Antebellum SEC 201 - Fundamentos de segurança da informação
Upcoming SlideShare
Loading in...5
×
 

Antebellum SEC 201 - Fundamentos de segurança da informação

on

  • 1,875 views

PDF com parte do conteúdo do livro utilizado pela Antebellum em seus treinamentos oficiais do Exin,

PDF com parte do conteúdo do livro utilizado pela Antebellum em seus treinamentos oficiais do Exin,

Statistics

Views

Total Views
1,875
Views on SlideShare
1,875
Embed Views
0

Actions

Likes
1
Downloads
51
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Antebellum SEC 201 - Fundamentos de segurança da informação Antebellum SEC 201 - Fundamentos de segurança da informação Presentation Transcript

  • Fundamentos de Segurança da Informação ISBN: 978-85-66649-01-7 Autor: Fernando Fonseca Direitos autorais garantidos para: Antebellum Capacitação Profissional Todos os direitos reservados. Este manual não pode ser copiado, fotocopiado, re- produzido, traduzido para outras línguas ou convertido em qualquer forma eletrô- nica ou legível por qualquer meio, em parte ou no todo, sem a aprovação prévia por escrito da Antebellum Capacitação Profissional ® 320 Páginas - Editora Antebellum www.antebellum.com.br Material do Aluno cursos@antebellum.com.br Versão 1.0 Responsabilidade Social Este material foi impresso pela Ekofootprint, utilizan- do papel reciclado e tecnologia de cera (Solid Ink) daPDF Gerado em baixa resolução Xerox, que reduz o impacto ambiental das impressões em 90%, se comparado à tecnologia Laser.para demonstração do material www.ekofootprint.com 2
  • 3 4
  • Sumário O Programa de Certificação do Exin................................. 6 1 - Informação e Segurança................................................... 15 1.1 - Conceitos Fundamentais.................................................. 15 1.2 - Valor da Informação......................................................... 58 1.3 - Aspectos de Confiabilidade.............................................. 65 2 - Alinhamento Estratégico.................................................. 75 2.1 - Governança...................................................................... 75 2.2 - Modelagem de Processos................................................ 91 2.3 - Classificação da Informação............................................. 96 3 - Gestão de Riscos.............................................................. 104 3.1 - Ameaças........................................................................... 104 3.2 - Tipos de Ameaça.............................................................. 107 3.3 - Dano................................................................................. 143 3.4 - Análise de Riscos.............................................................. 151 4 - Abordagem e Organização............................................... 166 4.1 - Políticas de Segurança...................................................... 166 4.2 - Organização da Segurança............................................... 172 4.3 - Gestão de Incidentes........................................................ 178 5 - Medidas de Segurança..................................................... 190 5.1 - A Importância das Medidas.............................................. 190 5.2 - Controles Físicos............................................................... 194 5.3 - Controles Tecnológicos.................................................... 203 5.4 - Segurança em Software................................................... 220 5.5 - Controles Organizacionais................................................ 242 5.6 - Gestão de Pessoas............................................................ 245 5.7 - Controle de Acesso........................................................... 253 5.8 - Continuidade de Negócios............................................... 2595 6 View slide
  • Sumário6 - Conformidade................................................................ 2666.1 - Legislação e Regulamentação........................................ 2666.2 - Avaliação....................................................................... 275 Anexo A. – Exame Simulado (Oficial Exin)..................... 280 Anexo B— Lista de Conceitos Básicos do Exin............... 301 Anexo C— Referências Bibliográficas............................ 308 Anexo D—Sites .Recomendados................................... 310 Anexo E—Cronograma do Curso................................... 312 O EXIN - Examination Institute for Information Science, é uma empresa glo- bal, prestadora de exame independente de TI que oferece programas de capa- citação para ISO/IEC 20000, ISO/IEC 27000, ITIL ®, MOF, entre outros. É missão do EXIN melhorar a qualidade do setor de TI, os profissionais de TI e os usuários de TI, por meio de testes e certificações. A tecnologia da informação é a pedra fundamental do competitivo mundo dos negócios de hoje. Como profissional de TI, você enfrenta o desafio diário de fornecer serviços de TI confiáveis e acessíveis. Seu mundo é movido pelo desempenho e está em constante mutação. Muitas novas profissões de TI continuam a surgir. São mais de 350.000 profissionais certificados em mais de 125 países exercitando-se em Tecnologia da Informação em todos os ní- veis. Estes profissionais obtiveram sua valiosa certificação EXIN através de 7 8 View slide
  • treinamento e exames abrangentes baseados em padrões de TI reconhecidosinternacionalmenteA qualidade dos serviços de TI depende muito do profissionalismo da equi-pe. O EXIN oferece acompanhamento da aprendizagem, proporcionandoaos profissionais de TIC (Tecnologia da Informação e Comunicação) ascompetências e habilidades apropriadas para aprimorar o desempenho doseu trabalho. A obtenção de um certificado EXIN é uma evidência sólida deum treinamento bem-sO programa de certificação do EXIN é dividido em três níveis. O inicial é oexame de fundamentos, destinado a todos na organização que processaminformações. Seu objetivo é criar a consciência da responsabilidade de cadaindivíduo na manutenção da confiabilidade e do valor dos ativos de infor-mação da empresa. O módulo também é adequado para pequenas empresascujos conhecimentos básicos de Segurança da Informação são necessários. 1. Informação e Segurança (10%) 1.1 O conceito de informação (2,5%) - O candidato entende o conceitoO exame avançado é destinado a todos que, através de sua posição, estão de informação. O candidato é capaz de:envolvidos com a implementação, avaliação e comunicação de segurança dainformação, tais como o Gerente de Segurança da Informação e o Security 1.1.1 Explicar a diferença entre os dados e informaçõesOfficer ou o Gerente de Projetos. 1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutu- ra básicaO exame de especialista em gerenciamento é destinado aos profissionais de 1.2 Valor da informação (2,5%) - O candidato entende o valor da infor-TI que são responsáveis pelo desenvolvimento e implementação, em parte mação para as organizações. O candidato é capaz de:ou no todo, das estruturas da Segurança da Informação. Exemplos podemincluir o Chief Information Security Officer, o Gerente de Segurança da In- 1.2.1 Descrever o valor de dados / informação para as organizações 1.2.2 Descrever como o valor de dados / informações pode influenciar asformação, Implementador de Segurança da Informação e Arquitetos de Sis- organizaçõestemas de Informações. 1.2.3 Explicar como conceitos aplicados de segurança de informações protegem o valor de dados / informações 9 10
  • 1.3 Aspectos de confiabilidade (5%) - O candidato conhece os aspectos 3.2 Componentes (2,5%) - O candidato conhece as várias componentes de confiabilidade (confidencialidade, integridade, disponibilidade) da organização da segurança. O candidato é capaz de: da informação. O candidato é capaz de: 3.2.1 Explicar a importância de um código de conduta 1.3.1 Nome dos aspectos de confiabilidade da informação 3.2.2 Explicar a importância da propriedade 1.3.2 Descrever os aspectos de confiabilidade da informação 3.2.3 Nomear as regras mais importantes na organização da segurança da informação2. Ameaças e riscos (30%) 3.3 Gerenciamento de Incidentes (5%) - O candidato compreende a im-2.1 Ameaça e risco (15%) 0 O candidato compreende os conceitos de portância da gestão de incidentes e escaladas. O candidato é capaz ameaça e risco. O candidato é capaz de: de: 2.1.1 Explicar os conceitos de ameaça, de risco e análise de risco 3.3.1 Resumir como incidentes de segurança são comunicados e as infor- 2.1.2 Explicar a relação entre uma ameaça e um risco mações que são necessárias 2.1.3 Descrever os vários tipos de ameaças 3.3.2 Dar exemplos de incidentes de segurança 2.1.4 Descrever os vários tipos de danos 3.3.3 Explicar as consequências da não notificação de incidentes de segu- 2.1.5 Descrever as diferentes estratégias de risco rança 3.3.4 Explicar o que implica uma escalada (funcional e hierárquica)2.2 Relacionamento entre ameaças, riscos e confiabilidade das informa- 3.3.5 Descrever os efeitos da escalada dentro da organização ções (15%) - O candidato compreende a relação entre as ameaças, 3.3.6 Explicar o ciclo do incidente riscos e confiabilidade das informações. O candidato é capaz de: 2.2.1 Reconhecer exemplos dos diversos tipos de ameaças 4. Medidas (40%) 2.2.2 Descrever os efeitos que os vários tipos de ameaças têm sobre a in- formação e ao tratamento das informações 4.1 Importância das medidas de (10%) - O candidato entende a impor- tância de medidas de segurança. O candidato é capaz de:3. Abordagem e Organização (10%) 4.1.1 Descrever as maneiras pelas quais as medidas de segurança podem3.1 Política de Segurança e organização de segurança (2,5%) - O candida- ser estruturadas ou organizadas to tem conhecimento da política de segurança e conceitos de organi- 4.1.2 Dar exemplos de cada tipo de medida de segurança zação de segurança. O candidato é capaz de: 4.1.3 Explicar a relação entre os riscos e medidas de segurança 4.1.4 Explicar o objetivo da classificação das informações 3.1.1 enunciar os objetivos e o conteúdo de uma política de segurança 4.1.5 Descrever o efeito da classificação 3.1.2 enunciar os objetivos e o conteúdo de uma organização de segurança 11 12
  • 4.2 Medidas de segurança física (10%) - O candidato tem conhecimento 4.4.7 Tornar clara a importância da realização de exercícios tanto da criação e execução de medidas de segurança física. O candi- dato é capaz de: 5. Legislação e regulamentação (10%) 4.2.1 Dar exemplos de medidas de segurança física 4.2.2 Descrever os riscos envolvidos com medidas de segurança física 5.1 Legislação e regulamentos (10%) - O candidato entende a importân- insuficientes cia e os efeitos da legislação e regulamentações. O candidato é capaz de:4.3 medidas de ordem técnica (10%) - O candidato tem conhecimento tanto da criação quanto da execução de medidas de segurança técni- 5.1.1 Explicar porque a legislação e as regulamentações são importantes ca. O candidato é capaz de: para a confiabilidade da informação 5.1.2 Dar exemplos de legislação relacionada à segurança da informação 4.3.1 Dar exemplos de medidas de segurança técnica 5.1.3 Dar exemplos de regulamentação relacionada à segurança da infor- 4.3.2 Descrever os riscos envolvidos com medidas de segurança técnica mação insuficientes 5.1.4 Indicar as medidas possíveis que podem ser tomadas para cumprir 4.3.3 Compreender os conceitos de criptografia, assinatura digital e cer- as exigências da legislação e da regulamentação tificado 4.3.4 Nome das três etapas para serviços bancários online (PC, web site, Vantagens da certificação IFSF pagamento) 4.3.5 Nomear vários tipos de software malicioso  Redução de riscos do negócio; 4.3.6 Descrever as medidas que podem ser usados contra software mali-  Investimento em controles de segurança da informação frente aos ris- cioso cos do negócio (racionalidade);  Aumento da efetividade da segurança da informação (conceito de me-4.4 Medidas organizacionais (10%) - O candidato tem conhecimento lhoria contínua); tanto da criação quanto da execução de medidas de segurança orga-  Aumento de confiança nas relações comerciais; nizacional. O candidato é capaz de:  Proteção dos ativos da informação em todas as suas formas (tecnologia, pessoas e processos); 4.4.1 Dar exemplos de medidas de segurança organizacional  O exame ISO/IEC 27002 do EXIN é composto de 40 perguntas em in- 4.4.2 Descrever os perigos e riscos envolvidos com medidas de segurança glês, sendo necessário acertar 26 questões para ser aprovado. A taxa do organizacional insuficientes exame é de US$ 165,00. 4.4.3 Descrever as medidas de segurança de acesso, tais como a segrega-  O Formato do exame é do tipo múltipla escolha e sua duração máxima ção de funções e do uso de senhas é de 60 minutos. 4.4.4 Descrever os princípios de gestão de acesso  Uma vez aprovado no exame, você receberá dentro de 45 dias o certifi- 4.4.5 Descrever os conceitos de identificação, autenticação e autorização cado da EXIN pelo correio. 4.4.6 Explicar a importância para uma organização de um Gerenciamen- to da Continuidade de Negócios estruturado 13 14
