Escolar Documentos
Profissional Documentos
Cultura Documentos
• Estes slides contêm material básico de apresentação para preparar os estudantes para o EXIN Information
Security Foundation com base no exame ISO/IEC 27001. Eles podem ser usados como base para um
treinamento credenciado.
• O BTM se refere a todas as especificações de exame e conceitos básicos deste módulo.
• Algumas notas do instrutor podem ser incluídas.
• Um bom treinamento requer exemplos de experiência prática, aprofundamento das especificações dos
exames e conceitos básicos, exercícios, elaboração de assuntos de especial interesse para o público.
• No caso de uma duração mínima de treinamento, os candidatos devem estudar a literatura (comparar a
duração do treinamento com a carga de estudo no Guia de Preparação)
• A ordem na qual os assuntos são apresentados, segue a ordem das especificações do exame.
• Este BTM não é um conjunto completo de material didático. Para ser credenciado, você precisará aprimorar e
enriquecer este material.
• Ao utilizar este BTM, sua organização ainda precisará passar pelo procedimento normal de credenciamento
no EXIN. Você pode encontrar os requisitos de credenciamento no Manual de Credenciamento.
• Este BTM é um serviço para prestadores de treinamento, dele não podem ser derivados direitos.
Visão geral do programa
Cronograma de treinamento
• Informação e Segurança
• Ameaças e riscos
• Abordagem e Organização
• Medidas
• Legislação e Regulamentos
Objetivos do Curso
A EXIN Information Security Foundation baseada na ISO/IEC 27001 é uma certificação que
valida o conhecimento de um profissional sobre:
• Informação e segurança: o conceito, o valor, a importância e a confiabilidade da
informação,
• Ameaças e riscos: os conceitos de ameaça e risco e a relação com a confiabilidade das
informações,
• Abordagem e organização: a política de segurança e organização de segurança, incluindo
os componentes da organização de segurança e gestão de incidentes (de segurança),
• Medidas: a importância das medidas de segurança, incluindo medidas físicas, técnicas e
organizacionais,
• Legislação e regulamentos: a importância e o impacto da legislação e dos regulamentos.
Grupo alvo
• A lista de Conceitos Básicos nas notas dos alunos abaixo será considerada
compreendida para o exame.
• O estudante é aconselhado a pesquisar e compreender os conceitos.
Formato do exame
Sabedoria
Por quê?
Conhecimento
Como?
Contexto
Informações
Quem, o quê, quando,
onde?
Dados
Compreensão
1.1.1 Explicar a diferença entre dados e informações
Confidencialidade
Disponibilidade
1.3.2 Descrever os aspectos de confiabilidade das
informações
A confidencialidade é o grau de restrição ao acesso às informações
a um grupo definido, autorizado a ter esse acesso. Isto também inclui
medidas para proteger a privacidade
Integridade
Confidencialidade
Disponibilidade
1.3.2 Descrever os aspectos de confiabilidade das
informações
Confidencialidade
• O acesso às informações é concedido com base na necessidade de conhecimento. Não é necessário, por
exemplo, que um empregador financeiro possa ver relatórios de discussões com o cliente.
• Os funcionários tomam medidas para garantir que a informação não encontre seu caminho para aquelas
pessoas que não precisam dela. Eles asseguram, por exemplo, que nenhum documento confidencial esteja
deitado em sua mesa enquanto estiverem ausentes (política de mesa clara).
• O gerenciamento de acesso lógico garante que pessoas ou processos não autorizados não tenham acesso a
sistemas, bancos de dados e programas automatizados. Um usuário, por exemplo, não tem o direito de alterar
as configurações do PC
• É criada uma segregação de funções entre a organização de desenvolvimento do sistema, a organização de
processamento e a organização do usuário. Um desenvolvedor de sistema não pode, por exemplo, fazer
nenhuma alteração nos salários.
