Material do Aluno
Versão 1.0
PDF Gerado em baixa resolução
para demonstração do material
2
Fundamentos de Segurança da Inf...
3 4
5 6
Sumário
O Programa de Certificação do Exin................................. 6
1 Informação e Segurança...................
7
Sumário
6 Conformidade................................................................ 266-
6.1 Legislação e Regulamenta...
9
treinamento e exames abrangentes baseados em padrões de TI reconhecidos
internacionalmente
A qualidade dos serviços de T...
11
1.3 Aspectos de confiabilidade (5%) - O candidato conhece os aspectos
de confiabilidade (confidencialidade, integridade...
13
4.2 Medidas de segurança física (10%) - O candidato tem conhecimento
tanto da criação e execução de medidas de seguranç...
15
 Envolvimento e comprometimento da direção da empresa na seguran-
ça da informação;
 Padrão aceito no mundo, com mais...
17 18
Conforme visto anteriormente, devido à sua natureza abstrata, as informa-
ções precisam de uma mídia para serem tran...
19
Quando uma informação não é mais necessária, é necessário estabelecer pro-
cedimentos na Política de Segurança da organ...
21
A ISO 27002:2005 é dividida em 11 seções e 39 categorias, que listamos
a seguir:
Política de segurança da informação
 ...
23
 Encerramento ou mudança da contratação - Objetivo: Assegurar que
funcionários, fornecedores e terceiros deixem a orga...
25
 Computação móvel e trabalho remoto - Objetivo: Garantir a segurança
da informação quando a computação móvel e recurso...
27
Estudo de Caso—Boeing 787
Segundo um relatório da agência americana FAA (Federal Aviation Adminis-
tration), o novo jat...
29
É importante diferenciarmos Governança de TI de Gerenciamento de TI.
A Governança de TI encontra-se e um nível estratég...
31
Segundo o CobiT (Control Objectives for Information and related Techno-
logy), a Governança de TI possui cinco áreas de...
33
O Balanced ScoreCard (BSC) é uma metodologia que estabelece um siste-
ma de medição de desempenho das organizações. Foi...
35
As quatro perspectivas do Balanced Scorecard estão contempladas em obje-
tivos de negócio (Business Goals) do CobiT.
 ...
37
Perspectiva do Cliente
4 - Aprimorar orientação para clientes e serviços. (3, 23)
5 - Oferecer produtos e serviços comp...
39
7 - Adquirir e manter sistemas aplicativos integrados e padronizados. (PO3
AI2 AI5)
8 - Adquirir e manter uma infraestr...
41
da ufologia mundial, os militares americanos primeiro admitiram a existên-
cia dos óvnis e depois negaram, os relatório...
43
Hoje, a pessoa que quiser relatar a aparição de um óvni dificilmente encon-
trará eco na FAB. "A Aeronáutica não dispõe...
45
A palavra risco, vem da palavra “risicare”, que no italiano antigo significa
ousar. Através dessa definição entendemos ...
47
Agente de ameaça é o elemento que através de uma ação própria é capaz de
concretizar uma ameaça.
O agente é o elo de li...
49
Os rootkits ganharam publicidade em 2005, quando foi revelado que a gra-
vadora Sony/BMG instalava um rootkit chamado X...
51
A história foi acolhida por outros blogs (inclusive o meu), e logo depois
pela mídia de informática. Finalmente os gran...
53
compra CDs com suas músicas, você pode confiar nela para lhe vender
um computador não infectado? Essa é uma pergunta bo...
55
A única coisa que torna este rootkit legítimo é o fato de uma empresa
multinacional colocá-lo no seu computador, e não ...
57
A política é um conjunto de documentos que estabelecem as regras a serem
obedecidas para que a organização possua um ní...
59
Os colaboradores de empresa desempenham um importante papel na
detecção de fragilidades segurança, e na notificação de ...
61
Os controles de segurança da informação devem ter uma origem bem justifi-
cada, e sofrer uma revisão periódica para ana...
63
Segundo a ISO 27002, os controles físicos previnem o acesso físico não
autorizado, danos e interferências com as instal...
65
Ciência milenar, chave dos segredos da antiga Roma, peça fundamental na
Segunda Guerra Mundial, atualmente é estrela do...
67
As autoridades certificadoras (AC’s) agem como cartórios digitais, reco-
lhendo, através de suas AR’s (autoridades de r...
69 70
Após o lançamento de um software, uma vulnerabilidade não detecta-
da nas fases de teste permanece latente até que a...
71
Outra possibilidade a que ele não venha a publicá-la, e sim a disponi-
bilizá-la para um criador de vírus que utilizam ...
73
O Primeiro malware a utilizar-se de uma vulnerabilidade de código foi o
“Morris Worm”, nome dado em homenagem a seu cri...
75
O trecho de código acima foi extraído de um documento da Microsoft,
vemos uma vulnerabilidade no código do servidor RPC...
77
A partir da década de 80, alguns organismos internacionais começaram a de-
senvolver padrões de certificação para testa...
79
Trata-se de um dos princípios mais conhecidos e mais importantes da se-
gurança da informação, e prega a divisão de tar...
81
De acordo com a classificação da informação que está sendo protegida pode-
mos utilizar uma combinação de mais de um fa...
83
Estar em conformidade significa evitar violação de:
 Qualquer lei criminal ou civil;
 estatutos;
 regulamentações;
...
85
Anexo A – Exercícios com respostas comentadas
1 de 40 —Você recebeu do seu contador uma cópia da sua declaração fiscal ...
87
D. incorreto. As informações confidenciais não têm que ser completas
5 de 40 — Um departamento administrativo vai deter...
89
A. incorreto. A infecção por vírus é classificada como a "ameaça de alteração
não autorizada".
B. correto. Uma transaçã...
91
para fins particulares ou falsificados. Qual destes exemplos é uma ameaça à
confidencialidade?
A. Um cabo solto
B. Excl...
93
17 de 40 - Como é amelhor descrição do objetivo da política de segurança da
informação?
A. A política documenta a análi...
95
A. 1
B. 2
C. 3
D. 4
A. incorreto. Um alarme de incêndio defeituoso é um incidente que pode
ameaçar a disponibilidade de...
97
24 de 40 - Qual é a finalidade da classificação das informações?
A. Determinar quais tipos de informações podem requere...
99
O arranjo é que as impressões devem ser recolhidas imediatamente, para
que elas não possam ser levadas por um visitante...
101
32 de 40 - Que medida não ajuda contra software mal-intencionado?
A. Uma política ativa de correções
B. Um programa an...
103
D. A concessão de direitos específicos, tais como o acesso seletivo para uma
pessoa.
A. incorreto. A determinação da i...
105
Anexo BLista de conceitos básico do Exin
106
A lista apresenta o nome traduzido, o original utilizado nas provas e lit...
107
Termo em Português Termo em Inglês Tópico
Código de conduta Code of conduct 4.2
Código Malicioso (Malware) Malware 3.2...
109
Termo em Português Termo em Inglês Tópico
Medida de segurança Security measure 5
Não-repúdio Non-repudiation 1.3
Organ...
111 112
Anexo CReferências Bibliográficas
113
Anexo C – Referencias Bibliograficas
[1] GIL, Antonio de Loureiro. Segurança em Informática. 2. Ed. São Paulo: Atlas,
...
115
Anexo D – Sites Recomendados
 Blog Segurança Objetiva— segurancaobjetiva.wordpress.com
 Segurança Microsoft— www.mic...
Upcoming SlideShare
Loading in …5
×

Antebellumsec201 fundamentosdeseguranadainformao-130301170538-phpapp02

329 views

Published on

Material de Segurança da Informação para certificação do EXIN

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
329
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Antebellumsec201 fundamentosdeseguranadainformao-130301170538-phpapp02

  1. 1. Material do Aluno Versão 1.0 PDF Gerado em baixa resolução para demonstração do material 2 Fundamentos de Segurança da Informação ISBN: 978-85-66649-01-7 Autor: Fernando Fonseca Direitos autorais garantidos para: Antebellum Capacitação Profissional Todos os direitos reservados. Este manual não pode ser copiado, fotocopiado, re- produzido, traduzido para outras línguas ou convertido em qualquer forma eletrô- nica ou legível por qualquer meio, em parte ou no todo, sem a aprovação prévia por escrito da Antebellum Capacitação Profissional ® 320 Páginas - Editora Antebellum www.antebellum.com.br cursos@antebellum.com.br Responsabilidade Social Este material foi impresso pela Ekofootprint, utilizan- do papel reciclado e tecnologia de cera (Solid Ink) da Xerox, que reduz o impacto ambiental das impressões em 90%, se comparado à tecnologia Laser. www.ekofootprint.com
  2. 2. 3 4
  3. 3. 5 6 Sumário O Programa de Certificação do Exin................................. 6 1 Informação e Segurança................................................... 15- 1.1 Conceitos Fundamentais.................................................. 15- 1.2 Valor da Informação......................................................... 58- 1.3 Aspectos de Confiabilidade.............................................. 65- 2 Alinhamento Estratégico.................................................. 75- 2.1 Governança...................................................................... 75- 2.2 Modelagem de Processos................................................ 91- 2.3 Classificação da Informação............................................. 96- 3 Gestão de Riscos.............................................................. 104- 3.1 Ameaças........................................................................... 104- 3.2 Tipos de Ameaça.............................................................. 107- 3.3 - Dano................................................................................. 143 3.4 Análise de Riscos.............................................................. 151- 4 Abordagem e Organização............................................... 166- 4.1 Políticas de Segurança...................................................... 166- 4.2 Organização da Segurança............................................... 172- 4.3 Gestão de Incidentes........................................................ 178- 5 Medidas de Segurança..................................................... 190- 5.1 A Importância das Medidas.............................................. 190- 5.2 Controles Físicos............................................................... 194- 5.3 Controles Tecnológicos.................................................... 203- 5.4 Segurança em Software................................................... 220- 5.5 Controles Organizacionais................................................ 242- 5.6 Gestão de Pessoas............................................................ 245- 5.7 Controle de Acesso........................................................... 253- 5.8 Continuidade de Negócios............................................... 259-
  4. 4. 7 Sumário 6 Conformidade................................................................ 266- 6.1 Legislação e Regulamentação........................................ 266- 6.2 Avaliação....................................................................... 275- Anexo A. – Exame Simulado (Oficial Exin)..................... 280 Anexo B— Lista de Conceitos Básicos do Exin............... 301 Anexo C— Referências Bibliográficas............................ 308 Anexo D—Sites .Recomendados................................... 310 Anexo E—Cronograma do Curso................................... 312 8 O EXIN - Examination Institute for Information Science, é uma empresa glo- bal, prestadora de exame independente de TI que oferece programas de capa- citação para ISO/IEC 20000, ISO/IEC 27000, ITIL ®, MOF, entre outros. É missão do EXIN melhorar a qualidade do setor de TI, os profissionais de TI e os usuários de TI, por meio de testes e certificações. A tecnologia da informação é a pedra fundamental do competitivo mundo dos negócios de hoje. Como profissional de TI, você enfrenta o desafio diário de fornecer serviços de TI confiáveis e acessíveis. Seu mundo é movido pelo desempenho e está em constante mutação. Muitas novas profissões de TI continuam a surgir. São mais de 350.000 profissionais certificados em mais de 125 países exercitando-se em Tecnologia da Informação em todos os ní- veis. Estes profissionais obtiveram sua valiosa certificação EXIN através de