  •  Envolvimento e comprometimento da direção da empresa na seguran- Requisito de exame Especificação de exame Peso Número ça da informação; ao nível de maestria (%) de ques-  Padrão aceito no mundo, com mais de 2500 certificações; tões  Aumento da conscientização dos funcionários para assuntos referen- 1 Informação e segurança tes à segurança da informação; O conceito de informação 1.1 Entendimento 2.5 1  Conformidade com requisitos legais; Valor da informação 1.2 Entendimento 2.5 1  Reconhecimento, por parte de terceiros, da importância da segurança Aspectos de confiabilidade 1.3 Lembrança 5 2 da informação para a empresa Subtotal 10 4Formato do Exame 2 Ameaças e riscos Ameaças e riscos 2.1 Entendimento 15 6 Relacionamento entre amea- 2.2 Entendimento 15 6 Características ças, riscos e confiabilidade da Tipo de exame múltipla escolha informação Número de questões 40 Subtotal 30 12 Duração do exame 60 minutos 3 Abordagem e organização Taxa para aprovação 65% Política de segurança e organi- 3.1 Lembrança 2.5 1 zação de segurança Componentes 3.2 Lembrança 2.5 1Literatura: O material do aluno cobre todos os requisitos do exame, in- Gerenciamento de incidentes 3.3 Entendimento 5 2clusive com questãoes ao final de cada capítulo e respostas comentadas Subtotal 10 4no apêndice A. 4 Medidas Importância de medidas 4.1 Entendimento 10 4O aluno também pode utilizar como literatura auxiliar o seguinte livro: Medidas físicas 4.2 Lembrança 10 4Hintzbergen, J., Baars, H., Hintzbergen, K. and Smulders, A. - The Basics of Information Medidas técnicas 4.3 Lembrança 10 4Security - A practical handbook - The Netherlands, 2009 - disponível gratuitamente, Medidas organizacionais 4.4 Lembrança 10 4no formato PDF (em inglês), no sítio internet do EXIN: Subtotal 40 16http://www.exin-exams.com/exams/exam-program/iso-iec-27000/isfs.aspx 5 Legislação e regulamentação Legislação e regulamentação 5.1 Entendimento 10 4 Subtotal 10 4 Total 100 40 15 16
  • Conforme visto anteriormente, devido à sua natureza abstrata, as informa- ções precisam de uma mídia para serem transmitidos e armazenados, essas mídias no entanto precisam de um cuidado especial quanto a seu manuseio, armazenamento, transporte e descarte. O critério utilizado varia de acordo com a classificação da informação que armazenam As boas práticas recomendam que, ao se classificar uma informação se espe- cifique o tempo e as condições do armazenamento considerando sempre que quanto maior a sensibilidade de uma informação, mais rígidos devem ser os controles de prazo e condições de guarda. É importante destacar que as informações podem ser reclassificadas a qual- quer tempo, o que pode ocasionar uma revisão do prazo e das condições de armazenamento das mesmas.17 18
  • Quando uma informação não é mais necessária, é necessário estabelecer pro-cedimentos na Política de Segurança da organização para o seu descarte, ava-liando se a mídia utilizada para guardar aqueda informação, assim como asque receberam suas cópias, pode ser sanitizada para receber novas informa-ções (ex: HD, Fita, Cartão de Memória, DVD-RW), ou deve ser descartada(Ex: papel, fita no final da vida útil, DVD-ROM).As fases abaixo, representam o ciclo de vida da informação: Criação – Início do ciclo onde a informação é gerada, pode ser o ponto onde uma foto é tirada, uma filmagem é feita, um documento ou e-mail é escrito, etc. Transporte – Esta parte do ciclo consiste no momento do envio ou trans- porte, onde a informação é encaminhada por correio, correio eletrônico, Os processos definidos na política de segurança são fundamentais para a fax, falada ao telefone ou através de alto-falantes públicos e outros. Nor- manutenção da segurança do ambiente, pois eles definem o comportamen- malmente ocorre antes e depois do armazenamento. to esperado dos colaboradores em relação à segurança da informação, e as tecnologias a serem utilizadas para assegurar a segurança da informação Armazenamento – Momento em que a informação é armazenada, seja em na organização. uma base da dados de um banco de dados, em papel, mídia (CD, DVD, Fita, disquete, memória USB) As pessoas, colaboradores da organização, aparecem como segundo com- ponente dessa tríade fundamental, e necessitam de orientação para que Descarte – A parte final do ciclo é o momento em que a informação é des- possam desempenhar suas obrigações quanto à segurança da informação cartada, ou seja, eliminada, apagada, “deletada”, destruída de forma defi- da melhor forma possível. nitiva. Pode ocorrer com a simples destruição de um papel, CD, ou DVD, Por último temos a tecnologia, que fornece ferramentas para forçar com ou pode ocorrer de forma que sua mídia hospedeira seja reutilizada poste- que as políticas sejam seguidas monitorar o uso dos recursos de informa- riormente. ção, e alertar de diversas formas quanto a incidente e desvios no cumpri- mento da política. 19 20
  • gurança da informação dentro da organização  Partes externas - Objetivo: Manter a segurança dos recursos de proces- samento da informação e da informação da organização, que são aces- sados, processados, comunicados ou gerenciados por partes externas Gestão de ativos  Responsabilidade sobre os ativos - Objetivo: Alcançar e manter a pro- teção adequada dos ativos da organização  Classificação da Informação - Objetivo: Assegurar que a informação receba nível adequado de proteção. Segurança em Recursos HumanosA ISO 27002:2005 é dividida em 11 seções e 39 categorias, que listamosa seguir:  Antes da contratação - Objetivo: Assegurar que os funcionários, forne- cedores e terceiros entendam suas responsabilidades, e estejam dePolítica de segurança da informação acordo com os papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos  Política de Segurança da Informação - Objetivo: Prover uma orientação  Durante a contratação - Objetivo: Assegurar que os funcionários, for- e apoio da direção para a segurança da informação de acordo com os necedores e terceiros estão conscientes das ameaças e preocupações requisitos do negócio e com as leis e regulamentações relevantes relativas à segurança da informação, suas responsabilidades e obriga- ções, e estão preparados para apoiar a política de segurança da infor-Organizando a Segurança da Informação mação da organização durante os seus trabalhos normais, e para redu- zir o risco de erro humano.  Infraestrutura da Segurança da Informação - Objetivo: Gerenciar a se- 21 22
  •  Encerramento ou mudança da contratação - Objetivo: Assegurar que  Manuseio de mídias - Objetivo: Prevenir contra a divulgação não auto- funcionários, fornecedores e terceiros deixem a organização ou mudem rizada, modificação, remoção ou destruição aos ativos e interrupções de trabalho de forma ordenada. das atividades do negócio.  Troca de informações - Objetivo: Manter a segurança na troca de infor-Segurança Física e do Ambiente mações e software in ternamente à organização e com quaisquer enti- dades externas  Áreas seguras - Objetivo: Prevenir o acesso físico não autorizado, da-  Serviços de comércio eletrônico - Objetivo: Garantir a segurança de nos e interferências com as instalações e informações da organização. serviços de comércio eletrônico e sua utilização segura  Segurança de equipamentos - Objetivo: Impedir perdas, danos, furto  Monitoramento - Objetivo: Detectar atividades não autorizadas de ou comprometimento de ativos e interrupção das atividades da organi- processamento da informação zação. Controle de acessoGerenciamento das Operações e Comunicações`  Requisitos de negócio para controle de acesso - Objetivo: Controlar o acesso à informação  Procedimentos e responsabilidades operacionais - Objetivo: Garantir a  Gerenciamento de acesso do usuário - Objetivo: Assegurar acesso de operação segura e correta dos recursos de processamento da informa- usuário autorizado e prevenir acesso não autorizado a sistemas de in- ção formação.  Gerenciamento de serviços terceirizados - Objetivo: Implementar e  Responsabilidades dos usuários - Objetivo: Prevenir o acesso não au- manter o nível apropriado de segurança da informação e de entrega de torizado dos usuários e evitar o comprometimento ou roubo da infor- serviços em consonância com acordos de entrega de serviços terceiri- mação e dos recursos de processamento da informação. zados  Controle de acesso à rede - Objetivo: Prevenir acesso não autorizado  Planejamento e aceitação dos sistemas - Objetivos: Minimizar o risco aos serviços de rede de falhas nos sistemas  Controle de acesso ao sistema operacional - Objetivo: Prevenir acesso  Proteção contra códigos maliciosos e códigos móveis - Objetivos: Pro- não autorizado aos sistemas operacionais teger a integridade do software e da informação.  Controle de acesso à aplicação e à informação - Objetivo: Prevenir  Cópias de segurança - Objetivo: Manter a integridade e disponibilida- acesso não autorizado à informação contida nos sistemas de aplicação de da informação e dos recursos de processamento de informação. 23 24
  •  Computação móvel e trabalho remoto - Objetivo: Garantir a segurança  Gestão de incidentes de segurança da informação e melhorias – Obje- da informação quando a computação móvel e recursos de trabalho re- tivo: Assegurar que um enfoque consistente e efetivo seja aplicado à moto gestão de incidentes de segurançaAquisição, desenvolvimento e manutenção de sistemas de informa- Gestão de Continuidade de Negóciosção  Requisitos de segurança de sistemas de informação – Objetivo: Garan-  Aspectos da gestão da continuidade do negócio, relativos à segurança tir que segurança é parte integrante de sistemas de informação da informação –Objetivo: Não permitir a interrupção das atividades  Processamento correto de aplicações – Objetivo: Prevenir a ocorrência do negócio e proteger os processos críticos contra efeitos de falhas ou de erros, perdas, modificação não autorizada ou mau uso de informa- desastres significativos, e assegurar a sua retomada em tempo hábil, se ções em aplicações. for o caso.  Controles criptografados – Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográfi- Conformidade cos  Segurança dos arquivos do sistema – Objetivo: Garantir a segurança de  Conformidade com requisitos legais – Objetivo: Evitar violação de arquivos de sistema qualquer lei criminal ou civil, estatutos, regulamentações ou obriga-  Segurança em processos de desenvolvimento e de suporte. - Objetivo: ções contratuais e de quaisquer requisitos de segurança da informa- Manter a segurança de sistemas aplicativos e da informação. ção.  Conformidade com normas e políticas de segurança da informação e  Gestão de vulnerabilidades técnicas. - Objetivo: Reduzir riscos resul- tantes de exploração de vulnerabilidades técnicas conhecidas. conformidade técnica –Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informa-Gestão de incidentes de Segurança da Informação ção.  Notificação de fragilidades e eventos de segurança da informação – Considerações quanto á auditoria de sistemas de informação – Objetivo: Ma- Objetivo: Assegurar que fragilidades e eventos de segurança da infor- ximizar a eficácia e minimizar a interferência no processo de auditoria dos mação associados com sistemas de informação sejam comunicados, sistemas de informação. permitindo a tomada de ação corretiva em tempo hábil. 25 26
