Aulaseguranca

S e g u ra n ç a d a I n f o r m a ç ã o
Segurança da Informação
●
A Importância da Informação
●
Possuir informação é ganhar agilidade, competitividade, previsibilidade, dinamismo.
●
Indivíduo ●
Em pres a
● Aumento da gasolina ● Discurso do presidente
● Precipitação de chuva ● Valorização do Petróleo
● Promoção da passagem aérea ● Tendências tecnológicas
● Queda da Bovespa ● Oscilação da taxa de juros
●
... ●
...
2
●
Contextualizando.. .
●
U m computador conectado à Internet s e m firewall ou antivírus pode
ser danificado e m segundos
●
E se for u m computador corporativo com dados confidenciais...
http://globaltechconsultants.org/?q=content/what-difference-between-virus-worm-trojan-and-rootkit
3
●
Contextualizando.. .
●
Acidentes e ataques podem dizimar todos os dados de uma empresa
que não investe e m segurança da informação
4
●
Internet das Coisas (IoT) impactará o modo como interagimos com o
mundo à nossa volta.
●
Bilhões de "coisas" conversando u m a s com a s outras: de TVs,
geladeiras e carros a medidores inteligentes, monitores de saúde e
dispositivos vestíveis (wearables).
●
O s dados transmitidos pela IoT formarão uma representação gráfica de
cada u m de nós. O grande desafio será proteger essas informações.
5
Internet d a s C o i s a s (IoT) e o s D e s a f i o s
de Segurança
Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
6
de Segurança
7
de Segurança
8
de Segurança
9
“Segurança da Informação é adotar controles físicos, tecnológicos e

