PROVA AV1
Qual das opções abaixo não apresenta uma das quatro categorias
conhecidas de Ataques?
R)Aceitação de Serviço
Qual das opções abaixo descreve um tipo de ataque que normalmente
tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as
páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da
invasão?
R) DDos
As vulnerabilidades estão presentes no dia-a-dia das empresas e se
apresentam nas mais diversas áreas de uma organização, a todo instante os
negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de
investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor
conceito de Vulnerabilidade na ótica da Segurança da Informação?
R) Fragilidade presente ou
associada a ativos que manipulam ou processam informações
Considere um sistema no qual existe um conjunto de informações disponível
para um determinado grupo de usuários denominados “auditores”. Um usuário de um
outro grupo, o grupo “estudante”, tenta acessar o sistema em busca de uma
informação que somente o grupo “auditores” tem acesso e consegue. Neste caso
houve uma falha na segurança da informação para este sistema na propriedade
relacionada à:
R) Confidencialidade;
A utilização inadequadas dos dispositivos de armazenamento das
informações, podem deixar seu conteúdo vulnerável a uma série de fatores que
poderão afetar a integridade, a disponibilidade e a confidencialidade das
informações. Este tipo de vulnerabilidade é classificada como:
R) Mídia
João coordena a área de segurança na empresa XPTO e tem conhecimento
de que a negligência por parte dos administradores de rede e a falta de
conhecimento técnico de alguns usuários são exemplos típicos de
vulnerabilidade. Por conta disso implementou medidas que impedem a configuração
e a instalação indevidas de programas de computador/sistemas operacionais que
poderiam levar ao uso abusivo dos recursos por parte de usuários
mal-intencionados e que neste caso representam exemplos de vulnerabilidade :
R) De Software;
O papel estratégico dos sistemas de informação nas empresas cresce a
cada dia e envolve a utilização de tecnologia da informação para desenvolver
produtos e serviços. Qual das opções abaixo não se aplica ao conceito de
“Informação”?
R) Por si só não conduz a
uma compreensão de determinado fato ou situação;
A empresa ABC está desenvolvendo um política de segurança da Informação
e uma de suas maiores preocupações é com as informações críticas e sigilosas da
empresa. Como estas informações impressas em papel serão descartadas. Qual o
tipo de ataque está preocupando a empresa ABC?
R) Dumpster diving ou
trashing
Qual das opções abaixo não é considerada como sendo um dos fatores
fundamentais e que possam impactar no estudo e implementação de um processo de
gestão de segurança em uma organização:
R) Intensidade.
Você está trabalhando em um projeto de segurança e necessita
identificar os principais tipos de ameaças que podem comprometer a segurança da
informação na sua empresa. Foram detectados em algumas máquinas programas que fornecem mecanismos para
esconder e assegurar apresença de um invasor e normalmente utilizadas para obter acesso privilegiado em um computador. Neste caso podemos classificar esta ameaça
como sendo um:
R) Rootkit
RISCO: Segundo o Guia de orientação para Gerenciamento de Riscos
Corporativos do IBGC, o risco é inerente a qualquer atividade, na vida pessoal,
profissional ou nas organizações e pode envolver perdas e oportunidades.
Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é
inerente a qualquer atividade, na vida pessoal, profissional ou nas
organizações e pode envolver perdas e oportunidades.
Ainda segundo a norma, todas as atividades de uma organização
envolvem risco. As organizações devem gerenciar o risco, identificando-o,
analisando-o, e em seguida, avaliando se o risco deve ser modificado pelo
tratamento do risco a fim de atender a seus critérios de risco.
Ao longo de todo esse processo, elas comunicam e consultam as partes
interessadas e monitoram e analisam criticamente o risco e os controles que o
modificam, a fim de assegurar que nenhum tratamento de risco adicional seja
requerido.”
Por exemplo, para as empresas do ramo do comércio/indústria, o risco
é visto como a exposição às perdas baseada nas freqüências estimadas
e custo de concorrência. Já em um organização da área de saúde, segundo a
resolução CNS 196/96, o risco é visto como a possibilidade de danos à
dimensão física, psíquica, moral, intelectual, social, cultural.
Diante de tantos cenários diferentes de aplicação da gestão de
risco, é importante promover ajustes na terminologia adotada, alterando-a e
expandindo-a na medida do necessário para tratar a questão dentro do escopo que
está sendo estudada.
Alguns termos e
definições:
Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de
proteção ou cuidado.
Escopo: Conjunto de ativos que será coberto pelo processo de gestão de
risco.
Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por
um determinado risco.
Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos
ativos. Podem ser: Ambiental ou humana.
Incidente: Quando uma ameaça se concretiza.
Vulnerabilidades: Criam situações que podem ser explorada por uma ameaça, acarretando
prejuízo.
Análise de
vulnerabilidades: Processo de identificar as
proteções existentes e ausentes, identificar falhas nas existentes e levantar
dados que possam prever a efetividade desse conjunto de proteções.
Avaliação das
vulnerabilidades: quando esses dados são combinados
com uma lista de possíveis ameaças, gerando dados que indiquem a real
probabilidade de uma ameaça se concretizar explorando as vulnerabilidades
existentes.
Risco: Probabilidade de uma ameaça explorar uma (ou várias)
vulnerabilidades causando prejuízos. Os riscos estão sempre associados à
ocorrência de algum incidente.
Sua escala é dada por dois fatores:
·
Probabilidade de ocorrência da
ameaça medida através da combinação da sua freqüência com a avaliação das
vulnerabilidades;
·
Conseqüências trazidas pela
ocorrência do incidente (impacto);
Ameaça é um elemento do risco ao qual se pode associar uma
probabilidade de manifestação, cujo valor compõe o cálculo da estimativa do
risco. Em muitos casos, a probabilidade associada a uma ameaça é
calculada com base na frequência de ocorrência ; em outros, quando dados de
frequência não estão disponíveis, a probabilidade pode ser estimada com base no
grau de confiança atribuído a ocorrência .
Os risco não podem ser completamente eliminados e a porção do risco
existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.
Nem sempre o risco
percebido é o risco verdadeiro
Gestão de risco: Uma das premissas básicas da segurança é o fato de que não existe
segurança total ou completa. O que torna algo seguro ou não, está muito mais
ligado à gerência de uma série de fatores do que à compra ou implementação de
uma solução de software ou hardware definitiva. No âmbito da segurança da
informação, a gestão de riscos é utilizada com o intuito de prevenir
incidentes e melhorar o nível de segurança das informações sob o escopo do
Sistema de Gestão de Segurança da Informação (SGSI), sendo um dos
componentes mais importantes. É por meio deste processo que os riscos são
identificados e tratados de forma
·
Entender os riscos associados
com o negócio e a gestão da informação.
·
Melhorar a efetividade das
decisões para controlar riscos nos processos internos e externos e suas
interações.
·
Melhorar a eficácia no controle
de riscos
·
Manter a reputação e imagem da
organização.
·
Melhorar a eficácia do
cumprimento com os requisitos legais e regulatórios
·
Minimizar as possibilidades de
furto de informação e maximizar a proteção de dados.
É essencial determinar o propósito da gestão de riscos a ser implementada
na organização, pois ele afeta o processo em geral e a definição do contexto em
particular. Esse propósito pode ser:
·
Suporte a um Sistema de Gestão
de Segurança da Informação (SGSI);
·
Conformidade legal e a
evidência da realização dos procedimentos corretos;
·
Preparação de um plano de
continuidade de negócios;
·
Preparação de um plano de
resposta a incidentes;
·
Descrição dos requisitos de
segurança da informação para um produto, um serviço ou um mecanismo.
