5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
Índice...
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
1.0.In...
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
2.0.Se...
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
3.1.Po...
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
IDSs p...
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
inform...
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
 Desl...
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
7.0.Co...
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
8.0.Bi...
Próximos SlideShares
Carregando em…5
×

Politica de seguranca

155 visualizações

Publicada em

Politica de Segurança

Publicada em: Internet
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
155
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
4
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Politica de seguranca

  1. 1. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. Índice 1.0. Introdução..........................................................................................................................2 2.0. Segurança de Informação..................................................................................................3 3.0. Politica de Segurança ........................................................................................................3 3.1. Política de Uso Aceitável (PUA)...................................................................................4 3.2. Uso abusivo da rede.......................................................................................................4 4.0. Logs & sistema de detecção de intrusão (IDS) .................................................................4 4.1. Atividades que podem gerar logs ..................................................................................5 5.0. Metodologia de Proteção...................................................................................................5 5.1. Método de Proteção.......................................................................................................5 5.1.1. Engenharia Social...................................................................................................5 5.1.2. Em caso de Transações Bancárias ou Comerciais .....................................................6 5.1.3. Em caso de Boatos .................................................................................................7 6.0. Responsabilidade...............................................................................................................7 7.0. Conclusão..........................................................................................................................8 8.0. Bibliografia........................................................................................................................9
  2. 2. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 1.0.Introdução Com o aumento da utilização e dependência do computador traz uma preocupação básica e fundamental às organizações que é a segurança. A decisão da adoção ou não de uma política de segurança deve basear-se em uma avaliação de riscos, mediante custo e benefício. Feita essa análise, torna-se mais simples tomar uma decisão. É importante ter em mente que as ameaças não partem somente de autores externos. A segurança de qualquer sistema, em parte, está nas mãos das pessoas que o gerenciam e operam. Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. As decisões que nós como administrador tomamos ou deixamos de tomar, relacionadas à segurança, irão determinar quão segura ou insegura é a nossa rede, quantas funcionalidades ela irá oferecer, e qual será a facilidade de utilizá-la. No entanto, não conseguiremos tomar boas decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que determinemos quais sejam elas, não faremos uso efetivo de qualquer coleção de ferramentas de segurança pois simplesmente não saberemos o que checar e quais restrições impor.
  3. 3. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 2.0.Segurança de Informação Segundo ABNT NBR ISO/IEC 27002:2005, “Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.” Os princípios da segurança da informação abrangem, basicamente, os seguintes aspetos: 1º. Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações; 2º. Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação; 3º. Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado. 3.0. Politica de Segurança A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. Uma política de segurança também deve prever o que pode ou não ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança é considerado um incidente de segurança. Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política.
  4. 4. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 3.1.Política de Uso Aceitável (PUA) A política de uso aceitável (AUP, de Acceptable Use Policy) é um documento que define como os recursos computacionais de uma organização podem ser utilizados. Também é ela quem define os direitos e responsabilidades dos usuários. Os provedores de acesso à Internet normalmente deixam suas políticas de uso aceitável disponíveis em suas páginas. Empresas costumam dar conhecimento da política de uso aceitável no momento da contratação ou quando o funcionário começa a utilizar os recursos computacionais da empresa. 3.2.Uso abusivo da rede Internamente às empresas e instituições tem situações que caracterizam o uso abusivo da rede, estas estão definidas na política de uso aceitável. Na Internet como um todo, os comportamentos listados abaixo são geralmente considerados como uso abusivo:  Envio de Spam;  Envio de correntes da felicidade e de correntes para ganhar dinheiro rápido;  Cópia e distribuição não autorizada de material protegido por direitos autorais;  Utilização da Internet para fazer difamação, calúnia e ameaças;  Tentativas de ataques a outros computadores;  Comprometimento de computadores ou redes. 4.0.Logs & sistema de detecção de intrusão (IDS) Os logs são registros de atividades gerados por programas de computador. No caso de logs relativos a incidentes de segurança, eles normalmente são gerados por firewalls ou por sistemas de detecção de intrusão. Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um conjunto de programas, cuja função é detectar atividades incorretas, maliciosas ou anômalas.