humanos personalizados, que viabilizem a redução e administração
dos riscos, levando a empresa a atingir o nível de segurança
adequado ao seu negócio.” Marcos Sêmola
10
●
E m s e g u ra n ç a d a informação três asp ec t o s
importantes se destacam
●
Confidencialidade : capacidade de u m sistema de permitir que
alguns usuários acessem determinadas informações ao m e s m o tempo
em que impede que outros, não autorizados, a vejam.
●
Integridade : a informação deve estar correta, ser verdadeira e não
estar corrompida.
●
Disponibilidade : a informação deve estar disponível para todos que
precisarem dela para a realização dos objetivos empresariais.
11
●
Outros aspectos
●
Autenticação : garantir que u m usuário é de fato quem alega ser.
●
Não-repúdio : capacidade do sistema de provar que u m usuário
executou uma determinada ação.
●
Le gal i d ad e : garantir que o sistema esteja aderente à legislação
pertinente.
●
Privacidade : capacidade de u m sistema de manter anônimo u m
usuário, impossibilitando o relacionamento entre o usuário e sua s
ações (exe.: sistema de voto)
●
Auditoria: capacidade do sistema de auditar tudo o que foi realizado
pelos usuários, detectando fraudes ou tentativas de ataques.
12
●
Quando falamos em segurança da informação, estamos nos referindo
a t o m a r a ç õ e s p a ra g a ra n t i r o s a s p e c t o s da segurança das
informações dentro das necessidades do clientes.
●
U m incidente d e s e g u ra n ç a é a ocorrência de u m evento que possa
causar interrupções nos processos de negócio em consequência da
violação de algum aspecto de segurança.
13
●
Vu l n e ra b i l i d a d e s e u s o i n d e v i d o d o s S I
●
SI's são vulneráveis pois o acesso aos seus dados no formato
eletrônico é feito através de redes, que podem sofrer ataques e m
qualquer u m dos pontos de acesso à ela Sistemas Corporativos
Servidores corporativos
Cliente
(us uário)
Linhas de comunicação
Banco
de dados
●
Escuta clandestina
●
Sniffing (farejamento) Hardware
●
Alteração de mens a gem Sistemas Operacionais
●
Roubo e fraude Software
●
Acesso não autorizado ●
Radiação
●
Erros ●
Ciberpirataria
●
Vírus e worms
●
Roubo e fraude ●
Roubo, cópia e alteração de dados
●
Vandalismo ●
Falha de hardware e de software
●
Ataques de recusa de serviço
14
●
Vu l n e ra b i l i d a d e s e u s o i n d e v i d o d o s S I
● Atacantes
● Possíveis ataques
●
Técnicas e ferramentas utilizadas
●
Objetivo: mostrar que a preocupação com segurança é essencial para
continuidade do negócio
15
●
Software mal-intencionado
● Programas de software mal-intencionados são designados malware
● Vírus
●
S e anexa a outros programas ou dados a fim de serem executados sem a permissão
do usuário
●
Quando executado, pode realizar diversos estragos: formatar o disco, entupir a
memória, impedir a inicialização
●
São transmitidos na cópia de arquivos infectados
16
●
●
Worm s
●
Programas que se reproduzem automaticamente pela rede
●
São executados automaticamente e são tão devastadores quanto os vírus
17
●
●
Cavalo de Troia
●
Software que parece benigno, m a s depois faz algo diferente do esperado
●
Termo se refere ao cavalo de madeira usado pelos gregos para invadir Troia com
guerreiros escondidos
●
Geralmente serve de porta de entrada para outros malwares
18
●
●
S Q L injection
●
Código SQL é inserido em formulários e para gerar comandos prejudiciais ao Banco
de Dados. Ex.:
● USER: jo’; D R O P TABLE clientes; --
● PASS: 1 2 3 4
●
Gera o seguinte comando no B D
SELECT user, pass
F RO M clientes
W HERE user = ‘jo’; D R O P TABLE clientes ; --'
A N D pass = ‘1234';
19
●
●
S p yware
●
Programas que instalam-se no computador do usuário e monitora suas atividades a
fim de usar as informações para marketing
●
Key loggers
●
Categoria de spyware que registra as teclas pressionadas para detectar senhas de
usuários
20
Analisando Impactos e Calculando
Riscos
● A l g u n s e x e m p l o s d e vírus
● Beijing : no 1 2 9 o boot e a cada 6 o boot, a tela apresenta a m e n s a g e m “Bloody June 4 1989”,
menção ao massacre ocorrido na Praça da Paz Celestial e m Pequim
● D a r k A v e n g e r : vírus identificado inicialmente e m 1 9 8 9 com a intenção de infectar
arquivos .com, .exe e .ovl, é u m vírus destrutivo que encolhe aleatoriamente áreas do disco
rígido cujos dados sã o apagados gradativamente
● M e l i s s a : aparição e m 1999, infecta documentos do Word e envia cópias de arquivos
infectados a os 5 0 primeiros endereços do diretório do outlook
● Conficker: aparição e m 2008, explora u m a velha vulnerabilidade do Windows para se
espalhar pela internet por mídias removíveis e por redes desprotegidas, criados para
bloquear acesso a sites de empresas de segurança e atualizações de antivírus, além de
impedir a restauração do sistema
● M a j a v a : explora vulnerabilidades na plataforma de desenvolvimento Java, dependendo do
nível podem dar ao invasor controle total da máquina
● Br owl ock : aparição e m 2014, bloqueia o acesso do usuário a arquivos e m seu computador
21
Analisando Impactos e Calculando
Riscos
●
Alguns outros exemplos de ameaças
●
Golpes no WhatsApp: após acessar o link u m vírus poderia ser
instalado no dispositivo oferecendo acesso a seus dados e
propagando ainda mais o link para outros contatos
●
Ovo s de páscoa prometidos pelas lojas Kopenhagen (o nome da
empresa foi usada pelos atacantes)
●
Golpes do FGTS: e m 2 0 1 7 cresceu o número de domínios falsos com o
objetivo de roubar o dinheiro de quem tinha direito ao benefício
●
Ataque homográfico: a URL de u m site parece de u m forma para o
usuário m a s na verdade é outro
22
●
Hackers e Cibervandalismo
●
Hacker
●
Indivíduo que pretende obter acesso não autorizado a u m sistema de computador
●
O termo Cracker designa o Hacker com intenções criminosas (o Hacker pode, por
exemplo, estar testando sistemas)
●
Cibervandalismo
●
Interrupção, alteração da aparência de u m site ou SI corporativo
23
Exemplo: Kevin Mitnick

● Engenharia social e técnicas de apropriação de informações confidenciais
● Invadiu vários computadores, como de operadora de celulares, de empresas
de tecnologia e provedores de internet
● Foi preso em 1 9 9 5 e libertado em 2000, ficou três anos em condicional,
sem poder conectar-se à internet
●
Filme: Caçada Virtual ("Takedown" - 2000)
24
Exemplo: Timothy Allen Lloyd