Segundo a norma AS/NZS 4360, podemos definir a gestão de risco
como:
“Cultura, estruturas e processos voltados ao reconhecimento de
oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos
adversos.”
E segundo a norma NBR ISO 27002:
“Conjunto de práticas, procedimentos e elementos de suporte
que utilizamos para gerenciar o risco”.
Primeira norma do mundo sobre Gestão de Riscos: AS/NZS 4360:2004
Etapas da Gestão de Risco:
A gestão de riscos contempla uma série de
atividades relacionadas à forma como uma organização lida com o risco e utiliza
o ciclo do PDCA, que nos permite entender a gestão do Risco como um processo
contínuo:
·
Identificar e avaliar os riscos
·
Selecionar, implementar e
operar controles para tratar os riscos
·
Verificar e analisar
criticamente os riscos
·
Manter e melhorar os controles
Uma forma mais detalhada e que facilita a análise do processo de
gestão de risco é apresentada a seguir, cobrindo todo o ciclo de vida do
risco, desde a sua identificação até a sua comunicação às partes envolvidas:
1. Estabelecimento do
contexto
2. Indentificação dos Riscos
3.
Análise dos Riscos: ameaça,
probabilidade, vulnerabilidade, grau de exposição, impacto, perda estimada:
Estimativa de risco
4. Avaliação do Risco
5. Tratamento do Risco
6. Aceitação do Risco
Residual
Análise e avaliação dos
riscos: Cobre todo o processo de identificação das
ameaças e estimativa de risco. Inicia-se com a identificação dos riscos e seus elementos,
já estudados anteriormente: ALVO ->
AGENTES -> AMEAÇAS –> VULNERABILIDADES -> IMPACTOS.
A decomposição do risco e seus componentes e a posterior avaliação
da “características mesuráveis” desses componentes levam a uma estimativa do
valor do risco, que pode depois ser comparado com uma referência para que sua
relevância seja determinada, possibilitando a tomada de decisão quanto a
aceitá-lo ou tratá-lo.
Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que
costumam ser classificadas como :
Método Quantitativo:
A métrica é feita através de uma metodologia
na qual tentamos quantificar em termos numéricos os componentes associados ao
risco.O risco é representando em termos de possíveis perdas financeiras. Os
métodos quantitativos costuma ser vistos com cautela pelos estudiosos devido à
dificuldade de obtenção de resultados representativos e pela sua complexidade.
Método Qualitativo: Em vez de usarmos valores numéricos para estimar os componentes do
risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. O que
torna o processo mais rápido. Os resultados dependem muito do conhecimento do
profissional que atribuiu notas aos componentes do risco que foram levantados.
Vários métodos de avaliação qualitativa do risco utilizam questionários e
matrizes de risco como a apresentada ao lado:
Fase em que selecionamos e implementamos medidas de forma a reduzir
os riscos que foram previamente identificados. Existem várias classificações
disponíveis para as medidas de proteção. Segundo Beal, uma classificação
possível é:
Medidas Preventivas: Controle que diminuem a probabilidade de uma ameaça, ou diminuem a
vulnerabilidade.
Medidas corretivas ou
reativas: Reduz o impacto de um ataque, tomada
durante ou após um ataque.
Métodos detectivos: Tentam evitar a concretização do dano.
Aceitação do Risco: ocorre quando as medidas
necessária para proteção não vale a pena, aceitar o risco é uma maneira de
tratar.
Comunicação do risco: Divulgação de informações sobre os riscos que foram identificados,
tenham eles sido tratados ou não, a todas as partes envolvidas que precisem ter
conhecimento a respeito deles.
Riscos, medidas de
segurança e o ciclo de segurança
Segundo Sêmola, para um melhor entendimento da amplitude e
complexidade da segurança, é comum estudarmos os desafios em camadas ou fases
para tornar mais claro o entendimento de cada uma delas. Estas fases são
chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma
participação importante no objetivo maior de reduzir os riscos, e por isso,
deve ser dimensionada adequadamente para proporcionar a mais perfeita
integração e interação:
AMEAÇA
Barreira1: Desencorajar: Esta é a primeira das cinco barreiras de segurança e cumpre o papel
importante de desencorajar as ameaças. Estas, por sua vez, podem ser
desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra
de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. Podemos
citar existência de alarmes e câmeras.
Barreira 02: Dificultar: O papel desta barreira é complementar à anterior através da adoção
efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os
dispositivos de autenticação para acesso físico, por exemplo.
Barreira 03: Discriminar: Aqui o importante é se cercar de recursos que permitam identificar e
gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são
largamente empregados para monitorar e estabelecer limites de acesso aos
serviços de telefonia, perímetros físicos, aplicações de computador e banco de
dados.
Barreira 04: Detectar: Esta barreira deve munir a solução de segurança de dispositivos que
sinalizem , alertem e instrumentem os gestores da segurança na detecção de
situações de risco. Seja uma tentativa de invasão ou por uma possível
contaminação por vírus, por exemplo.
Barreira 05: Deter: Esta barreira representa o objetivo de impedir que a ameaça atinja
os ativos que suportam o negócio. O acionamento desta barreira, ativando seus
mecanismos de controle, é um sinal de que as barreiras anteriores não foram
suficientes para conter a ação da ameaça. Neste momento, medidas de detenção,
como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos,
são bons exemplos.
Barreira 06: Diagnosticar:
Apesar de representar a última barreira no
diagrama, esta fase tem um sentido especial de representar a continuidade do
processo de gestão de segurança da informação. Cria o elo de ligação com a
primeira barreira, criando um movimento cíclico e contínuo. Devido a
estes fatores é a barreira de maior importância. Deve ser conduzida por atividades
de análise de risco que consideram tanto os aspectos tecnológicos quanto os
físicos e humanos.
Equação do risco: Cada negócio, independente de seu segmento de mercado possui dezenas
ou centenas de variáveis que se relacionam direta e indiretamente com a
definição de seu nível de risco.
O risco é a probabilidade de que agentes, que são as ameaças,
explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade,
integridade e disponibilidade, e causando impacto nos negócios.
Estes impactos são limitados por medidas de segurança que protegem
os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo ,
assim o risco.
RISCO = (Vul + Ame + Imp) / Medidas de Segurança
O que é analise de risco?
R) Pessoas, processos,
tecnologia e ambiente;
Os riscos não podem ser completamente eliminados e a porção do risco
existente após todas as medidas de tratamento terem sido tomadas, chama-se?
R) Risco residual
A gestão de riscos contempla uma série de atividades relacionadas à
forma como uma organização lida com o risco. Baseado no ciclo de vida da gestão
de risco, quais são as quatros atividades principais:
1) Avaliação do Risco,
Tratamento do Risco, Aceitação do Risco, Comunicação do Risco;
ISO
2700 – Proporciona terminologia e vocabulário entre as normas 2700
27001 – Fundamentos do SGSI
27002 – Melhores práticas de controle para implantação do SGSI
27003 - Diretrizes detalhadas para a implantação de um SGSI
27004 – Metodologia para mediação da efetividade
27005 – Gestão de Risco, metodologia para uso do SGSI
27006 – Requisitos de acreditação
27007 – Orientação para gestão de auditoria
27008 – Orientação para auditores do sistema de segurança
Sobre a Norma ISO/IEC 27001 podemos afirma que:;
R) Apresenta os requisitos para a implementação de um Sistema de
Gestão de Segurança da Informação;
Sobre a Norma ISO/IEC 27005 podemos afirma que:
R) Tem como objetivo tratar a gestão de risco da informação;
Sobre a Norma ISO/IEC 27002 podemos afirma que:
R) É um código de melhores práticas de segurança da informação;
Sobre a Norma ISO/IEC 27001 podemos afirma que:
R) Apresenta os requisitos para a implementação de um Sistema de
Gestão de Segurança da Informação;
O que é a declaração de aplicabilidade?