  5. 5. 9 treinamento e exames abrangentes baseados em padrões de TI reconhecidos internacionalmente A qualidade dos serviços de TI depende muito do profissionalismo da equi- pe. O EXIN oferece acompanhamento da aprendizagem, proporcionando aos profissionais de TIC (Tecnologia da Informação e Comunicação) as competências e habilidades apropriadas para aprimorar o desempenho do seu trabalho. A obtenção de um certificado EXIN é uma evidência sólida de um treinamento bem-s O programa de certificação do EXIN é dividido em três níveis. O inicial é o exame de fundamentos, destinado a todos na organização que processam informações. Seu objetivo é criar a consciência da responsabilidade de cada indivíduo na manutenção da confiabilidade e do valor dos ativos de infor- mação da empresa. O módulo também é adequado para pequenas empresas cujos conhecimentos básicos de Segurança da Informação são necessários. O exame avançado é destinado a todos que, através de sua posição, estão envolvidos com a implementação, avaliação e comunicação de segurança da informação, tais como o Gerente de Segurança da Informação e o Security Officer ou o Gerente de Projetos. O exame de especialista em gerenciamento é destinado aos profissionais de TI que são responsáveis pelo desenvolvimento e implementação, em parte ou no todo, das estruturas da Segurança da Informação. Exemplos podem incluir o Chief Information Security Officer, o Gerente de Segurança da In- formação, Implementador de Segurança da Informação e Arquitetos de Sis- temas de Informações. 10 1. Informação e Segurança (10%) 1.1 O conceito de informação (2,5%) - O candidato entende o conceito de informação. O candidato é capaz de: 1.1.1 Explicar a diferença entre os dados e informações 1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutu- ra básica 1.2 Valor da informação (2,5%) - O candidato entende o valor da infor- mação para as organizações. O candidato é capaz de: 1.2.1 Descrever o valor de dados / informação para as organizações 1.2.2 Descrever como o valor de dados / informações pode influenciar as organizações 1.2.3 Explicar como conceitos aplicados de segurança de informações protegem o valor de dados / informações
  6. 6. 11 1.3 Aspectos de confiabilidade (5%) - O candidato conhece os aspectos de confiabilidade (confidencialidade, integridade, disponibilidade) da informação. O candidato é capaz de: 1.3.1 Nome dos aspectos de confiabilidade da informação 1.3.2 Descrever os aspectos de confiabilidade da informação 2. Ameaças e riscos (30%) 2.1 Ameaça e risco (15%) 0 O candidato compreende os conceitos de ameaça e risco. O candidato é capaz de: 2.1.1 Explicar os conceitos de ameaça, de risco e análise de risco 2.1.2 Explicar a relação entre uma ameaça e um risco 2.1.3 Descrever os vários tipos de ameaças 2.1.4 Descrever os vários tipos de danos 2.1.5 Descrever as diferentes estratégias de risco 2.2 Relacionamento entre ameaças, riscos e confiabilidade das informa- ções (15%) - O candidato compreende a relação entre as ameaças, riscos e confiabilidade das informações. O candidato é capaz de: 2.2.1 Reconhecer exemplos dos diversos tipos de ameaças 2.2.2 Descrever os efeitos que os vários tipos de ameaças têm sobre a in- formação e ao tratamento das informações 3. Abordagem e Organização (10%) 3.1 Política de Segurança e organização de segurança (2,5%) - O candida- to tem conhecimento da política de segurança e conceitos de organi- zação de segurança. O candidato é capaz de: 3.1.1 enunciar os objetivos e o conteúdo de uma política de segurança 3.1.2 enunciar os objetivos e o conteúdo de uma organização de segurança 12 3.2 Componentes (2,5%) - O candidato conhece as várias componentes da organização da segurança. O candidato é capaz de: 3.2.1 Explicar a importância de um código de conduta 3.2.2 Explicar a importância da propriedade 3.2.3 Nomear as regras mais importantes na organização da segurança da informação 3.3 Gerenciamento de Incidentes (5%) - O candidato compreende a im- portância da gestão de incidentes e escaladas. O candidato é capaz de: 3.3.1 Resumir como incidentes de segurança são comunicados e as infor- mações que são necessárias 3.3.2 Dar exemplos de incidentes de segurança 3.3.3 Explicar as consequências da não notificação de incidentes de segu- rança 3.3.4 Explicar o que implica uma escalada (funcional e hierárquica) 3.3.5 Descrever os efeitos da escalada dentro da organização 3.3.6 Explicar o ciclo do incidente 4. Medidas (40%) 4.1 Importância das medidas de (10%) - O candidato entende a impor- tância de medidas de segurança. O candidato é capaz de: 4.1.1 Descrever as maneiras pelas quais as medidas de segurança podem ser estruturadas ou organizadas 4.1.2 Dar exemplos de cada tipo de medida de segurança 4.1.3 Explicar a relação entre os riscos e medidas de segurança 4.1.4 Explicar o objetivo da classificação das informações 4.1.5 Descrever o efeito da classificação
  7. 7. 13 4.2 Medidas de segurança física (10%) - O candidato tem conhecimento tanto da criação e execução de medidas de segurança física. O candi- dato é capaz de: 4.2.1 Dar exemplos de medidas de segurança física 4.2.2 Descrever os riscos envolvidos com medidas de segurança física insuficientes 4.3 medidas de ordem técnica (10%) - O candidato tem conhecimento tanto da criação quanto da execução de medidas de segurança técni- ca. O candidato é capaz de: 4.3.1 Dar exemplos de medidas de segurança técnica 4.3.2 Descrever os riscos envolvidos com medidas de segurança técnica insuficientes 4.3.3 Compreender os conceitos de criptografia, assinatura digital e cer- tificado 4.3.4 Nome das três etapas para serviços bancários online (PC, web site, pagamento) 4.3.5 Nomear vários tipos de software malicioso 4.3.6 Descrever as medidas que podem ser usados contra software mali- cioso 4.4 Medidas organizacionais (10%) - O candidato tem conhecimento tanto da criação quanto da execução de medidas de segurança orga- nizacional. O candidato é capaz de: 4.4.1 Dar exemplos de medidas de segurança organizacional 4.4.2 Descrever os perigos e riscos envolvidos com medidas de segurança organizacional insuficientes 4.4.3 Descrever as medidas de segurança de acesso, tais como a segrega- ção de funções e do uso de senhas 4.4.4 Descrever os princípios de gestão de acesso 4.4.5 Descrever os conceitos de identificação, autenticação e autorização 4.4.6 Explicar a importância para uma organização de um Gerenciamen- to da Continuidade de Negócios estruturado 14 4.4.7 Tornar clara a importância da realização de exercícios 5. Legislação e regulamentação (10%) 5.1 Legislação e regulamentos (10%) - O candidato entende a importân- cia e os efeitos da legislação e regulamentações. O candidato é capaz de: 5.1.1 Explicar porque a legislação e as regulamentações são importantes para a confiabilidade da informação 5.1.2 Dar exemplos de legislação relacionada à segurança da informação 5.1.3 Dar exemplos de regulamentação relacionada à segurança da infor- mação 5.1.4 Indicar as medidas possíveis que podem ser tomadas para cumprir as exigências da legislação e da regulamentação Vantagens da certificação IFSF  Redução de riscos do negócio;  Investimento em controles de segurança da informação frente aos ris- cos do negócio (racionalidade);  Aumento da efetividade da segurança da informação (conceito de me- lhoria contínua);  Aumento de confiança nas relações comerciais;  Proteção dos ativos da informação em todas as suas formas (tecnologia, pessoas e processos);  O exame ISO/IEC 27002 do EXIN é composto de 40 perguntas em in- glês, sendo necessário acertar 26 questões para ser aprovado. A taxa do exame é de US$ 165,00.  O Formato do exame é do tipo múltipla escolha e sua duração máxima é de 60 minutos.  Uma vez aprovado no exame, você receberá dentro de 45 dias o certifi- cado da EXIN pelo correio.
  8. 8. 15  Envolvimento e comprometimento da direção da empresa na seguran- ça da informação;  Padrão aceito no mundo, com mais de 2500 certificações;  Aumento da conscientização dos funcionários para assuntos referen- tes à segurança da informação;  Conformidade com requisitos legais;  Reconhecimento, por parte de terceiros, da importância da segurança da informação para a empresa Formato do Exame Literatura: O material do aluno cobre todos os requisitos do exame, in- clusive com questãoes ao final de cada capítulo e respostas comentadas no apêndice A. O aluno também pode utilizar como literatura auxiliar o seguinte livro: Hintzbergen, J., Baars, H., Hintzbergen, K. and Smulders, A. - The Basics of Information Security - A practical handbook - The Netherlands, 2009 - disponível gratuitamente, no formato PDF (em inglês), no sítio internet do EXIN: http://www.exin-exams.com/exams/exam-program/iso-iec-27000/isfs.aspx Características Tipo de exame múltipla escolha Número de questões 40 Duração do exame 60 minutos Taxa para aprovação 65% 16 Requisito de exame Especificação de exame ao nível de maestria Peso (%) Número de ques- tões 1 Informação e segurança O conceito de informação 1.1 Entendimento 2.5 1 Valor da informação 1.2 Entendimento 2.5 1 Aspectos de confiabilidade 1.3 Lembrança 5 2 Subtotal 10 4 2 Ameaças e riscos Ameaças e riscos 2.1 Entendimento 15 6 Relacionamento entre amea- ças, riscos e confiabilidade da informação 2.2 Entendimento 15 6 Subtotal 30 12 3 Abordagem e organização Política de segurança e organi- zação de segurança 3.1 Lembrança 2.5 1 Componentes 3.2 Lembrança 2.5 1 Gerenciamento de incidentes 3.3 Entendimento 5 2 Subtotal 10 4 4 Medidas Importância de medidas 4.1 Entendimento 10 4 Medidas físicas 4.2 Lembrança 10 4 Medidas técnicas 4.3 Lembrança 10 4 Medidas organizacionais 4.4 Lembrança 10 4 Subtotal 40 16 5 Legislação e regulamentação Legislação e regulamentação 5.1 Entendimento 10 4 Subtotal 10 4 Total 100 40
  9. 9. 17 18 Conforme visto anteriormente, devido à sua natureza abstrata, as informa- ções precisam de uma mídia para serem transmitidos e armazenados, essas mídias no entanto precisam de um cuidado especial quanto a seu manuseio, armazenamento, transporte e descarte. O critério utilizado varia de acordo com a classificação da informação que armazenam As boas práticas recomendam que, ao se classificar uma informação se espe- cifique o tempo e as condições do armazenamento considerando sempre que quanto maior a sensibilidade de uma informação, mais rígidos devem ser os controles de prazo e condições de guarda. É importante destacar que as informações podem ser reclassificadas a qual- quer tempo, o que pode ocasionar uma revisão do prazo e das condições de armazenamento das mesmas.
  10. 10. 19 Quando uma informação não é mais necessária, é necessário estabelecer pro- cedimentos na Política de Segurança da organização para o seu descarte, ava- liando se a mídia utilizada para guardar aqueda informação, assim como as que receberam suas cópias, pode ser sanitizada para receber novas informa- ções (ex: HD, Fita, Cartão de Memória, DVD-RW), ou deve ser descartada (Ex: papel, fita no final da vida útil, DVD-ROM). As fases abaixo, representam o ciclo de vida da informação: Criação – Início do ciclo onde a informação é gerada, pode ser o ponto onde uma foto é tirada, uma filmagem é feita, um documento ou e-mail é escrito, etc. Transporte – Esta parte do ciclo consiste no momento do envio ou trans- porte, onde a informação é encaminhada por correio, correio eletrônico, fax, falada ao telefone ou através de alto-falantes públicos e outros. Nor- malmente ocorre antes e depois do armazenamento. Armazenamento – Momento em que a informação é armazenada, seja em uma base da dados de um banco de dados, em papel, mídia (CD, DVD, Fita, disquete, memória USB) Descarte – A parte final do ciclo é o momento em que a informação é des- cartada, ou seja, eliminada, apagada, “deletada”, destruída de forma defi- nitiva. Pode ocorrer com a simples destruição de um papel, CD, ou DVD, ou pode ocorrer de forma que sua mídia hospedeira seja reutilizada poste- riormente. 20 Os processos definidos na política de segurança são fundamentais para a manutenção da segurança do ambiente, pois eles definem o comportamen- to esperado dos colaboradores em relação à segurança da informação, e as tecnologias a serem utilizadas para assegurar a segurança da informação na organização. As pessoas, colaboradores da organização, aparecem como segundo com- ponente dessa tríade fundamental, e necessitam de orientação para que possam desempenhar suas obrigações quanto à segurança da informação da melhor forma possível. Por último temos a tecnologia, que fornece ferramentas para forçar com que as políticas sejam seguidas monitorar o uso dos recursos de informa- ção, e alertar de diversas formas quanto a incidente e desvios no cumpri- mento da política.
