FABRÍCIO SANTANA
Ementa
 Introdução a Segurança — Princípios básicos, ameaças e ataques,






políticas de segurança;
Mecanismos — Compromisso de terceiro, autenticação, firewalls,
controle de acesso, segurança física e de pessoal, detecção informe e
registro de eventos;
Criptografia — Criptografia Simétrica (DES), Criptografia Assimétrica
(RSA), Infraestrutura de Chaves Públicas (CA, LDAP)
Segurança na Internet — VPN, SSL, S/KEY, SET;
Segurança de redes wireless – Tipos de protocolos e mecanismos de
segurança;
Proteção — Itens a serem protegidos, vulnerabilidades de protocolos,
vulnerabilidades de S.O., Relacionamento das aplicações com os
mecanismos de segurança, tipos de proteção, arquitetura de proteção;
Auditoria em Segurança da Informação.
Objetivos
 Introduzir os alunos nos conceitos básico de segurança
da informação;
 Capacitar os alunos a planejar e executar um projeto de
segurança em uma empresa;
Avaliação
 Trabalho em equipe – peso 20;
 Prova escrita individual – peso 40;
 Trabalho final do semestre – peso 40.
As 3 Principais Propriedades da
Segurança da Informação
 Confidencialidade: Apenas pessoas explicitamente
autorizadas tem acesso a informação
 Integridade: A informação acessada está completa,
sem alterações e, portanto, confiável.
 Disponibilidade: Está accessível, para pessoas
autorizadas, sempre que necessário.
Confidencialidade
 Ferramentas que garantem confidencialidade:
 Encriptação
 Controle de acesso
 Autenticação
 Autorização
 Segurança física
Integridade
 Ferramentas específicas para apoiar a integridade:
 Cópias de segurança
 Somas de verificação (Checksums)
 Códigos de correção de dados
Disponibilidade
“Informação encarcerada em um cofre de ferro fundido
em uma montanha tibetana e protegida durante o dia
inteiro por um esquadrão de ninjas devotados pode ser
considerada segura” (GOODRICH, TAMASSIA;
Introdução à segurança de computadores, 2011)
 Ferramentas para prover disponibilidade:
 Redundância
 Contingência
 Proteções físicas
Princípios Complementares da
Segurança da Informação
 Autenticidade: É preciso possuir mecanismos para
verificar a identidade reclamada por uma entidade do
sistema;
 Controle de Acesso: O acesso à informação deverá ser
controlada de acordo os privilégios necessários à
entidade relacionada;
 Não-repúdio: Mecanismo que deve garantir que uma
entidade não pode negar o envolvimento numa
transação.
ESTRATÉGICO: GOVERNANÇA,
NORMAS, (COBIT, ITIL, GRC)
TÁTICO: POLÍTICAS DE
SEGURANÇA, MAPEAMENTO
DE RISCOS, PLANOS DE
CONTINGÊNCIAS
OPERACIONAL:
FERRAMENTAS, CERTIFICADOS,
CRIPTOGRAFIA
AÇÕES
DEFINIÇÕES
Aplicação da Segurança da
Informação em Níveis
Conceitos de Segurança da
Informação
 Ativo
 Incidente
 Ameaça
 Vulnerabilidade
 Probabilidade
 Impacto
 Risco
Ativo
 É qualquer elemento que possui valor para a
organização e consequentemente necessita ser
adequadamente protegido.
 Na sociedade atual, a informação é o principal ativo da
empresa e está sob constante risco. A informação
representa a inteligência competitiva dos negócios e é
reconhecida como ativo crítico para a continuidade
operacional e saúde da empresa. Dispor da informação
correta, na hora adequada, significa tomar uma
decisão de forma ágil e eficiente.
Incidente
 Em segurança da informação, um incidente é qualquer
acontecimento que prejudique o andamento normal
dos sistemas e/ou do negócio.
 Ex.: Uma falha de segurança no Yahoo! causou o
vazamento de mais de 453 mil dados de usuários
de diversos serviços oferecidos pelo portal, segundo o
Ars Technica. Fonte: Olhar Digital. Julho/2012
Ameaça
 Em inglês, utiliza-se termo “threat” para definir ameaça.
 É qualquer ação, acontecimento ou entidade que possa agir
sobre um ativo, processo ou pessoa, através de uma
vulnerabilidade e conseqüentemente gerando um
determinado impacto. As ameaças apenas existem se
houverem vulnerabilidades, sozinhas pouco fazem.
 Ex.: A companhia de segurança Trusteer está alertando
sobre um vírus para Android que está sendo distribuído
por criminosos e tem como alvo sistemas de
autenticação por SMS empregados por bancos
europeus para verificar transferências online. Fonte:
IDG Now!
Ameaças
 Tipos de ameaças:
 Naturais – Ameaças decorrentes de fenômenos da
natureza, como incêndios naturais, enchentes,
terremotos, tempestades, poluição, etc.
 Involuntárias – Ameaças inconscientes, quase sempre
causadas pelo desconhecimento. Podem ser causados
por acidentes, erros, falta de energia, etc.
 Voluntárias – Ameaças propositais causadas por agentes
humanos como hackers, invasores, Espiões, ladrões,
criadores e disseminadores de vírus de computador,
incendiários.
Vulnerabilidade
 A vulnerabilidade é o ponto onde qualquer sistema é
suscetível a um ataque ou falha, ou seja, é uma condição de
risco encontrada em determinados recursos, processos,
configurações, etc.
 Cada vez mais crackers buscam vulnerabilidades
multiplataforma. Utilizando falhas já corrigidas por
fornecedores, criminosos se aproveitam da negligência de
usuários, que não atualizam seus softwares quando
necessário.Cada vez mais crackers estão escolhendo como
alvo as mesmas vulnerabilidades de aplicativos em Macs e
Pcs com Windows, visando benefícios financeiros e para
desenvolver malwares multiplataforma. Fonte: IDG Now!
Agosto/2012.
Vulnerabilidade
 Conceito de vulnerabilidade
 Principais origens
 Deficiência de projeto: brechas no hardware/software
 Deficiência de implementação: instalação/configuração
incorreta, por inexperiência, falta de treinamento ou
desleixo
 Deficiência de gerenciamento: procedimentos
inadequados, verificações e monitoramento
insuficientes
Vulnerabilidades
Probabilidade
 A probabilidade é a chance de uma falha de segurança
ocorrer levando-se em conta o grau das
vulnerabilidades presentes nos ativos que sustentam o
negócio e o grau das ameaças que possam explorar
estas vulnerabilidades.
Impacto
 São as potenciais consequências que este incidente
possa causar ao negócio da organização.
 Ex.: Alguns impactos resultantes da invasão da rede
Playstation Network da Sony:
 Exposição de dados sigilosos de 77 milhões de usuários;
 Serviço indisponível por três semanas;
 Segundo a Forbes, o prejuízo financeiro pode alcançar,
no pior cenário, 24 bilhões de dólares.
Risco
 Uma expectativa de perda expressada como a probabilidade de
que uma ameaça em particular poderá explorar uma
vulnerabilidade com um possível prejuízo;
 Risco pode se definido como uma medida da incerteza associada
aos retornos esperados de investimentos (Duarte Júnior, 2004);
 Subentende-se por risco, o nível do perigo combinado com: (1) a
probabilidade de o perigo levar a um acidente e, (2) a exposição
ou duração ao perigo (algumas vezes denominado de latente);
algumas vezes, o risco é limitado ao relacionamento entre o
perigo e o acidente, ou seja, a probabilidade do perigo conduzir a
um acidente, mas não da probabilidade do perigo ocorrer
(Leveson et al, 1997);
 Conforme (Scoy, 1992), risco não é ruim por definição, o risco é
essencial para o progresso e as falhas decorrentes são parte de um
processo de aprendizado.
Ataques
 Conceito
 Tipos de ataques
 Passivo

