SlideShare uma empresa Scribd logo
1 de 6
Baixar para ler offline
Módulo 1 - Introdução à Segurança da Informação



                           Mercado britânico contabiliza perdas com ação de vírus *

                           Muitas empresas sofrem ameaças constantes em seus ativos, o que
                           poderia representar milhares ou milhões de dólares de prejuízo. As
                           vulnerabilidades em nossos sistemas de informação podem representar
                           problemas graves, por isso é muito importante compreender os conceitos
                           necessários para combatê-los e para nos defendermos de possíveis
                           ataques as nossas informações.

                           Por exemplo, recentemente foi publicada uma notícia* sobre um vírus
                           desenvolvido para lançar ataques em massa e a forma de se prevenir
                           contra ele a fim de evitar conseqüências indesejadas. Trata-se de um vírus
                           do tipo worm que se propaga com os nomes LoveSan, Blaster ou
                           MSBlaster e se aproveita de uma falha na segurança do Windows® 2000 e
                           do Windows® XP, mais especificamente no software que permite
                           compartilhar arquivos com outras máquinas. Sua finalidade é reunir
                           computadores para realizar um ataque hacker contra um site da Microsoft.

                           O vírus Blaster não tem muito em comum com as pragas informáticas
                           tradicionais: não se propaga pelos meios habituais, apenas circula pela
                           Internet em busca de máquinas nas quais possa realizar seu ataque.

                           Esse é um exemplo claro de como uma vulnerabilidade do Windows pode
                           ser aproveitada pelo Blaster. Essa vulnerabilidade, denominada RPC
                           DCOM, consiste em um desdobramento do buffer na interface RPC e foi
                           qualificada como quot;críticaquot; pela própria Microsoft. Ela afeta as versões NT
                           4.0, 2000, XP e Windows Server 2003.

                           Em linhas gerais, trata-se de um problema de segurança que permitiria
                           controlar todos os computadores de forma remota. Por isso e, com o
                           objetivo de evitar possíveis ataques, aconselha-se, tanto aos
                           administradores e aos responsáveis da área de informática quanto aos
                           usuários particulares, a instalação imediata dos patches fornecidos pela
                           Microsoft para corrigir essa vulnerabilidade. Eles podem ser baixados em
                           http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp onde
                           também podem ser encontradas informações detalhadas sobre o
problema.

                                   Fonte:
                                   http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2215&pagecounter=0&idiom=0




Esse é um exemplo claro de como uma vulnerabilidade do Windows pode ser aproveitada pelo Blaster. Essa
vulnerabilidade, denominada RPC DCOM, consiste em um desdobramento do buffer na interface RPC e foi qualificada
como quot;críticaquot; pela própria Microsoft. Ela afeta as versões NT 4.0, 2000, XP e Windows Server 2003.




Podemos representar a implantação de um sistema de segurança da informação na empresa como a escalada de
uma grande montanha, na qual, pouco a pouco, iremos subindo e alcançando novos níveis de maturidade em termos
de conceitos, análise, implementação e administração da segurança dentro das empresas.

Conteúdo da unidade:


   •   Conceitos básicos;

   •   Ativos;

   •   Ameaças e pontos fracos;

   •   Riscos, medidas e ciclo de segurança;




Objetivos
Com o objetivo de proteger os ativos da empresa o aluno deve:

                                Conhecer as diferentes categorias de ativos;

                               Dominar os conceitos de integridade, confidencialidade e disponibilidade
                              da informação;

                               Interpretar a classificação proposta das possíveis ameaças encontradas nos
                              diferentes processos da empresa;

                               Compreender o conceito de vulnerabilidades, permitindo sua identificação e
                              eliminação dentro do contexto empresarial;

                                Conhecer o conceito de risco e sua implicação no ciclo de segurança das
                              informações da empresa;

                               Compreender os conceitos básicos de análise de riscos e política de
                              segurança, dois pontos muito importantes para definir as ações em matéria de
                              segurança aplicáveis no contexto empresarial.




Capítulo 1 - Conceitos básicos

1.1 Introdução

Nesta primeira etapa da escalada, você conhecerá os conceitos básicos da segurança da informação.