  11. 11. 21 A ISO 27002:2005 é dividida em 11 seções e 39 categorias, que listamos a seguir: Política de segurança da informação  Política de Segurança da Informação - Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes Organizando a Segurança da Informação  Infraestrutura da Segurança da Informação - Objetivo: Gerenciar a se- 22 gurança da informação dentro da organização  Partes externas - Objetivo: Manter a segurança dos recursos de proces- samento da informação e da informação da organização, que são aces- sados, processados, comunicados ou gerenciados por partes externas Gestão de ativos  Responsabilidade sobre os ativos - Objetivo: Alcançar e manter a pro- teção adequada dos ativos da organização  Classificação da Informação - Objetivo: Assegurar que a informação receba nível adequado de proteção. Segurança em Recursos Humanos  Antes da contratação - Objetivo: Assegurar que os funcionários, forne- cedores e terceiros entendam suas responsabilidades, e estejam de acordo com os papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos  Durante a contratação - Objetivo: Assegurar que os funcionários, for- necedores e terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obriga- ções, e estão preparados para apoiar a política de segurança da infor- mação da organização durante os seus trabalhos normais, e para redu- zir o risco de erro humano.
  12. 12. 23  Encerramento ou mudança da contratação - Objetivo: Assegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de trabalho de forma ordenada. Segurança Física e do Ambiente  Áreas seguras - Objetivo: Prevenir o acesso físico não autorizado, da- nos e interferências com as instalações e informações da organização.  Segurança de equipamentos - Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organi- zação. Gerenciamento das Operações e Comunicações`  Procedimentos e responsabilidades operacionais - Objetivo: Garantir a operação segura e correta dos recursos de processamento da informa- ção  Gerenciamento de serviços terceirizados - Objetivo: Implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceiri- zados  Planejamento e aceitação dos sistemas - Objetivos: Minimizar o risco de falhas nos sistemas  Proteção contra códigos maliciosos e códigos móveis - Objetivos: Pro- teger a integridade do software e da informação.  Cópias de segurança - Objetivo: Manter a integridade e disponibilida- de da informação e dos recursos de processamento de informação. 24  Manuseio de mídias - Objetivo: Prevenir contra a divulgação não auto- rizada, modificação, remoção ou destruição aos ativos e interrupções das atividades do negócio.  Troca de informações - Objetivo: Manter a segurança na troca de infor- mações e software in ternamente à organização e com quaisquer enti- dades externas  Serviços de comércio eletrônico - Objetivo: Garantir a segurança de serviços de comércio eletrônico e sua utilização segura  Monitoramento - Objetivo: Detectar atividades não autorizadas de processamento da informação Controle de acesso  Requisitos de negócio para controle de acesso - Objetivo: Controlar o acesso à informação  Gerenciamento de acesso do usuário - Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de in- formação.  Responsabilidades dos usuários - Objetivo: Prevenir o acesso não au- torizado dos usuários e evitar o comprometimento ou roubo da infor- mação e dos recursos de processamento da informação.  Controle de acesso à rede - Objetivo: Prevenir acesso não autorizado aos serviços de rede  Controle de acesso ao sistema operacional - Objetivo: Prevenir acesso não autorizado aos sistemas operacionais  Controle de acesso à aplicação e à informação - Objetivo: Prevenir acesso não autorizado à informação contida nos sistemas de aplicação
  13. 13. 25  Computação móvel e trabalho remoto - Objetivo: Garantir a segurança da informação quando a computação móvel e recursos de trabalho re- moto Aquisição, desenvolvimento e manutenção de sistemas de informa- ção  Requisitos de segurança de sistemas de informação – Objetivo: Garan- tir que segurança é parte integrante de sistemas de informação  Processamento correto de aplicações – Objetivo: Prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informa- ções em aplicações.  Controles criptografados – Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográfi- cos  Segurança dos arquivos do sistema – Objetivo: Garantir a segurança de arquivos de sistema  Segurança em processos de desenvolvimento e de suporte. - Objetivo: Manter a segurança de sistemas aplicativos e da informação.  Gestão de vulnerabilidades técnicas. - Objetivo: Reduzir riscos resul- tantes de exploração de vulnerabilidades técnicas conhecidas. Gestão de incidentes de Segurança da Informação  Notificação de fragilidades e eventos de segurança da informação – Objetivo: Assegurar que fragilidades e eventos de segurança da infor- mação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. 26  Gestão de incidentes de segurança da informação e melhorias – Obje- tivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança Gestão de Continuidade de Negócios  Aspectos da gestão da continuidade do negócio, relativos à segurança da informação –Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. Conformidade  Conformidade com requisitos legais – Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obriga- ções contratuais e de quaisquer requisitos de segurança da informa- ção.  Conformidade com normas e políticas de segurança da informação e conformidade técnica –Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informa- ção. Considerações quanto á auditoria de sistemas de informação – Objetivo: Ma- ximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação.
  14. 14. 27 Estudo de Caso—Boeing 787 Segundo um relatório da agência americana FAA (Federal Aviation Adminis- tration), o novo jato tem uma vulnerabilidade séria de segurança na arquite- tura de suas redes internas de computadores, que pode permitir que passa- geiros acessem os sistemas de controle do avião a partir da rede criada para prover acesso internet durante o voo. De acordo com o relatório, a rede desti- nada aos passageiros está conectada com as redes dos sistemas de controles de voo, de navegação, comunicação e a rede administrativa da compania aé- rea (responsável por sistemas administrativos e de manutenção da equipe de terra). No atual design, a conexão física entre estas redes, anteriormente iso- ladas, faz com que todo o sistema seja mais facilmente vulnerável a hackers. 28 "These novel or unusual design features are associated with connectivity of the passenger domain computer systems to the airplane critical sys- tems and data networks." (FAA) Este tipo de ameaça é real, e tem sido discutida por vários profissionais de Segurança da Informação. Conforme lembrou o colega Javed Ikbal em um post enviado para a lista cisspforum, no ano passado foi demonstrado no site da CSO online como é possível derrubar o sistema de entretenimento a bor- do (os jogos nos monitores) de um vôo da JetBlue utilizando o telefone a bordo para passar um parâmetro inválido para o jogo Tetris. A própria reportagem da Wired cita uma apresentação muito interessante do pesquisador Mark Loveless, ("Hacking the Friendly Skies") onde ele apre- senta como hackear computadores vizinhos durante o vôo e, no final da apresentação, faz várias considerações sobre os projetos existentes de dispo- nibilização de acesso internet nos vôos. Segundo a matéria, a Boeing diz que está ciente do risco e está trabalhando na separação física das redes e na adoção de proteção baseada em softwares de firewall. Infelizmente (como lembrou o colega Les Bell na lista cisspfo- rum), manter todas estas redes totalmente isoladas fisicamente implicaria em ter equipamentos e cabeamento redundante em toda a aeronave, um cus- to muito pesado para a indústria aeronáutica. Por isso, o compartilhamento da infraestrutura pareceria algo óbvio aos olhos de um leigo. Lamentavelmente, muitas vezes os profissionais de segurança não são envol- vidos na fase de design do projeto, cabendo então a árdua tarefa de criar me- canismos adicionais de proteção, depois que o problema é encontrado Fonte: AnchisesLândia - http://anchisesbr.blogspot.com/2008/01/segurana-possvel-hackear-o-boeing-787.html
  15. 15. 29 É importante diferenciarmos Governança de TI de Gerenciamento de TI. A Governança de TI encontra-se e um nível estratégico, sendo o sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos. Inclui a estratégia e as políticas de uso da TI dentro da organização O Gerenciamento de TI encontra-se em uma esfera mais operacional, e re- presenta o sistema de controles e processos necessário para alcançar os ob- jetivos estratégicos estabelecidos pela direção da organização. O gerencia- mento está sujeito às diretrizes, às políticas e ao monitoramento estabeleci- dos pela governança corporativa 30 Existe um importante fluxo de informações entre os objetivos de controle de TI e a alta gestão. Os objetivos de negócio que forem definidos pela alta direção geram requisi- tos para os objetivos de TI. Uma vez implementados, esses controles geram informações necessárias para que o negócio alcance seus objetivos. A alta gestão é responsável por passar o direcionamento e recursos necessá- rios para a área de TI, que servem como entrada nos objetivos de controle, e a governança de TI devolve informações importantes para que os executivos e o conselho possa exercer suas funções.
  16. 16. 31 Segundo o CobiT (Control Objectives for Information and related Techno- logy), a Governança de TI possui cinco áreas de foco: Alinhamento estratégico: foca em garantir a ligação entre os planos de negó -cios e de TI, definindo, mantendo e validando a proposta de valor de TI, ali -nhando as operações de TI com as operações da organização. Entrega de valor: é a execução da proposta de valor de IT através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrando-se em otimizar custos e pro- vendo o valor intrínseco de TI 32 Gestão de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, infor- mações, infraestrutura e pessoas. Questões relevantes referem-se à otimiza- ção do conhecimento e infraestrutura. Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da em -presa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia. Mensuração de desempenho: acompanha e monitora a implementação da es- tratégia, término do projeto, uso dos recursos, processo de performance e en -trega dos serviços, usando, por exemplo, “balanced scorecards” que tradu- zem as estratégia em ações para atingir os objetivos, medidos através de pro- cessos contábeis convencionais Existe um importante fluxo de informações entre os objetivos de controle de TI e a alta gestão.
  17. 17. 33 O Balanced ScoreCard (BSC) é uma metodologia que estabelece um siste- ma de medição de desempenho das organizações. Foi proposto por Kaplan e Norton em 1992 ao nível empresarial. O Balanced Scorecard é uma ferramenta para planejar a implementação de estratégias e obter melhoria contínua em todos os níveis da organização. É um conjunto de medidas que dão aos gerentes uma visão rápida e compre- ensiva dos negócios. 34 O BSC mede o desempenho da organização sob a óptica de quatro perspec- tivas que assim se inter-relacionam:  Resultados financeiros,  Satisfação do cliente,  Processos internos do negócio e  Aprendizado e crescimento. A melhoria do aprendizado e crescimento dos empregados resulta em me- lhoria dos processos internos do negócio, os quais criam melhores produtos e serviços e, consequentemente, maior satisfação do cliente e maior partici- pação no mercado, conduzindo a melhores resultados financeiros para a or- ganização.
