A SOCIEDADE DA INFORMAÇÃO.

A SEGURANÇA DA INFORMAÇÃO.

NA SOCIEDADE DA INFORMAÇÃO.

# As informações são o principal patrimônio

de uma Organização.

# As informações estão sob constante risco.

# Uma Estrutura de Segurança deve ser criada e implementada de acordo com as condições da Organização.

# Todos na Organização devem estar compromissados e fazendo parte da Estrutura de Segurança.

POLÍTICA DE SEGURANÇA DE INFORMAÇÕES.

# ANTES RESPONDER ÀS SEGUINTES QUESTÕES:

• O que se quer proteger?• Contra que ou quem?• Quais são as ameaças mais prováveis?• Qual a importância de cada recurso?• Qual o grau de proteção desejado?• Quanto tempo se pretende gastar com esse sistema de

segurança a ser criado e implementado?• Quais as expectativas dos usuários e clientes em

relação à segurança de informações?• Quais as conseqüências para a Organização se houver

falha de segurança de informação?

OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO.

• Confidencialidade ou Privacidade: proteger as informações contra acesso de qualquer pessoa de lê-las ou copiá-las, que não seja explicitamente autorizada pela Organização.

• Integridade de Dados: proteger as informações(dados,programas,documentação,registros,trabalhos,campanhas,planejamentos,criações,comerciais,catálogos,produção gráfica,vídeos,etc.) de serem apagadas ou alteradas sem a permissão da Organização.

OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO.

• Disponibilidade: proteger os serviços de informática de tal forma que não sejam degradados ou tornados indisponíveis,ou seja quando um usuário autorizado quer acessar a informação e não está disponível por algum motivo (manutenção,sistema de telecomunicações sobrecarregado,falhas no sistema a ser acessado,etc.)

• Consistência: proteger – se(percebendo) de que software ou hardware passam a se comportar de maneira diferente da usual,avise imediatamente o responsável.Isso acontece após alteração de software ou hardware.Certifique-se de que o sistema atua de acordo com as expectativas dos usuários autorizados.

OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO.

• Isolamento ou uso legítimo – regular o acesso ao sistema: proteger do acesso não autorizado é necessário identificar quem acessou e certificar-se de que nada de importante do sistema foi adulterado ou apagado.As medidas corretivas após uma invasão provavelmente vão envolver tempo e muito recurso financeiro para a análise do sistema e sua reconstrução ou recuperação,se for o caso.

• Confiabilidade: proteger mesmo em condições adversas que o sistema atuará conforme o esperado.Exemplos:sistema de controle de tráfego aéreo, de trens, atracamento de embarcações no porto, de energia elétrica ou nuclear,etc.,pois envolve vidas.

OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO.

• Auditoria: proteger os sistemas contra erros e atos maliciosos cometidos por usuários autorizados.A identificação dos autores e suas ações se verifica pela utilização de trilhas de auditorias e logs, que registram tudo que foi executado por quem ou que no sistema e quando aconteceu.

Exemplos. P: Para um sistema militar de segurança nacional o que é

prioritário ter no sistema de segurança de informação? R: A Confiabilidade ou Privacidade pois as informações são

confidenciais,sendo a Disponibilidade o objetivo menos importante.

P: Para um sistema bancário que é prioritário ter no sistema de segurança de informação?

R: No sistema bancário a Integridade e Auditoria são os aspectos mais importantes seguidos da Privacidade e Disponibilidade.

Assim,um sistema que não contém dados confidencias,mas precisa estar disponível 24 horas por dia, não requer privacidade de dados, mas sim alta disponibilidade. Na maioria dos sistemas é dada maior ênfase a Disponibilidade e Integridade.

COMPROMENTIMENTO DA GERÊNCIA SUPERIOR.

• A Política de Segurança de Informações, deve ter total apoio da alta gerência, a qual deve se comprometer a implantá-la.

Esse comprometimento é normalmente expresso em documento formal onde constam:

# As Políticas de Segurança da Informação ;

# Como os Objetivos da PSI se encaixam ao contexto dos objetivos estratégicos e de negócios da organização como um todo.

Notas: 1) Como toda política,deve ser clara e objetiva, concentrando em princípios, deixando os detalhes para outros documentos mais específicos, os quais deverão ser formalizados.