Depois de entender cada conceito, você receberá uma nova ferramenta para ajudar a montar sua barraca e, assim,
poder continuar a escalada da montanha, avançando até os próximos capítulos para compreender de forma
aprofundada como se implementa a segurança da informação. Nesta etapa, você ainda não possui essas ferramentas,
por isso vai começar a escalada com um acampamento básico. Esse acampamento ilustra a situação em que se
encontram as empresas na etapa inicial da implementação da segurança: baixo controle do ambiente, alto índice de
risco, processo de segurança pessoal e intuitiva, entre outros. Então vamos conhecer os principais conceitos da
segurança da informação e entender por que ela é necessária para o sucesso dos negócios nos dias de hoje.
1.2 Objetivos



                                Compreender os conceitos básicos de segurança da informação para ter uma
                               melhor idéia de suas implicações;

                                Entender a importância que a informação possuí nos negócios atualmente
                               para que possamos protegê-la de forma mais eficiente;

                                Conhecer quais elementos precisam ser protegidos para se oferecer segurança
                               para as informações da empresa.




1.3 Conceitos básicos da segurança da informação

Depois de se familiarizar com as ameaças e pontos frágeis do ambiente, adquiridos na análise de riscos ou depois da
definição formal das intenções e atitudes da organização que estão definidas na política de segurança da informação,
devemos tomar algumas medidas para a implementação das ações de segurança recomendadas ou
estabelecidas.
Desde o surgimento da raça humana na Terra, a informação esteve presente sendo
representada através de diferentes formas e técnicas. O homem buscava o
registro de seus hábitos, costumes e intenções através de diversos meios que
pudessem ser utilizados e compreendidos por ele e por outras pessoas. Além disso,
havia também a necessidade de se armazenar e transportar estas informações de
um lugar para outro. As informações importantes eram registradas em objetos
valiosos e sofisticados usando pinturas magníficas, entre outros métodos, que eram
armazenados com muito cuidado em locais de difícil acesso, e sua forma e
conteúdo ficavam restritos aqueles que tivessem conhecimento para interpretá-
los.



Atualmente, as informações constituem um dos objetos de maior valor para as
empresas. O progresso da informática e das redes de comunicação nos apresenta
um novo cenário, no qual os objetos e dados do mundo real podem ser
representados por bits e bytes, que ocupam lugar em outra dimensão e possuem
formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos
reais e, em muitos casos, tendo um valor maior. Em um cenário mais recente, a
economia mundial evoluiu de um modelo industrial para um modelo baseado em
conhecimento. Por isso, as informações, isto é, o conhecimento das empresas,
passam a ser um de seus maiores diferenciais competitivos em relação as
outras empresas.



Por esses e outros motivos é que a segurança da informação é um assunto tão
importante para todos, pois afeta diretamente todos os negócios de uma
organização ou de um indivíduo. Apesar de muitas vezes possuir um foco
empresarial, a segurança da informação também é muito importante para a esfera
governamental e o chamado terceiro setor, que inclui as organizações não-
governamentais.



A segurança da informação tem como propósito proteger os chamados ativos de
informação, não importando onde eles estejam armazenados ou representados:
impressos em papel, armazenados em discos rígidos de computadores ou até
mesmo na memória das pessoas que os conhecem. Entendemos por ativos de
informação todas as peças de informação que uma empresa possuí, como arquivos
e sistemas, que possuam valor, demandando necessidades em termos de
proteção.



Os objetos reais ou tangíveis (como coisas de valor físico - jóias, pinturas, dinheiro,
etc.) estão protegidos por técnicas que os isolam atrás de grades ou dentro de
caixas fortes, sob a mira de câmeras e seguranças. Mas e as informações
encontradas dentro de servidores de arquivos, que transitam pelas redes de
comunicação ou que são lidas na tela de um computador? O que fazer para protegê-
las, já que não é possível usar as mesmas técnicas de proteção de objetos reais?



Para responder essas perguntas, convidamos você a continuar estudando e
acompanhando este curso, onde conheceremos com detalhes os princípios que nos
permitem proteger as informações. Por enquanto, neste capítulo, encerraremos
dizendo que…
… uma das preocupações da segurança da informação é proteger os elementos que
                            fazem parte da comunicação. Assim, para começar, é necessário identificar os
                            elementos que a segurança da informação tenta proteger:


                             As informações;

                             Os equipamentos que as suportam;

                             As pessoas que fazem uso delas.


       Para reforçar o último elemento é importante ressaltar que todos os funcionários da empresa devem
       ter consciência de como lidar com as informações de forma segura, já que de nada serve o melhor
       sistema de segurança, por mais sofisticado e completo que seja, se os funcionários, por exemplo,
       facilitam o acesso ou fornecem seu nome de usuário e senha a pessoas estranhas à empresa. Desta
       forma, deixam aberta a porta para possíveis ataques ou vazamento de informações importantes.




