a importância da conscientização sobre engenharia social

7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social

1/16

Aula 20 pg. 237

Segurana Fsica, Lgica e Controles de Acesso

A importncia da conscientizao depessoas nos ambientes com tecnologia eprincipais riscos com engenharia social

Um dos assuntos que necessitam de uma ateno muito especial a conscientiza-

o de pessoas.

A conscientizao das pessoas dentro do ambiente corporativo um fator crtico desucesso para que se possa atingir um grande nvel de segurana da informao.

Iremos ver nesta aula que todos os assuntos discutidos no curso podem ter sucesso

apenas se houver uma grande conscientizao de todos os envolvidos.

Conscientizao de pessoas

Dentro do ambiente corporativo, dever haver um programa de conscientizao das

pessoas sobre o uso correto dos ativos da informao.

Esse programa apoiado pela norma NBR ISO/IEC 27002, que, em um dos seus

controles, se preocupa com a utilizao correta dos recursos, pois por meio dele podemos

ter acesso indevido ou mesmo uso incorreto, que gera uma ameaa s informaes da

companhia.

Conscientizao das pessoas no ambiente - NBR ISO/IEC 27002

8.2.2 - Conscientizao, educao e treinamento em seg. da informao

Controle

Convm que todos os funcionrios da organizao e, onde pertinente,

fornecedores e terceiros recebam treinamento apropriados em conscientiza-

o, e atualizaes regulares nas polticas e procedimentos organizacionais,

relevantes para as suas funes.


2/16

Aula 20 pg. 238


A norma tambm apoia um programa de processo disciplinar em caso de uma viola-

o de polticas de segurana da informao, em que tenham sido transgredidas as regras

estabelecidas no uso indevido de ativos da informao.

O programa muito importante para que todos da companhia saibam de suas res-

ponsabilidades dentro do contexto de suas atribuies, e tenham plena conscincia de

que existe um programa disciplinar, nas leis vigentes de cada pas.

Engenharia socialEngenharia social engloba as prticas utilizadas para obter acesso a informaes

importantes ou sigilosas em organizaes ou sistemas por meio da enganao ou explo-

rao da confiana das pessoas.

Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade,

fingir que um profissional de determinada rea etc. uma forma de entrar em organi-

zaes que no necessita da fora bruta ou de erros em mquinas. Explora as falhas de

segurana das prprias pessoas que, quando no treinadas para esses ataques, podem

ser facilmente manipuladas.

Um engenheiro social no um profissional na engenharia social (a engenharia

social no uma faculdade, e sim um conjunto de tcnicas), mas trata-se de uma pessoa

que pode ter profundos conhecimentos em diversas reas; 99% das pessoas que prati-

cam a engenharia social, de maneira benfica ou no, trabalham em empresas de grande

ou mdio porte, visando buscar falhas em um sistema de segurana da informao para

elimin-las ou explor-las.

Uma das mais clssicas e antigas tcnicas utilizadas pelos engenheiros o poder

de persuaso. Um filme que estreou no ano de 2002 conta a histria de Frank William

Abagnale Jr., um jovem que se utilizava da engenharia social para realizar golpes na

dcada de 1960.

Entre seus principais golpes, ele desenvolveu uma tcnica que empregou durante

oito anos, pela qual se passou como mdico, piloto de avio, advogado e professor, con-

vencendo todas as pessoas que cruzavam seu caminho.

Outro nome muito conhecido no mundo da engenharia social o do norte-america-


3/16

Aula 20 pg. 239


Acesse o ambiente virtual de aprendizagem UNINOVE

para ver o vdeo sobre conscientizao da engenharia social.

no Kevin Mitnick, que nos anos 1990 realizou inmeras fraudes, a maioria por meio da

engenharia social. Em uma de suas tcnicas, Mitnick se passava por algum que era do

corpo tcnico de uma empresa, entrando em contato com os profissionais da empresa, e

por meio da engenharia social conseguia senha e usurio de administrador dos sistemas,

endereo de rede e tudo o que pedisse, e assim realizava suas invases nos sistemas

desejados.

Redes sociais

Outro fator de grande preocupao nas empresas o crescente nmero de redes

sociais que esto tomando conta da web.

