Segurança e Auditoria Informática

2023/2024
Prof. Adilson Correia
[stalinfortes@[Link]]

#2 –Introdução a Segurança de Informação

INF022 -SAI 2023/2024 1

 Sumário
1. Introdução à Segurança Informática;
2. Recursos (asset’s) de um sistema de Informação;
3. Categorias e Ações da Segurança de Informação;
4. Questões importantes?
5. Curiosidades…
6. Ameaças (Threat);
7. Risco - Análise e Avaliação;
8. Incidente e Acidente;
9. Segurança do Computador - Problemas típicos;
10. Procedimentos de Controlo de Segurança Informática:
1. Política de Segurança Informática (PS)
2. Plano de Continuidade de Negócio (PCN)
3. Auditoria de Segurança de Informação.
11. Desafios e medidas da Segurança Informática;
12. Informática Forense.
Prof. Juvenal Pereira @Unipiaget INF022 -SAI 2018/2019

2
 Introdução à Segurança
Informática
Segurança informática é a segurança de informação que por sua vez depende da
segurança dos recursos/asstes físicos (equipamentos) e lógicos (aplicações e
dados – exemplos: e-mail, conta, password, etc) de um sistema de informação.
– Desde armazenamento de dados, processamento e transmissão de
informação.
É uma área de TI que tem como objectivo garantir 3 coisas fundamentais:
1. Confidencialidade
2. Disponibilidade
3. Integridade

3
 Recursos (asset’s) de um sistema de
Informação
Recursos físicos ou de hardware - usado para executar as atividades de
entrada, processamento e saída. De entre eles temos:
– Dispositivos de entrada: teclado, scaner, e outros dispositivos de leitura
de dados.
– Dispositivos de processamento: CPU (processador), memória e
dispositivos de armazenagem (HD, Base de Dados).
– Dispositivos de saída: impressoras, monitores e outros.

Recursos lógicos: programas, scripts, instruções dados ao computador para

processamento de dados.

Recursos Humanos – todas as pessoas (utilizadores e administradores) que

operam o sistema.

Procedimentos: políticas, regras e formas de operar o sistema de informação.

[Link]
4
Categorias e Ações da Segurança
de Informação
Prevenção: consiste em reduzir a probabilidade. Implica ações
executadas, recorrendo à algumas ferramentas, para evitar que algo
ruim possa acontecer.
– exemplo: instalar antivírus.

Detecção: mecanismos que nos ajudam a identificar algo que não

está bem e nos coloca em estado de alerta.
– Exemplos: instalação de sistemas de IPS, antivírus,
monitoramento e análise de logs, sistemas de monitorização, etc.

Recuperação: acções a tomar depois de uma ocorrência indesejada,

mediante a um plano previamente implementado, plano bem feito,
testado.
– Quanto maior o tempo de recuperação, maior será o prejuízo.

[Link]
5
 Questões importantes?
Imaginem quantos computadores pessoais existem no Mundo?

Quantos desses computadores estão conectados à internet?

Quantos gigabytes de informação cada um armazena?

Quantas transações de troca de dados ou informações se

realizam diariamente na Internet?

Quantas pessoas têm acesso autorizado e não autorizado à

essa informação?

6
 Curiosidades…
Quantas pessoas estão conectadas à Internet no Mundo?
– População mundial: estimado em 8 bilhões

Fonte: [Link]

7
 Curiosidades…
Quantas pessoas estão conectadas à Internet no Mundo?
– População mundial: estimado em 8 bilhões

Fonte: [Link]

8
 Vulnerabilidades

Vulnerabilidades são fraquezas existentes nos recursos

(asset’s)/elementos do sistema de informação, tanto em ambientes
lógicos (softwares, incluindo SO) como em ambientes físicos (redes e
servidores) e que podem ser exploradas por uma ameaça.
– Exemplos:
• Má configuração do sistema;
• Falta de manutenção do sistema;
• Utilização de protocolos inseguros.
• Etc.

9
 Ameaças (Threat)
Ameaça é qualquer incidente, ação ou entidade (hacker) que poderá
causar dano ou perda de dados.
– Exemplo: erro do sistema, causas naturais, ludibriação, etc.
É uma componente do risco.

