Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Resumo Segurança

    Enviado por

    Isaac Xavier
    5 visualizações7 páginas

    Título original

    resumo segurança

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    5 visualizações7 páginas

    Resumo Segurança

    Enviado por

    Isaac Xavier

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 7

    RESUMO SEGURANÇA E AUDITORIA DE SISTEMAS

    PATRIMÔNIO DIGITAL: Patrimônio digital é aquele constituído por bens digitais. Bens digitais são
    todos os bens incorpóreos (imateriais) existentes no meio digital.

    SEGURANÇA DA INFORMAÇÃO: “A segurança da informação é um conjunto de medidas que se


    constituem basicamente de controles e política de segurança, tendo como objetivo a proteção
    das informações dos clientes e da empresa (ativos/bens), controlando o risco de revelação ou
    alteração por pessoas não autorizadas.”

    ATIVOS DA INFORMAÇÃO: Os meios de armazenamento, transmissão e processamento, os


    sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a
    eles têm acesso.

    AMEAÇA: Evento ou atitude indesejável que potencialmente remove, altera, revela, desabilita,
    danifica ou destrói um recurso;

    VULNERABILIDADE:

    • Característica de fraqueza de um bem;


    • Suscetível a uma ameaça
    • Características de modificação e de captação de que podem ser alvos os bens, ativos, ou
    recursos intangíveis de informática.

    RISCO:

    • A probabilidade da ocorrência de uma ameaça em particular


    • explorar uma determinada vulnerabilidade de um recurso

    RISCO BAIXO: devido ao percentual de assaltos vs o universo de agências

    RISCO ALTO: se comparado as tentativas frustradas vs as bem sucedidas

    RISCO DEPENDE DO PONTO DE VISTA! Levar em conta o impacto se o risco acontecer


    PRINCÍPIOS DA SEGURANÇA

    INTEGRIDADE:

    • Princípio de segurança da informação através do qual é garantida a autenticidade da


    informação;
    • Os dados devem ser íntegros!
    • Uma transação não deve ser alterada

    DISPONIBILIDADE:

    • Propriedade de manter a informação disponível para os usuários, quando estes dela


    necessitarem
    • Muito presente em negócios
    • Principalmente bancos!

    CONFIDENCIALIDADE:

    • Propriedade de manter a informação a salvo de acesso e divulgação não autorizados;


    • Os dados devem ser privados!

    CONTROLE DE ACESSO

    AUDITORIA: Capacidade que um sistema tem de determinar as ações e comportamentos de um


    único indivíduo no sistema, e de identificar este indivíduo;

    AUTORIZAÇÃO: São os direitos ou permissões, concedidos a um indivíduo ou processo, que


    permite acesso a um dado recurso.
    SIGILO / IDENTIFICAÇÃO: Trata-se do nível de confidencialidade e garantia de privacidade de um
    usuário no sistema;
    AUTENTICAÇÃO: Propriedade de confirmar a identidade de uma pessoa ou entidade.
    CONTROLE DE ACESSO: São mecanismos que limitam o acesso a recursos, baseando-se na
    identidade do usuário, grupo que integra e função que assume.

    CICLO DE VIDA DA INFORMAÇÃO

    Manuseio:

    ■ Identificação

    ■ Obtenção

    ■ Tratamento

    Armazenamento;

    Transporte:

    ■ Distribuição

    ■ Uso

    Descarte;

    MANUSEIO:

    • Quando a informação é criada;


    • Criação física ou digital.
    • Identificação das necessidades e dos requisitos

    ARMAZENAMENTO:

    • Momento que a informação é armazenada;


    • Pode ser em meios físicos ou digitais.

    TRANSPORTE:

    • Quando se distribui a informação;


    • Pode ser feita de várias formas, digitalmente, por papel, ...

    DESCARTE:

    • Quando a informação perde a utilidade;


    • Esta é destruída, física ou digitalmente.

    CLASSIFICAÇÃO DE ATIVOS

    A classificação dos ativos da informação é feita quanto à:

    ○ Confidencialidade;

    ○ Disponibilidade;

    ○ Integridade;

    ○ Autenticidade.

