Segurança Da Informação - 3 Unidade

Segurança da Informação – Aula 18
Prof: Jhonathan Rennan da Silva

Controle de Acesso
Segurança de Acesso
Hacker
Cracker
Software Mal-Intensionados
Segurança da Informação
●
A Importância da Informação
●
Possuir informação é ganhar agilidade, competitividade, previsibilidade, dinamismo.
●
Indivíduo ●
Empresa
●
Aumento da gasolina ●
Discurso do presidente
●
Precipitação de chuva ●
Valorização do Petróleo
●
Promoção da passagem aérea ●
Tendências tecnológicas
●
Queda da Bovespa ●
Oscilação da taxa de juros
●
... ●
...
2
●
Contextualizando...
●
Um computador conectado à Internet sem firewall ou antivírus pode
ser danificado em segundos
●
E se for um computador corporativo com dados confidenciais...
http://globaltechconsultants.org/?q=content/what-difference-between-virus-worm-trojan-and-rootkit
3
●
Contextualizando...
●
Acidentes e ataques podem dizimar todos os dados de uma empresa
que não investe em segurança da informação
4
●
Internet das Coisas (IoT) impactará o modo como interagimos com o
mundo à nossa volta.
●
Bilhões de "coisas" conversando umas com as outras: de TVs,
geladeiras e carros a medidores inteligentes, monitores de saúde e
dispositivos vestíveis (wearables).
●
Os dados transmitidos pela IoT formarão uma representação gráfica de
cada um de nós. O grande desafio será proteger essas informações.
5
Internet das Coisas (IoT) e os Desafios
de Segurança
Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
6
de Segurança
7
de Segurança
8
de Segurança
9
“Segurança da Informação é adotar controles físicos, tecnológicos e

humanos personalizados, que viabilizem a redução e administração
dos riscos, levando a empresa a atingir o nível de segurança
adequado ao seu negócio.” Marcos Sêmola
10
●
Em segurança da informação três aspectos
importantes se destacam
●
Confidencialidade: capacidade de um sistema de permitir que
alguns usuários acessem determinadas informações ao mesmo tempo
em que impede que outros, não autorizados, a vejam.
●
Integridade: a informação deve estar correta, ser verdadeira e não
estar corrompida.
●
Disponibilidade: a informação deve estar disponível para todos que
precisarem dela para a realização dos objetivos empresariais.
11
●
Outros aspectos
●
Autenticação: garantir que um usuário é de fato quem alega ser.
●
Não-repúdio: capacidade do sistema de provar que um usuário
executou uma determinada ação.
●
Legalidade: garantir que o sistema esteja aderente à legislação
pertinente.
●
Privacidade: capacidade de um sistema de manter anônimo um
usuário, impossibilitando o relacionamento entre o usuário e suas
ações (exe.: sistema de voto)
●
Auditoria: capacidade do sistema de auditar tudo o que foi realizado
pelos usuários, detectando fraudes ou tentativas de ataques.
12
●
Quando falamos em segurança da informação, estamos nos referindo
a tomar ações para garantir os aspectos da segurança das
informações dentro das necessidades do clientes.
●
Um incidente de segurança é a ocorrência de um evento que possa
causar interrupções nos processos de negócio em consequência da
violação de algum aspecto de segurança.
13
●
Vulnerabilidades e uso indevido dos SI
●
SI's são vulneráveis pois o acesso aos seus dados no formato
eletrônico é feito através de redes, que podem sofrer ataques em
qualquer um dos pontos de acesso à ela Sistemas Corporativos
Servidores corporativos
Cliente
(usuário)
Linhas de comunicação
Banco
de dados
●
Escuta clandestina
●
Sniffing (farejamento) Hardware
●
Alteração de mensagem Sistemas Operacionais
●
Roubo e fraude Software
●
Acesso não autorizado ●
Radiação
●
Erros ●
Ciberpirataria
●
Vírus e worms
●
Roubo e fraude ●
Roubo, cópia e alteração de dados
●
Vandalismo ●
Falha de hardware e de software
●
Ataques de recusa de serviço
Figura: Vulnerabilidaes e desafios de segurança contemporâneos. Fonte:

14 Laudon e Laudon 9a ed.
●
Vulnerabilidades e uso indevido dos SI
●
Atacantes
●
Possíveis ataques
●
Técnicas e ferramentas utilizadas
●
Objetivo: mostrar que a preocupação com segurança é essencial para
continuidade do negócio
15
●
Software mal-intencionado
●
Programas de software mal-intencionados são designados malware
●
Vírus
●
Se anexa a outros programas ou dados a fim de serem executados sem a permissão
do usuário
●
Quando executado, pode realizar diversos estragos: formatar o disco, entupir a
memória, impedir a inicialização
●
São transmitidos na cópia de arquivos infectados
16
●
●
Worms
●
Programas que se reproduzem automaticamente pela rede
●
São executados automaticamente e são tão devastadores quanto os vírus
17
●
●
Cavalo de Troia
●
Software que parece benigno, mas depois faz algo diferente do esperado
●
Termo se refere ao cavalo de madeira usado pelos gregos para invadir Troia com
guerreiros escondidos
●
Geralmente serve de porta de entrada para outros malwares
18
●
●
SQL injection
●
Código SQL é inserido em formulários e para gerar comandos prejudiciais ao Banco
de Dados. Ex.:
●
USER: jo’; DROP TABLE clientes; --
●
PASS: 1234
●
Gera o seguinte comando no BD
SELECT user, pass
FROM clientes
WHERE user = ‘jo’; DROP TABLE clientes ; --'
AND pass = ‘1234';
19
●
●
Spyware
●
Programas que instalam-se no computador do usuário e monitora suas atividades a
fim de usar as informações para marketing
●
Key loggers
●
Categoria de spyware que registra as teclas pressionadas para detectar senhas de
usuários
20
Analisando Impactos e Calculando
Riscos
●
Alguns exemplos de vírus
●
Beijing: no 129o boot e a cada 6o boot, a tela apresenta a mensagem “Bloody June 4 1989”,
menção ao massacre ocorrido na Praça da Paz Celestial em Pequim
●
Dark Avenger: vírus identificado inicialmente em 1989 com a intenção de infectar
arquivos .com, .exe e .ovl, é um vírus destrutivo que encolhe aleatoriamente áreas do disco
rígido cujos dados são apagados gradativamente
●
Melissa: aparição em 1999, infecta documentos do Word e envia cópias de arquivos
infectados aos 50 primeiros endereços do diretório do outlook
●
Conficker: aparição em 2008, explora uma velha vulnerabilidade do Windows para se
espalhar pela internet por mídias removíveis e por redes desprotegidas, criados para
bloquear acesso a sites de empresas de segurança e atualizações de antivírus, além de
impedir a restauração do sistema
●
Majava: explora vulnerabilidades na plataforma de desenvolvimento Java, dependendo do
nível podem dar ao invasor controle total da máquina
●
Browlock: aparição em 2014, bloqueia o acesso do usuário a arquivos em seu computador
21
Analisando Impactos e Calculando
Riscos
●
Alguns outros exemplos de ameaças
●
Golpes no WhatsApp: após acessar o link um vírus poderia ser
instalado no dispositivo oferecendo acesso a seus dados e
propagando ainda mais o link para outros contatos
●
Ovos de páscoa prometidos pelas lojas Kopenhagen (o nome da
empresa foi usada pelos atacantes)
●
Golpes do FGTS: em 2017 cresceu o número de domínios falsos com o
objetivo de roubar o dinheiro de quem tinha direito ao benefício
●
Ataque homográfico: a URL de um site parece de um forma para o
usuário mas na verdade é outro
22
●
Hackers e Cibervandalismo
●
Hacker
●
Indivíduo que pretende obter acesso não autorizado a um sistema de computador
●
O termo Cracker designa o Hacker com intenções criminosas (o Hacker pode, por
exemplo, estar testando sistemas)
●
Cibervandalismo
●
Interrupção, alteração da aparência de um site ou SI corporativo
23
Exemplo: Kevin Mitnick

