SlideShare uma empresa Scribd logo

manual_ufcd_1421_segurana_informatica.pdf

Carlos Gomes
Carlos Gomes

Manual de Segurança Informática

Software
1 de 63
Baixar para ler offline
MANUAL UFCD 1421 Segurança informática
FORMADOR: ANTÓNIO ROQUE CAP EDF 19108/2003 DC
Segurança informática DESIGNAÇÃO DA UFCD: Segurança informática CÓDIGO DA UFCD: 1421 CARGA HORÁRIA: 25 horas PONTOS DE CRÉDITO: 2.25 Objetivos
• Avaliar, elaborar e aplicar uma política de segurança. Conteúdos • Identificação das ameaças à segurança informática o No âmbito do utilizador o No âmbito do domínio do utilizador o No âmbito do domínio da rede • Criptografia, autenticação e assinaturas digitais o Breve descrição dos principais algoritmos de criptografia utilizados
o Chaves simétricas e assimétricas o Chaves públicas e privadas • Protocolos seguros, firewalls, proxies e intrusion detection devices (IDS) o Tipos de protocolos o Tipos de firewalls mais comuns o Proxies e IDS • Redes privadas virtuais (VPN)
o Conceito de Tunneling o IPSEC • Vírus e antivírus e outro software malicioso o Tipos e características o A instalação e administração de sistemas Antivírus nas redes das organizações o Breve estudo dos mecanismos de segurança principais do Windows e Linux
PARTE I CONCEITOS GERAIS
Pode considerar-se que os requisitos genéricos de segurança das redes e dos sistemas da informação consistem nas seguintes características interrelacionadas: i) Disponibilidade – significa que os dados estão acessíveis e os serviços estão operacionais, apesar de eventuais eventos perturbadores, como cortes de energia, calamidades naturais, acidentes ou ataques. Esta característica é especialmente crítica em contextos onde as falhas nas redes de comunicações podem causar quebras noutras redes críticas, como as do transporte aéreo ou do abastecimento de energia. ii) Autenticação –é a confirmação da identidade reivindicada por entidades ou utilizadores. São necessários métodos de autenticação adequados para muitas aplicações e serviços, como a celebração de um contrato em linha, o controlo do acesso a determinados dados e serviços (p.
ex., para teletrabalhadores) e a autenticação de sítios Web (p. ex., para bancos na Internet). A autenticação deve prever a possibilidade de anonimato, já que muitos serviços não exigem a identidade do utilizador, mas apenas a confirmação segura de determinados critérios (as chamadas credenciais anónimas), como a capacidade de pagamento. iii) Integridade – é a confirmação de que os dados enviados, recebidos ou armazenados estão completos e inalterados. Esta característica é especialmente importante para a autenticação no contexto da celebração de contratos ou quando a exactidão dos dados é vital (dados médicos, projecto industrial, etc.). iv) Confidencialidade – é a protecção das comunicações ou dos dados armazenados contra a intercepção e a leitura por pessoas não autorizadas. É especialmente necessária na transmissão de dados sensíveis,
sendo um dos requisitos na abordagem do problema da privacidade sentido pelos utilizadores das redes de comunicações. É necessário abranger todos os eventos que ameacem a segurança e não apenas os de natureza maliciosa. Do ponto de vista dos utilizadores, ameaças como incidentes ambientais ou erros humanos que afectem os funcionamentos da rede podem ter custos tão elevados como os dos ataques maliciosos. Assim, a segurança das redes e da informação pode ser entendida como a capacidade de uma rede ou sistema da informação para resistir, com um dado nível de confiança, a eventos acidentais ou acções maliciosas que comprometem a disponibilidade, autenticidade, integridade e confidencialidade dos dados
armazenados ou transmitidos e dos serviços conexos oferecidos ou acessíveis através dessa rede ou sistema. Potenciais soluções – Os métodos mais comuns de protecção contra o acesso não autorizado consistem em realizar controlos através de senhas (passwords) e instalar barreiras corta-fogo (firewalls). No entanto, a protecção assim obtida é limitada, devendo ser complementada com outros controlos de segurança, como o reconhecimento de ataques, a detecção de intrusões e os controlos a nível de aplicações (incluindo os que envolvem a utilização de cartões inteligentes). A eficácia dos controlos depende do modo como a sua funcionalidade se ajusta aos riscos associados a um ambiente específico. Há que alcançar um equilíbrio entre a protecção da rede e as vantagens do acesso livre. Dadas as rápidas alterações e
consequentes novas ameaças às redes, é necessário efectuar uma revisão contínua independente dos controlos de segurança da rede. Enquanto os utilizadores e os fornecedores não estiverem plenamente conscientes da potencial vulnerabilidade da sua rede, continuarão a não ser exploradas potenciais soluções. O gráfico apresenta o panorama da actual utilização de produtos se segurança na União Europeia (estatísticas baseadas num levantamento realizado em Fevereiro de 2001 no contexto do exercício de avaliação do desempenho da iniciativa eEurope 2002).
Os ataques podem assumir diversas formas: ÿ Ataques aos servidores de nomes: A Internet depende do funcionamento do Domain Name System (DNS) através do qual nomes familiares (p. ex., www.europa.eu.int), são convertidos em endereços da rede abstractos (p. ex., IP n° 147.67.36.16) e vice-versa. Caso haja uma falha numa parte do DNS, não será possível localizar alguns sítios Web e os sistemas de encaminhamento de correio electrónico poderão deixar de funcionar. A ocorrência de corrupção nos servidores-raíz do DNS ou noutros servidores de nomes de topo pode conduzir a perturbações generalizadas. No início do presente ano, foram descobertos alguns pontos vulneráveis no software utilizado pela maioria dos servidores de nomes 7 . ÿ Ataques ao encaminhamento: O encaminhamento na Internet está altamente descentralizado. Cada
encaminhador informa periodicamente os encaminhadores vizinhos das redes que conhece e do modo de aceder a elas. O ponto fraco deste processo reside no facto de esta informação não poder ser verificada, dado que, por concepção, o conhecimento que cada encaminhador tem da topologia da rede é mínimo. Consequentemente, qualquer encaminhador pode apresentar-se como a melhor via para qualquer destino, preparando o terreno para a intercepção, bloqueamento ou alteração do tráfego para esse destino. ÿ Inundação e ataques que bloqueiam o serviço: Estas formas de ataque perturbam o funcionamento da rede, sobrecarregando-a com mensagens artificiais que bloqueiam ou reduzem os acessos legítimos. É um fenómeno semelhante ao do bloqueamento de terminais fax com mensagens longas e repetidas. Os ataques de inundação
tentam sobrecarregar os servidores Web ou saturar a capacidade de processamento dos fornecedores de serviços Internet (FSI) com mensagens geradas automaticamente. 2.2.4. Execução de software malicioso que altera ou destrói dados Os computadores funcionam com software. Infelizmente, o software pode também ser utilizado para desactivar um computador e apagar ou alterar dados. Como descrito acima, se um computador tiver funções de gestão de uma rede, o seu mau funcionamento pode ter sérias consequências. Um vírus é uma forma de software malicioso. É um programa que reproduz o seu próprio código, introduzindo-se noutros programas de modo que o código do vírus é executado quando o programa infectado é executado. Existem vários outros tipos de
software malicioso: alguns causam danos apenas no computador em que foram copiados e outros difundem-se para outros computadores em rede. Por exemplo, há programas (coloridamente denominados ‘bombas lógicas’) que se mantêm em hibernação até serem activados por um evento, como uma data específica (frequentemente sexta-feira 13). Outros programas aparentam ser benignos, mas, quando abertos, lançam um ataque malicioso (conhecidos como ‘cavalos de Tróia’). Outros programas (denominados ‘vermes’) não infectam os restantes programas como os vírus, mas criam réplicas de si próprios que, por sua vez, continuam a reproduzir-se até afogar o sistema.
Em criptografia, a assinatura ou firma digital é um método de autenticação de informação digital tipicamente tratada como substituta à assinatura física, já que elimina a necessidade de ter uma versão em papel do documento que necessita ser assinado. Embora existam analogias, existem diferenças importantes. O termo assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica. A legislação pode validar tais assinaturas eletrônicas como endereços Telex e cabo, bem como a transmissão por fax de assinaturas manuscritas em papel. A utilização da assinatura ou firma digital providencia a prova inegável de que uma mensagem recebida pelo destinatário realmente foi originada no emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:
• autenticidade: o receptor deve poder confirmar que a assinatura foi feita pelo emissor; • integridade: qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento; • irretratabilidade ou não-repúdio: o emissor não pode negar a autenticidade da mensagem. Essas características fazem a assinatura digital ser fundamentalmente diferente da assinatura manuscrita.
O que é firewall? Um firewall é um modelo de programa que filtra as informações que chegam da conexão de internet na rede privada da empresa e nos computadores. Se um pacote de entrada de informações é sinalizado como perigoso pelos filtros do firewall, não será permitido fazer o acesso a ele.
1. Filtragem de pacotes (packet filtering) O firewall de filtro de pacotes controla o acesso à rede analisando os pacotes de saída e de entrada. Na prática, ele permite que um pacote passe ou seja bloqueado durante o caminho fazendo a comparação com critérios definidos antecipadamente, como: • Endereços IP permitidos; • Tipo de pacote;
• Número de porta para acesso. A técnica de filtragem de pacotes é ideal para redes pequenas, já que fica complexa quando implementada em redes maiores. Esse tipo de firewall não pode impedir todos os tipos de ataques, pois ele não tem a capacidade de enfrentar os ataques que usam vulnerabilidades nas camadas de aplicativos e lutar contra ataques de falsificação.
2. Firewall de aplicação (proxy services) Os Firewalls de servidor proxy são os tipos de firewall mais seguros. Eles podem proteger os recursos de rede de forma eficaz filtrando as mensagens, mascarando seu endereço IP e limitando os tipos de tráfego. Eles fornecem uma análise de segurança completa e com reconhecimento dos protocolos que suportam. Para as grandes empresas, os firewalls de
aplicação oferecem a melhor experiência na internet e resultam nas melhorias de desempenho da rede. 3. Inspeção de estados (stateful inspection) O Stateful Packet Inspection (SPI), conhecido também como inspeção de dados, é uma poderosa arquitetura de firewall que examina os fluxos de tráfego de ponta a ponta na rede. Esses firewalls inteligentes e rápidos usam uma maneira inteligente de evitar o tráfego não autorizado,
analisando os cabeçalhos dos pacotes e inspecionando o estado de cada um. Esses firewalls funcionam na camada de rede e por isso são mais seguros do que os modelos básicos de filtragem de pacotes.
Firewall é um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, por onde passa todo o tráfego, permitindo que o controle, a autenticação e os registros de todo o tráfego sejam realizados. Sistemas de Detecção de Intrusos (Intrusion Detection System – IDS) atuam como mecanismos de detecção, realizando a monitoração em sistemas locais ou em sistemas em redes, à procura de eventos que possam comprometer os ativos de um sistema de informação ou que possam transpor os mecanismos de proteção.
O IPS (Intrusion Prevention System) se diferencia do IDS pelo fato de ser ativo, ou seja, interfere diretamente nos eventos que passam por ele. O conceito de Rede Privada Virtual (Virtual Private Network – VPN) surgiu a partir da necessidade de se utilizar redes de comunicação não confiáveis. Uma VPN proporciona conexões somente permitidas a usuários, que estejam em redes distintas e que façam parte de uma mesma comunidade.
O que é VPN e por que você precisa de uma Uma VPN (rede privada virtual) é um software simples que foi criado para proteger sua privacidade online e dificultar a vida dos hackers ao tornar seu tráfego e localização anônimos. Porém, você também pode usá-la para muitos outros objetivos, como navegar com rapidez e segurança, entre outros Uma VPN pode ajudar a protegê-lo de algumas formas principais:
• As VPNs criptografam todos os dados que você envia pela internet Quando você está conectado a um servidor VPN, todo o seu tráfego de internet é criptografado. Isso significa que ninguém pode ver o que você está fazendo online, nem mesmo seu provedor de internet (ISP). E isso também quer dizer que seu provedor ISP não pode limitar suas velocidades. A criptografia impede que hackers visualizem informações confidenciais que você insere em sites, como suas senhas. Isso é especialmente importante se você está usando uma rede WiFi