  • "These novel or unusual design features are associated with connectivity of the passenger domain computer systems to the airplane critical sys- tems and data networks." (FAA) Este tipo de ameaça é real, e tem sido discutida por vários profissionais de Segurança da Informação. Conforme lembrou o colega Javed Ikbal em um post enviado para a lista cisspforum, no ano passado foi demonstrado no site da CSO online como é possível derrubar o sistema de entretenimento a bor- do (os jogos nos monitores) de um vôo da JetBlue utilizando o telefone a bordo para passar um parâmetro inválido para o jogo Tetris. A própria reportagem da Wired cita uma apresentação muito interessante do pesquisador Mark Loveless, ("Hacking the Friendly Skies") onde ele apre- senta como hackear computadores vizinhos durante o vôo e, no final da apresentação, faz várias considerações sobre os projetos existentes de dispo- nibilização de acesso internet nos vôos.Estudo de Caso—Boeing 787 Segundo a matéria, a Boeing diz que está ciente do risco e está trabalhandoSegundo um relatório da agência americana FAA (Federal Aviation Adminis- na separação física das redes e na adoção de proteção baseada em softwarestration), o novo jato tem uma vulnerabilidade séria de segurança na arquite- de firewall. Infelizmente (como lembrou o colega Les Bell na lista cisspfo-tura de suas redes internas de computadores, que pode permitir que passa- rum), manter todas estas redes totalmente isoladas fisicamente implicariageiros acessem os sistemas de controle do avião a partir da rede criada para em ter equipamentos e cabeamento redundante em toda a aeronave, um cus-prover acesso internet durante o voo. De acordo com o relatório, a rede desti- to muito pesado para a indústria aeronáutica. Por isso, o compartilhamentonada aos passageiros está conectada com as redes dos sistemas de controles da infraestrutura pareceria algo óbvio aos olhos de um leigo.de voo, de navegação, comunicação e a rede administrativa da compania aé- Lamentavelmente, muitas vezes os profissionais de segurança não são envol-rea (responsável por sistemas administrativos e de manutenção da equipe de vidos na fase de design do projeto, cabendo então a árdua tarefa de criar me-terra). No atual design, a conexão física entre estas redes, anteriormente iso- canismos adicionais de proteção, depois que o problema é encontradoladas, faz com que todo o sistema seja mais facilmente vulnerável a hackers. Fonte: AnchisesLândia - http://anchisesbr.blogspot.com/2008/01/segurana-possvel-hackear-o-boeing-787.html 27 28
  • Existe um importante fluxo de informações entre os objetivos de controle deÉ importante diferenciarmos Governança de TI de Gerenciamento de TI. TI e a alta gestão.A Governança de TI encontra-se e um nível estratégico, sendo o sistemapelo qual o uso atual e futuro da TI é dirigido e controlado. Significa avaliare direcionar o uso da TI para dar suporte à organização e monitorar seu uso Os objetivos de negócio que forem definidos pela alta direção geram requisi-para realizar os planos. Inclui a estratégia e as políticas de uso da TI dentro tos para os objetivos de TI. Uma vez implementados, esses controles geramda organização informações necessárias para que o negócio alcance seus objetivos.O Gerenciamento de TI encontra-se em uma esfera mais operacional, e re-presenta o sistema de controles e processos necessário para alcançar os ob- A alta gestão é responsável por passar o direcionamento e recursos necessá-jetivos estratégicos estabelecidos pela direção da organização. O gerencia- rios para a área de TI, que servem como entrada nos objetivos de controle, emento está sujeito às diretrizes, às políticas e ao monitoramento estabeleci- a governança de TI devolve informações importantes para que os executivosdos pela governança corporativa e o conselho possa exercer suas funções. 29 30
  • Gestão de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, infor- mações, infraestrutura e pessoas. Questões relevantes referem-se à otimiza- ção do conhecimento e infraestrutura. Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da em -presa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia. Mensuração de desempenho: acompanha e monitora a implementação da es- tratégia, término do projeto, uso dos recursos, processo de performance e enSegundo o CobiT (Control Objectives for Information and related Techno- -trega dos serviços, usando, por exemplo, “balanced scorecards” que tradu-logy), a Governança de TI possui cinco áreas de foco: zem as estratégia em ações para atingir os objetivos, medidos através de pro- cessos contábeis convencionais Existe um importante fluxo de informações entre os objetivos de controle de TI e a alta gestão.Alinhamento estratégico: foca em garantir a ligação entre os planos de negó-cios e de TI, definindo, mantendo e validando a proposta de valor de TI, ali-nhando as operações de TI com as operações da organização.Entrega de valor: é a execução da proposta de valor de IT através do ciclode entrega, garantindo que TI entrega os prometidos benefícios previstosna estratégia da organização, concentrando-se em otimizar custos e pro-vendo o valor intrínseco de TI 31 32
  • O BSC mede o desempenho da organização sob a óptica de quatro perspec- tivas que assim se inter-relacionam:  Resultados financeiros,  Satisfação do cliente,  Processos internos do negócio e  Aprendizado e crescimento. A melhoria do aprendizado e crescimento dos empregados resulta em me- lhoria dos processos internos do negócio, os quais criam melhores produtos e serviços e, consequentemente, maior satisfação do cliente e maior partici- pação no mercado, conduzindo a melhores resultados financeiros para a or- ganização.O Balanced ScoreCard (BSC) é uma metodologia que estabelece um siste-ma de medição de desempenho das organizações. Foi proposto por Kaplane Norton em 1992 ao nível empresarial.O Balanced Scorecard é uma ferramenta para planejar a implementação deestratégias e obter melhoria contínua em todos os níveis da organização. Éum conjunto de medidas que dão aos gerentes uma visão rápida e compre-ensiva dos negócios. 33 34
  • As quatro perspectivas do Balanced Scorecard estão contempladas em obje-tivos de negócio (Business Goals) do CobiT. Cada objetivo de negócio (Business Goal) aponta para um ou mais objetivos de TI, conforme indicado na tabela acima, e descrito a seguir:  Financeiro: BG01 a BG03  Cliente: BG04 a BG09 Perspectiva Financeira  Processos Internos: BG10 a BG15  Aprendizado e Crescimento: BG16 e 17 1 - Prover um retorno de investimento adequado para os investimentos de TI relacionados aos negócios. (24) 2 - Gerenciar os riscos de negócios relacionados a TI. (2, 14, 17, 18, 19, 20, 21, 22) 3 - Aprimorar governança corporativa e transparência. (2, 18) 35 36
  • Perspectiva do Cliente4 - Aprimorar orientação para clientes e serviços. (3, 23)5 - Oferecer produtos e serviços competitivos. (5, 24)6 - Estabelecer a continuidade e disponibilidade de serviços. (10, 16, 22, 23)7 - Criar agilidade em responder a requerimentos de negócios quemudam continuamente. (1, 5, 25)8 - Atingir otimização dos custos para entrega de serviços.(7, 8, 10, 24)9 - Obter informações confiáveis e úteis para o processo de decisões estraté-gicas. (2, 4, 12, 20, 26)Perspectiva Interna10 - Aprimorar e manter a funcionalidade dos processos de negócios. (6, 7, 11) Os objetivos de TI por sua vez são mapeados em processos do CobiT:11 - Reduzir custos de processos. (7, 8, 13, 15, 24)12 - Conformidade com leis externas, regulamentos e contratos. (2, 19, 20, 21, 1 - Responder aos requerimentos de negócios de maneira alinhada com a es-22, 26, 27) tratégia de negócios. (PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1)13 - Conformidade com políticas internas. (2, 13) 2 - Responder aos requerimentos de governança em linha com a Alta Dire- ção. (PO1 PO4 PO10 ME1 ME4)14 - Gerenciar mudanças de negócios. (1, 5, 6, 11, 28) 3 - Assegurar a satisfação dos usuários finais com a oferta e níveis de servi-15 - Aprimorar e manter a operação e produtividade do pessoal. (7, 8, 11, 13) ços. (PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13) 4 - Otimizar o uso da informação. (PO2 DS11)Perspectiva de Aprendizagem 5 - Criar agilidade para TI. (PO2 PO4 PO7 AI3) 6 - Definir como funções de negócios e requerimentos de controles são con-16 - Gerenciar a inovação de produtos e negócios. (5, 25, 28) vertidos em soluções automatizadas efetivas e eficientes. (AI1 AI2 AI6)17 - Contratar e manter pessoas habilitadas e motivadas. (9) 37 38
  • 7 - Adquirir e manter sistemas aplicativos integrados e padronizados. (PO3AI2 AI5)8 - Adquirir e manter uma infraestrutura de TI integrada e padronizada.(AI3 AI5)9 - Adquirir e manter habilidades de TI que atendam as estratégias de TI.(PO7 AI5)10 - Assegurar a satisfação mútua no relacionamento com terceiros. (DS211 - Assegurar a integração dos aplicativos com os processos de negócios.(PO2 AI4 AI7)2 - Assegurar a transparência e o entendimento dos custos, benefícios, estra-tégia, políticas e níveis de serviços de TI. (PO5 PO6 DS1 DS2 DS6 ME1ME4)13 - Assegurar apropriado uso e a performance das soluções de aplicativos ede tecnologia. (PO6 AI4 AI7 DS7 DS8)14 - Responsabilizar e proteger todos os ativos de TI. (PO9 DS5 DS9 DS12ME2)15 - Otimizar a infraestrutura, recursos e capacidades de TI. (PO3 AI3 DS3 A história oficial dos ÓVNIS no BrasilDS7 DS9) Documentos da Aeronáutica revelam a missão especial que filmou e fotogra-16 - Reduzir os defeitos e re-trabalhos na entrega de serviços e soluções. fou aparições de óvnis no País e mostram como funcionava o departamento(PO8 AI4 AI6 AI7 DS10) criado pelos militares para investigar os relatos sobre discos voadores17 - Proteger os resultados alcançados pelos objetivos de TI. (PO9 DS10ME2)18 - Estabelecer claramente os impactos para os negócios resultantes de ris- Duas dezenas de oficiais da Força Aérea Brasileira (FAB) estiveram envolvi-cos de objetivos e recursos de TI. (PO9) dos em uma missão sigilosa no meio da selva amazônica, no Pará, 30 anos atrás. Denominada Operação Prato, ela é a mais impressionante investigação de óvnis (objetos voadores não identificados) realizada pela Aeronáutica que se conhece. É uma espécie de caso Roswell brasileiro, com missões se- cretas, histórias e fenômenos sem explicação. Enquanto em Roswell, marco 39 40
