apostila segurança da informação

7/31/2019 Apostila Segurana da Informao

1/58

Centro Educacional Santa EdwigesUma escola em Plena evoluo

CURSO TCNICO EM

INFORMTICAMDULO V

APOSTILA DESEGURANA DA INFORMAO

ELABORADA POR: ALEXANDRE GUILHERME M. DE ARAJOEM: 14/06/2011

PROFESSOR: ALEXANDRE GUILHERME M. DE ARAJO

Rua Ayres Quaresma, n 63 Bairro Nossa Senhora da ConceioTelefax: (31) 3851-3092 e-mail: [email protected] Web:

WWW.santaedwigesmg.com.br

1
mailto:[email protected]://www.santaedwigesmg.com.br/mailto:[email protected]://www.santaedwigesmg.com.br/


2/58


INDCE

ITEM DESCRIO PGINA1 A IMPORTNCIA DA INFORMAO 32 SISTEMA DE INFORMAO 33 INFORMAO E ESTRATGIA 54 CICLO DE VIDA DA INFORMAO 65 VULNERABILIDADE 126 FIREWALL 167 ASSINATURA DIGITAL 248 LEIS FUNDAMENTAS 259 POLITICAS DE SEGURANA 33

10 IMPORTNCIA DA INFORMAO 4311 CONTINGNCIA 4912 ATIVIDADES PRTICAS PROPOSTAS 5513 REFERNCIA BIBLIOGRFICA 56



2


3/58


A importncia da Informao

A informao o dado com uma interpretao lgica ou natural dada a ele porseu usurio . A informao tem um valor altamente significativo e pode representargrande poder para quem a possui. A informao contm valor, pois est integrada comos processos, pessoas e tecnologias.

Vivemos em uma sociedade eu se baseia em informaes e que exibe umacrescente propenso para coletar e armazenar informaes e o uso efetivo dainformao permite que uma organizao aumente a eficincia de suas operaes.

A informao um ativo que, como qualquer outro ativo importante paraos negcios, tem um valor para a organizao e conseqentemente necessita ser

adequadamente protegida (NBR 17999, 2003). Na sociedade daInformao, a informao o principal patrimnio da empresa e est sob constanterisco. A informao representa a inteligncia competitiva dos negcios e reconhecida como ativo crtico para a continuidade operacional e sade da

empresa. A informaoe o conhecimento sero os diferenciais dasempresas e dos profissionais que pretendem destacar-se no mercado e manter a sua

competitividade.

As empresas j perceberam que o domnio da tecnologia como aliado para o controleda informao vital. O controle da informao um fator de sucesso crtico para osnegcios e sempre teve fundamental importncia para as corporaes do ponto de vistaestratgico e empresarial . Dispor da informao correta, na hora adequada, significatomar uma deciso de forma gil e eficiente. Com a evoluo dos dados e sistemas, ainformao ganhou mobilidade, inteligncia e real capacidade de gesto.A informao substrato da inteligncia competitiva; deve ser administrada em seus particulares,diferenciada e salvaguardada.

SistemadeInformaoUm sistema de informao pode ser definido tecnicamente como um conjunto decomponentes inter-relacionados que coleta (ou recupera), processa, armazena edistribui informaes destinadas a apoiar a tomada de decises, a coordenao e o



3


4/58


controle de uma organizao. Alm de dar suporte tomada de decises, coordenao e ao controle, esses sistemas tambm auxiliam os gerentes etrabalhadores a analisar problemas, visualizar assuntos complexos e criar novos produtos.

Os sistemas de informao contm informaes sobre pessoas, locais e coisassignificativas para a organizao ou para o ambiente que a cerca. Trs atividades em umsistema de informao produzem as informaes de que as organizaes necessitampara tomar decises, controlar operaes, analisar problemas e criar novos produtos ouservios. Essas atividades so a entrada, co processamento e a sada (veja a prximafigura).

A entrada captura ou coleta dados brutos de dentro da organizao ou de seu ambienteexterno. O processamento converte esses dados brutos em uma forma mais significativa. Asada transfere as informaes processadas s pessoas que as utilizaro ou s atividades

em que sero empregadas. Os sistemas de informao tambm requerem um feedback, que a entrada que volta a determinados membros da organizao para ajud-los a avaliar oucorrigir o estgio de entrada.



4


5/58


Os sistemas de informao so partes integrantes das organizaes. Na verdade, paraalgumas empresas, como as que fazem avaliao de crdito, sem sistema de informaono haveria negcios.

Os administradores de hoje devem saber como estruturar e coordenar as diversastecnologias de informao e aplicaes de sistemas empresariais para atender snecessidades de informao de cada nvel da organizao e s necessidades daorganizao como um todo.

Informao, competitividade e estratgia

A informao desempenha papis importantes tanto na definio quanto na execuo deuma estratgia. A informao auxilia os executivos a identificar tanto as ameaas quanto asoportunidades para a empresa e cria o cenrio para uma resposta competitiva mais eficaz. A

informao funciona tambm como um recurso essencial para a definio de estratgiasalternativas. A informao essencial para a criao de uma organizao flexvel na qualexiste um constante aprendizado.

As organizaes esto modificando-se profundamente, invertendo suas pirmidesorganizacionais, criando unidades de negcios autnomas, descentralizando decises econstituindo parcerias. A garantia de sua integrao e da manuteno de parmetros comunsde atuao dada pela informao, que flui entre suas vrias partes.

