Conceitos Básicos de Segurança para Gerenciamento Da Segurança

UNIC –UNIVERSIDADE DE CUIABÁ
CONCEITOS E FUNDAMENTOS NA ÁREA DE

SEGURANÇA DE INFORMAÇÕES PARA
GERENCIAMENTO DA SEGURANÇA
1
SEGURANÇA DA INFORMAÇÃO
Ementa
Fundamentos de segurança da informação.

Classificação e proteção da informação.
Padrões de Segurança de Informações.
Especificação de projetos de Segurança de Informações.
Política de Segurança de Informações.
A função de Administração da
Segurança (Security Office).
Aspectos gerenciais e operacionais.
UNIDADE 1
CONCEITOS E FUNDAMENTOS NA
ÁREA DE SEGURANÇA DE
INFORMAÇÕES
3
SEGURANÇA DAS INFORMAÇÕES
O OBJETIVO DA ÁREA DE SEGURANÇA DAS

INFORMAÇÕES
Tem como objetivo proteger as informações que se encontram
registradas onde quer que estejam:
Papéis impressos (padrões, procedimentos, manuais, etc…);
Discos rígidos de computadores, pendrives, CDs/DVDs;
Fitas, na memória das pessoas;
Bem como por onde elas transitam (rede interna, internet, extranets,
redes Man/Wan;
Em outras palavras, a segurança da informação é o processo que tem

a responsabilidade de manter entre outras coisas:
A informação íntegra, confiável e disponível, porém disponível apenas

a quem tenha direito. 4
O CONCEITO DE SEGURANÇA DE INFORMAÇÕES
PROCESSO
CONTÍNUO
5
QUAL DEVE SER O FOCO DE ATUAÇÃO NA ÁREA DE
SEGURANÇA
DE INFORMAÇÕES
GESTÃO DE SEGURANÇA
PPP=POLÍTICAS/PADRÕES/PROCEDIMENTOS
Controles
Controles
Controles
Controles HARDNING
REDE
REDE
SISTEMAS
CONECTIVIDADE APLICAÇÕES E ACESSOS
BANCO DE DADOS OPERACIONAIS
MONITORAÇÃO E PERFIS DE
RESPOSTA A ATAQUES USUÁRIOS, CONTROLE
FIREWALL / IDS DE ACESSO 6
SEGURANÇA DA INFORMAÇÃO
7
8
OS TRÊS PILARES DA
SEGURANÇA DE
INFORMAÇÕES
E
D E
A E D
D A
LI A
D
ID
IA ID IL
C R IB
EN E G
O
N
ID T P
F IN IS
N D
O
C
9
PRINCÍPIOS DA SEGURANÇA DAS
INFORMAÇÕES
A Segurança da Informação deve ser baseada nos seguintes
fundamentos ou pilares:
CONCEITO DE INTEGRIDADE
A informação sempre tem uma origem e um destino. A área de
segurança de informações deve garantir que a informação ao ir de um
ponto de origem a um ponto de destino, a mesma não pode ser
modificada.
O receptor da informação deve ter a certeza de que a informação

acessada, lida ou ouvida é exatamente a mesma que foi disponibilizada
para ele usuário.
10
CONCEITO DE DISPONIBILIDADE
A área de segurança de informações deve garantir que a informação
deve estar disponível para ser usada, para poder ser lida, transmitida
e armazenada, a qualquer momento.
CONCEITO DE CONFIDENCIALIDADE
A área de segurança de informações deve garantir que sómente as

pessoas que devem acessar uma determinada informação devem
acessá-la.
CONCEITO DE AUDITORIA EM SOFTWARE

É a área de segurança de informações que além de auditar tudo que
foi realizado. Deve atuar de forma a detectar tentativas de fraudes e
tentativas de ataques.
11
12
12
Adianta proteger só um dos 3
pilares?
ATIVO PARCIALMENTE ROUBADO
13
Aliás... O que aquele ladrão vai
fazer sem a roda???
ATIVO PARCIALMENTE ROUBADO

14

OUTROS CONCEITOS DE SEGURANÇA A
CONSIDERARMOS
CONCEITO DE AUTENTICAÇÃO
Capacidade de garantir que um usuário, sistema ou informação é
mesmo quem alega ser.
CONCEITO DE NÃO REPÚDIO
É a capacidade de através do sistema de se provar que um usuário

executou determinada ação no sistema.
O não repúdio pode ser na origem ou no destino.

O não repúdio na origem : a origem nega o envio das informações;
O não repúdio no destino: o destino nega o recebimentodas 15

informações;

OUTROS CONCEITOS DE SEGURANÇA A
CONSIDERARMOS
CONCEITO DE LEGALIDADE
É a aderência de um sistema ou procedimento de segurança à uma

determinada legislação nacional ou internacional.
Inúmeras legislações são descumpridas por desconhecimento dos

gestores da existência das mesmas;
Inúmeras normas não são usadas como referência por

desconhecimento dos gestores da existência das mesmas;
Inúmeros tipos de penalidades podem ser aplicadas a gestores de TI,

como será mostrado mais adiante;
16
CLASSIFICAÇÃO DA INFORMAÇÃO
OBJETIVO:
Assegurar que os ativos de informação recebam um nível adequado

de proteção.
A informação deve ser classificada para indicar a importância, a

prioridade e o nível de proteção.
A informação possui vários níveis de SENSIBILIDADE E

CRITICIDADE. Alguns itens podem necessitar um nível adicional de
proteção ou tratamento especial.
Convém que um sistema de classificação da informação seja usado

para definir um conjunto apropriado de níveis de proteção e determinar
a necessidade de medidas especiais de tratamento.
17
1. Lei nº. 8.159, de 8 de Janeiro de 1991, que dispõe sobre a
política nacional
de arquivos públicos e privados e dá outras providências.
2. Decreto nº. 3.505, de 13 de Junho de 2000, que institui a
Política de
Segurança da Informação nos órgãos e entidades da
Administração Pública
Federal.
3. NBR ISO/IEC 17799:2001: tecnologia da informação - código
de prática para
a gestão da segurança da informação.
4. Decreto nº 4.073, de 3 de Janeiro de 2002, que
regulamenta a Lei no 8.159,
de 8 de janeiro de 1991, que dispõe sobre a política
nacional de arquivos
públicos e privados.
5. Decreto nº 4.553, de 27 de Dezembro de 2002, que dispõe
sobre a
salvaguarda de dados, informações, documentos e
materiais sigilosos de
interesse da segurança da sociedade e do Estado, no
âmbito da 18
3. A classificação da informação deve ser realizada com
base nas exigências
das atividades da Organização, considerando as
implicações que um
determinado grau de segurança trará para a Organização
e seus usuários.
4. Na classificação da informação deve-se buscar, sempre
que possível, o
grau de segurança menos restritivo possível, visando
otimizar/agilizar o
processo de tratamento e reduzir os custos com sua
proteção.
5. Uma informação pode variar seu grau de segurança de
acordo com o seu
trâmite mediante reclassificação.
6. As informações que não estão sendo usadas devem
manter as medidas
de proteção compatíveis com o seu grau de segurança.
7. A classificação de uma informação é de competência do
seu classificador,
no momento em que a informação é gerada ou recebida.
8. O classificador é todo gestor de unidade gerencial, 19
9. O classificador ao delegar a classificação, deve instruir o
Servidor sobre
como classificar a informação no momento em que é
gerada ou recebida.
10. A classificação e a reclassificação da informação são

processos que
podem contar com o apoio da Comissão Permanente de
Avaliação de
Informações Classificadas e Custodiantes, de modo a
permitir um perfeito
balanceamento entre o valor da informação, o risco
associado à uma
determinada classificação e o custo das medidas
necessárias a sua
proteção.
11. As informações que formem um conjunto assumem