  18. 18. 35 As quatro perspectivas do Balanced Scorecard estão contempladas em obje- tivos de negócio (Business Goals) do CobiT.  Financeiro: BG01 a BG03  Cliente: BG04 a BG09  Processos Internos: BG10 a BG15  Aprendizado e Crescimento: BG16 e 17 36 Cada objetivo de negócio (Business Goal) aponta para um ou mais objetivos de TI, conforme indicado na tabela acima, e descrito a seguir: Perspectiva Financeira 1 - Prover um retorno de investimento adequado para os investimentos de TI relacionados aos negócios. (24) 2 - Gerenciar os riscos de negócios relacionados a TI. (2, 14, 17, 18, 19, 20, 21, 22) 3 - Aprimorar governança corporativa e transparência. (2, 18)
  19. 19. 37 Perspectiva do Cliente 4 - Aprimorar orientação para clientes e serviços. (3, 23) 5 - Oferecer produtos e serviços competitivos. (5, 24) 6 - Estabelecer a continuidade e disponibilidade de serviços. (10, 16, 22, 23) 7 - Criar agilidade em responder a requerimentos de negócios que mudam continuamente. (1, 5, 25) 8 - Atingir otimização dos custos para entrega de serviços.(7, 8, 10, 24) 9 - Obter informações confiáveis e úteis para o processo de decisões estraté- gicas. (2, 4, 12, 20, 26) Perspectiva Interna 10 - Aprimorar e manter a funcionalidade dos processos de negócios. (6, 7, 11) 11 - Reduzir custos de processos. (7, 8, 13, 15, 24) 12 - Conformidade com leis externas, regulamentos e contratos. (2, 19, 20, 21, 22, 26, 27) 13 - Conformidade com políticas internas. (2, 13) 14 - Gerenciar mudanças de negócios. (1, 5, 6, 11, 28) 15 - Aprimorar e manter a operação e produtividade do pessoal. (7, 8, 11, 13) Perspectiva de Aprendizagem 16 - Gerenciar a inovação de produtos e negócios. (5, 25, 28) 17 - Contratar e manter pessoas habilitadas e motivadas. (9) 38 Os objetivos de TI por sua vez são mapeados em processos do CobiT: 1 - Responder aos requerimentos de negócios de maneira alinhada com a es- tratégia de negócios. (PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1) 2 - Responder aos requerimentos de governança em linha com a Alta Dire- ção. (PO1 PO4 PO10 ME1 ME4) 3 - Assegurar a satisfação dos usuários finais com a oferta e níveis de servi- ços. (PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13) 4 - Otimizar o uso da informação. (PO2 DS11) 5 - Criar agilidade para TI. (PO2 PO4 PO7 AI3) 6 - Definir como funções de negócios e requerimentos de controles são con- vertidos em soluções automatizadas efetivas e eficientes. (AI1 AI2 AI6)
  20. 20. 39 7 - Adquirir e manter sistemas aplicativos integrados e padronizados. (PO3 AI2 AI5) 8 - Adquirir e manter uma infraestrutura de TI integrada e padronizada. (AI3 AI5) 9 - Adquirir e manter habilidades de TI que atendam as estratégias de TI. (PO7 AI5) 10 - Assegurar a satisfação mútua no relacionamento com terceiros. (DS2 11 - Assegurar a integração dos aplicativos com os processos de negócios. (PO2 AI4 AI7) 2 - Assegurar a transparência e o entendimento dos custos, benefícios, estra -tégia, políticas e níveis de serviços de TI. (PO5 PO6 DS1 DS2 DS6 ME1 ME4) 13 - Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia. (PO6 AI4 AI7 DS7 DS8) 14 - Responsabilizar e proteger todos os ativos de TI. (PO9 DS5 DS9 DS12 ME2) 15 - Otimizar a infraestrutura, recursos e capacidades de TI. (PO3 AI3 DS3 DS7 DS9) 16 - Reduzir os defeitos e re-trabalhos na entrega de serviços e soluções. (PO8 AI4 AI6 AI7 DS10) 17 - Proteger os resultados alcançados pelos objetivos de TI. (PO9 DS10 ME2) 18 - Estabelecer claramente os impactos para os negócios resultantes de ris- cos de objetivos e recursos de TI. (PO9) 40 A história oficial dos ÓVNIS no Brasil Documentos da Aeronáutica revelam a missão especial que filmou e fotogra- fou aparições de óvnis no País e mostram como funcionava o departamento criado pelos militares para investigar os relatos sobre discos voadores Duas dezenas de oficiais da Força Aérea Brasileira (FAB) estiveram envolvi- dos em uma missão sigilosa no meio da selva amazônica, no Pará, 30 anos atrás. Denominada Operação Prato, ela é a mais impressionante investigação de óvnis (objetos voadores não identificados) realizada pela Aeronáutica que se conhece. É uma espécie de caso Roswell brasileiro, com missões se- cretas, histórias e fenômenos sem explicação. Enquanto em Roswell, marco
  21. 21. 41 da ufologia mundial, os militares americanos primeiro admitiram a existên- cia dos óvnis e depois negaram, os relatórios da FAB não deixam dúvidas: os oficiais do I Comando Aéreo Regional (Comar), em Belém, designados para a opera-ção, que ocorreu nos quatro últimos meses de 1977, afirmam ter presenciado - mais de uma vez - UFOs cruzando o céu da Amazônia. Detalhes da Operação Prato estão em relatórios sigilosos que acabam de ser liberados pelo governo federal para consulta no Arquivo Nacional, em Bra- sília. Desde o ano passado, estão vindo a público documentos, alguns guar- dados há mais de 50 anos. Todos os arquivos secretos de UFO estão sob responsabilidade da Casa Civil desde 2005. Há 1.300 folhas de um total es- timado em 25 quilos de material, com descrições, croquis e fotos de óvnis referentes a três lotes de informações da FAB. Os dois primeiros contêm relatos dos anos 50 e 60. O último, aberto em maio e do qual faz parte a Operação Prato, cobre a década seguinte. No próximo mês, será a vez do acervo dos anos 80. Os arquivos, agora públicos, trazem depoimentos de civis, trocas de corres- pondências entre militares sobre óvnis, recortes de jornais da época e várias conversas entre pilotos e controladores de voos sobre estranhos fenômenos no espaço aéreo nacional No momento, apenas os relatórios de UFOs clas- sificados como reservados e confidenciais da Aeronáutica tornaram- se pú- blicos. Espera-se que o Exército e a Marinha façam o mesmo. São aguarda- das, também, as páginas com os carimbos de secreto e ultra-secreto. Por lei, as que Ressaltar que os documentos eram confidenciais e reservados, com tempo diferente de classificação dos secretos. 42 Lembrar que eles foram desclassificados porque pertencem à sociedade, e estão somente sob custódia do governo. cumpriram 30 anos de ressalva de- veriam ser públicas, mas na prática não é o que ocorre. "Não se quebra uma cultura de uma vez. E eu não sou a favor de divulgar documentos que ferem a privacidade das pessoas, induzem pânico à população ou colocam a segu- rança do País em risco", defende o brigadeiro José Carlos Pereira, ex- comandante de operações da FAB e ex-presidente da Empresa Brasileira de Infraestrutura Aeroportuária (Infraero). Hoje na reserva, o brigadeiro de 67 anos foi considerado por muitos anos o guardião da chave do cofre de segredos ufológicos brasileiros. Foi ele quem ordenou o recolhimento de todo material sigiloso produzido sobre o tema espalhado em bases aéreas e aeroportos do Brasil. A papelada foi levada para o Comando de Defesa Aeroespacial (Comdabra), em Brasília, onde ele exer- cia a função de comandante- geral, no início da década. Mas somente no ano passado os documentos começaram a chegar ao arquivo nacional. Revirar os porões das Forças Armadas e revelar os segredos ufológicos é uma tendência verificada em outros países. "Com essa abertura, a Aeronáuti- ca reconhece a necessidade de tratar o fenômeno UFO de maneira séria, dei- xando de lado o tom pejorativo e irreverente que quase sempre aparece quando se levanta a plausível hipótese de estarmos recebendo a visita de seres extraterrestres", diz Ademar José Gevaerd, 47 anos, coordenador da Comissão Brasileira de Ufólogos (CBU), que elaborou uma campanha em prol da liberdade de informações sobre UFOs.
  22. 22. 43 Hoje, a pessoa que quiser relatar a aparição de um óvni dificilmente encon- trará eco na FAB. "A Aeronáutica não dispõe de estrutura especializada pa- ra realizar investigações científicas", informou a FAB à ISTOÉ. Porém, du- rante o funcionamento do Sioani, no IV Comar, toda testemunha era sub- metida a 44
  23. 23. 45 A palavra risco, vem da palavra “risicare”, que no italiano antigo significa ousar. Através dessa definição entendemos que risco não é necessariamente algo negativo. Pelo menos não de uma forma geral. Quando se joga 100.000 dólares em um número da roleta existe uma grande chance de se perder todo o dinheiro (risco negativo alto), mas existe a possi- bilidade de ganhar (risco positivo baixo). Podemos considerar este um risco positivo, uma oportunidade de ficar milionário. Colocando-se no lugar da banca você identifica uma excelente oportunidade de ganhar 100.000 dólares (risco positivo) e um pequeno risco de pagar uma fortuna para um sortudo que ousou apostar uma fortuna (risco positivo), 46 Uma ameaça pode ser definida de diversas formas, dentre elas selecionamos 2 que definem bem o termo: 1) Uma potencial causa de incidente* 2) Todo e qualquer perigo eminente seja natural, humana, tecnológica, física ou político-econômica. As ameaças são latentes, e dependem de uma ação externa para que se con- cretizem. O Agente de ameaça é um elemento que através de uma ação pró- pria é capaz de concretizar uma ameaça. Uma invasão é uma ameaça latente, por outro lado um cracker pode ser o agente de ameaça a transformá-la em uma realidade.
  24. 24. 47 Agente de ameaça é o elemento que através de uma ação própria é capaz de concretizar uma ameaça. O agente é o elo de ligação entre a ameaça e o ativo, ele é responsável por explorar a vulnerabilidade do ativo e causar o incidente. Um Cracker que realiza uma invasão é o agente de ameaça que explora uma vulnerabilidade de software ou configuração e causa um incidente. 48 Um rootkit é um pacote de programas maliciosos, que substituem o arqui- vos binários (programas compilados) por um kit de programas que mantém uma porta aberta sem que verdadeiro root (administrador do unix) perceba. Com a porta aberta o invasor pode voltar a qualquer momento e utilizar os privilégios do root (ou do usuário do serviço que ele tenha utilizado, para realizar absolutamente qualquer ação dentro do computador, inclusive, roubar, alterar ou destruir qualquer informação. O Nome rootkit é derivado do usuário root do Unix, ambiente onde essa prática se popularizou, mas existem rootkits para quase todas as platafor- mas. Existem rootkits para Solares, Mac OS, Linux e a maioria das versões do Windows, entre outros.
  25. 25. 49 Os rootkits ganharam publicidade em 2005, quando foi revelado que a gra- vadora Sony/BMG instalava um rootkit chamado XCP (Extended Copy Protection) em seus CD´s de música com o objetivo de instalar um meca- nismo anti-cópia. Os rootkits são extremamente difíceis de serem detectados, e infectam o sistema sem que o usuário perceba nada. É difícil garantir a completa re- moção dos rootkits de um sistema,esses programas são especializados em enganar as ferramentas de segurança para ficarem ocultos. A forma mais confiável de reaver seu computador é formatar o disco e reinstalar todo o sistema. Porta de Manutenção / Backdoor são uma possível fonte de vazamento de informações sensível. São os canais secretos de comunicação, ou seja, ca- nais que dos quais os usuários ignoram a existência. Estes canais são cha- mados de porta de manutenção ou Backdoor, e são comumente utilizado por Trojans para comunicar-se com seu controlador, ou até mesmo forne- cer acesso à máquina infectada. São considerados Backdoors os programas ou partes de códigos escondi- dos em outros programas, que permitem que um invasor entre ou retorne a um computador comprometido por uma porta dos fundos‖, sem ter que passar pelo processo normal de autenticação. Nos primórdios da computa- ção, os próprios programadores deixavam alguns backdoors em seus siste- mas, e os chamavam de ganchos de manutenção. Nos sistemas Windows, os backdoors geralmente são Trojans, instalados através de Phishing, ou ainda programas instalados por worms, que após explorarem uma vulnerabilidade do sistema alvo infectam arquivos do sis- 50 tema operacional e criam uma trilha adicional de execução, que mantém essa porta aberta. Esse tipo de Malware também recebe o nome de rootkit no Windows O Rootkit de DRM da Sony: A Verdadeira História É uma história de David contra Golias, sobre os blogs de tecnologia der- rotando uma megacorporação. Em 31 de Outubro, Mark Russinovich detonou a história em seu blog: A Sony BMG Music Entertainment distribuiu um esquema de proteção contra cópias junto com seus CD’s que secretamente instalava um root- kit nos computadores. Essa ferramenta é executada sem o conhecimen- to nem consentimento: ela é carregada em seu computador por um CD, e um hacker pode obter e manter acesso ao seu sistema sem que você saiba. O código da Sony modifica o Windows para que não se possa dizer que está lá, um processo denominado “Clocking” (Camuflagem) no mundo hacker. Ele age como um spyware, sorrateiramente enviando informa- ções sobre você para a Sony. E ele não pode ser removido; tentar livrar- se dele danifica o Windows.
