FACULDADE ANHANGUERA DE BAURU TECNOLOGIA EM GESTO DA TECNOLOGIA DA INFORMAO

SEGURANA E AUDITRIA ATPS ETAPA 03

2013

ATPS- Segurana e Auditoria Etapa 3 3- Gerenciamentos de Riscos em Sistemas de Informao O objetivo desse gerenciamento para que no ocorram as vulnerabilidades. O risco existe quando tem um baixo nvel de proteo em um ambiente computacional. Por isso muito importante que uma empresa tenha o seu nvel de risco calculado para saber o investimento de segurana a ser feito. 3.1-As principais causas de riscos do sistema de informao Erro humano: a qualificao pessoal tornar-se primordial quando se fala em segurana, e a capacitao profissional e investimentos em novas tecnologias tem se tornado um fator relevante para as organizaes, pois o erro humano e a falta de sistemas de gerenciamento de riscos adequados so os contribuintes mais significativos para a concretizao dos acidentes. Clicar em links maliciosos Quando no tem limites quanto navegao, comum a prtica de clicar em links sem maiores critrios, os funcionrios imaginam que clicar em tais links no ambiente empresarial, independentes sobre serem ou no maliciosos, no ir ocasionar maiores problemas. Imaginam que o ambiente de defesa da empresa infalvel pela existncia de antivrus e firewall; Senhas fracas ou nicas senha fraca pode ser facilmente descoberta, existem programas especficos para tais prticas. Uma senha forte dificilmente ser quebrada, mesmo que seja por programas especficos. Senhas nicas referem-se repetio de senha em diversos servios diferentes com e-mail empresarial, acesso ao sistema, acesso a outros programas, etc. Falha de hardware: um fator importante nesse gerenciamento a falha de hardware. onde ocorre a quebra ou desgaste de um equipamento, o comprometimento de um componente fsico. necessrio um controle de riscos para diminuir e prevenir riscos futuros. A falta do gerenciamento pode gerar a perca de produtividade e qualidade nos processos gerenciais.

Dispositivo de ventilao queimado - pode causar um superaquecimento no processador, resultando em erros e queda no desempenho por um longo perodo, at que os componentes de hardware falhem por completo.

Falta de infraestrutura e segurana fsica aos hardwares.

Falha de Software: Os softwares no sofrem desgastes com o tempo, pois s existem propriedades lgicas. Nesse caso o gerenciamento serve para a proteo dos dados e informaes existentes no software. Um exemplo de falha de software pode ser um banco de dados de uma empresa, onde a falha pode acarretar prejuzos enormes. Envio de dados incorretos para uma aeronave em pleno vo o envio de dados incorretos pode causar acidente fatal ou um pouso forado, uma atualizao do software resolve o problema. Vulnerabilidades em antivrus falha em software e at mesmo original pode causar milhes de vitimas, mesmo com a atualizao disponvel, pois nem todos os usurios acabam fazendo atualizao disponvel para correo da falha de segurana. Espionagem: um dos riscos mais comum dentro de uma segurana empresarial, colocando todo negocio da empresa em risco. Acontece quando uma pessoa espi atravs de mtodos ou influencias, consegue informaes de diversos setores estratgicos dentro da empresa. Escuta telefnica. Furto de documentos. Suborno e chantagem sobre funcionrios.

Engenharia Social: so atitudes usadas para se obter informaes sigilosas de uma organizao por meios ilcitos, enganao ou explorar a confiana de pessoas. Essas pessoas que usam essas prticas se passam por outra pessoa, finge ser um profissional de uma determinada rea. um meio que no exige a necessidade de violncia e nem erros em sistemas ou equipamentos. So exploradas as falhas das pessoas, que quando no capacitadas para esse tipo de ataque, so facilmente manipuladas. Explorao de confiana das pessoas. Explorao dos traos comportamentais e psicolgicos.

Vandalismo: o termo designado para a prtica de quebra de segurana por meio virtual ou digital. So realizadas por hackers e crackers. Essas aes podem ser uma simples queda de um servidor da internet ou ate a destruio de dados. Na internet a invaso de site de grandes empresas com objetivo de roubar informaes de clientes. Invaso de servidores de empresas. Ataque a grandes sites para roubo de informaes de clientes. 3.2- Ataques em sistemas de informao e redes de computadores Um ataque ocorre quando h a explorao de uma falha no sistema, com fins prejudiciais na maioria das vezes. Pela internet esses ataques ocorrem frequentemente e geralmente em maquinas contaminadas com vrus cavalo de troia, etc. Aes essas feitas por piratas virtuais. Diferentes motivos para esses ataques: Obter dados bancrios, obter dados pessoais, roubo de informaes sigilosas, simples acesso ao sistema, atrapalhar o bom funcionamento do sistema. Alguns tipos de ataques em sistemas de informao: Ataque de negao de Servio: consiste em impedir que usurios legtimos usem determinados servios em um computador. Para isso so usados alguns mtodos como sobrecarga de rede para o usurio no conseguir utiliz-la, a desconexo de uma rede de computadores, fazer requisies a um site ate que seus servidores no consigam mais responder, bloquear o acesso a um sistema ou a um usurio. Ataque para obteno de informaes: so as tentativas de acessos a um servidor de uma empresa com objetivo de obter informaes sigilosas. So instalados programas que colhem as informaes existentes ou ate mesmo as fornecidas pelo usurio do sistema. Ataque no nvel de aplicao: consiste em ataques a aplicaes com baixo nvel de segurana e muita vulnerabilidade. E se tratando de empresas existe a necessidade de uma ateno diferenciada. Isso e causado pelo mau desenvolvimento de uma aplicao. As principais tcnicas de ataques em aplicaes so SQL, Injection e buffer overflow.