automaticamente a
classificação de maior grau de segurança atribuída à uma
informação 20
13. A classificação da informação deve ser feita
considerando o disposto na
legislação em vigor, bem como os efeitos que a
atribuição de
determinada classificação trará às atividades da
Organização, a seus
usuários e à sociedade em geral.
14. A Câmara Setorial de TI e Segurança da Informação,

anualmente,
coordenará a revisão da Política de Classificação da
Informação para
garantir a sua aplicabilidade e eficácia.
15. O autor da informação ou o classificador poderá,

baseado em
justificativa, solicitar à Câmara Setorial de TI e
Segurança da
Informação a revisão na Política de Classificação da21
Informação.
•Classificação da informação - Fluxograma
Se revelada , pode comprometer
Se revelada , pode
Éuma informação que , Éuma informaçãoque atividades , acarretar perdas
causar prejuízos à
pela sua natureza , deve necessita de medidas financeiras , causar embaraços
imagemouaos
ficar limitada ao NÃO de proteçãocontra NÃO NÃO administrativos com
objetivos
conhecimento de acessos não colaboradores , trazer vantagens
institucionais da
NÃO pessoas autorizadas ? autorizados ? indevidas a terceiros , entre
Organização ?
outras conseqüências ?
NÃO
SIM SIM SIM SIM
Éuma i nformaçãode
interesse de todos da
organização ou que não
Essa informação Essa informação
possua restrição de Não precisa
deve ser deve ser
Início divulgação . Sua SIM classificar
classificada como classificada como
divulgação alémdas PÚBLICA
INTERNA CONFIDENCIAL
fronteiras da empresa não
é vital , mas pode trazer
prejuízos indiretos ?
Éuma informaçãoque , Éuma informação que ,

Éuma informação que Éuma
emcaso de emcasode
necessita de registros informação
modificações modificações
históricos coma importante para
indesejáveis , pode gerar indesejáveis , pode
identificação inequívoca as atividades d A
NÃO repercussões negativas NÃO gerar repercussões NÃO
dos usuários que tiveram Organização que
no âmbito externo , negativas no âmbito
acesso , permitindo exige cuidados
afetandoa imagemd A interno , causando
NÃO execução doprocessode especiais quanto
Organização ouseus prejuízos ouresultados
auditoria interna ? ao seu acesso ?
objetivos institucionais ? distorcidos ?
SIM SIM SIM SIM
Essa informação
Nãoprecisa
deve ser
classificar
classificada como
(NORMAL )
CONTROLADA
Éuma informação considerada

fundamental para a
continuidade das atividades d A Essa informação
Organização , que deve ser deve ser
SIM
substituída imediatamente em classificada como
casode indisponibilidade para VITAL
nãoprovocar graves prejuízos
a seus objetivos institucionais ?
Término
Não precisa
NÃO classificar
(BÁSICA )
22
TIPO DE TRATAMENTO
Rotular como “Confidencial”.

•Incluir advertência sobre restrição de acesso.
•Identificar usuários ou grupos de segurança autorizados.
•Identificar numeração e total em cada página, se aplicável.
•Acessar somente pelos usuários dos grupos de segurança
autorizados.
•Aplicar medidas de proteção que garantam que só usuários
autorizados
tenham acesso (lógica e física).
•Manter sigilo sobre o conteúdo da informação para usuários não
autorizados.
•Disponibilizar cópia total ou parcial para usuários não autorizados
somente
com autorização do classificador.
•Transportar (interno e externo) somente com autorização do
classificador.
•Transportar (interno ou externo) de forma a não se identificar o
conteúdo e o
nível de classificação (envelope duplo, criptografia, embrulho, etc).
•Classificar como “controlada” se for distribuir. 23
Critério: Sigilo Nível: Interna
TIPO DE TRATAMENTO
Rotular como “Interna”; (Ref. Dec. 4.553, Art. 20).

•Incluir advertência sobre restrição de acesso.
•Deverão ser destinados alguns cuidados especiais ao se reproduzir (imprimir,
fotocopiar) informações classificadas com “Interna”. Por exemplo: pessoas
autorizadas devem sempre acompanhar ou realizar o trabalho de fotocópias
de documentos com informação desse grau. No caso de impressão, pessoas
autorizadas devem sempre se deslocar até a saída da impressora para
capturar a impressão, evitando o vazamento de informações para fora da
empresa.
•O arquivamento da informação deverá ser efetuado em armário ou em caixas
(em caso de elevado volume).
•Trâmite interno da informação deverá ser feito dispensando tratamentos
especiais, atentando-se, no entanto, para que não haja acesso indevido à
informação por terceiros. O transporte para fora da empresa deverá ser
realizado em envelope ou caixa.
•No caso de descarte, fazê-lo de forma irrecuperável.
24
Critério: Sigilo Nível: Pública
TIPO DE TRATAMENTO
Não rotular, por ser a classificação implícita.
25
Critério: Integridade Nível: Controlada
TIPO DE TRATAMENTO
Rotular como “Controlado”.

Identificar classificador nominal e individualmente.
Identificar usuários ou grupos de segurança nominal e individualmente.
Registrar os acessos (lógico e físico).
Identificar individualmente cada cópia (lógica ou física) utilizada.
Distribuir mediante lista de distribuição (relação nominal dos destinatários com
a identificação individual da cópia recebida), que deve ser atualizada quando
houver novos destinatários.
Distribuir registrando a entrega para cada destinatário.
Alterar o original somente com autorização do classificador.
Distribuir cópias atualizadas quando o original for modificado e devolver a
cópia anterior para o classificador.
26
Critério: Integridade Nível: Normal
TIPO DE TRATAMENTO
27
Critério: DisponibiIidade Nível: Vital
TIPO DE TRATAMENTO
Rotular como “Vital”.

Deve ser do conhecimento de mais de uma pessoa.
Implementar recurso substituto para assegurar disponibilidade imediata da
informação, em caso de contingência.
Documentar plano de contingência com alternativas de regeneração,
transporte, transmissão e uso.
Substituir original ou cópia imediatamente em caso de perda.
Critério: DisponibiIidade Nível: Básica
TIPO DE TRATAMENTO

Implementar cópia para troca o mais cedo possível, em caso de contingência.
Definir alternativas de regeneração, transporte, transmissão e uso.
Documentar, se necessário.
28
Substituir original ou cópia o mais cedo possível em caso de perda.
ATIVOS DA ORGANIZAÇÃO
São os elementos que a segurança de

informações visa proteger. Os ativos podem ser
divididos em grupos:
HARDWARE (HW);
SOFTWARE (SW);
PEPLEOWARE;
DOCUMENTOS IMPRESSOS;
29
ALGUNS EXEMPLOS DOS BENS (ATIVOS) PARA PROTEGER
Dados
 Protocolos
 Código fonte dos sistemas
 Informação sobre salários
 Senhas
 Dados de RH
 Dados Financeiros
Comunicações
Serviços  Documentos restritos
 Web sites  Transações/
 Acesso à Internet Pagamentos
 Controle de Internos/Internet
Acesso/Ponto  Cópia de um plano
estratégico
 E-mails
30
CONCEITO DE INFORMAÇÃO
São todos os elementos que contém a informação registrada em meio
magnético ou físico.
São:
Os Códigos de Programas;
Linhas de Comando;
Manuais ou Relatórios em Arquivos ou Impressos;
Arquivos de Configuração;
Dados de Voz (gravados em soluções do tipo Help Desk, Central de Serviços,

Call Center);
Imagens de vídeo de sistemas de CFTV, Videoaula, Videoconferência;
etc...
31
CONCEITO DE USUÁRIOS
São as pessoas que fazem parte ou interagem com a empresa.
Podem ser:
Colaboradores internos/externos;
Terceiros internos/externos ;
Clientes;
Estagiários;
Visitantes;
Atacantes;
etc…
32
EXEMPLOS DE ATIVOS DA ORGANIZAÇÃO
EQUIPAMENTOS: HARDWARE:
Computadores (estações de trabalho), Pentes de Memória,