  26. 26. 51 A história foi acolhida por outros blogs (inclusive o meu), e logo depois pela mídia de informática. Finalmente os grandes meios de comunicação trouxeram isso à tona. O Clamor foi tão grande que em 11 de novembro a Sony anunciou que estava temporariamente parando a produção desse esquema de prote- ção de cópias. Isso ainda não era o suficiente, em 14 de novembro a companhia anunciou que estava retirando das lojas os CD’s protegidos, e oferecia aos usuários uma troca gratuita dos CD’s infectados. Mas essa não é a história real aqui É uma história sobre extrema arrogância. A Sony distribuiu seu incrivel- mente invasivo esquema de proteção contra cópia sem sequer discutir publicamente seus detalhes, confiando que os benefícios justificariam a modificação nos computadores de seus clientes. Quando essa ação foi inicialmente descoberta, a Sony ofereceu um “fix”que não removia o roo- tkit, apenas a camuflagem. A Sony alegou que o rootkit não “ligava para casa”, quando na realidade ele o fazia. Em 4 de novembro, Thomas Hesse, presidente global de ne- gócios digitais da Sony BMG, demonstrou todo o desdenho da compa- nhia por seus clientes quando ele disse em uma entrevista à NPR: A maior paste das pessoas nem sequer sabem o que é um rootkit, então porque eles devem se preocupar com isso? 52 No entanto, o comportamento arrogante de uma corporação também não é a história real Esse drama é sobre incompetência. A última ferramenta de remoção do rootkit da Sony na realidade deixa uma vulnerabilidade escancarada. E o rootkit da Sony, desenhado para parar as infrações de direitos autorais pode ter infringido ele mesmo uma copyright. Por mais incrível que isso possa parecer, o código parece incluir um codificador MP3 de código aberto, em violação à licença dessa biblioteca. Mas mesmo isso não é a história real. É um épico de ações judiciais coletivas na Califórnia e em outros luga- res, e o foco das investigações criminais. O rootkit teria sido encontrado em computadores executados pelo Departamento de Defesa, para des- gosto do Departamento de Segurança Interna de. Enquanto a Sony po- deria ser processada sob a legislação de cybercrime dos EUA, ninguém acha que vai ser. E ações nunca são toda a história. Esta saga é cheia de reviravoltas estranhas. Alguns apontaram como este tipo de software degradaria a confiabilidade do Windows. Alguém criou um código malicioso que usava o rootkit para se esconder. Um hacker usou o rootkit para evitar o spyware de um jogo popular. E havia até mesmo chamadas para boicotar a Sony em todo o mundo. Afinal, se você não pode confiar Sony não infectar o seu computador quando você
  27. 27. 53 compra CDs com suas músicas, você pode confiar nela para lhe vender um computador não infectado? Essa é uma pergunta boa, mas - de novo - não a verdadeira história. É ainda outra situação onde os usuários do Macintosh podem assistir, divertindo-se (bem, na maior parte) do lado de fora, perguntando por que alguém ainda usa o Microsoft Windows. Mas certamente, mesmo isso não é a história real. A história de prestar atenção aqui é o conluio entre grandes empresas de mídia que tentam controlar o que fazemos em nossos computadores e companhias de software de segurança, e empresas que deveriam es- tar nos protegendo. As estimativas iniciais são de que mais de meio milhão de computadores no mundo estão infectadas com este rootkit da Sony. São números sur- preendentes de infecção, tornando esta uma das epidemias mais graves da Internet de todos os tempos, no mesmo nível de worms como Blaster, Slammer, Code Red e Nimda. O que você acha da sua empresa antivírus, o que não percebeu rootkit da Sony, como infectou meio milhão de computadores? E isso não é um daqueles vermes relâmpago da Internet; este vem se espalhando desde meados de 2004. Porque se espalhou através de CDs infectados, não através de conexões de internet, eles não notaram? Este é exatamente 54 o tipo de coisa que você está pagando essas empresas para detectar, especialmente porque o rootkit foi “telefonar para casa”. Mas muito pior do que não detectá-lo antes da descoberta Russinovich foi o silêncio ensurdecedor que se seguiu. Quando um novo malware é encontrado, empresas de segurança caem sobre si para limpar os nos- sos computadores e inocular nossas redes. Não neste caso. A McAfee não adicionou um código de detecção de até 09 de novembro, e agora, 15 de novembro ainda não remove o rootkit, somente o disposi- tivo de camuflagem. A empresa admite em sua página web que este é um compromisso pobre. "A McAfee detecta, remove e evita a reinstala- ção do XCP." Esse é o código de camuflagem. "Por favor, note que a remoção não irão afetar os mecanismos de proteção de direitos autorais instalados a partir do CD. Houve relatos de travamento do sistema, pos- sivelmente resultante de desinstalar o XCP." Obrigado pelo aviso. Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No início, a empresa não considerou o XCP como um Malware. Não era até 11 de novembro que a Symantec publicou uma ferramenta para remover a camuflagem. Em 15 de novembro, ainda é insossa sobre isso, explican- do que "este rootkit foi projetado para esconder uma aplicação legítima, mas pode ser usado para esconder outros objetos, incluindo software malicioso".
  28. 28. 55 A única coisa que torna este rootkit legítimo é o fato de uma empresa multinacional colocá-lo no seu computador, e não uma organização cri- minosa. Você poderia esperar que a Microsoft fosse a primeira empresa a conde- nar este rootkit. Afinal, o XCP corrompe o interior do Windows "de uma forma bastante desagradável. É o tipo de comportamento que poderia facilmente levar a falhas no sistema, falhas que os clientes culpam a Mi- crosoft. Mas não foi até 13 de novembro, quando a pressão pública era muito grande para ser ignorada, e a Microsoft anunciou que iria atualizar suas ferramentas de segurança para detectar e remover a parte do dis- farce do rootkit. Talvez a única empresa de segurança que merece louvor é F-Secure, o primeiro e o mais alto crítico das ações da Sony. E a Sysinternals, é cla- ro, que hospeda blog do Russinovich e trouxe isto para a luz. Segurança ruim acontece. Isso sempre foi e sempre será. E as empre- sas fazem coisas estúpidas, sempre fizeram e sempre farão. Mas a ra- zão que nós compramos produtos de segurança da Symantec, McAfee e outros, é para nos proteger de segurança ruim. 56
  29. 29. 57 A política é um conjunto de documentos que estabelecem as regras a serem obedecidas para que a organização possua um nível aceitável de segurança. É através da política de segurança que a estratégia de SI é montada e passada para todas as áreas envolvidas. Uma versão resumida deve ser publicada para todos os colaboradores e parceiros relevantes, como fornecedores e clientes. O desenvolvimento da política é ponto fundamental de uma série de normas e regulamentações, além de ser incentivado por regulamentações e normas internacionais de melhores práticas. 58
  30. 30. 59 Os colaboradores de empresa desempenham um importante papel na detecção de fragilidades segurança, e na notificação de incidentes de segurança, uma vez que estes estão lidando com os controles e também próximos dos incidentes quando ocorrem. Para que a gestão de inci- dentes seja eficiente, os colaboradores precisam ter um canal para re- portar os incidentes e fragilidades dos controles, esse canal é geral- mente o Helpdesk. É importante que as pessoas não tenham receio de reportar incidentes de segurança, entendendo que essa é uma obrigação de cada colabora- dor. 60
  31. 31. 61 Os controles de segurança da informação devem ter uma origem bem justifi- cada, e sofrer uma revisão periódica para analisar sua aderência e eficiência. A principal origem de controles se dá nas regulamentações. As organizações precisam atender às regulamentações da área em que estão inseridas, e para isso precisam ter em sua política de segurança controles que enderecem es- ses requisitos. Exemplos de controles dessa categoria são os controles sobre dados de cartão de crédito (PCI DSS), dados de saúde (ANS), integridade de relatórios financeiros (Sarbanes-Oxley), etc. Outra grande origem de controles são os requisitos de negócio. Se uma orga- nização opera com projetos automobilísticos ou eletrônicos, ela precisa ga- rantia a confidencialidade de seus projetos para sobreviver no mercado. 62
  32. 32. 63 Segundo a ISO 27002, os controles físicos previnem o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. A Norma especifica dois importantes pontos a serem tratados:  Perímetro de segurança física: utilizar perímetros de segurança (paredes, portões de entrada com cartões, etc) para proteger as áreas processamento e armazenagem de informações  Controles de entrada física: visam assegurar que somente pesso- as autorizadas tenham acesso a um local. 64 As cópias de segurança fundamentais para se manter a integridade e dispo- nibilidade da informação. A politica de Backup deve levar em consideração os seguintes aspectos:  produção de registros completos e exatos das cópias e documentação sobre os procedimentos de recuperação;  a extensão (completa, incremental, diferencial) e a freqüência da geração das cópias reflita os requisitos do negócio, requisitos de segurança e a criticidade da informação;  armazenar as cópias em uma localidade remota, a uma distância sufici- ente para escapar de danos de um desastre no local principal;  testar as mídias e os procedimentos de recuperação regularmente; As mídias de armazenamento devem ser definidas de acordo com o tempo de retenção dos dados para que a informação não se deteriore antes do tempo previsto.
  33. 33. 65 Ciência milenar, chave dos segredos da antiga Roma, peça fundamental na Segunda Guerra Mundial, atualmente é estrela do mundo da Segurança da Informação. Diversos sistemas operacionais, bancos de dados, protocolos de comunicação ou simples sistemas de armazenamento de arquivos chegam aos consumidores providos desta função de embaralhar os dados. Através do uso de um algoritmo (sequência de passos para o embaralhamento) os dados a serem protegidos e de uma chave (conjunto de bits) transforma-se textos ou dados abertos em códigos ilegíveis. A chave (conjunto de bits) existe para embaralhar (encriptar) o texto e, atra- vés do conhecimento dela, conseguir recuperar o texto original (decriptar). Isso é Criptografia no mundo computacional, e isso era Criptografia há mil anos. Porém, se hoje temos computadores para criptografar dados e proces- 66 O conceito de infraestrutura significa um somatório de tecnologias para garantir segurança, onde, trata-se de uma solução conjunta de hardware, software e protocolos, através da distribuição e gerencia- mento de chaves e certificados digitais. Apesar das CAs auxiliarem na comprovação da identidade do dono de uma chave pública através dos certificados digitais, ainda existe a necessidade de disponibilizar os certificados, e revogar outros certifi- cados em caso de perda, comprometimento ou desligamento de um funcionário.
  34. 34. 67 As autoridades certificadoras (AC’s) agem como cartórios digitais, reco- lhendo, através de suas AR’s (autoridades de registro) a documentação das entidades para as quais os certificados serão emitidos, e criando um certifi- cado digital que associa a entidade a um par de chaves. As AC’s emitem os certificados digitais a partir de uma política estabeleci- da, assim como alguns órgãos emitem carteira de identidade, carteira de motorista, reconhecimento de firma, etc. Elas possuem uma cadeia de cer- tificação que garantem a identidade da entidade, através de uma rígida po- lítica de segurança, e por isso são consideradas um terceiro confiável. 68
  35. 35. 69 70 Após o lançamento de um software, uma vulnerabilidade não detecta- da nas fases de teste permanece latente até que algum pesquisador (esse sim, geralmente um Hacker) contratado pelo próprio fabricante, por terceiros ou independente a encontre. A índole do pesquisador vai ditar as regras de quando ele irá publicar a vulnerabilidade. Se o pesquisador estiver apoiando o fabricante, e este tratar segurança como algo sério, a vulnerabilidade somente será publicada após uma correção estar disponibilizada para os usuários. Caso ele não se importe com o fabricante ou com os usuários, a vulne- rabilidade pode ser publicada assim que ele a descobrir ou quando ele já tiver um código que a explore.
  36. 36. 71 Outra possibilidade a que ele não venha a publicá-la, e sim a disponi- bilizá-la para um criador de vírus que utilizam se de “zero-days”, ou seja, exploração de vulnerabilidades zero ou menos dias antes da pu- blicação da correção. Uma vez que a correção é publicada inicia-se o período de homologa- ção por parte do usuário, que pode levar de horas a dias. Os últimos estudos mostram que os vírus baseados em zero-days ou em correções recém lançadas tem tido uma penetração maior em em- presas do que em usuários domésticos, porque estes contam com um serviço de atualização automática, e as organizações perdem um tem- po valioso em seu processo de homologação, que apesar de importan- te deve ser tratado com prioridade para que essa não fique exposta a ameaças durante muito tempo. 72 A Injeção de código SQL (SQL Injection), é uma forma de ataque a aplicações onde o usuário ao invés de entrar com um dado “inocente” como um nome (Ex: Pietro) ou identificador (Ex: 1001) entra com uma expressão SQL, que altera o funcionamento da aplicação para realizar alguma ação que poderá comprometer a confidencialidade, disponibilidade e integridade das aplica- ções.
  37. 37. 73 O Primeiro malware a utilizar-se de uma vulnerabilidade de código foi o “Morris Worm”, nome dado em homenagem a seu criador, o filho de um ci- entista chefe do NSA e estudante de graduação Robert Morris, que em 1988 criou um programa para se propagar lentamente pela Internet, e sem causar dano medir o tamanho da rede contabilizando os hosts VAX por onde passa- va. Devido a um erro de programação ele criou novas cópias muito rapidamente, sobrecarregando as máquinas infectadas, e travando as máquinas SUN, para as quais o worm não foi projetado. 74 O Morris Worm causou um prejuízo estimado entre 10 e 100 Milhões de dólares, e Robert foi julgado culpado pelo “Computer Fraud and Abuse Act”, sentenciado a 3 anos de condicional e 400 horas de serviços comunitá- rios. Hoje Morris é professor de ciência da computação no MIT Os Worms são a causa mais comum de ataques na Internet:  Mais de 50% dos boletins publicados pelo CERT (computer security incident report team) são conseqüência de buffer overflows  Morris worm (1988): B.O. no Fingerd: 6,000 máquinas infectadas  CodeRed (2001): B.O. no servidor MS-IIS 5: 300,000 máquinas infec- tadas em 14 horas  SQL Slammer (2003): B.O. no MS-SQL server: 75,000 máquinas infec- tadas em 10 minutos (!!)