• Estritas segregações são criadas entre o ambiente de desenvolvimento, o ambiente de teste e aceitação e o
ambiente de produção
• No processamento e utilização dos dados, são tomadas medidas para garantir a privacidade do pessoal e de
terceiros. O departamento de Recursos Humanos (RH) tem, por exemplo, sua própria unidade de rede que não é
acessível a outros departamentos
• O uso de computadores pelos usuários finais é cercado por medidas para que a confidencialidade das
informações seja garantida. Um exemplo é uma senha que dá acesso ao computador e à rede
1.3.2 Descrever os aspectos de confiabilidade das
informações
• Integridade é o grau em que as informações estão atualizadas e sem erros
• As características de integridade são:
– A exatidão das informações
– A completude das informações Integridade
Confidencialidade
Disponibilidade
1.3.2 Descrever os aspectos de confiabilidade das
informações
Integridade
• As mudanças nos sistemas e dados são autorizadas. Por exemplo, um membro do pessoal entra com
um novo preço para um artigo no site, e outro verifica a correção desse preço antes de ser publicado.
• Sempre que possível, são construídos mecanismos que forçam as pessoas a usar o termo correto.
Por exemplo, um cliente é sempre chamado de 'cliente', o termo 'cliente' não pode ser inserido no
banco de dados.
• As ações dos usuários são registradas (logadas) para que se possa determinar quem fez uma
mudança nas informações
• Ações vitais do sistema, por exemplo, a instalação de novo software, não podem ser realizadas por
apenas uma pessoa. Separando deveres, cargos e autoridades, pelo menos duas pessoas serão
necessárias para realizar uma mudança que tenha grandes conseqüências
• A integridade dos dados pode ser assegurada em grande medida através de técnicas de criptografia,
o que protege as informações contra acesso não autorizado ou alterações. A política e os princípios
de gerenciamento para a criptografia podem ser definidos em um documento de política separado
1.3.2 Descrever os aspectos de confiabilidade das
informações
• A disponibilidade é o grau de disponibilidade da informação para o usuário e
para o sistema de informação que está em operação no momento em que a
organização a requer
• As características de disponibilidade são:
Integridade
Cronogramas: os sistemas de informação são
disponível quando necessário
Continuidade: o pessoal pode continuar a trabalhar
no caso de um fracasso;
Confidencialidade
Robustez: há capacidade suficiente para Disponibilidade
permitir que todo o pessoal do sistema funcione
1.3.2 Descrever os aspectos de confiabilidade das
informações
Disponibilidade
• O gerenciamento e armazenamento de dados é tal que a chance de perda
de informações é mínima. Os dados são, por exemplo, armazenados em um
disco de rede, não no disco rígido do PC.
• Os procedimentos de backup são estabelecidos. São levados em conta os
requisitos regulamentares de quanto tempo os dados devem ser
armazenados. A localização do backup é separada fisicamente do negócio a
fim de garantir a disponibilidade em casos de emergência.
• Procedimentos de emergência são estabelecidos para garantir que as
atividades possam ser retomadas o mais rápido possível após uma
interrupção em larga escala
2 AMEAÇAS E RISCOS
2.1 AMEAÇAS E RISCOS
2.1.1 Explicar os conceitos de ameaça, risco e análise de risco
Tópico
Ameaças Ataques
Ativos Vulnerabilidades
risco
Contra-medidas Riscos
2.1.3 Explicar vários tipos de ameaças
Uma ameaça poderia ser:
• um intruso acessando a rede através de uma porta no firewall
• um processo de acesso aos dados de uma forma que viola a política de
segurança, um tornado que destrói uma instalação
• um funcionário que cometa um erro que possa expor informações
confidenciais ou destruir a integridade de um arquivo
Tipos de danos:
• Danos diretos
– Roubo
– Água
• Danos indiretos
– Incapacidade de prestar um serviço porque o
A infra-estrutura de TI está em baixo
– Danos financeiros devidos a perda de cliente
contrato
2.1.5 Descrever várias estratégias de risco
• Risco (aceitação)
– Os riscos são aceitos, nenhuma ação é tomada (por exemplo, devido a um baixo impacto ou probabilidade
esperada)
• As medidas de segurança são muito caras
• As medidas de segurança excedem os possíveis danos
• As medidas de segurança que são tomadas são por natureza repressivas
• Neutro ao risco (tratar)