Discos Rígidos (HDs);
Servidores de Rede, Notebooks;
Roteadores, Hubs, Switches, Firewall, Storages, Robô;
Unidades de fita de backup, CDs/DVDs, Pendrives, Câmeras IP;
Access-Points, Rádios, Modens, Impressoras, Placas de Rede;

etc…
SOFTWARES/APLICAÇÕES:
Sistemas Operacionais, aplicativos (office/openoffice);
Programas/Aplicações Institucionais (ex: Programas

Financeiros); 33
EXEMPLOS DE ATIVOS DA ORGANIZAÇÃO
PEPLEOWARE (PESSOAS)
Pessoas : podem ser bem ou mal intencionadas;
Podem ser: funcionários terceirizados ou não,

colaboradores, consultores, estagiários, visitantes, etc…
Muitas vezes são o ponto crítico da segurança.
INFORMAÇÕES IMPRESSAS
São os documentos impressos deixados sobre as mesas,

dentro de armários ou gavetas sem tranca, documentos
jogados no lixo, etc…
34
O papel do usuário na Segurança
 Todo usuário deve reportar incidentes de segurança.
 Cada usuário é responsável pela sua senha.
 O usuário não deve baixar ou instalar software não autorizado
pela Organização através da sua Política de Segurança de
Informações.
 O usuário deve utilizar e-mail e internet da empresa, para o seu
trabalho.
 As informações da empresa pertencem à empresa, e não devem
ser copiadas, apagadas, mofificadas ou divulgadas sem
autorização.
35
A Senha deve confidencial?
Quem aqui sabe a senha de

rede de um colega de
trabalho?
Quem aqui sabe a senha do

banco de um colega de
trabalho?
36
Principais falhas no uso da
senha
 Senhas fáceis de adivinhar
– Nome (seu, da esposa, do marido, do cachorro, do
filho, iniciais, time de futebol...);
– Datas (nascimento, casamento, nascimento do filho

(a), ...);
– Placa do carro
37
Principais falhas no uso da
senha
 Usar seqüências
– 123456
– 111111
– qwerty
– abcedf
 Compartilhar a senha
 Anotar a senha
– Principalmente sob o teclado ou mousepad, gaveta aberta,
dentro da agenda;
38
AMEAÇAS
São todos os agentes que podem explorar falhas de segurança,
também conhecidas como vulnerabilidades nos ativos da organizaçao.
As ameaças podem causar perdas ou danos aos ativos da empresa.
As ameaças podem ser divididas em três grandes grupos:
NATURAIS INVOLUNTÁRIAS INTENCIONAIS
As perdas podem ser:

- Financeiras;
- De imagem;
- De credibilidade no mercado;
39
Algumas formas de Ameaças na
Segurança
F D
Fonte de Destino da
Informação Informação
Fluxo Normal
F D F D
I
Interrupção Interceptação
F D F D
M F
Modificação Fabricação
40
Interceptação
Admins do site ou invasores
podem monitorar o tráfego
ou dados do servidor ou
rede de destino
O administrador
do ISP pode ver
emails
armazenados
enquanto o
Agências de Inteligência usuário não os
monitoram links e grandes baixa.
provedores de backbone
POPs podem
fazer capturas proxy web email
de pacotes
ISP
firewall
Não é difícil interceptar o O proxy contém cópias das
tráfego dos vizinhos em páginas recentemente
“apartnets” e certos sistemasacessadas, para economizar
de banda larga o link de saída do ISP
Exemplo de Captura: POP3
16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: S
6928467:6928467(0) win 8192 <mss 1460> (DF)
16:15:14.490000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: S
3259336854:3259336854(0) ack 6928468 win 8760 <mss 1460> (DF)
16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: . ack 1 win
8760 (DF)
16:15:14.680000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 1:48(47)
ack 1 win 8760 (DF)
Início
4500 0057 da conexão
dd14 4000 fe06 07f0 c885 2201 : E..W..@.......".
ac10 (3-way
TCP 0105 006e 0415 c245 8897 0069 b854 : .....n...E...i.T
handshake)
5018 2238 a7d9 0000 2b4f 4b20 5150 4f50 : P."8....+OK QPOP
2028 7665 7273 696f 6e20 322e 3533 2920 : (version 2.53)
6174 2063 6170 6962 6120 7374 6172 7469 : at capiba starti
Dados do protocolo
6e67 2e20 200d 0a : ng. ..
passando às claras
16:15:14.680000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 1:12(11)
ack 48 win 8713 (DF)
4500 0033 870c 4000 2006 3c1d ac10 0105 : E..3..@. .<.....
c885 2201 0415 006e 0069 b854 c245 88c6 : .."....n.i.T.E..
5018 2209 4e42 0000 Identificação
5553 4552 206ddo usuário
6d6d : P.".NB..USER mmm
6d0d 0a passando às claras: m..
16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: . ack 12 win
8760 (DF)
Exemplo de captura: POP3
16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 48:81(33)
4500 0049 dd16 4000 fe06 07fc c885 2201 : E..I..@.......".
ac10 0105 006e 0415 c245 88c6 0069 b85f : .....n...E...i._
5018 2238 0c1d 0000 2b4f 4b20 5061 7373 : P."8....+OK Pass
776f 7264 2072 6571 7569 7265 6420 666f : word required fo
7220 6d6d 6d6d 2e0d 0a : r mmmm...
16:15:14.690000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 12:29(17)
4500 0039 880c 4000 2006 3b17 ac10 0105 : E..9..@. .;.....
c885 2201 0415 006e 0069 b85f c245 88e7 : .."....n.i._.E..
5018 21e8 cd39 0000 5041 5353 2034 3079 : P.!..9..PASS p@l
6c61 2a67 616d 2a0d 0a : @f1t@..
Senha do usuário
passando às claras
Interceptação
• Interceptação na rede é quase indetectável
– Toda a rede é se baseia na facilidade de copiar dados;
portanto, copiar não perturba o funcionamento da
rede
• Administradores têm motivos legítimos
– Manutenção:
Manutenção depuração e correção de problemas
– Exemplo: “double-bounce”
double-bounce de email por estouro de
quota de disco
– Anti-vírus, Sistemas de Detecção de Intrusão e Filtros
Anti-Spam rotineiramente analisam e classificam o
tráfego em busca de dados danosos ou indesejados
– Abusos existem mas raros...
raros admins em geral têm mais
o que fazer do que ficar bancando o voyeur
• Sistemas mal cuidados são passíveis de invasão
– Invasores tornam-se tão ou mais poderosos que os
admins
CLASSIFICAÇÃO DAS AMEAÇAS
MÉTODO GUT (GRAVIDADE, URGÊNCIA E
TENDÊNCIA)
As Ameaças são classificadas de acordo com os

seguintes critérios:
 Gravidade
 Urgência
 Tendência
45
AMEAÇAS - CRITÉRIOS DE
PONTUAÇÃO
Pontos GRAVIDADE URGÊNCIA TENDÊNCIA
5 Extremamente Bastante urgente Piorar muito

importante
4 Muito importante Urgente Piorar
3 Importante Relativamente Permanecer

urgente
2 Relativamente Pode aguardar Melhorar

importante
1 Pouco importante Sem pressa Melhorar

completamente
46
AMEAÇA
S
AMEAÇAS NATURAIS
São aquelas causadas pela natureza: Descargas
atmosféricas; Inundações; Incêndio; Gases Corrosivos de
ambientes vizinhos, etc….
AMEAÇAS INVOLUNTÁRIAS
São aquelas causadas sem intenção de causar problemas
ou danos. Ex: Uso/teste de software dentro da rede sem
conhecer as consequências do mesmo e se pode ou não
causar danos;
AMEAÇAS INTENCIONAIS
São aquelas causadas com a intenção de causar problemas
ou danos. EX: Engenharia Social - A técnica de 'crackear'
pessoas;
EX: Uso/teste de software específico dentro da rede com a
47
intenção de causar danos;
RISCO
É a probabilidade das ameaças explorarem as vulnerabilidades,
causando perdas e danos aos ativos e/ou impáctos no negócio.
Podem comprometer a integridade, a confidencialidade e a

disponibilidade da informação.
Risco = Probabilidade de um incidente acontecer
48
48
Segurança – Administração dos
Riscos EXPLORAM
AMEAÇAS VULNERABILIDADES
AUMENTAM
AUMENTAM
PROTEGEM CONTRA EXPÕEM
DIMINUEM
POLÍTICAS . AUMENTAM
CONTROLES E RISCOS ATIVOS
PROCEDIMENTOS
AUMENTAM
IMPLEMENTADAS TEM
COM INDICAM
NECESSIDADES
DE SEGURANÇA VALORES E IMPACTO
POTENCIAL A ATIVOS
Fonte: ISO/IEC 13335-3:1998