●
Instalou uma bomba lógica que destruiu softwares de manufatura da Omega
Engeneering Corp
● Sentença de u m pouco mais de 3 ano
● Ele trabalhava há 1 1 anos
●
Prejuízos: 1 0 milhões
25
●
Exemplo: Michael Calce (Mafiaboy),
●
Ataque de negação de serviço contra sites de reputação
●
(eBay, CNN, Amazon, Dell e Yahoo)
●
Ele tinha 1 5 anos e o dano foi de 1.2 bilhões
● Pena: oito meses de regime aberto, u m ano de liberdade condicional,
uso restrito da Internet e uma pequena multa
26
●
Spoofing e Sniffing
●
Spoofing ou Phishing
● Disfarce de identidade que Hackers, por exemplo, e-mail falso
● Envolve também o redirecionamento a sites falsos
●
S n iffing
●
Programa que monitora informações transmitidas pela rede
27
●
Ataques de Recusa de Serv iço
●
D o S (Denial of Service)
●
Hackers lotam u m servidor com centenas de requisições falsas a fim de inutilizar a
rede
●
A rede recebe tantas consultas que não consegue lidar com elas e ficam
indisponíveis para solicitações de serviço legítimas
● Exs.: Wikileaks e m 2 0 1 0
● Receita Federal e m 2 0 1 1
28
●
Roubo de Identidade
●
Crime onde impostor obtém informações pessoais importantes como
senha do cartão de crédito e CPF e se passa por outra pessoa
●
E-commerce facilita essa prática
●
Evil twins
●
Redes s e m fio monitoradas por hackers que fingem oferecer conexão gratuita à
Internet
29
●
F ra u d e d o C l i q u e
●
Algumas propagandas são cobradas por cliques
●
Indivíduo ou programa clica repetidamente e m anúncio s e m interesse
no m e s m o
●
Empresas contratam pessoas para clicar e m anúncios e aumentar os
custos da concorrente com marketing
30
●
Val o r E m p r e s a r i a l d a S e g u r a n ç a e d o C o n t r o l e
●
Como a segurança não está diretamente relacionada à receita de
vendas, muitas organizações relutam e m gastar muito e m segurança
●
No entanto, organizações têm ativos de informação valiosos
● Registros médicos
● Segredos de negócio
●
Informações sobre estratégias militares
●
Controle e segurança inadequados podem criar sérios riscos legais
● Violação de privacidade
● Corrupção de dados
31
●
Val o r E m p r e s a r i a l d a S e g u r a n ç a e d o C o n t r o l e
●
Prova eletrônica e Forense Computacional
●
Cada vez mais provas são apresentadas na forma de dados, como e-mails e
transações de e-commerce pela Internet
●
Procedimento de coleta, exame, autenticação preservação e análise de dados
mantidos em meios de armazenamento digital de maneira que possam ser usadas
como prova em juízo
●
Recuperar dados s e m prejudicar seu valor probatório
● Armazenar e administrar com segurança o s dados eletrônicos recuperados
● Encontrar informações significativas e m u m a grande base de dados
32
●
E s t r u t u ra p a ra S e g u r a n ç a e C o n t r o l e
● Quanto investimento deve ser dedicado à Segurança da Informação?
● Avaliação de risco
●
Determina o nível de risco para a empresa caso uma atividade ou processo
específico não sejam controlados adequadamente
●
Deve-se investir anualmente no máximo até o prejuízo esperado
Exposição Pobabilidade Faixa de prejuízo/média ($) Prejuízo anual esperado ($)
de ocorrência
(%)
Falta de energia elétrica 30 5.000-200.000 30.750
(102.500)
Ataque de negação de serviço 5 1.000-50.000 1.275
(25.500)
Erro de usuário 98 200-40.000 19.698
(20.100)
33
●
●
Política de segurança
●
A Segurança da Informação "inicia" através da definição de uma política clara e
concisa acerca da proteção das informações
●
Através de uma política de segurança, a empresa formaliza suas estratégias e
abordagens para a preservação de seus ativos de informação
●
Essa s regras devem especificar quem pode acessar quais recursos
●
Especificar quais recursos são disponíveis no sistema, bem como procedimento e
controles necessários para proteger as informações
34
●
●
●
D iretrizes
●
Conjunto de regras gerais de nível estratégico que tem como base a visão e a missão da
empresa
●
Representam à s preocupações da empresa sobre a segurança das informações
●
N orm a s
●
Geralmente são elaboradas com foco e m assuntos mais específicos como: controle de
acesso, u s o da Internet, u s o do correio eletrônico, acesso físico, instruções sobre criação de
senhas, realização de backups...
●
Serve para o usuário ter consciência de seu papel para a manutenção de segurança na
organização
35
●
●
●
Procedimentos e Instruções
●
Conjunto de orientações para realizar atividades e instruções operacionais relacionadas a
segurança
●