1.4 Lições aprendidas



                              Aprendemos ao longo deste capítulo os conceitos gerais que configuram a
                             segurança da informação;

                               Compreendemos a importância atual que tem para a empresa proteger as
                             informações que permitem a realização de seus negócios;

                               Conhecemos o que deve ser protegido em um sistema de segurança de
                             informação: as informações, os equipamentos que as suportam e as
                             pessoas que as utilizam.

Mais conteúdo relacionado

Mais procurados

Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 
Aula 18 segurança da informação
Aula 18   segurança da informaçãoAula 18   segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 

Mais procurados (19)

Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
Aula 18 segurança da informação
Aula 18   segurança da informaçãoAula 18   segurança da informação
Aula 18 segurança da informação
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de Informações
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 

Destaque

Photo Album
Photo AlbumPhoto Album
Photo AlbumLenkin
 
Globalisation & The Eu
Globalisation & The EuGlobalisation & The Eu
Globalisation & The Euclemaitre
 
Pashto bible injil new testament colossians
Pashto bible injil new testament colossiansPashto bible injil new testament colossians
Pashto bible injil new testament colossiansAsiaBibles
 
La To Do Green de la semaine - 15 au 21 octobre 2012
La To Do Green de la semaine - 15 au 21 octobre 2012La To Do Green de la semaine - 15 au 21 octobre 2012
La To Do Green de la semaine - 15 au 21 octobre 2012My Green ID
 
Ciberassetjament
CiberassetjamentCiberassetjament
Ciberassetjamenteduksport
 
V E R S O S E C O LÓ G I C O S
V E R S O S   E C O LÓ G I C O SV E R S O S   E C O LÓ G I C O S
V E R S O S E C O LÓ G I C O Selianesf1956
 
презентация1
презентация1презентация1
презентация1sharipalmira
 
Deixa, Não é Comigo
Deixa, Não é ComigoDeixa, Não é Comigo
Deixa, Não é Comigoguestd53d60
 
ApresentaçãO18 Dmarcoeteresa 2
ApresentaçãO18 Dmarcoeteresa 2ApresentaçãO18 Dmarcoeteresa 2
ApresentaçãO18 Dmarcoeteresa 2mak93
 
My Daily Diet
My Daily DietMy Daily Diet
My Daily DietOscar Mck
 
Protocolo seminarios de experiencias profesionais ca
Protocolo seminarios de experiencias profesionais caProtocolo seminarios de experiencias profesionais ca
Protocolo seminarios de experiencias profesionais cacoordinacav
 

Destaque (20)

Photo Album
Photo AlbumPhoto Album
Photo Album
 
Globalisation & The Eu
Globalisation & The EuGlobalisation & The Eu
Globalisation & The Eu
 
José Luis Gordillo
José Luis GordilloJosé Luis Gordillo
José Luis Gordillo
 
Supernutridos
SupernutridosSupernutridos
Supernutridos
 
Eclipse
EclipseEclipse
Eclipse
 
Pashto bible injil new testament colossians
Pashto bible injil new testament colossiansPashto bible injil new testament colossians
Pashto bible injil new testament colossians
 
La To Do Green de la semaine - 15 au 21 octobre 2012
La To Do Green de la semaine - 15 au 21 octobre 2012La To Do Green de la semaine - 15 au 21 octobre 2012
La To Do Green de la semaine - 15 au 21 octobre 2012
 
Ciberassetjament
CiberassetjamentCiberassetjament
Ciberassetjament
 
Poesíarcabanillas
PoesíarcabanillasPoesíarcabanillas
Poesíarcabanillas
 
V E R S O S E C O LÓ G I C O S
V E R S O S   E C O LÓ G I C O SV E R S O S   E C O LÓ G I C O S
V E R S O S E C O LÓ G I C O S
 
Axiologia
AxiologiaAxiologia
Axiologia
 
Musica
MusicaMusica
Musica
 
презентация1
презентация1презентация1
презентация1
 
Deixa, Não é Comigo
Deixa, Não é ComigoDeixa, Não é Comigo
Deixa, Não é Comigo
 
ApresentaçãO18 Dmarcoeteresa 2
ApresentaçãO18 Dmarcoeteresa 2ApresentaçãO18 Dmarcoeteresa 2
ApresentaçãO18 Dmarcoeteresa 2
 