49
PADRONIZANDO CONCEITOS
Risco: é a medida para um fator de incerteza
Conceito de Dano: Conseqüência nociva acarretada por um Evento.
O Dano provoca Impacto de resultado prejudicial. Justifica a Contingência.
Pincipais Causas Percentual
Falha Humana 50 a 80 %
Greves 10 a 17 %
Forças da Natureza 10 a 15 %
Sabotagem 3a4%
Alagamento 2a3%
Estranhos à 1a3%
Organização
50
50
ENGENHARIA SOCIAL - A TÉCNICA DE
‘ENGANAR' PESSOAS
 Indução a instalação de arquivos maléficos.

 Indução a mudança de senha (via telefone, e-mail, internet
ou pessoalmente).
 Indução a fornecer informações diversas (via telefone, e-
mail, internet ou pessoalmente).
 Golpes contra Internet Banking no Brasil e no mundo.
 Conto do vigário – vigarista (ofertas tentadoras que
solicitam depósitos financeiros de sinais para o negócio
dar certo, falsas promessas mediante adiantamento de
taxas, etc...)
51
CARACTERÍSTICAS
 Dispensa o uso de computadores e de softwares.

 É capaz de burlar sistemas anti-intrusão.
 Normalmente ocorre por telefone ou até pessoalmente.
Online, as pessoas ficam mais desconfiadas.
 Utiliza a confiança, a ingenuidade, a surpresa e o respeito à
autoridade (fazer-se passar por outra pessoa).
 Muitas vezes faz uso da intimidação hierárquica;
52
ALGUNS MÉTODOS
 Personificação (faz-se passar por pessoal do Help Desk, pessoal do

suporte técnico, cargo de gerente ou diretor, etc...).
 Engenharia Social Reversa.
 Mergulho no lixo (Dumpster diving).
 Sedução sexual ou financeira;
53
ALGUNS MÉTODOS
 Surfe de ombro.
 Acesso físico às empresas.
 Acesso físico à ÁREAS restritas.
 Ataques via Internet e Intranet.
 Telefonemas.
54
PREVENÇÃO CONTRA A ENGENHARIA
SOCIAL
 Conscientização dos responsáveis pela segurança e dos
usuários da organização.
 Treinamento do pessoal de atendimento, pessoal de

suporte.
 Impedir entrada não-autorizada aos prédios e áreas

restritas de visitantes e de usuários internos que não
precisam ter acesso a essas áreas.
 Identificar funcionários por números.
 Utilizar Sistema de Monitoramento de Imagens – CFTV, para

a gravação das imagens de vídeo e dependendo da
área/setor da organização fazer uso de microfones para
captação de voz e sistemas de gravação de voz.
55
Prevenção contra a Engenharia Social
 Manter o lixo em lugar seguro e monitorado.
 Implantar/conscientizar a Política da Mesa Limpa.
 Mnater gavetas de mesas, armários, trancados;
 Picar papéis e eliminar completamente dados magnéticos.
 Ficar atento ao surfe de ombro e trocar a senha
periódicamente.
 Informar aos superiores a respeito de questionamentos de
dados pessoais dirigidos a sua pessoa ou de outro
colaborador.
56
VULNERABILIDADES
PONTOS FRACOS QUE PODEM SER EXPLORADOS

57
SITUAÇÕES DE INSEGURANÇA
 Catástrofe
– Incêndio acidental ou intencional
– Inundação de caves ou salas com risco
potencial, por fuga dos canos ou por goteiras
– Explosão intencional ou provocada por fuga de
gás (em botijas ou encanado)
– Desabamento parcial ou total do prédio
– Impacto de escombros da cobertura (tecto
de gesso, tecto falso ou telhado)
– Grande sobrecarga na rede elétrica ou
relâmpagos que causam queima total de
equipamentos
58
 Problemas ambientais
– Variações térmicas - excesso de calor causa
travamentos e destrói os suportes; excesso de frio
congela fisicamente dispositivos mecânicos, como
discos rígidos.
– Humidade - inimigo potencial de todas os
suportes magnéticos.
– Poeira depositada nas cabeças de leitura e
gravação dos drivers, pode destruir fisicamente
um disquete ou uma fita.
– Ruído causa stress no pessoal.
59
 Problemas ambientais
– Fumo - o fumo do cigarro deposita uma camada
de componentes químicos nas cabeças de leitura e
gravação dos drives, que pode inviabilizar a
utilização de disquetes e fitas; fumos de incêndios
próximos é muito mais perigosa.
– Magnetismo - grande inimigo dos suportes
magnéticos, pode desgravar disquetes, fitas e
discos rígidos.
– Trepidação - pode afrouxar placas e
componentes em geral, além de destruir discos
rígidos.
60
 Supressão de serviços
– Falha de energia elétrica - grande risco
potencial, à medida que paralisa totalmente todas
as funções relacionadas à informática.
– Queda nas comunicações - grande risco
potencial, pois isola o site do resto do mundo;
risco de perda de dados.
– Bloqueio nos equipamentos - problema
bastante comum, resolvido com backup de
informações e de hardware.
– Bloqueio na rede - isola um ou mais
computadores de um mesmo site; risco potencial
de perda de dados.
61
 Supressão de serviços
– Problemas nos sistemas operacionais - risco
potencialmente explosivo, pois podem
comprometer a integridade de todos os dados do
sistema e até mesmo inviabilizar a operação;
eliminam a confiança da equipa.
– Problemas nos sistemas corporativos - grande
risco, causam grande transtorno e perdas de
dados.
– Bloqueio de sistema - igualmente um grande
risco.
62
62
 Comportamento anti-social
– Paralisações e greves - problema contornável
se houver condução política adequada.
– Invasões - altíssimo risco de destruição acidental
ou intencional.
– Hacker - Pessoa que tenta aceder a sistemas sem
autorização, usando técnicas próprias ou não, no
intuito de ter acesso a determinado ambiente para
proveito próprio ou de terceiros. Dependendo dos
objectivos da acção, pode ser chamado Cracker,
Lammer ou BlackHat
 indivíduo que conhece profundamente um
computador e um sistema operacional e invade