pública, pois é fácil para cibercriminosos monitorarem sua conexão em redes públicas. Porém, uma VPN garante que, mesmo que alguém roube seus dados, não consiga decifrá-los ou sequer entendê-los. • Sua VPN também protege sua privacidade Sites e serviços usam seu IP para determinar sua localização. Quando você se conecta a um servidor VPN, seu endereço IP não fica mais visível. Como não conseguem ver seu IP real, eles não conseguem saber sua localização.
• Algumas VPNs bloqueiam sites maliciosos, anúncios e trackers Sites maliciosos podem baixar malware e trackers no seu dispositivo sem seu conhecimento. As VPNs com proteção integrada ajudam a evitar infecções proibindo o acesso a esses sites antes que eles possam causar quaisquer danos. Algumas também bloqueiam anúncios e pop-ups. Isso impede que anúncios maliciosos infectem seu device com malware. ua VPN redireciona todo o seu tráfego de internet através de um de seus servidores, onde ele é criptografado. Por exemplo, você
pode estar em Portugal e conectar-se a um servidor nos EUA. A VPN enviará seu tráfego do Brasil para os EUA, totalmente criptografado. Por ele estar criptografado, seu provedor de internet não poderá mais ver sua atividade online e seus locais acessados, ou mesmo rastreá-lo. Em seguida, seu servidor VPN encaminhará seu tráfego para o site que você está acessando. O site verá o servidor VPN como a origem do seu tráfego, em vez do seu dispositivo. Isso significa que ele também vê o endereço IP do seu servidor VPN, em vez do seu IP. As melhores VPNs usam milhares de servidores e
atualizam seus endereços IP regularmente, para que os sites não tenham tempo suficiente de bloqueá-los. E isso significa que você permanece totalmente privado e indetectável.
PARTE II A SEGURANÇA DA INFORMAÇÃO
Índice Introdução.................................................................................................................................................1 Princípios gerais de segurança da informação.........................................................................................2 As passwords e o acesso à informação ...................................................................................................3 Posto de trabalho e salas de reuniões .....................................................................................................4 O correio eletrónico e NetEtiqueta............................................................................................................5 Phishing, vírus e ransomware ..................................................................................................................6 A Internet e a comunicação......................................................................................................................7 Dispositivos móveis ..................................................................................................................................8 Parceiros externos....................................................................................................................................9 RGPD .....................................................................................................................................................10 Destruição de dados e impressões.........................................................................................................11 Segurança de pagamentos eletrónicos ..................................................................................................12
Introdução O que é a segurança da informação? É um processo organizado e estruturado que permite preservar a confidencialidade, integridade e a disponibilidade da informação. Confidencialidade é... assegurar que a informação é acessível somente por pessoas devidamente autorizadas. O acesso à informação é restrito a utilizadores legítimos. Integridade é… garantir a veracidade e complementaridade da informação, bem como os seus métodos de processamento. O conteúdo da informação não pode ser modificado de forma inesperada. Disponibilidade é… assegurar o acesso à informação e bens associados por quem devidamente autorizado. A informação deve estar acessível sempre que necessário. Confidencialidade Segurança da Informação Integridade Disponibilidade Quem é o responsável pela segurança da informação? Todos nós somos responsáveis pela segurança da informação e todos temos a responsabilidade de proteger os nossos dados e os que nos são confiados.
No entanto, as organizações possuem pessoas especializadas e dedicadas à segurança da informação e à proteção dos dados pessoais. Estes colaboradores são normalmente designados por CISO - Chefe Information Security Officer ou por DPO - Data Protection Officer. São responsáveis pela proteção da informação contra quebras de confidencialidade, integridade e disponibilidade da mesma. As principais tarefas do CISO são: Implementar boas práticas de segurança de informação holísticas e estruturadas (Ex. CISO, COBIT, ITIL, etc.); Aplicar, contribuir e rever as normas, políticas e standards de segurança de informação; Executar auditorias e controlos internos regulares; Realizar ações de sensibilização e de formação para os utilizadores; Apoiar a organização e em especial o IT e os gestores de projeto, com foco na segurança; Colaborar na estratégia, desempenho e monitorização do IT. 1 Introdução Para que esta função tenha sucesso a colaboração e o envolvimento de todos é fundamental. Conto com a tua ajuda! Assim como, sempre que necessitares, o CISO está disponível para te ajudar.
Princípios gerais de segurança da informação A proteção eficaz e adequada da informação e dos sistemas de informação contra quebras de confidencialidade, de integridade e de disponibilidade garante a capacidade de produção e a posição concorrencial da organização, a confiança junto dos clientes e parceiros, bem como a imagem junto do público, faz parte imprescindível da política da organização. Estamos cientes da elevada importância da segurança da informação para a nossa organização e tratamo-la de forma adequada; Implementamos procedimentos sistemáticos que visam a redução dos riscos; Incutimos a responsabilidade pela segurança da informação; Estabelecemos medidas adequadas à nossa organização para garantir a segurança da informação. Verificamos regularmente o respetivo cumprimento e a eficácia; Protegemos a informação própria e a que nos é confiada, impedindo a sua divulgação e alteração ilegal; Reagimos de imediato e adequadamente à situação em caso de violação da segurança; Garantimos a disponibilidade dos sistemas de informação com base nas exigências dos processos de negócio; Implementamos procedimentos adequados à não interrupção da atividade; As regras de segurança da informação são afixadas e comunicadas aos colaboradores, fornecedores e parceiros. 2 Princípios gerais de segurança da informação
As passwords e o acesso à informação As organizações estão dotadas de políticas, processos, standards e guias de orientação. O principal objetivo é garantir a segurança dos dados confidenciais de negócios e dados pessoais. Algumas dicas de segurança: Mantém as tuas passwords confidenciais; Memoriza as tuas passwords. As passwords não devem ser escritas em papéis ou locais visíveis; Muda as tuas passwords regularmente, mesmo nos sistemas que não te obriguem a fazê-lo; Guarda as tuas passwords em softwares encriptados (ex. KeePass Safe); Respeita a política de passwords; Não graves as tuas passwords de forma automática nos sistemas; Não utilizes as mesmas passwords para os sistemas da organização e sistemas pessoais; Utiliza passwords seguras mas fáceis de memorizar. As passwords mais Como criar passwords seguras: utilizadas são: 1ª 123456; Construa uma frase. 2ª Password; O meu filho nasceu em Lisboa 3ª qwerty; às 18:35! 4ª Abcd1234; 5ª Data nascimento A password: OmfneLa1835! 3 As passwords e o acesso à informação
Posto de trabalho e salas de reuniões O posto de trabalho é uma “ferramenta” cuidadosamente pensada para que os colaboradores da nossa organização possam trabalhar de forma organizada, confortável e adequada às suas funções. O teu posto de trabalho é constituído por documentos e ferramentas que fazem parte de uma rede complexa, constituída por milhares de computadores e outros equipamentos. Implementamos medidas e procedimentos que protegem o teu posto de trabalho, a informação do negócio e os teus dados pessoais. Todos os colaboradores fazem parte da cadeia de segurança, por isso, para que a nossa informação esteja protegida a tua colaboração é fundamental. Posto de trabalho O teu posto de trabalho deve estar sempre arrumado e cumprir o princípio “clean desk”. Não é permitido ligar equipamentos elétricos tais como ventoinhas, aquecedores, etc. Durante as reuniões, com temas confidenciais ou sensíveis, deves verificar se a sala está corretamente fechada e protegida para que a informação seja partilhada de forma confidencial. No fim do dia de trabalho deves verificar se as portas e janelas ficaram corretamente fechadas.
O PC Quando não estás a utilizar o teu computador bloqueia a tua sessão. O teu PC apenas tem software autorizado e devidamente licenciado. Evita o armazenamento de dados em pastas locais, todos os documentos de trabalho devem estar armazenados nas pastas da rede. Documentos Os documentos, impressões, agendas e blocos de apontamentos com dados confidenciais devem ser tratados de forma a garantir que terceiros não possam ter conhecimento do seu conteúdo. Sempre que te afastes do teu posto de trabalho coloca os documentos dentro de armários ou gavetas devidamente trancadas. As impressões devem ser recolhidas da impressora o mais rápido possível. Quando imprimes documentos confidenciais deves acompanhar presencialmente a saídas das folhas e garantir que foram todas recolhidas da impressora. 4 Posto de trabalho e salas de reuniões
O correio eletrónico e NetEtiqueta O correio eletrónico (email) é uma ferramenta de trabalho e deve ser utilizada de forma profissional e cuidada. A utilização imprudente ou inadequada pode dar origem a ataques aos nossos sistemas e à nossa informação. Boas práticas de utilização do email: 1. Utiliza o email de forma segura, produtiva, profissional e educada; 2. Não reenvies emails com brincadeiras ou correntes da fortuna e felicidade nem reajas por impulso ao conteúdo; 3. Verifica sempre os endereços dos destinatários; 4. Não abras emails e ficheiros de origem desconhecida, elimina-os imediatamente; 5. Nunca envies informação pessoal que te seja solicitada por email, tal como: n.º do cartão de crédito, username, password, nomes. Nenhuma empresa te pedirá este tipo de informação por email; 6. Não sigas as ligações (links) de emails suspeitos. Escreve o endereço diretamente no browser; 7. Informações críticas de negócio ou dados pessoais só podem ser enviados em formato encriptado. As passwords devem ser enviadas por outro meio de comunicação. NetEtiqueta Evita escrever mensagens em MAIÚSCULAS com cores e a bold; Tenta ser claro e objetivo, produz textos simples e com cuidado gramatical e ortográfico; Tenta ser educado e simpático, agradece e cumprimenta; Podes usar smileys :-) é uma forma simples de dar a entender os teus sentimentos; Não reajas de forma emotiva porque normalmente escrevemos emails ou partilhamos o que não queremos; Antes de publicar alguma informação verifica se o conteúdo: - Tem interesse; - Tem qualidade, é atual e respeita a missão da organização; - Tem o formato correto e está a ser publicado no dia, hora e local correto. 5 O correio eletrónico e NetEtiqueta
Phishing, vírus e ransomware O Phishing é uma das principais preocupações ao nível da segurança da informação. Trata-se de um crime informático baseado no envio de um e-mail fraudulento com o objetivo de obter dados pessoais ou de negócio. É um e-mail falso, normalmente emitido em nome de uma entidade credível tal como um Banco, Facebook, Twitter, Microsoft, Vodafone, etc. mas que na realidade só pretende recolher dados ou infetar os sistemas. Vírus Os vírus são programas maliciosos - malware; que se espalham a outros computadores com o objetivo de permitir acessos ou danificar dados e serviços. Existem diferentes tipos de vírus: o spyware que regista a atividade do utilizador e envia para o atacante; o adware que ataca o utilizador com publicidade; o scareware que é um falso alerta de vírus ou problemas informáticos que levam o utilizador a fazer o que lhe pedem, por como exemplo instalar um programa; e o ransomware, um dos mais agressivos e de maior impacto. O Ransomware é uma estratégia de resgate suportada por um software de encriptação que bloqueia o acesso aos ficheiros ou aos computadores, até que se pague o resgate. Este software encripta os dados com uma chave secreta. “O teu dinheiro ou os teus dados?” Para recuperarmos os dados é necessário pagar um resgate. Normalmente este ataque ocorre em 6 passos: 1. O ransomware entra via email ou download da internet; 2. O utilizador abre o ficheiro e este executa-se; 3. O software gera uma chave pública e uma privada; 4. A chave privada é transferida para um servidor do atacante e é apagada do teu PC; 5. O software começa a encriptar os teus dados; 6. Terminada a encriptação o software malicioso coloca uma mensagem no desktop com instruções para pagares o resgate com Bitcoin. NOTA: Se o teu computador detetar um vírus ou suspeitares de um comportamento anormal por favor segue os seguintes passos: 1. Desliga o Wi-Fi; 2. Remove o cabo de rede (ou retira o portátil da docking station); 3. Não desligues o equipamento; 4. Contacta imediatamente a equipa IT. 6 Phishing, vírus e ransomware