– São tomadas medidas para evitar riscos ou minimizar danos (por exemplo, segurança física, sistemas de
proteção contra incêndios)
• A ameaça não ocorre mais
• O dano resultante é minimizado
• As medidas de segurança tomadas são uma combinação de medidas preventivas, detetive e
Medidas repressivas
• Evitar riscos
– São tomadas medidas para garantir que o risco
não acontece
– As medidas de segurança que são tomadas são preventivas por
natureza
– Por exemplo, correção de software
3 ABORDAGEM E ORGANIZAÇÃO
3.1 POLÍTICA DE SEGURANÇA E
ORGANIZAÇÃO DA SEGURANÇA
3.1.1 Esboçar os objetivos e o conteúdo de uma política de
segurança
• Objetivo: fornecer direção e suporte gerencial para a segurança da informação de
acordo com as exigências comerciais e as leis e regulamentos relevantes
• Conteúdo:
– Regulamentos: um regulamento é mais detalhado do que um documento de
política
– Procedimentos: descrever em detalhes como medidas particulares devem ser
realizadas e podem, às vezes, incluir as instruções de trabalho
– Diretrizes: fornecer orientação
• Descrever quais aspectos devem ser examinados com aspectos particulares de segurança
• As diretrizes não são obrigatórias, mas são de natureza consultiva
– Normas
• Por exemplo: a criação padrão de plataformas específicas
3.1.1 Esboçar os objetivos e o conteúdo de uma política de
segurança
• Esta política deve ser redigida de acordo com as exigências comerciais, bem
como com a legislação e os regulamentos pertinentes
• A política de segurança da informação deve ser aprovada pelo conselho de
administração e publicada para todo o pessoal e todas as partes externas
relevantes, tais como clientes e fornecedores
• Publicando a política
– Criar uma versão resumida da política, delineando os pontos principais
– Isto pode ser na forma de um folheto emitido para todo o pessoal e incluído como parte
da introdução de novo pessoal
– A versão completa pode ser publicada na intranet da empresa ou em
Política de segurança
algum outro local de fácil acesso para todo o pessoal
3.1.1 Esboçar os objetivos e o conteúdo de uma política de
segurança
• O objetivo geral da segurança de TI é "segurança equilibrada em
profundidade", com controles justificáveis implementados para garantir que
a política de segurança da informação seja aplicada e que os serviços
contínuos de TI dentro de parâmetros seguros (ou seja, confidencialidade,
integridade e disponibilidade) continuem a operar
• Para muitas organizações, a abordagem adotada para a segurança de TI é
coberta por uma política de segurança da informação de propriedade e
mantida pela gerência de segurança da informação
• Na execução da política de segurança, a gestão de disponibilidade
desempenha um papel importante em sua operação para novos serviços de
TI
3.1.2 Esboçar os objetivos e o conteúdo de uma organização
de segurança
• Sem uma segurança efetiva da informação, não é possível para uma organização
sobreviver
• Todos na organização devem aceitar isto e o conselho de administração e a
gerência têm que agir como exemplos
• Somente quando a administração apóia sua própria política, os funcionários levam a
segurança da informação a sério e assim trabalham para cumprir com as medidas
• A segurança da informação é um processo em que
muitas pessoas estão envolvidas
• O processo precisa ser controlado de forma eficaz
• Se não houver responsabilidade ou gestão, então a segurança da informação não
será efetiva
3.1.2 Esboçar os objetivos e o conteúdo de uma organização
de segurança
• A forma como a segurança da informação é gerenciada depende do
tamanho e da natureza da organização
• Em pequenas organizações, a segurança da informação pode ser apenas
uma das responsabilidades de várias pessoas
• Um trabalhador autônomo sem nenhum funcionário é responsável por todos
os aspectos da TI, incluindo a segurança
• Em contraste, em grandes organizações, haverá pessoal cuja única
responsabilidade é um aspecto particular da segurança da informação
• No processo de segurança da informação, é necessário realizar consultas
periódicas entre todos aqueles com responsabilidade primária
3.1.2 Esboçar os objetivos e o conteúdo de uma organização
de segurança
• Além dos oficiais de segurança da informação (ISO), estes também podem
ser o pessoal responsável pela implementação de certas medidas
• São de preferência pessoas que trabalham nos departamentos de Recursos
Humanos (RH), Informação, Finanças, Contabilidade ou Acomodação.