R) A relação de quais controles são aplicáveis e as justificativas
dos que não são aplicáveis ao seu SGSI;
Para estabelecer um Sistema de Gestão de Segurança da Informação
(SGSI) documentado e dentro do contexto das atividades de negócio da
organização e dos riscos que ela enfrenta, a norma ISO/IEC 27001 utiliza uma
abordagem:
R) de processo;
Os desastres são eventos de grande magnitude em termos de
prejuízo, porém, com probabilidade muito baixa de ocorrência. Um desastre
é sempre um incidente, mas só podemos definir se um incidente se tornou um
desastre depois de avaliarmos suas consequências.
A diferença entre estes termos é que o incidente é um evento
imprevisto e indesejável que poderia ter resultado em algum tipo de dano à
pessoa, ao patrimônio ou ainda algum tipo de impacto ao meio ambiente, mas não
resultou. O desastre é um evento que efetivamente gerou danos humanos,
materiais e ambientais.
As características desse tipo de evento, o desastre, fazem com que
as organizações tenham a necessidade de implantar planos abrangentes de
continuidade de negócio, visando a preservação da integridade física dos
colaboradores da organização, bem como proteções adequadas que garantam o
funcionamento dos processos e informações no menor espaço de tempo
possível que, caso sejam seriamente afetados, possam comprometer a própria existência
da organização.
A norma NBR ISO/IEC 15999, é a norma que trata da continuidade
de negócios e é dividida em duas partes:
ABNT NBR 15999-1 – Gestão da continuidade
de negócios – Parte1: Código de prática
ABNT NBR 15999-2 – Gestão da continuidade de negócios – Parte2:
Requisitos
A parte 1 da norma é um código de prática da gestão da
continuidade de negócios.
A parte 2 especifica os requisitos para estabelecer um Sistema de
Gestão de continuidade de negócio (SGCN) eficaz definido por um programa de
Gestão de Continuidade de Negócio (GCN).
NBR 15999-1
Objetivo e escopo: A norma NBR ISSO/IEC 15999:1 orienta as
organizações na estruturação e implementação da continuidade de negócio. Foi
elaborada para fornecer um sistema baseado nas boas práticas de gestão da
continuidade de negócios. Serve como referência única para a maior parte
das situações que envolve a continuidade de negócio, podendo ser usada por
organizações de grande, médio e pequeno portes, nos setores industriais,
comerciais, públicos e de caráter voluntário.
Termos e Definição:
·
Alta Direção: Pessoa ou grupo
de pessoas que dirige e controla um organização em seu nível mais alto.
·
Continuidade de negócios:
Capacidade estratégica e tática da organização de se planejar e responder a
incidentes e interrupções de negócios, para conseguir continuar suas operações
em um nível aceitável previamente
definido.
·
Estratégia de continuidade de
negócio: abordagem de um organização que garante a sua recuperação e
continuidade, ao se defrontar com um desastre, ou outro incidente maior ou
interrupção de negócios.
·
Impacto: consequência avaliada
de um evento em particular.
·
Incidente: situação que pode
representar ou levar a uma interrupção de negócios, perdas, emergências ou
crises.
·
Interrupção: evento, seja
previsto (por exemplo, uma greve ou furação) ou não (por exemplo, um blecaute
ou terremoto) que cause desvio negativo imprevisto na entrega e execução de
produtos ou serviços da organização de acordo com seus objetivos.
·
Período máximo de interrupção
tolerável: Duração a partir da qual a viabilidade de uma organização será
ameaçada de forma inevitável, caso a entrega de produtos ou serviços não possa
ser reiniciada.
·
Planejamento de emergência:
desenvolvimento e manutenção de procedimentos acordado de forma a prevenir,
reduzir, controlar, mitigar e escolher ações a serem tomadas no caso de uma
emergência civil.
·
Plano de continuidade de
negócio(PCN): Documentação de procedimentos e informações desenvolvidas e
mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma
a permitir que a organização mantenha
suas atividades críticas em um nível aceitável previamente definido.
·
Plano de gerenciamento de
incidentes: Plano de ação claramente definido e documentado, para ser usado
quando ocorrer um incidente que basicamente cubra as principais pessoas,
recursos, serviços e outras ações que sejam necessárias para implementar o
processo de gerenciamento de incidentes.
·
Programa de gestão de
continuidade de negócio: Processos contínuos de gestão e governança que são
suportados pela alta direção e que recebem os recursos apropriados para
garantir que os passos necessários estão sendo tomados de forma a identificar o
impacto de perdas em potencial, manter estratégias e planos de recuperação
viáveis e garantir a continuidade de fornecimento de produtos e serviços por
meio de treinamentos, testes, manutenção e análise críticas.
·
Resiliência: capacidade de uma
organização de resisitir aos efeitos de um incidente.
Visão geral da Gestão da
Continuidade de Negócios (GCN)
A gestão de continuidade de negócio permite uma visão total da
organização e facilita o relacionamento com as diversas áreas. É um
processo da organização que estabelece uma estrutura estratégica e operacional
adequada para:
·
Melhorar proativamente a
resilência da organização contra possíveis interrupções de sua capacidade em atingir
seus objetivos;
·
Prover uma prática para
resstabelecer a capacidade de uma organização fornecer seus principais produtos
e serviços, em um nível previamente acordado, dentro de um tempo previamente
determinado após uma interrupção;
·
Obter reconhecida capacidade de
gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação
da organização.
É importante que a GCN esteja no nível mais alto da organização para
garantir que as metas e objetivos definidos não sejam comprometidos por
interrupções inesperadas, que podem ter consequências tanto para a
reputação da organização como até mesmo sua sobrevivência. Além disso a
GCN deve ser vista como uma complementação à estrutura da gestão de risco que
busca entender os riscos das operações e negócios e suas consequências. Neste
caso a GCN irá identificar os produtos e serviços dos quais a organização
depende para sobreviver e será capaz de identificar o que é necessário para que
a organização continue cumprindo suas obrigações.
Elementos do ciclo de vida
da Gestão da Continuidade de Negócios
O ciclo de vida da Gestão de continuidade de negócios é composto por
seis elementos obrigatórios e que podem ser implementados em todos os tipos de
organizações de diferentes tamanhos e setores. Cada organização ao implementar
a gestão da continuidade de negócios deverá adaptar as suas necessidades: o
escopo, a estrutura do programa de GCN e o esforço gasto.
Entendendo a Organização: Para o estabelecimento do programa de GCN
é necessário entender a organização para definir a priorização dos produtos e
serviços da organização e a urgência das atividades que são necessárias para
fornecê-los.
A determinação da estratégia de continuidade de negócio
permite que uma resposta apropriada seja escolhida para cada produto ou
serviço, de modo que a organização possa continuar fornecendo seus
produtos e serviços em um nível operacional e quantidade de tempo aceitável
durante e logo após uma interrupção.
O desenvolvimento e implementação de uma resposta de GCN resulta na
criação de uma estrutura de gestão e uma estrutura de gerenciamento de
incidentes, continuidade de negócios e planos de recuperação que irão detalhar
os passos a serem tomados durante e após um incidente , para manter ou
restaurar as operações.
A organização precisa verificar se suas estratégicas e planos estão
completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado
criticamente, auditado e ainda identificada as oportunidades de melhorias
possíveis.
Para que às partes interessadas tenham confiança quanto à capacidade
da organização de sobreviver a interrupções, a Gestão de continuidade de
negócio deverá torna-se parte dos valores da organização, através da sua
inclusão na cultura da empresa.