o site sem finalidade destrutiva.
– Alcoolismo e drogas - risco de comportamento
anómalo de funcionários, com consequências 63
 Comportamento anti-social
– Disputas exacerbadas - entre pessoas podem
levar à sabotagem e alteração ou destruição de
dados ou de cópias de segurança.
– Falta de espírito de equipe - falta de
coordenação, onde cada funcionário trabalha
individualmente; risco de omissão ou duplicação
de procedimentos.
– Inveja pessoal/profissional - podem levar um
profissional a alterar ou destruir dados de outro
funcionário.
– Rixas - entre funcionários, setores, administração,
diretorias - mesmo caso do item anterior, porém
de consequências mais intensas. 64
64
 Ação criminosa
– Furtos e roubos - consequências imprevisíveis,
podem inviabilizar completamente os negócios da
empresa.
– Fraudes - modificação de dados, com vantagens
para o elemento agressor.
– Sabotagem - modificação deliberada de qualquer
activo da empresa.
– Terrorismo - de consequências imprevisíveis,
pode causar mortes, a destruição total dos
negócios ou de mesmo de toda a empresa.
65
 Ação criminosa
– Atentados - uso de explosivos, com as mesmas
consequências do item anterior.
– Sequestros - acção contra pessoas que tenham
alguma informação.
– Espionagem industrial - captação não
autorizada de software, dados ou comunicação.
– Cracker - indivíduo que conhece profundamente
um computador e um sistema operacional e invade
o site com finalidade destrutiva.
66
66
 Incidentes variados
– Erros de utilizadores - de consequências
imprevisíveis, desde problemas insignificantes até
a perda de uma faturamento inteira; erros de
utilizadores costumam contaminar as cópias de
segurança (backup) quando não detectados a
tempo.
– Erros em backups - risco sério de perda de
dados; o backup sempre deve ser verificado.
– Uso inadequado dos sistemas - normalmente
ocasionado por falta de treino, falta de
documentação adequada do sistema ou falta de
capacidade de quem utiliza o sistema de forma
inadequada, tem os mesmos riscos do item Erros
de utilizadores.
67
 Incidentes variados
– Manipulação errada de ficheiros - costuma
causar perda de ficheiros e pode contaminar as
cópias de segurança.
– Treinamento insuficiente - inevitavelmente
causa erros e uso inadequado.
– Ausência/demissão de funcionário - é
problemático se a pessoa ausente for a única que
conhece determinados procedimentos.
– Stress/sobrecarga de trabalho - uma pessoa
sobrecarregada é mais propensa a cometer erros
e adoptar atitudes anti-sociais.
– Equipe de limpeza - deve receber o treino
adequado sobre segurança.
68
TIPOS DE VULNERABILIDADES
1- FÍSICAS
São inerentes ao ambiente em que a informação será manipulada e/ou
armazenada.
Exemplos:
Ausência de proteção contra incêndios;
Ausência de proteção ao sistema de cabeamento da rede;
Ausência de segurança de acesso de pessoas ao ambiente de
informática.
etc...
69
2- NATURAIS
São inerentes às condições da natureza, que podem colocar em risco

as informações:
Poeira.
Poluição.
Descargas atmosféricas
Umidade.
etc...
70
3- DE HARDWARE
Exemplos:
Área de armazenamento inadequada;
Processamento e velocidades de operação adequados para as
aplicações;
Usernames/senhas default divulgados na internet;
Portas console de rotedores e switches;
Portas auxiliar de rotedores e switches;
etc...
71
4- DE SOFTWARE
Exemplos:
Bugs dos sistemas operacionais;
Portas de aplicações que não são utilizadas, mantidas abertas;
Protocolos que não são utilizados deixados habilitados;
Exemplo: Servidor Sun Solaris com inúmeras portas de aplicação
abertas.
etc...
72
5- DAS MÍDIAS:
Exemplos:
Suportes físicos e magnéticos que armazenam as
informações;
Disquetes;
Cd-Roms;
Fitas Magnéticas;
Discos Rígidos dos Computadores.
etc...
73
6 - DE COMUNICAÇÃO
Abrange todo o tráfego de informação e o meio por onde ela

trafega:
Internet;
Wap e ondas de rádio;
Cabeamento estruturado;
Fibras ópticas, satélite, fax, modens, impressoras.
Exemplo: Funcionário resolve utilizar software de snniffer na rede,
para tentar capturar a senha de login do seu chefe.
etc...
74
NETWORK SNIFFING
TRANSMISSOR (A) SNIFFER RECEPTOR (B)
A interface de rede em modo promíscuo

A B Dados pode capturar:
• senhas (violação da autenticação)
autenticação
pacote • qualquer outro tipo de mensagem.
Integração e convergência das Tecnologias e dos Serviços
7- HUMANAS
Referem-se aos danos que as pessoas podem causar às informações
e/ou ao ambiente tecnológico que as suporta.
Podem ser:
Intencionais ou Acidentais.
Exemplo: Funcionario resolve testar software de ataque com o

servidor web da empresa.
etc...
77
RISCO
É a probabilidade das ameaças explorarem as vulnerabilidades,
causando perdas e danos aos ativos e/ou impáctos no negócio.
Podem comprometer a integridade, a confidencialidade e a

disponibilidade da informação.
Risco = Probabilidade de um incidente acontecer
78
MEDIDAS (CONTROLES) DE SEGURANÇA

São as ações voltadas à eliminação de vulnerabilidades de modo a se
evitar a concretização de uma ameaça.
Identifique as ameaças;
Visualize as vulnerabilidades;
Que princípios básicos de segurança são afetados por essas
vulnerabilidades ?
Que impáctos no negócio podem ser causados?
Que medidas de segurança podem ser tomadas?
79
POLÍTICAS, PADRÕES E
PROCEDIMENTOS
DE SEGURANÇA
80
DEFINIÇÕES E TERMOS TÉCNICOS ASSOCIADOS
CONCEITO DE POLÍTICAS
Uma Política de Segurança é uma declaração abrangente produzido pelo nível

executivo da empresa que dita qual é o papel da segurança informação na
empresa e como ela deve ser empregada.
Uma política deve ser:
• Orientada ao negócio;
• Fácil de se entender;
• Alinhada com a segurança e todas as funções de negócios e seus processos;
• Deve suportar todas as legislações e regulamentações nas quais a empresa
for sujeita;
• Modificada e revisada de acordo com as mudanças da empresa;
81
TIPOS DE POLÍTICAS
Regulatória: seguida e aplicada pela empresa de acordo com seu ramo

de negócio;
Recomendável: Recomenda aos funcionários sobre seu comportamento

deve ser bem como como NÃO pode ser;
Informativa: não é forçada, apenas informa aos funcionários sobre

alguns tópicos;
PADRÕES
É tudo que referencia atividades mandatórias, ações, regras ou legislação.

Os padrões podem ser internos ou externos.
82
O CONCEITO DE TITULARIDADE
O sujeito do direito autor ou o titular de autoria de obra intelectual, ou seja, o

escritor, o autor, o compositor, o artista plástico, o desenhista, o engenheiro
projetista, o webdesigner, etc...
A pessoa criadora da obra física é portanto o titma obra intelectual

originário;
A pessoa jurídica também pode ter juridicamente reconhecida a titularidade

de direito. A Lei de Software reconhece a proteçao jurídica dos programas
de computador, à pessoa jurídica.
A simples menção da autoria a uma obra intelectual independentemente de

registro, identifica a sua titularidade.
O registro portanto não é obrigatório, tratando-se apenas de uma datação e

de uma segurança adicional para os seus titulares;
83
O CONCEITO DE TITULARIDADE (continuação)
Os softwares podem ser registrados, caso se deseje perante ao INPI – Instituto

Nacional de Propriedade Intelectual), de modo que neste caso a falta de registro não
retira o caráter de proteção autoral (Artigo 3 da Lei 9609/98).
A Lei 9609/98, trouxe proteção aos titulares dos direitos patrimoniais sobre as bases
de dados, o armazenamento em computador, a microfilmagem e as demais formas
de armazenamento de informações.
O CONCEITO DE REPRODUÇÃO
É a cópia feita de qualquer forma tangível, incluindo qualquer armazenamento

permanente ou temporário por meios eletrônicos ou qualquer outro meio que exista
ou venha a ser criado, podendo-se incluir a Internet.
De acordo com a Lei 9609/98, a transferência de arquivos MP3 com intuito

