aula 16 - aula · ^/^d d ^ /e&kzd k w ke /dk^ wz/e 1w/k^ ^ p µ v / v ( } u } z ^/> dk zek ]...
TRANSCRIPT
SISTEMAS DE INFORMAÇÃO: CONCEITOS E PRINCÍPIOS
Segurança da InformaçãoVulnerabilidade em TI
Estrutura em TISistema de Gestão de Segurança da Informação
BRASIL MODERNO
Após a implantação de qualquer sistema ou ferramenta tecnológica é hora de implantar um Sistema de Gestão de Segurança da Informação. Isso deve reduzir:
• Vulnerabilidade• Abuso de uso• Gestão de riscos
POR QUE INVADIR MEU PC?
• Uso de atividades ilícitas;• Atacar outros computadores;• Utilizar seu disco rígido como repositório de dados;• Furtar dados do seu computador;• Destruir informações;• Disseminar mensagens alarmantes e falsas;• Propagar vírus de computador.
CONCEITOS IMPORTANTES
• Ação corretiva: Eliminar ou corrigir um erro• Ameaça: Causa potencial de um incidente indesejado• Ataques: Ações para destruir ou danificar algo• Ativos: Recursos que trazem valor para organização• Evento: Ocorrência de um conjunto de circunstâncias• Risco: Chance de ocorrer algum evento• Vulnerabilidade: Fraqueza de um ativo
RISCOS E SEGURANÇA
AMEAÇAS
Intenção de causar dano a um individuo ou uma organização.
• Sabotagem de hardware• Roubo de informações• Ataques a infraestrutura• Incêndio
VULNERABILIDADE
Deficiência na infraestrutura que expõe riscos a eventos.
• Má configuração• Firewall desatualizado• Falta de no-break• Falha no acesso
EXEMPLIFICANDO
• AMEAÇA -> Assalto a uma agência bancária• VULNERABILIDADELiberação manual das portas giratórias naprimeira hora de funcionamento do banco,devido fuso horário e falha na sincronização doserviço de segurança.• RISCOBaixo, pois a liberação da porta giratóriarepresenta apenas 16% sobre o horário defuncionamento do banco.
ANÁLISE DE RISCOS
SENHAS
Quanto mais “bagunçada” for a sua senha, melhor ela será! Misture letras maiúsculas e minúsculas junto com
números e caracteres.
Batatinha quando nasce se esparrama pelo chão pode gerar uma senha -> !Bqnsepc
SENHAS
Não se esqueça de trocar periodicamente as suas senhas, isto também é importante.
• Cuidado também com o reuso de senhas;• Evite senhas default
BACKUP
Nunca ache que o local que os dados estão salvos éseguro. Esses dados podem ser sofrer danos e ficarinutilizados. Estratégias de backup:
• Incremental: Cópia dos arquivos que foramcriados ou modificados desde o último backup;
• Completa: Cópia integral de todos os arquivos
SEGURANÇA DA INFORMAÇÃO
Algumas características de uma informação devem estar sempre asseguradas:
• Disponibilidade• Confiabilidade• Integridade• Autenticidade• Controle de acesso
ISO
Apresentam um conjunto de normas, entre elas temossete voltadas para segurança da informação.
• ISO 27000 -> Conceitos de segurança da informação• ISO 27001 -> Modelo de SGSI• ISO 27002 -> Criação de política de segurança.• ISO 27003 -> Especificação e projeto de segurança
da informação.
ISO
• ISO 27004 -> Diretrizes e métricas para avaliar afase de checagem do PDCA.
• ISO 27005 -> Tratamento relacionados aos riscos àgestão oriundos da Tecnologia de Informação.
• ISO 27006 -> Orientações aos organismos auditorese certificadores de um SGSI.
SGSI
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Avalia riscos para estabelecer, implementar, operar, monitorar, rever, manter e melhorar a segurança da informação.
Pode ser aplicado o modelo PDCA em um SGSI.
POLÍTICA DE SEGURANÇA
Código de conduta da organização que assegura aconformidade em relação à segurança da informação pormeio de regras e instrumentos de controle, que envolve:
• Recursos Humanos (Próprios e terceiros)• Infraestrutura• Equipamentos• Serviços
DIREITOS E DEVERESUSUÁRIOS
• Utilização obrigatória de contas de acesso;• Utilização de softwares oficiais da organização;• Proteção e uso de informações;• Uso aceitável de recursos como e-mail, news e sites;• Direito a privacidade de informações;• Uso de antivírus;
DIREITOS E DEVERESORGANIZAÇÃO
• Realização de backup das informações;• Uso de diretrizes para configuração e instalação de
sistemas e equipamentos;• Autoridade para conceder e revogar autorizações de
acesso para usuários;• Conectar e desconectar sistemas e equipamentos;• Monitoramento de sistemas e equipamentos;• Normas de segurança física.
INSUCESSO DE UMA POLÍTICA
• Não deve ser demasiadamente restritiva;• Excesso de detalhes pode causar confusão;• Não devem ser abertas exceções para indivíduos;• Política não deve estar atrelada a marcas.
TIPOS DE ATAQUE
VÍRUS
Interfere no funcionamento de hardwares, softwares,sistemas operacionais e de aplicativos. Um vírus precisaser executado para que comece a agir.
• Chernobyl (1998)• ILoveYou (2000)• Conficker (2008)• Stuxnet (2009-2010)
SPAM
• Constitui-se de um e-mail não solicitado;• Enviando para um grande número de pessoas;• Impacta com:
– Gasto desnecessário de tempo;– Perda de produtividade.
PHISHING
• E-mails usados para capturar dados financeiros;• Acontece através da indução da execução de códigos;• Geralmente apresenta formulários para
preenchimento;• Ações com:
– Cartões virtuais;– SERASA e SPC;– Dinheiro fácil, promoções e prêmios.
PHISHING
CAVALOS DE TRÓIA
• É um software recebido como um “presente”;• Realiza o acesso e copia arquivos do computador;• Em alguns casos pode até formatar o disco rígido;• Pode também fazer as cópias das senhas dos usuários;• Acesso se dá em acessos em páginas falsas.
KEY-LOGGERS
• Software responsável por capturar teclas digitadas;• Existem key-loggers que capturam os cliques do
mouse e fazem a comparação com o teclado virtual;
ENGENHARIA SOCIAL
Traduz a ação de uma pessoa mal intencionada se passarpor outra para enganar os colaboradores de umaorganização.
• Para evitar:Não divulgar dados que possam compor uma informação;Limitar as informações a serem compartilhadas;