3.2 COMPONENTES
3.2.1 Explicar a importância de um código de conduta
• A organização deve ter um código de conduta e as sanções que são impostas em caso de
não cumprimento e se surgirem incidentes de segurança como resultado
Clientes Responsabilidade
Coaching
Trabalho em equipe
Inovação
Ética
Confiança
Objetivos
3.2.1 Explicar a importância de um código de conduta
• Os ativos são necessários para que uma organização possa fazer negócios. Os ativos podem
incluir:
– Documentos, bancos de dados
– Hardware e software
– Instalações, tais como edifícios
– Mídias, como pendrives, discos rígidos removíveis
– Pessoas
• O proprietário do ativo é responsável pelos processos e atividades que utilizam o ativo, inclusive:
– Segurança
– Administração
– Produção
– Desenvolvimento
3.2.2 Explicar a importância da propriedade
Tipo de medida:
Redução Ameaça
Prevenção
Detecção Incidente
Repressão
Danos
Correção
Recuperação
Avaliação
4 MEDIDAS
4.1 IMPORTÂNCIA DAS MEDIDAS
4.1.1 Descreva as diversas formas pelas quais as medidas de
segurança podem ser estruturadas ou organizadas
a
e aç
Am
Re
du
çã
Ri
Prevenção
o
sc
o
Incidente
Repressão
Recuperação
4.1.1 Descreva as diversas formas pelas quais as medidas de
segurança podem ser estruturadas ou organizadas
Medidas corretivas • Visando a recuperação dos danos causados por incidentes de segurança
Medidas preventivas
– Com o objetivo de prevenir incidentes de segurança
– Exemplos:
• Quebrando a conexão com a Internet
• Fazendo uma porta de cockpit à prova de balas
• Colocação de informações sensíveis em um cofre
4.1.2 Dar exemplos para cada tipo de medida de segurança
Medidas de detecção
– Destinado a detectar incidentes de segurança
– Exemplos:
• Vigilância por vídeo com adesivos nas janelas, informando as pessoas
que estão sendo monitoradas
• Informar as pessoas que o uso da Internet está sendo monitorado
dissuadirá muitos funcionários de atividades impróprias de navegação
na Internet
4.1.2 Dar exemplos para cada tipo de medida de segurança
Medidas repressivas
– Com o objetivo de deter as conseqüências dos incidentes de segurança
– Exemplos:
• Apagando uma pequena fogueira
• Fazendo um backup
• Um acordo de stand-by
4.1.2 Dar exemplos para cada tipo de medida de segurança
Medidas corretivas
– Visando a recuperação dos danos causados por incidentes de segurança
– Exemplos:
• Ao criar um novo banco de dados, um banco de dados existente foi
sobregravado; a idade do backup deste banco de dados determinará o
esforço de recuperação que será necessário fazer
4.1.2 Dar exemplos para cada tipo de medida de segurança
Comprar seguro
– Comprar um seguro contra certos incidentes de segurança porque a
implementação das medidas de segurança pode ser muito cara
– Exemplos:
• Seguro contra incêndio
• Colocação de cópias de informações importantes em um local
diferente
4.1.3 Explicar a relação entre riscos e medidas de segurança
Gerenciamento de risco
O processo de:
Ameaças
Para: Riscos
Análise de risco
Uma metodologia para esclarecer quais ameaças são relevantes para os processos operacionais e para identificar os Riscos
associados. O nível de segurança apropriado, juntamente com as medidas de segurança associadas, pode então ser determinado
4.1.4 Explicar o objetivo da classificação das informações
Áreas seguras
Objetivo: Prevenir o acesso físico não autorizado, danos e interferências nas
informações da organização e nas instalações de processamento de
informações
Equipamento
Objetivo: Evitar a perda, dano, roubo ou comprometimento de bens e
interrupção das operações da organização
4.2.1 Dar exemplos de medidas de segurança física
Exemplos
• A proteção do equipamento através do controle climático (ar
condicionado, umidade)
• Os cabos devem ser colocados de tal forma que nenhuma interferência
possa ocorrer. A interferência é quando os cabos de rede captam o ruído e
a estática dos cabos de energia que correm paralelamente a eles.