10
 Ameaças (Threat)
Qual é o impacto estimado por tipo de ameaça?

Fonte: Exploits at the Endpoint: SANS 2016 Threat Landscape Survey,

[Link]
11
 Ameaças (Threat)
Vector das ameaças:
– Por onde entram as ameaças e como se propagam até chegar às
vulnerabilidades?

Fonte: Exploits at the Endpoint: SANS 2016 Threat Landscape Survey,

[Link]
12
 Risco
Análise e Avaliação

Risco = exposição à ameaça.

–Quanto maior é a exposição à ameaça, maior é o risco.
Analise e Avaliação de Risco:
– É preciso identificar e diminuir (mitigar) o risco. Isso pode ser feito
recorrendo à ferramentas próprias para o efeito.
– Quantitativo:
• Probabilidade (P) x Valor (V)
– Qualitativo
• Baixo, Medio e Alto

Obviamente, os tipos de riscos a que estão sujeitas as instituições variam no

tempo e no espaço.
13
 Incidente
Um incidente de segurança de informação é qualquer evento adverso,
confirmado ou suspeita, relacionado com a segurança de sistemas.
É, de uma forma global, qualquer situação que ponha em risco um dado
(elemento da informação) ou o sistema de armazenamento, processamento e
transmissão.
– Exemplos de incidentes que afectam a disponibilidade
• 1) tentativas não autorizadas de acesso;
• 2) má utilização de um sistema;
• 3) falhas no sistema que impedem um acesso autorizado.

[Link]
14
 Acidente
Altera os valores fundamentais (integridade, confidencialidade e
disponibilidade), ou seja, provoca danos ou perda. Exemplo: um ataque hacker.
Ao contraio do incidente de segurança de informação que pode não se
confirmar, o acidente de segurança de informação é já é acontecimento casual,
fortuito, inesperado e confirmado de uma situação que, normalmente, provoca a
perda de elementos da informação.
A maioria de do acidente pode ser evitado se se assumir os incidentes e
controlar os riscos.
– Exemplos: ataques informáticos, desastres, falhas de segurança, entre
outras (enchentes, terremotos, furacões, incêndios, desabamentos, falhas
de equipamentos, acidentes, greves, terrorismo, sabotagem, ações
intencionais),

15
 Segurança do Computador
Problemas típicos
Alguém acede ao seu computador porque não está protegido.
Alguém rouba-lhe o seu computador;
Entra um vírus no seu computador porque o mesmo não está protegido por antivírus, ou
este não está atualizado.
Etc.
Que cuidados ter? Implementar controlos de segurança. Algumas técnicas ou exemplos:
– Segurança do SO:
• Análise de Segurança por Antivírus;
• Proteção de início de sessão por password;
• Proteção com Password no BIOS;
– Segurança de ficheiros:
• Proteção de ficheiros com senhas;
• Ocultação de ficheiros;
• Camuflagem de ficheiros;

– Segurança de Volumes de Armazenamento: flash Disck, PenDrive, HD

• Criptografia de BitLocker

16
 Controlos de Segurança
Informática
São mecanismos ou elementos que ao serem
aplicados mitigam os riscos.
Os controlos de segurança informática definem os
objetivos principais de uma implementação de
segurança apropriada.
Existem 3 categorias de controlos:
– Físicos
– Técnicos
– Administrativos

Como implementá-los?
17
 Controlos Físicos

Os controlos físicos são usados para deter ou evitar acesso não

autorizado a um recurso físico/estrutural de um sistema de informação.
Meios de implementação:
– Câmaras de vigilância de circuito fechado (CCTV);
– Sistemas de alarme térmicos ou de movimento;
– Guardas de segurança;
– Identidades com foto;
– Portas de aço trancadas com fechaduras 'dead-bolt’;
– Biométrica (inclui impressão digital, voz, rosto, íris, manuscrito e
outros métodos automatizados usados para reconhecer indivíduos).

[Link]

18
 Controlos Técnicos

Os controlos técnicos utilizam a tecnologia como base para controlar o

acesso aos recursos lógicos como dados ou aplicações de um sistema:
Meios de implementação:
– Criptografia no armazenamento e em transito/transporte assegura
a confidencialidade);
– Cartões inteligentes (smart card);
– Autenticação de rede com PIN ou Paword;
– Listas de controle de acesso (Access control lists - ACLs)
– Software de auditoria de integridade de arquivos para verificar se
um arquivo foi ou não adulterado.

