Desserializar” significa recuperar dados (ou estado de um objeto)
a partir de um conjunto de bytes, garantindo que eles representem
as mesmas informações. Se isso não é feito com a devida
segurança, um invasor pode executar remotamente o código
dentro de um aplicativo.
 Neste ataque o atacante modifica a lógica da aplicação ou

consegue realizar a execução arbitrária de código remoto. O
padrão de arquitetura seguro não aceita objetos serializados de
fontes não-confiáveis ou usa serialização média para permitir
somente dados primitivos.
Profª. Edna
44
22
 A9 – Usar Componentes com Vulnerabilidades

Conhecidas
 Utilizar aplicativos e APIs, que contenham componentes com
vulnerabilidades conhecidas, na execução de um projeto
prejudica as defesas ao permitir que a aplicação entre em
produção suscetível a vários ataques simultâneos ao ambiente,
incluindo os executados por “script kiddies”. Não utilize esses
componentes. Pesquise e desenvolva sem vulnerabilidades
conhecidas. Nos casos em que a vulnerabilidade é descoberta
posteriormente, talvez até um “0-day”, utilize o processo de
atualização de softwares ou tecnologias como “patch virtual”.
 Script Kiddies - crackers inexperientes que procuram alvos fáceis
para aplicar seus poucos conhecimentos técnicos.
Profª. Edna
45
 A10 – Registro e Monitoração Ineficientes

 Monitorar a aplicação, os acessos a ela e o ambiente que a
hospeda permite que os ataques sejam detectados antes que
causem impactos ao negócio. A ausência de reação rápida
permite que os atacantes acessem os sistemas, permaneçam nos
mesmos e executem movimentos laterais com a finalidade de
modificar, extrair ou destruir dados da empresa. A vinculação da
monitoração com o processo de gestão de incidentes pode reduzir
os impactos causados por um ataque.
Profª. Edna
46
23
 Considerações
 Um projeto de desenvolvimento de software seguro deve
promover:
 Redução da superfície de ataque – mínimos pontos de acesso necessários;
 Defesa em profundidade – tecnologias atuando na prevenção e na
monitoração;
 Menor privilégio – usuários, métodos ou funções não possuem acesso
administrativo;
 Padrões seguros – sem margem para “jeitinho”. Trabalhe com validação
dupla;
 Isolar e executar o código que será desserializado em um ambiente de baixo
privilégio;
 Implementar verificadores de integridade em qualquer objeto serializado;
 Gerar um registro com as exceções e falhas de desserialização.
Profª. Edna
47
24

Conteúdo Psi Completo

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Conteúdo Psi Completo

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança da Informação

Profª. Edna Mataruco Duarte

 Abordagem dos principais conceitos relacionados à

 Ser reconhecida como uma empresa visionária

 Estar a frente da concorrência / Não ficar atrás da

 Fortalecer a imagem de credibilidade da marca

 Respeitar regulamentações setoriais ou leis

 CIDAL é um acrônimo para os atributos principais da informação

 Legalidade: Atualmente, a sua ausência é a causadora da maioria dos grandes incidentes de

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

 Condição causada muitas vezes pela ausência ou ineficiência das

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

 Vulnerabilidade X medidas de proteção

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

Conceitos básicos de Segurança de Informação

 Prioridades de ação em função do risco identificado, para

 Aponta os possíveis perigos e suas consequências em

 Muitas empresas gastam fortunas investindo em

 Técnicas de análise de risco

Método GUT para análise de riscos– Aula 4

 Sistema de coloração da matriz de G.U.T

 Revisão constante dos Riscos/Ameaças/Vulnerabilidade

 Como saber se é melhor investir em segurança ou não

 Fluxo da análise de risco

Profª. Edna Mataruco Duarte

 Conjunto de leis, regras e práticas que regulam como uma

 Dessa forma, a informação passa a ter um valor estratégico e tático para as

 Os 3 blocos e as camadas de atuação da Política de Segurança

 s3Nh45  A palavra senha onde o 3 substitui o E, o 4 o A e o 5 o S

 Filosofia dos Planos

 Os 4 P’s dos planos de Segurança

 A segurança é um fator crítico de sucesso

 Formato dos procedimentos de segurança

 ser elaborado por um responsável direto (CSO).

 ser dirigido para atingir o nível de segurança adequado aos

bens que se quer proteger.

 Formato dos procedimentos de segurança

 Fatores para o sucesso da política de segurança

 Fatores para o sucesso da política de segurança

 Quem são os diretores responsáveis dentro das empresas

 Quem são os diretores responsáveis dentro das empresas

 CSO: Chief Security Officer

 CSO: Chief Security Officer

 sólidos conhecimento em gestão de projetos.

 sólidos conhecimentos de sistemas de gestão.

 saber lidar com pessoas.

 ser atento às necessidades de negócio.

 atuar orientado à resultados, encontrando o equilíbrio entre a

proteção corporativa, seus riscos e retornos de investimentos

 B) Criar uma descrição que represente a política no nível tático, para

 C) Criar uma descrição que represente a política no nível operacional,

aplicaria em uma determinada empresa.