Escolar Documentos
Profissional Documentos
Cultura Documentos
Inserir de Riscos
Aqui e
Inserir Título Aquiem
Vulnerabildades
Redes e Sistemas
Ameaças e Vulnerabilidade
Revisão Textual:
Prof.ª Dr.ª Selma Aparecida Cesarin
Ameaças e Vulnerabilidade
Objetivo
• Compreender e identificar as ameaças que causam vulnerabilidades aos Sistemas e às
Redes de Computadores, com o uso das ferramentas existentes no Mercado corporativo.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.
Bons Estudos!
UNIDADE
Ameaças e Vulnerabilidade
Contextualização
Na Unidade anterior, você aprendeu como os dados são transportados entre compu-
tadores e Sistemas, os meios físicos existentes que interligam esses recursos de tecnolo-
gia, topologias de Redes, seus equipamentos e Protocolos de comunicação.
Agora, nesta Unidade, você aprenderá que surgem ameaças e vulnerabilidades que po-
dem impactar o funcionamento de todo esse ambiente apresentado na Unidade anterior.
Esperamos que você aproveite a leitura e que os temas abordados sirvam de base
para seus estudos futuros.
6
Introdução
Antes de iniciarmos nosso estudo relacionado à identificação de prováveis ameaças
que causam vulnerabilidades aos Sistemas e às Redes de Computadores, apresentarei o
que vem a ser o conceito de Segurança da Informação e sua aderência à Norma Técnica
ABNT NBR ISO/IEC 27001:2013.
Acesse o link a seguir para saber quais Normas Técnicas são recomendadas para o esta-
belecimento dos níveis adequados de proteção e acesso à informação, para tratamento e
Segurança da Informação. Disponível em: https://goo.gl/7FRXBM
Ademais, apresentarei o conceito do que vem a ser uma Norma ISO/IEC ou ABNT,
porque uma Empresa decide optar por essa normatização em seus processos e os con-
ceitos de Dados, Informações, Conhecimento e Sabedoria para fecharmos o conheci-
mento do ciclo de vida da informação.
Conceitos e Definições
O que são Normas ISO/IEC?
A ISO é uma Organização Internacional de Normalização criada em 1946, com sede em
Genebra, na Suíça. Ela tem como associados organismos de normalização de cerca de 160
países, que estabelecem por consenso, salvaguardando não infringir as Leis locais de nenhum
dos países participantes (desde que indicado por seus especialistas), a criação de Normas Téc-
nicas que facilitem o comércio e promovam boas práticas de gestão e o avanço tecnológico.
Ambas criam documentos internacionais que fornecem, para o uso comum e repeti-
tivo, regras, diretrizes ou características para as atividades ou seus resultados, visando à
obtenção de um grau ótimo de ordenação num dado contexto.
7
7
UNIDADE
Ameaças e Vulnerabilidade
Toda e qualquer Norma, seja ela ISO ou IEC, assegura que as características desejá-
veis de um produto ou serviço sejam entregues ao cliente final, atendendo a qualidade,
a segurança, a confiabilidade, a eficiência e a intercambialidade, bem como o respeito
ambiental – e tudo isso feito a um custo econômico.
Por exemplo: a padronização das roscas de parafusos ajuda a fixar cadeiras, bicicletas
para crianças e aeronaves, bem como resolve os problemas de reparo e manutenção
causados pela falta de padronização, que um dia foram um grande problema para os
fabricantes e para os usuários de produtos.
8
Sabedoria
Conhecimento
Informação
Dado
O que é dado?
Esse componente que anda lado a lado com números, palavras e imagens consegue
esclarecer e facilitar a compreensão das informações. São caracteres que juntos, em
sua forma “bruta”, não passaram por nenhum processo e nenhuma organização para
serem utilizados.
Por exemplo: apenas um pingo d’água no para-brisa do carro pode ser o início
de uma chuva ou pode ser que você tenha passado ao lado de um prédio e que alguém
do apartamento esteja lavando uma vidraça e atingiu o carro.
O que é informação?
São dados que apresentados em sua forma “bruta” foram processados e já sofreram al-
gum tipo de organização para estabelecerem valores de bases qualitativas ou quantitativas.
Por exemplo: depois de o pingo d’água ter caído no para-brisa, você pode olhar para
o céu e observar que uma chuva está se formando, pelas nuvens densas no céu e
por mais pingos d’água aparecerem em seu para-brisa.
O que é conhecimento?
O conhecimento seria a forma adequada de utilizar a informação. É como se enten-
dem as estratégias e como as colocamos em prática.
Por exemplo: com diversos pingos d’água no para-brisa, você sabe que o trânsito
passará a ficar mais lento e assim você não conseguirá chegar a tempo para
entregar antecipadamente os relatórios da reunião que se encontra agendada para
daqui alguns minutos.
