SEGURANÇA DA INFORMAÇÃO 
PROTEÇÃO NO AMBIENTE VIRTUAL 
B R U N O F E L I P E 
B R U N O F F A C @ G M A I L . C O M
EU, PROFISSIONALMENTE. 
o Analista de Sistemas na BankSystem Corporation; 
o Professor na Faculdade Marista e Joaquim Nabu...
AGENDA 
o Conceitos Básicos em Segurança da Informação; 
o Preocupação com a Segurança do Computador; 
o Riscos em Seguran...
SEGURANÇA DA INFORMAÇÃO 
Hoje em dia, segurança é um assunto bastante discutido em várias 
vertentes. No entanto, vamos fo...
SEGURANÇA DA INFORMAÇÃO 
A segurança da informação tem vários aspectos importantes, porém três 
deles se destacam: 
o Conf...
SEGURANÇA DA INFORMAÇÃO 
A segurança da informação tem vários aspectos importantes, porém três 
deles se destacam: 
o Conf...
SEGURANÇA DA INFORMAÇÃO 
A segurança da informação tem vários aspectos importantes, porém três 
deles se destacam: 
o Conf...
SEGURANÇA DA INFORMAÇÃO 
A segurança da informação tem vários aspectos importantes, porém três 
deles se destacam: 
o Conf...
SEGURANÇA DA INFORMAÇÃO 
Confidenciali 
dade 
Segurança da 
Informação 
Disponibilid 
ade 
Integridade
SEGURANÇA DA INFORMAÇÃO 
Outros aspectos: 
o Autenticação: garantir que o usuário é, de fato, quem alega ser; 
o Não-repúd...
SEGURANÇA DA INFORMAÇÃO 
Então... 
Quando estamos falando sobre Segurança da Informação queremos tomar 
medidas para garan...
POR QUE DEVO ME PREOCUPAR COM A 
SEGURANÇA DO MEU COMPUTADOR? 
o Transações financeiras; 
o Compra de produtos ou serviços...
POR QUE ALGUÉM INVADIRIA MEU COMPUTADOR? 
o Utilizar seu computador em alguma atividade ilícita, para esconder a 
real ide...
RISCOS EM SEGURANÇA DA INFORMAÇÃO 
o Ataque 
Um tipo de incidente de segurança caracterizado pela existência de um 
agente...
RISCOS EM SEGURANÇA DA INFORMAÇÃO 
o Vulnerabilidades 
Os ativos de informação possuem vulnerabilidades ou fraquezas que, ...
RISCOS EM SEGURANÇA DA INFORMAÇÃO 
o Impacto 
O impacto de um incidente de segurança é medido pelas consequências 
que pos...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE 
INFORMAÇÃO 
A classificação da informação é o processo pelo qual estabelecemos o 
...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE 
INFORMAÇÃO 
o Classificação quanto à confidencialidade: 
o Nível I: informação púb...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE 
INFORMAÇÃO 
o Classificação quanto à confidencialidade: (Cont.) 
o Nível III: info...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE 
INFORMAÇÃO 
o Classificação quanto à disponibilidade: 
Qual a falta que a informaç...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE 
INFORMAÇÃO 
o Classificação quanto à integridade: 
Uma informação errada pode traz...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE 
INFORMAÇÃO 
o Monitoramento contínuo: 
Após a classificação dos ativos da informaç...
SEGURANÇA NO AMBIENTE FÍSICO 
Para garantir a adequada segurança física aos ativos de informação é 
preciso combinar medid...
SEGURANÇA NO AMBIENTE FÍSICO 
A ISO 17.799 (Segurança da Informação) recomenda que escritórios, salas 
e instalações de pr...
SEGURANÇA NO AMBIENTE FÍSICO 
Sem esquecer do sistema de cabeamento, muito importante dentro de uma 
empresa, deve receber...
ENGENHARIA SOCIAL 
Tudo que a gente viu até agora pode ir por água abaixo. 
O termo é utilizado para descrever um método d...
TIPOS DE ATAQUES
Físico 
(Sabotagem) 
ATAQUES 
Interceptação 
Denial of Service 
Intrusão 
Backdoor 
Engenharia 
Social
Físico 
(Sabotagem) 
 Corte de eletricidade 
 Extinção manual do 
computador 
 Vandalismo 
 Abertura da caixa do 
comp...
Interceptação 
 Roubo de sessão 
(sessão hijacking) 
 Desvio ou alteração de 
mensagens (IP spoofing) 
 Sniffing
Denial of 
Service 
 Exploração de fraquezas 
dos protocolos TCP/IP 
 Exploração de 
vulnerabilidade dos 
"software" ser...