Comercial por parte do usuário ou não,constitui uma infração aos direitos autorais de
seus titulares, a não ser nos casos em que exista autorização dos mesmos, para a
reprodução e/ou execução pública.
84
O CONCEITO DE REPRODUÇÃO (continuação)
É a cópia dos referidos arquivos, sem a devida autorização do autor ou

titular que constitui a ilegalidade.
Exemplo:
2001, Justiça Americana considerou que o Napster (programa de

intercâmbio de arquivos usado na distribuição e compartilhamento de
arquivos MP3), desrespeitava as leis e estabelecia o pagamento de direitos
autorais.
Com isso ficou proibido veicular músicas que não fossem expressamente
autorizadas pelos seus titulares de direito autoral.
85
O CONCEITO DE REPRODUÇÃO (continuação)
É a cópia dos referidos arquivos, sem a devida autorização do autor ou

titular que constitui a ilegalidade.
Exemplo:
2001, Justiça Americana considerou que o Napster (programa de

intercâmbio de arquivos usado na distribuição e compartilhamento de
arquivos MP3), desrespeitava as leis e estabelecia o pagamento de direitos
autorais.
Com isso ficou proibido veicular músicas que não fossem expressamente
autorizadas pelos seus titulares de direito autoral.
86
DAS EXCEÇÕES
É considerado não ofensa a qualquer direito do titular:
- Qualquer citação parcial para fins didáticos, desde que os titulares de

direito seja
identificados;
- A reprodução de uma cópia para salvaguarda;
- A semelhança, de características funcionais em aplicações;
- A integração de um programa a um aplicativo ou operacional,

técnicamente
indispensável as necessidades do usuário;
87
Normas e Padrões de Segurança
O que significa exatamente ISO/IEC?
ISO significa International Standartization Organization. Trata-se de uma

organização internacional formada por um conselho e comitês com membros
oriundos da maioria dos países.
Seu objetivo é criar normas e padrões universalmente aceitos sobre como

realizar as mais diversas atividades comerciais, industriais, científicas e
tecnológicas.
IEC significa International Engineering Consortium.
É uma organização voltada para o aprimoramento da indústria da informação.

Uma associação entre as duas instituições produz normas e padronizações
internacionais.
88
Normas e Padrões de Segurança
♦ITIL (It Infraestructure Library)

♦COBIT (Control objectives for information and related technology)
♦ISO Guide 73 – Risk Management – vocabulary – guidelines for use in
standards
♦ISO 13335 – Guidelines for the management of IT security
♦BS7799, ISO/IEC 17799 e NBR ISO/IEC 17799 - Código de Práticas de
Gestão da Segurança da Informação
♦ISO/IEC 27001 e NBR ISO/IEC 27001 - Tecnologia da informação –
Técnicas de segurança – Sistemas de gestão de segurança da informação –
Requisitos
89
ITIL (It Infraestructure Library)
♦ITIL (It Infraestructure Library), é um conjunto de documentos desenvolvido pelo

governo do Reino Unido para registrar as melhores práticas na área de Gestão de
Serviços de TI.
♦Embora não esteja diretamente relacionado à segurança da informação, estabelece

critérios para gerenciamento de incidentes, cooperando com os objetivos de
segurança da informação.
90
O QUÊ É O ITIL ?
O ITIL™ (Information Technology Infrastructure Library) é o modelo de

referência para gerenciamento de processos de TI mais aceito
mundialmente.
A metodologia foi criada pela secretaria de comércio (Office of
Government Commerce, OGC) do governo Inglês, a partir de pesquisas
realizadas por Consultores, Especialistas e Doutores, para desenvolver
as melhores práticas para a gestão da área de TI nas empresas
privadas e públicas.
Atualmente se tornou a Norma BS-15000, sendo esta um Anexo da ISO
9000/2000.
O foco deste modelo é descrever os processos necessários para
gerenciar a infra-estrutura de TI eficientemente e eficazmente de modo a
garantir os níveis de serviço acordados com os clientes internos e
externos.
91
91
O QUE SÃO AS MELHORES PRÁTICAS?
As "melhores práticas" são os melhores modelos de trabalho identificados

em situações reais considerando Organizações em atividades similares.
Uma "melhor prática“ é um modelo foi implementado anteriormente, após

ter sido determinada e comprovada a sua relevância.
A implantação de uma "melhor prática" é a capacidade de implementar

modelos e experiências que já se mostraram eficientes em outras
Organizações.
92
CONCEITO DE NÍVEIS OPERACIONAL-TÁTICO-ESTRATÉGICO :
a.Operacional:
Atividades diárias, cotidianas e reativas;
b. Tático:
Atividade proativas com revisões periódicas, busca contínua pela qualidade e

possibilidade de planejamento em longo prazo;
c. Estratégico:
Gerar conhecimento para permitir a visão organizacional para as questões de

segurança computacional a partir de avaliações, auditorias, definição de níveis de
maturidade dos objetivos de controle definidos e processos de extração de
conhecimento de base de dados.
Relacionamento de Processos entre os modelos ITIL e COBIT e a norma ISO
17799
Relacionamento de Processos entre os modelos ITIL e COBIT e a norma ISO
17799 (continuação)
A combinação do modelo CobiT com a norma ISO 17799 e o modelo
ITIL permitirá a utilização das potencialidades de cada uma dessas propostas
para o desenvolvimento de um modelo único que facilite identificar: o que,
quem, como e que recursos tecnológicos utilizar para o alcance da
Governança Corporativa.
GERENCIAMENTO DE SERVIÇOS -
ITIL
Gerenciamento de Serviços – Suporte
(Concentra-se na execução do dia-a-dia e no suporte a serviços de
TI)
– Service-Desk
– Gerenciamento de Configurações
– Gerenciamento de Incidentes
– Gerenciamento de Problemas
– Gerenciamento de Mudanças
– Gerenciamento de Versões
Gerenciamento de Serviços – Entrega

(Concentra-se no planejamento e melhoria dos serviços de TI)
– Gerenciamento de Nível de Serviços

– Gerenciamento de Capacidade
– Gerenciamento Financeiro
– Gerenciamento de Disponibilidade
98
– Gerenciamento de Continuidade 98
RELACIONAMENTO ENTRE OS PROCESSOS DO
ITIL
Relação entre os processos do livro Suporte a Serviços.
Service-Desk Clientes
Ferramentas de
MonitoramentoGerencia. de
IncidentesGerencia. de
Problemas
Gerencia. de
MudançasGerencia. de
Liberação Gerencia. de
Configuração
Problemas de Especifica as relações

Incidentes Mudanças
erros conhecidos Liberaçõesentre os itens
99
BDGC= BANCO DE DADOS DE GERÊNCIA DE CONFIGURAÇÃO
ISO GUIDE 73 – RISK MANAGEMENT –
VOCABULARY – GUIDELINES FOR USE IN
STANDARDS (GERENCIAMENTO DE
RISCOS – VOCABULÁRIO –LINHAS GUIA
PARA O USO DE PADRÕES)
ISO Guide 73, publicada em 2002, define 29 termos da Gestão de
Riscos. São eles relacionados a:
♦Termos básicos
♦Pessoas e organizações
♦Avaliação de riscos
♦Tratamento e controle de riscos
A norma é útil para uniformizar o entendimento em relação aos conceitos
relacionados a riscos.
100
Ameaça X Risco
Risco Combinação da probabilidade de

ocorrência de um evento e sua
Incerteza conseqüência. (ISO/IEC Guide 73)
Probabilidade
X
Impacto
Ameaça Oportunidade
Impacto negativo Impacto positivo
Fator de Risco Fator de Risco
Ex.: Queda das ações Ex.: Alta das ações
101
ISO 13335 – GUIDELINES FOR THE MANAGEMENT
OF IT SECURITY
LINHAS GUIA PARA O GERENCIAMENTO DE
SEGURANÇA
ISO 13335, é um conjunto de diretrizes de DA TIda segurança voltadas
gestão
especificamente para a tecnologia da informação.
A norma é composta de 5 partes que tratam de:
♦Conceitos e modelos para a segurança de TI

♦Administração e planejamento da segurança de TI
♦Técnicas para a gestão da segurança
♦Seleção de medidas de proteção
♦Orientação gerencial em segurança de redes
102
BS7799 e ISO/IEC 17799
O que é BS7799?
O Brithish Standart 7799 é uma norma de segurança da informação. Criada na
Inglaterra, teve seu desenvolvimento iniciado em 1995.
O que é ISO/IEC 17799?