2) A política é o primeiro documento de muitos outros documentos com informações cada vez mais detalhadas sobre procedimentos e padrões a serem aplicados em cada organização.

LEGISLAÇÃO BRASILEIRA E INSTIT. PADRONIZADORAS.

• Projetos Legislativos visam tratar do assunto sob o aspecto legal, protegendo os direitos da sociedade em relação a suas informações e prevendo sanções legais aos infratores.

• Os Padrões de Segurança são estudados, pesquisados por empresas especializadas

e convidadas a participar de grupos de trabalho a serviço da ABNT – Associação Brasileiras de Normas Técnicas que procuram seguir os padrões internacionais, para que possa haver similaridades entre as legislações de países diferentes.

LEGISLAÇÃO BRASILEIRA.(algumas leis e decreto)

Visando a Segurança da Informação,a LEGISLAÇÃO BRASILEIRA criou alguns dispositivos legais:

# Projeto de lei do Senador Renan Calheiros, de 2000 – define e tipifica os delitos informáticos.

# Lei nº 9.610, de 19 de fevereiro de 1998 – altera, atualiza e consolida a legislação sobre direitos autorais.

# Lei nº 9.296, de 24 de julho de 1996 – regulamenta o inciso XII, parte final, do art. 5º, da Constituição Federal. O disposto nessa lei aplica-se a interceptação do fluxo de comunicações em sistemas de informática e telemática.

# Projeto de Lei da Câmara dos Deputados nº 1.713, de 1966 – dispõe sobre o acesso, a responsabilidade e os crimes cometidos nas redes integradas de computadores.

# Decreto nº 79.099, de 06 de janeiro de 1977 – aprova o regulamento para salvaguarda de assuntos sigilosos.

INSTITUIÇÃO PADRONIZADA NACIONAL.

• Nacional: ABNT – Associação Brasileira de Normas Técnicas.

Padrões a serem seguidos por produtos e serviços de várias áreas, inclusive segurança de informações. Essas padronizações abragem: algoritmos de criptografia, técnicas de criptográficas, gerência de senhas, controle de acesso para segurança física de instalações de processamento de dados, critérios de segurança física relativos ao armazenamento de dados, a microcomputadores e terminais, além de normas de segurança física e ambiental (inclusive de combate a incêndios ) .

INSTITUIÇÃO PADRONIZAÇÃO INTERNACIONAL.

• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION ( ISO ).

• INTERNATIONAL ELECTROTECHNICAL COMISSION ( IEC ).

• INTERNAT. TELECOMMUNICATIONS UNION ( ITU ).

• COMITÉ EUROPÉEN DE NORMALISATION (CEN ).

• E .... OUTROS.

ORANGE BOOK DO NCSC (NAT. COMPUT. SECURITY CENTER).

• O OBJETIVO É A CLASSIFICAÇÃO BASEADA NAS CARACTERÍSTICAS DE SEGURANÇA DEFINIDAS NO PROJETO DOS SISTEMAS COMPUTACIONAIS

OU SEJA, CADA NÍVEL SUPERIOR DE SEGURANÇA

DEVE IMPLEMENTAR TODOS OS REQUESITOS ESPECIFICADOS PARA OS NÍVEIS INFERIORES E DIVIDÍ-LOS POR CLASSES.

CLASSES QUE ESTÃO NO LIVRO ‘’ORANGE BOOK’’.

• CLASSE A: PROCESSOS RÍGIDOS DE PROJETO,CONTROLE E VERIFICAÇÃO.

• CLASSE B3: NÍVEL DE DOMÍNIO DE SEGURANÇA.

• CLASSE B2: PROTEÇ. ESTRUTURADA.

• CLASSE B1: RÓTULOS DE SEGURANÇA ( USUÁRIO, PROCESSO, ARQUIVO OU DISPOSITIVO).

CLASSES QUE ESTÃO NO LIVRO ‘’ORANGE BOOK’’.

• CLASSE C2: PROTEÇ. COM CONTROLE DE ACESSO ( LISTAS DE CONTROLE DE ACESSO E MÓDULOS ELEMENTARES DE AUDITORIA).

