segurança e auditoria de sistemas
DESCRIPTION
Segurança e Auditoria de Sistemas. Prof . Fabiano Sabha. Definição de Risco. Review. Podemos definir o risco como a condição que aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente. - PowerPoint PPT PresentationTRANSCRIPT
Segurança e Auditoria de Segurança e Auditoria de SistemasSistemas
ProfProf.. Fabiano Sabha Fabiano Sabha
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 2
Definição de RiscoDefinição de Risco
Podemos definir o risco como a condição que Podemos definir o risco como a condição que aumenta ou diminui o potencial de perdas, ou seja, aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente.o risco é a condição existente.
Esta condição deve ser incerta, fortuita e de Esta condição deve ser incerta, fortuita e de conseqüências negativas ou danosas.conseqüências negativas ou danosas.
Não pode haver a certeza de que ocorrerá.Não pode haver a certeza de que ocorrerá.
ReviewReview
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 3
Risco x PerigoRisco x Perigo
Risco é diferente de Perigo!
Perigo é a origem do da perda.
Exemplo: Um incêndio é o perigo, o
risco são as condições do ambiente.
ReviewReview
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 4
Risco x ControleRisco x Controle
Todo risco identificado deve receber um tratamento para sua mitigação, seja a implantação de controles que irão agir diretamente na causa do risco, eliminando-o, seja monitorando o risco ou ainda transferindo-o.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 5
Risco x ControleRisco x Controle
Ameaça: Ameaça: Dados corrompidosDados corrompidos
Vulnerabilidades:Vulnerabilidades: Códigos MaliciososCódigos Maliciosos Conhecimento Insuf. Da AplicaçãoConhecimento Insuf. Da Aplicação Ambiente de Teste InexistenteAmbiente de Teste Inexistente
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 6
Risco x ControleRisco x Controle
Exemplos de controle:
Vulnerabilidade Controle
Códigos Maliciosos
Todas as estações de trabalho e servidores devem possuir sistema de proteção antivírus, antispyware e firewall local, devidamente configurados e atualizados.
Conhecimento insuficiente da aplicação
A equipe de suporte local deve possuir sólidos conhecimentos sobre todos os aplicativos e sistemas operacionais presentes na empresa, seja atraves de programas de treinamentos especializados ou grupo de estudo local.
Ambiente de teste inexistente
Toda Atualização realizada dever ser efetuada em ambiente teste, afim de evitar possíveis erros e incompatibilidade de versões de softwares já instalados.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 7
Análise Custo x BenefícioAnálise Custo x Benefício
A análise de custo x benefício deve ser levada em consideração sempre que alguma ação de mitigação estiver prestes a ser tomada.
Na prática: Quando custa a ação de Na prática: Quando custa a ação de mitigação e que resulta trás? Vale a mitigação e que resulta trás? Vale a pena financeiramente?pena financeiramente?
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 8
Atividade em salaAtividade em sala
A atividade de fixação deve ser feita:A atividade de fixação deve ser feita:
Em grupo: Em grupo: 2 Integrantes.2 Integrantes. Desenvolvimento: Desenvolvimento: em sala de aula.em sala de aula. Atividade: Atividade: Realizar levantamento de ativos e elaborar Realizar levantamento de ativos e elaborar
uma mini-análise de risco.uma mini-análise de risco. Ambiente: Ambiente: Cada grupo deverá escolher o seu Cada grupo deverá escolher o seu
ambiente, desde que esteja dentro da Fapi.ambiente, desde que esteja dentro da Fapi. Entrega: Entrega: Na próxima aulaNa próxima aula Nota de pesquisaNota de pesquisa
Boa Sorte!Boa Sorte!
Ameaças em Seguranças de Ameaças em Seguranças de SistemasSistemas
ProfProf.. Fabiano Sabha Fabiano Sabha
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 10
Informações BásicasInformações Básicas
Qual o banco utilizado?Qual o banco utilizado?
Quem possui cartão de crédito? Quem possui cartão de crédito? Internacional?Internacional?
Quem possui cheque especial?Quem possui cheque especial?Limite acima de R$ 500?Limite acima de R$ 500?
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 11
Informações BásicasInformações Básicas
Qual a sua operadora de Celular?Qual a sua operadora de Celular?
Pós ou pré-pago? Pós ou pré-pago?
Contas acima de R$ 50,00?Contas acima de R$ 50,00?
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 12
Engenharia SocialEngenharia Social
A engenharia social é um dos meios A engenharia social é um dos meios mais utilizados de obtenção de mais utilizados de obtenção de informações sigilosas e importantes. informações sigilosas e importantes. Isso porque explora com muita Isso porque explora com muita sofisticação as "falhas de segurança sofisticação as "falhas de segurança dos humanos".dos humanos".
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 13
Engenharia SocialEngenharia Social
Uma definição aceitável:
Engenharia social é qualquer método usado para enganação ou exploração da confiança das pessoas para a obtenção de informações sigilosas e importantes.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 14
Engenharia SocialEngenharia Social
Meios de Exploração:
Salas de bate-papoSalas de bate-papo E-mail´s FalsosE-mail´s Falsos VírusVírus Conversas “informais”Conversas “informais” etc...etc...
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 15
VulnerabilidadesVulnerabilidades
Vulnerabilidade: Vulnerabilidade: Fraqueza ou ausência do sistema de proteção, cobrindo uma ou mais Ameaça. Podem ser: Físicas, Naturais, Hdw, Stw, Humanas, Mídias e Comunicação.
ReviewReview