WEB AULA 11

Vulnerabilidade
Bom Pessoal, na Unidade I, abordamos a Informao e a Segurana
da Informao. Ento, dando continuidade disciplina, vamos
aprender um pouco sobre vulnerabilidade.
Voc sabe o que significado da palavra vulnervel?
Para saber mais!
Vulnerabilidade definida como uma falha no projeto, implementao
ou configurao de um software ou sistema operacional que, quando
explorada por um atacante, resulta na violao da segurana de um
computador. Existem casos onde um software ou sistema operacional
instalado em um computador pode conter uma vulnerabilidade que
permite sua explorao remota, ou seja, atravs da rede. Portanto,
um atacante conectado Internet, ao explorar tal vulnerabilidade,
pode obter acesso no autorizado ao computador vulnervel.
justamente o que vamos abordar nesta web aula 1 para vermos
claramente as falhas de segurana nos servidores, sistemas
computacionais, usurios comuns ou at mesmo com grande gestor
de informao, permitindo a exposio das informaes, deixando
evidente a falta de integridade, confidencialidade e disponibilidade,
que so conceitos bsicos em segurana da informao.
Como sabemos, a internet vem crescendo de forma frentica. Com
isso, ficamos mais sujeitos s ameaas que, segundo (TURBAN,
2004), podem ser classificadas como:
AMEAAS NO-INTECIONAIS:

Falhas humanas.

Perigos do ambiente.

Falhas dos sistemas computacionais.

AMEAAS INTECIONAIS:

Roubos de dados.

Uso indevido de dados.

Roubos de equipamentos e/ou programas.

Greves ou tumultos, sabotagem.

Danos em recursos computacionais.

Destruio de dados por vrus ou ataques semelhantes.

Abusos e crimes diversos contra os computadores.

Outros mais...

CERT.BR. Cartilha de segurana: conceitos de segurana para a

internet.
Disponvel
em:
<http://cartilha.cert.br/conceitos/sec5.html#sec5>
.
Acesso em: 5 de fevereiro de 2010.
_______________________________________________________
_______________________________________________________
______
1

Polyanna Pacheco Gomes - UNOPAR 2010

E voc, j est familiarizado com os invasores?

Vamos assistir um vdeo para voc se familiarizar com mais alguns!

Fonte: http://www.antispam.br/videos/
http://www.antispam.br/videos/cgi-spam-p.wmv
Aprofundando o conhecimento
Vulnerabilidade dos sistemas e uso indevido
Voc pode imaginar o que aconteceria se tentasse conectar-se
Internet sem um firewall ou software antivrus? Em segundos, o seu
computador seria danificado e voc talvez levasse dias para reabilitlo.
Se seu computador fosse usado para administrar sua empresa,
enquanto
ele estivesse fora do ar talvez voc no conseguisse atender os
clientes, nem fazer pedidos aos fornecedores. Talvez, voc precisasse
contratar a preo de ouro especialistas em sistemas para faz-lo
funcionar outra vez. E, no fim, voc talvez descobrisse que, nesse
meio tempo, seu sistema de computador foi invadido e teve dados
valiosos roubados ou destrudos, incluindo dados confidenciais de
pagamento de seus clientes. Se grande quantidade de dados tivesse
sido destruda ou divulgada, sua empresa talvez nunca mais
conseguisse recuperar-se.
Em resumo, se voc opera uma empresa hoje, precisa ter a
segurana e o controle como prioridades. O termo segurana abarca
as polticas, procedimentos e medidas tcnicas usados para impedir o
acesso no autorizado, alterao, roubo ou danos fsicos a sistemas
de informao.

Os controles, por sua vez, consistem em todos os mtodos, polticas

e procedimentos organizacionais que garantem a segurana dos
ativos da organizao, a preciso e a confiabilidade de seus registros
contbeis e a adeso operacional aos padres administrativos.
_______________________________________________________
_______________________________________________________
_________
NETO, Daria Almudi - UNOPAR. Segurana da informao. Pearson,
2009, pag 13,14.

