Segurança e Auditoria de Sistemas Prof. Fabiano Sabha Definição de Risco Review Podemos definir o risco como a condição que aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente. Esta condição deve ser incerta, fortuita e de conseqüências negativas ou danosas. Não pode haver a certeza de que ocorrerá. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 2 Risco x Perigo Review Risco é diferente de Perigo! Perigo é a origem do da perda. Exemplo: Um incêndio é o perigo, o risco são as condições do ambiente. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 3 Risco x Controle Todo risco identificado deve receber um tratamento para sua mitigação, seja a implantação de controles que irão agir diretamente na causa do risco, eliminando-o, seja monitorando o risco ou ainda transferindo-o. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 4 Risco x Controle Ameaça: Dados corrompidos Vulnerabilidades: Códigos Maliciosos Conhecimento Insuf. Da Aplicação Ambiente de Teste Inexistente Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 5 Risco x Controle Exemplos de controle: Vulnerabilidade Códigos Maliciosos Conhecimento insuficiente da aplicação Ambiente de teste inexistente Controle Todas as estações de trabalho e servidores devem possuir sistema de proteção antivírus, antispyware e firewall local, devidamente configurados e atualizados. A equipe de suporte local deve possuir sólidos conhecimentos sobre todos os aplicativos e sistemas operacionais presentes na empresa, seja atraves de programas de treinamentos especializados ou grupo de estudo local. Toda Atualização realizada dever ser efetuada em ambiente teste, afim de evitar possíveis erros e incompatibilidade de versões de softwares já instalados. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 6 Análise Custo x Benefício A análise de custo x benefício deve ser levada em consideração sempre que alguma ação de mitigação estiver prestes a ser tomada. Na prática: Quando custa a ação de mitigação e que resulta trás? Vale a pena financeiramente? Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 7 Atividade em sala A atividade de fixação deve ser feita: Em grupo: 2 Integrantes. Desenvolvimento: em sala de aula. Atividade: Realizar levantamento de ativos e elaborar uma mini-análise de risco. Ambiente: Cada grupo deverá escolher o seu ambiente, desde que esteja dentro da Fapi. Entrega: Na próxima aula Nota de pesquisa Boa Sorte! Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 8 Ameaças em Seguranças de Sistemas Prof. Fabiano Sabha Informações Básicas Qual o banco utilizado? Quem possui cartão de crédito? Internacional? Quem possui cheque especial? Limite acima de R$ 500? Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 10 Informações Básicas Qual a sua operadora de Celular? Pós ou pré-pago? Contas acima de R$ 50,00? Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 11 Engenharia Social A engenharia social é um dos meios mais utilizados de obtenção de informações sigilosas e importantes. Isso porque explora com muita sofisticação as "falhas de segurança dos humanos". Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 12 Engenharia Social Uma definição aceitável: Engenharia social é qualquer método usado para enganação ou exploração da confiança das pessoas para a obtenção de informações sigilosas e importantes. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 13 Engenharia Social Meios de Exploração: Salas de bate-papo E-mail´s Falsos Vírus Conversas “informais” etc... Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 14 Vulnerabilidades Review Vulnerabilidade: Fraqueza ou ausência do sistema de proteção, cobrindo uma ou mais Ameaça. Podem ser: Físicas, Naturais, Hdw, Stw, Humanas, Mídias e Comunicação. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 15