A Internet e a Comunicação Vivemos no mundo da informação e a comunicação é a chave do sucesso pessoal e empresarial. Por este motivo é fundamental garantirmos que comunicamos de forma adequada, nos meios adequados e apenas transmitimos a informação necessária. No mundo da internet existem regras e códigos de conduta com o objetivo de melhorar a segurança da informação. Internet Certifica-te que o site é seguro fazendo duplo clique sobre o cadeado ou acede pelo endereço (URL) que deve começar por "https://" e não por "http://"; Certifica-te que o teu browser e o antivírus estão atualizados e utiliza uma firewall pessoal; Consulta os extratos das tuas contas bancárias e de serviços com regularidade. Se encontrares algum movimento estranho, contacta imediatamente o prestador de serviço ou banco; Atualiza as tuas passwords/PIN a cada 90 dias. Sempre que possível utiliza passwords diferentes para sites seguros e sites não seguros; Não é permitido aceder a sites com conteúdos ilegais ou inadequados; Não é permitido utilizar serviços públicos de email, de transferência de ficheiros e ou serviços cloud para troca de dados da organização; Não é permitido divulgar informação de negócio nas redes sociais; Não é permitido utilizar ferramentas da internet para criar ou traduzir conteúdos (ex. Google Translate ou Prezi); Não é permitido jogar ou fazer apostas online com recursos da nossa organização (REDE, PCs, etc.).
Comunicação Não divulgues a extensão telefónica, email e telemóvel de um colega sem que este o permita; Quando falas ao telefone tem cuidado para não divulgar informação confidencial; Evita falar de assuntos de trabalho em locais e transportes públicos, protege-te contra os ouvintes; Evita ler informações críticas de negócio em locais e transportes públicos, protege- te dos mirones; Evita abrir envelopes com dados confidenciais em espaços públicos; Não utilizes redes sociais ou ferramentas (APPs) públicas para comunicar com parceiros e fornecedores (ex: WhatsApp ou Wunderlist), estas não são seguras; Não coloques informações da organização em sites públicos (ex. Dropbox); Não registes o teu endereço de e-mail de trabalho em redes sociais; Não é permitido enviar dados da organização para e-mails pessoais (Ex. Gmail, Hotmail, etc.); Pensa nas consequências antes de publicares qualquer informação, uma informação embaraçosa pode comprometer a tua imagem e a da tua organização. 7 A Internet e a Comunicação
Dispositivos móveis Os equipamentos móveis são uma potencial fonte de perda de informação crítica de negócio e pessoal. Por este motivo, devem ser tratados com especial atenção e devem estar sempre protegidos. Olha para os teus dispositivos móveis (telemóvel, portátil, PEN, token, pasta de documentos) e verifica se estão aplicadas algumas das seguintes regras de segurança. Todos os dispositivos portáteis estão protegidos com password; Os dispositivos portáteis devem ter os dados encriptados sempre que seja tecnicamente possível; O software deve estar atualizado. Sempre que possível liga o teu equipamento à rede da organização para receber as devidas atualizações (pelo menos a cada 15 dias); O equipamento deve ter instalado um antivírus e uma firewall; Devem ser feitas cópias de segurança dos dados. Os dados da organização devem ser colocados nas pastas da rede; Em locais públicos e transportes públicos os equipamentos devem estar sob vigilância; O trabalho com equipamentos móveis em locais públicos deve garantir que os dados do ecrã estão protegidos contra pessoas não autorizadas; Os equipamentos móveis não devem ser deixados nos veículos automóveis; O computador portátil deve estar sempre com o cadeado de segurança para evitar roubos; É proibido desbloquear equipamentos com recurso a ferramentas ou sistemas operativos não autorizados (ex. Jailbreak ou Root); Home-office - os documentos que são levados para trabalhar em casa devem estar protegidos contra acesso indevido. 8 Dispositivos móveis
Parceiros externos Existe uma ordem cronológica natural de relacionamento com os parceiros externos, esta ordem passa pelas seguintes fases: 1. Antes do contrato; 2. Durante o período de relação de negócio; 3. E terminada a relação de negócio. Para todas estas fases estão definidas regras e boas práticas que garantem a proteção dos dados, e das infraestruturas da nossa organização e dos nossos parceiros. Estas regras aplicam-se a todos os parceiros externos. Antes do contrato: Os parceiros e as empresas subcontratadas assinam um NDA - Acordo de Confidencialidade; Os parceiros que processam ou armazenam dados da nossa organização recebem um briefing de segurança da informação; São definidos os dados a serem trocados e os canais seguros para a troca; São definidos os interlocutores do parceiro e os nossos, e acordado entre ambos a forma de comunicar incidentes de segurança; Se forem trocados dados críticos (pessoais ou de negócio) os interlocutores devem garantir que foram tomadas as medidas de proteção técnicas e funcionais adequadas; O prestador de serviço apresenta um plano de segurança claro e atualizado; É assinado um contrato-tipo disponibilizado pelo Departamento Jurídico. Durante a relação de negócio: São atribuídos acessos locais ou remotos aos parceiros de acordo com princípio do “Mínimo acesso permitido”; Os sistemas dos parceiros externos apenas podem ser instalados na nossa infraestrutura se existirem comprovadas razões técnicas ou económicas;
Não é permitido instalar o nosso software em equipamentos de parceiros; Os nossos sistemas apenas podem ser colocados nas instalações dos parceiros após aprovação formal do CISO; Em todos os contratos deve ser assegurado o direito de auditoria aos parceiros e fornecedores, estas auditorias pode ser realizadas por nós ou por um parceiro escolhido pelas partes e acontecem no âmbito da prestação de serviço. Terminada e relação de negócio: O interlocutor da nossa organização informa todos as entidades envolvidas; Todos os privilégios são imediatamente eliminados; Todos os equipamentos são desligados e recolhidos. 9 Parceiros externos
RGPD O novo Regulamento Geral sobre a Proteção de Dados, constante do Regulamento (UE) 2016/679, foi publicado no Jornal Oficial da União Europeia no dia 4 de maio de 2016. Este regulamento revoga toda a legislação publicada antes da era digital. Este normativo comunitário, designado na língua inglesa por General Data Protection Regulation (GDPR), é aplicável a partir do dia 25 de maio de 2018. O período de dois anos tem como principal objetivo permitir que as organizações se adaptem às novas regras tais como: Novos direitos e obrigações, ex. direito ao esquecimento e a portabilidade dos dados, etc; Coimas elevadas em caso de incumprimento, até 20 milhões de euros ou 4% do volume anual de negócios do grupo; Incluir a privacidade desde a conceção como princípio orientador (Privacy by default); A confiança nas TIC, impõe garantir que as tecnologias não afetam os direitos fundamentais das pessoas à privacidade e à proteção dos dados pessoais (Privacy by Design); Princípio de responsabilidade na recolha e proteção dos dados, Accountability e Opposition to Profiling; Define a criação de uma nova função DPO - Data Private Officer que no regulamento português se designa por Encarregado da Proteção de Dados. É importantes saberes: O que são dados pessoais - são todas as informações relativas a uma pessoa identificada ou identificável (nome, morada, património, vencimento, datas, números de cartões, nº de telefone, IP, vídeos, imagem, raça, dados biométricos, folhas de presença, avaliações, curriculum vitae, etc); Não deves reunir dados pessoais em papel ou em formato eletrónico sem informares o DPO; Cuidado ao enviares dados pessoais, estes devem estar sempre encriptados ou protegidos; Cuidado ao destruíres ou eliminares dados pessoais, estes devem ser definitivamente apagados ou eliminados de forma a não serem recuperados por terceiros; Cuidado com os dados pessoais que trocas com os teus parceiros e em especial com parceiros fora da EU; Documentos com dados médicos, e dados de menores são muitos sensíveis pelo que deves ter um cuidado redobrado na sua utilização; Se perderes ou te roubarem dados pessoais informa de imediato o teu DPO; O DPO tem a obrigação de comunicar as autoridades todas as “fugas” ou perdas de dados pessoais. 10 RGPD
Destruição de dados e impressões Informação é um ativo com valor para o negócio. A informação pode existir sob várias formas, como por exemplo: em suportes de papel (folhetos, jornais, cartolinas, posters, etc.) ou suportes eletrónicos designados por media (CDs, disquetes, tapes, microfilme, discos rígidos, PEN USB, cartões de memória, etc.). A destruição de informação confidencial deve ser realizada de acordo com regras de segurança e procedimentos adequados. Apenas empresas certificadas podem fazer a destruição da nossa informação. Existe contrato com empresas certificadas para a destruição de informação. Estas empresas garantem a recolha e o transporte dos documentos e equipamentos, em condições de rigorosa segurança, através da utilização exclusiva de viaturas próprias com caixa blindada, cumprindo os requisitos previstos na Lei da Proteção de Dados Pessoais e os requisitos associados ao acondicionamento e transporte de resíduos. 1. Existe um contentor para se depositarem todos os suportes de dados digitais para destruição segura. 2. Junto do contentor existe uma pasta com formulário para registar o material colocado no contentor para destruição. 3. Semestralmente a empresa recolhe o contentor e deposita um vazio. 4. No processo de destruição a empresa produz um relatório detalhado com a descrição dos dispositivos, quantidade e código de barras. 5. A documentação e certificados de destruição ficarão à guarda do CISO. 6. A destruição de grandes volumes de papel é feita a pedido. 7. A destruição de pequenos volumes (documentos de trabalho e flip charts com informação confidencial) é realizada pelo próprio colaborador nos destruidores de papel disponibilizados pela empresa. 8. A eliminação das impressões deve ocorrer no escritório. No escritório de casa, a eliminação de impressões só é permitida se os documentos forem cortados por uma trituradora de corte em pedaços com o máximo de 8 mm. 9. Os equipamentos eletrónicos media só podem ser destruídos ou ter os dados apagados pelo IT. 11 Destruição de dados e impressões
Segurança de pagamentos eletrónicos Empresas certificadas, como por exemplo as que têm certificação PCI DSS são mais seguras nos pagamentos eletrónicos. Isto quer dizer que cumprem as regras de segurança e executam procedimentos que garantem a transação segura de pagamentos eletrónicos. Para impedir situações de manipulação e fraude recomendo atenção a: 1. Observe com atenção o estado do Terminal de Pagamento Automático (ATM), se identificares um teclado diferente mais elevado ou com a ranhura de leitura de cartões alterada, escolhe outro ATM; 2. Comprar apenas em websites seguros e de confiança, 3. Os websites devem ter mecanismos de segurança tais como: recurso a certificados SSL, tecnologia SET, entre outros; 4. Utiliza apenas cartões de crédito pré-pagos e carregados com o valor necessário para a compra; 5. Evita fazer compras em websites fora da União Europeia, pois poderá ter problemas em caso de necessidade de reclamar; 6. Cuidado com as compras feitas em redes WI-FI públicas, muitas destas redes não são seguras e podem estar a guardar os dados dos teus cartões. Sempre que possível utiliza o contactless, é a melhor forma de protegeres o teu PIN. O que é a tecnologia Contactless? A tecnologia Contactless permite rapidez no pagamento. Basta aproximar o cartão a 4 cm do terminal para que a operação de pagamento seja efetuada. Como reconheço que o meu cartão é Contactless? Caso o cartão tenha o símbolo ou está preparado para efetuar pagamentos em Contactless. É seguro não introduzir o cartão no terminal e o PIN nos pagamentos abaixo dos 20€? Sim, porque o pagamento com Contactless obedece a todos os critérios de segurança exigidos pelos bancos. Há um valor limite para pagamentos via Contactless? Sim, o pagamento de compras Contactless está limitado a 20€ sem que seja necessária a introdução do código PIN para validar a compra. E em pagamentos acima de 20€ continua a ser possível utilizar o sistema Contactless? Sim, mas será necessário validar a operação com o código PIN, apesar de o pagamento ser efetuado sem introdução do cartão no terminal. Nunca mais será necessário introduzir o PIN para compras inferiores a 20€? Não, o número de transações Contactless é limitado. É necessário introduzir o PIN de 4 em 4 transações ou quando seja atingido o montante acumulado de 60€ em pagamentos Contactless. Quais as vantagens do Contactless? Maior rapidez e segurança no pagamento, menos trocos, mas a principal vantagem é a proteção do teu PIN. Isto é, quanto menos vezes utilizares o teu código PIN mais protegido está o teu dinheiro. Protege o teu código PIN!!! 12 Segurança de pagamentos eletrónicos
manual_ufcd_1421_segurana_informatica.pdf