Comandos operacionais a serem executados no momento da realização de u m
procedimento de segurança
●
Importante para o técnico ou administrador de segurança
●
Exemplo: definição e implementação das regras de filtragem do firewall
36
●
●
Plano de continuidade dos negócios
●
Como a empresa pode restaurar suas operações após u m desastre
●
Identificar processos críticos e elaborar planos de ação para lidar com funções essenciais
caso o s sistemas saiam do ar
●
Plano da recuperação de desastres
●
Estratégias para recuperar o s serviços de computação e comunicação após algum ataque
(terremoto, incêndio, ataques terroristas)
●
Centro de informática duplicado
37
●
●
Auditoria de sistemas
●
Identifica todos os controles que governam sistemas individuais de informação e
avalia sua efetividade
●
O auditor entrevista indivíduos-chave e pode até mesmo simular u m ataque ou
desastre para verificar como os recursos tecnológicos, a equipe de TI e os
funcionários reagem
38
●
Te c n o l o g i a s e f e r ra m e n t a s p a ra g a ra n t i r a s e g u r a n ç a
d o s recursos de informação
●
Controle de Acesso
●
Conjunto de políticas e procedimentos que uma empresa usa para evitar acesso
indevido a seus sistemas por pessoas não autorizadas dentro e fora da organização
●
O controle é feito pela autenticação
● Capacidade de saber que u m a pessoa é quem declara ser
● Geralmente feita por meio de senha secreta
●
S e n h a s fáceis comprometem a segurança
● Autenticação biométrica
● Token
39
●
●
Firewall
●
Combinação de hardware e software que controla o fluxo de trafego que entra ou
sai da rede
● Age como u m porteiro que verifica as credenciais de cada conexão
● Usa regras de acesso
●
Ex.:
S e IPcliente = “200.243.100.002”,
recusar conexão;
S e Requisição = “FTP”,
recusar conexão;
40
Ponto único
de acesso
Rede 2
Firewall
Rede 1
●
Controle de acesso
Formado por u m ou ●
Autenticação
mais componentes ●
Registro de Tráfego
41
●
●
Sistemas de Detecção de Invasão
●
Ferramentas de monitoração contínua instaladas nos pontos mais vulneráveis das
redes corporativas
●
Emite u m alarme quando encontra u m evento suspeito ou anômalo
42
●
●
Software antivírus
●
Software projetado para verificar sistemas e processos a fim de detectar a presença
de malware e eliminá-los
●
Criptografia
●
Processo de transformar textos comuns ou dados em texto cifrado, legível somente
ao destinatário
●
Backups e redundância de hardware
●
Manter cópias de dados importantes da organização em outra(s) localidade(s)
física(s) de modo a permitir sua recuperação em caso de sinistro
43
44
●
Aspectos H u m a n o s d a S eg u ran ç a d a Informação
●
Apesar de algumas tecnologias colaborarem para a segurança da
informação, o usuário continua sendo u m elemento chave
●
Engenharia Social
●
Hackers se p a s s a m por outras pe sso as para conquistar informações dos usuários
●
O s usuários devem ter conhecimento sobre algumas práticas de hackers e pessoas
mal-intencionadas na Internet
●
U m usuário com conhecimentos sobre ameaças virtuais estará muito mais protegido
●
A empresa deve preocupar com questões referentes ao recrutamento, treinamento,
desligamento...
45
Exercícios
1) Por que a s empresas devem garantir a segurança de seus sistemas

de informação?
2) Quais são os três aspectos da segurança da informação que se
destacam?
3) Descreva algumas das ameaças às quais SIs estão expostos.
4)Como se estabelece o valor a ser investido e m Segurança da
Informação?
5) Descreva as principais tecnologias e ferramentas para salvaguardar
recursos de informação.
6) Por que é importante a organização se preocupar com os aspectos
huma no s?
46
Bibliografia b á s i c a
●
LAUDON, Kenneth C.; LAUDON, Jane Price. Sistemas de Informação
Gerenciais. 9a ed. S ã o Paulo: Pearson Education do Brasil, 2011.
●
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão
executiva. 1.ed. Rio de Janeiro: Campus, 2 0 0 3
●
https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-
coisas
●
Fonseca, G.H.G. Notas de Aula. Fundamentos e Teoria de Sistemas de
Informação
47

Aulaseguranca

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aulaseguranca

Enviado por

Direitos autorais:

Formatos disponíveis

S e g u ra n ç a d a I n f o r m a ç ã o

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

“Segurança da Informação é adotar controles físicos, tecnológicos e

Exemplo: Kevin Mitnick

Exemplo: Timothy Allen Lloyd

1) Por que a s empresas devem garantir a segurança de seus sistemas

Você também pode gostar