SlideShare uma empresa Scribd logo
1 de 9
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
Índice
1.0. Introdução..........................................................................................................................2
2.0. Segurança de Informação..................................................................................................3
3.0. Politica de Segurança ........................................................................................................3
3.1. Política de Uso Aceitável (PUA)...................................................................................4
3.2. Uso abusivo da rede.......................................................................................................4
4.0. Logs & sistema de detecção de intrusão (IDS) .................................................................4
4.1. Atividades que podem gerar logs ..................................................................................5
5.0. Metodologia de Proteção...................................................................................................5
5.1. Método de Proteção.......................................................................................................5
5.1.1. Engenharia Social...................................................................................................5
5.1.2. Em caso de Transações Bancárias ou Comerciais .....................................................6
5.1.3. Em caso de Boatos .................................................................................................7
6.0. Responsabilidade...............................................................................................................7
7.0. Conclusão..........................................................................................................................8
8.0. Bibliografia........................................................................................................................9
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
1.0.Introdução
Com o aumento da utilização e dependência do computador traz uma preocupação básica e
fundamental às organizações que é a segurança.
A decisão da adoção ou não de uma política de segurança deve basear-se em uma avaliação de
riscos, mediante custo e benefício. Feita essa análise, torna-se mais simples tomar uma decisão.
É importante ter em mente que as ameaças não partem somente de autores externos. A
segurança de qualquer sistema, em parte, está nas mãos das pessoas que o gerenciam e operam.
Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos
recursos tecnológicos da empresa.
As decisões que nós como administrador tomamos ou deixamos de tomar, relacionadas à
segurança, irão determinar quão segura ou insegura é a nossa rede, quantas funcionalidades ela
irá oferecer, e qual será a facilidade de utilizá-la. No entanto, não conseguiremos tomar boas
decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que
determinemos quais sejam elas, não faremos uso efetivo de qualquer coleção de ferramentas de
segurança pois simplesmente não saberemos o que checar e quais restrições impor.
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
2.0.Segurança de Informação
Segundo ABNT NBR ISO/IEC 27002:2005, “Segurança da informação é a proteção da
informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o
risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.”
Os princípios da segurança da informação abrangem, basicamente, os seguintes aspetos:
1º. Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser
realizadas nas informações;
2º. Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter
acesso à informação;
3º. Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que
necessário ou demandado.
3.0. Politica de Segurança
A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos
computacionais de uma instituição e com as informações neles armazenados. Ela também define
as atribuições de cada um em relação à segurança dos recursos com os quais trabalham.
Uma política de segurança também deve prever o que pode ou não ser feito na rede da instituição
e o que será considerado inaceitável. Tudo o que descumprir a política de segurança é
considerado um incidente de segurança.
Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles
que não cumprirem a política.
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
3.1.Política de Uso Aceitável (PUA)
A política de uso aceitável (AUP, de Acceptable Use Policy) é um documento que define como
os recursos computacionais de uma organização podem ser utilizados. Também é ela quem
define os direitos e responsabilidades dos usuários.
Os provedores de acesso à Internet normalmente deixam suas políticas de uso aceitável
disponíveis em suas páginas. Empresas costumam dar conhecimento da política de uso aceitável
no momento da contratação ou quando o funcionário começa a utilizar os recursos
computacionais da empresa.
3.2.Uso abusivo da rede
Internamente às empresas e instituições tem situações que caracterizam o uso abusivo da rede,
estas estão definidas na política de uso aceitável. Na Internet como um todo, os comportamentos
listados abaixo são geralmente considerados como uso abusivo:
 Envio de Spam;
 Envio de correntes da felicidade e de correntes para ganhar dinheiro rápido;
 Cópia e distribuição não autorizada de material protegido por direitos autorais;
 Utilização da Internet para fazer difamação, calúnia e ameaças;
 Tentativas de ataques a outros computadores;
 Comprometimento de computadores ou redes.
4.0.Logs & sistema de detecção de intrusão (IDS)
Os logs são registros de atividades gerados por programas de computador. No caso de logs
relativos a incidentes de segurança, eles normalmente são gerados por firewalls ou por sistemas
de detecção de intrusão.
Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um
conjunto de programas, cuja função é detectar atividades incorretas, maliciosas ou anômalas.
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a
uma rede.
4.1.Atividades que podem gerar logs
Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta
acessar um computador e este acesso é barrado pelo firewall. Sempre que um firewall gera um
log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa
de ataque.
Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de ataques,
quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se
uma atividade detectada por um IDS foi um ataque com sucesso.
5.0.Metodologia de Proteção
A metodologia a ser utilizada para elaboração do plano de segurança procura abranger os
seguintes itens:
 Análise de riscos, através da identificação, probabilidade de ocorrências e
consequências, das ameaças existentes;
 Verificação e avaliação das medidas de proteção existente na área de
informática;
 Estabelecimento de prioridades de proteção;
 Determinação dos requisitos de segurança;
 Conscientização e treinamento de
pessoal;
 Simulação e testes periódicos;
5.1.Método de Proteção
5.1.1. Engenharia Social
Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso
da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
informações que podem ser utilizadas para ter acesso não autorizado a computadores ou
informações.
Neste caso devemos prestar atenção nos métodos seguintes:
 Não fornecer dados pessoais, números de cartões e senhas através de contato telefônico;
 Ficar atento a e-mails ou telefonemas solicitando informações pessoais;
 Não acessar sites ou seguir links recebidos por e-mail ou presentes em páginas sobre as
quais não se saiba a procedência;
 Sempre que houver dúvida sobre a real identidade do autor de uma mensagem ou
ligação telefônica, entrar em contato com a instituição, provedor ou empresa para
verificar a veracidade dos fatos.
5.1.2. Em caso de Transações Bancárias ou Comerciais
 Seguir todas as recomendações sobre utilização do browser de maneira segura;
 Estar atento e prevenir-se dos ataques de engenharia social;
 Realizar transações somente em sites de instituições que você considere confiáveis;
 Certificar-se de que o endereço apresentado em seu browser corresponde ao site
que você realmente quer acessar, antes de realizar qualquer ação;
 Antes de aceitar um novo certificado, verificar junto à instituição que mantém o site
sobre sua emissão e quais são os dados nele contidos;
 Procurar sempre digitar em seu browser o endereço desejado. Não utilize links em
páginas de terceiros ou recebidos por e-mail;
 Certificar-se que o site faz uso de conexão segura, ou seja, que os dados
transmitidos entre seu browser e o site serão criptografados e utiliza um tamanho de
chave considerado seguro;
 Verificar o certificado do site, para assegurar-se que ele foi emitido para a
instituição que se deseja acessar e está dentro do prazo de validade;
 Não acessar sites de comércio eletrônico ou Internet Banking através de
computadores de terceiros;
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
 Desligar sua webcam (caso vecê possua alguma), ao acessar um site de comércio
eletrônico ou Internet banking.
5.1.3. Em caso de Boatos
 Verificar sempre a procedência da mensagem e se o fato sendo descrito é verídico;
 Verificar em sites especializados e em publicações da área se o e-mail recebido já
não está catalogado como um boato.
6.0.Responsabilidade
Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o
suporte de todos os níveis de empregados dentro da organização. É especialmente importante
que a gerência corporativa suporte de forma completa o processo da política de segurança, caso
contrário haverá pouca chance que ela tenha o impacto desejado. A seguinte lista de indivíduos
que deveriam estar envolvidas na criação e revisão dos documentos da política de segurança:
 O administrador de segurança do site;
 O pessoal técnico de tecnologia da informação;
 Os Administradores de grandes grupos de usuários dentro da organização;
 A equipe de reação a incidentes de segurança;
 Os Representantes de grupos de usuários afetados pela política de segurança;
 O Conselho Legal.
A ideia é trazer representações dos membros, gerentes com autoridade sobre o orçamento e
política, pessoal técnico que saiba o que pode e o que não pode ser suportado, e o conselho
legal que conheça as decorrências legais das várias políticas. Em algumas organizações, pode
ser apropriado incluir pessoal de auditoria. Envolver este grupo é importante se as políticas
resultantes deverão alcançar a maior aceitabilidade possível. Também é importante mencionar
que o papel do conselho legal irá variar de país para país.
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
7.0.Conclusão
A segurança informática é de facto uma problemática bastante complexa. Como já foi referido,
não existem soluções concretas para fazer face aos “ataques”, e para posteriormente podermos
afirmar ser fiável falar em segurança informática. Existem sim, procedimentos e ações que
apenas tentam minimizar os riscos provenientes de tais situações.
O grande problema reside no facto de, existir grande dificuldade em identificar uma pessoa na
organização que seja o responsável global pela segurança, física e informática. Enquanto houver
responsabilidades distribuídas por diversas pessoas, com escasso poder de decisão e visão
restritiva da segurança, o resultado não será brilhante e a situação atual manter-se-á, ou seja, os
riscos e as ameaças de “ataques”, continuarão a existir, e a crescer, e continuará a existir uma
ausência de medidas proporcionais do lado da proteção.
5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco
Xavier; Luísa Brito.
8.0.Bibliografia
Henrique São Mamede, Segurança Informática nas Organizações, 978-972-722-441-8;
Cláudia Dias, Segurança e Auditoria da Tecnologia da Informação, 2000, Editora: Axcel
Books 142, ISBN 85-7323-231-9
Brostoff, S. (2004). Improving password system effectiveness. Tese de Doutorado. University
College London.
Morris, R. & Thompson, K. (1979). Password security: a case history. Communications of the
ACM, 22, 594-597.
Sieberg, D. (2005). Hackers shift focus to financial gain. CNN.com - Special Reports - Online
Security. Publicado em 26 de setembro de 2005.
Smith, R.E. (2002). The strong password dilemma. Authentication: From Passwords to Public
Keys. Chapter 6. Addison-Wesley.