Gestão do programa de GCN
Para que um programa de GCN seja implementado nas organizações e
alcance os objetivos definidos na Política de Continuidade de Negócios a gestão
deste programa deverá envolver as seguintes atividades:
Atribuição de responsabilidades: A organização deverá nomear um ou
mais pessoas para implementar ou manter o programa de GCN e documentar os
papéis e responsabilidades nas descrições de trabalho e grupos de
habilidades da organização.
A documentação de um GCN deverá incluir os seguintes documentos:
-Política de GCN: declaração de escopo e termos de referência ;
-Análise de impacto danos negócios (BIA);
-Avaliação de riscos e ameaças;
-Estratégias de GCN;
-Programa de conscientização;
-Programa de treinamento;
-Planos de gerenciamento de incidentes;
-Planos de continuidade de negócio;
-Planos de recuperação de negócios;
-Agenda de testes e relatórios;
-Contratos e acordos de níveis de serviço.
Implementação da
continuidade de negócios na organização
A implementação da continuidade de negócio nas organizações incluem
as fases de : planejamento, desenvolvimento e implementação do programa.
Nesta fase é importante que a organização comunique as partes
interessadas de forma que todos os envolvidos tenham acesso as
informações sintam-se envolvidos pelo processo. Realize capacitação
da equipe envolvida e ainda teste a capacidade de continuidade de
negócios da organização.
Gestão contínua da
continuidade de negócios
Esta atividade deve assegurar que a continuidade de negócios seja
incorporada na cultura e atividade da organização. O processo se dá através da
realização da análise crítica, do exercício e da atualização de cada
componente envolvido neste processo.
Para que seja realizada a manutenção continua e independentemente de
como sejam alocados os recursos para a continuidade de negócio na organização,
algumas atividades desse ser executadas:
-Definição dos escopo, papéis e responsabilidades;
-Nomeação de uma ou mais pessoas para gerenciar o GCN;
-Manutenção do programa de GCN através da implementação das melhores
práticas utilizadas;
-Promoção da continuidade de negócios por toda a organização de
forma ampla;
-Administração do programa de testes.
-Análise crítica e atualização da capacidade de continuidade de
negócios, análise de riscos e nálise de impacto de negócio (BIA);
-Manutenção da documentação do GCN;
-Gerenciamento dos custos associados à GCN;
-Estabelecimento e monitoramento do gerenciamento de mudanças;
Política de gestão da
continuidade de negócios
Segundo a norma NBR ISO/IEC 15999 os propósitos de se estabelecer
uma política de continuidade de negócio são:
Garantir que todas as atividades de GCN sejam conduzidas e
implementadas de modo controlado e conforme o combinado;
Alcançar uma capacidade de continuidade de negócios que vá ao
encontro das necessidades do negócio e que seja apropriada ao tamanho,
complexidade e natureza da organização; e implementar uma estrutura claramente
definida para a capacidade contínua de GCN.
Análise do Impacto do
negócio (BIA)
É imprescindível que a equipe responsável pela elaboração e
implementação da continuidade de negócio defina e documente o impacto das
atividades que suportam seus produtos e serviços. A esse processo damos o nome
de análise de impacto nos negócios e que é conhecido mundialmente por BIA.
A análise do impacto dos negócios é fundamental para fornecer informações
para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade
de negócio.
O objetivo desta análise é levantar o grau de relevância dos
processos ou atividades que compõe a entrega de produtos e serviços
fundamentais para a organização e dentro do escopo do programa de GCN. Deve ser
mapeado os ativos físicos, tecnológicos e humanos, assim como quaisquer
atividades interdependentes que também precisem ser mantidos continuamente ou
recuperados ao longo do tempo de cada processo ou atividade, para então
apurar os impactos quantitativos que poderiam ser gerados com a sua paralisação
total ou parcial.
É possível neste momento, estabelecer o período máximo de
interrupção tolerável de cada atividade através da relação entre o:
Quando falamos de impacto estamos nos referindo aos impactos que a
organização considere que estejam relacionados com os seus objetivos de
negócio. Eles podem ser:
·
Imapcto ao bem estar das
pessoas
·
Dano ou perda de instalações,
tecnologias ou informação
·
Não cumprimento de deveres ou
regulamentação
·
Danos à reputação
·
Danos a viabilidade financeira
·
Deterioração da qualidade de
produtos e serviços
·
Danos ambientais.
Identificação das
atividades críticas
Após a realização do levantamento e da análise do impacto do
negócio, a organização deve categorizar suas atividades de acordo com suas
prioridades recuperação.
Mas como classificar as
atividades?
Atividades cuja perda, baseado no resultado do BIA, teriam o
maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente
devem ser chamadas de atividades críticas.
A organização deve considerar também que existem outras não
consideradas críticas mas que devem ser recuperadas dentro do seu período
máximo de interrupção tolerável.
O período de tempo máximo para a restauração das atividades pode
variar entre segundos e meses, dependendo da natureza da atividade.
A organização deverá estimar os recursos que cada atividade
necessitará durante sua recuperação :
·
Recursos de pessoal
(quantidade, habilidades e conhecimento);
·
Localização dos trabalhos e
instalações necessárias;
·
Tecnologia, equipamentos e
plantas que suportam o negócio;
·
Informação sobre trabalhos
anteriores ou trabalhos atualmente em progresso, de forma a permitir que as
atividades continuem no nível acordado;
·
Serviços e fornecedores
externos;
Identificação das ameaças
das atividades críticas
A organização deverá no contexto da GCN entender os nível do risco
no que diz respeito às atividades críticas da organização e aos riscos de uma
interrupção destas. Desta forma é importante que a organização entenda as
ameaças e vulnerabilidades de cada recurso envolvido e o impacto que haveria se
uma ameaça se tornasse um incidente e causasse uma interrupção no negócio,
através de uma análise de risco.
Determinando a estratégia
de continuidade de negócios
A organização deve implementar medidas apropriadas para reduzir a
probabilidade de ocorrência de incidentes e seus efeitos. Na adoção destas
medidas deverão ser levado em consideração os seguintes fatores:
A organização deve considerar que para a continuidade dos negócios
podem ser necessárias o estabelecimento de estratégias para todos os recursos
envolvidos nos processos considerados críticos, tais como: pessoas,
instalações, tecnologia, informação, suprimentos e partes interessadas.
Determinando a estratégia de continuidade de negócios
A organização deve definir uma estratégia de resposta a incidente
que permita uma resposta efetiva e uma recuperação pós-incidente e também a
implementação de uma estrutura que caso ocorra um acidente possa rapidamente
ser formada. Esta equipe pode receber a denominação de equipe de gerenciamento
de incidente ou equipe de gerenciamento de crise.
A estrutura implementada deve possuir: planos, processos e
procedimentos de gerenciamento de incidentes, ferramentas de continuidade de
negócio, planos para ativação, operação, coordenação e comunicação de resposta
ao incidente.
No caso de um incidente a organização deverá ser capaz de:
-Confirmar a natureza e extensão do incidente;
-Tomar controle da situação;
-Controlar o incidente;
-Comunicar-se com as partes interessadas;
Os planos elaborados, sejam de gerenciamento de incidentes,
continuidade ou de recuperação de negócios, devem ser concisos, de fácil
leitura e compreensão e estar acessíveis à todos que tenham responsabilidades
definidas nesses planos e devem conter:
·
Objetivo e escopo;
·
Definição dos papéis e
responsabilidades;
·
O método como o plano será
colocado em prática;
·
Responsável pelo plano;
·
Mantenedor do documento do
plano (análise crítica, correção e atualização do plano);
Determinando
a estratégia de continuidade de negócios
Para que a organização garanta que as implementações de continuidade
de negócios e de gerenciamento de incidentes sejam considerados confiáveis e
que estão atualizados é necessário que sejam verificados através de testes,
auditoria e auto-avaliação.