Interceptação, monitoramento, análise de tráfego (origem,
destino, tamanho, freqüência)
 Ativo

Adulteração, fraude, reprodução (imitação), bloqueio
Ataques
 Ataques sobre o fluxo de informação
 Interrupção: ataca a disponibilidade
 Interceptação: ataca a confidencialidade
 Modificação: ataca a integridade
 Fabricação: ataca a autenticidade
Exemplos de Ataques / Ameaças










Vírus
Verme (Worm)
Cavalo de Tróia (Trojan Horse)
Malware
Back Door (Porta dos Fundos) ou Trap Door (Armadilha,
Alçapão)
Bomba Lógica
Port Scanning (Varredura de Portas)
Spoofs (Falsificação ou Disfarce de identidade)
DNS Spoof
Quebra de Senha (Password Cracking)
Exemplos de Ataques / Ameaças
 Engenharia Social
 Sniffing (Monitoramento, “Grampo”)
 Web Site Defacement
 DoS - Denial of Service (Interrupção de Serviço)
 SPAM / Junk Mail
 Mensagem-Bomba (Mail Bomb)
 War Dialing
 Injeção de SQL (SQL Injection)
 Exploit
Exemplos de Ataques / Ameaças
Exemplos de Ataques / Ameaças
Exemplos de Ataques / Ameaças
 Depois de atacar ao longo da semana o Itaú, Bradesco, Banco do Brasil e HSBC, o grupo
de hackers Anonymous assumiu nesta sexta-feira (3/02), em sua página no Twitter, o
ataque aos sites do Citibank, Panamericano, BMG, Febraban, Cielo e Redecard. É a
primeira vez que o grupo afirma fazer ataques simultâneos. Testes feitos porÉpoca
NEGÓCIOS mostraram que os sites não estavam acessíveis.
 A assessoria de imprensa do Panamericano declarou que o site estava indisponível,
possivelmente por sobrecarga de acessos. A Febraban também apontou volume de
acessos acima do normal no começo da tarde, mas rechaçou que os sistemas internos não
haviam sido afetados.
 O Citibank informou que sofreu uma interrupção temporária no serviço, mas que
conseguiu restaurar as operações no prazo de uma hora. Também não houve problema na
integridade dos dados dos clientes. O comunicado oficial da Cieloapontou que o site foi
restabelecido após ter ficado temporariamente indisponível na tarde desta sexta-feira,
devido a um volume de acessos acima do normal.
 A assessoria de imprensa do BMG também relatou sobrecarga de acessos, acrescendo que
a segurança operacional não havia sido afetada. A Redecard também apontou
sobrecarga e relatou que houve apenas uma intermitência no site, o que não prejudicou
as transações da rede de pagamentos.
 Fonte: Amanda Camasmie, para o site Época Negócios
Fonte: Computer Crime and Security Survey, 2010
Fonte: Módulo – 10ª Pesquisa Anual de Segurança da Informação, Dezembro de 2007
Trabalho – 08, 15 e 17/09/2015
1
5
3
2
4
FIM
Equipe 1 – Vírus, Vermes, Adwares,
Spywares e Trojans






Data: 08/09/2015
Tempo: 20 minutos
Conceitue a ameaça
Que tipo de vulnerabilidades são exploradas
Como evitar a ameaça
Relacionar 5 notícias ou matérias relevantes dos últimos 3
anos relacionadas ao tema (apresentar data da publicação,
jornalista ou fonte e veículo de comunicação)

Membros:




Uso de Recursos:
Postura:
Conteúdo:
Domínio do Tema:
Voltar
Equipe 2 - DNS Cache Poisoning e
DNS Spoofing






Data: 08/09/2015
Tempo: 20 minutos
Conceitue a ameaça
Que tipo de vulnerabilidades são exploradas
Como evitar a ameaça
Relacionar 5 notícias ou matérias relevantes dos últimos 3
anos relacionadas ao tema (apresentar data da publicação,
jornalista ou fonte e veículo de comunicação)

Membros:




Uso de Recursos:
Postura:
Conteúdo:
Domínio do Tema:
Voltar
Equipe 3 - SQL Injection






Data: 15/09/2015
Tempo: 20 minutos
Conceitue a ameaça
Que tipo de vulnerabilidades são exploradas
Como evitar a ameaça
Relacionar 5 notícias ou matérias relevantes dos últimos 3
anos relacionadas ao tema (apresentar data da publicação,
jornalista ou fonte e veículo de comunicação)

Membros:




Uso de Recursos:
Postura:
Conteúdo:
Domínio do Tema:
Voltar
Equipe 4 - Negação de Serviço (DoS
- Denial of Service






Data: 15/09/2015
Tempo: 20 minutos
Conceitue a ameaça
Que tipo de vulnerabilidades são exploradas
Como evitar a ameaça
Relacionar 5 notícias ou matérias relevantes dos últimos 3
anos relacionadas ao tema (apresentar data da publicação,
jornalista ou fonte e veículo de comunicação)