Intrusão 
 Elevação de privilégios por 
buffer overflow 
 Programas maliciosos 
(vírus, malwares)
Engenharia 
Social 
 Facebook 
 Google 
 Phishing 
(normalmente por Email)
Backdoor 
 Programas maliciosos 
(que abrem portas)
COMO SE PROTEGER NO AMBIENTE VIRTUAL
SENHAS 
Autenticar o usuário é o processo de verificação 
de sua identidade, assegurando que este é 
realmente quem diz se...
SENHAS 
o Use muitos caracteres; 
o Combine maiúsculas e minúsculas; 
o Combine letras, números e caracteres 
especiais (#...
ANTIVÍRUS 
Os antivírus são programas que procuram detectar e, então, anular ou remover 
os programas maliciosos do comput...
FIREWALLS 
Os firewalls são dispositivos constituídos pela combinação 
de software e hardware, utilizados para dividir e c...
CADEADO NA BARRA DE ENDEREÇOS 
O cadeado exibido na imagem informa que o tráfego de dados no site é feita 
por meio de uma...
REFERÊNCIAS 
http://cartilha.cert.br/ 
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
SEGURANÇA DA INFORMAÇÃO 
COMO SE PROTEGER NO AMBIENTE 
VIRTUAL 
B R U N O F E L I P E 
B R U N O F F A C @ G M A I L . C O...
Próximos SlideShares
Carregando em…5
×

Segurança da Informação: Proteção no ambiente Virtual

860 visualizações

Publicada em

Apresentação abordando conceitos básicos sobre segurança da informação. Além de falar sobre alguns ataques e como se proteger no ambiente virtual.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
860
No SlideShare
0
A partir de incorporações
0
Número de incorporações
16
Ações
Compartilhamentos
0
Downloads
21
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Segurança do trabalho, gestão de segurança pública, gestão de segurança privada, segurança no trânsito
  • Perguntar ao pessoal uma forma bem básica de garantir a confidencialidade das informações. Sites que eles visitam bastante, por exemplo, facebook. Login.
  • Citar que uma vez que os dados são registrados, os mesmos não podem mudar por falha do software. Apenas por uma ação explícita. Por exemplo, imagina que o saldo da conta bancária fique mudando sempre que é feito um acesso? (se for para mais é ótimo, não?).
  • Ao entrar em um sistema os dados devem estar lá. Claro, alguns serviços precisam parar momentaneamente, porém, essa parada deve ser rápida. Além disso, depende da classificação do tipo de informação oferecida pelo software.
  • Então esses três conceitos são o alicerce da segurança da informação. Todos os sistemas informatizados que guardam informações devem garantir essas três propriedades.
  • Podemos dizer que todos os sistemas computacionais devem implementar.
  • No mundo da computação, quando falamos em...
  • Quantos daqui usam serviços de internet banking?
    Armazenamento de dados, e o armazenamento na nuvem?
  • Como a internet é um conglomerado de redes interconectadas, ou seja, vários computadores interconectados...
  • Não há software 100% seguro. Sempre há novas ameaças. O que temos são equipes especializadas, trabalhando pela segurança do aplicativo.
  • Já ouviram falar de BI? As informações identificadas em um processo de BI são classificadas como “informação secreta”
  • Horários de voos errados, informações errôneas sobre a bolsa de valores, boatos que surgem em redes sociais.
  • Falar que grandes empresas como Google e Facebook, possuem um treinamento rigoroso com seus funcionários para se protegerem contra a engenharia social.
  • Segurança da Informação: Proteção no ambiente Virtual

    1. 1. SEGURANÇA DA INFORMAÇÃO PROTEÇÃO NO AMBIENTE VIRTUAL B R U N O F E L I P E B R U N O F F A C @ G M A I L . C O M
    2. 2. EU, PROFISSIONALMENTE. o Analista de Sistemas na BankSystem Corporation; o Professor na Faculdade Marista e Joaquim Nabuco. Professor Executor na UFRPE-EAD; o Mestrado em Ciência da Computação, Cin-UFPE; o Especialização em Administração de Banco de Dados – Estácio de Sá; o Graduação em Sistemas para Internet; o Técnico em Web Design, Unibratec.
    3. 3. AGENDA o Conceitos Básicos em Segurança da Informação; o Preocupação com a Segurança do Computador; o Riscos em Segurança da Informação; o Segurança no Ambiente Físico; o Engenharia Social; o Tipos de Ataques; o Como se Proteger no Ambiente Virtual
    4. 4. SEGURANÇA DA INFORMAÇÃO Hoje em dia, segurança é um assunto bastante discutido em várias vertentes. No entanto, vamos focar na segurança da informação, algo muito valioso atualmente.