As redes sociais podem apresentar um grande perigo quanto ao acrscimo de in-

formaes sigilosas das pessoas. Informaes sigilosas devem ser restritas em redes

sociais, pois por meio delas os engenheiros sociais podem se aproveitar e investir na vida

de sua vtima.

Acesse o ambiente virtual de aprendizagem UNINOVE

para praticar seus exerccios.


4/16

Aula 20 pg. 240


Microsoft Technet. Acesso em: 20 abr 2010 - http://www.microsoft.com/brasil/athome/

security/privacy/password.mspx

http://www.cert.org/

http://www.infoexame.com.br

http://www.iso17799.hpg.ig.com.br/index.htm

http://www.sms.com.br

http://www.engetron.com.br

http://www.aceco.com.br

DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel

Books, 2000.

CARUSO, C.A.A. Segurana em informtica e de informaes.So Paulo: SENAC, 1999.

OLIVEIRA, Wilson Jos de. Segurana da informao tcnicas e solues. Florianpo-

lis: Visual Books, 2001.

SANTOS, Alfredo. Gerenciamento de identidade.Rio de Janeiro: Brasport, 2007.337

SMOLA, Marcos. Gesto da segurana da informao uma viso executiva. Rio de

Janeiro: Editora Campus, 2003.

TERADA, Routo. Segurana de dados criptografia em redes. So Paulo: Edgard Blu-

cher, 2000.

Indicao de Sites

Referncias


5/16

Aula 20 pg. 241


http://www.caviglia.com.br

http://www.isaca.com.br

http://www.modulo.com.br

http://www.drii.org

http://www.nbso.nic.br

http://www.abnt.org.br

http://www.b5c.com.br


6/16


Anotaes


7/16


Anotaes


8/16


Anotaes


9/16


Anotaes


10/16


Aula 02

Aula 01

ndice

Aula 03

Aula 04

A complexidade da segurana da informao nas empresas ............................................................ 3

Ambientes de negcios complexos, globalizao e a necessidade de proteo e adequa-

o s leis e aos mecanismos regulatrios ................................................................................. 4

Referncias ..................................................................................................................................... 6

Indicao de Sites .......................................................................................................................... 6 Figuras ............................................................................................................................................. 8

Principais padres e normas relacionadas segurana da informao ........................................ 13

Norma de segurana da informao srie ABNT NBR ISO/IEC 27000 .......................... 13

Payment Card Industry PCI .................................................................................................... 14

Lei SarbanesOxley .................................................................................................................... 16 Cobit 4.1 Control Objectives for Information and Related Technology ............................. 17

ITIL IT Infrastructure Library ................................................................................................... 18

Referncias ................................................................................................................................... 20

Figuras ........................................................................................................................................... 21

Poltica de segurana da informao ................................................................................................... 28

Referncias ................................................................................................................................... 32

Criao de normas de utilizao dos recursos fsicos dentro das empresas ................................ 37

Documentao de responsabilidade de uso segundo a iso/iec 27002 ............................... 37

Seo 7.1.2. Proprietrio dos ativos ................................................................................ 37

Seo 7.1.3. Uso aceitvel dos ativos ............................................................................. 38

Referncias ................................................................................................................................... 40


11/16


Aula 06

Aula 05

Aula 07

Mapeamento de processos de negcio, identificao e classificao da informao e a impor-

tncia para a continuidade de negcios. Identificao dos ativos que suportam os negcios

(relao de dependncia: processo de negcio, sistema e infraestrutura envolvida) .................. 45

Mapeamento de processos de negcio ................................................................................... 45

Identificao e classificao da informao e a importncia para a continuidade do neg-

cio ...................................................................................................................................................... 46

Identificao dos ativos que suportam os negcios .............................................................. 47

Relao de dependncia: processo de negcio, sistema e infraestrutura envolvida ....... 47

Referncias ................................................................................................................................... 49

Figuras ........................................................................................................................................... 50

Inventrio de ativos de hardware e softwares: planos de controles e responsabilidades ........... 56

A importncia da iso 27002 e o framework itil para gesto de ativos ................................. 56 Inventrio de ativos de hardware e software: planos de controles e responsabilidade so-

bre o uso .......................................................................................................................................... 56