Membros:




Uso de Recursos:
Postura:
Conteúdo:
Domínio do Tema:
Voltar
Equipe 5 – Engenharia Social






Data: 17/09/2015
Tempo: 20 minutos
Conceitue a ameaça
Que tipo de vulnerabilidades são exploradas
Como evitar a ameaça
Relacionar 5 notícias ou matérias relevantes dos últimos 3
anos relacionadas ao tema (apresentar data da publicação,
jornalista ou fonte e veículo de comunicação)

Membros:




Uso de Recursos:
Postura:
Conteúdo:
Domínio do Tema:
Voltar
Medidas de Segurança
 Conceito
 Objetivos:
 Reduzir vulnerabilidades;
 Minimizar os riscos;
 Limitar impactos.
 Características:
 Preventivas;
 Detectáveis;
 Corretivas.
Autenticação
 A autenticação é o processo de verificação da
identidade de um usuário, isto é, garantir que um
usuário é de fato quem diz ser.
Autenticação
 SYK – Something You Know (“algo que você sabe”):
estas técnicas de autenticação são baseadas em
informações conhecidas pelo usuário, como seu
nome de login e sua senha.
Autenticação
 SYH – Something You Have (“algo que você tem”):
são técnicas que se baseiam na posse de alguma
informação mais complexa, como um certificado
digital ou uma chave criptográfica, ou algum
dispositivo material, como um smartcard, um
cartão magnético, um código de barras, etc.
Autenticação
 SYA – Something You Are (“algo que você é”): se
baseiam em características intrinsecamente
associadas ao usuário, como seus dados
biométricos: impressão digital, padrão da íris,
timbre de voz, etc.
Firewall
 Conceito
 Essencial, porém não o bastante
 Pode ser usado para ajudar a impedir que sua rede ou
seu computador seja acessado sem autorização.
 É possível evitar que os usuários acessem serviços ou
sistemas indevidos, permitindo auditoria.
Firewall
 Um firewall pode ser um PC, um roteador, um
servidor, um appliance ou a combinação destes que
determine qual informação ou serviços podem ser
acessados de fora e a quem é permitido usar a
informação e os serviços de fora.
Firewall
Características do Firewall
 Todo tráfego entre a rede interna e a externa (entrada e
saída) deve passar pelo Firewall
 Somente o tráfego autorizado passará pelo Firewall,
todo o resto será bloqueado
 O Firewall em si deve ser seguro e impenetrável
Controles do Firewall
 Controle de Serviço: determina quais serviços Internet
(tipos) estarão disponíveis para acesso
 Controle de Sentido: determina o sentido de fluxo no
qual serviços podem ser iniciados
 Controle de Usuário: controla o acesso baseado em
qual usuário está requerendo (tipicamente os internos,
ou externo via VPN)
 Controle de Comportamento: controla como cada
serviço pode ser usado (ex: anti-spam)
Limitações de um Firewall
 O Firewall não protege contra ameaças internas
 O Firewall não protege contra transferência de
arquivos infectados por vírus, pois seria impraticável
analisar o conteúdo de tudo que trafega
Tipos de Firewall
 Filtragem de pacotes
 Firewalls de aplicação
 Firewalls baseados no estado
Filtragem de Pacotes
 Regras que avaliam as informações no cabeçalho de um
pacote toda vez que um chega ao firewall, para então ser
decidido se é permitido ou não a sua passagem.
 Caso seja permitido a passagem do pacote, ele toma o seu
caminho normalmente. Porém nenhum pacote passa por
roteador ou firewall sem sofrer algumas modificações.
 Antes do pacote tomar o seu caminho o roteador ou
firewall reduz o valor da TTL (Time-To-Live) no cabeçalho
em pelo menos 1. Se o TTL, que o emissor provavelmente
configurou como 128, atingir a marca de 0, o pacote é
descartado.
Filtragem de Pacotes
 IP de origem: É o endereço de IP que o pacote lista como seu emissor.
 IP de destino: É o endereço de IP para onde o pacote está sendo




mandado.
ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários
cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio
ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e
UDP (ID 17).
Numero de portas TCP ou UDP : O numero da porta indica que tipo
de serviço o pacote é destinado.
Flag de fragmentação: Pacotes podem ser quebrados em pacotes
menores.
Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser
especificadas nesse campo. Essas opções são apenas usadas para
diagnóstico, de forma que o firewall possa descartar pacotes com
opções de IP determinadas.
Firewalls de Aplicação
 Com a utilização deste tipo de firewall, podemos
usufruir da filtragem na base em informação de nível
de aplicação (por exemplo, com base em URLS dentro
de um servidor, possibilita o estabelecimento de zonas
com diferentes tipos de acesso);
 Possibilita o modo de acordo com a informação e não
simplesmente com base em regras de acesso estáticas;
 Possibilidade de funcionarem como repositórios
(arquivos) temporários ocorrendo melhorias
significativas ao longo do seu desempenho.
Firewall baseado em estado
 Firewall de Pacotes + Firewall de Aplicação
 Possibilita o funcionamento ao nível da aplicação de
uma forma dinâmica;
 Inclui funcionalidades de encriptação e
encapsulamento e balanceamento de carga;
 A manutenção e configuração requerem menos
complexas operações.
 Alto custo
IDS – Intrusion Detection Systems
 Conceito
 Tipos:
 IDS localizados em hosts (H-IDS)
 IDS localizados na rede (N-IDS)
 IDS Híbridos
IDS baseados em Host
 Conceito
 Mais empregados nos casos em que a segurança está
focada em informações contidas em um servidor e os
usuários não precisam ser monitorados;
 Aplicado em redes onde a velocidade de transmissão é
muito alta como em redes “Gigabit Ethernet”;
 Usados também quando não se confia na segurança
corporativa da rede em que o servidor está instalado.
Verificações dos IDS baseados em
Host
 Acesso a arquivos.
 Integridade de arquivos.
 Varredura de portas
 Modificação e privilégios de usuários.
 Processos do sistema.
 Execução de programas.
 Uso de CPU.
 Conexões.
Vantagens do IDS baseado em Host
 Ataques que ocorrem fisicamente num servidor




podem ser detectados.
Ataques que utilizam criptografia podem não ser
notados pelos NIDS, mas descobertos pelos HIDS, pois
o SO primeiro decifra os pacotes.
Independem da topologia da rede.
Geram poucos “falsos positivos”, que são alarmes falsos
de ataques.
Não necessita de hardware adicional.
Desvantagens do IDS baseado em
Host
 São de difícil monitoramento, já que em cada estação