• CLASSE C1: PROT. DISCRICIONÁRIA (AUTENTICAÇÃO DE USUÁRIOS POR MEIO DE SENHAS E PERMISSÕES DE ACESSO A ARQUIVOS E DIRETÓRIOS).

• CLASSE D1: PROT. MÍNIMA (OS SOFTWARES NÃO SÃO CONSIDERADOS SEGUROS).

RED BOOK DA NCSC.

• INTERPRETA O “ORANGE BOOK” CRIANDO OUTROS PADRÕES PARA O AMBIENTE CLIENTE - SERVIDOR.

• A SEGURANÇA DE INFORMAÇÕES ESTÁ ASSOCIADA A AUDITORIA. NO BRASIL É O TRIBUNAL DE CONTAS DA UNIÃO - TCU , NOS ESTADOS UNIDOS É O GENERAL AUDIT OFFICE – GAO, NO REINO UNIDO É O NATIONAL AUDIT OFFICE – NAO, ETC.

• TREINAMENTOS E CERTIFICAÇÃO DE AUDITORES: SUPERIOR AUDIT INSTITUTIONS – SAI OU ENTIDADES FISCALIZADORAS SUPERIORES – EFS.

PROCESSO DE IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA.

AS PRINCIPAIS FASES DO LEVANTAMENTO DE DADOS DO PROCESSO:

# IDENTIFICAÇÃO DOS RECURSOS. QUAIS DELES SÃO CRÍTICOS?

# AS INFORMAÇÕES ESTÃO CLASSIFICADAS? A CLASSIFICAÇÃO DA INFORMAÇÃO SE FAZ POR VAI MANUSEÁ-LA:

a) de uso público; b) de uso interno; c) de uso confidencial; d) de uso secreto.# DEFINIR QUAIS OBJETIVOS DE SEGURANÇA DE

INFORMAÇÃO ( SÃO 7 ) SE QUER ATINGIR?# QUAIS AS PRINCIPAIS AMEAÇAS, RISCOS, IMPACTOS SE

QUALQUER DOS OBJETIVOS DE SEGURANÇA FOR ATINGIDO?

CONTINUAÇÃO PROC. DE IMPLANT. DA POLÍT. DE SEGUR.

# ELABORAÇÃO DE PROPOSTA POLÍTICA.

# DISCUSSÕES ABERTAS COM OS ENVOLVIDOS.

# APRESENTAÇÃO DE DOCUMENTO FORMAL À GERÊNCIA SUPERIOR.

# APROVAÇÃO.

# ASSINATURA DO CONTRATO DE PREST. SERV

# IMPLEMENTAÇÃO.

# AVALIAÇÃO DA POLÍTICA E IDENTIFICAÇÃO DAS MUDANÇAS NECESSÁRIAS.

# REVISÕES.

IDENTIFICANDO OS RECURSOS SOB RISCO.

• HARDWARE – As Máquinas Processadores,placas,teclados, terminais,estações de trabalho, computadores pessoais,impressoras, unidades de disco, linhas de comunicação, servidores, roteadores.

* SOFTWARE – Os Programas Programas de comunicação,programas

diagnóstico,sistemas operacionais, aplicativos ( “Coral Draw ,Page Maker, etc.”), utilitários.

* DADOS – O que está digitando,o que vai armazenar Em processamento, em trânsito nos dispositivos e

linhas de comunicação, armazenados “on line e off line, backups “,logaritmos de auditoria, base de dados.

IDENTIFICANDO OS RECURSOS SOB RISCO ( CONTINUAÇÃO).

* PESSOAS – Usuários e funcionários necessários para

funcionamento operacional dos sistemas.

* DOCUMENTAÇÃO – A respeito da doc. dos programas(softwares), máquinas( hardwares), sistemas, normas, procedimentos administrativos.

* SUPRIMENTOS( SUPORTE) - Papel,formulários,fitas,disquetes,CD – ROMs,Pens

Drives e outras tecnologias.

CLASSIFICAÇÃO DAS INFORMAÇÕES.

Diferentes tipos de informação devem ser protegidos de diferentes maneiras.

Como toda informação tem um dono

(proprietário), nada mais acertado do que ele ser o responsável pela classificação da informação.

A classificação mais comum da info. divide-se em 4(quatro) níveis.

OS 4 NÍVEIS DA CLASSIFIC. DAS INFORMAÇÕES.

