Trabalho de Segurança e Auditoria de Sistemas
xxxxxxxxxx – FEUC / BSI – 7º Período / Manhã
Resumos
1. Fraudes de Políticas...
Usada para que empresas sites entre outros não use e exponha as informações de seus usuários de
maneira inadequada garanti...
Confidencialidade: Conceito negativo.
Requisitos Gerais:
A organização deve estabelecer, implementar, operar, monitorar, a...
5. Crimes Digitais e Legislação
Não são feitos somente por pessoas. Podem ser por máquinas, geralmente por máquinas zumbis...
digital.
Fases da Computação Forense:
Preservação:
Com objetivo de encontrar informações de preservá-las evitando alteraçã...
Esteganografia:
É a arte de ocultar a mensagem para que ninguém se quer saiba a sua existência.
Criptografia digital:
O ta...
Esteganografia:
É a arte de ocultar a mensagem para que ninguém se quer saiba a sua existência.
Criptografia digital:
O ta...
Próximos SlideShares
Carregando em…5
×

Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso à Internet, Governança de TI e Segurança de Informação, ISO 27001/IEC / ISO 27007 / NBR 15999, Crimes Digitais e Legislação,

269 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
269
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso à Internet, Governança de TI e Segurança de Informação, ISO 27001/IEC / ISO 27007 / NBR 15999, Crimes Digitais e Legislação,