  • da ufologia mundial, os militares americanos primeiro admitiram a existên- Lembrar que eles foram desclassificados porque pertencem à sociedade, ecia dos óvnis e depois negaram, os relatórios da FAB não deixam dúvidas: estão somente sob custódia do governo. cumpriram 30 anos de ressalva de-os oficiais do I Comando Aéreo Regional (Comar), em Belém, designados veriam ser públicas, mas na prática não é o que ocorre. "Não se quebra umapara a opera-ção, que ocorreu nos quatro últimos meses de 1977, afirmam cultura de uma vez. E eu não sou a favor de divulgar documentos que feremter presenciado - mais de uma vez - UFOs cruzando o céu da Amazônia. a privacidade das pessoas, induzem pânico à população ou colocam a segu- rança do País em risco", defende o brigadeiro José Carlos Pereira, ex- comandante de operações da FAB e ex-presidente da Empresa Brasileira deDetalhes da Operação Prato estão em relatórios sigilosos que acabam de ser Infraestrutura Aeroportuária (Infraero).liberados pelo governo federal para consulta no Arquivo Nacional, em Bra-sília. Desde o ano passado, estão vindo a público documentos, alguns guar-dados há mais de 50 anos. Todos os arquivos secretos de UFO estão sob Hoje na reserva, o brigadeiro de 67 anos foi considerado por muitos anos oresponsabilidade da Casa Civil desde 2005. Há 1.300 folhas de um total es- guardião da chave do cofre de segredos ufológicos brasileiros. Foi ele quemtimado em 25 quilos de material, com descrições, croquis e fotos de óvnis ordenou o recolhimento de todo material sigiloso produzido sobre o temareferentes a três lotes de informações da FAB. Os dois primeiros contêm espalhado em bases aéreas e aeroportos do Brasil. A papelada foi levada pararelatos dos anos 50 e 60. O último, aberto em maio e do qual faz parte a o Comando de Defesa Aeroespacial (Comdabra), em Brasília, onde ele exer-Operação Prato, cobre a década seguinte. No próximo mês, será a vez do cia a função de comandante- geral, no início da década. Mas somente no anoacervo dos anos 80. passado os documentos começaram a chegar ao arquivo nacional.Os arquivos, agora públicos, trazem depoimentos de civis, trocas de corres- Revirar os porões das Forças Armadas e revelar os segredos ufológicos épondências entre militares sobre óvnis, recortes de jornais da época e várias uma tendência verificada em outros países. "Com essa abertura, a Aeronáuti-conversas entre pilotos e controladores de voos sobre estranhos fenômenos ca reconhece a necessidade de tratar o fenômeno UFO de maneira séria, dei-no espaço aéreo nacional No momento, apenas os relatórios de UFOs clas- xando de lado o tom pejorativo e irreverente que quase sempre aparecesificados como reservados e confidenciais da Aeronáutica tornaram- se pú- quando se levanta a plausível hipótese de estarmos recebendo a visita deblicos. Espera-se que o Exército e a Marinha façam o mesmo. São aguarda- seres extraterrestres", diz Ademar José Gevaerd, 47 anos, coordenador dadas, também, as páginas com os carimbos de secreto e ultra-secreto. Por lei, Comissão Brasileira de Ufólogos (CBU), que elaborou uma campanha emas que Ressaltar que os documentos eram confidenciais e reservados, com prol da liberdade de informações sobre UFOs.tempo diferente de classificação dos secretos. 41 42
  • Hoje, a pessoa que quiser relatar a aparição de um óvni dificilmente encon-trará eco na FAB. "A Aeronáutica não dispõe de estrutura especializada pa-ra realizar investigações científicas", informou a FAB à ISTOÉ. Porém, du-rante o funcionamento do Sioani, no IV Comar, toda testemunha era sub-metida a 43 44
  • A palavra risco, vem da palavra “risicare”, que no italiano antigo significa Uma ameaça pode ser definida de diversas formas, dentre elas selecionamosousar. Através dessa definição entendemos que risco não é necessariamente 2 que definem bem o termo:algo negativo. Pelo menos não de uma forma geral. 1) Uma potencial causa de incidente* 2) Todo e qualquer perigo eminente seja natural, humana, tecnológica,Quando se joga 100.000 dólares em um número da roleta existe uma grande física ou político-econômica.chance de se perder todo o dinheiro (risco negativo alto), mas existe a possi-bilidade de ganhar (risco positivo baixo). Podemos considerar este um risco As ameaças são latentes, e dependem de uma ação externa para que se con-positivo, uma oportunidade de ficar milionário. cretizem. O Agente de ameaça é um elemento que através de uma ação pró- pria é capaz de concretizar uma ameaça.Colocando-se no lugar da banca você identifica uma excelente oportunidadede ganhar 100.000 dólares (risco positivo) e um pequeno risco de pagar uma Uma invasão é uma ameaça latente, por outro lado um cracker pode ser ofortuna para um sortudo que ousou apostar uma fortuna (risco positivo), agente de ameaça a transformá-la em uma realidade. 45 46
  • Agente de ameaça é o elemento que através de uma ação própria é capaz de Um rootkit é um pacote de programas maliciosos, que substituem o arqui-concretizar uma ameaça. vos binários (programas compilados) por um kit de programas que mantém uma porta aberta sem que verdadeiro root (administrador do unix) perceba.O agente é o elo de ligação entre a ameaça e o ativo, ele é responsável por Com a porta aberta o invasor pode voltar a qualquer momento e utilizar osexplorar a vulnerabilidade do ativo e causar o incidente. privilégios do root (ou do usuário do serviço que ele tenha utilizado, para realizar absolutamente qualquer ação dentro do computador, inclusive, roubar, alterar ou destruir qualquer informação.Um Cracker que realiza uma invasão é o agente de ameaça que explora umavulnerabilidade de software ou configuração e causa um incidente. O Nome rootkit é derivado do usuário root do Unix, ambiente onde essa prática se popularizou, mas existem rootkits para quase todas as platafor- mas. Existem rootkits para Solares, Mac OS, Linux e a maioria das versões do Windows, entre outros. 47 48
  • Os rootkits ganharam publicidade em 2005, quando foi revelado que a gra- tema operacional e criam uma trilha adicional de execução, que mantémvadora Sony/BMG instalava um rootkit chamado XCP (Extended Copy essa porta aberta. Esse tipo de Malware também recebe o nome de rootkitProtection) em seus CD´s de música com o objetivo de instalar um meca- no Windowsnismo anti-cópia.Os rootkits são extremamente difíceis de serem detectados, e infectam osistema sem que o usuário perceba nada. É difícil garantir a completa re- O Rootkit de DRM da Sony: A Verdadeira Históriamoção dos rootkits de um sistema,esses programas são especializados emenganar as ferramentas de segurança para ficarem ocultos. A forma mais É uma história de David contra Golias, sobre os blogs de tecnologia der-confiável de reaver seu computador é formatar o disco e reinstalar todo o rotando uma megacorporação.sistema.Porta de Manutenção / Backdoor são uma possível fonte de vazamento de Em 31 de Outubro, Mark Russinovich detonou a história em seu blog: Ainformações sensível. São os canais secretos de comunicação, ou seja, ca- Sony BMG Music Entertainment distribuiu um esquema de proteçãonais que dos quais os usuários ignoram a existência. Estes canais são cha- contra cópias junto com seus CD’s que secretamente instalava um root- kit nos computadores. Essa ferramenta é executada sem o conhecimen-mados de porta de manutenção ou Backdoor, e são comumente utilizado to nem consentimento: ela é carregada em seu computador por um CD,por Trojans para comunicar-se com seu controlador, ou até mesmo forne- e um hacker pode obter e manter acesso ao seu sistema sem que vocêcer acesso à máquina infectada. saiba.São considerados Backdoors os programas ou partes de códigos escondi-dos em outros programas, que permitem que um invasor entre ou retorne a O código da Sony modifica o Windows para que não se possa dizer queum computador comprometido por uma porta dos fundos‖, sem ter que está lá, um processo denominado “Clocking” (Camuflagem) no mundopassar pelo processo normal de autenticação. Nos primórdios da computa- hacker. Ele age como um spyware, sorrateiramente enviando informa-ção, os próprios programadores deixavam alguns backdoors em seus siste- ções sobre você para a Sony. E ele não pode ser removido; tentar livrar-mas, e os chamavam de ganchos de manutenção. se dele danifica o Windows.Nos sistemas Windows, os backdoors geralmente são Trojans, instaladosatravés de Phishing, ou ainda programas instalados por worms, que apósexplorarem uma vulnerabilidade do sistema alvo infectam arquivos do sis- 49 50
  • A história foi acolhida por outros blogs (inclusive o meu), e logo depoispela mídia de informática. Finalmente os grandes meios de comunicação No entanto, o comportamento arrogante de uma corporação tambémtrouxeram isso à tona. não é a história realO Clamor foi tão grande que em 11 de novembro a Sony anunciou queestava temporariamente parando a produção desse esquema de prote-ção de cópias. Isso ainda não era o suficiente, em 14 de novembro a Esse drama é sobre incompetência. A última ferramenta de remoção docompanhia anunciou que estava retirando das lojas os CD’s protegidos, rootkit da Sony na realidade deixa uma vulnerabilidade escancarada. Ee oferecia aos usuários o rootkit da Sony, desenhado para parar as infrações de direitos autorais pode ter infringido ele mesmo uma copyright. Por mais incrível que issouma troca gratuita dos CD’s infectados. possa parecer, o código parece incluir um codificador MP3 de código aberto, em violação à licença dessa biblioteca. Mas mesmo isso não é a história real.Mas essa não é a história real aqui É um épico de ações judiciais coletivas na Califórnia e em outros luga-É uma história sobre extrema arrogância. A Sony distribuiu seu incrivel- res, e o foco das investigações criminais. O rootkit teria sido encontradomente invasivo esquema de proteção contra cópia sem sequer discutir em computadores executados pelo Departamento de Defesa, para des-publicamente seus detalhes, confiando que os benefícios justificariam a gosto do Departamento de Segurança Interna de. Enquanto a Sony po-modificação nos computadores de seus clientes. Quando essa ação foi deria ser processada sob a legislação de cybercrime dos EUA, ninguéminicialmente descoberta, a Sony ofereceu um “fix”que não removia o roo- acha que vai ser. E ações nunca são toda a história.tkit, apenas a camuflagem. Esta saga é cheia de reviravoltas estranhas. Alguns apontaram comoA Sony alegou que o rootkit não “ligava para casa”, quando na realidade este tipo de software degradaria a confiabilidade do Windows. Alguémele o fazia. Em 4 de novembro, Thomas Hesse, presidente global de ne- criou um código malicioso que usava o rootkit para se esconder. Umgócios digitais da Sony BMG, demonstrou todo o desdenho da compa- hacker usou o rootkit para evitar o spyware de um jogo popular. E havianhia por seus clientes quando ele disse em uma entrevista à NPR: A até mesmo chamadas para boicotar a Sony em todo o mundo. Afinal, semaior paste das pessoas nem sequer sabem o que é um rootkit, então você não pode confiar Sony não infectar o seu computador quando vocêporque eles devem se preocupar com isso? 51 52