Deve implementar também um programa de manutenção do GCN claramente
definido e documentado. O programa deve garantir que quaisquer mudanças
internas ou externas que causem um impacto à organização sejam analisadas
criticamente quanto à GCN, inclusive a inclusão de novos produtos e serviços.
A realização da análise crítica da capacidade de GCN da organização,
irá garantir sua aplicabilidade, adequação, funcionalidade e
conformidade com a política de GCN da organização, leis, normas e melhores
práticas. Pode ser realizada através de auditoria ou auto-avaliação.
Incluindo a GCN na cultura
da organização
Para que a continuidade de negócios tenha êxito na organização, é
necessário que se torne parte da gestão da organização. Em cada fase do
processo de GCN, existem oportunidades de se introduzir e melhorar a cultura de
GCN na organização, tornando-se parte dos valores básicos e da gestão da
organização. Este processo é divido basicamente nas fases de
desenvolvimento, promoção e incorporação da cultura pela organização, sendo
suportado por:
Liderança dos níveis superiores
da organização -> Atribuição de responsabilidades -> conscientização
-> Desenvolvimento de habilidades -> Plano de testes.
A organização deve estabelecer um processo para identificar e
implementar os requisitos de conscientização de GCN por meio da educação
permanente, além de um programa de informação para toda a equipe. É
necessário também a avaliação permanente desta implementação com o objetivo de
avaliar a eficiência.
O programa de conscientização pode ser implementado através de:
Discussões de GCN nos informativos, apresentações, programas ou
reportes diários
da organização;
Inclusão da GCN nas páginas da web ou intranet;
Aprendizado por meio de incidentes internos ou externos;
GCN como um tópico nas reuniões de equipe;
A organização deve ainda implementar um processo para identificar,
implementar e avaliar a
eficiência dos requisitos de
treinamento de GCN. São tarefas da equipe de GCN:
Gestão do programa de GCN;
Execução de uma análise de impacto nos negócios;
Desenvolvimento e implementação de PCN;
Execução de um programa de testes de PCN;
Avaliação de riscos e ameaças;
Comunicação com a mídia;
A implementação de GCN na cultura da organização apresenta uma série
de vantagens que
podemos destacar:
Programa de GCN mais eficiente;
Demonstração de confiança às partes interessadas quanto a
habilidade da
organização em gerenciar as interrupções de negócios;
Minimizar a probabilidade e o impacto das interrupções
Quais os processos que compões o ciclo de vida da continuidade de
negócio?
R) Gestão do programa de GCN, Determinando a estratégia de
continuidade de negócios, Desenvolvendo e implementando
uma resposta de GCN, Testando, mantendo e analisando criticamente os
preparativos de GCN, Incluindo a GCN na cultura da organização;
No contexto da continuidade de negócio qual o conceito de desastre:
R) Eventos de grande
magnitude em termos de prejuízo, porém com probabilidade muito baixa de ocorrência;
Eventos de grande magnitude em termos de prejuízo, porém com
probabilidade muito baixa de ocorrência;
R) As tarefas e ações para
administrar as consequências imediatas de uma interrupção de negócios;
Segundo (Guimarães, Oliveira & Lins) é necessário que se
compreenda que nenhum componente único poderá garantir um sistema de segurança
adequado para uma rede corporativa e que possa defendê-la com perfeição
contra ataques. Existem várias estratégias de proteção que podem ser
utilizadas. Uma destas estratégias é a implementação de um modelo de proteção
em camadas. Este modelo tem como objetivo dificultar invasões que comprometam a
integridade, a autenticidade e o sigilo das informações que trafegam em uma rede
IP, definindo componentes com base nas necessidades específicas de cada
empresa.
Segundo Northcutt, podemos pensar na segurança de rede como uma
cebola. Quando descascamos a camada mais externa, muitas camadas
permanecem por baixo.
Este modelo, também conhecido como Defesa em profundidade, refere-se
à aplicação de defesas distintas, de controles complementares para no
caso de uma falha ou violação de um ativo, existam outros controles e não
torne o sistema como um todo vulnerável e restrito a somente um único
controle.
Para que possamos implementar o modelo de defesa em profundidade
torna-se necessário a segmentação inteligente dos ativos da organização
de forma que seja possível a aplicação de controles adequados. É preciso
estabelecer o perímetro de segurança. Segundo Sêmola, a teoria do perímetro
esta associado a compartimentalização de espaços físicos e lógicos e ao
papel de alerta e mecanismos de resistência distribuído por áreas, a fim de
permitir que tentativas de acesso indevido e invasão gerem sinais de alerta e
encontrem resistências que propiciará tempo para que as medidas contingenciais
sejam tomadas antes da ação avançar ainda mais em direção do alvo.
Perímetro de segurança e
seus componentes
Cada rede que compões a topologia da organização precisa ser
classificada em um dos três tipos de redes:
Redes Confiáveis, Redes
não confiáveis, Redes Desconhecidas.
As redes corporativas podem conter vários perímetros dentro de um
perímetro de segurança. É necessário que a organização estabeleça as
redes que serão protegidas, defina o conjunto de perímetros de rede e os
mecanismos que exercerão a proteção de cada perímetro. Em geral, são
encontrados dois tipos de perímetros de rede: Perímetro exterior, Perímetro Inteior.
Roteador de borda: É o roteador do perímetro exterior, ou seja, é o último roteador que
se pode controlar antes da rede não-confiável. Em uma corporação que acessa a
Internet, todo o tráfego de rede que possui origem ou destino à internet passa
por este roteador. Funciona como a primeira e última linha de defesa de uma
rede através da filtragem de pacotes iniciais e final.
Firewall: Isola a rede interna da organização da área pública da Internet,
permitindo que alguns pacotes passem e outros não, prevenindo:
Os firewall podem ser divididos em:
Filtros de Pacotes – A filtragem de pacotes é um dos principais mecanismos que, mediante
regras definidas pelo administrador, permite ou não a passagem de datagramas IP
em uma rede. Podem ser implentados pelos roteadores ou através de software de
firewall como por exemplo, o Iptables, presente nas distribuições Linux. Se
observamos sob o ponto de vista da proteção em camadas, a utilização de filtros
de pacotes é a primeira camada de fora para dentro e a última de dentro para
fora.
Firewall com estado: Monitoram as conexões em uma tabela de estado, na qual armazena o
seu banco de regras, bloqueando todo o tráfego que não esteja em sua tabela de
conexões estabelecidas. Este banco de regras determina o IP e a porta de origem
e de destino que são permitidos para estabelecer conexões.
Firewall Proxy – Permite executar a conexão ou não a serviços em uma rede modo
indireto. Possui todas as características e funcionalidades de um firewall com
estado, porém impede que os hosts internos e externos se comuniquem
diretamente.
Sistema de Detector de
Intrusos (IDS): Tem como principal objetivo
reconhecer um comportamento ou uma ação intrusiva, através da análise das
informações disponíveis em um sistema de computação ou rede. Caso detecte
alguma anomalia suspeita ou ilegal, gera uma notificação para alertar o
administrador da rede e / ou automaticamente disparar contra-medidas. Para
realizar a detecção várias tecnologias podem ser utilizadas:
análise estatística, inferência, inteligência artificial, data mining,
redes neurais e diversas outras. Podem ser classificados em relação a:
Existem basicamente dois tipos de implementação de ferramentas IDS:
Sensores de host (Host
Based IDS -HIDS): São instalados em servidores para
alertar e identificar ataques e tentativas de acesso indevido à própria
máquina, Observam as ações realizadas no sistema operacional, ações dos
serviços e o comportamneto da pilha TCP/IP, protegendo apenas o sistema host em
que reside. É empregado no caso em que a segurança está focada em
informações contidas em um servidor;
Sensores de rede (Network
Based IDS- NIDS): São instalados em máquinas
responsáveis por identificar ataques direcionados a toda a rede, monitorando o
conteúdo dos pacotes de rede e seus detalhes como informações de cabeçalhos e
protocolos. Observam o tráfgo da rede, o formato do pacote de todos os pacotes
que trafegam na rede.