[Link]

19
 Controlos Administrativos

Os controlos administrativos definem os fatores humanos da

segurança. Determinam para cada utilizador ou grupo a quis
recursos (físicos ou lógicos) do sistema deve ter acesso;
Meios de implementação:
– Treinamento e conscientização;
– Preparação para desastres e planos de recuperação;
– Recrutamento de pessoal e estratégias de separação;
– Registro e avaliação de pessoal.

[Link]

20
 Procedimentos de Controlo de
Segurança de Informação
A Política de Segurança (PS - conjunto de princípios ou regras sobre a
concretização e gestão da segurança de informações de uma organização e
deve ser respeitado pelos utilizadores comuns e administradores internos e
externos.

Plano de Continuidade do Negócio (PCN), também conhecido como Plano

de Contingência (PC) ou ainda Plano de Recuperação de Desastre (PRD
- conjunto de estratégias que devem ser adotados quando se depara com
acidentes ou incidentes de segurança que comprometem o sistem. Incorpora
medidas que combinam ações preventivas e accões de recuperação.

Auditoria de Segurança de Informação - Consiste em testar (pentest) o

sistema; Identificar falhas; Ver acções não conformes os requisitos das normas
de referência , das quais o standard ISO serie 27000, sobretudo 27001 e 27002;
Elaborar um relatório com as constatações (pontos fortes – boas praticas,
pontos fracos, oportunidades e ameaças); Propor melhorias e ajustamentos ao
sistema.
[Link]

21
Desafios e medidas da Segurança
Informática
Desafios:
– Implementar a segurança de informação não é fácil… Requer expertise e
defronta-se com muitos desafios:
1. Complexidade tecnológica;
2. Complexidade dos utilizadores;
3. Globalização das ameaças. Cibercriminaliadde... Ciberguerras…
um Hacker Russo que ataca os EUA é julgado na Rússia ou
nos EUA? (ver a Convecção de Budapeste). Quantos países já
subscreveram a convenção e tem leis especificas sobre a
cibercriminalidade?
4. É preciso garantir a proteção de dados pessoais (ver a lei nacional
sobre a proteção de dados pessoas no site da CNPD – Comissão
Nacional de Proteção de Dados Pessoais).
–Elaborar e implementar a Política de Segurança;
Medidas
– Adoptar as boas praticas… Elaborar e implementar os Planos de Segurança
e de Continuidade de Negócio;
– Auditar periodicamente o sistema.
22
 Informática Forense
A Informática ou Computação Forense é o ramo da ciência que
consiste no uso de métodos e técnicas computacionais em investigação
criminal com base em evidência digital com validade probatória (provas
validas judicialmente).
Possui várias etapas:
– Recolha;
– Validação;
– Identificação;
– Preservação;
– Análise/interpretação;
– Documentação;
– Apresentação.
Requer experiência, especialização e certificação.
– Ferramentas mais usadas: Forensic ToolKit (FTK), EnCase, Nuix e a
WinHex,
23
 Informática Forense
Desafios a vencer em informática forense:
– Cloud Computing – O Acesso físico, sobretudo em plataformas IAAS,
pode não ser fácil, sobretudo se localizado é fora da jurisdição local.
– Dispositivos com grande capacidade de armazenamento – requer
mais tempo de análise e recuperação.
– Inteligência artificial – os robots tem maior capacidade de fazer crimes
informáticos e ocultar rastos do que os humanos.
– Dispositivos móveis – esses dispositivos com cada vez mais recursos e
funcionalidades demandará do perito atualização constante em padrões,
tecnologias e protocolos.
– Dispositivos virtualizados: a maioria dos ataques informáticos são
através de sistemas virtualizados onde se pode manter com mais facilidade
o anonimato… e eliminar evidencias…
– BYOD (Bring Your Own Device) – as vezes não é fácil avaliar
dispositivos que não pertencem à empresa, mas sim ao colaborador, que os
utiliza para finalidades laborais.

24
 FIM

“Aprender é a coisa mais inteligente que se pode

fazer. Ensinar é um acto generoso mas, quando se
limita à transmissão, é bastante mais estúpido”
Autor: Cardoso , Miguel Esteves
Fonte: Diário de Notícias (2005)
Disponível: [Link]
[visto:02/10/2014]

25