  • compra CDs com suas músicas, você pode confiar nela para lhe vender o tipo de coisa que você está pagando essas empresas para detectar,um computador não infectado? Essa é uma pergunta boa, mas - de novo especialmente porque o rootkit foi “telefonar para casa”.- não a verdadeira história. Mas muito pior do que não detectá-lo antes da descoberta RussinovichÉ ainda outra situação onde os usuários do Macintosh podem assistir, foi o silêncio ensurdecedor que se seguiu. Quando um novo malware édivertindo-se (bem, na maior parte) do lado de fora, perguntando por que encontrado, empresas de segurança caem sobre si para limpar os nos-alguém ainda usa o Microsoft Windows. Mas certamente, mesmo isso sos computadores e inocular nossas redes. Não neste caso.não é a história real. A McAfee não adicionou um código de detecção de até 09 de novembro,A história de prestar atenção aqui é o conluio entre grandes empresas e agora, 15 de novembro ainda não remove o rootkit, somente o disposi-de mídia que tentam controlar o que fazemos em nossos computadores tivo de camuflagem. A empresa admite em sua página web que este ée companhias de software de segurança, e empresas que deveriam es- um compromisso pobre. "A McAfee detecta, remove e evita a reinstala-tar nos protegendo. ção do XCP." Esse é o código de camuflagem. "Por favor, note que a remoção não irão afetar os mecanismos de proteção de direitos autorais instalados a partir do CD. Houve relatos de travamento do sistema, pos-As estimativas iniciais são de que mais de meio milhão de computadores sivelmente resultante de desinstalar o XCP." Obrigado pelo aviso.no mundo estão infectadas com este rootkit da Sony. São números sur-preendentes de infecção, tornando esta uma das epidemias mais gravesda Internet de todos os tempos, no mesmo nível de worms como Blaster, Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No início,Slammer, Code Red e Nimda. a empresa não considerou o XCP como um Malware. Não era até 11 de novembro que a Symantec publicou uma ferramenta para remover a camuflagem. Em 15 de novembro, ainda é insossa sobre isso, explican-O que você acha da sua empresa antivírus, o que não percebeu rootkit do que "este rootkit foi projetado para esconder uma aplicação legítima,da Sony, como infectou meio milhão de computadores? E isso não é um mas pode ser usado para esconder outros objetos, incluindo softwaredaqueles vermes relâmpago da Internet; este vem se espalhando desde malicioso".meados de 2004. Porque se espalhou através de CDs infectados, nãoatravés de conexões de internet, eles não notaram? Este é exatamente 53 54
  • A única coisa que torna este rootkit legítimo é o fato de uma empresamultinacional colocá-lo no seu computador, e não uma organização cri-minosa.Você poderia esperar que a Microsoft fosse a primeira empresa a conde-nar este rootkit. Afinal, o XCP corrompe o interior do Windows "de umaforma bastante desagradável. É o tipo de comportamento que poderiafacilmente levar a falhas no sistema, falhas que os clientes culpam a Mi-crosoft. Mas não foi até 13 de novembro, quando a pressão pública eramuito grande para ser ignorada, e a Microsoft anunciou que iria atualizarsuas ferramentas de segurança para detectar e remover a parte do dis-farce do rootkit.Talvez a única empresa de segurança que merece louvor é F-Secure, oprimeiro e o mais alto crítico das ações da Sony. E a Sysinternals, é cla-ro, que hospeda blog do Russinovich e trouxe isto para a luz.Segurança ruim acontece. Isso sempre foi e sempre será. E as empre-sas fazem coisas estúpidas, sempre fizeram e sempre farão. Mas a ra-zão que nós compramos produtos de segurança da Symantec, McAfee eoutros, é para nos proteger de segurança ruim. 55 56
  • A política é um conjunto de documentos que estabelecem as regras a seremobedecidas para que a organização possua um nível aceitável de segurança.É através da política de segurança que a estratégia de SI é montada e passadapara todas as áreas envolvidas. Uma versão resumida deve ser publicada paratodos os colaboradores e parceiros relevantes, como fornecedores e clientes.O desenvolvimento da política é ponto fundamental de uma série de normase regulamentações, além de ser incentivado por regulamentações e normasinternacionais de melhores práticas. 57 58
  • Os colaboradores de empresa desempenham um importante papel nadetecção de fragilidades segurança, e na notificação de incidentes desegurança, uma vez que estes estão lidando com os controles e tambémpróximos dos incidentes quando ocorrem. Para que a gestão de inci-dentes seja eficiente, os colaboradores precisam ter um canal para re-portar os incidentes e fragilidades dos controles, esse canal é geral-mente o Helpdesk.É importante que as pessoas não tenham receio de reportar incidentesde segurança, entendendo que essa é uma obrigação de cada colabora-dor. 59 60
  • Os controles de segurança da informação devem ter uma origem bem justifi-cada, e sofrer uma revisão periódica para analisar sua aderência e eficiência.A principal origem de controles se dá nas regulamentações. As organizaçõesprecisam atender às regulamentações da área em que estão inseridas, e paraisso precisam ter em sua política de segurança controles que enderecem es-ses requisitos. Exemplos de controles dessa categoria são os controles sobredados de cartão de crédito (PCI DSS), dados de saúde (ANS), integridade derelatórios financeiros (Sarbanes-Oxley), etc.Outra grande origem de controles são os requisitos de negócio. Se uma orga-nização opera com projetos automobilísticos ou eletrônicos, ela precisa ga-rantia a confidencialidade de seus projetos para sobreviver no mercado. 61 62
  • Segundo a ISO 27002, os controles físicos previnem o acesso físico não As cópias de segurança fundamentais para se manter a integridade e dispo- nibilidade da informação. A politica de Backup deve levar em consideraçãoautorizado, danos e interferências com as instalações e informações da os seguintes aspectos:organização.  produção de registros completos e exatos das cópias e documentação sobre os procedimentos de recuperação;A Norma especifica dois importantes pontos a serem tratados:  a extensão (completa, incremental, diferencial) e a freqüência da geração das cópias reflita os requisitos do negócio, requisitos de segurança e a  Perímetro de segurança física: utilizar perímetros de segurança criticidade da informação;  armazenar as cópias em uma localidade remota, a uma distância sufici- (paredes, portões de entrada com cartões, etc) para proteger as ente para escapar de danos de um desastre no local principal; áreas processamento e armazenagem de informações  testar as mídias e os procedimentos de recuperação regularmente;  Controles de entrada física: visam assegurar que somente pesso- as autorizadas tenham acesso a um local. As mídias de armazenamento devem ser definidas de acordo com o tempo de retenção dos dados para que a informação não se deteriore antes do tempo previsto. 63 64
  • Ciência milenar, chave dos segredos da antiga Roma, peça fundamental na O conceito de infraestrutura significa um somatório de tecnologiasSegunda Guerra Mundial, atualmente é estrela do mundo da Segurança da para garantir segurança, onde, trata-se de uma solução conjunta deInformação. Diversos sistemas operacionais, bancos de dados, protocolos de hardware, software e protocolos, através da distribuição e gerencia-comunicação ou simples sistemas de armazenamento de arquivos chegam mento de chaves e certificados digitais.aos consumidores providos desta função de embaralhar os dados. Através douso de um algoritmo (sequência de passos para o embaralhamento) os dadosa serem protegidos e de uma chave (conjunto de bits) transforma-se textos Apesar das CAs auxiliarem na comprovação da identidade do donoou dados abertos em códigos ilegíveis. de uma chave pública através dos certificados digitais, ainda existe aA chave (conjunto de bits) existe para embaralhar (encriptar) o texto e, atra- necessidade de disponibilizar os certificados, e revogar outros certifi-vés do conhecimento dela, conseguir recuperar o texto original (decriptar). cados em caso de perda, comprometimento ou desligamento de umIsso é Criptografia no mundo computacional, e isso era Criptografia há mil funcionário.anos. Porém, se hoje temos computadores para criptografar dados e proces- 65 66
  • As autoridades certificadoras (AC’s) agem como cartórios digitais, reco-lhendo, através de suas AR’s (autoridades de registro) a documentação dasentidades para as quais os certificados serão emitidos, e criando um certifi-cado digital que associa a entidade a um par de chaves.As AC’s emitem os certificados digitais a partir de uma política estabeleci-da, assim como alguns órgãos emitem carteira de identidade, carteira demotorista, reconhecimento de firma, etc. Elas possuem uma cadeia de cer-tificação que garantem a identidade da entidade, através de uma rígida po-lítica de segurança, e por isso são consideradas um terceiro confiável. 67 68
  • Após o lançamento de um software, uma vulnerabilidade não detecta- da nas fases de teste permanece latente até que algum pesquisador (esse sim, geralmente um Hacker) contratado pelo próprio fabricante, por terceiros ou independente a encontre. A índole do pesquisador vai ditar as regras de quando ele irá publicar a vulnerabilidade. Se o pesquisador estiver apoiando o fabricante, e este tratar segurança como algo sério, a vulnerabilidade somente será publicada após uma correção estar disponibilizada para os usuários. Caso ele não se importe com o fabricante ou com os usuários, a vulne- rabilidade pode ser publicada assim que ele a descobrir ou quando ele já tiver um código que a explore.69 70
  • Outra possibilidade a que ele não venha a publicá-la, e sim a disponi-bilizá-la para um criador de vírus que utilizam se de “zero-days”, ouseja, exploração de vulnerabilidades zero ou menos dias antes da pu-blicação da correção.Uma vez que a correção é publicada inicia-se o período de homologa-ção por parte do usuário, que pode levar de horas a dias.Os últimos estudos mostram que os vírus baseados em zero-days ouem correções recém lançadas tem tido uma penetração maior em em-presas do que em usuários domésticos, porque estes contam com umserviço de atualização automática, e as organizações perdem um tem-po valioso em seu processo de homologação, que apesar de importan-te deve ser tratado com prioridade para que essa não fique exposta a A Injeção de código SQL (SQL Injection), é uma forma de ataque a aplicaçõesameaças durante muito tempo. onde o usuário ao invés de entrar com um dado “inocente” como um nome (Ex: Pietro) ou identificador (Ex: 1001) entra com uma expressão SQL, que altera o funcionamento da aplicação para realizar alguma ação que poderá comprometer a confidencialidade, disponibilidade e integridade das aplica- ções. 71 72
  • O Morris Worm causou um prejuízo estimado entre 10 e 100 Milhões de dólares, e Robert foi julgado culpado pelo “Computer Fraud and Abuse Act”, sentenciado a 3 anos de condicional e 400 horas de serviços comunitá- rios. Hoje Morris é professor de ciência da computação no MIT Os Worms são a causa mais comum de ataques na Internet:  Mais de 50% dos boletins publicados pelo CERT (computer security incident report team) são conseqüência de buffer overflows  Morris worm (1988): B.O. no Fingerd: 6,000 máquinas infectadas  CodeRed (2001): B.O. no servidor MS-IIS 5: 300,000 máquinas infec- tadas em 14 horas  SQL Slammer (2003): B.O. no MS-SQL server: 75,000 máquinas infec- tadas em 10 minutos (!!)O Primeiro malware a utilizar-se de uma vulnerabilidade de código foi o“Morris Worm”, nome dado em homenagem a seu criador, o filho de um ci-entista chefe do NSA e estudante de graduação Robert Morris, que em 1988criou um programa para se propagar lentamente pela Internet, e sem causardano medir o tamanho da rede contabilizando os hosts VAX por onde passa-va.Devido a um erro de programação ele criou novas cópias muito rapidamente,sobrecarregando as máquinas infectadas, e travando as máquinas SUN, paraas quais o worm não foi projetado. 73 74
  • Através da engenharia reversa do código da correção, ficou fácil para os atacantes entender a vulnerabilidade existente no código do Windows e criar o Blaster, que em poucos dias deixou um saldo de:  Mais de 15 milhões de computadores infectados  3.3 Milhões (quase 10 vezes o normal) de chamados de segurança para o suporte Microsoft, que é gratuito para todos os cliente com software original A Microsoft considerou que na época cada chamado lhe custou U$ 40,00. O que significa um prejuízo tangível e direto de quase 120 Mi- lhões de dólares, que se mostrariam modestos frente ao desgaste de ima- gem.O trecho de código acima foi extraído de um documento da Microsoft,vemos uma vulnerabilidade no código do servidor RPC do Windows,que foi explorado pelo vírus Blaster (aquele que fazia a máquina reinici-ar em 60 segundos).Durante o programa Trustworth Computing (Computação Confiável) aMicrosoft revirou o código do Windows e descobriu diversas vulnerabi-lidades como esta, e à medida em que as foi corrigindo foi distribuindoatualizações de segurança para os usuários, que na época, Setembro de2003, não tinham a cultura de aplicar as correções de segurança, e nãocontavam com um programa de atualização automática do sistema. 75 76