* PÚBLICAS OU DE USO IRRESTRITO – As informações e os sistemas assim classificados

podem ser divulgados a qualquer um sem que haja implicações

para a Instituição. Exemplos: serviços públicos em geral,informações divulgadas à imprensa ou a Internet.

* INTERNAS OU DE USO INTERNO – As informações e os sistemas assim classificados não

devem sair da Instituição.Porém, se isso ocorrer, as conseqüências não serão críticas.Exemplos: serviços de informação interna ou documentos de trabalho corriqueiros que só interressam aos funcionários.

OS 4 NÍVEIS DA CLASSIFIC. DAS INFORMAÇÕES (CONT.).

* CONFIDENCIAIS – As informações e os sistemas são tratados como

confidenciais dentro da Instituição e protegidos contra o acesso externo.Os usuários só podem acessá-los se os dados e os sistemas forem fundamentais para a execução de suas funções na Instituição.O acesso não autorizado a esses dados e sistemas pode comprometer o funcionamento da Instituição,causar danos financeiros ou perdas de fatias de mercado para a concorrência.Exemplos: dados pessoais de clientes e funcionários,senhas,informações sobre a vulnerabilidade de segurança dos sistemas institucionais,contratos,

,balanços,etc.

OS 4 NÍVEIS DA CLASSIFIC. DAS INFORMAÇÕES (CONT.).

• SECRETAS – O acesso interno ou externo de pessoas

não autorizadas a esse tipo de informação é extremamente crítico para a Instituição.

É imprescindível que o número de pessoas autorizadas seja muito restrito e o controle sobre o uso dessas info seja

total.Exemplos:dados militares e de segurança nacional.

CLASSIFICAÇÃO DOS SISTEMAS DE INFORMAÇÃO.

Os sistemas de informação são divididas em 4 camadas cada uma com controle de níveis diferentes.

APLICATIVOS – Programas aplicativos projetados para atender a necessidades específicas do usuário.

SERVIÇOS – Utilizados pelos aplicativos.Exemplo: os serviços prestados por um SGBD(Sistema Gerenciador de Banco de Dados).

SISTEMA OPERACIONAL – Presta serviços de mais baixo nível.Exemplo: GIA(Gerenciamento de Impressoras e Arquivos).

HARDWARE – O processador e a memória que suportam o sistema operacional.

Nota: Cada camada deve ser analisada individualmente em termos de segurança, configurada e monitorada de forma compatível com o nível de segurança definido.Com isso,será mais fácil estabelecer medidas de segurança mais efetivas.

ANALISANDO RISCOS.

PERDAS DE RECURSOS E/OU PROBABILIDADES DE: AMEAÇAS, ATAQUES, VULNERABILIDADES E/OU IMPACTOS =====> RISCOS.

OBS. Os RISCOS podem ser minimizados(reduzidos), pois na

prática é impossível eliminá-los totalmente.

ALGUMAS DEFINIÇÕES TÉCNICAS

Recurso computacional – hardware,software e banco de dados(informação).

Ameaça – evento ou atitude indesejável (roubo,incêndio,vírus,etc)que potencialmente remove, desabilita, danifica ou destrói um recurso.

Vulnerabilidade – fraqueza ou deficiência que pode ser explorada por uma ameaça.Pode ser associada à probabilidade da ameaça ocorrer.

ALGUMAS DEFINIÇÕES TÉCNICAS.

Ataque - ameaça concretizada.Impacto - conseqüência de uma vulnerabilidade. do sistema ter sido explorada por uma ameaça.É o

resultado da concretização de uma ameaça.Probabilidade – chance de uma ameaça atacar com

sucesso o sistema computacional.Risco - medida de exposição a qual o sistema

computacional está sujeito.Depende da probabilidade de uma ameaça atacar o sistema e do impacto resultante deste ataque.Nesse contexto,o risco envolve três componentes: ameaças,vulnerabilidades associadas e impactos.

ANALISANDO RISCOS.• OBJETIVOS:

Procurar medir o quanto de probabilidade existe de uma ameaça ocorrer, identificando-a e analisando-a;

Procurar medir quais e quantas são as possíveis vulnerabilidades do sistema de informação, identificando-as e analisando-as;

Procurar avaliar os impactos causados em determinado ambiente,de forma adotar medidas apropriadas,eficazes e rápidas, tanto às necessidades de negócio da instituição,ao proteger seus recursos de informação, quanto aos usuários que precisam utilizar esses recursos, levando em consideração justificativas de custos,nível de proteção e facilidade de uso.