deve ser instalado e configurado um IDS;
Podem ser desativados por DoS;
Recursos computacionais são consumidos nas estações
monitoradas, com diminuição do desempenho;
O IDS pode ser atacado e desativado, escondendo um
ataque, se as fontes de informações residirem na
estação monitorada;
Fica difícil de configurar e gerenciar em todos os hosts
de uma rede.
Desvantagens do IDS baseado em
Host
 Necessita de espaço de armazenamento adicional para
os registros do sistema.
 É dependente do SO. HIDS para Linux é diferente de
um HIDS Windows.
 Não têm bom desempenho em sistemas operacionais
que geram poucas informações de auditoria.
 Apresenta diminuição do desempenho do host
monitorado.
Componentes dos IDS baseados
em rede
 Os sensores que cuidam dos segmentos de redes,
fazem a captura, formatação de dados e análise de
tráfego.
 Gerenciador: fazem com que os sensores sejam
administrados de modo integrado, com a definição dos
tipos de resposta para cada tipo de comportamento
suspeito detectado.
 A comunicação entre sensores e gerenciador é
criptografada.
Vantagens do IDS baseado em rede
 Com um bom posicionamento, pode haver apenas




poucos IDS instalados para monitorar uma rede
grande
Um pequeno impacto é provocado na rede com a
instalação desses IDS, pois são passivos, e não
interferem no funcionamento da rede
Difíceis de serem percebidos por atacantes e com
grande segurança contra ataques
Pode detectar tentativas de ataques (ataques que não
tiveram resultados).
Fica mais difícil um invasor apagar seu rastro.
Desvantagens do IDS baseado em
rede
 Podem falhar em reconhecer um ataque em um
momento de trafego intenso;
 Em redes mais modernas baseadas em switches,
algumas das vantagens desse tipo de IDS não se
aplicam;
 Não conseguem analisar informações criptografadas,
sendo um grande problema, visto que muitos
atacantes utilizam criptografia em suas invasões;
 Grande parte não pode informar se o ataque foi ou não
bem sucedido, podendo apenas alertar quando o
ataque foi iniciado.
Exemplos de IDS baseados em
hosts




Tripwire
Swatch
Portsentry
OSSEC-HIDS
Exemplos de IDS baseados em rede
 Snort
 RealSecure
 NFR
Exemplo de ambiente híbrido
 OSSEC-HIDS + Snort
Formas de detecção
 Detecção por Assinatura
 Busca de eventos que correspondam a padrões pré-definidos
de ataques e outras atividades maliciosas.;
 Se limita a detectar somente ataques conhecidos (assinaturas
conhecidas).
 Detecção por Anomalias
 Ataques são ações diferentes das atividades normais de
sistemas;
 IDS baseado em anomalias monta um perfil que representa o
comportamento rotineiro de um usuário, Host e/ou conexão
de rede.
 A principal desvantagem é a geração de um grande número de
alarmes falsos devido ao comportamento imprevisível de
usuários e do próprio sistema.
Honeypots
 Funcionam como armadilhas para os crackers.
 Não contém dados ou informações importantes para a
organização.
 Seu único propósito é passar-se por um equipamento
legítimo da organização.
 É configurado para interagir como o atacante.
 Detalhes de ataques podem ser capturados e
estudados.
Backup
 Falhas técnicas: falha no disco rígido (HD), falha de
energia, sobrecarga na rede de computadores que
pode gerar falhas de comunicação e de software;
 Falhas ambientais: descargas elétricas provindas de
raios, enchentes, incêndios;
 Falhas humanas: detém 84% das perdas de dados e
são devidas à exclusão ou modificação de dados
acidental ou mal-intencionada, vírus, roubo de
equipamentos e sabotagem.
Tipos de Backup
 Backup normal
 Backup diferencial
 Backup incremental
Backup Normal
 Um backup normal copia todos os arquivos
selecionados e os marca como arquivos que passaram
por backup (ou seja, o atributo de arquivo é
desmarcado). Com backups normais, você só precisa
da cópia mais recente do arquivo ou da fita de backup
para restaurar todos os arquivos. Geralmente, o backup
normal é executado quando você cria um conjunto de
backup pela primeira vez.
Backup Normal
 VANTAGENS: Os arquivos são mais fáceis de localizar
porque estão na mídia de backup atual. Requer apenas
uma mídia ou um conjunto de mídia para a
recuperação dos arquivos.
 DESVANTAGENS: É demorado. Se os arquivos forem
alterados com pouca freqüência, os backups serão
quase idênticos.
Backup Diferencial
 Um backup diferencial copia arquivos criados ou
alterados desde o último backup normal ou
incremental. Não marca os arquivos como arquivos
que passaram por backup (o atributo de arquivo não é
desmarcado). Se você estiver executando uma
combinação dos backups normal e diferencial, a
restauração de arquivos e pastas exigirá o último
backup normal e o último backup diferencial.
Backup Diferencial
 VANTAGENS: A recuperação exige a mídia apenas dos
últimos backups normal e diferencial. Fornece
backups mais rápidos do que um backup normal.
 DESVANTAGENS: A restauração completa do sistema
pode levar mais tempo do que se for usado o backup
normal. Se ocorrerem muitas alterações nos dados, os
backups podem levar mais tempo do que backups do
tipo incremental.
Backup Incremental
 Um backup incremental copia somente os arquivos
criados ou alterados desde o último backup normal ou
incremental. e os marca como arquivos que passaram
por backup (o atributo de arquivo é desmarcado). Se
você utilizar uma combinação dos backups normal e
incremental, precisará do último conjunto de backup
normal e de todos os conjuntos de backups
incrementais para restaurar os dados.
Backup Incremental
 VANTAGENS: Requer a menor quantidade de
armazenamento de dados. Fornece os backups mais
rápidos.
 DESVANTAGENS: A restauração completa do sistema
pode levar mais tempo do que se for usado o backup
normal ou diferencial.
Periodicidade de Backup
 Frequência de Modificações X Importância da