  • A partir da década de 80, alguns organismos internacionais começaram a de-senvolver padrões de certificação para testar as aplicações em homologaçãopelo governo de seus respectivos países.Durante um período de cinco anos, entre 1993 e 1998, esses organismos uni-ram-se para criar um padrão de certificação que facilitasse o trabalho e dimi-nuísse o custo dos fabricantes de software, antes obrigados a pagar por dife-rentes tipos de certificação, um para cada país ou região. 77 78
  • Trata-se de um dos princípios mais conhecidos e mais importantes da se-gurança da informação, e prega a divisão de tarefas e permissões na organi-zação, não concentrando o conhecimento em apenas uma pessoa e reduzin-do o risco de fraudes, uma vez que seriam necessários dois ou mais colabo-radores trabalhando em conluio (ato de cooperação entre partes que come-tem um ato ilícito) para que essa se consumasse.A Segregação de funções é complementar aos conceitos de need-to-know eprivilégio mínimo, que pregam que os colaboradores somente precisamconhecer o suficiente para desempenhar suas tarefas, e que não necessitamde mais permissões no sistema do que o necessário para executar essas ta-refas. 79 80
  • De acordo com a classificação da informação que está sendo protegida pode-mos utilizar uma combinação de mais de um fator de autenticação, tornandoo acesso muito mais seguro., com dois ou três fatores 3 Fatores: Senha + Crachá + Biometria 2 Fatores: Crachá + Biometria, Senha + Cracha, Senha + BiometriaA maioria de nós já utilizou algum tipo de autenticação com dois fatores, al-guns exemplos são:  Senha + Cartão de Senhas (Bancos)  Senha + Token (Bancos, VPN)  Senha + SmartCard (VPN) 81 82
  • Anexo A Exercícios com Respostas ComentadasEstar em conformidade significa evitar violação de:  Qualquer lei criminal ou civil;  estatutos;  regulamentações;  obrigações contratuais;  quaisquer requisitos de segurança da informação;O Fator chave para manter-se em conformidade é identificar a legisla-ção vigente, assim como as regulamentações às quais nossa organiza-ção está subordinada. 83 84
  • Anexo A – Exercícios com respostas comentadas C. incorreto. A indispensabilidade dos dados para os processos de negó- cios, em parte, determina o valor.1 de 40 —Você recebeu do seu contador uma cópia da sua declaração fiscal e D. incorreto. Dados críticos para os processos de negócio importantes, por-deve verificar se os dados estão corretos. Qual característica de confiabilida- tanto, valiosos.de da informação que você está verificando? 3 de 40 – Nosso acesso à informação é cada vez mais fácil. Ainda assim, aA. Disponibilidade informação tem de ser confiável, a fim de ser utilizável. O que não é umB. Exclusividade aspecto de confiabilidade da informação?C. Integridade A. DisponibilidadeD. Confidencialidade B. Integridade C. QuantidadeA. incorreto. A disponibilidade é o grau em que a informação está disponível D. Confidencialidadepara os usuários nos momentos necessários.B. incorreto. A exclusividade é uma característica de sigilo. A. incorreto. A disponibilidade é um aspecto de confiabilidade da informa-C. correto. Esta é uma preocupação da integridade. çãoD. incorreto. Trata-se do grau em que o acesso à informação é restrito a ape- B. incorreto. A integridade é um aspecto de confiabilidade da informaçãonas aqueles que são autorizados. C. correto. Quantidade não é um aspecto de confiabilidade das infor- mações.2 de 40 — A fim de ter uma apólice de seguro de incêndio, o departamento D. incorreto. A confidencialidade é um aspecto de confiabilidade da infor-administrativo deve determinar o valor dos dados que ele gerencia. Qual maçãofator não é importante para determinar o valor de dados para uma organiza-ção? 4 de 40 — "Completeza" faz parte de qual aspecto de confiabilidade da in- formação?A. O conteúdo dos dados. A. DisponibilidadeB. O grau em que a falta, dados incompletos ou incorretos podem ser recupe- B. Exclusividaderados. C. IntegridadeC. A indispensabilidade dos dados para os processos de negócio. D. ConfidencialidadeD. A importância dos processos de negócios que fazem uso dos dados. A. incorreto. As informações podem estar disponíveis sem ter que ser com-A. correto. O conteúdo dos dados não determina o seu valor. pletasB. incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmen- B. incorreto. A exclusividade é uma característica de sigilo.te recuperados são menos valiosos do que os dados que são difíceis ou im- C. correto. Completeza faz parte da Integridade, que é parte do aspecto depossíveis de recuperar. confiabilidade. 85 86
  • D. incorreto. As informações confidenciais não têm que ser completas 7 de 40 – Qual das afirmações sobre a análise de risco é a correta?5 de 40 — Um departamento administrativo vai determinar os perigos aos 1. Riscos que são apresentados em uma análise de risco podem ser classifica-quais está exposto. O que chamamos de um possível evento que pode ter dos.um efeito perturbador sobre a confiabilidade da informação? 2. Numa análise de risco todos os detalhes têm que ser considerados. 3. A análise de risco limita-se a disponibilidade.A. Dependência 4. A análise de risco é simples de efetuar através do preenchimento de umB. Ameaça pequeno questionário padrão com perguntas padrão.C. Vulnerabilidade A. 1D. Risco B. 2 C. 3A. incorreto. A dependência não é um evento. D. 4B. correto. A ameaça é um evento possível que pode ter um efeito per-turbador sobre a confiabilidade da informação. A. correto. Nem todos os riscos são iguais. Como regra os maiores ris-C. incorreto. A vulnerabilidade é o grau em que um objeto está suscetível a cos são abordados em primeiro lugar.uma ameaça. B. incorreto. É impossível em uma análise de risco examinar todos os deta-D. incorreto. Um risco é o prejuízo médio esperado durante um período de lhes.tempo como resultado de uma ou mais ameaças levando à ruptura C. incorreto. A análise de risco considera todos os aspectos de confiabilida- de, incluindo a integridade e confidencialidade, juntamente com a disponibi-6 de 40 — Qual é o propósito do gerenciamento de risco? lidade. D. incorreto. Em uma análise de riscos, questões raramente são aplicáveis aA. Determinar a probabilidade de que um certo risco ocorrera. cada situação.B. Determinar os danos causados por possíveis incidentes de segurança.C. Delinear as ameaças a que estão expostos os recursos de TI. 8 de 40 - Qual dos exemplos abaixo pode ser classificado como fraude?D. Utilizar medidas para reduzir os riscos para um nível aceitável. 1. Infectar um computador com um vírus. 2. Realização de uma operação não autorizada.A. incorreto. Isso faz parte da análise de risco. 3. Divulgação de linhas de comunicação e redes.B. incorreto. Isso faz parte da análise de risco. 4. Utilização da Internet no trabalho para fins privados.C. incorreto. Isso faz parte da análise de risco.D. correto. O objetivo do gerenciamento de risco é o de reduzir os ris- A. 1cos para um nível aceitável. B. 2 C. 3 D. 4 87 88
  • A. incorreto. A infecção por vírus é classificada como a "ameaça de alteração A. incorreto. Medidas corretivas são tomadas após eventonão autorizada". B. incorreto. Medidas detetivas são tomadas depois de um sinal de detecção.B. correto. Uma transação não autorizada é classificada como "fraude". C. incorreto. As medidas preventivas são destinadas a evitar incidentes.Consulte a seção 4.6 "Ameaças administrativas". D. correto. Medidas repressivas, tais como um acordo stand-by, visamC. incorreto. Tapping é classificada como "ameaça" de divulgação ". minimizar os danos.D. incorreto. A utilização privada é classificada como a ameaça de "abuso". 9 de 40 - O que é um exemplo de uma ameaça humana?9 de 40 - Um risco possível para uma empresa é dano por incêndio. Se essaameaça ocorre, isto é, se um incêndio na verdade eclode, danos diretos e indi- A. Um pen drive que passa vírus para a rede.retos podem ocorrer. O que é um exemplo de prejuízos diretos? B. Muito pó na sala do servidor. C. Um vazamento que causa uma falha no fornecimento de eletricidade.A. Um banco de dados é destruídoB. Perda de imagem A. correto. Um pen drive que passa vírus para a rede sempre é inseridoC. Perda de confiança do cliente por uma pessoa. Assim fazendo um vírus entra na rede, então é umaD. Obrigações legais não podem mais ser satisfeitas ameaça humana. B. incorreto. Poeira não é uma ameaça humana.A. correto. Um banco de dados destruído é um exemplo dos prejuízos C. incorreto. A fuga de energia elétrica não é uma ameaça humana.diretos.B. incorreto. Danos de imagem é indireta. 12 de 40 - O que é um exemplo de uma ameaça humana?C. incorreto. Perda de confiança do cliente é indireta.D. incorreto. Ser incapaz de cumprir as obrigações legais é dano indireto. A. Um apagão B. Fogo C. Phishing10 de 40 - A fim de reduzir os riscos, uma empresa decide optar por uma es-tratégia de um conjunto de medidas. Uma das medidas é que um acordo A. incorreto. Um relâmpago é um exemplo de uma ameaça não humanastand-by é organizado para a empresa. A que tipo de medidas um acordo B. incorreto. O fogo é um exemplo de uma ameaça não humanastand-by pertence? C. correto. Phishing (atraem usuários para sites falsos) é uma forma de ameaça humana.A. Medidas corretivasB. Medidas detetivas 13 de 40 - A informação tem uma série de aspectos de confiabilidade. confia-C. Medidas preventivas bilidade é constantemente ameaçada. Exemplos de ameaças são: um cabo seD. Medidas repressivas soltar, a informação que alguém altera por acidente, dados que são usados 89 90
  • para fins particulares ou falsificados. Qual destes exemplos é uma ameaça à 15 de 40 - No ciclo de incidente há quatro etapas sucessivas. Qual é a ordemconfidencialidade? dessas etapas?A. Um cabo solto A. Ameaça, Dano, Incidente, RecuperaçãoB. Exclusão acidental de dados B. Ameaça, Incidente, Dano, RecuperaçãoC. Utilização privada de dados C.Incidente, Ameaça, Dano, RecuperaçãoD. Falsificação de dados D. Incidente, Recuperação, Dano, AmeaçaA. incorreto. Um cabo solto é uma ameaça para a disponibilidade de infor- A. incorreto. Os danos se seguem após o incidente.mações. B. correto. A ordem das etapas do ciclo do incidente são: ameaça, inci-B. incorreto. A alteração não intencional de dados é uma ameaça à sua inte- dente, dano e recuperação.gridade. C. incorreto. O incidente segue a ameaça.C. correto. A utilização de dados para fins privados, é uma forma de D. incorreto. A recuperação é a última etapa.abuso e é uma ameaça à confidencialidade. .D. incorreto. A falsificação de dados é uma ameaça à sua integridade. 16 de 40 - Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde. Os funcionários são transferidos para escritórios vizinhos14 de 40 - Um empregado nega o envio de uma mensagem específica. para continuar seu trabalho. No ciclo de vida do incidente, onde são encon-Qual o aspecto de confiabilidade da informação está em perigo aqui? trados os arranjos de continuidade?A. Disponibilidade A. Entre a ameaça e o incidenteB. Exatidão B. Entre a recuperação e a ameaçaC. Integridade C. Entre o dano e a recuperaçãoD. Confidencialidade D. Entre o incidente e os danos A. incorreto. Sobrecarregar a infraestrutura é um exemplo de uma ameaça à A. incorreto. Realização de um acordo stand-by, sem que primeiro haja umdisponibilidade. incidente é muito caro. B. incorreto. Exatidão não é um aspecto de confiabilidade. É uma caracte- B. incorreto. A recuperação ocorre após a colocação do acordo de stand-byrística de integridade. em funcionamento. C. correto. A negação do envio de uma mensagem tem a ver com o não- C. incorreto. Danos e recuperação são realmente limitados pelo acordo standrepúdio, uma ameaça à integridade. -by. D. incorreto. O uso indevido e / ou divulgação de dados são ameaças à con- D. correto. Um stand-by é uma medida repressiva que é iniciada, a fimfidencialidade. de limitar os danos. 91 92