  38. 38. 75 O trecho de código acima foi extraído de um documento da Microsoft, vemos uma vulnerabilidade no código do servidor RPC do Windows, que foi explorado pelo vírus Blaster (aquele que fazia a máquina reinici- ar em 60 segundos). Durante o programa Trustworth Computing (Computação Confiável) a Microsoft revirou o código do Windows e descobriu diversas vulnerabi- lidades como esta, e à medida em que as foi corrigindo foi distribuindo atualizações de segurança para os usuários, que na época, Setembro de 2003, não tinham a cultura de aplicar as correções de segurança, e não contavam com um programa de atualização automática do sistema. 76 Através da engenharia reversa do código da correção, ficou fácil para os atacantes entender a vulnerabilidade existente no código do Windows e criar o Blaster, que em poucos dias deixou um saldo de:  Mais de 15 milhões de computadores infectados  3.3 Milhões (quase 10 vezes o normal) de chamados de segurança para o suporte Microsoft, que é gratuito para todos os cliente com software original A Microsoft considerou que na época cada chamado lhe custou U$ 40,00. O que significa um prejuízo tangível e direto de quase 120 Mi- lhões de dólares, que se mostrariam modestos frente ao desgaste de ima- gem.
  39. 39. 77 A partir da década de 80, alguns organismos internacionais começaram a de- senvolver padrões de certificação para testar as aplicações em homologação pelo governo de seus respectivos países. Durante um período de cinco anos, entre 1993 e 1998, esses organismos uni- ram-se para criar um padrão de certificação que facilitasse o trabalho e dimi- nuísse o custo dos fabricantes de software, antes obrigados a pagar por dife- rentes tipos de certificação, um para cada país ou região. 78
  40. 40. 79 Trata-se de um dos princípios mais conhecidos e mais importantes da se- gurança da informação, e prega a divisão de tarefas e permissões na organi- zação, não concentrando o conhecimento em apenas uma pessoa e reduzin- do o risco de fraudes, uma vez que seriam necessários dois ou mais colabo- radores trabalhando em conluio (ato de cooperação entre partes que come- tem um ato ilícito) para que essa se consumasse. A Segregação de funções é complementar aos conceitos de need-to-know e privilégio mínimo, que pregam que os colaboradores somente precisam conhecer o suficiente para desempenhar suas tarefas, e que não necessitam de mais permissões no sistema do que o necessário para executar essas ta- refas. 80
  41. 41. 81 De acordo com a classificação da informação que está sendo protegida pode- mos utilizar uma combinação de mais de um fator de autenticação, tornando o acesso muito mais seguro., com dois ou três fatores 3 Fatores: Senha + Crachá + Biometria 2 Fatores: Crachá + Biometria, Senha + Cracha, Senha + Biometria A maioria de nós já utilizou algum tipo de autenticação com dois fatores, al- guns exemplos são:  Senha + Cartão de Senhas (Bancos)  Senha + Token (Bancos, VPN)  Senha + SmartCard (VPN) 82
  42. 42. 83 Estar em conformidade significa evitar violação de:  Qualquer lei criminal ou civil;  estatutos;  regulamentações;  obrigações contratuais;  quaisquer requisitos de segurança da informação; O Fator chave para manter-se em conformidade é identificar a legisla- ção vigente, assim como as regulamentações às quais nossa organiza- ção está subordinada. 84 Anexo AExercícios com Respostas Comentadas
  43. 43. 85 Anexo A – Exercícios com respostas comentadas 1 de 40 —Você recebeu do seu contador uma cópia da sua declaração fiscal e deve verificar se os dados estão corretos. Qual característica de confiabilida- de da informação que você está verificando? A. Disponibilidade B. Exclusividade C. Integridade D. Confidencialidade A. incorreto. A disponibilidade é o grau em que a informação está disponível para os usuários nos momentos necessários. B. incorreto. A exclusividade é uma característica de sigilo. C. correto. Esta é uma preocupação da integridade. D. incorreto. Trata-se do grau em que o acesso à informação é restrito a ape- nas aqueles que são autorizados. 2 de 40 — A fim de ter uma apólice de seguro de incêndio, o departamento administrativo deve determinar o valor dos dados que ele gerencia. Qual fator não é importante para determinar o valor de dados para uma organiza- ção? A. O conteúdo dos dados. B. O grau em que a falta, dados incompletos ou incorretos podem ser recupe- rados. C. A indispensabilidade dos dados para os processos de negócio. D. A importância dos processos de negócios que fazem uso dos dados. A. correto. O conteúdo dos dados não determina o seu valor. B. incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmen- te recuperados são menos valiosos do que os dados que são difíceis ou im- possíveis de recuperar. 86 C. incorreto. A indispensabilidade dos dados para os processos de negó- cios, em parte, determina o valor. D. incorreto. Dados críticos para os processos de negócio importantes, por- tanto, valiosos. 3 de 40 – Nosso acesso à informação é cada vez mais fácil. Ainda assim, a informação tem de ser confiável, a fim de ser utilizável. O que não é um aspecto de confiabilidade da informação? A. Disponibilidade B. Integridade C. Quantidade D. Confidencialidade A. incorreto. A disponibilidade é um aspecto de confiabilidade da informa- ção B. incorreto. A integridade é um aspecto de confiabilidade da informação C. correto. Quantidade não é um aspecto de confiabilidade das infor- mações. D. incorreto. A confidencialidade é um aspecto de confiabilidade da infor- mação 4 de 40 — "Completeza" faz parte de qual aspecto de confiabilidade da in- formação? A. Disponibilidade B. Exclusividade C. Integridade D. Confidencialidade A. incorreto. As informações podem estar disponíveis sem ter que ser com- pletas B. incorreto. A exclusividade é uma característica de sigilo. C. correto. Completeza faz parte da Integridade, que é parte do aspecto de confiabilidade.
  44. 44. 87 D. incorreto. As informações confidenciais não têm que ser completas 5 de 40 — Um departamento administrativo vai determinar os perigos aos quais está exposto. O que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? A. Dependência B. Ameaça C. Vulnerabilidade D. Risco A. incorreto. A dependência não é um evento. B. correto. A ameaça é um evento possível que pode ter um efeito per- turbador sobre a confiabilidade da informação. C. incorreto. A vulnerabilidade é o grau em que um objeto está suscetível a uma ameaça. D. incorreto. Um risco é o prejuízo médio esperado durante um período de tempo como resultado de uma ou mais ameaças levando à ruptura 6 de 40 — Qual é o propósito do gerenciamento de risco? A. Determinar a probabilidade de que um certo risco ocorrera. B. Determinar os danos causados por possíveis incidentes de segurança. C. Delinear as ameaças a que estão expostos os recursos de TI. D. Utilizar medidas para reduzir os riscos para um nível aceitável. A. incorreto. Isso faz parte da análise de risco. B. incorreto. Isso faz parte da análise de risco. C. incorreto. Isso faz parte da análise de risco. D. correto. O objetivo do gerenciamento de risco é o de reduzir os ris- cos para um nível aceitável. 88 7 de 40 – Qual das afirmações sobre a análise de risco é a correta? 1. Riscos que são apresentados em uma análise de risco podem ser classifica- dos. 2. Numa análise de risco todos os detalhes têm que ser considerados. 3. A análise de risco limita-se a disponibilidade. 4. A análise de risco é simples de efetuar através do preenchimento de um pequeno questionário padrão com perguntas padrão. A. 1 B. 2 C. 3 D. 4 A. correto. Nem todos os riscos são iguais. Como regra os maiores ris- cos são abordados em primeiro lugar. B. incorreto. É impossível em uma análise de risco examinar todos os deta- lhes. C. incorreto. A análise de risco considera todos os aspectos de confiabilida- de, incluindo a integridade e confidencialidade, juntamente com a disponibi- lidade. D. incorreto. Em uma análise de riscos, questões raramente são aplicáveis a cada situação. 8 de 40 - Qual dos exemplos abaixo pode ser classificado como fraude? 1. Infectar um computador com um vírus. 2. Realização de uma operação não autorizada. 3. Divulgação de linhas de comunicação e redes. 4. Utilização da Internet no trabalho para fins privados. A. 1 B. 2 C. 3 D. 4
  45. 45. 89 A. incorreto. A infecção por vírus é classificada como a "ameaça de alteração não autorizada". B. correto. Uma transação não autorizada é classificada como "fraude". Consulte a seção 4.6 "Ameaças administrativas". C. incorreto. Tapping é classificada como "ameaça" de divulgação ". D. incorreto. A utilização privada é classificada como a ameaça de "abuso". 9 de 40 - Um risco possível para uma empresa é dano por incêndio. Se essa ameaça ocorre, isto é, se um incêndio na verdade eclode, danos diretos e indi- retos podem ocorrer. O que é um exemplo de prejuízos diretos? A. Um banco de dados é destruído B. Perda de imagem C. Perda de confiança do cliente D. Obrigações legais não podem mais ser satisfeitas A. correto. Um banco de dados destruído é um exemplo dos prejuízos diretos. B. incorreto. Danos de imagem é indireta. C. incorreto. Perda de confiança do cliente é indireta. D. incorreto. Ser incapaz de cumprir as obrigações legais é dano indireto. 10 de 40 - A fim de reduzir os riscos, uma empresa decide optar por uma es- tratégia de um conjunto de medidas. Uma das medidas é que um acordo stand-by é organizado para a empresa. A que tipo de medidas um acordo stand-by pertence? A. Medidas corretivas B. Medidas detetivas C. Medidas preventivas D. Medidas repressivas 90 A. incorreto. Medidas corretivas são tomadas após evento B. incorreto. Medidas detetivas são tomadas depois de um sinal de detecção. C. incorreto. As medidas preventivas são destinadas a evitar incidentes. D. correto. Medidas repressivas, tais como um acordo stand-by, visam minimizar os danos. 9 de 40 - O que é um exemplo de uma ameaça humana? A. Um pen drive que passa vírus para a rede. B. Muito pó na sala do servidor. C. Um vazamento que causa uma falha no fornecimento de eletricidade. A. correto. Um pen drive que passa vírus para a rede sempre é inserido por uma pessoa. Assim fazendo um vírus entra na rede, então é uma ameaça humana. B. incorreto. Poeira não é uma ameaça humana. C. incorreto. A fuga de energia elétrica não é uma ameaça humana. 12 de 40 - O que é um exemplo de uma ameaça humana? A. Um apagão B. Fogo C. Phishing A. incorreto. Um relâmpago é um exemplo de uma ameaça não humana B. incorreto. O fogo é um exemplo de uma ameaça não humana C. correto. Phishing (atraem usuários para sites falsos) é uma forma de ameaça humana. 13 de 40 - A informação tem uma série de aspectos de confiabilidade. confia- bilidade é constantemente ameaçada. Exemplos de ameaças são: um cabo se soltar, a informação que alguém altera por acidente, dados que são usados
  46. 46. 91 para fins particulares ou falsificados. Qual destes exemplos é uma ameaça à confidencialidade? A. Um cabo solto B. Exclusão acidental de dados C. Utilização privada de dados D. Falsificação de dados A. incorreto. Um cabo solto é uma ameaça para a disponibilidade de infor- mações. B. incorreto. A alteração não intencional de dados é uma ameaça à sua inte- gridade. C. correto. A utilização de dados para fins privados, é uma forma de abuso e é uma ameaça à confidencialidade. . D. incorreto. A falsificação de dados é uma ameaça à sua integridade. 14 de 40 - Um empregado nega o envio de uma mensagem específica. Qual o aspecto de confiabilidade da informação está em perigo aqui? A. Disponibilidade B. Exatidão C. Integridade D. Confidencialidade A. incorreto. Sobrecarregar a infraestrutura é um exemplo de uma ameaça à disponibilidade. B. incorreto. Exatidão não é um aspecto de confiabilidade. É uma caracte- rística de integridade. C. correto. A negação do envio de uma mensagem tem a ver com o não- repúdio, uma ameaça à integridade. D. incorreto. O uso indevido e / ou divulgação de dados são ameaças à con- fidencialidade. 92 15 de 40 - No ciclo de incidente há quatro etapas sucessivas. Qual é a ordem dessas etapas? A. Ameaça, Dano, Incidente, Recuperação B. Ameaça, Incidente, Dano, Recuperação C.Incidente, Ameaça, Dano, Recuperação D. Incidente, Recuperação, Dano, Ameaça A. incorreto. Os danos se seguem após o incidente. B. correto. A ordem das etapas do ciclo do incidente são: ameaça, inci- dente, dano e recuperação. C. incorreto. O incidente segue a ameaça. D. incorreto. A recuperação é a última etapa. 16 de 40 - Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde. Os funcionários são transferidos para escritórios vizinhos para continuar seu trabalho. No ciclo de vida do incidente, onde são encon- trados os arranjos de continuidade? A. Entre a ameaça e o incidente B. Entre a recuperação e a ameaça C. Entre o dano e a recuperação D. Entre o incidente e os danos A. incorreto. Realização de um acordo stand-by, sem que primeiro haja um incidente é muito caro. B. incorreto. A recuperação ocorre após a colocação do acordo de stand-by em funcionamento. C. incorreto. Danos e recuperação são realmente limitados pelo acordo stand -by. D. correto. Um stand-by é uma medida repressiva que é iniciada, a fim de limitar os danos.