A ISO/IEC 17799 é a versão internacional da BS7799, homologada pela
International Standartization Organization em dezembro de 2000.
O que é NBR ISO/IEC 17799?

A NBR ISO/IEC 17799 é a versão brasileira da norma ISO, homologada pela
ABNT em setembro de 2001.
103
COMPONENTES DO ISO 17799
 1. Objetivo da  7. Segurança física e

norma do ambiente
 2. Termos e  8. Gerenciamento de
definições operações e
 3. Política de comunicações
segurança  9. Controle de acesso
 4. Segurança  10. Desenvolvimento
organizacional de sistemas.
 5. Classificação e  11. Gestão de
controle dos ativos continuidade de
de informação negócios
 6. Segurança de  12. Conformidade
pessoas
104
ISO 17799 – SEGURANÇA ORGANIZACIONAL
 Infraestrutura de segurança: indica que uma estrutura organizacional

deve ser criada para iniciar e implementar as medidas de segurança.
 Segurança no acesso de prestadores de serviço: garantir a

segurança dos ativos acessados por prestadores de serviços.
 Segurança envolvendo serviços terceirizados: deve-se incluir nos

contratos de terceirização de serviços computacionais cláusulas para
segurança.
105
ISO 17799 – SEGURANÇA DE
PESSOAS
 Segurança na definição e Recursos de Trabalho: Devem ser
incluídas as preocupações de segurança no momento da contratação
de pessoas. Verificar os critérios de segurança no processo de seleção.
Funcionários devem assinar o acordo de confidencialidade.
 Treinamento dos usuários: educação, conscientização e treinamento

referentes a segurança.
 Mecanismos de Incidente de Segurança: Deve existir mecanismos

para funcionários poderem reportar possíveis falhas.
 Processo disciplinar formal: Deve haver um processo disciplinar

formal para funcionários que violaram os procedimentos de segurança.
106
ISO 17799 – SEGURANÇA FÍSICA E
DE AMBIENTE
 Áreas de segurança: prevenir acesso não autorizado, dano e
interferência nas instalações físicas. Isso inclui: definir um perímetro de
segurança, controles de entrada física, etc .
 Segurança de equipamento: convém proteger equipamentos

fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e
outros perigos ambientais, proteção contra falta de energia, segurança
do cabeamento, definição de política de manutenção, proteção a
equipamentos fora das instalações .
 Controles gerais: Por exemplo proteção de tela com senha para evitar
que informação fique visível em tela, deve-se ter uma política quanto a
deixar papéis na impressora por muito tempo, etc.
107
ISO 17799 – CONTROLE DE
ACESSO
 Gerenciamento de acesso dos usuários:
– Registro do usuário: ID única para cada usuário, pedir assinatura em
termo de responsabilidade, remover usuário assim que o funcionário
sair da empresa .
– Gerenciamento de privilégios: Basicamente, se recomenda que
usuários tenham apenas os privilégios necessários para fazer seu
trabalho.
– Gerenciamento de senhas: termo de responsabilidade deve afirmar
que senha é secreta e não deve ser divulgada, senhas temporárias
devem funcionar apenas uma vez.
– Análise crítica dos direitos de acesso do usuário: deve-se analisar os
direitos de acesso dos usuários com freqüência de 6 meses ou
menos.
108
ACESSO
 Responsabilidades dos usuários:
– Senhas: segundo norma, usuário deve zelar pela sua senha e
criar uma senha considerada aceitável (mínimo de 6 caracteres).
– Equipamentos sem monitoração: Usuários deve tomar os
cuidados necessários ao deixar um equipamento sem
monitoramento, com seções abertas.
109
 Controle de Acesso ao SO: ACESSO
– Controle de acesso ao sistema operacional: Identificação
automática de terminal: nos casos onde deve-se conhecer onde um
usuário efetua logon.
– Procedimentos de entrada no sistema (log-on). Sugestões como:

limitar o número de tentativas erradas para o log-on e não fornecer
ajuda no processo de log-on, entre outros.
– Identificação de usuários: a não ser em casos excepcionais cada

usuário deve ter apenas um ID. Considerar outras tecnologias de
identificação e autenticação: smart cards, autenticação biométrica.
– Sistema de Gerenciamento de Senhas: Contém os atributos

desejáveis para sistema que lê, armazena e verifica senhas.
110
ISO 17799 – CONTROLE DE ACESSO
ÀS APLICAÇÕES
 Controle de Acesso às aplicações:
– Registro de Eventos: Trilha de auditoria registrando exceções e

outros eventos de segurança devem ser armazenados por um tempo
adequado.
– Monitoração do Uso do Sistema: Os procedimentos do
monitoração do uso do sistema devem ser estabelecidos. Uma
análise crítica dos logs deve ser feita de forma periódica.
– Sincronização dos Relógios: Para garantir a exatidão dos registros
de auditoria.
111
BS 7799-2
 O BS 7799-2 é a segunda parte do padrão de segurança inglês cuja
primeira parte virou o ISO 17799.
 O BS 7799-2 fala sobre certificação de segurança de organizações;

isto é, define quando e como se pode dizer que uma organização
segue todo ou parte do ISO 17799 (na verdade do BS 7799).
 Virou em 2005 a ISO/IEC 27001: 2005
 O Comitê Brasileiro de Computadores e Processamento de

Dados( ABNT/CB-21) elaborou a ABNT BR ISO/IEC 27001: 2006.
112
ABNT BR ISO/IEC 27001: 2006
 Norma que provê um modelo para:
- Estabelecer;
- Implementar;
- Operar;
- Monitorar;
- Analisar criticamente;
- Manter e melhorar;
um SISTEMA DE GESTÃO DA INFORMAÇÃO (SGSI) nas organizações.
A implementação de um SGSI é esperado ser escalado conforme as

necessidades da organização, uma vez que os processos, tamanho,
estrutura, sistemas de apoio, requisitos de segurança da organização mudam
com o passar do tempo.
Norma usada para avaliar a conformidade pelas partes interessadas internas

113
ISO/IEC 15.408
COMMON CRITERIA FOR INFORMATION TACHNOLOGY SECURITY
EVOLUATION – CRITÉRIO COMUM DE AVALIAÇÃO DE SEGURANÇA DE
TECNOLOGIA DA INFORMAÇÃO
Objetivo da Norma:
Fornecer um conjunto de critérios fixos que permitem especificar a segurança
de uma aplicação de forma não ambígua a partir de características do
ambiente da aplicação;
Definir formas de garantir a segurança da aplicação para o cliente final.
O CC- Common Criteria estabelece que qualquer sistema, para ser

considerado seguro, precisa ter o seu Security Target (Objetivo ou Alvo de
Segurança) elaborado.
. 114
ISO/IEC 15.408
COMMON CRITERIA FOR INFORMATION TACHNOLOGY SECURITY
EVOLUATION – CRITÉRIO COMUM DE AVALIAÇÃO DE SEGURANÇA DE
TECNOLOGIA DA INFORMAÇÃO
O CC- Common Criteria estabelece que qualquer sistema, para ser

analisado e considerado seguro, precisa ter o seu Security Target
(Objetivo ou Alvo de Segurança) elaborado.
115
ISO/IEC 15.408
O Security Target é a especificação de segurança do sistema e deve:
Indicar os aspéctos de segurança que foram considerados

importantes e porque o foram para aquele sistema em
particular.
o CC- Common Criteria define sete níveis de garantia de segurança,

sendo que a cada nível se tem um maior número de testes e, portanto,
maior garantia que o sistema atende aos requisitos de segurança.
116
ISO/IEC 15.408
O CC e seus sete níveis de garantia de segurança
Os níveis são denominados EAL (Evaluation Assurance Level, ou Nível

de Garantia de Avaliação), e podem ser:
EAL – 1;
EAL - 2;
EAL - 3;
EAL - 4;
EAL - 5;
EAL - 6;
117
ISO/IEC 15.408
OS NÍVEIS EAL- 5 A EAL - 7 FORAM CONSIDERADOS EXTREMAMENTE