2012 Pan American Handgun Championship Awards Ceremony
2012 Pan American Handgun Championship Awards Ceremony2012 Pan American Handgun Championship Awards Ceremony
2012 Pan American Handgun Championship Awards Ceremony
 
O Governo de Amanhã Começa Hoje
O Governo de Amanhã Começa HojeO Governo de Amanhã Começa Hoje
O Governo de Amanhã Começa Hoje
 
My Daily Diet
My Daily DietMy Daily Diet
My Daily Diet
 
Social Media analytics: #Tbex #InCostaBrava #InPyrenees
Social Media analytics: #Tbex #InCostaBrava #InPyreneesSocial Media analytics: #Tbex #InCostaBrava #InPyrenees
Social Media analytics: #Tbex #InCostaBrava #InPyrenees
 
Protocolo seminarios de experiencias profesionais ca
Protocolo seminarios de experiencias profesionais caProtocolo seminarios de experiencias profesionais ca
Protocolo seminarios de experiencias profesionais ca
 

Semelhante a Modulo 01 Capitulo 01

H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Tcc firewalls e a segurança na internet
Tcc    firewalls e a segurança na internetTcc    firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Adriano Balani
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Aula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoAula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoLucasMansueto
 
Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaMafalda Martins
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Apostila bnb2014 tre.sc_informatica_sergio_spolador
Apostila bnb2014 tre.sc_informatica_sergio_spoladorApostila bnb2014 tre.sc_informatica_sergio_spolador
Apostila bnb2014 tre.sc_informatica_sergio_spoladorEliene Meira
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
Paper Técnico:  Ransomware em infraestruturas críticas. O que nos espera depo...Paper Técnico:  Ransomware em infraestruturas críticas. O que nos espera depo...
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...TI Safe
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
Novas ameaças do mundo conectado
Novas ameaças do mundo conectadoNovas ameaças do mundo conectado
Novas ameaças do mundo conectadoAlberto Oliveira
 

Semelhante a Modulo 01 Capitulo 01 (20)

H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
Tcc firewalls e a segurança na internet
Tcc    firewalls e a segurança na internetTcc    firewalls e a segurança na internet
Tcc firewalls e a segurança na internet
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Aula 5 - Segurança da informação
Aula 5 - Segurança da informaçãoAula 5 - Segurança da informação
Aula 5 - Segurança da informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresa
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Apostila bnb2014 tre.sc_informatica_sergio_spolador
Apostila bnb2014 tre.sc_informatica_sergio_spoladorApostila bnb2014 tre.sc_informatica_sergio_spolador
Apostila bnb2014 tre.sc_informatica_sergio_spolador
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
Paper Técnico:  Ransomware em infraestruturas críticas. O que nos espera depo...Paper Técnico:  Ransomware em infraestruturas críticas. O que nos espera depo...
Paper Técnico: Ransomware em infraestruturas críticas. O que nos espera depo...
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
 
Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informação
 
Novas ameaças do mundo conectado
Novas ameaças do mundo conectadoNovas ameaças do mundo conectado
Novas ameaças do mundo conectado
 

Mais de Robson Silva Espig (20)

Master Place - Convenção Bloco D
Master Place - Convenção Bloco DMaster Place - Convenção Bloco D
Master Place - Convenção Bloco D
 
Aquarelas Envelhecidas
Aquarelas EnvelhecidasAquarelas Envelhecidas
Aquarelas Envelhecidas
 
[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK
 
[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade
 
[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server
 
A Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareA Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de Software
 
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosComo implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
 
Gestao Projetos - Aula 02
Gestao Projetos - Aula 02Gestao Projetos - Aula 02
Gestao Projetos - Aula 02
 
Gestao Projetos - Aula 01
Gestao Projetos - Aula 01Gestao Projetos - Aula 01
Gestao Projetos - Aula 01
 
Aula 01
Aula 01Aula 01
Aula 01
 
Aula 05
Aula 05Aula 05
Aula 05
 
Aula 04
Aula 04Aula 04
Aula 04
 
Aula 02
Aula 02Aula 02
Aula 02
 
Caso de Desenvolvimento
Caso de DesenvolvimentoCaso de Desenvolvimento
Caso de Desenvolvimento
 
SOA
SOASOA
SOA
 
Aula 03
Aula 03Aula 03
Aula 03
 
Artigo Caso de Uso
Artigo Caso de UsoArtigo Caso de Uso
Artigo Caso de Uso
 
RAD
RADRAD
RAD
 
Analise de Requisitos de Software
Analise de Requisitos de SoftwareAnalise de Requisitos de Software
Analise de Requisitos de Software
 
Desenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalDesenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e Incremental
 

Modulo 01 Capitulo 01

  • 1. Módulo 1 - Introdução à Segurança da Informação Mercado britânico contabiliza perdas com ação de vírus * Muitas empresas sofrem ameaças constantes em seus ativos, o que poderia representar milhares ou milhões de dólares de prejuízo. As vulnerabilidades em nossos sistemas de informação podem representar problemas graves, por isso é muito importante compreender os conceitos necessários para combatê-los e para nos defendermos de possíveis ataques as nossas informações. Por exemplo, recentemente foi publicada uma notícia* sobre um vírus desenvolvido para lançar ataques em massa e a forma de se prevenir contra ele a fim de evitar conseqüências indesejadas. Trata-se de um vírus do tipo worm que se propaga com os nomes LoveSan, Blaster ou MSBlaster e se aproveita de uma falha na segurança do Windows® 2000 e do Windows® XP, mais especificamente no software que permite compartilhar arquivos com outras máquinas. Sua finalidade é reunir computadores para realizar um ataque hacker contra um site da Microsoft. O vírus Blaster não tem muito em comum com as pragas informáticas tradicionais: não se propaga pelos meios habituais, apenas circula pela Internet em busca de máquinas nas quais possa realizar seu ataque. Esse é um exemplo claro de como uma vulnerabilidade do Windows pode ser aproveitada pelo Blaster. Essa vulnerabilidade, denominada RPC DCOM, consiste em um desdobramento do buffer na interface RPC e foi qualificada como quot;críticaquot; pela própria Microsoft. Ela afeta as versões NT 4.0, 2000, XP e Windows Server 2003. Em linhas gerais, trata-se de um problema de segurança que permitiria controlar todos os computadores de forma remota. Por isso e, com o objetivo de evitar possíveis ataques, aconselha-se, tanto aos administradores e aos responsáveis da área de informática quanto aos usuários particulares, a instalação imediata dos patches fornecidos pela Microsoft para corrigir essa vulnerabilidade. Eles podem ser baixados em http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp onde também podem ser encontradas informações detalhadas sobre o
  • 2. problema. Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2215&pagecounter=0&idiom=0 Esse é um exemplo claro de como uma vulnerabilidade do Windows pode ser aproveitada pelo Blaster. Essa vulnerabilidade, denominada RPC DCOM, consiste em um desdobramento do buffer na interface RPC e foi qualificada como quot;críticaquot; pela própria Microsoft. Ela afeta as versões NT 4.0, 2000, XP e Windows Server 2003. Podemos representar a implantação de um sistema de segurança da informação na empresa como a escalada de uma grande montanha, na qual, pouco a pouco, iremos subindo e alcançando novos níveis de maturidade em termos de conceitos, análise, implementação e administração da segurança dentro das empresas. Conteúdo da unidade: • Conceitos básicos; • Ativos; • Ameaças e pontos fracos; • Riscos, medidas e ciclo de segurança; Objetivos
  • 3. Com o objetivo de proteger os ativos da empresa o aluno deve: Conhecer as diferentes categorias de ativos; Dominar os conceitos de integridade, confidencialidade e disponibilidade da informação; Interpretar a classificação proposta das possíveis ameaças encontradas nos diferentes processos da empresa; Compreender o conceito de vulnerabilidades, permitindo sua identificação e eliminação dentro do contexto empresarial; Conhecer o conceito de risco e sua implicação no ciclo de segurança das informações da empresa; Compreender os conceitos básicos de análise de riscos e política de segurança, dois pontos muito importantes para definir as ações em matéria de segurança aplicáveis no contexto empresarial. Capítulo 1 - Conceitos básicos 1.1 Introdução Nesta primeira etapa da escalada, você conhecerá os conceitos básicos da segurança da informação. Depois de entender cada conceito, você receberá uma nova ferramenta para ajudar a montar sua barraca e, assim, poder continuar a escalada da montanha, avançando até os próximos capítulos para compreender de forma aprofundada como se implementa a segurança da informação. Nesta etapa, você ainda não possui essas ferramentas, por isso vai começar a escalada com um acampamento básico. Esse acampamento ilustra a situação em que se encontram as empresas na etapa inicial da implementação da segurança: baixo controle do ambiente, alto índice de risco, processo de segurança pessoal e intuitiva, entre outros. Então vamos conhecer os principais conceitos da segurança da informação e entender por que ela é necessária para o sucesso dos negócios nos dias de hoje.