Nota: a ANÁLISE DE RISCOS : traduzida em termos qualitat.,atendendo às necessidades de negócios e dos usuários,e quantitativos,garantindo que as medidas preventivas e corretivas não custem mais do que o próprio recurso protegido,no contexto patrimonial e de continuidade dos negócios.

AMEAÇAS FUNDAMENTAIS.

# VAZAMENTO DE INFORMAÇÕES: Involutário – falha de hardware,desastre

naturais, mensagem enviada a endereço incorreto, erros de programação, erros do usuário(desconhecimentos: hierarquia, procedimentos,valores,etc.), bugs de software,etc.

Voluntário – roubo, espionagem, fraude, sabotagem,invasão de hackers,etc.

AMEAÇAS FUNDAMENTAIS.

# VIOLAÇÃO DE INTEGRIDADE: Comprometimento da consistência dos dados

ou do sistema.# INDISPONIBILIDADE DE SERVIÇOS DE

INFORMÁTICA: Impedimento deliberado de acesso aos

recursos computacionais por usuários autorizados.

# ACESSO E USO NÃO AUTORIZADO: Um recurso computac. é utilizado por pessoa

não autorizada ou de forma não autorizada.

OUTROS TIPOS DE AMEAÇAS. Existem outros tipos de ameaças que,ao se efetivarem em um ataque,

permitem a realização de uma ou mais das AMEAÇAS FUNDAMENTAIS.

# MASCARAMENTO: Uma entidade (pessoa ou programa) se faz passar por outra

entidade.# DESVIO DE CONTROLES(BYPASS): Um hacker, por exemplo, explora falhas do sistema e

vulnerabilidades de segurança burlando os controles para obter direitos de acesso não autorizados.

# VIOLAÇÃO AUTORIZADA: Um usuário ou programa autorizado usa o sistema com

propósitos não autorizados.# AMEAÇAS PROGRAMADAS: Códigos de software que se alojam no sistema com o intuito de

comprometer sua segurança, alterando ou destruindo dados ou sistemas.

LEMBRETES: a combinação das duas análises compõe a A.R.

# AMEAÇA pode ser uma pessoa, uma coisa, um evento ou uma idéia capaz de causar dano a um recurso, atingindo um ou mais dos sete objetivos (ética,confiabilidade, integridade,disponibilidade, ... ).

# As AMEAÇAS exploram as vulnerabilidades ou fragilidades do sistema de informações para causar

impactos.# A ANÁLISE DE AMEAÇAS E VUNERABILIDADES tenta

definir a PROBABILIDADE de ocorrência de cada evento adverso e as conseqüências da quebra da segurança da informação.

# A ANÁLISE DE IMPACTOS identifica os recursos críticos do sistema,aqueles que mais sofrerão impactos na ocorrência de quebra de segurança.

BUGS DE SOFTWARE.# Os computadores são projetados para executar

instruções.Algumas vezes essas instruções podem causar danos acidentais ou não, quando isso ocorre temos o código BUG de Software acionado.O BUG de Software é talvez a causa mais comum de comportamento imprevisível dos programas.

# A maioria dos BUGS são causados por: - erros de projeto; - erros de programação; - falha de segurança. Conseqüências mais comum: - o computador para; - o aplicativo entra em “loop”; - o arquivo foi corrompido,etc.

OUTROS BUGS DE SOFTWARE (MAIS PREOCUPANTES).

# Aqueles propositalmente codificados pelos projetistas para facilitar a depuração do programa.Esses BUGS projetados são conhecidos como “BACKS DOORS”.

# “BACK DOOR” é uma AMEAÇA programada que permite acesso não autorizado ao sistema ou aplicativo,sem ter que passar pelo processo normal de autenticar.

AMEAÇAS PROGRAMADAS.# Os programas passam a rodar diferente do

esperado,não por acidente,mas pela execução de códigos gerados com o intuito de danificar ou adulterar o comportamento normal dos softwares. Esses códigos são chamados de AMEAÇAS PROGRAMADAS,

hoje mais conhecidos por VÍRUS,WORMS,

BACTÉRIAS, BACK DOORS E BOMBAS LÓGICAS, publicamente todos são chamados de VÍRUS.