  5. 5. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede. 4.1.Atividades que podem gerar logs Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta acessar um computador e este acesso é barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de ataque. Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de ataques, quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. 5.0.Metodologia de Proteção A metodologia a ser utilizada para elaboração do plano de segurança procura abranger os seguintes itens:  Análise de riscos, através da identificação, probabilidade de ocorrências e consequências, das ameaças existentes;  Verificação e avaliação das medidas de proteção existente na área de informática;  Estabelecimento de prioridades de proteção;  Determinação dos requisitos de segurança;  Conscientização e treinamento de pessoal;  Simulação e testes periódicos; 5.1.Método de Proteção 5.1.1. Engenharia Social Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter
  6. 6. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Neste caso devemos prestar atenção nos métodos seguintes:  Não fornecer dados pessoais, números de cartões e senhas através de contato telefônico;  Ficar atento a e-mails ou telefonemas solicitando informações pessoais;  Não acessar sites ou seguir links recebidos por e-mail ou presentes em páginas sobre as quais não se saiba a procedência;  Sempre que houver dúvida sobre a real identidade do autor de uma mensagem ou ligação telefônica, entrar em contato com a instituição, provedor ou empresa para verificar a veracidade dos fatos. 5.1.2. Em caso de Transações Bancárias ou Comerciais  Seguir todas as recomendações sobre utilização do browser de maneira segura;  Estar atento e prevenir-se dos ataques de engenharia social;  Realizar transações somente em sites de instituições que você considere confiáveis;  Certificar-se de que o endereço apresentado em seu browser corresponde ao site que você realmente quer acessar, antes de realizar qualquer ação;  Antes de aceitar um novo certificado, verificar junto à instituição que mantém o site sobre sua emissão e quais são os dados nele contidos;  Procurar sempre digitar em seu browser o endereço desejado. Não utilize links em páginas de terceiros ou recebidos por e-mail;  Certificar-se que o site faz uso de conexão segura, ou seja, que os dados transmitidos entre seu browser e o site serão criptografados e utiliza um tamanho de chave considerado seguro;  Verificar o certificado do site, para assegurar-se que ele foi emitido para a instituição que se deseja acessar e está dentro do prazo de validade;  Não acessar sites de comércio eletrônico ou Internet Banking através de computadores de terceiros;
  7. 7. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito.  Desligar sua webcam (caso vecê possua alguma), ao acessar um site de comércio eletrônico ou Internet banking. 5.1.3. Em caso de Boatos  Verificar sempre a procedência da mensagem e se o fato sendo descrito é verídico;  Verificar em sites especializados e em publicações da área se o e-mail recebido já não está catalogado como um boato. 6.0.Responsabilidade Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. É especialmente importante que a gerência corporativa suporte de forma completa o processo da política de segurança, caso contrário haverá pouca chance que ela tenha o impacto desejado. A seguinte lista de indivíduos que deveriam estar envolvidas na criação e revisão dos documentos da política de segurança:  O administrador de segurança do site;  O pessoal técnico de tecnologia da informação;  Os Administradores de grandes grupos de usuários dentro da organização;  A equipe de reação a incidentes de segurança;  Os Representantes de grupos de usuários afetados pela política de segurança;  O Conselho Legal. A ideia é trazer representações dos membros, gerentes com autoridade sobre o orçamento e política, pessoal técnico que saiba o que pode e o que não pode ser suportado, e o conselho legal que conheça as decorrências legais das várias políticas. Em algumas organizações, pode ser apropriado incluir pessoal de auditoria. Envolver este grupo é importante se as políticas resultantes deverão alcançar a maior aceitabilidade possível. Também é importante mencionar que o papel do conselho legal irá variar de país para país.
  8. 8. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 7.0.Conclusão A segurança informática é de facto uma problemática bastante complexa. Como já foi referido, não existem soluções concretas para fazer face aos “ataques”, e para posteriormente podermos afirmar ser fiável falar em segurança informática. Existem sim, procedimentos e ações que apenas tentam minimizar os riscos provenientes de tais situações. O grande problema reside no facto de, existir grande dificuldade em identificar uma pessoa na organização que seja o responsável global pela segurança, física e informática. Enquanto houver responsabilidades distribuídas por diversas pessoas, com escasso poder de decisão e visão restritiva da segurança, o resultado não será brilhante e a situação atual manter-se-á, ou seja, os riscos e as ameaças de “ataques”, continuarão a existir, e a crescer, e continuará a existir uma ausência de medidas proporcionais do lado da proteção.
  9. 9. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 8.0.Bibliografia Henrique São Mamede, Segurança Informática nas Organizações, 978-972-722-441-8; Cláudia Dias, Segurança e Auditoria da Tecnologia da Informação, 2000, Editora: Axcel Books 142, ISBN 85-7323-231-9 Brostoff, S. (2004). Improving password system effectiveness. Tese de Doutorado. University College London. Morris, R. & Thompson, K. (1979). Password security: a case history. Communications of the ACM, 22, 594-597. Sieberg, D. (2005). Hackers shift focus to financial gain. CNN.com - Special Reports - Online Security. Publicado em 26 de setembro de 2005. Smith, R.E. (2002). The strong password dilemma. Authentication: From Passwords to Public Keys. Chapter 6. Addison-Wesley.

×