●
Engenharia social e técnicas de apropriação de informações confidenciais
●
Invadiu vários computadores, como de operadora de celulares, de empresas
de tecnologia e provedores de internet
●
Foi preso em 1995 e libertado em 2000, ficou três anos em condicional,
sem poder conectar-se à internet
●
Filme: Caçada Virtual ("Takedown" - 2000)
24
●
Spoofing e Sniffing
●
Spoofing ou Phishing
●
Disfarce de identidade que Hackers, por exemplo, e-mail falso
●
Envolve também o redirecionamento a sites falsos
●
Sniffing
●
Programa que monitora informações transmitidas pela rede
25
●
Ataques de Recusa de Serviço
●
DoS (Denial of Service)
●
Hackers lotam um servidor com centenas de requisições falsas a fim de inutilizar a
rede
●
A rede recebe tantas consultas que não consegue lidar com elas e ficam
indisponíveis para solicitações de serviço legítimas
●
Exs.: Wikileaks em 2010
●
Receita Federal em 2011
26
●
Roubo de Identidade
●
Crime onde impostor obtém informações pessoais importantes como
senha do cartão de crédito e CPF e se passa por outra pessoa
●
E-commerce facilita essa prática
●
Evil twins
●
Redes sem fio monitoradas por hackers que fingem oferecer conexão gratuita à
Internet
27
●
Fraude do Clique
●
Algumas propagandas são cobradas por cliques
●
Indivíduo ou programa clica repetidamente em anúncio sem interesse
no mesmo
●
Empresas contratam pessoas para clicar em anúncios e aumentar os
custos da concorrente com marketing
28
●
Valor Empresarial da Segurança e do Controle
●
Como a segurança não está diretamente relacionada à receita de
vendas, muitas organizações relutam em gastar muito em segurança
●
No entanto, organizações têm ativos de informação valiosos
●
Registros médicos
●
Segredos de negócio
●
Informações sobre estratégias militares
●
Controle e segurança inadequados podem criar sérios riscos legais
●
Violação de privacidade
●
Corrupção de dados
29
●
Valor Empresarial da Segurança e do Controle
●
Prova eletrônica e Forense Computacional
●
Cada vez mais provas são apresentadas na forma de dados, como e-mails e
transações de e-commerce pela Internet
●
Procedimento de coleta, exame, autenticação preservação e análise de dados
mantidos em meios de armazenamento digital de maneira que possam ser usadas
como prova em juízo
●
Recuperar dados sem prejudicar seu valor probatório
●
Armazenar e administrar com segurança os dados eletrônicos recuperados
●
Encontrar informações significativas em uma grande base de dados
30
●
Estrutura para Segurança e Controle
●
Política de segurança
●
A Segurança da Informação "inicia" através da definição de uma política clara e
concisa acerca da proteção das informações
●
Através de uma política de segurança, a empresa formaliza suas estratégias e
abordagens para a preservação de seus ativos de informação
●
Essas regras devem especificar quem pode acessar quais recursos
●
Especificar quais recursos são disponíveis no sistema, bem como procedimento e
controles necessários para proteger as informações
31
●
●
●
Diretrizes
●
Conjunto de regras gerais de nível estratégico que tem como base a visão e a missão da
empresa
●
Representam às preocupações da empresa sobre a segurança das informações
●
Normas
●
Geralmente são elaboradas com foco em assuntos mais específicos como: controle de
acesso, uso da Internet, uso do correio eletrônico, acesso físico, instruções sobre criação de
senhas, realização de backups...
●
Serve para o usuário ter consciência de seu papel para a manutenção de segurança na
organização
32
●
●
●
Procedimentos e Instruções
●
Conjunto de orientações para realizar atividades e instruções operacionais relacionadas a
segurança
●
Comandos operacionais a serem executados no momento da realização de um
procedimento de segurança
●
Importante para o técnico ou administrador de segurança
●
Exemplo: definição e implementação das regras de filtragem do firewall
33
●
●
Plano de continuidade dos negócios
●
Como a empresa pode restaurar suas operações após um desastre
●
Identificar processos críticos e elaborar planos de ação para lidar com funções essenciais