DIFERENTES NOMES PARA AMEAÇAS PROGRAMADAS

# Virus – pequenos programas projetados para se replicarem e se espalharem de um computador para outro,atacando programas ou setor de boot de um disco rígido. Quando um programa é executado, devido as suas seqüências de códigos, os programas de vírus também o são. Os mais comuns mecanismo de ativação de programas de vírus são:

* evento ou data; * enviar dados ; * apagar arquivo ; * anexar arquivo, etc Enfim, funções básicas comuns do dia a dia.

DIFERENTES NOMES PARA AMEAÇAS PROGRAMADAS

# Worms – programas que se propagam de um computador para outro em uma rede, sem necessariamente modificar programas nas máquinas destino. São programas que podem rodar independentemente e trafegam de uma máquina a outra por meio das conexões de rede, podendo ter pedaços de si mesmos rodando em várias máquinas.

DIFERENTES NOMES PARA AMEAÇAS PROGRAMADAS

# Bactéria(coelhos) – programa que gera cópia de si mesmo com o intuito de sobrecarregar um sistema de um computador. As bactérias são programas que não causam explicitamente danos aos arquivos. Seu único propósito é a sua replicação. Essa reprodução de bactérias é exponencial, provavelmente vai assumir toda a capacidade do processador, da memória ou do espaço em disco, impedindo o acesso de usuários autorizados a esses recursos.

DIFERENTES NOMES PARA AMEAÇAS PROGRAMADAS.

# Bomba Lógica – Ameaça programada, camuflada em programas, é ativada quando certas condições são satisfeitas. As bombas lógicas permanecem dormentes, ou inativas, em softwares de uso comum por longo período de tempo até que sejam ativadas.Quando isso ocorre,executam funções que alteram o comportamento do software do “hospedeiro”. As condições ativadoras de bombas relógios mais comuns são:

* um dia da semana ou do ano; * presença ou ausência de certos arquivos: rodando em

determinados aplicativos, etc. Uma vez ativada, a bomba lógica pode destruir ou

alterar dados ,arquivos,travar o computador ou danificar o sistema.

DIFERENTES NOMES PARA AMEAÇAS PROGRAMADAS.

# Cavalo de Tróia – programa que parece ter uma função mas que na realidade,executa outras funções. Enquanto o programa parece estar rodando um jogo,uma planilha eletrônica, um editor de texto,etc.,está também apagando arquivos reformatando discos ou alterando dados. Tudo que o usuário vê é apenas a interface adulterada do programa que ele queria utilizar.Normalmente os cavalos de Tróia são utilizados como veículos para vírus,worms e outras ameaças programadas.

TIPOS DE VÍRUS.# Vírus de setor de boot. – O setor de boot de

um disco, seja disquete, disco rígido ou pen-drive, contém todos os dados que o computador precisa para dar boot e carregar o sistema operacional, isto é : a parte do disco utilizada para ativar o computador.Se um disquete infectado(códigos que ativam outros códigos que executam funções indesejadas) estiver no drive A quando o computador for ligado,o setor de boot do disquete é automaticamente acessado, já que o computador espera encontrar nele as informações necessárias para sua ativação consequentemente ficará com algum programa infectado.

TIPOS DE VÍRUS.

#Vírus Parasitas:utilizam arquivos executáveis como hospedeiros, inserindo, logo no início desses arquivos, instruções de desvio para o código de vírus. Após infectar outros arquivos no disco rígido, o vírus retorna o controle para o programa hospedeiro, o qual é executado como se nada de errado estivesse acontecendo. A cada vez que o hospedeiro é executado, há uma nova replicação do vírus.

TIPOS DE VÍRUS.# Vírus camuflados – Os projetistas de vírus,

com o intuito de garantir que suas criações não fossem detectadas antes se espalharem pelo computador, criaram uma nova categoria: os vírus camuflados.Esse tipo de vírus suprime as mensagens de erro que normalmente aparecem quando ocorrem tentativas de execução de atividades não autorizadas.Para não serem detectados facilmente pelos softwares anti-vírus, os softwares mais sofisticados utilizam ainda criptografia para não serem identificados.