  • 17 de 40 - Como é amelhor descrição do objetivo da política de segurança da C. incorreto. O código de conduta se baseia em matéria de confidencialidadeinformação? e privacidade, entre outras coisas.A. A política documenta a análise de riscos e a busca de medidas de contor- 19 de 40 - Um trabalhador da companhia de seguros Euregio descobre que ano. data de validade de uma política foi alterada sem seu conhecimento. Ela é aB. A política fornece orientação e apoio à gestão em matéria de segurança da única pessoa autorizada a fazer isso. Ela relata este incidente de segurançainformação. ao Helpdesk.C. A política torna o plano de segurança concreto, fornecendo-lhe os deta-lhes necessários. O atendente do Helpdesk registra as seguintes informações sobre este inci-D. A política fornece percepções sobre as ameaças e as possíveis consequên- dente:cias.  data e hora  descrição do incidenteA. incorreto. Este é o propósito da análise e gerenciamento de riscos.  possíveis consequências do incidenteB. correto. A política de segurança fornece orientação e apoio à gestãoem matéria de segurança da informação. Que informação importante sobre o incidente está faltando aqui?C. incorreto. O plano de segurança faz com que a política de segurança da A. O nome da pessoa que denunciou o incidenteinformação seja concreta. O plano inclui medidas que tenham sido escolhi- B. O nome do pacote de softwaredas, quem é responsável pelo que, as orientações para a implementação de C. O número do PCmedidas, etc. D. Uma lista de pessoas que foram informadas sobre o incidenteD. incorreto. Este é o propósito de uma análise de ameaça. A. correto. Ao relatar um incidente, o nome do usuário deve ser registra-18 de 40 - O código de conduta para os negócios eletrônicos (e-business) é do no mínimo.baseado em uma série de princípios. Quais dos seguintes princípios não per- B. incorreto. Esta informação adicional pode ser adicionada posteriormentetencem? C. incorreto. Esta informação adicional pode ser adicionada posteriormente D. incorreto. Esta informação adicional pode ser adicionada posteriormenteA. ConfiabilidadeB. Registro 20 de 40 - Uma empresa experimenta os seguintes incidentes:C. Confidencialidade e privacidade 1. Um alarme de incêndio não funciona.A. incorreto. Confiabilidade forma uma das bases do código de conduta. 2. A rede é invadida.B. correto. O código de conduta é baseado nos princípios de confiabili- 3. Alguém finge ser um membro do quadro de pessoal.dade, transparência, confidencialidade e privacidade. 4. Um arquivo no computador não pode ser convertido em um arquivo PDF. Qual destes incidentes não é um incidente de segurança? 93 94
  • A. 1 22 de 40 - Um alarme de fumaça é colocado em uma sala de computadores.B. 2 Sob qual categoria de medidas de segurança está esta?C. 3 A. CorretivasD. 4 B. Detetiva C. OrganizacionalA. incorreto. Um alarme de incêndio defeituoso é um incidente que pode D. Preventivaameaçar a disponibilidade de dados.B. incorreto. Hacking é um incidente que pode ameaçar a disponibilidade, A. incorreto. Um alarme detecta fumaça e, em seguida, envia um alarme, masintegridade e confidencialidade dos dados. não tomar qualquer ação corretiva.C. incorreto. Desvio de identidade é um incidente que pode ameaçar o as- B. correto. Um alarme de incêndio só tem uma função de sinalização,pecto da disponibilidade, integridade e confidencialidade dos dados. após o alarme dado, a ação ainda é necessária.D. correto. Um incidente de segurança é um incidente que ameaça a C. incorreto. Só as medidas que seguem um sinal de alarme de incêndio sãoconfidencialidade, confiabilidade e disponibilidade dos dados. Esta organizacionais; a colocação de um alarme de fumaça não é organizacional.não é uma ameaça para a disponibilidade, integridade e confidenciali- D. incorreto. Um alarme de fumaça não impede o fogo e não é portanto umadade dos dados. medida preventiva.21 de 40 - As medidas de segurança podem ser agrupadas de várias manei- 23 de 40 - Security Officer (ISO-Information Security Officer)), da compa-ras. Qual das seguintes é correta? nhia de seguros Euregio deseja ter uma lista de medidas de segurança em conjunto. O que ele tem que fazer primeiramente antes de selecionar as me-A. Física, lógica, preventiva didas de segurança a serem implementadas?B. Lógica repressiva, preventivaC. Organizacional, preventiva, corretiva, física A. Implantar o monitoramento.D. Preventiva, detetiva, repressiva, corretiva B. Realizar uma avaliação. C. Formular uma política de segurança da informação.A. incorreto. Organizacional / lógico / físico é um grupo apropriado, como D. Realizar uma análise de risco.é preventiva / detetiva / repressiva / corretivas.B. incorreto. Organizacional / lógico / físico é um grupo apropriado, como é A. incorreto. O monitoramento é uma medida possível.preventiva / detetiva / repressiva / corretivas. B. incorreto. A avaliação acontece depois que a lista de medidas é montada.C. incorreto. Organizacional / lógico / físico é um grupo apropriado, como C. incorreto. Uma política de segurança da informação é importante, masé preventiva / detetiva / repressiva / corretivas. não é necessária a fim de selecionar medidas.D. correto. Preventiva / detetiva / repressiva / corretiva é um grupo D. correto. Antes das medidas de segurança serem selecionadas, Euregioapropriado, como é organizacional / lógico / físico. deve conhecer os seus riscos para determinar quais os riscos requerem uma medida de segurança. 95 96
  • 24 de 40 - Qual é a finalidade da classificação das informações? A. Uma medida de segurança de correção B. Uma medida de segurança físicaA. Determinar quais tipos de informações podem requerer diferentes níveis C. Uma medida de segurança lógicade proteção. D. Uma medida de segurança repressivaB. Atribuir informações a um proprietário.C. Reduzir os riscos de erro humano. A. incorreto. A medida de segurança de correção é uma medida de recupe-D. Impedir o acesso não autorizado a informações. ração. B. correto. Esta é uma medida de segurança física.A. correto. O objetivo da classificação das informações é de manter uma C. incorreto. Uma medida de segurança lógica controla o acesso ao softwa-proteção adequada. re e informação, e não o acesso físico às salasB. incorreto. Alocação de informações para um proprietário é o meio de clas- D. incorreto. A medida de segurança repressiva visa minimizar as conse-sificação e não o fim. quências de um rompimento.C. incorreto. Reduzir os riscos de erro humano é parte dos requisitos desegurança dos funcionários. 27 de 40 - Quatro membros do pessoal (4) do departamento de TI compar-D. incorreto. Impedir o acesso não autorizado a informações é parte de se- tilham um (1) mesmo crachá. A que risco de isso levar?gurança de acesso.25 de 40 - A autenticação forte é necessária para acessar áreas altamente A. Se a energia falhar, os computadores vão ficar fora.protegidas. Em caso de autenticação forte a identidade de uma pessoa é ve- B. Se houver fogo os extintores de incêndio não podem ser usados.rificada através de três fatores. Qual fator é verificado quando é preciso digi- C. Se alguma coisa desaparecer da sala de informática não vai ficar clarotar um número de identificação pessoal (PIN)? quem é responsável. D. Pessoas não autorizadas podem ter acesso à sala de computadores semA. Algo que você é serem vistas.B. Algo que você temC. Algo que você sabe A. incorreto. Computadores fora do ar como resultado de uma falha de energia não têm nada a ver com a gestão de acesso.A. incorreto. Um código PIN não é um exemplo de algo que você é. B. incorreto. Mesmo com um crachá, a equipe de TI pode apagar um incên-B. incorreto. Um código PIN não é algo que você tem. dio com um extintor de incêndio.C. correto. Um código PIN é algo que você sabe. C. correto. Embora fosse claro que alguém do departamento de TI entrou na sala, não é certo que isso tenha acontecido.26 de 40 - O acesso à sala de computadores está fechado usando um leitor de D. incorreto. Ninguém tem acesso à sala de computadores sem um crachá.crachás. Somente o Departamento de Sistemas de Gestão tem um crachá.Que tipo de medida de segurança é essa? 28 de 40 - No salão de recepção de um escritório da administração, há uma impressora que todos os funcionários podem usar em caso de emergência. 97 98
  • O arranjo é que as impressões devem ser recolhidas imediatamente, para 30 de 40 - As cópias de segurança As cópias de segurança (backup) As có-que elas não possam ser levadas por um visitante. Qual outro risco para a pias de segurança (backup) do servidor central são mantidas na mesma salainformação da empresa que esta situação traz? fechada com o servidor. Que risco a organização encara?A. Os arquivos podem permanecer na memória da impressora. A. Se a falha no servidor, ele vai levar um longo tempo antes que o servidorB. Visitantes seriam capazes de copiar e imprimir as informações confiden- está novamente operacional.ciais da rede. B. Em caso de incêndio, é impossível obter o sistema de volta ao seu estadoC. A impressora pode tornar-se deficiente através do uso excessivo, de mo- anterior.do que já não estará disponível para uso. C. Ninguém é responsável pelos backups. D. Pessoas não autorizadas tenham acesso fácil para os backups.A. correto. Se os arquivos permanecem na memória podem ser impres-sos e levados por qualquer transeunte. A. incorreto. Pelo contrário, isso ajudaria a recuperar o sistema operacionalB. incorreto. Não é possível usar uma impressora para copiar as informa- mais rapidamente.ções da rede. B. correto. A chance de que as cópias de segurança também podem serC. incorreto. A indisponibilidade de uma impressora não forma um risco destruídas em um incêndio é muito grande.para a informação da companhia. C. incorreto. A responsabilidade não tem nada a ver com o local de armaze- namento.29 de 40 - Qual das seguintes medidas de segurança é uma medida técnica? D. incorreto. A sala de informática está bloqueada.A. Atribuição de Informações a um dono 31 de 40 - Qual das tecnologias abaixo é maliciosa?B. Criptografia de arquivosC. Criação de uma política de definição do que é e não é permitido no e- A. Criptografiamail B. HashD. Senhas do sistema de gestão armazenadas em um cofre C. Virtual Private Network (VPN) D. Vírus, worms e spywareA. incorreto. Alocação de informações para um proprietário é a classifica-ção, que é uma medida de organização. A. incorreto. Criptografia torna a informação impossível de ser lida por qual-B. correto. Esta é uma medida técnica que impede que pessoas não au- quer pessoa, exceto aquela que possuem conhecimento especial, usualmentetorizadas leiam as informações. feito por uma chaveC. incorreto. Esta é uma medida de organização, um código de conduta que B. incorreto. Hash é um método de criptografia da informaçãoestá escrito no contrato de trabalho. C. incorreto. VPN é uma conexão segura feita para acesso à internetD. incorreto. Esta é uma medida de organização. D. correto. Todas essas são formas de tecnologias maliciosas que estabelecem pedidos a um computador para fins maliciosos. 99 100