• A exclusão de informações confidenciais na mídia de armazenamento
quando uma pessoa deixa a organização
4.2.1 Dar exemplos de medidas de segurança física
Principais categorias:
– Anéis de proteção
• A área ao redor do edifício
• O edifício
• O espaço de trabalho
• Os objetos
– Alarmes
• Sensores
• Monitoramento
– Proteção contra incêndios
– Planejamento de emergência
• Relacionado à gestão da continuidade dos negócios
4.2.1 Dar exemplos de medidas de segurança física
A B
ciphertext = f1(cleartext, s)
cleartext = f2(ciphertext, s)
Chave Chave
Nota:
f1() e f2() são funções matemáticas complexas de um sentido, fáceis de calcular de um sentido, mas impossíveis de
calcular do outro modo. Um exemplo; é fácil multiplicar dois grandes números. Mas a inclusão do número em seus fatores
é muito difícil se o número for grande.
4.3.3 Entenda os conceitos de criptografia, assinatura digital e
certificado
• Criptografia assimétrica
Autoridade Certificadora (CA)
sAb, sBb, sCb, ...
Definição:
• Um vírus é um pequeno programa de computador que se replica propositadamente, às vezes de forma alterada.
• As versões replicadas do vírus original são, em virtude desta definição, também vírus. Para que o vírus se
propague, ele depende de portadores que contenham código executável.
Explicação:
• Assim que o portador é ativado, o vírus procura por novos portadores adequados e tenta infectá-los. O vírus só
pode se espalhar fora do alcance do sistema infectado se um usuário transferir arquivos do sistema infectado
para um novo sistema.
• Os transportadores eram tradicionalmente apenas programas, mas hoje em dia os documentos podem atuar
como hospedeiro de um vírus, pois cada vez mais contêm códigos executáveis, tais como macros, VBScript ou
ActiveX.
Na grande maioria dos casos, os vírus são equipados com uma carga útil que abriga todas as tarefas além
daquelas que são necessárias para a replicação. Esta carga útil é geralmente, mas não necessariamente
sempre, de natureza destrutiva.
4.3.4 Nomear vários tipos de malware, phishing e spam
Exemplos de vírus:
• Cérebro
• Chernobyl
Medidas:
• Garantir que haja um verificador de vírus no servidor de correio e nos
computadores individuais no local de trabalho
• Garantir que o tema dos vírus seja incluído em uma campanha de
conscientização de segurança
• Assegurar que este assunto seja incluído na política de segurança da
informação da organização
4.3.4 Nomear vários tipos de malware, phishing e spam
Definição:
• Uma minhoca é um pequeno programa de computador que se reproduz propositalmente. Os
resultados da replicação são cópias da propagação original para outros sistemas, fazendo
uso das instalações de rede de seu host
Explicação:
• As diferenças entre vírus e minhocas estão se tornando cada vez mais difusas
• Um vírus pode atacar seu hospedeiro através de diferentes portadoras e infectar novas
portadoras, transferindo o código ativo nessas novas portadoras
• Um verme, ao contrário, não depende de um usuário para se espalhar: assim que um verme é
ativado, ele pode se espalhar automaticamente. É isto que permite que os vermes infectem
grandes áreas em um curto período de tempo.
• As duas semelhanças mais importantes são a dependência de um código executável no
portador e o uso de uma carga útil para realizar tarefas secundárias, geralmente destrutivas
4.3.4 Nomear vários tipos de malware, phishing e spam
Exemplos:
• Melissa
• Eu te amo
• Feliz99
• Demolidor
• Tempestade
Medidas:
• Garantir que haja um verificador (vírus) no servidor de correio e nos computadores individuais no local de trabalho
• Como os vermes podem ser descobertos na rede, assegure-se de utilizar uma ferramenta de monitoramento de
rede
• Garantir que o tema dos vírus seja incluído em uma campanha de conscientização de segurança
• Assegurar que este assunto seja incluído na política de segurança da informação da organização
• Garantir que haja meios eficazes de comunicar incidentes e que haja bons procedimentos de acompanhamento
4.3.4 Nomear vários tipos de malware, phishing e spam
Definição:
• Um Trojan é um programa que, além da função que parece desempenhar, conduz de propósito
atividades secundárias, despercebidas pelo usuário do computador, que podem prejudicar a integridade
do sistema infectado
Explicação:
• Assim como com o verdadeiro cavalo de Tróia, um cavalo de Tróia se apresenta como algo útil, mas
quando ativado pelo usuário, ele conduz todo tipo de atividades indesejáveis em segundo plano.