Recomendados

Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoEscola de Governança da Internet no Brasil
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Aps informatica
Aps informaticaAps informatica
Aps informaticajoao marcos resende pacheco
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semanaJorge Ávila Miranda
 
Informática
Informática Informática
Informática joao marcos resende pacheco
 
Segurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPSegurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPBruno Milani
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Estudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaEstudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaRicardo Nagel
 

Recomendados

Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoEscola de Governança da Internet no Brasil
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Aps informatica
Aps informaticaAps informatica
Aps informaticajoao marcos resende pacheco
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semanaJorge Ávila Miranda
 
Informática
Informática Informática
Informática joao marcos resende pacheco
 
Segurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPSegurança na Interoperabilidade de Redes TCP IP
Segurança na Interoperabilidade de Redes TCP IPBruno Milani
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Estudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaEstudo de caso segurança computação distribuída
Estudo de caso segurança computação distribuídaRicardo Nagel
 
Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informaçãoMariana Gonçalves Spanghero
 
Seminario Seguranca da Informação
Seminario Seguranca da InformaçãoSeminario Seguranca da Informação
Seminario Seguranca da InformaçãoMariana Gonçalves Spanghero
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Cartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCentral Info
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
Segurança em Rede.pptx
Segurança em Rede.pptxSegurança em Rede.pptx
Segurança em Rede.pptxWashingtonJardim
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 segurancaMarco Guimarães
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesmauriciomoda
 
Trabalho informatica slide
Trabalho informatica slide Trabalho informatica slide
Trabalho informatica slide Ricardo Lemes
 
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Felipe Santos
 
Trabalho de Internet
Trabalho de InternetTrabalho de Internet
Trabalho de Internetticrica
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...TI Safe
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Alexandre Freire
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Seguranca da informação simulado respondido (1)
Seguranca da informação simulado respondido (1)Seguranca da informação simulado respondido (1)
Seguranca da informação simulado respondido (1)Fabricio Trindade
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Site Blindado S.A.
 