Mais conteúdo relacionado

Mais procurados

Segurança e Auditoria de Sistemas - Aula 03
Segurança e Auditoria de Sistemas - Aula 03Segurança e Auditoria de Sistemas - Aula 03
Segurança e Auditoria de Sistemas - Aula 03Ana Caroline GTI - EAD
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa
 
Palestra mau uso da tecnologia
Palestra mau uso da tecnologiaPalestra mau uso da tecnologia
Palestra mau uso da tecnologiaLuiz Arthur
 
Aspectos Juridicos do BYOD
Aspectos Juridicos do BYOD Aspectos Juridicos do BYOD
Aspectos Juridicos do BYOD Cristina Sleiman
 
[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1TI Safe
 
Cartilha Seguranca Cibernetica - FIESP
Cartilha Seguranca Cibernetica - FIESPCartilha Seguranca Cibernetica - FIESP
Cartilha Seguranca Cibernetica - FIESPJoão Rufino de Sales
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TIEberson Pereira
 
Segurança da Informação Basica para Organização
Segurança da Informação Basica para OrganizaçãoSegurança da Informação Basica para Organização
Segurança da Informação Basica para Organizaçãoyusefsad
 
Trabalho de Segurança da Informação
Trabalho de Segurança da InformaçãoTrabalho de Segurança da Informação
Trabalho de Segurança da InformaçãoAnderson Zardo
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 

Mais procurados (20)

Segurança e Auditoria de Sistemas - Aula 03
Segurança e Auditoria de Sistemas - Aula 03Segurança e Auditoria de Sistemas - Aula 03
Segurança e Auditoria de Sistemas - Aula 03
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informação
 
Palestra mau uso da tecnologia
Palestra mau uso da tecnologiaPalestra mau uso da tecnologia
Palestra mau uso da tecnologia
 
Aspectos Juridicos do BYOD
Aspectos Juridicos do BYOD Aspectos Juridicos do BYOD
Aspectos Juridicos do BYOD
 
[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1
 
Cartilha Seguranca Cibernetica - FIESP
Cartilha Seguranca Cibernetica - FIESPCartilha Seguranca Cibernetica - FIESP
Cartilha Seguranca Cibernetica - FIESP
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Políticas de segurança TI
Políticas de segurança TIPolíticas de segurança TI
Políticas de segurança TI
 
Segurança da Informação Basica para Organização
Segurança da Informação Basica para OrganizaçãoSegurança da Informação Basica para Organização
Segurança da Informação Basica para Organização
 
Trabalho de Segurança da Informação
Trabalho de Segurança da InformaçãoTrabalho de Segurança da Informação
Trabalho de Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 

Semelhante a Politica de seguranca

Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
segurança em redes.pptx
segurança em redes.pptxsegurança em redes.pptx
segurança em redes.pptxcasa46
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01profandreson
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Reconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosReconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosodilon_amt
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresBruno Dos Anjos Silveira
 

Semelhante a Politica de seguranca (20)

Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
boas-praticas-iii.pdf
boas-praticas-iii.pdfboas-praticas-iii.pdf
boas-praticas-iii.pdf
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio  Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
segurança em redes.pptx
segurança em redes.pptxsegurança em redes.pptx
segurança em redes.pptx
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Internet
InternetInternet
Internet
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Reconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosReconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernos
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 