  47. 47. 93 17 de 40 - Como é amelhor descrição do objetivo da política de segurança da informação? A. A política documenta a análise de riscos e a busca de medidas de contor- no. B. A política fornece orientação e apoio à gestão em matéria de segurança da informação. C. A política torna o plano de segurança concreto, fornecendo-lhe os deta- lhes necessários. D. A política fornece percepções sobre as ameaças e as possíveis consequên- cias. A. incorreto. Este é o propósito da análise e gerenciamento de riscos. B. correto. A política de segurança fornece orientação e apoio à gestão em matéria de segurança da informação. C. incorreto. O plano de segurança faz com que a política de segurança da informação seja concreta. O plano inclui medidas que tenham sido escolhi- das, quem é responsável pelo que, as orientações para a implementação de medidas, etc. D. incorreto. Este é o propósito de uma análise de ameaça. 18 de 40 - O código de conduta para os negócios eletrônicos (e-business) é baseado em uma série de princípios. Quais dos seguintes princípios não per- tencem? A. Confiabilidade B. Registro C. Confidencialidade e privacidade A. incorreto. Confiabilidade forma uma das bases do código de conduta. B. correto. O código de conduta é baseado nos princípios de confiabili- dade, transparência, confidencialidade e privacidade. 94 C. incorreto. O código de conduta se baseia em matéria de confidencialidade e privacidade, entre outras coisas. 19 de 40 - Um trabalhador da companhia de seguros Euregio descobre que a data de validade de uma política foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela relata este incidente de segurança ao Helpdesk. O atendente do Helpdesk registra as seguintes informações sobre este inci- dente:  data e hora  descrição do incidente  possíveis consequências do incidente Que informação importante sobre o incidente está faltando aqui? A. O nome da pessoa que denunciou o incidente B. O nome do pacote de software C. O número do PC D. Uma lista de pessoas que foram informadas sobre o incidente A. correto. Ao relatar um incidente, o nome do usuário deve ser registra- do no mínimo. B. incorreto. Esta informação adicional pode ser adicionada posteriormente C. incorreto. Esta informação adicional pode ser adicionada posteriormente D. incorreto. Esta informação adicional pode ser adicionada posteriormente 20 de 40 - Uma empresa experimenta os seguintes incidentes: 1. Um alarme de incêndio não funciona. 2. A rede é invadida. 3. Alguém finge ser um membro do quadro de pessoal. 4. Um arquivo no computador não pode ser convertido em um arquivo PDF. Qual destes incidentes não é um incidente de segurança?
  48. 48. 95 A. 1 B. 2 C. 3 D. 4 A. incorreto. Um alarme de incêndio defeituoso é um incidente que pode ameaçar a disponibilidade de dados. B. incorreto. Hacking é um incidente que pode ameaçar a disponibilidade, integridade e confidencialidade dos dados. C. incorreto. Desvio de identidade é um incidente que pode ameaçar o as- pecto da disponibilidade, integridade e confidencialidade dos dados. D. correto. Um incidente de segurança é um incidente que ameaça a confidencialidade, confiabilidade e disponibilidade dos dados. Esta não é uma ameaça para a disponibilidade, integridade e confidenciali- dade dos dados. 21 de 40 - As medidas de segurança podem ser agrupadas de várias manei- ras. Qual das seguintes é correta? A. Física, lógica, preventiva B. Lógica repressiva, preventiva C. Organizacional, preventiva, corretiva, física D. Preventiva, detetiva, repressiva, corretiva A. incorreto. Organizacional / lógico / físico é um grupo apropriado, como é preventiva / detetiva / repressiva / corretivas. B. incorreto. Organizacional / lógico / físico é um grupo apropriado, como é preventiva / detetiva / repressiva / corretivas. C. incorreto. Organizacional / lógico / físico é um grupo apropriado, como é preventiva / detetiva / repressiva / corretivas. D. correto. Preventiva / detetiva / repressiva / corretiva é um grupo apropriado, como é organizacional / lógico / físico. 96 22 de 40 - Um alarme de fumaça é colocado em uma sala de computadores. Sob qual categoria de medidas de segurança está esta? A. Corretivas B. Detetiva C. Organizacional D. Preventiva A. incorreto. Um alarme detecta fumaça e, em seguida, envia um alarme, mas não tomar qualquer ação corretiva. B. correto. Um alarme de incêndio só tem uma função de sinalização, após o alarme dado, a ação ainda é necessária. C. incorreto. Só as medidas que seguem um sinal de alarme de incêndio são organizacionais; a colocação de um alarme de fumaça não é organizacional. D. incorreto. Um alarme de fumaça não impede o fogo e não é portanto uma medida preventiva. 23 de 40 - Security Officer (ISO-Information Security Officer)), da compa- nhia de seguros Euregio deseja ter uma lista de medidas de segurança em conjunto. O que ele tem que fazer primeiramente antes de selecionar as me- didas de segurança a serem implementadas? A. Implantar o monitoramento. B. Realizar uma avaliação. C. Formular uma política de segurança da informação. D. Realizar uma análise de risco. A. incorreto. O monitoramento é uma medida possível. B. incorreto. A avaliação acontece depois que a lista de medidas é montada. C. incorreto. Uma política de segurança da informação é importante, mas não é necessária a fim de selecionar medidas. D. correto. Antes das medidas de segurança serem selecionadas, Euregio deve conhecer os seus riscos para determinar quais os riscos requerem uma medida de segurança.
  49. 49. 97 24 de 40 - Qual é a finalidade da classificação das informações? A. Determinar quais tipos de informações podem requerer diferentes níveis de proteção. B. Atribuir informações a um proprietário. C. Reduzir os riscos de erro humano. D. Impedir o acesso não autorizado a informações. A. correto. O objetivo da classificação das informações é de manter uma proteção adequada. B. incorreto. Alocação de informações para um proprietário é o meio de clas- sificação e não o fim. C. incorreto. Reduzir os riscos de erro humano é parte dos requisitos de segurança dos funcionários. D. incorreto. Impedir o acesso não autorizado a informações é parte de se- gurança de acesso. 25 de 40 - A autenticação forte é necessária para acessar áreas altamente protegidas. Em caso de autenticação forte a identidade de uma pessoa é ve- rificada através de três fatores. Qual fator é verificado quando é preciso digi- tar um número de identificação pessoal (PIN)? A. Algo que você é B. Algo que você tem C. Algo que você sabe A. incorreto. Um código PIN não é um exemplo de algo que você é. B. incorreto. Um código PIN não é algo que você tem. C. correto. Um código PIN é algo que você sabe. 26 de 40 - O acesso à sala de computadores está fechado usando um leitor de crachás. Somente o Departamento de Sistemas de Gestão tem um crachá. Que tipo de medida de segurança é essa? 98 A. Uma medida de segurança de correção B. Uma medida de segurança física C. Uma medida de segurança lógica D. Uma medida de segurança repressiva A. incorreto. A medida de segurança de correção é uma medida de recupe- ração. B. correto. Esta é uma medida de segurança física. C. incorreto. Uma medida de segurança lógica controla o acesso ao softwa- re e informação, e não o acesso físico às salas D. incorreto. A medida de segurança repressiva visa minimizar as conse- quências de um rompimento. 27 de 40 - Quatro membros do pessoal (4) do departamento de TI compar- tilham um (1) mesmo crachá. A que risco de isso levar? A. Se a energia falhar, os computadores vão ficar fora. B. Se houver fogo os extintores de incêndio não podem ser usados. C. Se alguma coisa desaparecer da sala de informática não vai ficar claro quem é responsável. D. Pessoas não autorizadas podem ter acesso à sala de computadores sem serem vistas. A. incorreto. Computadores fora do ar como resultado de uma falha de energia não têm nada a ver com a gestão de acesso. B. incorreto. Mesmo com um crachá, a equipe de TI pode apagar um incên- dio com um extintor de incêndio. C. correto. Embora fosse claro que alguém do departamento de TI entrou na sala, não é certo que isso tenha acontecido. D. incorreto. Ninguém tem acesso à sala de computadores sem um crachá. 28 de 40 - No salão de recepção de um escritório da administração, há uma impressora que todos os funcionários podem usar em caso de emergência.
  50. 50. 99 O arranjo é que as impressões devem ser recolhidas imediatamente, para que elas não possam ser levadas por um visitante. Qual outro risco para a informação da empresa que esta situação traz? A. Os arquivos podem permanecer na memória da impressora. B. Visitantes seriam capazes de copiar e imprimir as informações confiden- ciais da rede. C. A impressora pode tornar-se deficiente através do uso excessivo, de mo- do que já não estará disponível para uso. A. correto. Se os arquivos permanecem na memória podem ser impres- sos e levados por qualquer transeunte. B. incorreto. Não é possível usar uma impressora para copiar as informa- ções da rede. C. incorreto. A indisponibilidade de uma impressora não forma um risco para a informação da companhia. 29 de 40 - Qual das seguintes medidas de segurança é uma medida técnica? A. Atribuição de Informações a um dono B. Criptografia de arquivos C. Criação de uma política de definição do que é e não é permitido no e- mail D. Senhas do sistema de gestão armazenadas em um cofre A. incorreto. Alocação de informações para um proprietário é a classifica- ção, que é uma medida de organização. B. correto. Esta é uma medida técnica que impede que pessoas não au- torizadas leiam as informações. C. incorreto. Esta é uma medida de organização, um código de conduta que está escrito no contrato de trabalho. D. incorreto. Esta é uma medida de organização. 100 30 de 40 - As cópias de segurança As cópias de segurança (backup) As có- pias de segurança (backup) do servidor central são mantidas na mesma sala fechada com o servidor. Que risco a organização encara? A. Se a falha no servidor, ele vai levar um longo tempo antes que o servidor está novamente operacional. B. Em caso de incêndio, é impossível obter o sistema de volta ao seu estado anterior. C. Ninguém é responsável pelos backups. D. Pessoas não autorizadas tenham acesso fácil para os backups. A. incorreto. Pelo contrário, isso ajudaria a recuperar o sistema operacional mais rapidamente. B. correto. A chance de que as cópias de segurança também podem ser destruídas em um incêndio é muito grande. C. incorreto. A responsabilidade não tem nada a ver com o local de armaze- namento. D. incorreto. A sala de informática está bloqueada. 31 de 40 - Qual das tecnologias abaixo é maliciosa? A. Criptografia B. Hash C. Virtual Private Network (VPN) D. Vírus, worms e spyware A. incorreto. Criptografia torna a informação impossível de ser lida por qual- quer pessoa, exceto aquela que possuem conhecimento especial, usualmente feito por uma chave B. incorreto. Hash é um método de criptografia da informação C. incorreto. VPN é uma conexão segura feita para acesso à internet D. correto. Todas essas são formas de tecnologias maliciosas que estabelecem pedidos a um computador para fins maliciosos.