caso os sistemas saiam do ar
●
Plano da recuperação de desastres
●
Estratégias para recuperar os serviços de computação e comunicação após algum ataque
(terremoto, incêndio, ataques terroristas)
●
Centro de informática duplicado
34
●
●
Auditoria de sistemas
●
Identifica todos os controles que governam sistemas individuais de informação e
avalia sua efetividade
●
O auditor entrevista indivíduos-chave e pode até mesmo simular um ataque ou
desastre para verificar como os recursos tecnológicos, a equipe de TI e os
funcionários reagem
35
●
Tecnologias e ferramentas para garantir a segurança
dos recursos de informação
●
Controle de Acesso
●
Conjunto de políticas e procedimentos que uma empresa usa para evitar acesso
indevido a seus sistemas por pessoas não autorizadas dentro e fora da organização
●
O controle é feito pela autenticação
●
Capacidade de saber que uma pessoa é quem declara ser
●
Geralmente feita por meio de senha secreta
●
Senhas fáceis comprometem a segurança
●
Autenticação biométrica
●
Token
36
●
●
Firewall
●
Combinação de hardware e software que controla o fluxo de trafego que entra ou
sai da rede
●
Age como um porteiro que verifica as credenciais de cada conexão
●
Usa regras de acesso
●
Ex.:
Se IPcliente = “200.243.100.002”,
recusar conexão;
Se Requisição = “FTP”,
recusar conexão;
37
Ponto único
de acesso
Rede 2
Firewall
Rede 1
●
Controle de acesso
Formado por um ou ●
Autenticação
mais componentes ●
Registro de Tráfego
38
●
●
Sistemas de Detecção de Invasão
●
Ferramentas de monitoração contínua instaladas nos pontos mais vulneráveis das
redes corporativas
●
Emite um alarme quando encontra um evento suspeito ou anômalo
39
●
●
Software antivírus
●
Software projetado para verificar sistemas e processos a fim de detectar a presença
de malware e eliminá-los
●
Criptografia
●
Processo de transformar textos comuns ou dados em texto cifrado, legível somente
ao destinatário
●
Backups e redundância de hardware
●
Manter cópias de dados importantes da organização em outra(s) localidade(s)
física(s) de modo a permitir sua recuperação em caso de sinistro
40
41
●
Aspectos Humanos da Segurança da Informação
●
Apesar de algumas tecnologias colaborarem para a segurança da
informação, o usuário continua sendo um elemento chave
●
Engenharia Social
●
Hackers se passam por outras pessoas para conquistar informações dos usuários
●
Os usuários devem ter conhecimento sobre algumas práticas de hackers e pessoas
mal-intencionadas na Internet
●
Um usuário com conhecimentos sobre ameaças virtuais estará muito mais protegido
●
A empresa deve preocupar com questões referentes ao recrutamento, treinamento,
desligamento...
42
Exercícios
1)Por que as empresas devem garantir a segurança de seus sistemas

de informação?
2)Quais são os três aspectos da segurança da informação que se
destacam?
3)Descreva algumas das ameaças às quais SIs estão expostos.
4)Como se estabelece o valor a ser investido em Segurança da
Informação?
5)Descreva as principais tecnologias e ferramentas para salvaguardar
recursos de informação.
6)Por que é importante a organização se preocupar com os aspectos
humanos?
43
Bibliografia básica
●
LAUDON, Kenneth C.; LAUDON, Jane Price. Sistemas de Informação
Gerenciais. 9a ed. São Paulo: Pearson Education do Brasil, 2011.
●
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão
executiva. 1.ed. Rio de Janeiro: Campus, 2003
●
https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-
coisas
●
Fonseca, G.H.G. Notas de Aula. Fundamentos e Teoria de Sistemas de
Informação
44

Segurança Da Informação - 3 Unidade

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança Da Informação - 3 Unidade

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança da Informação – Aula 18

Prof: Jhonathan Rennan da Silva

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

“Segurança da Informação é adotar controles físicos, tecnológicos e

Figura: Vulnerabilidaes e desafios de segurança contemporâneos. Fonte:

Exemplo: Kevin Mitnick

1)Por que as empresas devem garantir a segurança de seus sistemas

Você também pode gostar