  1. 1. Trabalho de Segurança e Auditoria de Sistemas xxxxxxxxxx – FEUC / BSI – 7º Período / Manhã Resumos 1. Fraudes de Políticas de Segurança Fraude: É um esquema ilícito ou de má fé criado para obter ganhos pessoais. Golpes mais comuns da internet segundo a FTC: Oportunidades de negócio; Venda de malas diretas; Correntes; Propostas para trabalho em casa; Golpes da dieta ou da melhoria de saúde; Esquemas para ganho de dinheiro fácil; Produtos gratuitos; Oportunidades de investimento; Kits para decodificação de sinal de TV a Cabo; Garantia de crédito e empréstimo facilitados; Recuperação de crédito; Promoções de viagens. Hoax: Histórias falsas e má intencionadas recebidas por e-mail cujo objetivo é aproveitar da falta de informação do usuário. A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Seus objetivos devem ser determinados a partir das seguintes determinantes: Serviços oferecidos versus Segurança fornecida; Facilidade de uso versus Segurança; Custo da segurança versus o Risco da perda. 2. Problemas de privacidade no Acesso à Internet Privacidade Digital: É usada para a pessoa não expor e disponibilizar suas informações através de meios eletrônicos e internet. Política de Privacidade:
  2. 2. Usada para que empresas sites entre outros não use e exponha as informações de seus usuários de maneira inadequada garantindo a integridade de ambos. Leis de Proteção a privacidade: Art. 5° - “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito a indenização pelo dano material ou moral decorrente de sua violação.” Art. 220° - “A manifestação do pensamento, a criação, a expressão e a informação, sob qualquer forma, processo ou veículo não sofrerão qualquer restrição, observando o disposto nesta Constituição.” Selos de Privacidade: Verificam se os serviços (sites, vídeos etc) não violam a política de privacidade do usuário do serviço. Exemplo de ataque: Cavalo de Tróia - programa disfarçado que executa alguma tarefa maligna, como abrir portas TCP do computador por exemplo. Como se Proteger na Internet: Ao Usar navegadores Web seguros; Ao usar programas leitores de e-mails; Ao efetuar transações bancárias e acessar Sites de Internet Banking com certificado válido; Ao efetuar transações comerciais e acessar sites de comércio eletrônico com certificado válido. 3. Governança de TI e Segurança de Informação Governança de TI pode se definir como o que tem valor, São usadas normas de segurança referentes a ISO 27001 e ISO 27002. ISO 27001: Anexo A – Normativo: Objetivos de Controles e Controles; Anexo C – Informativo: Correspondência com a ISO 9001 e ISSO 14001. Termos e definições são: Ativo, disponibilidade, confidencialidade: Disponibilidade: Conceito positivo;
  3. 3. Confidencialidade: Conceito negativo. Requisitos Gerais: A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. ISO 27002: Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Fontes de requisitos de si: Analise/avaliação de riscos; Legislação e normas vigentes. 4. ISO 27001/IEC / ISO 27007 / NBR 15999 ISO/IEC 27001: Foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). ISO 27007: Fornece diretrizes sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI) e sobre como executar as auditorias e a competência de auditores de SGSI, em complementação as diretrizes descritas na ABNT NBR ISO 19011. NBR 15999: Serve como um guia para orientar as empresas na preparação de um plano alternativo em caso de algum incidente, com a adoção de melhores práticas em Gestão de Continuidades de Negócios e orientação de planos de respostas a incidentes.
  4. 4. 5. Crimes Digitais e Legislação Não são feitos somente por pessoas. Podem ser por máquinas, geralmente por máquinas zumbis. Sempre tem alguém por trás das máquinas Crimes Analógicos: Feitos por dispositivos não digitais. 6. Segurança de Dados em Redes Cabeadas e Não Cabeadas Os princípios básicos de segurança em sistemas são confiabilidade, integridade, disponibilidade e autenticidade. Situações de insegurança: Catástrofes - enchentes, alagamentos, terremotos, desabamentos; Problemas ambientais. Situações de Insegurança: Supressão de serviços - queda de luz, mal funcionamento da internet/rede, comportamento antissocial; acidentes variados, acão criminosa, contaminação eletrônica (vírus). Segurança de Redes com Fio: Algumas das principais ameaças são: Destruição de informação e de outros recursos; Modificação ou deturpação da informação; Roubo, remoção ou perda da informação ou de outros recursos; Revelação de informações. Os serviços de segurança em redes de computadores tem como função manter a confidencialidade e a integridade dos dados. Os mecanismos de segurança são criptografia firewalls e controle de acesso. Segurança de Redes sem Fio: Os mecanismos de segurança usados são cifragem e autenticidade. 7. Perícia, Evidências Digitais e Computação Objetivos: Identificação de evidências encontrados em HD, pendrives ou qualquer mídia de armazenamento
  5. 5. digital. Fases da Computação Forense: Preservação: Com objetivo de encontrar informações de preservá-las evitando alteração. Extração: Extrair as informações encontradas para um outro dispositivo protegido. Análise: Analisar a informação para entender o que ela significa. Vantagens: Preservação da Prova; Agrupamento dos dados do processo; Ética. Desvantagens: Dados Variáveis; Informações invisíveis; Tecnologia sempre em atualização; Alguns dos Desafios para essa área serão: Cloud Computing (Computação em nuvem); Capacidade crescente de armazenamento em dispositivos; Inteligência artificial; Dispositivos móveis. 8. Auditoria de Sistemas 9. Plano de Contingência e Prevenção de Desastres Impróprio: Utiliza o meio eletrônico para difamar alguém. Próprio: Quando o próprio ambiente digital é a vítima. 10. Criptografia Escrever uma mensagem que ninguém exceto o remetente e o destinatário, pode ler. O objetivo é garantir a confidencialidade, privacidade, sigilo das informações, ou seja, garantir que uma mensagem não será lida por pessoas não autorizadas.
  6. 6. Esteganografia: É a arte de ocultar a mensagem para que ninguém se quer saiba a sua existência. Criptografia digital: O tamanho da chave é medido em bits; A chave é gerada pelo computador através de programas específicos; Quanto maior a chave mais difícil de descobri-la. Chave simétrica: É a utilização de uma chave tanto para cifrar como decifrar uma informação. Chaves iguais para enviar e para ler. Características: Rápida e fácil; Algoritmo não muito complicado; Indicada para grande volume de dados; Chave compartilhada; Nível de segurança ligado ao tamanho da chave; DEE: 56 bits; 3des: Triple DES; AES: 128 bits ou 256 bits (o mais usado atualmente). Chaves assimétrica / Chave publica: Tem uma chave privada (chave do dono) e tem a chave publica(chave que é distribuídas livremente). Uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente e vice-versa. Características: Segura, pesada (difícil de processar), só são usadas as chaves do destinatário, Principal algoritmo: RSA: admite chaves de 1024,2048 e até mesmo 4096 bits. Hash – garante a integridade dos dados compartilhados (CPF do arquivo) - garante que o arquivo é ele mesmo. 11. Assinatura / Certificado Digital Documentos digitais que contém informações que identificam uma empresa ou pessoa, respectivamente. Meios de utilização: Algoritmo assimétrico - chaves privadas ou publicas.
  7. 7. Esteganografia: É a arte de ocultar a mensagem para que ninguém se quer saiba a sua existência. Criptografia digital: O tamanho da chave é medido em bits; A chave é gerada pelo computador através de programas específicos; Quanto maior a chave mais difícil de descobri-la. Chave simétrica: É a utilização de uma chave tanto para cifrar como decifrar uma informação. Chaves iguais para enviar e para ler. Características: Rápida e fácil; Algoritmo não muito complicado; Indicada para grande volume de dados; Chave compartilhada; Nível de segurança ligado ao tamanho da chave; DEE: 56 bits; 3des: Triple DES; AES: 128 bits ou 256 bits (o mais usado atualmente). Chaves assimétrica / Chave publica: Tem uma chave privada (chave do dono) e tem a chave publica(chave que é distribuídas livremente). Uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente e vice-versa. Características: Segura, pesada (difícil de processar), só são usadas as chaves do destinatário, Principal algoritmo: RSA: admite chaves de 1024,2048 e até mesmo 4096 bits. Hash – garante a integridade dos dados compartilhados (CPF do arquivo) - garante que o arquivo é ele mesmo. 11. Assinatura / Certificado Digital Documentos digitais que contém informações que identificam uma empresa ou pessoa, respectivamente. Meios de utilização: Algoritmo assimétrico - chaves privadas ou publicas.

×