Algoritmos de detecção
utilizados: Detecção por assinatura, detecção por
anomalia, detecção híbrida
Zona Desmilitarizada (DMZ)
: São pequenas redes que geralmente contém
serviços públicos que são conectados diretamente ao firewall ou a outro
dispositivo de filtragem e que recebem a proteção deste dispositivo. Muitos
autores apresentam o conceito de DMZ suja e DMZ protegida ou também conhecida
por screened subnets. Em uma DMZ suja os servidores estariam conectados
diretamente na interface do roteador sem a proteção do firewall enquanto que uma
DMZ protegida ou screened subnets está protegida por um firewall ou outro
dispositivo de filtragem, hospedando normalmente serviços públicos, como DNS e
correio eletrônico por exemplo.
Cuidados com senhas: Segundo a cartilha de sergurança para internet, produzida pelo CERT,
a senha utilizada pelos usuários tanto para acessar a Internet quanto aos
sistemas computacionais da organização é utilizada no processo de verificação
da identidade do usuário, assegurando que este é realmente quem diz ser, ou
seja, é utilizada no processo de autenticação. Caso uma outra pessoa tem acesso
a senha de algum usuário da rede poderá utilizá-la para se passar por alguém da
empresa.
Portanto, é muito importante a conscientização de todos os usuários
da organização quanto a utilização e proteção das senhas, pois é de
responsabilidade de cada usuário da organização.
Educação dos usuários: Para que a implementação da política de segurança seja efetiva
deve ser claramente comunicada às pessoas de uma organização.
Segundo a norma ISO/IEC 27001 no item que trata sobre Conscientização, educação
e treinamento em segurança da informação:
A organização deve assegurar que os usuários e demais envolvidos no
SGSI estejam cientes das ameaças e das preocupações de segurança da informação
e equipados para apoiar a aplicação da política de segurança da organização
durante a execução normal do seu trabalho.
Devem ser treinados nos procedimentos de segurança e no uso correto
das instalações de processamento da informação, de forma a minimizar possíveis
riscos de segurança.
A comunicação é outro ponto importante a ser observardo na
elaboração de uma campanha de conscientização. A comunicação acontece
quando duas pessoas têm o mesmo interesse ou os interesses são
comuns e consequentemente a mensagem flui.
Pode ser ser classificada como:
·
Comunicação não-verbal:
simbólica e sonora
·
Comunicação oral: código que
expressam sensações e sentimentos
·
Comunicação escrita:
Representação gráfica como os desenhos e escrita propriamente dita
O que é um programa de conscientização de segurança em TI ?
É um conjunto de atividades e materiais associados, planejados
para promover e manter uma situação em uma organização onde os funcionários
tenham um alto nível de consciência sobre segurança
Um programa de conscientização de segurança é portanto um processo
contínuo que visa mudar o modo como pessoas pensam e agem. Um bem sucedido
programa de conscientização de segurança de TI deve mudar o modo como o usuário
de sistema pensa e age, de forma que a segurança de TI torne-se parte das
atividades de negócios da empresa.
Principais itens tratados por um programa de conscientização
de segurança:
Controle de acessos: todos
os ativos da organização – Pessoas, tecnologia,
ambiente e processos.
Backups (cópia de
segurança)
Os Backups ou cópias de seguranças são itens muitos
importantes na administração de sistemas devendo fazer parte da rotina de
operação dos sistemas da organização, através de uma política
pré-determinada.
Sempre que possível devem ser realizados da mais automatizada
possível, de modo a reduzir o impacto sobre o trabalho dos administradores e
operadores de sistemas.
Alguns cuidados devem ser tomados em relação ao local onde são
guardados os backups:
-O acesso ao local deve ser restrito, para evitar que pessoas não
autorizadas roubem ou destruam os backups;
-O local deve ser protegido contra agentes nocivos naturais (poeira,
calor, umidade);
-Se possível, é aconselhável que o local seja também `a prova de
fogo.
Plano de continuidade de
negócios
Tem como objetivo garantir a continuidade de processo e informações
vitais à sobrevivência da empresa, no menor espaço de tempo possível, com o
objetivo de minimizar os impactos do desastre, conforme já estudado na aula 9.
Seja qual for o objeto da contigência – uma aplicação, um processo
de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a
emrpesa deverá selecionar a estratégia de contingência que melhor conduza
o objeto a operar sob um nível de risco controlado.
Criptografia
A eficiência e eficácia dos serviços de segurança em ambientes de
redes, como a privacidade, autencidade, integridade, não repúdio e controle de
acesso, está diretamente relaciona às técnicas de criptografia utilizadas. A
criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em
código. È parte de um campo de estudos que trata das comunicações
secretas, usadas, dentre outras finalidades, para:
O que caracteriza o algoritmo de criptografia de chave assimétrica?
R) O que caracteriza o
algoritmo de criptografia de chave assimétrica?
Qual o conceito de zona demilitarizada (DMZ)?
R) pequenas redes que geralmente contém serviços públicos que são
conectados diretamente ao firewall ou a outro dispositivo de filtragem;
Qual a função de um firewall?
R) Isola a rede interna da
organização da área pública da Internet, permitindo que alguns pacotes passem e
outros não;
Controle de acesso Lógico
O controle de acesso lógico têm como objetivo proteger os
recursos computacionais contra perda, danos, modificação ou
divulgação não autorizada.
Os sistemas computacionais não podem ser somente protegidos
por dispositivos físicos (cadeados, alarmes, etc...), ainda mais se
os computadores estiverem
conectados a redes locais ou
de longa distância.
Os dados, programas e
sistemas deve ser protegidos contra
tentativas de acessos não autorizados,
feitas por usuários ou outros programas. É preciso controlar também
o acesso lógico. Este
acesso é feito por um usuário ou um processo, através do acesso
a um arquivo ou um outro
recurso como uma impressora, por exemplo.
A segurança lógica é um processo em que um sujeito ativo deseja
acessar um objeto passivo. O
sujeito é um usuário ou um processo da rede e o objeto pode ser um
arquivo ou outro recurso
de rede (estação de trabalho, impressora, etc). Compreende um
conjunto de medida e
procedimentos, adotados pela empresa ou intrínsecos aos sistemas
utilizados.
Recursos e informações a serem protegidos:
Aplicativos (Programas Fonte e Objeto)
Arquivos de Dados
Utilitários e Sistema Operacional
Arquivos de Senha
Arquivos de LOG
Os controles de acesso lógico (CALs) tem com objetivo garantir que:
Apenas usuários autorizados tenham acesso aos recursos realmente necessários para suas
tarefas.
O acesso a recursos críticos seja bem monitorado e restrito.
Usuários sejam impedidos de executar transações incompatíveis com sua função ou além
de suas responsabilidades.
Exemplos de utilização de controle de acesso lógico:
· Certificados Digitais
· Login e Senha
· Assinatura Digital
· CAPTCHA (Completely Automated
Public Turing test to tell Computers and
· Humans Apart") – Teste de Turing público completamente
automatizado para diferenciação de
acesso entre computadores e humanos. A segurança física tem como
objetivo proteger equipamentos e
informações contra usuários não autorizados, prevenindo o acesso
a esses recursos. Cuida da
proteção de todos os ativos valiosos da
organização e engloba todas as instalações físicas, internas e
externas, em todas as
localidades em que a organização se faz presente. Cuida também da proteção de ativos
importante que estejam sendo
transportados, como valores ou fitas de backup.