Informação
Backup Diário
Backup Semanal
Backup Mensal
Backup Anual
Archive
 Copia ou move os arquivos de acordo com o conteúdo
real. Eles também localizam e retornam arquivos de
acordo com seu conteúdo, incluíndo autor, data e
outras tags customizadas.
Características a considerar na
implementação de um archive
 Ser Content-Aware. Por exemplo, ele deve indexar o
conteúdo dos documentos, não apenas os metadados
do sistema de arquivos.
 Preencher tags de metadados customizados extraindo
informações do conteúdo dos arquivos.
 Arquivar um subconjunto de dados (definido pela
política de archive) seletivamente para atender à
conformidade regulamentar e regras de governança
corporativa da informação.
 Proporcionar acesso rápido aos dados arquivados.
Criptografia
Criptografia
 Conceito
 Histórico
 Tipos
 Criptografia Simétrica;
 Criptografia Assimétrica
Conceituação
 kryptos (oculto, secreto), graphos (escrever).
 Texto aberto: mensagem ou informação a ocultar
 Texto cifrado: informação codificada;
 Cifrador: mecanismo responsável por cifrar/decifrar as
informações
 Chaves: elementos necessários para poder cifrar ou
decifrar as informações
 Espaço de chaves: O número de chaves possíveis para
um algoritmo de cifragem
Conceituação
 Algoritmo computacionalmente seguro
 Custo de quebrar excede o valor da informação
 O tempo para quebrar excede a vida útil da informação
 Meios de criptoanálise
 Força bruta
 Mensagem conhecida
 Mensagem escolhida (conhecida e apropriada)
 Análise matemática e estatística
 Engenharia social
 Conceitos para bom algoritmo de criptografia
 Confusão: transformações na cifra de forma irregular e complexa
 Difusão: pequena mudança na mensagem, grande na cifra
Histórico
 Cifrador de César
 mensagem aberta: Reunir todos os generais para o ataque
 mensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb p bubrvf
 mensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku rctc q cvcswg
 mensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv sdud r dwdtxh
Curiosidade
 Criptografia AES (Advanced Encryption Standard)
 Chaves de 128 bits, ou seja, espaço de chaves com 2128
possibilidades
 340.282.366.920.938.463.463.374.607.431.768.211.456
chaves diferentes
Tipos de Cifras
 Cifras de Transposição
 Cifras de Substituição:
 Cifra de substituição simples ou monoalfabética ;
 Cifra de substituição polialfabética;
 Cifra de substituição de polígramos ;
 Cifra de substituição por deslocamento.
Criptografia Simétrica
 Algoritmo
 É o próprio processo de substituição ou transposição.
 Consiste nos passos a serem tomados para realizar a
encriptação.
 Chave

Define o alfabeto cifrado exato que será utilizado numa
codificação em particular.
O algoritmo utilizado em um processo de encriptação pode
ser divulgado sem problemas. A chave, porém, deve ser uma
informação confidencial do remetente e do destinatário.
Desvantagens do Uso de Chaves
Simétricas
 Se uma pessoa quer se comunicar com outra com
segurança, ela deve passar primeiramente a chave
utilizada para cifrar a mensagem.
 Grandes grupos de usuários necessitam de um volume
grande de chaves, cujo gerenciamento é complexo
Criptografia Assimétrica
 Postulada pela primeira vez em meados de 1975 por
Withfield Diffie e Martin Hellman
 Algoritmos de chave pública e privada
 Baseada em princípios de manipulação matemática.
 Os algoritmos são computacionalmente pesados e
lentos.
Criptografia Assimétrica
Criptografia Assimétrica
 RSA Ron Rivest / Adi Shamir / Leonard Adleman
 Criado em 1977.
 É o algoritmo de chave pública mais utilizado.
 Utiliza números primos.
 A premissa por trás do RSA é que é fácil multiplicar dois
números primos para obter um terceiro número, mas
muito difícil recuperar os dois primos a partir daquele
terceiro número.
Criptografia Assimétrica
 Cerca de 95% dos sites de comércio eletrônico utilizam
chaves RSA de 512 bits.
 O desenvolvimento dos algoritmos de criptografia
assimétrica possibilitou o aparecimento de aplicações
que trafegam dados internet de forma segura,
notadamente do e-commerce.
Certificado Digital
 Assim como o RG ou o CPF identificam uma pessoa,
um certificado digital contém dados que funcionam
como um certificado físico, contendo informações
referentes a:
 pessoa ou entidade a quem foi emitido o certificado
digital e respectivo endereço;
 sua chave pública e respectiva validade;
 número de série; e
 nome da empresa que emitiu seu certificado (chamada
de Autoridade Certificadora, ou AC) com respectiva
assinatura digital.
Certificado Digital
 Qualquer modificação realizada em um certificado digital o
torna inválido e por isso é impossível falsificá-lo.
 O objetivo da assinatura digital no certificado é indicar que
uma outra entidade (a Autoridade Certificadora – AC)
garante a veracidade das informações nele contidas.
 Fazendo uma analogia, a AC faz o papel dos órgãos
públicos como a Secretaria de Segurança Pública quando
emite um RG, ou seja, ela garante quem você é, dando-lhe
legitimidade através de sua assinatura digital.
Assinatura Digital
 Um documento pode ser considerado genuíno quando
não sofreu alterações. No mundo real, a autenticidade
de um documento pode ser garantida pelo uso de
assinaturas, rubricas e marcas especiais.
 No mundo virtual, este item pode ser assegurado
através do uso de assinaturas digitais.
Assinatura Digital
 A assinatura digital visa garantir que um determinado
documento não seja alterado após assinado.
 Etapas:
 O autor, através de um software próprio, realiza uma
operação e faz um tipo de resumo dos dados do
documento que quer enviar, também chamado de
“função hash”.
 O Autor usa a chave privada de seu certificado digital
para encriptar este resumo.
Assinatura Digital
Complexidade de Senhas
 A função primordial da senha
 Métodos de quebra de senha:
 Dedução inteligente
 Ataques de dicionário
 Automatização ou Força Bruta
Sugestões para a criação de senhas
seguras
 Não utilize palavras existentes em dicionários nacionais ou





estrangeiros;
Não escreva suas senhas em papéis, muito menos salve na
máquina documentos digitais, como o Word ou o bloco de notas;
Não utilize informações pessoais fáceis de serem obtidas, tais
como: nome ou sobrenome do usuário, nome da esposa, filhos
ou animais de estimação, matrícula na empresa, números de
telefone, data de nascimento, cidades de origem, etc.;
Não utilize senhas constituídas somente por números ou
somente por letras;
Utilize senhas com, pelo menos, seis caracteres;
Misture caracteres em caixa baixa e alta (minúsculas e
maiúsculas);
Sugestões para a criação de senhas
seguras
 Crie senhas que contenham letras, números e caracteres especiais