Planos de controles de ativos utilizando a ISO/IEC 27002 ............................................... 57

Responsabilidade sobre o uso de um ativo de TI .................................................................. 58

A seo da norma ISO/IEC 27002 gesto de ativos .......................................................... 59

ITIL gerenciamento da configurao ..................................................................................... 60

Atividades do gerenciamento da configurao ....................................................................... 60

Identificao .................................................................................................................................. 60

Controle ......................................................................................................................................... 61

Referncias ................................................................................................................................... 62

Figuras ........................................................................................................................................... 63

Anlise de riscos fsicos em infraestruturas de suporte aos ambientes de TI ............................... 69

Mapeamento e identificao de riscos fsicos e lgicos ....................................................... 69


12/16


Aula 08

Aula 09

Anlise de riscos em infraestrutura de suporte aos ambientes de TI ................................. 69 Risco .............................................................................................................................................. 70

Vulnerabilidade ............................................................................................................................. 71

Ameaas ........................................................................................................................................ 71

Tipos de ameaas .............................................................................................................. 71

Conformidade com o risco ......................................................................................................... 72

Analisando as possveis ameaas no ambiente de TI ........................................................... 74

Anlise de riscos lgicos em ambiente de processamento de dados (servidores, firewall,

acesso fsico) ................................................................................................................................... 75

Estudo de impactos CIDAL e prioridades GUT ...................................................................... 76

Referncias ................................................................................................................................... 78

Indicao de Sites......................................................................................................................... 78

Figuras ........................................................................................................................................... 80

Segurana fsica ambiental: sala dos servidores, cpd e data center .............................................. 86 Principais controles relacionados segurana em data center ........................................... 86

Os objetivos da segurana fsica de TI .................................................................................... 87

Controles da norma NBR ISO/IEC 27002 relacionados segurana fsica e ambiental. 88

Referncias ................................................................................................................................... 91

Indicao de Sites ........................................................................................................................ 91

Segurana fsica: identificao de reas de acessos restritos e permetro de segurana seguin-

do a iso 27002 .......................................................................................................................................... 97

Descarte seguro das informaes ............................................................................................ 97

Utilizando a norma NBR ISO/IEC 27002 ................................................................................. 97

Identificao dos permetros de segurana ............................................................................ 98

Descarte seguro da informao .............................................................................................. 101

Referncias ................................................................................................................................. 102

Indicao de Sites ..................................................................................................................... 102


13/16


Aula 11

Aula 10

Figuras ......................................................................................................................................... 104

Necessidade da implantao de sistemas de tolerncia a falhas .................................................. 110

Cluster de alta disponibilidade ................................................................................................. 110

Tipos de tolerncias s falhas RAID ................................................................................... 110

RAID 1 ................................................................................................................................ 111

RAID 5 ................................................................................................................................ 112

Cluster .......................................................................................................................................... 113

Cluster de alta disponibilidade ........................................................................................ 113

Cluster de balanceamento de carga .............................................................................. 114

Cluster de alto desempenho ........................................................................................... 114

Referncias ................................................................................................................................. 115

Indicao de Sites ...................................................................................................................... 115

Figuras ......................................................................................................................................... 117

Processos de backup. Processos de recuperao de backup. Auditoria em processos de recu-

perao de backup e restore Segregao de funes .................................................................... 123

Processos de backups .............................................................................................................. 123

Backup full ................................................................................................................................... 123

Backup incremental ................................................................................................................... 124

Backup diferencial ...................................................................................................................... 124

Processos de recuperao de backups ................................................................................. 125

Processos de auditorias de backup ........................................................................................ 126

A realizao da auditoria de backup ....................................................................................... 126

Segregao de funes ............................................................................................................ 127

Referncias ................................................................................................................................. 129

Indicao de Sites ......................................................................................................................129

Figuras ......................................................................................................................................... 131


14/16


Aula 12

Aula 13

Aula 14

Plano de continuidade de negcios (BCP/PCN) Sites de contingncia: sites de continuidade

operacional (hot site, cold site e warm site) ....................................................................................... 138

Requisitos empresariais para a continuidade de servios .................................................. 139

Sites de continuidade operacional cold site ....................................................................... 140

Sites de continuidade operacional warm site ..................................................................... 141