9
9
UNIDADE
Ameaças e Vulnerabilidade
O que é sabedoria?
A sabedoria é o porquê de tudo. É a percepção que se tem do todo. É a capacidade do
homem de saber seus erros e os da Sociedade e corrigi-los, conseguindo colocar em prá-
tica o que possui de conhecimento, tanto na vida pessoal quanto no trabalho. É trabalhar
o entendimento de quando usar as informações corretas e criar o seu próprio contexto.
Assim, existem 4 (quatro) momentos do ciclo de vida da informação que são mere-
cedores de atenção, pois correspondem às situações em que a informação é exposta a
ameaças, colocando em risco a sua integridade.
• Manuseio – O manuseio corresponde ao momento em que a informação é criada
e manipulada, seja ao folhar papéis, digitar informações recebidas, seja em senha
de acesso para autenticação;
• Armazenamento – O armazenamento corresponde ao momento em que a informação
é guardada, seja em banco de dados, seja em anotações em papel, mídia óptica etc.;
• Transporte – Transporte corresponde ao momento em que a informação é trans-
portada, seja por correio eletrônico, seja postal, telefone etc.;
• Descarte – O descarte é o momento em que a informação já não é mais útil, po-
dendo ser depositada numa lixeira, apagada do Banco de Dados etc.
Criação/ Manuseio
Transporte
10
Segurança da Informação
Segundo o item 4.2.3 da Norma ISO/IEC 27000: 2018, Segurança da Informação
é uma prática que, se bem aplicada, garantirá que as informações do ambiente corpo-
rativo sejam disponibilizadas no momento em que forem solicitadas (disponibilidade)
igualmente como foram armazenadas (integridade) somente àqueles que tenham per-
missão para acessá-las (confidencialidade). Na Norma ISO/IEC 27000: 2018 o termo
segurança da informação é especificado em sua seção 3.28 como sendo a preservação
da confidencialidade (seção 3.10 da Norma), integridade (seção 3.36 da Norma) e dis-
ponibilidade (seção 3.7 da Norma) da informação.
Confidencialidade
Integridade
Confidencialidade
Autenticidade
Confiabilidade
Não
Responsabilidade repúdio
11
11
UNIDADE
Ameaças e Vulnerabilidade
Tal Lei aplica uma multa de até 2% (dois por cento) do faturamento do último exer-
cício da Organização (limitado ao total de R$ 50.000.000,00 – cinquenta milhões de
reais – por infração); texto expresso no capitulo VIII, Art. 52 da referida Lei.
A todo momento, o texto diz que a Segurança da Informação é uma prática. Isso
porque você não implementará um SGSI de uma única vez. De Departamento em
Departamento, você irá especificando e implementando os controles presentes em
Normas, juntamente com seus pares, aqueles que ajudarão nesse processo, expli-
cando como eles executam suas tarefas diárias para que assim você estabeleça os
controles necessários.
12
Gestão de Riscos
Como o maior patrimônio das Organizações é a Informação, o modo como ela cui-
da das informações faz toda a diferença na continuidade da operação do seu negócio.
Por isso, é importante que toda Organização, ao lidar com a informação, avalie os
riscos, a vulnerabilidade e as ameaças que ela pode sofrer; isto é, a Gestão de Riscos.
Componentes de um risco
Um risco está relacionado a:
• Uma fonte de risco, ameaça ou perigo – Aquilo que tem o potencial intrínseco de
prejudicar ou auxiliar, por exemplo, um produto químico perigoso, os concorrentes,
o Governo;
• Um evento – Algo que acontece de tal forma que a fonte do risco tem um impacto
envolvido como, por exemplo, um vazamento, um concorrente que expande ou
abandona o seu segmento de Mercado, regulamentações novas ou revisadas, ou
alguma medida ou observação que atinge um nível que desencadeia algo;
13
13
UNIDADE
Ameaças e Vulnerabilidade
Por exemplo:
• Um temporal danifica mercadorias e gera custos de retrabalho;
• Identificamos um nicho de Mercado que leva a um aumento nas vendas;
• Um derramamento de petróleo denigre nossa reputação na comunidade local.
O processo de identificação
Para desenvolver, por exemplo, uma lista abrangente de riscos, deveria ser utilizado
um processo sistemático, iniciando com o estabelecimento do contexto para conseguir
demonstrar que os riscos foram identificados de forma eficaz.
14
• Que controles existem atualmente para tratar esse risco (maximizar os riscos com
consequências positivas ou minimizar os riscos com consequências negativas)?
• O que poderia fazer com que o controle não tivesse o efeito desejado sobre o risco?