• A carga útil de um troiano instala frequentemente uma "porta traseira", através da qual pessoas
desconhecidas podem obter acesso não autorizado ao sistema infectado
• Outra atividade freqüente dos troianos é o envio de informações confidenciais do sistema infectado para
outro local, onde podem ser coletadas e analisadas.
• A diferença mais perceptível com vírus e vermes é que os troianos não podem se auto-replicar. Como
resultado, os Trojans geralmente são capazes de continuar fazendo seu trabalho sem serem notados por
um período de tempo mais longo.
4.3.4 Nomear vários tipos de malware, phishing e spam
Exemplos:
• BackOrifice
• Netbus
Medidas:
• Garantir que haja um verificador de Trojan e/ou vírus no servidor de correio e nos computadores
individuais no local de trabalho
• Garantir que o assunto dos Trojans seja incluído em uma campanha de conscientização de
segurança; por exemplo, o pessoal deve estar ciente dos perigos de abrir anexos de e-mails
suspeitos
• Assegurar que este assunto seja incluído na política de segurança da informação da organização
• As consequências de Trojans (comunicação) também podem ser descobertas na rede por
gerentes de rede; ferramentas de monitoramento de rede estão disponíveis para isso
4.3.4 Nomear vários tipos de malware, phishing e spam
Definição:
• Um embuste é uma mensagem que tenta convencer o leitor de sua veracidade e depois persuadi-lo a realizar uma
determinada ação
• A difusão de um embuste depende do envio deliberado da mensagem a outras vítimas potenciais, que podem então
também fazer o mesmo
Explicação:
• A carga útil de um embuste não é de natureza técnica, mas psicológica.
• Ao jogar com as emoções das pessoas, o embuste tenta
persuadir o leitor a enviar o embuste a outros (uma forma de
engenharia social)
• Este é quase sempre o propósito de um embuste, mas um embuste pode
ocasião tentar convencer uma pessoa a depositar dinheiro, fornecer
informações pessoais (phishing) ou similares
• As cartas em cadeia são a forma mais significativa e bem sucedida de
embustes
4.3.4 Nomear vários tipos de malware, phishing e spam
Exemplos:
• Bons tempos
• Pal Pal Pal
Medidas:
• Garantir que haja um verificador de vírus no local de trabalho e uma solução anti-spam para o
servidor de correio. Um hoax freqüentemente contém textos que podem ser reconhecidos por tais
scanners
• Garantir que o tema das fraudes seja incluído em uma campanha de conscientização de segurança; o
pessoal deve estar atento a perguntas estranhas em e-mails, particularmente aquelas que tentam
convencer o leitor a realizar certas ações como encaminhar o embuste a outros
• Assegurar que este assunto seja incluído na política de segurança da informação da organização
• Garantir que haja meios eficazes de comunicar incidentes e que haja bons procedimentos de
acompanhamento
4.3.4 Nomear vários tipos de malware, phishing e spam
Definição:
• Uma bomba lógica é um pedaço de código que está embutido em um sistema de software
• Este código executará então uma função quando condições específicas forem cumpridas
• Isto nem sempre é usado para fins maliciosos. Um programador de computador, por
exemplo, pode construir em um código que destrói arquivos (sensíveis) uma vez que eles
saem da rede da empresa
• Vírus e vermes geralmente contêm bombas lógicas, que geralmente têm um atraso
incorporado para a execução do vírus ou a propagação do verme
Medidas:
• Para software escrito pelo pessoal da empresa ou sob contrato com terceiros, garantir que
uma revisão de código seja conduzida por outra parte
4.3.4 Nomear vários tipos de malware, phishing e spam
Definição:
• Spyware é um programa de computador que coleta informações sobre o usuário do computador e
envia essas informações para outra parte. O objetivo disto é ganhar dinheiro
• O spyware não tenta propositalmente danificar o PC e/ou o software instalado, mas sim violar a
privacidade
• Os spywares podem ser reconhecidos de várias maneiras, por exemplo:
• O computador é mais lento que o normal
• Os programas estão sendo executados no computador que você mesmo não iniciou ou que