  51. 51. 101 32 de 40 - Que medida não ajuda contra software mal-intencionado? A. Uma política ativa de correções B. Um programa anti-spyware C. Um filtro anti-spam D. Uma senha A. incorreto. Software mal intencionado freqüentemente usa falhas de pro- gramação em programas populares. Correções reparam brechas de segurança nesses programas, reduzindo a chance de infecções por software mal intenci- onado B. incorreto. Spyware é um programa malicioso que coleta informações con- fidenciais e então as distribui. Um programa anti-spyware pode detectar esse tipo de programa no computador C. incorreto. Spam é um e-mail não pedido. É freqüentemente uma simples propaganda mas pode também ter programas maliciosos anexados ou um link para um sítio na internet com software malicioso. Um filtro remove spam. D. correto. Uma senha é um meio de autenticação. Ela não bloqueia qual- quer tipo de software malicioso. 33 de 40 - O que é um exemplo de medida organizacional? A. Cópia de segurança (backup) de dados B. Criptografia C. Segregação de funções D. Manutenção de equipamentos de rede e caixas de junção em uma sala trancada A. incorreto. Cópia de segurança (backup) é uma medida técnica B. incorreto. Criptografia de dados é uma medida técnica C. correto. Segregação de funções é uma medida organizacional. A inicia- ção, execução e controle de funções são alocadas a diferentes pessoas. Por exemplos, a transferência de um grande volume de dinheiro é prepa- rado por um escriturário, o diretor financeiro executa o pagamento e um 102 contador audita a transação. D. incorreto. Trancas as salas é um medida de segurança física. 34 de 40 - A identificação é determinar se a identidade de alguém é correta. Esta declaração é correta? A. sim B. não A. incorreto. Identificação é o processo de tornar uma identidade conhecida. B. correto. Estabelecer se a identidade de alguém é correta é chamado de autenticação. 35 de 40 - Por que é necessário manter um plano de recuperação de desastres atualizados e testá-lo regularmente? A. A fim de sempre ter acesso a cópias de segurança (backups) recentes, que estão localizados fora do escritório. B. Para ser capaz de lidar com as falhas que ocorrem diariamente. C. Porque de outra forma, na eventualidade de uma ruptura muito grande, as medidas tomadas e os procedimentos previstos podem não ser adequados ou podem estar desatualizados. D. Porque esta é exigida pela Lei de Proteção de Dados Pessoais. A. incorreto. Esta é uma das medidas técnicas utilizadas para recuperar um sistema B. incorreto. Para rupturas normais as medidas usualmente executadas e os procedimentos de incidentes são suficientes C. correto. Uma ruptura maior requer planos atualizados e testados. D. incorreto. A Lei de Proteção de Dados Pessoais envolve a privacidade dos dados pessoais 36 de 40 - O que é a autorização? A. A determinação da identidade de uma pessoa. B. O registro das ações realizadas. C. A verificação da identidade de uma pessoa.
  52. 52. 103 D. A concessão de direitos específicos, tais como o acesso seletivo para uma pessoa. A. incorreto. A determinação da identidade de uma pessoa é chamada de identificação B. incorreto. O registro das ações realizadas é chamada diário C. incorreto. A verificação da identidade da pessoa é chamada de autentica- ção D. correto. A permissão de direitos específicos, tal como acesso seletivo para uma pessoa, é chamada de autorização. 37 de 40 - Qual norma legal importante na área de segurança da informação que o governo tem que cumprir? A. Análise de dependência e vulnerabilidade B. ISO / IEC 20000 C. ISO / IEC 27002 D. Legislação nacional de segurança de informação ou regulamentos A. incorreto. Dependência & Análise de Risco é um método de análise de risco B. incorreto. ISO/IEC 20000 é um padrão para organizar o gerenciamento de serviços de TI e não é compulsório. incorreto. ISO/IEC 27002 é o Código de Segurança da Informação. É um guia para organizar a Segurança de Informa- ção e não é compulsório D. correto. Legislação nacional de segurança da informação ou regula- mentos são intencionados para todos os governos e são obrigatórios. 38 de 40 - Com base em qual legislação alguém pode pedir para inspecionar os dados que tenham sido registrados? A. A Lei de Registros Públicos B. A Lei de Proteção de Dados Pessoais C.A Lei de Crimes de Informática 104 D. A Lei de acesso público a informações do governo A. incorreto. A Lei de Registros Públicos regula o armazenamento e a des- truição de documentos arquivados B. correto. O direito de inspeção é regulado na Lei de Proteção de Dados Pessoais. C. incorreto. A Lei de Crimes de Informática é uma mudança do Código Pe- nal e do Código de Processo Criminal de forma a tornar mais fácil lidar com ofensas perpetradas por meio de tecnologia da informação avançada. Um exemplo de uma nova ofensa é o hacking. D. incorreto. A Lei de Acesso Público a Informações do Governo regula a ins- peção de documentos oficiais escritos. Dados pessoais não são documentos oficiais. 39 de 40 - O Código de Prática de Segurança da Informação (ISO / IEC 27002) é uma descrição de um método de análise de risco. Esta declaração é correta? A. Sim B. Não A. incorreto. A 27002 é uma coleção de medidas B. correto. O Código de Segurança da Informação pode ser usado em uma análise de risco mas não é um método. 40 de 40 - O Código de Prática de Segurança da Informação (ISO / IEC 27002) só se aplica às grandes empresas. Esta declaração é correta? A. Sim B. Não A. incorreto. O Código de Segurança da Informação é aplicável a todos os tipos de organização, grandes e pequenas. B. correto. O Código de Segurança da Informação é aplicável a todos os tipos de organização, grandes e pequenas.
  53. 53. 105 Anexo BLista de conceitos básico do Exin 106 A lista apresenta o nome traduzido, o original utilizado nas provas e litera- tura em Inglês do Exin e o tópico na apostila onde encontrar o assunto. Termo em Português Termo em Inglês Tópico Ameaça Threat 3.1 Análise da Informação Information Analysis 1.1 Análise de Risco Risk analysis 3.3 Análise de risco qualitativa Qualitative risk analysis 3.3 Análise quantitativa de risco Quantitative risk analysis 3.3 Arquitetura da Informação Information architecture 1.1 Assinatura Digital Digital signature 5.3 Ativo Asset 1.2 Auditoria Audit 5.7, 6.2 Autenticação Authentication 5.7 Autenticidade Authenticity 1.3 Autorização Authorization 5.7 Avaliação de Riscos Risk assessment 3.3 Backup (Cópia de segurança) Backup 5.3 Biometria Biometrics 5.3 Botnet Botnet 3.2 Categoria Category 5.1 Cavalo de Troia Trojan 3.2 Certificado Digital Certificate 5.3 Chave Key 5.3 Ciclo de Incidentes Incident cycle 4.3 Classificação Classification (grading) 2.3 Código de boas práticas de Segu- rança (ISO 27002) Code of practice for information security (ISO/IEC 27002:2005) 1.1
  54. 54. 107 Termo em Português Termo em Inglês Tópico Código de conduta Code of conduct 4.2 Código Malicioso (Malware) Malware 3.2 Completeza (Totalidade) Completeness 1.2 Confiabilidade das informações Reliability of information 1.2 Confidencialidade Confidentiality 1.3 Conformidade Compliance 6 Continuidade Continuity 1.3 Controle de Acesso Access control 5.7 Corretiva Corrective 5.1 Criptografia Cryptography 5.3 Dados Data 1.1 Danos Danos diretos Danos indiretos Damage Direct damage Indirect damage 3.3 Desastre Disaster 5.8 Detectiva Detective 5.1 Disponibilidade Availability 1.3 Encriptar Encryption 5.3 Engenharia Social Social engineering 3.2 Escalação Escalação funcional Escalação hierárquica Escalation Functional escalation Hierarchical escalation 4.3 Estratégia de Risco Evitar riscos Risk strategy Risk avoiding 3.3 Exatidão Correctness 1.3 Exclusividade Exclusivity 1.3 Fator de produção Production factor 1.2 Firewall pessoal Personal firewall 5.3 108 Termo em Português Termo em Inglês Tópico Fornecedor Ininterrupto de Energia (No Break) Uninterruptible Power Supply (UPS) 5.2 Gerenciamento da Continuidade de Negócios (GCN) Business Continuity Manage- ment (BCM) 5.8 Gerenciamento da Informação Information management 1.1 Gerenciamento de acesso lógico Logical access management 5.7 Gerenciamento de Mudança Change Management 4.3 Gerenciamento de riscos Risk management 3.3 Hacking Hacking 3.2 Hoax Hoax 3.2 Identificação Identification 1. Impacto Impact 4.1 Incidente de Segurança Security incident 4.3 Informação Information 1.1 Infraestrutura Infrastructure 1.1 Infraestrutura de chave pública (ICP) Public Key Infrastructure (PKI) 5.3 Integridade Integrity 1.2 Interferência Interference ISO / IEC 27001:2005 ISO/IEC 27001:2005 1.1 ISO / IEC 27002:2005 ISO/IEC 27002:2005 1.1 Legislação de direitos autorais Copyright legislation 6.1 Legislação sobre Crimes de Informá- tica Computer criminality legislation 6.1 Legislação sobre proteção de dados pessoais Personal data protection legisla- tion 6.1 Legislação sobre registros públicos Public records legislation 6.1
  55. 55. 109 Termo em Português Termo em Inglês Tópico Medida de segurança Security measure 5 Não-repúdio Non-repudiation 1.3 Organização de Segurança Security Organization 4.2 Patch Patch 5.4 Phishing Phishing 3.2 Plano de Continuidade de Ne- gócios (PCN) Business Continuity Plan (BCP) 5.8 Plano de Recuperação de De- sastre (PRD) Disaster Recovery Plan (DRP) 5.8 Política de mesa limpa Clear desk policy 5.2 Privacidade Privacy 1.3 Política de Segurança Security Policy 4.1 Porta de Manutenção Maintenance door 3.2 Precisão Precision 1.3 Preventiva Preventive 5.1 Prioridade Priority 4.1 Prontidão Timeliness 1.3 Rede privada virtual (VPN) Virtual Private Network (VPN) 5.3 Redutiva Reductive 5.1 Reduzir riscos Risk Reduce 3.3 Regulamenta1ção de segurança para informações especiais p/ o governo Security regulations for special information for the government 6.1 Regulamentação de Segurança para o governo Security regulations for the government 6.1 Repressiva Repressive 5.1 Reter risco Risk bearing 3.3 Risco Risk 3 110 Termo em Português Termo em Inglês Tópico Robustez Robustness 1.3 Rootkit Rootkit 3.2 Segregação de funções Segregation of duties 5.6 Sistema de Informação Information system 1.1 Spam Spam 3.2 Software Espião Spyware 3.2 Stand-by Arrangement Stand-by arrangement 5.8 Mídia de armazenamento Storage medium 1.1 Urgência Urgency 4.1 Validade Validation 1.2 Verificação Verification 6.2 Vírus Virus 3.2 Vulnerabilidade Vulnerability 3.1 Verme Worm 3.2
  56. 56. 111 112 Anexo CReferências Bibliográficas
  57. 57. 113 Anexo C – Referencias Bibliograficas [1] GIL, Antonio de Loureiro. Segurança em Informática. 2. Ed. São Paulo: Atlas, 1998. [2] GIL, Antonio de Loureiro. Auditoria de Computadores. 4. Ed. São Paulo: Atlas, 1999. [3] SCHNEIER, Bruce. Segurança.com, Tradução de “Secrets & Lies”, Segredos e Mentiras sobre a Proteção na Vida Digital, Criptografia, Criptografia no Contexto, Identificação e Autenticação. [4] BUCHMANN, Johannes A. Introdução à Criptografia, Codificação Criptográfica ou Cifragem, Chave Pública, Assinaturas Digitais. [5] Segurança Máxima. 3. ed. Rio de Janeiro: Campus, 2001. [6]. SÊMOLA, Marcos. Gestão da Segurança da Informação. 1. Ed. Rio de Janeiro: Campus, 2003. [7] PORTER, Michael E. Estratégia Competitiva: Técnicas para Análise de Indústrias e da Concorrência. 7. Ed. Rio de Janeiro: Campus, 1986. [8~] DAVENPORT, Thomas H. Ecologia da Informação5. Ed. São Paulo: Futura, 2003 [9] FONSECA, Fernando. ISO 27005 Exemplificada. Acessada 19/05/2010 : ftp:// ftp.registro.br/pub/gts/gts15/02-ISO-27005-exemplificada.pdf [10] DRUCKER, Peter. Sociedade pós-capitalista. São Paulo: Editora Pioneira, 7ª Edição, 1998. 114 Anexo DSites Recomendados
  58. 58. 115 Anexo D – Sites Recomendados  Blog Segurança Objetiva— segurancaobjetiva.wordpress.com  Segurança Microsoft— www.microsoft.com/security  Linha Defensiva— www.linhadefensiva.org  Infosec Council — www.infoseccouncil.org.br 116

×