TIPOS DE VÍRUS.# Vírus poli - mórficos – são vírus mais

poderosos, pois são projetados para enganar os softwares anti-vírus, alterando seu tamanho e aparência cada vez que infectam um novo programa. A aparência desses vírus pode ser modificada por sub- divisão em varias partes ou armazenamento sob a forma criptografada. Já existem programas que podem ser adicionados ou anexados a um vírus para torná-lo poli -mórfico, habilitando-o a uma mutação a cada reprodução.

TIPOS DE VÍRUS.

# Vírus de macro – Com a inserção de macros com as mesmas funções de um vírus, a simples carga de um documento infectado é suficiente para ativar o vírus. Documentos que não são executáveis (arquivos de dados que não contém vírus), quando são inseridos macros ficam vulneráveis, mesmo com pequenos programas. Só não são infectados os arquivos sem macros ou outro programa qualquer.

SOFTWARES ANTI-VÍRUS.

# Softwares anti-vírus: são um tipo de ferramenta de controle de integridade dos sistemas,com o objetivo de protegê-los contra ameaças programadas mais conhecidas como vírus.Sua estratégia envolve 3(três) etapas,nessa ordem:

* prevenção,impedindo a atuação do vírus.

* detecção,identificando a presença do vírus.

* reação,removendo o vírus.

ANALISANDO IMPACTOS E CALCULANDO RISCOS.

# A curto e longo prazo: função do tempo em que o impacto, causado por uma ameaça, permanece afetando os negócios da instituição. Assim, podemos classificar de 0 à 5.

0 - Impacto irrelevante.

1 - Efeito pouco significativo,sem afetar a maioria dos

processos de negócios da instituição.

2 – Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras

ANALISANDO IMPACTOS E CALCULANDO RISCOS(CONT.)

3 – Perdas financeiras de maior vulto e perda de clientes para a concorrência.

4 – Efeitos desastrosos, porém sem comprometer a sobrevivência da instituição.

5 – Efeitos desastrosos, comprometendo a sobrevivência da instituição.

Além do nível de impacto,podem ser definidos vários tipos de impactos intrinsecamente relacionados aos negócios da instituição que por isso mesmo, devem ser definidos pelas pessoas que mais os conhecem.

TIPOS DE IMPACTOS DE 1 À 7.

TIPO DESCRIÇÃO

1 MODIFICAÇÃO DE DADOS.

2 SISTEMAS VITAIS NÃO DISPONÍVEIS.

3 DIVULGAÇÃO SIST.CONFIDENCIAIS.

4 FRAUDE.

5 PERDA CREDIBILIDADE.

6 POSSIBILID. PROCESSUAL X INSTIT.

7 PERDAS DE CLIENTES A CONCORR.

TIPOS DE PROBABILIDADES DE 0 À 5.

Tipo Descrição

0 Ameaça completamente improvável de ocorrer.

1 Probabilidade de a ameaça ocorrer menos de uma vez por ano. 2 Probabilidade de a ameaça ocorrer pelo menos uma vez por ano. 3 Probabilidade de a ameaça ocorrer pelo menos uma vez por mês. 4 Probabilidade de a ameaça ocorrer pelo menos uma vez por semana. 5 Probabilidade de a ameaça ocorrer diariamente.

.

DEFININDO SERV. SEGURANÇANO AMBIENTE LÓGICO.

De acordo com o padrão ISO 7498-2, apesar de se referir a serviços de segurança de redes,seus conceitos podem ser usados p/a qualquer ambiente computacional, no caso classificados em cinco(5) categorias básicas:

# AUTENTICAÇÃO: autenticação da entidade: verifica a identidade de

quem está solicitando o acesso ao recurso. autenticação da origem ( relativa apenas a

ambientes de rede ): comprova para a entidade que solicita o acesso ao recurso que a origem é realmente quem diz ser.

DEFININDO SERVIÇOS DE SEGURANÇA (CONTINUAÇÃO).

# CONTROLE DE ACESSO: fornece proteção contra uso não autorizado de recursos,como leitura, alteração ou destruição dados, execução de programas, uso de meios de comunicação, etc.