(*,#,$,%...);
Inclua na senha, pelo menos, um caractere especial ou símbolo;
Utilize um método próprio para lembrar das senhas que dispense
registrar a mesma em qualquer local;
Não empregue senhas com números ou letras repetidos em sequência;
Não forneça sua senha para ninguém;
Altere as senhas, pelo menos, a cada 3 meses;
Utilize senhas que possam ser digitadas rapidamente, sem que seja
preciso olhar para o teclado;
Para facilita a memorização da senha é possível criar uma frase secreta e
extrair delas as iniciais de cada letra. Por exemplo da frase “É melhor 1
pássaro na mão do que 2 voando” se extrai “Em1pnmdq2v”.
Curiosidade
 http://www.nakedpassword.com/
Segurança em Redes Wireless
 Histórico e conceitos
 Popularização das redes wireless
 Facilidade na configuração dos equipamentos
Padrões
 802.11b
 Frequência: 2,4 GHz
 Velocidade: 11 Mbps
 802.11a
 Frequência: 5 GHz
 Velocidade: 54 Mbps
 802.11g
 Frequência: 2,4 GHz
 Velocidade: 54 Mbps
 802.11n
 Frequência: 2,4 e/ou 5 GHz
 Velocidade: até 300 Mbps
Protocolos de Segurança - WEP
 WEP (Wired Equivalent Privacy) – 1999
 Chave secreta de 40 bits segurança, considerada muito fraca;
 Cifra de fluxo RC4 como algoritmo de encriptação para prover
confidencialidade;
 Checksum CRC-32 para prover integridade.
 Deficiências:


Vulneráveis a ferramentas distribuídas gratuitamente pela internet,
como Airsnort, WEPCrack, Aircrack;
O checksum CRC também é considerado insuficiente para assegurar
que um atacante não fez nenhuma alteração na mensagem, pois não
é um código de autenticação criptograficamente seguro;
Protocolos de Segurança - WEP
 Melhorias implementadas:
 WEP2 – implementado em hardware não hábil a lidar com
WPA ou WPA2; estendeu o valor da chave e do vetor de
inicialização a valores de 128 bits, com intuito de eliminar a
deficiência da duplicação do vetor de inicialização e parar com
ataques de força bruta.
 WEPplus – um aperfeiçoamento por uma subsidiária da
Lucent Technologies que evitava o uso de vetores de
inicialização fracos;
 Dynamic WEP – mudanças dinâmicas da chave WEP.
 Todas essas melhorias listadas foram insuficientes para
devolver a confiabilidade no protocolo WEP.
Protocolos de Segurança - WEP
 802.11i
 Grupo de trabalho criado pelo IEEE para encontrar
soluções para melhorar a segurança das redes Wireless;
 Temporal Key Integrity Protocol (TKIP)
 Wi-Fi Protected Access (WPA)