Itens para controle de acesso:
Perímetro de Segurança
Ativos de informação (Estações de Trabalho, Equipamentos
Eletrônicos Portáteis)
Instalações Físicas (DataCenter ou Centro de Dados)
Usuários
Exemplos:
Barreiras de Contenção
Cercas Uma das maiores vantagens do uso de cercas é o nível de
visão que é mantido e o
ruído p roduzido por alguém que tenta ultrapassá-las. As cercas
podem ser eletrificadas,
possuir arame farpado e/ou alarmes de intrusão no topo, garantindo um maior nível de
segurança. Um dos maiores problemas das cercas é a facilidade com
que podem ser cortadas.
Portões – Portões são mecanismos de controle de acesso físico que
se aplicam a pessoas e,
com maior freqüência, aos veículos.
Alarmes de intrusão
Tem a finalidade de alertar para a existência de um possível intruso
no perímetro de segurança
Iluminação
Item muito importante na
segurança física, pois além de iluminar e ampliar o campo de visão
durante o período noturno, é também um mecanismo preventivo e
desencorajador.
Sensores de presença
Detectan a presença de pessoas dentro de um ambiente controlado.
Tencologias mais utilizadas:
· Quebra de circuito elétrico
· Interrupção de feixe de luz
· Infravermelho passivo
· Detector ultra-sônico
· Dispositivo de microondas
Alarmes – dispositivos de detecção de abertura e fechamento de
portas ou janelas. Podem disparar
alarmes ou ser monitorados remotamente por sistemas de vigilância
mais complexos.
Ativos de uma organização: São
aqueles que produzem, processam ou armazenam informações
Tangível (pode ser tocado): Informações impressas ou digitais, sistemas, móveis, pessoas, etc.
Intangível:
Marca de um produto, Imagem de uma empresa, contabilidade de um banco, etc.
Proteção pode ser: física,
lógica, administrativas.
Podemos classificar proteção como:
·
Preventiva: Evita que acidentes ocorra
·
Desencorajamento: Desencoraja a prática de ações
·
Monitoramento: Monitora o estado e o funcionamento
·
Detecção: Detecta a ocorrência de incidentes
·
Limitação: Diminui danos causado
·
Reação: Reage a determinados incidentes
·
Correção: Repara falhas existentes
·
Recuperação: Repara danos causados por
incidentes.
Os pilares da segurança da informação conhecido
como CID (AIC ou CIA)
·
Disponibilidade
·
Integridade
·
Confidencialidade
Fatores que impactam na segurança de
uma organização:
·
Valor: Importância do ativo para uma organização. Tangível ou intangível.
·
Ameaça: Evento que pode comprometer os objetivos da
organização, com danos diretos aos ativos ou prejuízos.
·
Vulnerabilidade: Ausencia ou falha no mecanismo de
proteção existente.
·
Impacto: Tamanho do prejuizo, medido através de
propriedades mensuráveis ou abstratas
·
Risco: Medida
que indica a probabilidade de uma determinada ameaça se concretizar.
Problema de segurança podem ser do
tipo:
Desastres Naturais: Tempestades, inundações
Operação Incorreta: Erro de usuário ou administrador do sistema
Ataque ao sistema: Visando algúm lucro.
Conceito de dado e informação
·
Dados: é a coleta de matéria bruta, dispersa nos
documentos
·
Informação: é o tratamento do dado transformado
em informação.
·
Conhecimento: é o conteúdo informacional contido
nos documentos.
·
Inteligência (ação): é
combinação desses três elementos resultante do processo de análise e
validação por especialista.
Quatro tipos possíveis de valor da
informação:
Valor de Uso: baseia-se na utilização final que se
fará com a informação;
Valor de Troca: é o quanto o usuário está disposto a pagar, conforme as leis de mercado
(oferta e demanda);
Valor de Propiedade: reflete o custo substituitivo de um
bem;
Valor de Restrição: Surge no caso de informação secreta ou de interesse comercial, quando o
uso fica restrito a apenas algumas pessoas.
Onde proteger as informações:
·
Físicos: agenda, sala, arquivo
·
Tecnológico: sistema, servidor, email
·
Humanos: Funcionário, parceiro, secretária
De que?
Ameaças
·
Físicas: incêndio, inundações
·
Tecnológicas: vírus, bug software
·
Humanas: sabotagem, fraude
Quatro tro aspectos importantes para
a classificação das informações.
·
Confidencialidade: informação só é acessada por indivíduos
autorizados
·
Intedridade: A informação é atual, completa e
mantida por pessoas autorizadas
·
Disponibilidade: A informação está sempre disponível
quando necessária às pessoas autorizadas
·
Valor: A informação tem um alto valor para
organização
Classificação de segurança:
·
Irrestrito: esta informação é publica, podendo
ser utilizada por todos sem dano a organização
·
Interna: Informação que a organização não tem interesse
em divulgar. Entretando sua divulgação não causa danos a organização.
·
Confidencial: Informação interna a organização cujo
sua divulgação pode causar dano a organização.
·
Secreta: Restrita a um grupo seleto da organização.
Informação vital para a compania.
Exemplo de vulnerabilidades:
Físicas: Instalações prediais fora do padrão,
falta de extintores
Naturais: Relacionado
a confições da natureza, incêncio, enchentes
Hardware: Possível
defeitos de fabricação ou configuração, conservação inadequada, ausência de
atualizações
Software: Aplicativos
ou sistema operacionais, erro de instalação e ou na configuração
Mídias: Utilização
inadequadas de dispositivos, uso incorreto de pendrive, dvds
Comunicação: Abrange
o tráfego de informação, onde quer que transitem, acesso não autorizado,
ausência de criptogrfia.
Humanas: Danos
que as pessoas podem causar as informações e ao ambiente tecnológico, falta de
treinamento, sabotagens.
Análise de vulnerabilidade: A análise de vulnerabilidade permite que os profissionais de segurança
e TI da empresa possam ter maior conhecimento do ambiente de TI e seus
problemas; assim como a possibilidade de tratamento das vulnerabilidades, com
base nas informações geradas. Podem ser:
·
Tecnológicas: softwate e hardware utilizados
·
Ambientes: espaço físico onde as pessoas
trabalham e onde estão e instalados os equipamentos
·
Processos: análise do fluxo de informação, da
geração da informação e seu consumo.
·
Pessoas: pessoas são ativos da informação e precisam
ser analisadas.
Importancia em realizar uma pesquisa
de vulnerabilidade:
Ø Identificar e corrigir
vulnerabilidades
Ø Porteger a rede de ser atacada por invasores
Ø Obter informações que auxiliam a
previnir os problemas de segurança
Exploit: utiliza
uma porção de dados ou uma sequência de comandos que se aproveita da
vulnerabilidade de um sistema operacional.
Fatores que impulsinoram o
crescimento dos incidentes de segurança:
Ø O aumento do número de
vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de
segurança nos sistemas operacionais utilizados em servidores e estações de
trabalho.
Ø O processo de mitigar tais
vulnerabilidades com a aplicação de correções do sistema, realizadas muitas
vezes de forma manual e individual: de máquina em máquina.
Ø A complexidade e a sofisticação dos
ataques, que assumem as formas mais variadas, como, por exemplo:
infecção por vírus, acesso não autorizado, ataques denial of service
contra redes e sistemas, furto de informação proprietária, invasão
de sistemas, fraudes internas e externas, uso não autorizado
de redes
sem fio, entre outras.