    CONFIDENCIALIDADE

    Nível 1: Informação Pública

    • Ativos públicos ou não classificados;


    • Sua integridade não é vital e seu uso é livre;
    • Ex: Sites indexados pelo google

    Nível 2: Informação Interna○

    • Ativos cujo acesso ao público externo deve ser evitado;


    • Caso exposto ao público não gera consequências críticas;
    • Ex: Conteúdo de cursos...

    Nível 3: Informação Confidencial

    • Ativos devem ter acesso restrito dentro da organização e protegidos do acesso externo;
    • Podem causar perdas financeiras;
    • Ex: Contratos, senhas ou fórmulas.

    Nível 4: Informação Secreta

    • Acesso interno e externo é crítico para a organização;


    • Deve conter controle de quantidade de pessoas com acesso;
    • Integridade vital;
    • Ex: Senhas muito importantes.
    Ultra-secretos

    • à soberania e à integridade territorial nacionais;


    • a projetos de pesquisa e desenvolvimento científico e tecnológico de interesse da defesa
    nacional.
    • a programas econômicos, cujo conhecimento não-autorizado possa acarretar dano
    excepcionalmente grave à segurança da sociedade e do Estado.

    Quem classifica e reclassifica:

    • Presidente e Vice-Presidente da República, Ministros de Estado, Comandantes da


    Marinha, Exército e Aeronáutica; Chefes Diplomáticas e Consulares permanentes no
    exterior.

    AUTENTICIDADE

    • Usuários de um sistema possuem permissões diferentes, baseadas no seu cargo na


    empresa/negócio
    • Acesso a funcionalidade depende do seu cargo
    • É necessário logar-se para obter acesso a informações da empresa;
    • Facilita a definição de quem tem poder de acesso.

    ASPECTOS HUMANOS

    Diferentes categorias de vulnerabilidades relacionadas com os sistemas de informação,


    computacionais ou não, podem ser atribuídas ao elemento humano.

    Como o elemento humano interage com a segurança?

    ○ Usuário

    • Comete erros
    • Falta de cuidado/conhecimento

    ○ Atacante

    • Explora erros
    • Explora vulnerabilidades
    • Abusa do fator humano

    ○ Especialista em segurança

    • Previne erros
    • Minimizar vulnerabilidades
    • Protege o sistema/negócio
    O ELO HUMANO

    95% das brechas de segurança acontecem por erros humanos,

    ○ Segundo estudo divulgado pela IBM em 2014. Isso sem contar ações feitas com o verdadeiro
    intuito de vazar informações.

    Principal solução: conscientizar o fator humano para cometer menos erros

    ● Processo de educação digital!

    RANSONWERE

    Caracterizado pelo sequestro de dados e chantagem por criptomoedas

    ● Possui diferentes formas de contágio e invasão○ gera danos administrativos e financeiros

    ● 26% dos ataques de malware são Ransomware

    ● Segurança

    • ○ Implementar softwares de segurança


    • ○ Antivírus gerenciados e o monitoramento remoto dos sistemas
    • ○ Forma mais eficaz de identificar e evitar ciberataques

    ● Backup

    • ○ Garante que os documentos essenciais da empresa sempre estarão protegidos por


    meio de cópias.
    • ○ Mesmo que se sofra um ataque, as informações não serão perdidas, pois poderão ser
    recuperadas.

    ● Políticas Internas

    • ○ Políticas de segurança e treinar os colaboradores


    • ○ Funcionários saibam identificar e como agir em casos de vulnerabilidade e ameaça

    ● Sistema Operacional

    • ○ Sistemas desatualizados antigos podem se tornar inseguros


    • ○ Mantendo os protocolos de segurança atualizados
    o ■ Soluciona vulnerabilidades e garante-se uma proteção extra.

    ● Equipamentos Gerenciados

    ○ Infraestrutura do negócio também devem ser atualizados e conferidos

    ○ As evoluções de ameaças, um equipamento desatualizado serve como porta de entrada para


    infecção das demais máquinas.

    Comandos do exercício Bandit

    ls - Lista o conteúdo do diretório;

    cd – altera o diretório de trabalho;

    cat - concatena arquivos e imprime na saída padrão


    file - determina o tipo de arquivo

    du - estimar o uso do espaço no arquivo

    find - procura arquivos em uma hierarquia de diretórios

    grep - imprime linhas que correspondem aos padrões

    man - uma interface para os manuais de referência do sistema

    Você também pode gostar