Para distrair!
Microsoft leva + de 7 anos para corrigir
vulnerabilidade.
Saiba mais>>"
Voc conhece a histria do SPAM?

Vamos assistir a mais um vdeo.

https://www.youtube.com/watch?v=DFL5TbyfhrU&feature=related

Como j vimos nos vdeos de invasores e spam, importante

conhecer ferramentas de Autenticao, Firewalls, Sistemas de
deteco de invaso, Antivrus e Antispyware e Criptografia para
garantir a segurana. Para saber mais, leia a Unidade II - 1.4
Tecnologias e ferramentas para garantir a segurana do
livro:SEGURANA DA INFORMAO: CURSO SUPERIOR DE
TECNOLOGIA EM ANLISE E DESENVOLVIMENTO DE SISTEMAS - 5.
UNIVERSIDADE NORTE DO PARAN. Sistema de Ensino Presencial
Conectado. So Paulo: Pearson Education do Brasil, 2010. 187p.
Links Importantes!
Cartilha
http://cartilha.cert.br/malware/

Malwares

Aprenda
a
diferena
entre
Vrus
e
trojan
http://www.baixaki.com.br/info/853-aprenda-as-diferencas-entrevirus-trojans-spywares-e-outros.htm
Os 7 Pecados Capitais da Tecnologia da Informao
http://www.tecmundo.com.br/internet/6395-os-7-pecados-capitaisdo-mundo-digital.htm
Informaes de backup (Realizao de Cpias de Segurana
(Backups) http://cartilha.cert.br/prevencao/sec9.html#subsec9.1
Glossrio
http://cartilha.cert.br/glossario/
Cavalo
de
Troia
https://www.youtube.com/watch?v=Gb-M0NctbRA&feature=related
Conceito
http://everson.por.com.br

de

Criptografia

Chegamos ao final da Web Aula 1 - Unidade 2.

At a prxima Web Aula, That's all folks!
Referncias:
CERT.BR. Cartilha de segurana: conceitos de segurana para a
internet.
Disponvel
em:
<http://cartilha.cert.br/conceitos/sec5.html#sec5> . Acesso em: 5
de fevereiro de 2010.

NETO, Daria Almudi - UNOPAR. Segurana da informao. So Paulo:

Pearson, 2009.
TURBAN, Efrain. Tecnologia da informao para gesto. Porto
Alegre: Bookman, 2004.

WEB AULA 2
Polticas e Auditorias de Seguranas
Ol Pessoal, estamos no final Unidade II e vale lembrar que a
Disciplina de Segurana da Informao, onde as surgem as
perguntas: O que eu quero proteger? Contra o que ou quem?
E, com tudo que aprendemos nas outras Web Aulas, notvel o alto
grau de importncia da Informao dentro das organizaes.
Podemos dizer que ela essencial, pois nos orienta na tomada de
decises. Para rever o que diz o Cdigo de prtica para a gesto
da segurana da informao, releia a web aula 2 da Unidade I.
Nesta Web Aula, abordaremos as Polticas e Auditorias de
Seguranas, onde os atributos bsicos, tambm conhecidos como
Trade CIA, orientam a anlise, o planejamento e a implementao da
segurana para um determinado grupo de informaes que se deseja
proteger (segundo os padres internacionais). So os seguintes:

Confidencialidade;

Integridade;

Disponibilidade.

Saiba Mais
(http://www.oficinadanet.com.br/artigo/1307/seguranca_da_informa
cao_conceitos_e_mecanismos)