Estrutura da Internet
Estrutura da InternetEstrutura da Internet
Estrutura da InternetÁlecson Vinícius Machado Guimarães
 
A internet
A internet A internet
A internet Vinicius S. Dairel
 

Mais conteúdo relacionado

Semelhante a manual_ufcd_1421_segurana_informatica.pdf

Cartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCentral Info
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesmauriciomoda
 
Trabalho informatica slide
Trabalho informatica slide Trabalho informatica slide
Trabalho informatica slide Ricardo Lemes
 
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Felipe Santos
 
Trabalho de Internet
Trabalho de InternetTrabalho de Internet
Trabalho de Internetticrica
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...TI Safe
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Alexandre Freire
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Seguranca da informação simulado respondido (1)
Seguranca da informação simulado respondido (1)Seguranca da informação simulado respondido (1)
Seguranca da informação simulado respondido (1)Fabricio Trindade
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Site Blindado S.A.
 

Semelhante a manual_ufcd_1421_segurana_informatica.pdf (20)

Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informação
 
Seminario Seguranca da Informação
Seminario Seguranca da InformaçãoSeminario Seguranca da Informação
Seminario Seguranca da Informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Cartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - WirelessCartilha de Segurança para Internet - Wireless
Cartilha de Segurança para Internet - Wireless
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadores
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvem
 
Segurança em Rede.pptx
Segurança em Rede.pptxSegurança em Rede.pptx
Segurança em Rede.pptx
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redes
 
Trabalho informatica slide
Trabalho informatica slide Trabalho informatica slide
Trabalho informatica slide
 
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2
 
Trabalho de Internet
Trabalho de InternetTrabalho de Internet
Trabalho de Internet
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
CLASS 2018 - Palestra de Alexandre Freire (Industrial Cybersecurity Sales Eng...
 
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
Desenhando Arquiteturas de Segurança Cibernética Centradas na Prevenção de Si...
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Seguranca da informação simulado respondido (1)
Seguranca da informação simulado respondido (1)Seguranca da informação simulado respondido (1)
Seguranca da informação simulado respondido (1)
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
 
Estrutura da Internet
Estrutura da InternetEstrutura da Internet
Estrutura da Internet
 
