Zusammenfassung der Ressource
Segurança da
informação
- Conceitos
- Pilares
- Confidencialidade
- Visa zelar pela PRIVACIDADE e SIGILO dos dados
- Os dados somente devem ser acessíveis por aqueles com a devida autorização
- Integridade
- Visa garantir que os dados trafegados sejam OS MESMOS do início ao fim
- Também conhecido como CONFIABILIDADE
- Disponibilidade
- Visa possibilitar o acesso a determinado recurso a qualquer
momento, considerando a devida autorização do requisitante
- Autenticidade
- Visa garantir que determinada pessoa ou sistema é, de fato, quem ela diz ser
- Não-repúdio
- Visa garantir que o usuário não tenha condições de negar ou contrariar o
fato de que foi ele que tenha gerado determinado conteúdo ou informação
- Também conhecido como PRINCÍPIO DA IRRETRATABILIDADE
- Legalidade
- Visa atender à legislação e normatização vigente
- Furto de dados
- Informações obtidas tanto pela interceptação de tráfego como pela
exploração de possíveis vulnerabilidades existentes no computador
- Uso indevido
de recursos
- Acesso a um computador com privilégios que permitam ao atacante praticar atividades maliciosas
- Varredura
- Ação de procurar e descobrir computadores que possam ser alvo de ações maliciosas
- Interceptação de tráfego
- Coleta de dados que estejam sendo transmitidos através de uma rede sem criptografia
- Tipos de ataques
- Negação de serviço
- Tipo de ataque que utiliza um volume massivo de mensagens para um
único computador, objetivando torná-lo incapaz de se comunicar
- Força bruta
- Executa repetidamente combinações aleatórias na tentativa de acertar um valor esperado
- Personificação
- Introduz um dispositivo malicioso de modo a substituir de forma imperceptível o dispositivo legítimo
- Tipos de segurança
- Física
- Diz respeito a elementos tangíveis (podem ser tocados)
- Recursos
- Unidade de alimentação ininterrupta (UPS)
- Dispositivo munido de baterias capaz de armazenar
energia e suprir os demais equipamentos por um tempo limitado
- Gerador
- Dispositivo capaz de gerar correntes elétricas
para os demais equipamentos a partir de combustíveis
- Site físico redundante
- Ambiente capaz de assumir a operação em caso de
catástrofe que prejudique o ambiente principal
- Circuito fechado
de TV (CFTV)
- Utiliza câmeras para registro e visualização dos ambientes,
utilizados principalmente para análise e auditoria
- Travas de equipamentos
- Visa impedir o uso de determinados recursos (como portas USB ou unidades de DVD)
- Visa impedir o furto de equipamentos facilmente transportáveis, como notebooks, roteadores, etc.
- Alarmes
- Sistema de aviso que pode ter aspecto físico (ex: incêndio) ou lógico (alarmes de rede)
- Controle de acesso
- Visa controlar o acesso de pessoas a determinados locais
- Sala cofre
- Concentra diversos dispositivos de controle de segurança, de acesso, reação a catástrofes, etc.
- Lógica
- Acesso de ROOT
- Não se deve possibilitar a utilização o usuário ROOT de forma direta
- Redução de serviços
- Minimizar ao máximo a quantidade de serviços em execução em determinado servidor
- Limitação de acesso remoto
- O acesso remoto a um servidor via SSH deve ser limitado a máquinas ou redes específicas
- Atualização do sistema
- Visa reduzir falhas de segurança existentes no SO e nas aplicações
- Controle de acesso
- Visa controlar o acesso de pessoas a determinados recursos na rede ou nas aplicações
- Técnicas
- Mandatory Access Control (MAC)
- O Administrador atribui as devidas permissões
- É utilizado o conceito de LABEL para identificar o nível de sensibilidade de um recurso
- Discretionary Access Controle (DAC)
- Cada usuário pode determinar as permissões de um recurso sob seu domínio
- Mais flexível que o MAC
- Utilizado no Windows e Linux
- Permite o compartilhamento de recursos entre usuários
- Role-Based Access Control RBAC
- O Administrador concede privilégios de acordo com a função exercida pelo usuário (papel)
- Mecanismos de
autenticação
- Algo que você sabe
- O usuário é identificado por meio de algo que somente ele tem conhecimento
- Ex: senha de acesso
- Algo que você tem
- O usuário é identificado por algo que esteja sob sua posse exclusiva
- Ex: token, crachá
- Algo que você é
- O usuário é identificado por meio de uma característica exclusiva
- É o mecanismo mais robusto na garantia do princípio da autenticidade
- Ex: biometria
- Normas
- ISO
- ISO 27001
- Define os requisitos de um Sistema de Gestão da Segurança da Informação (SGSI)
- Tal sistema deve estar inserido no contexto GLOBAL da organização
- Busca ESTABELECER, IMPLEMENTAR, OPERAR, MONITORAR, REVISAR,
MANTER e MELHORAR a segurança da informação através do SGSI)
- Serve como pilar para as demais
- ISO 27002
- Consiste em um código de BOAS PRÁTICAS com controles de Segurança da Informação
- ISO 27003
- Estabelece as DIRETRIZES para a implementação de um SGSI
- ISO 27004
- Define MÉTRICAS para a medição da gestão de Segurança da Informação
- ISO 27005
- Aborda a GESTÃO DE RISCOS na Segurança da Informação
- NBR
- NBR 15999
- Trata da GESTÃO DA CONTINUIDADE DE NEGÓCIOS
- NBR 22301
- Trata dos REQUISITOS para a criação de um
sistema de Gestão de Continuidade de Negócios
- NBR 31000
- Trata da GESTÃO DE RISCOS em um caráter organizacional
- Gerência de riscos
- Conceitos
- Risco
- Probabilidade de uma fonte de ameaça explorar uma
vulnerabilidade, resultando em um impacto para a organização
- Ameaça
- Causa potencial de um incidente indesejado
- Vulnerabilidade
- Fragilidade de um ativo que pode ser
explorada por uma ou mais ameaças
- Impacto
- Resultado gerado por uma ameaça ao explorar uma vulnerabilidade
- Reação aos riscos
- Evitar
- Busca-se ações para PREVENIR a ocorrência do risco
- Transferir
- Busca-se TRANSFERIR o risco para uma terceira parte
- A terceira parte assume as responsabilidades das ações frente ao risco
- Mitigar
- Atua-se na minimização do risco, diminuindo sua probabilidade
- Aceitar
- Opta-se por não evitar, transferir ou mitigar o risco pelo baixo custo/beneficio