A conjunção dessas condições que
culmina na parada generalizada de sistemas e redes corporativas ao redor
do mundo
Ameaça é um
possível perigo que pode exporar um vulnerabilidade.
As ameaças podem ser:
·
Naturais:
ameaças decorrentes de fenômeno da natureza.
Incêndios, enchentes
·
Ivoluntárias:
ameaças inconsistentes, quase sempre causada pelo desconhecimento. Acidente,
erro.
·
Voluntárias:
ameaças propositais causadas por agentes humanos. Hackers, ladrões.
Códigos maliciosos (Malware): Software destinado a se infiltrar em um sistema
de computador alheio de forma ilícita, com o intuito de causar algum dano ou
roubo de informações (confidenciais ou não).
Tais como:
ü Vírus: Para se tornar ativo e dar
continuidade no processo de infecção, o vírus depende da execução do programa
ou arquivo hospedeiro . Se propaga infectando, isto é, inserindo cópias de si
mesmo e se tornando parte de outros programas e arquivos de um computador.
ü Worms: Cpaz
de se propagar automaticamente através de redes, enviando cópias de si
mesmo de computador para computador. Diferente do vírus, o worm não embute
cópias de si mesmo em outros programas ou arquivos e não necessita ser
explicitamente executado para se propagar.
ü Cavalos de Tróia: São programas que parecem úteis mas tem código destrutivo embutido.
ü Adware (Advertising software) : É um tipo de software especificamente
projetado para apresentar propagandas.
ü Spyware: Termo
utilizado para se referir a uma grande categoria de software que tem o objetivo
de monitorar atividades de um sistema e enviar as informações coletadas para
terceiros.
ü Backdoors: Nome
dado a programas que permitem o retorno de um invasor a um computador
comprometido utilizando serviços criados ou modificados para este fim sem
precisar recorrer aos métodos utilizados na invasão.
ü Keyloggers: Programa
capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um
computador.
ü Screenloggers: Formas mais avançadas de keyloggers que além de serem capazes de
armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em
que o mouse é clicado, também são capazes de armazenar a região
que circunda a posição onde o mouse é clicado.
ü Rootkits: Conjunto
de programas que fornecem mecanismos para esconder e assegurar a presença
de um invasor.
Potenciais atacantes:
1.
Hackers - Pessoa com amplo conhecimento de
programação e noções de rede e internet. Não desenvolvem vulnerabilidade,
apenas copiam vulnerabilidades publicadas em sites especializados;
2.
White-hats - Exploram os problemas de segurança
para divulgá-los abertamente;
3.
Crackers - Pessoas que invadem sistemas
em rede ou computadores apenas por desafio;
4.
Black-hats - Usam suas descobertas e habilidades
em benefício próprio, extorsão, fraudes, etc.
5.
Pheakres - Pessoa que Interferem com o curso
normal das centrais telefônicas, realizam chamadas sem ser detectados ou
realizam chamadas sem tarifação;
6.
Wannabes - Ou script-kiddies são aqueles que
acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente
suas façanhas e usam 99% dos casos de scripts conhecidos;
7.
Defacers - São organizados em grupo, usam seus
conhecimentos para invadir servidores que possuam páginas web e modificá-las;
Podemos classificar ataque como:
Passivo: Possuem
a natureza de bisbilhotar ou monitorar transmissões. Objetivo de obter
informação.
Ativo: Envolvem alguma modificação do fluxo
de dados ou a criação de um fluxo falso. Podem ser subdividos em quatro
categorias: disfarce, modificação de mensagem, repetição e negação de serviço.
Para que um ataque ocorra,
normalmente o atacante irá seguir os seguintes passos:
ü Levantamento das Informações: coleta das informações sobre o alvo.
ü Exploração das Informações: atacante explora a rede com base
nas informações obtidas.
ü Obtenção de acesso: Penetração do sistema.
ü Manutenção do acesso: atacante tenta manter seu domínio sobre o sistema
ü Camuflagem de evidências: atacante camufla seus atos não
autorizados.
Estes ataques podem ser
classificados como:
ü Ataque para obtenção de informação: tipo de ataque é possível obter informações
sobre um endereço específico, sobre o sistema operacional, a arquitetura do
sistema e os serviços que estão sendo executados em cada computador.
ü Ataque aos sistemas operacionais: os atacantes procuram e exploram as
vulnerabilidades existentes nos sistemas Operacionais para obter acesso para o
sistema de rede da organização.
ü Ataques a aplicação: a não existência de controles de erros nas aplicações podem levar a
ataques por exemplo, de buffer overflow.
ü Ataques de códigos pré-fabricados: Quando um administrador de sistemas instala um
sistema operacional ou uma aplicação, normalmente já existem uma série de
scripts prontos, que acompanham a instalação e que tornam o trabalho dos
administradores mais fácil e mais ágil. O que pode conduzir a um ataque do tipo
shrink wrap cod.
ü Ataques de configuração mal feita: Muitos sistemas que deveriam estar
fortemente seguros, podem apresentam vulnerabilidades caso não
tenham sido configurados adequadamente.
Principais tipos de ataque:
·
Packet Sniffing: Consiste na captura de informações valiosas
diretamente pelo fluxo de pacotes transmitido na rede. Este tipo de ataque
também é conhecido como espionagem passiva e sua utilização
diminuiu muito com a utilização de switches no lugar dos hubs.
·
Port Scanning: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento
das portas do protocolos TCP e UDP abertas em um determinado host, e partir
daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta.
·
Ip Spoofing: esta técnica o endereço IP real do
atacante é alterado, evitando assim que ele seja encontrado. Sistemas que
possuem a segurança baseada em lista de endereço IP são o principal alvo desse
tipo de ataque, onde o atacante se passa por um usuário legítimo.
·
SYN Flooding: ste tipo de ataque explora a
metodologia de estabelecimento de conexões do protocoloTCP, baseado no
three-way-handshake. Desta forma um grande número de requisições de
conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz
de responder a todas elas.
·
Fraggle: Consiste em enviar pacotes ping para um
dominio de broadcast de rede, tendo como endereço ip origem a vítima desejada.
·
Smurf: ataque smurf é idêntico ao ataque Fraggle,
alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
·
SQL Injection: um tipo de ameaça que se aproveita
de falhas em sistemas que interagem com bases de dados através da utilização de
SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de
instruções SQL dentro de uma consulta (query) através da manipulação das entrada
de dados de uma aplicação.
·
Buffer Overflow: Conseqüência direta de péssimos
hábitos de programação. Consiste em enviar para um programa que espera por uma
entrada de dados qualquer, informações inconsistentes ou que não estão de
acordo com o padrão de entrada de dados.
·
Ataque físico: Muitas vezes as organizações
investem em equipamentos do tipo firewalls e anti-vírus e pensam que
estão protegidos e esquecem que os ataque não ocorrem somente pela rede de
computadores. As salas aonde ficam os servidores e os equipamentos de rede
devem ter um controle rígido de acesso.
·
Dumpster diving ou trashing: Consiste na verificação do lixo em
busca de informações que possam facilitar o ataque.
·
Engenharia Social: Utiliza muitas vezes a ingenuidade
de funcionários.
·
Phishing Scam: um método de ataque que se dá através do envio de mensagem não
solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas
para furtar dados pessoais e financeiros da vítima.
·
Ataque de negação de serviço (DoS): objetivo atingir máquinas servidoras
da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis.
- Forçando o
sistema alvo a reinicializar ou consumir todos os seus recursos (como
memória ou processamento) de forma a não poder mais fornecer seu serviço.
-Obstruindo a mídia de
comunicação entre os clientes e o sistema alvo de forma a não
comunicarem-se adequadamente.
No hay comentarios:
Publicar un comentario