# CONFIABILIDADE DE DADOS: provê proteção de dados contra leitura não autorizada.

# INTEGRIDADE DE DADOS: provê proteção contra ameaças ativas à validade e a consistência de dados.

DEFININDO SERVIÇOS DE SEGURANÇA (CONTINUAÇÃO).

# DISPONIBILIDADE: garante que os recursos computacionais estão em condições normais de funcionamento, portanto, disponíveis aos usuários.

NÃO REPÚDIO: em comunicações, tenta evitar que remetente ou destinatário neguem que enviaram ou receberam dados.

DEFININDO SERV. SEGURANÇANO AMBIENTE GERAL.

# Segurança física: alarmes, chaves e outros controles físicos.

# Segurança dos recursos computacionais: controles sobre sistema operacional, base de dados, etc.

# Segurança administrativa: treinamento de segurança, análise de trilhas de auditoria, procedimentos para investigar quebras de segurança, etc.

DEFININDO SERV. SEGURANÇANO AMBIENTE GERAL( CONT.).

# Segurança de meios magnéticos: proteção de dados armazenados, verificação de arquivos para detecção de vírus e outros controles.

# Controles de desenvolvimento de aplicativos: padrões de desenvolvimento, controles de documentação, projeto adequado, etc.

DEFININDO MECANISMO DE SEGURANÇA.

Mecanismo de Seg. é o meio p/a atender a um

serviço de seg.,i.é,o mecanismo existe p/a pro-

ver e suportar os serviços de segurança.

Exemplo: A criptografia é um mecanismo que é

usada para garantir um serviço confidencial, ou

um acesso físico aos dados.

Os principais mecanismos de segurança estão

definidos na ISO 7498-2.

MECANISMO DE SEGURANÇA DEFINIDOS NA ISSO 7498-2.

• Sistemas criptográficos: utilizam criptografia ou algoritmos cifrados para proporcionar confidencialidade de dados e de informações de fluxo de dados.

Vantagem: se outros métodos de proteção ( lista de controle de acesso, permissões de arquivos e senhas ) falhem, os dados ainda serão inelegíveis ao invasor a menos que ele tenha a chave e o algoritmo utilizado no processo de criptografia.

CONT. MECANISMO DE SEG. DEFINIDOS NA ISSO 7498-2

• Assinatura digital: conjunto de mecanismos que podem prover serviços de não-repúdio, de autenticação da origem ou de integridade. Constituído de procedimento de assinatura e outro de verificação da mesma, constatando a autenticidade e integridade da mensagem.

• Mecanismo de controle de acesso: o proprie-

tário decide QUEM e COMO poderá ter acesso a um determinado recurso. Esses mecanismos são compostos por listas de direitos de acesso,perfis, capacidades,etc.

CONT. MECANISMO DE SEG. DEFINIDOS NA ISSO 7498-2

• Mecanismo de integridade de dados: provêem proteção contra modificação de dados, podendo atender aos serviços de integridade de dados e de autenticação da origem.

• Mecanismo de disponibilidade:mecanismo como backup e recuperação de dados, equipamentos de controle de temperatura e umidade, UPS(fonte de energia ininterrupta), dispositivos que garantem a disponibilidade do s sistemas.

CONT. MECANISMO DE SEG. DEFINIDOS NA ISSO 7498-2

• Troca de autenticações:atende ao serviço de autenticação que solicita acesso ao recurso.Consiste na especificação de uma série de mensagens criptografadas intercambiadas entre um par de comunic., definindo uma espécie de protocolo para troca de mensagens.

• Enchimento de tráfego: usado, em conjunto com sistemas criptográficos,proporcionam CONFIDENCIALIDADE de informações de fluxo de dados, impedindo a análise de tráfego da rede.

CONT. MECANISMO DE SEG. DEFINIDOS NA ISSO 7498-2

• Controles de roteamento: usados para prevenir o tráfego de dados críticos em canais de comunicação inseguros. Dependendo do tipo de dado, podem ser escolhidas rotas mais seguras ou até mesmo proibir sua entrada em rotas cujos componentes de rede não são confiáveis.

No caso dos serviços de segurança mais genéricos, como por exemplo segurança física, os mecanismos são os cadeados, os alarmes, a vigilância, i.é, tudo aquilo que permite a implementação daquele serviço de segurança.