Sites de continuidade operacional hot site ......................................................................... 141

Referncias ................................................................................................................................. 142

Indicao de Sites ...................................................................................................................... 142

Figuras ......................................................................................................................................... 144

Segurana lgica: auditoria em controle de acesso lgico. Direitos e permisses: AAA (autori-

zao, autenticao e auditoria) .......................................................................................................... 150

Qual papel do AAA no ambiente? ........................................................................................... 151 Mtodos de autenticao .......................................................................................................... 152

Procedimento de criao de usurios .................................................................................... 154

Criao de grupos de acesso lgico ...................................................................................... 155

Referncias ................................................................................................................................. 157

Indicao de Sites ......................................................................................................................157

Figuras ......................................................................................................................................... 159

Polticas de senhas de ambiente de ti e de desenvolvimento. Recomendaes de criao de se-

nhas ...................................................................................................................................................... 166

Polticas de senhas do ambiente de TI .................................................................................. 166

O que torna uma senha forte recomendaes .................................................................. 167

Crie uma senha forte e fcil de lembrar em seis passos .................................................... 168

Estratgias de senha a evitar ...................................................................................................169

Referncias ................................................................................................................................. 171


15/16


Aula 16

Aula 15

Aula 17

Indicao de Sites ...................................................................................................................... 171

Gerenciamento de acesso lgico: comprovao de privilgio de acesso Procedimentos de cria-

o de usurios e grupo de acesso lgico. Processo de aprovao de criao de usurio .... 177

Comprovao de privilgios de acesso ................................................................................. 177

Procedimentos de criao de usurios e grupo de acesso lgico .................................... 179

Grupo de acesso lgico processo de criao e administrao ...................................... 180

Processo de aprovao de criao de usurio ..................................................................... 181

Referncias ................................................................................................................................. 182

Indicao de Sites ......................................................................................................................182

Figuras ......................................................................................................................................... 184

Grupo de administrao de recursos de recursos de TI. Procedimentos de criao de usurios

e grupo de acesso lgico Concesso de acessos autorizados atravs de documentao ...... 191 Concesso de acessos por meio de documentao ........................................................... 191

Referncias ................................................................................................................................. 196

Indicao de Sites ..................................................................................................................... 196

Figuras ......................................................................................................................................... 198

Hackers, ramificaes e estratgias de invases: principais invases nos ambientes ............. 203

Tipos de invasores ..................................................................................................................... 203

Principais invases nos ambientes ......................................................................................... 204

Varreduras de portas ....................................................................................................... 204

IP spoofing ........................................................................................................................ 205

Ataques utilizando o RIP ................................................................................................. 205

Cavalo de troia .................................................................................................................. 205

Worm .................................................................................................................................. 206

Sniffing ............................................................................................................................... 206


16/16


Aula 18

Aula 19

Aula 20

Referncias 207 Indicao de Sites 207

Figuras 209

Controles de acessos fsicos: tipos de controles mais utilizados. Modelos de acesso RBAC

(role based access control), MAC (mandatory access control) e DAC (discretionary access

control) ..................................................................................................................................................... 215

MAC Mandatory Access Control 215

DAC Discretionary Access Control 216

RBAC Controle de Acesso Baseado em Funo (Role Based Access Control) 217

Referncias 219

Indicao de Sites 219

Figuras 221

Cuidados e controles de segurana fsica em equipamentos de proteo de energia eltrica

Monitorao do ambiente com CFTV Isolamento e proteo de reas crticas ......................... 227

Cuidados com a segurana fsica em equipamentos .......................................................... 227

Monitoramento com CFTV ....................................................................................................... 228

Referncias ................................................................................................................................. 230

Indicao de Sites ..................................................................................................................... 230

Figuras ......................................................................................................................................... 232

A importncia da conscientizao de pessoas nos ambientes com tecnologia e principais riscos

com engenharia social .......................................................................................................................... 237

Conscientizao de pessoas ................................................................................................... 237

Engenharia social ...................................................................................................................... 238

Redes sociais ............................................................................................................................. 239

Referncias ................................................................................................................................. 240 Indicao de Sites ..................................................................................................................... 240

a importância da conscientização sobre engenharia social

Documents