você tem
nunca visto antes
• As configurações do computador foram modificadas e pode haver uma barra de ferramentas
em seu
navegador de internet que não estava lá antes e não pode ser removido
• Todos os tipos de pop-ups aparecem sem aviso ou ao abrir páginas da web
4.3.4 Nomear vários tipos de malware, phishing e spam
Medidas:
• Existem scanners que verificam o registro do Windows em busca de chaves de
registro suspeitas e verificam o software instalado em busca de spyware
• Às vezes os programas anti-vírus também podem detectar spyware
• Use um firewall pessoal para detectar o tráfego na rede, especialmente o tráfego que
sai de seu computador sem motivo
• Garantir que o tema do spyware seja incluído em uma campanha de conscientização
de segurança
• Assegurar que este assunto seja incluído na política de segurança da informação da
organização
• Garantir que haja meios eficazes de comunicar incidentes e que haja bons
procedimentos de acompanhamento
4.3.4 Nomear vários tipos de malware, phishing e spam
Explicação:
• O BotNet/Storm Worm é considerado por muitos como o futuro do malware
• É paciente e, portanto, difícil de detectar e analisar
• Funciona como uma colônia de formigas, onde não há um servidor central de
comando e controle, mas sim uma conexão de rede entre milhares de PCs infectados
• Como resultado, as máquinas infectadas não afetam o botnet
• A tempestade Worm Worm não causa qualquer dano ou carga ao hospedeiro, de
modo que os hospedeiros não saibam que estão infectados
• A razão do sucesso do Storm Worm é que os servidores que difundem o Storm
Worm, recodificam a mensagem do vírus a cada trinta minutos, mudando a
assinatura do vírus e dificultando a detecção pelos programas anti-vírus tradicionais
4.3.4 Nomear vários tipos de malware, phishing e spam
• Rastreamento e não-divulgação
• Registros de funcionários
Pessoas • Conscientização de segurança
• Gerenciamento de acesso
• Procedimentos operacionais
Gerenciando a comunicação e • Gerenciamento de mudanças
os processos de perfuração • Segregação de funções
4.4.2 Descrever os riscos envolvidos com medidas de
segurança organizacionais insuficientes
• Os riscos de medidas de segurança organizacional insuficientes incluem:
– Indisponibilidade de um datacenter devido à falta de um local de
recuperação de desastres
– Acesso aos dados por pessoas não autorizadas, devido à falta de
processo de gerenciamento de acesso
– Fraude devido à falta de segregação de funções
– Hacking de contas devido à falta de senhas fortes
4.4.3 Descreva as medidas de segurança de acesso, como a
segregação de deveres e o uso de senhas
Objetivo
• Para controlar o acesso à informação
Seções
• Requisitos comerciais para o controle de acesso
– Política de controle de acesso
• Gerenciamento do acesso do usuário
– Registro de usuário
– Gestão de privilégios
– Gerenciamento da senha do usuário
– Revisão dos direitos de acesso dos usuários
• Responsabilidades do usuário
– Uso de senha
– Equipamento de usuário desacompanhado
– Limpar mesa e limpar a política de tela
4.4.3 Descreva as medidas de segurança de acesso, como a
segregação de deveres e o uso de senhas
Seções (cont.)
• Controle de acesso à rede
– Política de uso de serviços de rede
– Autenticação do usuário para conexões externas
– Identificação de equipamentos em redes
– Diagnóstico remoto e proteção da porta de configuração
– Segregação em redes
– Controle da conexão de rede
– Controle de roteamento de rede
• Controle de acesso ao sistema operacional
– Procedimentos de logon seguros
– Identificação e autenticação do usuário
– Sistema de gerenciamento de senhas
– Uso de utilitários de sistema
– Tempo limite da sessão
– Limitação do tempo de conexão
4.4.3 Descreva as medidas de segurança de acesso, como a
segregação de deveres e o uso de senhas
Seções (cont.)
• Aplicação e controle de acesso à informação
– Restrição de acesso à informação
– Isolamento do sistema sensível
• Computação móvel e teletrabalho
– Computação e comunicações móveis
– Teletrabalho
4.4.4 Descrever os princípios da gestão de acesso