3.3 Mecanismos de segurana Existem dois tipos de mecanismos de segurana: os fsicos e os lgicos. Controles Fsicos: so meios de se limitar o contato direto ou acesso a informao a infraestrutura. Controles lgicos: so meios de impedir ou limitar acesso a informao que fica em ambiente controlado. Alguns exemplos de mecanismos: Senha: mecanismo de segurana para autenticao deusurios para a liberao de seus privilgios do uso de sistema. Um exemplo seria a conta de um administrador de sistemas, que com sua senha libera informaes personalizadas dentro do sistema. Firewall: seria uma barreira que controla o fluxo de dados entre um computador ou uma rede de computadores e a internet. Com o firewall h somente a transmisso e a recepo de dados autorizados por meios de regras e filtros desses dados. Este dispositivo de segurana existe na forma de software e de hardware, a combinao de ambos chamada tecnicamente de appliance. Um exemplo seria a montagem de uma maquina com essa funo especifica, entre a rede interna e externa de uma empresa (geralmente a internet), no havendo a necessidade de ser colocado em todos os computadores da rede. Criptografia: tcnica que visa codificar as informaes de maneira que somente o remetente e o receptor dessa informao consiga decifra-la. Caso ocorra um extravio dessa informao no h como decifrar esses dados. As tcnicas utilizadas so chamadas de chaves criptogrficas, onde o receptor e o emissor desses dados devem possuir a mesma chave seno no conseguira extrair as informaes. Um exemplo seria criptografar um documento e gerar um texto cifrado e a chave secreta enviada atravs de um meio seguro para poder ser decifrar o documento. Assinatura Digital: uma tecnologia de identificao onde ocorre a permisso de transaes eletrnicas considerando sua integridade e autenticidade, evitando que adulteraes e captura de informaes privadas ocorram. um mecanismo eletrnico, que faz o uso da criptografia, mais exatamente, a chave criptogrfica. Um exemplo a assinatura de um documento, onde a autenticidade ajuda a garantir que o signatrio quem

ele afirma ser e a integridade ajuda a garantir que o documento no foi adulterado desde o momento da assinatura. 3.4 Apresentar uma medida de preveno para cada um dos riscos citados no 3.1. Erro Humano Qualificao pessoal e capacitao profissional. Conscientizar as pessoas sobre o valor das informaes que elas dispem e manipulam, seja ela de uso pessoal ou institucional. Falha de Hardware Criar uma estrutura fsica adequada e que impeam acessos no autorizados evitando alterao de equipamentos e demais danos quando se esta fisicamente no local. E a manuteno constante por uma pessoa qualificada, mantendo os equipamentos no seu perfeito estado e desempenho. Falha de Software Colaboradores estar cientes e estarem envolvidos nas prevenes de falhas.

Espionagem Monitorar constantemente a utilizao de acesso s reas crticas, centrais telefnicas. Acompanhamento de visitantes as instalaes da empresa por funcionrio qualificado. Engenharia Social Importante conscientizar as pessoas sobre o valor da informao que elas dispem e manipulam, seja ela de uso pessoal ou institucional. Informar os usurios sobre como age um engenheiro social. Vandalismo Proteo do sistema contra ataque hackers e proteo das informaes e uso de programas originais, pois crackers quebram criptografias, alteram softwares e desenvolvem malwares que causam danos aos usurios.

REFERNCIAS:

ALVES, Cssio Bastos. Segurana da Informao vs. Engenharia Social: Como se proteger para no ser mais uma vitima. Disponvel em:

<http://www.administradores.com.br/_resources/files/_modules/academics/academics_363 5_20101207234707794d.pdf>. Acesso em: 02 nov. 2013.

ALECRIM,

Emerson.

Entendendo

Certificao

Digital.

Disponvel

em:

<http://www.infowester.com/assincertdigital.php>. Acesso em: 02 nov. 2013.

SAETA, Paulo. Gerenciamento de riscos em sistemas de informao. Disponvel em: <http://paulosaeta.wordpress.com/2011/12/05/gerenciamento-de-riscos-em-sistemas-deinformacao/>. Acesso em: 02 nov. 2013.

ALECRIM, Emerson. O que firewall? - Conceito, tipos e arquiteturas. Disponvel em: <http://www.infowester.com/firewall.php>. Acesso em: 02 nov. 2013.