15
15
UNIDADE
Ameaças e Vulnerabilidade
Ao selecionar uma abordagem para identificar riscos, são feitas as seguintes considerações:
• Sessões de brainstorming em Equipe, por exemplo, para os quais convém dar
preferência a uma abordagem de workshops com o uso de facilitadores, pois
desenvolve o comprometimento, considera diferentes perspectivas e incorpora
experiências variadas;
• Técnicas estruturadas como diagramas de fluxo, análise crítica do projeto do siste-
ma, análise de sistemas, estudos de perigos e operabilidade (HAZOP) e modelagem
operacional, deveriam ser usadas quando as consequências potenciais forem catas-
tróficas e o uso de tais técnicas for eficaz em termos de custo;
• Para situações não tão claramente definidas, tais como a identificação de riscos
estratégicos, podem ser usados processos com uma estrutura mais genérica como
“what-if” e análise de cenários;
• Quando os recursos disponíveis para a identificação e análise de riscos forem limi-
tados, sua estrutura e abordagem podem ter que ser adaptadas, para alcançar resul-
tados eficientes dentro das limitações orçamentárias. Por exemplo, onde há menos
tempo disponível, pode-se considerar um número menor de elementos-chave num
nível mais alto, ou se pode usar uma lista de verificação;
• Em muitos casos, a identificação de riscos em múltiplos níveis é útil e eficiente.
Numa etapa inicial ou preliminar da definição do escopo, pode-se identificar os
riscos num nível superior, e definir as prioridades, aplicando-se uma identificação e
análise de nível detalhado a uma subsérie de áreas de alta prioridade.
Ameaças
Segundo o item 3.74 da Norma ISO/IEC 27000:2018, ameaça é a causa potencial
de um incidente indesejado, que pode resultar em danos a um Sistema ou Organização.
Porém, de forma geral, a ameaça pode ser entendida como a expectativa de um acon-
tecimento indesejável que cause danos a um recurso de TI (removendo, desabilitando ou
16
destruindo aquele recurso). Uma ameaça é um fato não concretizado. Ela serve como
aviso para proteger aquele recurso que não se quer perder.
Vulnerabilidades
Segundo o item 3.77 da Norma ISO/IEC 27000:2018, vulnerabilidade é a fraqueza
de um ativo ou controle que pode ser explorada por uma ou mais ameaças.
Ela está associada ao próprio ativo que pode sofrer o ataque. Assim, em segurança de
computadores, uma vulnerabilidade é uma fraqueza que permite que o atacante reduza
a garantia da informação do sistema.
• Exemplos de vulnerabilidades: quando o controle de acesso às instalações do am-
biente corporativo não estão implementados e pessoas sem autorização circulam por
entre os funcionários (física); quando pessoas mal intencionadas conseguem acesso a
credenciais de super-usuários (ou têm o conhecimento das credenciais de outro usuário)
coisas ruins podem acontecer causando indisponibilidade do sistema ou quebrando a
integridade de alguns dados (lógica – falha no gerenciamento de credenciais de acesso).
Os ataques ativos são ataques que intervêm no fluxo normal da informação, alteran-
do o seu conteúdo e produzindo informações que não são consideradas válidas. Eles têm
o intuito de atentar contra a segurança de um sistema. Exemplos de ataques ativos: DoS,
DDoS, buffer overflow, inundação de SYN etc.
17
17
UNIDADE
Ameaças e Vulnerabilidade
Os ataques passivos são aqueles que não alteram a informação e nem seu fluxo
normal. Eles apenas ficam sob canal de escuta. Exemplos de ataques passivos: pesquisa
de vulnerabilidade, sniffing etc.
18
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Sites
Cert.br
Site interessante, apresentando conceitos diversos de Segurança da Informação, com
diversos tutoriais.
https://goo.gl/11wYnX
Livros
Comunicação de dados
ROCHOL, Juergen. Comunicação de dados. Porto Alegre: Bookman, 2012. (E-Book);
Redes de Computadores
TANENBAUM, A. S. Redes de Computadores. 5.ed. São Paulo: Pearson, 2011.
Vídeos
Aula 02: Ameaças, Riscos e Vulnerabilidades I - Parte 1
Para entender melhor a respeito de ameaças e vulnerabilidades, aqui há um bom tutorial.
https://youtu.be/36MXBTRMMfY
Qual a diferença entre RISCO e AMEAÇA? (Análise e Gestão de Riscos) [Concurso Público]
https://youtu.be/jxBEuDVCMgU
19
19
UNIDADE
Ameaças e Vulnerabilidade
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Duvidas frequentes. Dis-
ponível em: <http://www.abnt.org.br/informacao/duvidas-frequentes>. Acesso em:
dez. 2018.
20