  • 4. 1.2 Objetivos Compreender os conceitos básicos de segurança da informação para ter uma melhor idéia de suas implicações; Entender a importância que a informação possuí nos negócios atualmente para que possamos protegê-la de forma mais eficiente; Conhecer quais elementos precisam ser protegidos para se oferecer segurança para as informações da empresa. 1.3 Conceitos básicos da segurança da informação Depois de se familiarizar com as ameaças e pontos frágeis do ambiente, adquiridos na análise de riscos ou depois da definição formal das intenções e atitudes da organização que estão definidas na política de segurança da informação, devemos tomar algumas medidas para a implementação das ações de segurança recomendadas ou estabelecidas.
  • 5. Desde o surgimento da raça humana na Terra, a informação esteve presente sendo representada através de diferentes formas e técnicas. O homem buscava o registro de seus hábitos, costumes e intenções através de diversos meios que pudessem ser utilizados e compreendidos por ele e por outras pessoas. Além disso, havia também a necessidade de se armazenar e transportar estas informações de um lugar para outro. As informações importantes eram registradas em objetos valiosos e sofisticados usando pinturas magníficas, entre outros métodos, que eram armazenados com muito cuidado em locais de difícil acesso, e sua forma e conteúdo ficavam restritos aqueles que tivessem conhecimento para interpretá- los. Atualmente, as informações constituem um dos objetos de maior valor para as empresas. O progresso da informática e das redes de comunicação nos apresenta um novo cenário, no qual os objetos e dados do mundo real podem ser representados por bits e bytes, que ocupam lugar em outra dimensão e possuem formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, tendo um valor maior. Em um cenário mais recente, a economia mundial evoluiu de um modelo industrial para um modelo baseado em conhecimento. Por isso, as informações, isto é, o conhecimento das empresas, passam a ser um de seus maiores diferenciais competitivos em relação as outras empresas. Por esses e outros motivos é que a segurança da informação é um assunto tão importante para todos, pois afeta diretamente todos os negócios de uma organização ou de um indivíduo. Apesar de muitas vezes possuir um foco empresarial, a segurança da informação também é muito importante para a esfera governamental e o chamado terceiro setor, que inclui as organizações não- governamentais. A segurança da informação tem como propósito proteger os chamados ativos de informação, não importando onde eles estejam armazenados ou representados: impressos em papel, armazenados em discos rígidos de computadores ou até mesmo na memória das pessoas que os conhecem. Entendemos por ativos de informação todas as peças de informação que uma empresa possuí, como arquivos e sistemas, que possuam valor, demandando necessidades em termos de proteção. Os objetos reais ou tangíveis (como coisas de valor físico - jóias, pinturas, dinheiro, etc.) estão protegidos por técnicas que os isolam atrás de grades ou dentro de caixas fortes, sob a mira de câmeras e seguranças. Mas e as informações encontradas dentro de servidores de arquivos, que transitam pelas redes de comunicação ou que são lidas na tela de um computador? O que fazer para protegê- las, já que não é possível usar as mesmas técnicas de proteção de objetos reais? Para responder essas perguntas, convidamos você a continuar estudando e acompanhando este curso, onde conheceremos com detalhes os princípios que nos permitem proteger as informações. Por enquanto, neste capítulo, encerraremos dizendo que…
  • 6. … uma das preocupações da segurança da informação é proteger os elementos que fazem parte da comunicação. Assim, para começar, é necessário identificar os elementos que a segurança da informação tenta proteger: As informações; Os equipamentos que as suportam; As pessoas que fazem uso delas. Para reforçar o último elemento é importante ressaltar que todos os funcionários da empresa devem ter consciência de como lidar com as informações de forma segura, já que de nada serve o melhor sistema de segurança, por mais sofisticado e completo que seja, se os funcionários, por exemplo, facilitam o acesso ou fornecem seu nome de usuário e senha a pessoas estranhas à empresa. Desta forma, deixam aberta a porta para possíveis ataques ou vazamento de informações importantes. 1.4 Lições aprendidas Aprendemos ao longo deste capítulo os conceitos gerais que configuram a segurança da informação; Compreendemos a importância atual que tem para a empresa proteger as informações que permitem a realização de seus negócios; Conhecemos o que deve ser protegido em um sistema de segurança de informação: as informações, os equipamentos que as suportam e as pessoas que as utilizam.