RÍGIDOS E, NA PRÁTICA, INVIÁVEIS.
APENAS OS NÍVEIS EAL - 1 A EAL - 4 SÃO RECONHECIDOS PELA ISO.
a ISO/IEC 15.508 mantém uma rede de laboratórios credenciados a

avaliar a segurança das aplicações em determinado nível de garantia.
118
ISO/IEC 15.408
O CC emprega o termo TOE (Target of Evaluation, ou Alvo de
Avaliação), para representar o sistema que se esta desenvolvendo ou
avaliando a segurança.
TSP- Target Security Policie
Política de Segurança do TOE
119
MEDIDAS DE SEGURANÇA
São as ações voltadas à eliminação de vulnerabilidades de modo a
se evitar a concretização de uma ameaça.
Identifique as ameaças;
Visualize as vulnerabilidades;
Que princípios básicos de segurança são afetados por essas
vulnerabilidades ?
Que impáctos no negócio podem ser causados?
Que medidas de segurança podem ser tomadas?
120
POLÍTICAS DE SEGURANÇA DO DEPARTAMENTO DE DEFESA
DOS ESTADOS UNIDOS (DoD)
POLÍTICA DE RESPONSABILIDADE
POLÍTICA DE AVISO
POLÍTICA DE PROPÓSITO
POLÍTICA DE DISPONIBILIDADE
POLÍTICA DE GUIA
POLÍTICA DE ACESSO
POLÍTICA DE INTEGRIDADE
POLÍTICA DE CICLO DE VIDA
POLÍTICA DE CLASSIFICAÇÃO
POLÍTICA DE PROTEÇÃO FÍSICA
121
Política de Responsabilidade
O funcionário é responsável por todos os atos
executados com o seu identificador.
Qualquer que seja a forma de identificação, ela deve
ser pessoal, intransferível e permitir de maneira clara
e indiscutível o reconhecimento de qualquer usuário.
Política de Aviso
Cada funcionário ou colaborador deve avisar
imediatamente a segurança caso tenha presenciado ou
detectado uma possíve; falha de segurança ou ameaça
aos ativos da empresa.
122
Política de Propósito
Toda informação pertence a empresa, devendo ser usada apenas
para o propósito a que o usuário foi autorizado.
Política de Disponibilidade
A informação deve estar disponível para o funcionário ou
colaborador se a mesma é necessária para uma missão ou tarefa
designada ao mesmo.
Política de Guia
Os sistemas e aplicações devem ser operados de forma
segura.para tal deve-se disponibilizar ajuda on-line, manual ou
qualquer outro meio que permito ao usuário saber com operar o
sistema corretamente.
123
Política de Acesso
Sistemas e contorles internos devem exigir a correta
autorização para permitir o acesso a qualquer
informação.
Política de Integridade
A integridade de qualquer informaçào deve ser
mantida, seja através de escrita em meio inviolável ou
via assinatura eletrônica.
Política de Ciclo de Vida
Os controles de acesso, proteção da informação e
integridade se aplicam aos dados dos usuários durante
124
Política de Classificação
Cada informaçào e cada documento deve ser
identificado de forma não ambígua de modo a se
permitir o controle de acesso.
Política de Proteção Física
Para se garantir os parâmetros de segurança,
mecanismos físicos complementares aos lógicos
devem ser fornecidos.
125

Conceitos Básicos de Segurança para Gerenciamento Da Segurança

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Conceitos Básicos de Segurança para Gerenciamento Da Segurança

Enviado por

Direitos autorais:

Formatos disponíveis

UNIC –UNIVERSIDADE DE CUIABÁ

CONCEITOS E FUNDAMENTOS NA ÁREA DE

Fundamentos de segurança da informação.

O OBJETIVO DA ÁREA DE SEGURANÇA DAS

Papéis impressos (padrões, procedimentos, manuais, etc…);

Discos rígidos de computadores, pendrives, CDs/DVDs;

Fitas, na memória das pessoas;

Em outras palavras, a segurança da informação é o processo que tem

A informação íntegra, confiável e disponível, porém disponível apenas

O receptor da informação deve ter a certeza de que a informação

A área de segurança de informações deve garantir que sómente as

CONCEITO DE AUDITORIA EM SOFTWARE

ATIVO PARCIALMENTE ROUBADO

ATIVO PARCIALMENTE ROUBADO

CONCEITO DE NÃO REPÚDIO

É a capacidade de através do sistema de se provar que um usuário

O não repúdio pode ser na origem ou no destino.

O não repúdio no destino: o destino nega o recebimentodas 15

É a aderência de um sistema ou procedimento de segurança à uma

Inúmeras legislações são descumpridas por desconhecimento dos

Inúmeras normas não são usadas como referência por

Inúmeros tipos de penalidades podem ser aplicadas a gestores de TI,

Assegurar que os ativos de informação recebam um nível adequado

A informação deve ser classificada para indicar a importância, a

A informação possui vários níveis de SENSIBILIDADE E

Convém que um sistema de classificação da informação seja usado

10. A classificação e a reclassificação da informação são

11. As informações que formem um conjunto assumem

14. A Câmara Setorial de TI e Segurança da Informação,

15. O autor da informação ou o classificador poderá,

Éuma informaçãoque , Éuma informação que ,

Éuma informação considerada

Rotular como “Confidencial”.

Rotular como “Interna”; (Ref. Dec. 4.553, Art. 20).

Não rotular, por ser a classificação implícita.

Rotular como “Controlado”.

Não rotular, por ser a classificação implícita.

Rotular como “Vital”.

Critério: DisponibiIidade Nível: Básica

Não rotular, por ser a classificação implícita.

São os elementos que a segurança de

Manuais ou Relatórios em Arquivos ou Impressos;

Dados de Voz (gravados em soluções do tipo Help Desk, Central de Serviços,

Imagens de vídeo de sistemas de CFTV, Videoaula, Videoconferência;

São as pessoas que fazem parte ou interagem com a empresa.

Computadores (estações de trabalho), Pentes de Memória,

Servidores de Rede, Notebooks;

Roteadores, Hubs, Switches, Firewall, Storages, Robô;

Unidades de fita de backup, CDs/DVDs, Pendrives, Câmeras IP;

Access-Points, Rádios, Modens, Impressoras, Placas de Rede;

Sistemas Operacionais, aplicativos (office/openoffice);

Programas/Aplicações Institucionais (ex: Programas

EXEMPLOS DE ATIVOS DA ORGANIZAÇÃO

Pessoas : podem ser bem ou mal intencionadas;

Podem ser: funcionários terceirizados ou não,

Muitas vezes são o ponto crítico da segurança.

São os documentos impressos deixados sobre as mesas,

Quem aqui sabe a senha de

Quem aqui sabe a senha do

– Datas (nascimento, casamento, nascimento do filho

As perdas podem ser:

As Ameaças são classificadas de acordo com os

5 Extremamente Bastante urgente Piorar muito