Uso da cifra de bloco Advanced Encryption Standard (AES);
Protocolos de Segurança - WPA
 Lançado pela Wi-Fi Alliance em 2003;
 Duas formas:
 WPA para uso pessoal (WPA-PSK);
 WPA para uso empresarial;
 Suporte a WEP, TKIP e 802.1x, e possui vetor de inicialização da
chave criptográfica de 48 bits e servidores Radius;
 O TKIP vem a ser um aperfeiçoamento da segurança WEP
através da adição de medidas como PPK (per-packet key –
que seria uma chave diferente para cada pacote), MIC
(message integrity code) e mudanças na chave de broadcast
.
Protocolos de Segurança - WPA
 Desvantagens:
 O WPA não é fruto de um estudo concluído, apesar de
ter sido desenvolvido de forma criteriosa e utilizado
parte do padrão que estava em estudo pelo IEEE;
 Suscetibilidade a ataques de força bruta.
Protocolos de Segurança – WPA2
 WPA2 – 2004
 Novo algoritmo criptográfico baseado no AES, o CCMP,
que é considerado completamente seguro;
 Incompatibilidade co. WEP;
Técnicas adicionais de Segurança
para Redes Wireless
 Filtro de MAC
 Ocultamento de SSID
 Limitar IP range no DHCP
Problemas Comuns em Redes
Wireless
 Rogue Aps (APs Impostores)
 Dispositivos de rede sem fio não autorizados, mas que se
conectam a uma rede ou dispositivo desta rede.
 Precauções: uma rede bem configurada com SSID, filtro
por endereço MAC, autenticação com WPA (TKIP) ou
WPA2 (AES) e autenticação por porta 802.1x podem
mitigar essa fragilidade.
Problemas Comuns em Redes
Wireless
 Sinal atingindo áreas além das desejadas
 Proteção através da execução de procedimentos de Site
Survey.
Medidas de Segurança – Redes
Wireless
1. Mudar a senha padrão de sua AP;
2. Cheque se o firmware e drivers estão atualizados,
atualize se necessário, mantenha-se atento às evoluções;
3. Use o mais alto nível de WEP/WPA (WPA2/802.11i
preferível)—Use chaves seguras.
4. Autentique os usuários com protocolos como 802.1X,
RADIUS, EAP. Estes protocolos suportam autenticação
que incluem certificados digitais, usuários e senhas,
tokens seguros, etc.
Medidas de Segurança – Redes
Wireless
5. Use criptografia forte para todas as aplicações que você usa
sobre a rede sem fio ex. SSH e TLS/HTTPS.
6. Criptografe o tráfego sem fio usando uma VPN (Virtual
Private Network), ex. Usando IPSEC ou outra solução VPN.
7. Use ferramentas de segurança de WLAN. Este software é
especialmente projetado para dar segurança em redes sem fio
802.11.
8. Crie um segmento dedicado para a WLAN e crie barreiras
adicionais para ter acesso a esse segmento.
9. Use um proxy com controle para requisições externas (web
proxy e outros).
Fonte: CORRÊA JR., Marcos Antonio Costa - Evolução da Segurança em Redes
Sem Fio, Recife-PE - 2008
Virtual Private Network - VPN
 As VPNs são túneis de criptografia entre pontos
autorizados, criados através da Internet ou outras
redes públicas e/ou privadas para transferência de
informações, de modo seguro, entre redes corporativas
ou usuários remotos.
Tipos de VPN
 Redes VPN de acesso remoto via Internet
 Também conhecida como rede discada privada virtual
(VPDN);
 Usa um Provedor de Serviços – Internet Service Provider
(ISP);
 O ISP instala um Servidor de Acesso à Rede (NAS);
 Os usuários remotos usam aplicações cliente;
Redes VPN de acesso remoto
Tipos de VPN
 Conexão de LANs via Internet:
 Circuitos dedicados locais interligando-as à Internet;
 Pode-se optar pela utilização de circuitos discados em
uma das pontas, devendo a LAN corporativa estar,
preferencialmente, conectada à Internet via circuito
dedicado local ficando disponível 24 horas por dia
Conexão de LANs via Internet
Tipos de VPN
 Conexão de computadores numa Intranet:
 Quando existem dados confidenciais cujo acesso é
restrito a um pequeno grupo de usuários;
 Apesar de garantir a "confidencialidade" das
informações, cria dificuldades de acesso a dados da rede
corporativa por parte dos departamentos isolados;
 Possibilita a conexão física entre redes locais,
restringindo acessos indesejados através da inserção de
um servidor VPN entre elas;
Conexão de computadores numa
Intranet
Requisitos Importantes Para a
Implementação de VPNs
 Autenticação de Usuários
 Verificação da identidade do usuário, restringindo o
acesso às pessoas autorizadas. Deve dispor de
mecanismos de auditoria, provendo informações
referentes aos acessos efetuados - quem acessou, o quê e
quando foi acessado.
 Gerenciamento de Endereço
 O endereço do cliente na sua rede privada não deve ser
divulgado, devendo-se adotar endereços fictícios para o
tráfego externo.
Requisitos Importantes Para a
Implementação de VPNs
 Criptografia de Dados
 Os dados devem trafegar na rede pública ou privada num
formato cifrado e, caso sejam interceptados por usuários não
autorizados, não deverão ser decodificados, garantindo a
privacidade da informação. O reconhecimento do conteúdo
das mensagens deve ser exclusivo dos usuários autorizados.
 Gerenciamento de Chaves
 O uso de chaves que garantem a segurança das mensagens
criptografadas deve funcionar como um segredo
compartilhado exclusivamente entre as partes envolvidas. O
gerenciamento de chaves deve garantir a troca periódica das
mesmas, visando manter a comunicação de forma segura.
Requisitos Importantes Para a
Implementação de VPNs
 Suporte a Múltiplos Protocolos
 Com a diversidade de protocolos existentes, torna-se
bastante desejável que uma VPN suporte protocolos
padrão de fato usadas nas redes públicas, tais como IP
(Internet Protocol), IPX (Internetwork Packet
Exchange), etc.
Tunelamento
 O processo de tunelamento envolve encapsulamento,
transmissão ao longo da rede intermediária e
desencapsulamento do pacote;
 O tunelamento VPN criptografa o pacote e depois o
encapsula para o transporte;
 O protocolo de tunelamento encapsula o pacote com
um cabeçalho adicional que contém informações de
roteamento que permitem a travessia dos pacotes ao
longo da rede intermediária;
 O tunelamento pode ocorrer na camada 2 ou 3
(respectivamente enlace e rede);
Tunelamento
Protocolos de Tunelamento VPN
 Tunelamento em Nível 2 - Enlace - (PPP sobre IP)
 PPTP (Point-to-Point Tunneling Protocol) da Microsoft
permite que o tráfego IP, IPX e NetBEUI sejam
criptografados e encapsulados para serem enviados
através de redes IP privadas ou públicas como a Internet.
 L2TP (Layer 2 Tunneling Protocol) da IETF (Internet
Engineering Task Force) permite que o tráfego IP, IPX e
NetBEUI sejam criptografados e enviados através de
canais de comunicação de datagrama ponto a ponto tais
como IP, X25, Frame Relay ou ATM.
 L2F (Layer 2 Forwarding) da Cisco é utilizada para VPNs
discadas.
Protocolos de Tunelamento VPN
 Tunelamento em Nível 3 - Rede - (IP sobre IP)
 Encapsulam pacotes IP com um cabeçalho adicional
deste mesmo protocolo antes de enviá-los através da
rede.
 O IP Security Tunnel Mode (IPSec) da IETF permite que
pacotes IP sejam criptografados e encapsulados com
cabeçalho adicional deste mesmo protocolo para serem
transportados numa rede IP pública ou privada. O IPSec
é um protocolo desenvolvido para IPv6, devendo, no
futuro, se constituir como padrão para todas as formas
de VPN. O IPSec sofreu adaptações possibilitando,
também, a sua utilização com o IPv4.
Medidas Consideradas Efetivas
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
2010
Fonte: 2010 CyberSecurity Watch Survey – Resultados da Pesquisa