A internet
A internet A internet
A internet
 

manual_ufcd_1421_segurana_informatica.pdf

  • 2.
  • 3. FORMADOR: ANTÓNIO ROQUE CAP EDF 19108/2003 DC
  • 4. Segurança informática DESIGNAÇÃO DA UFCD: Segurança informática CÓDIGO DA UFCD: 1421 CARGA HORÁRIA: 25 horas PONTOS DE CRÉDITO: 2.25 Objetivos
  • 5. • Avaliar, elaborar e aplicar uma política de segurança. Conteúdos • Identificação das ameaças à segurança informática o No âmbito do utilizador o No âmbito do domínio do utilizador o No âmbito do domínio da rede • Criptografia, autenticação e assinaturas digitais o Breve descrição dos principais algoritmos de criptografia utilizados
  • 6. o Chaves simétricas e assimétricas o Chaves públicas e privadas • Protocolos seguros, firewalls, proxies e intrusion detection devices (IDS) o Tipos de protocolos o Tipos de firewalls mais comuns o Proxies e IDS • Redes privadas virtuais (VPN)
  • 7. o Conceito de Tunneling o IPSEC • Vírus e antivírus e outro software malicioso o Tipos e características o A instalação e administração de sistemas Antivírus nas redes das organizações o Breve estudo dos mecanismos de segurança principais do Windows e Linux
  • 9. Pode considerar-se que os requisitos genéricos de segurança das redes e dos sistemas da informação consistem nas seguintes características interrelacionadas: i) Disponibilidade – significa que os dados estão acessíveis e os serviços estão operacionais, apesar de eventuais eventos perturbadores, como cortes de energia, calamidades naturais, acidentes ou ataques. Esta característica é especialmente crítica em contextos onde as falhas nas redes de comunicações podem causar quebras noutras redes críticas, como as do transporte aéreo ou do abastecimento de energia. ii) Autenticação –é a confirmação da identidade reivindicada por entidades ou utilizadores. São necessários métodos de autenticação adequados para muitas aplicações e serviços, como a celebração de um contrato em linha, o controlo do acesso a determinados dados e serviços (p.
  • 10. ex., para teletrabalhadores) e a autenticação de sítios Web (p. ex., para bancos na Internet). A autenticação deve prever a possibilidade de anonimato, já que muitos serviços não exigem a identidade do utilizador, mas apenas a confirmação segura de determinados critérios (as chamadas credenciais anónimas), como a capacidade de pagamento. iii) Integridade – é a confirmação de que os dados enviados, recebidos ou armazenados estão completos e inalterados. Esta característica é especialmente importante para a autenticação no contexto da celebração de contratos ou quando a exactidão dos dados é vital (dados médicos, projecto industrial, etc.). iv) Confidencialidade – é a protecção das comunicações ou dos dados armazenados contra a intercepção e a leitura por pessoas não autorizadas. É especialmente necessária na transmissão de dados sensíveis,
  • 11. sendo um dos requisitos na abordagem do problema da privacidade sentido pelos utilizadores das redes de comunicações. É necessário abranger todos os eventos que ameacem a segurança e não apenas os de natureza maliciosa. Do ponto de vista dos utilizadores, ameaças como incidentes ambientais ou erros humanos que afectem os funcionamentos da rede podem ter custos tão elevados como os dos ataques maliciosos. Assim, a segurança das redes e da informação pode ser entendida como a capacidade de uma rede ou sistema da informação para resistir, com um dado nível de confiança, a eventos acidentais ou acções maliciosas que comprometem a disponibilidade, autenticidade, integridade e confidencialidade dos dados
  • 12. armazenados ou transmitidos e dos serviços conexos oferecidos ou acessíveis através dessa rede ou sistema. Potenciais soluções – Os métodos mais comuns de protecção contra o acesso não autorizado consistem em realizar controlos através de senhas (passwords) e instalar barreiras corta-fogo (firewalls). No entanto, a protecção assim obtida é limitada, devendo ser complementada com outros controlos de segurança, como o reconhecimento de ataques, a detecção de intrusões e os controlos a nível de aplicações (incluindo os que envolvem a utilização de cartões inteligentes). A eficácia dos controlos depende do modo como a sua funcionalidade se ajusta aos riscos associados a um ambiente específico. Há que alcançar um equilíbrio entre a protecção da rede e as vantagens do acesso livre. Dadas as rápidas alterações e
  • 13. consequentes novas ameaças às redes, é necessário efectuar uma revisão contínua independente dos controlos de segurança da rede. Enquanto os utilizadores e os fornecedores não estiverem plenamente conscientes da potencial vulnerabilidade da sua rede, continuarão a não ser exploradas potenciais soluções. O gráfico apresenta o panorama da actual utilização de produtos se segurança na União Europeia (estatísticas baseadas num levantamento realizado em Fevereiro de 2001 no contexto do exercício de avaliação do desempenho da iniciativa eEurope 2002).
  • 14.
  • 15. Os ataques podem assumir diversas formas: ÿ Ataques aos servidores de nomes: A Internet depende do funcionamento do Domain Name System (DNS) através do qual nomes familiares (p. ex., www.europa.eu.int), são convertidos em endereços da rede abstractos (p. ex., IP n° 147.67.36.16) e vice-versa. Caso haja uma falha numa parte do DNS, não será possível localizar alguns sítios Web e os sistemas de encaminhamento de correio electrónico poderão deixar de funcionar. A ocorrência de corrupção nos servidores-raíz do DNS ou noutros servidores de nomes de topo pode conduzir a perturbações generalizadas. No início do presente ano, foram descobertos alguns pontos vulneráveis no software utilizado pela maioria dos servidores de nomes 7 . ÿ Ataques ao encaminhamento: O encaminhamento na Internet está altamente descentralizado. Cada
  • 16. encaminhador informa periodicamente os encaminhadores vizinhos das redes que conhece e do modo de aceder a elas. O ponto fraco deste processo reside no facto de esta informação não poder ser verificada, dado que, por concepção, o conhecimento que cada encaminhador tem da topologia da rede é mínimo. Consequentemente, qualquer encaminhador pode apresentar-se como a melhor via para qualquer destino, preparando o terreno para a intercepção, bloqueamento ou alteração do tráfego para esse destino. ÿ Inundação e ataques que bloqueiam o serviço: Estas formas de ataque perturbam o funcionamento da rede, sobrecarregando-a com mensagens artificiais que bloqueiam ou reduzem os acessos legítimos. É um fenómeno semelhante ao do bloqueamento de terminais fax com mensagens longas e repetidas. Os ataques de inundação
  • 17. tentam sobrecarregar os servidores Web ou saturar a capacidade de processamento dos fornecedores de serviços Internet (FSI) com mensagens geradas automaticamente. 2.2.4. Execução de software malicioso que altera ou destrói dados Os computadores funcionam com software. Infelizmente, o software pode também ser utilizado para desactivar um computador e apagar ou alterar dados. Como descrito acima, se um computador tiver funções de gestão de uma rede, o seu mau funcionamento pode ter sérias consequências. Um vírus é uma forma de software malicioso. É um programa que reproduz o seu próprio código, introduzindo-se noutros programas de modo que o código do vírus é executado quando o programa infectado é executado. Existem vários outros tipos de
  • 18. software malicioso: alguns causam danos apenas no computador em que foram copiados e outros difundem-se para outros computadores em rede. Por exemplo, há programas (coloridamente denominados ‘bombas lógicas’) que se mantêm em hibernação até serem activados por um evento, como uma data específica (frequentemente sexta-feira 13). Outros programas aparentam ser benignos, mas, quando abertos, lançam um ataque malicioso (conhecidos como ‘cavalos de Tróia’). Outros programas (denominados ‘vermes’) não infectam os restantes programas como os vírus, mas criam réplicas de si próprios que, por sua vez, continuam a reproduzir-se até afogar o sistema.
  • 19. Em criptografia, a assinatura ou firma digital é um método de autenticação de informação digital tipicamente tratada como substituta à assinatura física, já que elimina a necessidade de ter uma versão em papel do documento que necessita ser assinado. Embora existam analogias, existem diferenças importantes. O termo assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica. A legislação pode validar tais assinaturas eletrônicas como endereços Telex e cabo, bem como a transmissão por fax de assinaturas manuscritas em papel. A utilização da assinatura ou firma digital providencia a prova inegável de que uma mensagem recebida pelo destinatário realmente foi originada no emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:
  • 20. • autenticidade: o receptor deve poder confirmar que a assinatura foi feita pelo emissor; • integridade: qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento; • irretratabilidade ou não-repúdio: o emissor não pode negar a autenticidade da mensagem. Essas características fazem a assinatura digital ser fundamentalmente diferente da assinatura manuscrita.
  • 21.
  • 22. O que é firewall? Um firewall é um modelo de programa que filtra as informações que chegam da conexão de internet na rede privada da empresa e nos computadores. Se um pacote de entrada de informações é sinalizado como perigoso pelos filtros do firewall, não será permitido fazer o acesso a ele.
  • 23. 1. Filtragem de pacotes (packet filtering) O firewall de filtro de pacotes controla o acesso à rede analisando os pacotes de saída e de entrada. Na prática, ele permite que um pacote passe ou seja bloqueado durante o caminho fazendo a comparação com critérios definidos antecipadamente, como: • Endereços IP permitidos; • Tipo de pacote;
  • 24. • Número de porta para acesso. A técnica de filtragem de pacotes é ideal para redes pequenas, já que fica complexa quando implementada em redes maiores. Esse tipo de firewall não pode impedir todos os tipos de ataques, pois ele não tem a capacidade de enfrentar os ataques que usam vulnerabilidades nas camadas de aplicativos e lutar contra ataques de falsificação.
  • 25. 2. Firewall de aplicação (proxy services) Os Firewalls de servidor proxy são os tipos de firewall mais seguros. Eles podem proteger os recursos de rede de forma eficaz filtrando as mensagens, mascarando seu endereço IP e limitando os tipos de tráfego. Eles fornecem uma análise de segurança completa e com reconhecimento dos protocolos que suportam. Para as grandes empresas, os firewalls de
  • 26. aplicação oferecem a melhor experiência na internet e resultam nas melhorias de desempenho da rede. 3. Inspeção de estados (stateful inspection) O Stateful Packet Inspection (SPI), conhecido também como inspeção de dados, é uma poderosa arquitetura de firewall que examina os fluxos de tráfego de ponta a ponta na rede. Esses firewalls inteligentes e rápidos usam uma maneira inteligente de evitar o tráfego não autorizado,
  • 27. analisando os cabeçalhos dos pacotes e inspecionando o estado de cada um. Esses firewalls funcionam na camada de rede e por isso são mais seguros do que os modelos básicos de filtragem de pacotes.
  • 28. Firewall é um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, por onde passa todo o tráfego, permitindo que o controle, a autenticação e os registros de todo o tráfego sejam realizados. Sistemas de Detecção de Intrusos (Intrusion Detection System – IDS) atuam como mecanismos de detecção, realizando a monitoração em sistemas locais ou em sistemas em redes, à procura de eventos que possam comprometer os ativos de um sistema de informação ou que possam transpor os mecanismos de proteção.
  • 29. O IPS (Intrusion Prevention System) se diferencia do IDS pelo fato de ser ativo, ou seja, interfere diretamente nos eventos que passam por ele. O conceito de Rede Privada Virtual (Virtual Private Network – VPN) surgiu a partir da necessidade de se utilizar redes de comunicação não confiáveis. Uma VPN proporciona conexões somente permitidas a usuários, que estejam em redes distintas e que façam parte de uma mesma comunidade.
  • 30. O que é VPN e por que você precisa de uma Uma VPN (rede privada virtual) é um software simples que foi criado para proteger sua privacidade online e dificultar a vida dos hackers ao tornar seu tráfego e localização anônimos. Porém, você também pode usá-la para muitos outros objetivos, como navegar com rapidez e segurança, entre outros Uma VPN pode ajudar a protegê-lo de algumas formas principais:
  • 31. • As VPNs criptografam todos os dados que você envia pela internet Quando você está conectado a um servidor VPN, todo o seu tráfego de internet é criptografado. Isso significa que ninguém pode ver o que você está fazendo online, nem mesmo seu provedor de internet (ISP). E isso também quer dizer que seu provedor ISP não pode limitar suas velocidades. A criptografia impede que hackers visualizem informações confidenciais que você insere em sites, como suas senhas. Isso é especialmente importante se você está usando uma rede WiFi
  • 32. pública, pois é fácil para cibercriminosos monitorarem sua conexão em redes públicas. Porém, uma VPN garante que, mesmo que alguém roube seus dados, não consiga decifrá-los ou sequer entendê-los. • Sua VPN também protege sua privacidade Sites e serviços usam seu IP para determinar sua localização. Quando você se conecta a um servidor VPN, seu endereço IP não fica mais visível. Como não conseguem ver seu IP real, eles não conseguem saber sua localização.