  • contador audita a transação.32 de 40 - Que medida não ajuda contra software mal-intencionado? D. incorreto. Trancas as salas é um medida de segurança física. A. Uma política ativa de correções B. Um programa anti-spyware 34 de 40 - A identificação é determinar se a identidade de alguém é correta. C. Um filtro anti-spam Esta declaração é correta? D. Uma senha A. sim B. nãoA. incorreto. Software mal intencionado freqüentemente usa falhas de pro-gramação em programas populares. Correções reparam brechas de segurança A. incorreto. Identificação é o processo de tornar uma identidade conhecida.nesses programas, reduzindo a chance de infecções por software mal intenci- B. correto. Estabelecer se a identidade de alguém é correta é chamado deonado autenticação.B. incorreto. Spyware é um programa malicioso que coleta informações con- 35 de 40 - Por que é necessário manter um plano de recuperação de desastresfidenciais e então as distribui. Um programa anti-spyware pode detectar esse atualizados e testá-lo regularmente?tipo de programa no computadorC. incorreto. Spam é um e-mail não pedido. É freqüentemente uma simples A. A fim de sempre ter acesso a cópias de segurança (backups) recentes, quepropaganda mas pode também ter programas maliciosos anexados ou um estão localizados fora do escritório.link para um sítio na internet com software malicioso. Um filtro remove B. Para ser capaz de lidar com as falhas que ocorrem diariamente.spam. C. Porque de outra forma, na eventualidade de uma ruptura muito grande, asD. correto. Uma senha é um meio de autenticação. Ela não bloqueia qual- medidas tomadas e os procedimentos previstos podem não ser adequados ouquer tipo de software malicioso. podem estar desatualizados. D. Porque esta é exigida pela Lei de Proteção de Dados Pessoais.33 de 40 - O que é um exemplo de medida organizacional?A. Cópia de segurança (backup) de dados A. incorreto. Esta é uma das medidas técnicas utilizadas para recuperar umB. Criptografia sistemaC. Segregação de funções B. incorreto. Para rupturas normais as medidas usualmente executadas e osD. Manutenção de equipamentos de rede e caixas de junção em uma sala procedimentos de incidentes são suficientestrancada C. correto. Uma ruptura maior requer planos atualizados e testados. D. incorreto. A Lei de Proteção de Dados Pessoais envolve a privacidade dosA. incorreto. Cópia de segurança (backup) é uma medida técnica dados pessoaisB. incorreto. Criptografia de dados é uma medida técnicaC. correto. Segregação de funções é uma medida organizacional. A inicia- 36 de 40 - O que é a autorização?ção, execução e controle de funções são alocadas a diferentes pessoas. A. A determinação da identidade de uma pessoa.Por exemplos, a transferência de um grande volume de dinheiro é prepa- B. O registro das ações realizadas.rado por um escriturário, o diretor financeiro executa o pagamento e um C. A verificação da identidade de uma pessoa. 101 102
  • D. A concessão de direitos específicos, tais como o acesso seletivo para uma D. A Lei de acesso público a informações do governopessoa. A. incorreto. A Lei de Registros Públicos regula o armazenamento e a des-A. incorreto. A determinação da identidade de uma pessoa é chamada de truição de documentos arquivadosidentificação B. correto. O direito de inspeção é regulado na Lei de Proteção de DadosB. incorreto. O registro das ações realizadas é chamada diário Pessoais.C. incorreto. A verificação da identidade da pessoa é chamada de autentica- C. incorreto. A Lei de Crimes de Informática é uma mudança do Código Pe-ção nal e do Código de Processo Criminal de forma a tornar mais fácil lidar comD. correto. A permissão de direitos específicos, tal como acesso seletivo ofensas perpetradas por meio de tecnologia da informação avançada. Umpara uma pessoa, é chamada de autorização. exemplo de uma nova ofensa é o hacking. D. incorreto. A Lei de Acesso Público a Informações do Governo regula a ins-37 de 40 - Qual norma legal importante na área de segurança da informação peção de documentos oficiais escritos. Dados pessoais não são documentosque o governo tem que cumprir? oficiais. A. Análise de dependência e vulnerabilidade B. ISO / IEC 20000 39 de 40 - O Código de Prática de Segurança da Informação (ISO / IEC C. ISO / IEC 27002 27002) é uma descrição de um método de análise de risco. Esta declaração é D. Legislação nacional de segurança de informação ou regulamentos correta? A. SimA. incorreto. Dependência & Análise de Risco é um método de análise de B. NãoriscoB. incorreto. ISO/IEC 20000 é um padrão para organizar o gerenciamento de A. incorreto. A 27002 é uma coleção de medidasserviços de TI e não é compulsório. incorreto. ISO/IEC 27002 é o Código de B. correto. O Código de Segurança da Informação pode ser usado em umaSegurança da Informação. É um guia para organizar a Segurança de Informa- análise de risco mas não é um método.ção e não é compulsórioD. correto. Legislação nacional de segurança da informação ou regula- 40 de 40 - O Código de Prática de Segurança da Informação (ISO / IECmentos são intencionados para todos os governos e são obrigatórios. 27002) só se aplica às grandes empresas. Esta declaração é correta? A. Sim38 de 40 - Com base em qual legislação alguém pode pedir para inspecionar B. Nãoos dados que tenham sido registrados? A. incorreto. O Código de Segurança da Informação é aplicável a todos osA. A Lei de Registros Públicos tipos de organização, grandes e pequenas.B. A Lei de Proteção de Dados Pessoais B. correto. O Código de Segurança da Informação é aplicável a todos osC.A Lei de Crimes de Informática tipos de organização, grandes e pequenas. 103 104
  • A lista apresenta o nome traduzido, o original utilizado nas provas e litera- tura em Inglês do Exin e o tópico na apostila onde encontrar o assunto. Termo em Português Termo em Inglês Tópico Ameaça Threat 3.1Anexo B Análise da Informação Information Analysis 1.1 Análise de Risco Risk analysis 3.3 Análise de risco qualitativa Qualitative risk analysis 3.3 Análise quantitativa de risco Quantitative risk analysis 3.3 Arquitetura da Informação Information architecture 1.1 Assinatura Digital Digital signature 5.3Lista de conceitos básico do Exin Ativo Asset 1.2 Auditoria Audit 5.7, 6.2 Autenticação Authentication 5.7 Autenticidade Authenticity 1.3 Autorização Authorization 5.7 Avaliação de Riscos Risk assessment 3.3 Backup (Cópia de segurança) Backup 5.3 Biometria Biometrics 5.3 Botnet Botnet 3.2 Categoria Category 5.1 Cavalo de Troia Trojan 3.2 Certificado Digital Certificate 5.3 Chave Key 5.3 Ciclo de Incidentes Incident cycle 4.3 Classificação Classification (grading) 2.3 Código de boas práticas de Segu- Code of practice for information 1.1 rança (ISO 27002) security (ISO/IEC 27002:2005) 105 106
  • Termo em Português Termo em Inglês Tópico Termo em Português Termo em Inglês TópicoCódigo de conduta Code of conduct 4.2 Fornecedor Ininterrupto de Energia Uninterruptible Power Supply 5.2 (No Break) (UPS)Código Malicioso (Malware) Malware 3.2 Gerenciamento da Continuidade de Business Continuity Manage- 5.8Completeza (Totalidade) Completeness 1.2 Negócios (GCN) ment (BCM)Confiabilidade das informações Reliability of information 1.2 Gerenciamento da Informação Information management 1.1Confidencialidade Confidentiality 1.3 Gerenciamento de acesso lógico Logical access management 5.7Conformidade Compliance 6 Gerenciamento de Mudança Change Management 4.3Continuidade Continuity 1.3 Gerenciamento de riscos Risk management 3.3Controle de Acesso Access control 5.7 Hacking Hacking 3.2Corretiva Corrective 5.1 Hoax Hoax 3.2Criptografia Cryptography 5.3 Identificação Identification 1.Dados Data 1.1 Impacto Impact 4.1Danos Damage 3.3Danos diretos Direct damage Incidente de Segurança Security incident 4.3Danos indiretos Indirect damage Informação Information 1.1Desastre Disaster 5.8 Infraestrutura Infrastructure 1.1Detectiva Detective 5.1 Infraestrutura de chave pública Public Key Infrastructure (PKI) 5.3Disponibilidade Availability 1.3 (ICP)Encriptar Encryption 5.3 Integridade Integrity 1.2Engenharia Social Social engineering 3.2 Interferência InterferenceEscalação Escalation 4.3Escalação funcional Functional escalation ISO / IEC 27001:2005 ISO/IEC 27001:2005 1.1Escalação hierárquica Hierarchical escalation ISO / IEC 27002:2005 ISO/IEC 27002:2005 1.1Estratégia de Risco Risk strategy 3.3Evitar riscos Risk avoiding Legislação de direitos autorais Copyright legislation 6.1Exatidão Correctness 1.3 Legislação sobre Crimes de Informá- Computer criminality legislation 6.1 ticaExclusividade Exclusivity 1.3 Legislação sobre proteção de dados Personal data protection legisla- 6.1Fator de produção Production factor 1.2 pessoais tionFirewall pessoal Personal firewall 5.3 Legislação sobre registros públicos Public records legislation 6.1 107 108
  • Termo em Português Termo em Inglês Tópico Termo em Português Termo em Inglês TópicoMedida de segurança Security measure 5 Robustez Robustness 1.3Não-repúdio Non-repudiation 1.3 Rootkit Rootkit 3.2Organização de Segurança Security Organization 4.2 Segregação de funções Segregation of duties 5.6Patch Patch 5.4 Sistema de Informação Information system 1.1Phishing Phishing 3.2 Spam Spam 3.2Plano de Continuidade de Ne- Business Continuity Plan 5.8 Software Espião Spyware 3.2gócios (PCN) (BCP) Stand-by Arrangement Stand-by arrangement 5.8Plano de Recuperação de De- Disaster Recovery Plan (DRP) 5.8sastre (PRD) Mídia de armazenamento Storage medium 1.1Política de mesa limpa Clear desk policy 5.2 Urgência Urgency 4.1Privacidade Privacy 1.3 Validade Validation 1.2Política de Segurança Security Policy 4.1 Verificação Verification 6.2Porta de Manutenção Maintenance door 3.2 Vírus Virus 3.2Precisão Precision 1.3 Vulnerabilidade Vulnerability 3.1Preventiva Preventive 5.1 Verme Worm 3.2Prioridade Priority 4.1Prontidão Timeliness 1.3Rede privada virtual (VPN) Virtual Private Network (VPN) 5.3Redutiva Reductive 5.1Reduzir riscos Risk Reduce 3.3Regulamenta1ção de segurança Security regulations for special 6.1para informações especiais p/ o information for the governmentgovernoRegulamentação de Segurança Security regulations for the 6.1para o governo governmentRepressiva Repressive 5.1Reter risco Risk bearing 3.3Risco Risk 3 109 110
  • Anexo C Referências Bibliográficas111 112
  • Anexo C – Referencias Bibliograficas[1] GIL, Antonio de Loureiro. Segurança em Informática. 2. Ed. São Paulo: Atlas, Anexo D1998.[2] GIL, Antonio de Loureiro. Auditoria de Computadores. 4. Ed. São Paulo: Atlas,1999.[3] SCHNEIER, Bruce. Segurança.com, Tradução de “Secrets & Lies”, Segredos eMentiras sobre a Proteção na Vida Digital, Criptografia, Criptografia no Contexto,Identificação e Autenticação.[4] BUCHMANN, Johannes A. Introdução à Criptografia, Codificação Criptográficaou Cifragem, Chave Pública, Assinaturas Digitais. Sites Recomendados[5] Segurança Máxima. 3. ed. Rio de Janeiro: Campus, 2001.[6]. SÊMOLA, Marcos. Gestão da Segurança da Informação. 1. Ed. Rio de Janeiro:Campus, 2003.[7] PORTER, Michael E. Estratégia Competitiva: Técnicas para Análise de Indústriase da Concorrência. 7. Ed. Rio de Janeiro: Campus, 1986.[8~] DAVENPORT, Thomas H. Ecologia da Informação5. Ed. São Paulo: Futura, 2003[9] FONSECA, Fernando. ISO 27005 Exemplificada. Acessada 19/05/2010 : ftp://ftp.registro.br/pub/gts/gts15/02-ISO-27005-exemplificada.pdf[10] DRUCKER, Peter. Sociedade pós-capitalista. São Paulo: Editora Pioneira, 7ªEdição, 1998. 113 114
  • Anexo D – Sites Recomendados Blog Segurança Objetiva— segurancaobjetiva.wordpress.com Segurança Microsoft— www.microsoft.com/security Linha Defensiva— www.linhadefensiva.org Infosec Council — www.infoseccouncil.org.br 115 116