Quando falamos nos atributos da Segurana da informao, podemos

nos referir tambm ao C.I.D.A.L. (Marcos Smola, 2002), voc
conhece?
Para saber mais Clique Aqui
(http://arleijunior.wordpress.com/2009/03/19/o-que-e-cidal/)
Aprofundando o Conhecimento!
Poltica de segurana
Segundo (NETO, 2009), uma vez que voc tenha identificado os
principais riscos para seus sistemas, sua empresa precisar
desenvolver uma poltica de segurana para proteger esses ativos.
Poltica de segurana uma declarao que estabelece uma
hierarquia para os riscos de informao e identifica metas de
segurana aceitveis, assim como os mecanismos para atinglas.
Quais so os ativos de informao mais importantes da empresa?
Quem produz e controla essa informao? Quais polticas de
segurana j esto em curso para proteger essa informao? Qual
nvel de risco a administrao est disposta a aceitar para cada um
dos ativos? Est disposta, por exemplo, a perder dados de crdito dos
clientes uma vez a cada dez anos? Ou desenvolver um sistema de
segurana para dados de carto de crdito capaz de enfrentar um
desastre que s ocorre a cada cem anos?
A administrao precisa estimar, ainda, quanto custar atingir esse
nvel de risco aceitvel. Em empresas de maior porte, possvel
encontrar uma funo oficial de segurana corporativa, liderada por
um chief security officer (CSO). A equipe de segurana orienta e
treina os usurios, mantm a administrao informada sobre
ameaas e falhas na segurana e cuida das ferramentas escolhidas
para a rea. Cabe ao CSO trabalhar para que a poltica de segurana
da empresa seja cumprida.
A poltica de segurana d origem a outras polticas, que
determinam o uso aceitvel dos recursos de informao da empresa e
quais membros tero acesso a esses ativos. Uma poltica de uso
aceitvel (acceptable use policy AUP) define os usos aceitveis
dos recursos de informao e do equipamento de informtica da
empresa, incluindo computadores de mesa e laptops, dispositivos
sem fio, telefones e Internet. A poltica deve deixar clara a posio da
empresa no que diz respeito privacidade, responsabilidade do
usurio e ao uso pessoal do equipamento de informtica e das redes.
Uma boa poltica de uso define as aes aceitveis e inaceitveis para
cada usurio, especificando as consequncias do no cumprimento
das normas.

As polticas de autorizao, por sua vez, determinam diferentes

nveis de acesso aos ativos de informao para diferentes nveis de
usurios. Os sistemas de gerenciamento de autorizao
estabelecem onde e quando um usurio ter permisso para acessar
determinadas partes de um site ou de um banco de dados
corporativo.
Tais sistemas permitem que cada usurio acesse somente as partes
do sistema nas quais tem permisso de entrar, com base nas
informaes estabelecidas por um conjunto de regras de acesso.

Saiba mais!
Para saber mais sobre Polticas de Segurana e Continuidade do
Negcio, leia o Material Complementar:
ABNT-NBR-ISO_IEC-27001.pdf
Vamos assistir os Vdeos?
Youtube
Vdeo 1 - Segurana da Informao - Parte 1
Video1 - (https://www.youtube.com/watch?v=RFUwPslHwI&feature=related)
Vdeo 2 - Segurana da Informao - Parte 2
Video2 : https://www.youtube.com/watch?v=sAnY20AmzQ&feature=related
Questes para Reflexo!
1)
Segundo o vdeo1, o SGI, aponta que 60% do vazamento de
informaes de uma organizao so devidos ao fator humano, como
mostramos tambm na web aula 1 da Unidade II na lista de Ameaas
no intencionais. O que sua empresa permite aos colaboradores hoje
que voc como um CSO no permitiria?
2)
Sua empresa possui polticas ou procedimento que garantem a
segurana da organizao? Se sim, cite 1 exemplo.

E a Auditoria, onde entra nesta histria?