  • 33. • Algumas VPNs bloqueiam sites maliciosos, anúncios e trackers Sites maliciosos podem baixar malware e trackers no seu dispositivo sem seu conhecimento. As VPNs com proteção integrada ajudam a evitar infecções proibindo o acesso a esses sites antes que eles possam causar quaisquer danos. Algumas também bloqueiam anúncios e pop-ups. Isso impede que anúncios maliciosos infectem seu device com malware. ua VPN redireciona todo o seu tráfego de internet através de um de seus servidores, onde ele é criptografado. Por exemplo, você
  • 34. pode estar em Portugal e conectar-se a um servidor nos EUA. A VPN enviará seu tráfego do Brasil para os EUA, totalmente criptografado. Por ele estar criptografado, seu provedor de internet não poderá mais ver sua atividade online e seus locais acessados, ou mesmo rastreá-lo. Em seguida, seu servidor VPN encaminhará seu tráfego para o site que você está acessando. O site verá o servidor VPN como a origem do seu tráfego, em vez do seu dispositivo. Isso significa que ele também vê o endereço IP do seu servidor VPN, em vez do seu IP. As melhores VPNs usam milhares de servidores e
  • 35. atualizam seus endereços IP regularmente, para que os sites não tenham tempo suficiente de bloqueá-los. E isso significa que você permanece totalmente privado e indetectável.
  • 36. PARTE II A SEGURANÇA DA INFORMAÇÃO
  • 37.
  • 38. Índice Introdução.................................................................................................................................................1 Princípios gerais de segurança da informação.........................................................................................2 As passwords e o acesso à informação ...................................................................................................3 Posto de trabalho e salas de reuniões .....................................................................................................4 O correio eletrónico e NetEtiqueta............................................................................................................5 Phishing, vírus e ransomware ..................................................................................................................6 A Internet e a comunicação......................................................................................................................7 Dispositivos móveis ..................................................................................................................................8 Parceiros externos....................................................................................................................................9 RGPD .....................................................................................................................................................10 Destruição de dados e impressões.........................................................................................................11 Segurança de pagamentos eletrónicos ..................................................................................................12
  • 39. Introdução O que é a segurança da informação? É um processo organizado e estruturado que permite preservar a confidencialidade, integridade e a disponibilidade da informação. Confidencialidade é... assegurar que a informação é acessível somente por pessoas devidamente autorizadas. O acesso à informação é restrito a utilizadores legítimos. Integridade é… garantir a veracidade e complementaridade da informação, bem como os seus métodos de processamento. O conteúdo da informação não pode ser modificado de forma inesperada. Disponibilidade é… assegurar o acesso à informação e bens associados por quem devidamente autorizado. A informação deve estar acessível sempre que necessário. Confidencialidade Segurança da Informação Integridade Disponibilidade Quem é o responsável pela segurança da informação? Todos nós somos responsáveis pela segurança da informação e todos temos a responsabilidade de proteger os nossos dados e os que nos são confiados.
  • 40. No entanto, as organizações possuem pessoas especializadas e dedicadas à segurança da informação e à proteção dos dados pessoais. Estes colaboradores são normalmente designados por CISO - Chefe Information Security Officer ou por DPO - Data Protection Officer. São responsáveis pela proteção da informação contra quebras de confidencialidade, integridade e disponibilidade da mesma. As principais tarefas do CISO são: Implementar boas práticas de segurança de informação holísticas e estruturadas (Ex. CISO, COBIT, ITIL, etc.); Aplicar, contribuir e rever as normas, políticas e standards de segurança de informação; Executar auditorias e controlos internos regulares; Realizar ações de sensibilização e de formação para os utilizadores; Apoiar a organização e em especial o IT e os gestores de projeto, com foco na segurança; Colaborar na estratégia, desempenho e monitorização do IT. 1 Introdução Para que esta função tenha sucesso a colaboração e o envolvimento de todos é fundamental. Conto com a tua ajuda! Assim como, sempre que necessitares, o CISO está disponível para te ajudar.
  • 41.
  • 42. Princípios gerais de segurança da informação A proteção eficaz e adequada da informação e dos sistemas de informação contra quebras de confidencialidade, de integridade e de disponibilidade garante a capacidade de produção e a posição concorrencial da organização, a confiança junto dos clientes e parceiros, bem como a imagem junto do público, faz parte imprescindível da política da organização. Estamos cientes da elevada importância da segurança da informação para a nossa organização e tratamo-la de forma adequada; Implementamos procedimentos sistemáticos que visam a redução dos riscos; Incutimos a responsabilidade pela segurança da informação; Estabelecemos medidas adequadas à nossa organização para garantir a segurança da informação. Verificamos regularmente o respetivo cumprimento e a eficácia; Protegemos a informação própria e a que nos é confiada, impedindo a sua divulgação e alteração ilegal; Reagimos de imediato e adequadamente à situação em caso de violação da segurança; Garantimos a disponibilidade dos sistemas de informação com base nas exigências dos processos de negócio; Implementamos procedimentos adequados à não interrupção da atividade; As regras de segurança da informação são afixadas e comunicadas aos colaboradores, fornecedores e parceiros. 2 Princípios gerais de segurança da informação
  • 43.
  • 44. As passwords e o acesso à informação As organizações estão dotadas de políticas, processos, standards e guias de orientação. O principal objetivo é garantir a segurança dos dados confidenciais de negócios e dados pessoais. Algumas dicas de segurança: Mantém as tuas passwords confidenciais; Memoriza as tuas passwords. As passwords não devem ser escritas em papéis ou locais visíveis; Muda as tuas passwords regularmente, mesmo nos sistemas que não te obriguem a fazê-lo; Guarda as tuas passwords em softwares encriptados (ex. KeePass Safe); Respeita a política de passwords; Não graves as tuas passwords de forma automática nos sistemas; Não utilizes as mesmas passwords para os sistemas da organização e sistemas pessoais; Utiliza passwords seguras mas fáceis de memorizar. As passwords mais Como criar passwords seguras: utilizadas são: 1ª 123456; Construa uma frase. 2ª Password; O meu filho nasceu em Lisboa 3ª qwerty; às 18:35! 4ª Abcd1234; 5ª Data nascimento A password: OmfneLa1835! 3 As passwords e o acesso à informação
  • 45. Posto de trabalho e salas de reuniões O posto de trabalho é uma “ferramenta” cuidadosamente pensada para que os colaboradores da nossa organização possam trabalhar de forma organizada, confortável e adequada às suas funções. O teu posto de trabalho é constituído por documentos e ferramentas que fazem parte de uma rede complexa, constituída por milhares de computadores e outros equipamentos. Implementamos medidas e procedimentos que protegem o teu posto de trabalho, a informação do negócio e os teus dados pessoais. Todos os colaboradores fazem parte da cadeia de segurança, por isso, para que a nossa informação esteja protegida a tua colaboração é fundamental. Posto de trabalho O teu posto de trabalho deve estar sempre arrumado e cumprir o princípio “clean desk”. Não é permitido ligar equipamentos elétricos tais como ventoinhas, aquecedores, etc. Durante as reuniões, com temas confidenciais ou sensíveis, deves verificar se a sala está corretamente fechada e protegida para que a informação seja partilhada de forma confidencial. No fim do dia de trabalho deves verificar se as portas e janelas ficaram corretamente fechadas.
  • 46. O PC Quando não estás a utilizar o teu computador bloqueia a tua sessão. O teu PC apenas tem software autorizado e devidamente licenciado. Evita o armazenamento de dados em pastas locais, todos os documentos de trabalho devem estar armazenados nas pastas da rede. Documentos Os documentos, impressões, agendas e blocos de apontamentos com dados confidenciais devem ser tratados de forma a garantir que terceiros não possam ter conhecimento do seu conteúdo. Sempre que te afastes do teu posto de trabalho coloca os documentos dentro de armários ou gavetas devidamente trancadas. As impressões devem ser recolhidas da impressora o mais rápido possível. Quando imprimes documentos confidenciais deves acompanhar presencialmente a saídas das folhas e garantir que foram todas recolhidas da impressora. 4 Posto de trabalho e salas de reuniões
  • 47.
  • 48. O correio eletrónico e NetEtiqueta O correio eletrónico (email) é uma ferramenta de trabalho e deve ser utilizada de forma profissional e cuidada. A utilização imprudente ou inadequada pode dar origem a ataques aos nossos sistemas e à nossa informação. Boas práticas de utilização do email: 1. Utiliza o email de forma segura, produtiva, profissional e educada; 2. Não reenvies emails com brincadeiras ou correntes da fortuna e felicidade nem reajas por impulso ao conteúdo; 3. Verifica sempre os endereços dos destinatários; 4. Não abras emails e ficheiros de origem desconhecida, elimina-os imediatamente; 5. Nunca envies informação pessoal que te seja solicitada por email, tal como: n.º do cartão de crédito, username, password, nomes. Nenhuma empresa te pedirá este tipo de informação por email; 6. Não sigas as ligações (links) de emails suspeitos. Escreve o endereço diretamente no browser; 7. Informações críticas de negócio ou dados pessoais só podem ser enviados em formato encriptado. As passwords devem ser enviadas por outro meio de comunicação. NetEtiqueta Evita escrever mensagens em MAIÚSCULAS com cores e a bold; Tenta ser claro e objetivo, produz textos simples e com cuidado gramatical e ortográfico; Tenta ser educado e simpático, agradece e cumprimenta; Podes usar smileys :-) é uma forma simples de dar a entender os teus sentimentos; Não reajas de forma emotiva porque normalmente escrevemos emails ou partilhamos o que não queremos; Antes de publicar alguma informação verifica se o conteúdo: - Tem interesse; - Tem qualidade, é atual e respeita a missão da organização; - Tem o formato correto e está a ser publicado no dia, hora e local correto. 5 O correio eletrónico e NetEtiqueta
  • 49.
  • 50. Phishing, vírus e ransomware O Phishing é uma das principais preocupações ao nível da segurança da informação. Trata-se de um crime informático baseado no envio de um e-mail fraudulento com o objetivo de obter dados pessoais ou de negócio. É um e-mail falso, normalmente emitido em nome de uma entidade credível tal como um Banco, Facebook, Twitter, Microsoft, Vodafone, etc. mas que na realidade só pretende recolher dados ou infetar os sistemas. Vírus Os vírus são programas maliciosos - malware; que se espalham a outros computadores com o objetivo de permitir acessos ou danificar dados e serviços. Existem diferentes tipos de vírus: o spyware que regista a atividade do utilizador e envia para o atacante; o adware que ataca o utilizador com publicidade; o scareware que é um falso alerta de vírus ou problemas informáticos que levam o utilizador a fazer o que lhe pedem, por como exemplo instalar um programa; e o ransomware, um dos mais agressivos e de maior impacto. O Ransomware é uma estratégia de resgate suportada por um software de encriptação que bloqueia o acesso aos ficheiros ou aos computadores, até que se pague o resgate. Este software encripta os dados com uma chave secreta. “O teu dinheiro ou os teus dados?” Para recuperarmos os dados é necessário pagar um resgate. Normalmente este ataque ocorre em 6 passos: 1. O ransomware entra via email ou download da internet; 2. O utilizador abre o ficheiro e este executa-se; 3. O software gera uma chave pública e uma privada; 4. A chave privada é transferida para um servidor do atacante e é apagada do teu PC; 5. O software começa a encriptar os teus dados; 6. Terminada a encriptação o software malicioso coloca uma mensagem no desktop com instruções para pagares o resgate com Bitcoin. NOTA: Se o teu computador detetar um vírus ou suspeitares de um comportamento anormal por favor segue os seguintes passos: 1. Desliga o Wi-Fi; 2. Remove o cabo de rede (ou retira o portátil da docking station); 3. Não desligues o equipamento; 4. Contacta imediatamente a equipa IT. 6 Phishing, vírus e ransomware