Normas ISO/IEC de Segurança da
Informação
 ISO/IEC 27001:
 Objetiva prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gestão de Segurança da
Informação (SGSI), ou ISMS (Information Security
Management System);
 Ciclo PDCA;
 Dividida em cinco seções:
 O Sistema de Gestão da Segurança da Informação;
 A responsabilidade da administração;
 As auditorias internas do ISMS;
 A revisão do ISMS;
 A melhoria do ISMS.
Ciclo PDCA
 O modelo PDCA (ou ciclo de Deming) é usado para
controlar uma série de ações, com o objetivo de
controlar algum processo. Este modelo é baseado em
quatro etapas:
 Planejar (Plan)
 Executar (Do)
 Verificar (Check)
 Agir (Act)
Ciclo PDCA
Ciclo PDCA
ISO/IEC 27002 - Tecnologia da informação - Técnicas de
segurança - Código de prática para a gestão da segurança
da informação
 ISO/IEC 27002:
 Substitui a antiga ISO/IEC 17799;
 Dividida nas seguintes seções:
1.
2.
3.
4.
5.
6.
Política de segurança da informação;
Organizando a segurança da informação;
Gestão de ativos;
Segurança em recursos humanos;
Segurança física do ambiente;
Gestão das operações e comunicações;
ISO/IEC 27002 - Tecnologia da informação - Técnicas de
segurança - Código de prática para a gestão da segurança
da informação
7.
8.
9.
10.
11.
Controle de acesso
Aquisição, desenvolvimento e manutenção de sistemas de
informação;
Gestão de incidentes de segurança da informação;
Gestão da continuidade do negócio;
Conformidade.
ISO/IEC 27002 - Política de
segurança da informação
1.
Elaboração do Documento da Política de Segurança
da Informação
ISO/IEC 27002 - Organizando a
segurança da informação
Infra-estrutura da Segurança da Informação
2. Partes Externas
1.
ISO/IEC 27002 - Gestão de ativos
Responsabilidade Pelos Ativos
2. Classificação da Informação
1.
ISO/IEC 27002 – Segurança em
recursos humanos
Antes da Contratação
2. Durante a Contratação
3. Encerramento ou Mudança da Contratação
1.
ISO/IEC 27002 - Segurança física do
ambiente
Áreas Seguras
1.
1.
2.
3.
4.
5.
6.
Perímetro de segurança física
Controles de entrada física
Segurança em escritórios, salas e instalações
Proteção contra ameaças externas e do meio ambiente
Trabalhando em área seguras
Acesso do público, áreas de entrega e de carregamento
Segurança de Equipamentos
2.
1.
2.
3.
4.
5.
6.
7.
Instalação e proteção do equipamento
Utilidades
Segurança do cabeamento
Manutenção dos equipamentos
Segurança de equipamentos fora das dependências da organização
Reutilização e alienação segura de equipamentos
Remoção de propriedade
ISO/IEC 27002 - Gestão das
operações e comunicações
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Procedimentos e Responsabilidades Operacionais
Gerenciamento de Serviços Terceirizados
Planejamento e Aceitação dos Sistemas
Proteção Contra Códigos Maliciosos e Códigos Móveis
Cópias de Segurança
Gerenciamento da Segurança em Redes
Manuseio de Mídias
Troca de Informações
Serviços de Comércio Eletrônico
Monitoramento
ISO/IEC 27002 - Controle de acesso
1.
2.
3.
4.
5.
6.
7.
Requisitos de Negócio Para Controle de Acesso
Gerenciamento de Acesso do Usuário
Responsabilidades dos Usuários
Controle de Acesso à Rede
Controle de Acesso ao Sistema Operacional
Controle de Acesso à Aplicação e à Informação
Computação Móvel e Trabalho Remoto
ISO/IEC 27002 - Aquisição, desenv.
e manut. de sist. de informação
1.
2.
3.
4.
5.
6.
Requisitos de Segurança de Sistemas de Informação
Processamento Correto nas Aplicações
Controles Criptográficos
Segurança dos Arquivos do Sistema
Segurança em Processos de Desenvolvimento e
Suporte
Gestão de Vulnerabilidades Técnicas
ISO/IEC 27002 - Gestão de
incidentes de seg. da informação
Notificação de Fragilidades e Eventos de Segurança
da Informação
2. Gestão de Incidentes de Segurança da Informação e
Melhorias
1.
ISO/IEC 27002 - Gestão da
continuidade do negócio
1.
Aspectos da Gestão da Continuidade do Negócio,
Relativos à Segurança da Informação
ISO/IEC 27002 - Conformidade
Conformidade com Requisitos Legais
2. Conformidade com Normas e Políticas de Segurança
da Informação e Conformidade Técnica
3. Considerações Quanto à Auditoria de Sistemas de
Informação
1.
Normas ISO/IEC da série 27000 de
Segurança da Informação
 ISO/IEC 27000:2009 - Sistema de Gerenciamento de
Segurança - Explicação da série de normas, objetivos e
vocabulários;
 ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da
Informação - Especifica requerimentos para estabelecer,
implementar, monitorar e rever, além de manter e
provisionar um sistema de gerenciamento completo. Utiliza
o PDCA como princípio da norma e é certificável para
empresas.
 ISO/IEC 27002:2005 - Código de Melhores Práticas para a
Gestão de Segurança da Informação - Mostra o caminho de
como alcançar os controles certificáveis na ISO 27001. Essa
ISO é certificável para profissionais e não para empresas.
Normas ISO/IEC da série 27000 de
Segurança da Informação
 ISO/IEC 27003:2010 - Diretrizes para Implantação de um Sistema
de Gestão da Segurança da Informação - Segundo a própria
ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes
práticas para a implementação de um Sistema de Gestão da
Segurança da Informação (SGSI), na organização, de acordo com
a ABNT NBR ISO/IEC 27001:2005.
 ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios
para um Sistema de Gestão de Segurança da Informação - Mostra
como medir a eficácia do sistema de gestão de SI na corporação.
 ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da
Informação - Essa norma é responsável por todo ciclo de controle
de riscos na organização, atuando junto à ISO 27001 em casos de
certificação ou através da ISO 27002 em casos de somente
implantação.
Normas ISO/IEC da série 27000 de
Segurança da Informação
 ISO/IEC 27006:2007 - Requisitos para auditorias
externas em um Sistema de Gerenciamento de
Segurança da Informação - Especifica como o processo
de auditoria de um sistema de gerenciamento de
segurança da informação deve ocorrer.
 ISO/IEC 27007 - Referências(guidelines) para
auditorias em um Sistema de Gerenciamento de
Segurança da Informação.
 ISO/IEC 27008 - Auditoria nos controles de um SGSI O foco são nos controles para implementação da ISO
27001.
Normas ISO/IEC da série 27000 de
Segurança da Informação
 ISO/IEC 27010 - Gestão de Segurança da Informação para
Comunicações Inter Empresariais- Foco nas melhores
formas de comunicar, acompanhar, monitorar grandes
incidentes e fazer com que isso seja feito de forma
transparente entre empresas particulares e governamentais.
 ISO/IEC 27011:2008 - Gestão de Segurança da Informação
para empresa de Telecomunicações baseada na ISO 27002 Entende-se que toda parte de telecomunicação é vital e
essencial para que um SGSI atinja seus objetivos
plenos(claro que com outras áreas), para tanto era
necessário normatizar os processos e procedimentos desta
área objetivando a segurança da informação corporativa de
uma maneira geral. A maneira como isso foi feito, foi tendo
como base os controles e indicações da ISO 27002.
Auditoria em Sistemas de
Informação
 Objetivos:
 Integridade;
 Confidencialidade;
 Privacidade;
 Acuidade;
 Disponibilidade;
 Auditabilidade;
 Versatilidade;
 Manutenibilidade.
Tipos de Auditoria
 Durante o Desenvolvimento de Sistemas;
 De Sistemas de Produção;
 No Ambiente Tecnológico;
 Em Eventos Específicos.