Bom, sabemos que de nada adianta criarmos polticas e
procedimentos de segurana se os mesmo no forem acompanhados.
Ento, preciso auditar as polticas de segurana adotadas. E muitas
empresas tm investido somente em ferramentas robustas, mas se
esquecem de conscientizar seus colaboradores a praticarem as
polticas de segurana. E, volto a dizer, o elo mais fraco da
segurana o fator humano.
Aprofundando o Conhecimento
O papel da auditoria no processo de controle
Segundo (NETO, 2009), como a administrao sabe que os controles
de seus sistemas de informao so eficientes? Para responder a essa
pergunta, ela deve realizar auditorias abrangentes e sistemticas.
Uma auditoria de sistemas identifica todos os controles que
governam sistemas individuais de informao e avalia sua
efetividade. Para cumprir esse objetivo, o auditor precisa
compreender por completo as operaes, instalaes fsicas,
telecomunicaes, sistemas de controle, objetivos de segurana de
dados, estrutura organizacional, pessoal, procedimentos manuais e
aplicaes individuais da organizao. O auditor geralmente
entrevista indivduos chave que usam e operam um sistema de
informao especfico pertinente s suas atividades e aos seus
procedimentos. So examinados, ento, os controles de aplicao, os
controles gerais de integridade e as disciplinas de controle. O auditor
deve monitorar o fluxo de uma amostra de transaes atravs do
sistema e, caso necessrio, realizar testes usando software de
auditoria automatizada. Dessa forma, ele pode identificar as possveis
vulnerabilidades do sistema.
As auditorias de segurana devem rever tecnologias, procedimentos,
documentao, treinamento e recursos humanos. Uma auditoria
completa pode at mesmo simular um ataque ou desastre para
verificar como os recursos tecnolgicos, a equipe de sistemas de
informao e os funcionrios da empresa reagem.
A Auditoria da Segurana engloba a avaliao da Poltica de
Segurana, de controles de aspectos de segurana institucional
globais (lgico, fsico e ambiental) e de planos de contingncia e
continuidade dos servios.
Para ser um bom Auditor importante saber ouvir!

Descontrair!

Ambiente sem polticas de Segurana, (MODULO, 2003).

PARA FINALIZAR!
Jogo dos 7 erros: sua empresa e a tecnologia
http://imasters.com.br/artigo/14161/seguranca/jogo-dos-7-errossua-empresa-e-a-tecnologia
LINKS IMPORTANTES
210 bilhes de e-mails so enviados por dia em todo o planeta
http://180graus.com/bravo/210-bilhoes-de-e-mails-sao-enviadospor-dia-em-todo-o-planeta-272615.html
Senhas fracas colocam segurana corporativa em risco
(http://computerworld.uol.com.br/seguranca/2010/01/22/senhasfracas-colocam-seguranca-corporativa-em-risco/)
Guardando senhas com segurana
http://www.oficinadanet.com.br/artigo/seguranca/guardando_senhas
_com_seguranca
Pesquisa: falta controle de privacidade nas empresas brasileiras
(http://computerworld.uol.com.br/seguranca/2010/03/11/pesquisafalta-controle-de-privacidade-nas-empresas-brasileiras/)

Site para testar sua complexidade de sua senha

http://senhasegura.gratuita.com.br/
ISACA lana certificao para gesto de riscos
(http://computerworld.uol.com.br/carreira/2010/03/11/isaca-lancacertificacao-para-gestao-de-riscos/#rec:mcl)
Criptografia: http://everson.por.com.br/
Material Complementar
ABNT-NBR-ISO_IEC-27001.pdf
http://www.scribd.com/doc/27778826/NBR-ISO-IEC-17799-Tec-daInf-Tec-de-Seg-Cod-de-Pratica-para-a-Gest-da-Seg-da-Informacao
Exemplo de Poltica de Segurana
http://everson.com.br/files/Exemplo%20de%20Pol%C3%ADtica%20
de%20Seguran%C3%A7a.pdf
Seguranca_Vulnerabilidades.pdf
http://www.las.ic.unicamp.br/~edmar/Palestras/UFV/Seguranca_Vuln
erabilidades.pdf
Vulnerabilidades_de_computador
http://everson.com.br/files/Vulnerabilidades_de_computador.pdf
Webcast_ISO17799-2005.pdf
http://www.technetbrasil.com.br/academia/provas/materiais/Webcas
t_ISO1.pdf
Parabns para VOC que chegou ao final da Web Aula.
Espero que esse material tenha contribudo para o seu
crescimento!
Abraos e Sucesso!
Prof. Polyanna Pacheco Gomes