Politica de seguranca

  • 1. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. Índice 1.0. Introdução..........................................................................................................................2 2.0. Segurança de Informação..................................................................................................3 3.0. Politica de Segurança ........................................................................................................3 3.1. Política de Uso Aceitável (PUA)...................................................................................4 3.2. Uso abusivo da rede.......................................................................................................4 4.0. Logs & sistema de detecção de intrusão (IDS) .................................................................4 4.1. Atividades que podem gerar logs ..................................................................................5 5.0. Metodologia de Proteção...................................................................................................5 5.1. Método de Proteção.......................................................................................................5 5.1.1. Engenharia Social...................................................................................................5 5.1.2. Em caso de Transações Bancárias ou Comerciais .....................................................6 5.1.3. Em caso de Boatos .................................................................................................7 6.0. Responsabilidade...............................................................................................................7 7.0. Conclusão..........................................................................................................................8 8.0. Bibliografia........................................................................................................................9
  • 2. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 1.0.Introdução Com o aumento da utilização e dependência do computador traz uma preocupação básica e fundamental às organizações que é a segurança. A decisão da adoção ou não de uma política de segurança deve basear-se em uma avaliação de riscos, mediante custo e benefício. Feita essa análise, torna-se mais simples tomar uma decisão. É importante ter em mente que as ameaças não partem somente de autores externos. A segurança de qualquer sistema, em parte, está nas mãos das pessoas que o gerenciam e operam. Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. As decisões que nós como administrador tomamos ou deixamos de tomar, relacionadas à segurança, irão determinar quão segura ou insegura é a nossa rede, quantas funcionalidades ela irá oferecer, e qual será a facilidade de utilizá-la. No entanto, não conseguiremos tomar boas decisões sobre segurança, sem antes determinar quais são as suas metas de segurança. Até que determinemos quais sejam elas, não faremos uso efetivo de qualquer coleção de ferramentas de segurança pois simplesmente não saberemos o que checar e quais restrições impor.
  • 3. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 2.0.Segurança de Informação Segundo ABNT NBR ISO/IEC 27002:2005, “Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.” Os princípios da segurança da informação abrangem, basicamente, os seguintes aspetos: 1º. Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações; 2º. Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação; 3º. Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado. 3.0. Politica de Segurança A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. Uma política de segurança também deve prever o que pode ou não ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança é considerado um incidente de segurança. Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política.
  • 4. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 3.1.Política de Uso Aceitável (PUA) A política de uso aceitável (AUP, de Acceptable Use Policy) é um documento que define como os recursos computacionais de uma organização podem ser utilizados. Também é ela quem define os direitos e responsabilidades dos usuários. Os provedores de acesso à Internet normalmente deixam suas políticas de uso aceitável disponíveis em suas páginas. Empresas costumam dar conhecimento da política de uso aceitável no momento da contratação ou quando o funcionário começa a utilizar os recursos computacionais da empresa. 3.2.Uso abusivo da rede Internamente às empresas e instituições tem situações que caracterizam o uso abusivo da rede, estas estão definidas na política de uso aceitável. Na Internet como um todo, os comportamentos listados abaixo são geralmente considerados como uso abusivo:  Envio de Spam;  Envio de correntes da felicidade e de correntes para ganhar dinheiro rápido;  Cópia e distribuição não autorizada de material protegido por direitos autorais;  Utilização da Internet para fazer difamação, calúnia e ameaças;  Tentativas de ataques a outros computadores;  Comprometimento de computadores ou redes. 4.0.Logs & sistema de detecção de intrusão (IDS) Os logs são registros de atividades gerados por programas de computador. No caso de logs relativos a incidentes de segurança, eles normalmente são gerados por firewalls ou por sistemas de detecção de intrusão. Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um conjunto de programas, cuja função é detectar atividades incorretas, maliciosas ou anômalas.