    5. 5. SEGURANÇA DA INFORMAÇÃO A segurança da informação tem vários aspectos importantes, porém três deles se destacam: o Confidencialidade; o Integridade; o Disponibilidade;
    6. 6. SEGURANÇA DA INFORMAÇÃO A segurança da informação tem vários aspectos importantes, porém três deles se destacam: o Confidencialidade: capacidade de um sistema de permitir que os usuários acessem determinadas informações, ao passo que impede que outros não autorizados, a vejam. o Integridade; o Disponibilidade;
    7. 7. SEGURANÇA DA INFORMAÇÃO A segurança da informação tem vários aspectos importantes, porém três deles se destacam: o Confidencialidade; o Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida além de não mudar a menos que isso seja feito explicitamente. o Disponibilidade;
    8. 8. SEGURANÇA DA INFORMAÇÃO A segurança da informação tem vários aspectos importantes, porém três deles se destacam: o Confidencialidade; o Integridade; o Disponibilidade: A informação deve estar disponível para todos que precisarem dela para realizar seu objetivo.
    9. 9. SEGURANÇA DA INFORMAÇÃO Confidenciali dade Segurança da Informação Disponibilid ade Integridade
    10. 10. SEGURANÇA DA INFORMAÇÃO Outros aspectos: o Autenticação: garantir que o usuário é, de fato, quem alega ser; o Não-repúdio: capacidade do sistema de provar que um usuário executou determinada ação; o Legalidade: garantir que o sistema esteja aderente à legislação pertinente; o Privacidade: capacidade do sistema de manter o anonimato do usuário; o Auditoria: capacidade do sistema de auditar tudo o que foi realizado pelo usuário, a fim de detectar fraudes ou tentativas de ataques.
    11. 11. SEGURANÇA DA INFORMAÇÃO Então... Quando estamos falando sobre Segurança da Informação queremos tomar medidas para garantir a confidencialidade, integridade, disponibilidade e outros aspectos dentro da necessidade do usuário.
    12. 12. POR QUE DEVO ME PREOCUPAR COM A SEGURANÇA DO MEU COMPUTADOR? o Transações financeiras; o Compra de produtos ou serviços; o Comunicação (email, chat); o Armazenamento de dados; o Senhas;
    13. 13. POR QUE ALGUÉM INVADIRIA MEU COMPUTADOR? o Utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor; o Utilizar seu disco rígido como repositório de dados; o Destruir informações; o Disseminar mensagens alarmantes e falsas; o Propagar vírus de computador; o Furtar números de cartões de crédito e senhas bancárias; o Furtar dados do seu computador, como por exemplo, fotos.
    14. 14. RISCOS EM SEGURANÇA DA INFORMAÇÃO o Ataque Um tipo de incidente de segurança caracterizado pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor.
    15. 15. RISCOS EM SEGURANÇA DA INFORMAÇÃO o Vulnerabilidades Os ativos de informação possuem vulnerabilidades ou fraquezas que, intencionalmente ou não, podem gerar a indisponibilidade, a quebra de confidencialidade ou integridade. A vulnerabilidade é o ponto fraco.
    16. 16. RISCOS EM SEGURANÇA DA INFORMAÇÃO o Impacto O impacto de um incidente de segurança é medido pelas consequências que possam causar aos processos de negócio suportados pelo ativo em questão. Os ativos possuem valores diferentes pois, suportam informações com relevâncias diferentes para o negócio da organização. Quanto mais relevante for o ativo, maior será o impacto de um eventual incidente que poderá acontecer.
    17. 17. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A classificação da informação é o processo pelo qual estabelecemos o grau de importância das informações frente ao seu impacto no negócio ou processo que elas suportam.
    18. 18. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO o Classificação quanto à confidencialidade: o Nível I: informação pública Nesta categoria estão os ativos públicos ou não classificados. São informações que se forem divulgadas fora da organização, não trarão impacto para o negócio. Sua integridade não é vital e seu uso é livre. Exemplo: folder da organização, banner eletrônico e etc. o Nível II: informação Interna Nesta categoria estão os ativos cujo o acesso pelo público externo deve ser evitado, entretanto, caso venha a ser público as consequências não são críticas. Exemplo: lista de telefones e ramais, agenda eletrônica dos executivos e etc.
    19. 19. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO o Classificação quanto à confidencialidade: (Cont.) o Nível III: informação confidencial Nesta categoria estão os ativos que possuem acesso restrito dentro da organização e protegidos do acesso externo. A integridade é vital. O acesso não autorizado a este ativo pode trazer impactos significativos para o funcionamento da empresa. Exemplo: dados de clientes, senhas de acesso, login como administrador e etc. o Nível IV: informação secreta Tanto o acesso interno quanto o externo a este ativo é extremamente crítico para a organização. A quantidade de pessoas com acesso a estes ativos precisa ser a menor possível e minuciosamente controlado. Exemplo: informações de concorrentes, informações militares, BI e etc.