  • 51. A Internet e a Comunicação Vivemos no mundo da informação e a comunicação é a chave do sucesso pessoal e empresarial. Por este motivo é fundamental garantirmos que comunicamos de forma adequada, nos meios adequados e apenas transmitimos a informação necessária. No mundo da internet existem regras e códigos de conduta com o objetivo de melhorar a segurança da informação. Internet Certifica-te que o site é seguro fazendo duplo clique sobre o cadeado ou acede pelo endereço (URL) que deve começar por "https://" e não por "http://"; Certifica-te que o teu browser e o antivírus estão atualizados e utiliza uma firewall pessoal; Consulta os extratos das tuas contas bancárias e de serviços com regularidade. Se encontrares algum movimento estranho, contacta imediatamente o prestador de serviço ou banco; Atualiza as tuas passwords/PIN a cada 90 dias. Sempre que possível utiliza passwords diferentes para sites seguros e sites não seguros; Não é permitido aceder a sites com conteúdos ilegais ou inadequados; Não é permitido utilizar serviços públicos de email, de transferência de ficheiros e ou serviços cloud para troca de dados da organização; Não é permitido divulgar informação de negócio nas redes sociais; Não é permitido utilizar ferramentas da internet para criar ou traduzir conteúdos (ex. Google Translate ou Prezi); Não é permitido jogar ou fazer apostas online com recursos da nossa organização (REDE, PCs, etc.).
  • 52. Comunicação Não divulgues a extensão telefónica, email e telemóvel de um colega sem que este o permita; Quando falas ao telefone tem cuidado para não divulgar informação confidencial; Evita falar de assuntos de trabalho em locais e transportes públicos, protege-te contra os ouvintes; Evita ler informações críticas de negócio em locais e transportes públicos, protege- te dos mirones; Evita abrir envelopes com dados confidenciais em espaços públicos; Não utilizes redes sociais ou ferramentas (APPs) públicas para comunicar com parceiros e fornecedores (ex: WhatsApp ou Wunderlist), estas não são seguras; Não coloques informações da organização em sites públicos (ex. Dropbox); Não registes o teu endereço de e-mail de trabalho em redes sociais; Não é permitido enviar dados da organização para e-mails pessoais (Ex. Gmail, Hotmail, etc.); Pensa nas consequências antes de publicares qualquer informação, uma informação embaraçosa pode comprometer a tua imagem e a da tua organização. 7 A Internet e a Comunicação
  • 53.
  • 54. Dispositivos móveis Os equipamentos móveis são uma potencial fonte de perda de informação crítica de negócio e pessoal. Por este motivo, devem ser tratados com especial atenção e devem estar sempre protegidos. Olha para os teus dispositivos móveis (telemóvel, portátil, PEN, token, pasta de documentos) e verifica se estão aplicadas algumas das seguintes regras de segurança. Todos os dispositivos portáteis estão protegidos com password; Os dispositivos portáteis devem ter os dados encriptados sempre que seja tecnicamente possível; O software deve estar atualizado. Sempre que possível liga o teu equipamento à rede da organização para receber as devidas atualizações (pelo menos a cada 15 dias); O equipamento deve ter instalado um antivírus e uma firewall; Devem ser feitas cópias de segurança dos dados. Os dados da organização devem ser colocados nas pastas da rede; Em locais públicos e transportes públicos os equipamentos devem estar sob vigilância; O trabalho com equipamentos móveis em locais públicos deve garantir que os dados do ecrã estão protegidos contra pessoas não autorizadas; Os equipamentos móveis não devem ser deixados nos veículos automóveis; O computador portátil deve estar sempre com o cadeado de segurança para evitar roubos; É proibido desbloquear equipamentos com recurso a ferramentas ou sistemas operativos não autorizados (ex. Jailbreak ou Root); Home-office - os documentos que são levados para trabalhar em casa devem estar protegidos contra acesso indevido. 8 Dispositivos móveis
  • 55. Parceiros externos Existe uma ordem cronológica natural de relacionamento com os parceiros externos, esta ordem passa pelas seguintes fases: 1. Antes do contrato; 2. Durante o período de relação de negócio; 3. E terminada a relação de negócio. Para todas estas fases estão definidas regras e boas práticas que garantem a proteção dos dados, e das infraestruturas da nossa organização e dos nossos parceiros. Estas regras aplicam-se a todos os parceiros externos. Antes do contrato: Os parceiros e as empresas subcontratadas assinam um NDA - Acordo de Confidencialidade; Os parceiros que processam ou armazenam dados da nossa organização recebem um briefing de segurança da informação; São definidos os dados a serem trocados e os canais seguros para a troca; São definidos os interlocutores do parceiro e os nossos, e acordado entre ambos a forma de comunicar incidentes de segurança; Se forem trocados dados críticos (pessoais ou de negócio) os interlocutores devem garantir que foram tomadas as medidas de proteção técnicas e funcionais adequadas; O prestador de serviço apresenta um plano de segurança claro e atualizado; É assinado um contrato-tipo disponibilizado pelo Departamento Jurídico. Durante a relação de negócio: São atribuídos acessos locais ou remotos aos parceiros de acordo com princípio do “Mínimo acesso permitido”; Os sistemas dos parceiros externos apenas podem ser instalados na nossa infraestrutura se existirem comprovadas razões técnicas ou económicas;
  • 56. Não é permitido instalar o nosso software em equipamentos de parceiros; Os nossos sistemas apenas podem ser colocados nas instalações dos parceiros após aprovação formal do CISO; Em todos os contratos deve ser assegurado o direito de auditoria aos parceiros e fornecedores, estas auditorias pode ser realizadas por nós ou por um parceiro escolhido pelas partes e acontecem no âmbito da prestação de serviço. Terminada e relação de negócio: O interlocutor da nossa organização informa todos as entidades envolvidas; Todos os privilégios são imediatamente eliminados; Todos os equipamentos são desligados e recolhidos. 9 Parceiros externos
  • 57.
  • 58. RGPD O novo Regulamento Geral sobre a Proteção de Dados, constante do Regulamento (UE) 2016/679, foi publicado no Jornal Oficial da União Europeia no dia 4 de maio de 2016. Este regulamento revoga toda a legislação publicada antes da era digital. Este normativo comunitário, designado na língua inglesa por General Data Protection Regulation (GDPR), é aplicável a partir do dia 25 de maio de 2018. O período de dois anos tem como principal objetivo permitir que as organizações se adaptem às novas regras tais como: Novos direitos e obrigações, ex. direito ao esquecimento e a portabilidade dos dados, etc; Coimas elevadas em caso de incumprimento, até 20 milhões de euros ou 4% do volume anual de negócios do grupo; Incluir a privacidade desde a conceção como princípio orientador (Privacy by default); A confiança nas TIC, impõe garantir que as tecnologias não afetam os direitos fundamentais das pessoas à privacidade e à proteção dos dados pessoais (Privacy by Design); Princípio de responsabilidade na recolha e proteção dos dados, Accountability e Opposition to Profiling; Define a criação de uma nova função DPO - Data Private Officer que no regulamento português se designa por Encarregado da Proteção de Dados. É importantes saberes: O que são dados pessoais - são todas as informações relativas a uma pessoa identificada ou identificável (nome, morada, património, vencimento, datas, números de cartões, nº de telefone, IP, vídeos, imagem, raça, dados biométricos, folhas de presença, avaliações, curriculum vitae, etc); Não deves reunir dados pessoais em papel ou em formato eletrónico sem informares o DPO; Cuidado ao enviares dados pessoais, estes devem estar sempre encriptados ou protegidos; Cuidado ao destruíres ou eliminares dados pessoais, estes devem ser definitivamente apagados ou eliminados de forma a não serem recuperados por terceiros; Cuidado com os dados pessoais que trocas com os teus parceiros e em especial com parceiros fora da EU; Documentos com dados médicos, e dados de menores são muitos sensíveis pelo que deves ter um cuidado redobrado na sua utilização; Se perderes ou te roubarem dados pessoais informa de imediato o teu DPO; O DPO tem a obrigação de comunicar as autoridades todas as “fugas” ou perdas de dados pessoais. 10 RGPD
  • 59.
  • 60. Destruição de dados e impressões Informação é um ativo com valor para o negócio. A informação pode existir sob várias formas, como por exemplo: em suportes de papel (folhetos, jornais, cartolinas, posters, etc.) ou suportes eletrónicos designados por media (CDs, disquetes, tapes, microfilme, discos rígidos, PEN USB, cartões de memória, etc.). A destruição de informação confidencial deve ser realizada de acordo com regras de segurança e procedimentos adequados. Apenas empresas certificadas podem fazer a destruição da nossa informação. Existe contrato com empresas certificadas para a destruição de informação. Estas empresas garantem a recolha e o transporte dos documentos e equipamentos, em condições de rigorosa segurança, através da utilização exclusiva de viaturas próprias com caixa blindada, cumprindo os requisitos previstos na Lei da Proteção de Dados Pessoais e os requisitos associados ao acondicionamento e transporte de resíduos. 1. Existe um contentor para se depositarem todos os suportes de dados digitais para destruição segura. 2. Junto do contentor existe uma pasta com formulário para registar o material colocado no contentor para destruição. 3. Semestralmente a empresa recolhe o contentor e deposita um vazio. 4. No processo de destruição a empresa produz um relatório detalhado com a descrição dos dispositivos, quantidade e código de barras. 5. A documentação e certificados de destruição ficarão à guarda do CISO. 6. A destruição de grandes volumes de papel é feita a pedido. 7. A destruição de pequenos volumes (documentos de trabalho e flip charts com informação confidencial) é realizada pelo próprio colaborador nos destruidores de papel disponibilizados pela empresa. 8. A eliminação das impressões deve ocorrer no escritório. No escritório de casa, a eliminação de impressões só é permitida se os documentos forem cortados por uma trituradora de corte em pedaços com o máximo de 8 mm. 9. Os equipamentos eletrónicos media só podem ser destruídos ou ter os dados apagados pelo IT. 11 Destruição de dados e impressões
  • 61.
  • 62. Segurança de pagamentos eletrónicos Empresas certificadas, como por exemplo as que têm certificação PCI DSS são mais seguras nos pagamentos eletrónicos. Isto quer dizer que cumprem as regras de segurança e executam procedimentos que garantem a transação segura de pagamentos eletrónicos. Para impedir situações de manipulação e fraude recomendo atenção a: 1. Observe com atenção o estado do Terminal de Pagamento Automático (ATM), se identificares um teclado diferente mais elevado ou com a ranhura de leitura de cartões alterada, escolhe outro ATM; 2. Comprar apenas em websites seguros e de confiança, 3. Os websites devem ter mecanismos de segurança tais como: recurso a certificados SSL, tecnologia SET, entre outros; 4. Utiliza apenas cartões de crédito pré-pagos e carregados com o valor necessário para a compra; 5. Evita fazer compras em websites fora da União Europeia, pois poderá ter problemas em caso de necessidade de reclamar; 6. Cuidado com as compras feitas em redes WI-FI públicas, muitas destas redes não são seguras e podem estar a guardar os dados dos teus cartões. Sempre que possível utiliza o contactless, é a melhor forma de protegeres o teu PIN. O que é a tecnologia Contactless? A tecnologia Contactless permite rapidez no pagamento. Basta aproximar o cartão a 4 cm do terminal para que a operação de pagamento seja efetuada. Como reconheço que o meu cartão é Contactless? Caso o cartão tenha o símbolo ou está preparado para efetuar pagamentos em Contactless. É seguro não introduzir o cartão no terminal e o PIN nos pagamentos abaixo dos 20€? Sim, porque o pagamento com Contactless obedece a todos os critérios de segurança exigidos pelos bancos. Há um valor limite para pagamentos via Contactless? Sim, o pagamento de compras Contactless está limitado a 20€ sem que seja necessária a introdução do código PIN para validar a compra. E em pagamentos acima de 20€ continua a ser possível utilizar o sistema Contactless? Sim, mas será necessário validar a operação com o código PIN, apesar de o pagamento ser efetuado sem introdução do cartão no terminal. Nunca mais será necessário introduzir o PIN para compras inferiores a 20€? Não, o número de transações Contactless é limitado. É necessário introduzir o PIN de 4 em 4 transações ou quando seja atingido o montante acumulado de 60€ em pagamentos Contactless. Quais as vantagens do Contactless? Maior rapidez e segurança no pagamento, menos trocos, mas a principal vantagem é a proteção do teu PIN. Isto é, quanto menos vezes utilizares o teu código PIN mais protegido está o teu dinheiro. Protege o teu código PIN!!! 12 Segurança de pagamentos eletrónicos