  • 5. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede. 4.1.Atividades que podem gerar logs Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta acessar um computador e este acesso é barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de ataque. Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de ataques, quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. 5.0.Metodologia de Proteção A metodologia a ser utilizada para elaboração do plano de segurança procura abranger os seguintes itens:  Análise de riscos, através da identificação, probabilidade de ocorrências e consequências, das ameaças existentes;  Verificação e avaliação das medidas de proteção existente na área de informática;  Estabelecimento de prioridades de proteção;  Determinação dos requisitos de segurança;  Conscientização e treinamento de pessoal;  Simulação e testes periódicos; 5.1.Método de Proteção 5.1.1. Engenharia Social Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter
  • 6. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Neste caso devemos prestar atenção nos métodos seguintes:  Não fornecer dados pessoais, números de cartões e senhas através de contato telefônico;  Ficar atento a e-mails ou telefonemas solicitando informações pessoais;  Não acessar sites ou seguir links recebidos por e-mail ou presentes em páginas sobre as quais não se saiba a procedência;  Sempre que houver dúvida sobre a real identidade do autor de uma mensagem ou ligação telefônica, entrar em contato com a instituição, provedor ou empresa para verificar a veracidade dos fatos. 5.1.2. Em caso de Transações Bancárias ou Comerciais  Seguir todas as recomendações sobre utilização do browser de maneira segura;  Estar atento e prevenir-se dos ataques de engenharia social;  Realizar transações somente em sites de instituições que você considere confiáveis;  Certificar-se de que o endereço apresentado em seu browser corresponde ao site que você realmente quer acessar, antes de realizar qualquer ação;  Antes de aceitar um novo certificado, verificar junto à instituição que mantém o site sobre sua emissão e quais são os dados nele contidos;  Procurar sempre digitar em seu browser o endereço desejado. Não utilize links em páginas de terceiros ou recebidos por e-mail;  Certificar-se que o site faz uso de conexão segura, ou seja, que os dados transmitidos entre seu browser e o site serão criptografados e utiliza um tamanho de chave considerado seguro;  Verificar o certificado do site, para assegurar-se que ele foi emitido para a instituição que se deseja acessar e está dentro do prazo de validade;  Não acessar sites de comércio eletrônico ou Internet Banking através de computadores de terceiros;
  • 7. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito.  Desligar sua webcam (caso vecê possua alguma), ao acessar um site de comércio eletrônico ou Internet banking. 5.1.3. Em caso de Boatos  Verificar sempre a procedência da mensagem e se o fato sendo descrito é verídico;  Verificar em sites especializados e em publicações da área se o e-mail recebido já não está catalogado como um boato. 6.0.Responsabilidade Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. É especialmente importante que a gerência corporativa suporte de forma completa o processo da política de segurança, caso contrário haverá pouca chance que ela tenha o impacto desejado. A seguinte lista de indivíduos que deveriam estar envolvidas na criação e revisão dos documentos da política de segurança:  O administrador de segurança do site;  O pessoal técnico de tecnologia da informação;  Os Administradores de grandes grupos de usuários dentro da organização;  A equipe de reação a incidentes de segurança;  Os Representantes de grupos de usuários afetados pela política de segurança;  O Conselho Legal. A ideia é trazer representações dos membros, gerentes com autoridade sobre o orçamento e política, pessoal técnico que saiba o que pode e o que não pode ser suportado, e o conselho legal que conheça as decorrências legais das várias políticas. Em algumas organizações, pode ser apropriado incluir pessoal de auditoria. Envolver este grupo é importante se as políticas resultantes deverão alcançar a maior aceitabilidade possível. Também é importante mencionar que o papel do conselho legal irá variar de país para país.
  • 8. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 7.0.Conclusão A segurança informática é de facto uma problemática bastante complexa. Como já foi referido, não existem soluções concretas para fazer face aos “ataques”, e para posteriormente podermos afirmar ser fiável falar em segurança informática. Existem sim, procedimentos e ações que apenas tentam minimizar os riscos provenientes de tais situações. O grande problema reside no facto de, existir grande dificuldade em identificar uma pessoa na organização que seja o responsável global pela segurança, física e informática. Enquanto houver responsabilidades distribuídas por diversas pessoas, com escasso poder de decisão e visão restritiva da segurança, o resultado não será brilhante e a situação atual manter-se-á, ou seja, os riscos e as ameaças de “ataques”, continuarão a existir, e a crescer, e continuará a existir uma ausência de medidas proporcionais do lado da proteção.
  • 9. 5º Grupo: Segurança Informática. António Armando M. Andrade; Jacinto de Alves Manuel Francisco Xavier; Luísa Brito. 8.0.Bibliografia Henrique São Mamede, Segurança Informática nas Organizações, 978-972-722-441-8; Cláudia Dias, Segurança e Auditoria da Tecnologia da Informação, 2000, Editora: Axcel Books 142, ISBN 85-7323-231-9 Brostoff, S. (2004). Improving password system effectiveness. Tese de Doutorado. University College London. Morris, R. & Thompson, K. (1979). Password security: a case history. Communications of the ACM, 22, 594-597. Sieberg, D. (2005). Hackers shift focus to financial gain. CNN.com - Special Reports - Online Security. Publicado em 26 de setembro de 2005. Smith, R.E. (2002). The strong password dilemma. Authentication: From Passwords to Public Keys. Chapter 6. Addison-Wesley.