    20. 20. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO o Classificação quanto à disponibilidade: Qual a falta que a informação faz? Ao responder esta pergunta poderemos classificá-las em nível de criticidade e estabelecer uma ordem em caso de indisponibilidade. o Nível I: informações que devem ser recuperadas em segundos/minutos; o Nível II: informações que devem ser recuperadas em horas; o Nível III: informações que devem ser recuperadas em dias; o Nível IV: informações que não são críticas;
    21. 21. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO o Classificação quanto à integridade: Uma informação errada pode trazer vários transtornos aos processos de trabalho. Assim, identificar aquelas que são fundamentais para o negócio ajuda a apontar o local certo para direcionar os controles para prevenir, detectar e corrigir a produção de informações sem integridade ou alterações indevidas na mesma.
    22. 22. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO o Monitoramento contínuo: Após a classificação dos ativos da informação, devemos elaborar e manter procedimentos de reavaliação periódicas dos mesmos, sempre assegurando que os ativos estejam seguramente classificados.
    23. 23. SEGURANÇA NO AMBIENTE FÍSICO Para garantir a adequada segurança física aos ativos de informação é preciso combinar medidas de prevenção, detecção e reação aos possíveis incidentes de segurança. Prevenção, Detecção e Reação
    24. 24. SEGURANÇA NO AMBIENTE FÍSICO A ISO 17.799 (Segurança da Informação) recomenda que escritórios, salas e instalações de processamento de dados sejam seguros contra fogo, poeira, fumaça, vibração, vazamento d’água, explosão e desastres naturais. Da mesma forma os equipamentos devem ser seguros contra falha elétrica ou qualquer anomalia na rede elétrica. No break, recomendado.
    25. 25. SEGURANÇA NO AMBIENTE FÍSICO Sem esquecer do sistema de cabeamento, muito importante dentro de uma empresa, deve receber os devidos cuidados. Em muitas empresas, informações ainda são mantidas em papéis, os mesmo devem ser digitalizados para conservarem seu “tempo de vida”.
    26. 26. ENGENHARIA SOCIAL Tudo que a gente viu até agora pode ir por água abaixo. O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
    27. 27. TIPOS DE ATAQUES
    28. 28. Físico (Sabotagem) ATAQUES Interceptação Denial of Service Intrusão Backdoor Engenharia Social
    29. 29. Físico (Sabotagem)  Corte de eletricidade  Extinção manual do computador  Vandalismo  Abertura da caixa do computador e roubo do disco rígido
    30. 30. Interceptação  Roubo de sessão (sessão hijacking)  Desvio ou alteração de mensagens (IP spoofing)  Sniffing
    31. 31. Denial of Service  Exploração de fraquezas dos protocolos TCP/IP  Exploração de vulnerabilidade dos "software" servidores
    32. 32. Intrusão  Elevação de privilégios por buffer overflow  Programas maliciosos (vírus, malwares)
    33. 33. Engenharia Social  Facebook  Google  Phishing (normalmente por Email)
    34. 34. Backdoor  Programas maliciosos (que abrem portas)
    35. 35. COMO SE PROTEGER NO AMBIENTE VIRTUAL
    36. 36. SENHAS Autenticar o usuário é o processo de verificação de sua identidade, assegurando que este é realmente quem diz ser.
    37. 37. SENHAS o Use muitos caracteres; o Combine maiúsculas e minúsculas; o Combine letras, números e caracteres especiais (# $ % & @ etc.); o Evite a repetição de caracteres; o Não use palavras que estão no dicionário.
    38. 38. ANTIVÍRUS Os antivírus são programas que procuram detectar e, então, anular ou remover os programas maliciosos do computador.
    39. 39. FIREWALLS Os firewalls são dispositivos constituídos pela combinação de software e hardware, utilizados para dividir e controlar o acesso entre redes de computadores.
    40. 40. CADEADO NA BARRA DE ENDEREÇOS O cadeado exibido na imagem informa que o tráfego de dados no site é feita por meio de uma conexão segura (https), ou seja, os dados serão criptografados. Então por que todos os sites na web não usam o cadeado ao trafegar dados?
    41. 41. REFERÊNCIAS http://cartilha.cert.br/ http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
    42. 42. SEGURANÇA DA INFORMAÇÃO COMO SE PROTEGER NO AMBIENTE VIRTUAL B R U N O F E L I P E B R U N O F F A C @ G M A I L . C O M

    ×