A eficcia de uma empresa pode ser definida pela relao entre resultados obtidos eresultados pretendidos. Para que uma empresa possa adotar polticas estratgicas eficazes,

necessrio que estas sejam baseadas em informao, que passa a ser a principal matria-prima de qualquer organizao.

Da perspectiva de uma empresa, o sistema de informao uma soluo organizacional eadministrativa baseada na tecnologia de informao para enfrentar um desafio proposto peloambiente.

Desta forma, os sistemas de informao so essenciais para qualquer organizao (veja aprxima figura). Ter o controle sobre este ambiente essencial para a qualidade dos serviosprestados pela empresa.

A informao certa comunicada a pessoas certas de importncia vital para a empresa.Para a tomada de decises, necessrios um cuidado detalhado com a integridade,preciso, atualidade, interpretabilidade e valor geral da informao.

Classificao das Informaes



5


6/58


Nem toda informao crucial ou essencial a ponto de merecer cuidados especiais. Poroutro lado, determinada informao pode ser to vital que o custo de sua integridade,qualquer que seja ainda ser menor que o custo de no dispor dela adequadamente.

A necessidade de classificao da informao em nveis de prioridade, respeitando a

necessidade de cada empresa assim como a importncia da classe de informao para amanuteno das atividades da empresa:

Pblica informao que pode vir a pblico sem maiores conseqncias danosas aofuncionamento normal da empresa, e cuja integridade no vital;

Interna o acesso a esse tipo de informao deve ser evitado, embora as conseqnciasdo uso no autorizado no sejam por demais srias. Sua integridade importante, mesmoque no seja vital;

Confidencial informao restrita aos limites da empresa, cuja divulgao ou perda podelevar a desequilbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidadeperante o cliente externo, alm de permitir vantagem expressiva ao concorrente;

Secreta informao crtica para as atividades da empresa, cuja integridade deve serpreservada a qualquer custo e cujo acesso deve ser restrito a um nmero bastante reduzidode pessoas. A manipulao desse tipo de informao vital para a companhia. Entretanto,independentemente da relevncia ou tipo da informao, a gesto dos dados organizacionais estratgica, pois possibilita o apoio para a tomada de decises em qualquer mbitoinstitucional. Algumas informaes so centrais para organizao e a divulgao parcial ou

total destas pode alavancar um nmero de repercusses cuja complexidade pode ser poucoou nada administrvel pela organizao com conseqncias possivelmente nefastas.

O conceito de engenharia da informao que um conjunto empresarial de disciplinasautomatizadas, dirigindo ao fornecimento da informao correta para a pessoa certa notempo exato j demonstrava a importncia da segurana da informao para as instituies.

Conforme, a qualidade dos processos custa dinheiro, mas a falta dela custa muito mais.Estabelecendo uma analogia, a segurana custa dinheiro mas a sua ausncia poder custarmuito mais.

Ciclo de Vida da InformaoO Ciclo de Vida composto e identificado pelos momentos vividos pela informao que acolocam em risco. Os momentos so vivenciados justamente quando os ativos fsicos,tecnolgicos e humanos fazem uso da informao, sustentando processos que, pos sua vez,mantm a operao da empresa.



6


7/58


Manuseio Momento em que a informao criada e manipulada, seja ao folhear um maode papis, ao digitar informaes recm-geradas em uma aplicao Internet, ou, ainda, aoutilizar sua senha de acesso para autenticao, por exemplo.

Armazenamento Momento em que a informao armazenada, seja em um banco de

dados compartilhado, em uma anotao de papel posteriormente postada em um arquivo deferro, ou, ainda em uma mdia de disquete depositada na gaveta da mesa de trabalho, porexemplo.

Transporte Momento em que a informao transportada, seja ao encaminharinformaes por correio eletrnico, ao postar um documento via aparelho de fax, ou, ainda,ao falar ao telefone uma informao confidencial, por exemplo.

Descarte Momento em que a informao descartada, seja ao depositar na lixeira da

empresa um material impresso, seja ao eliminar um arquivo eletrnico em seu computadorde mesa, ou ainda, ao descartar um CDROM usado que apresentou falha na leitura.

Segurana da Informao e seus Critrios

Com a dependncia do negcio aos sistemas de informao e o surgimento de novastecnologias e formas de trabalho, como o comrcio eletrnico, as redes virtuais privadas e osfuncionrios mveis, as empresas comearam a despertar para a necessidade de segurana,uma vez que se tornaram vulnerveis a um nmero maior de ameaas.

As redes de computadores, e conseqentemente a Internet mudaram as formas como se

usam sistemas de informao. As possibilidades e oportunidades de utilizao so muitomais amplas que em sistemas fechados, assim como os riscos privacidade e integridade dainformao. Portanto, muito importante que mecanismos de segurana de sistemas deinformao sejam projetados de maneira a prevenir acessos no autorizados aos recursose dados destes sistemas.

A segurana da informao a proteo dos sistemas de informao contra a negao deservio a usurios autorizados, assim como contra a intruso, e a modificao no-autorizada de dados ou informaes, armazenados, em processamento ou em trnsito,abrangendo a segurana dos recursos humanos, da documentao e do material, das rease instalaes das comunicaes e computacional, assim como as destinadas a prevenir,detectar, deter e documentar eventuais ameaas a seu desenvolvimento.

Segurana a base para dar s empresas a possibilidade e a liberdade necessria para acriao de novas oportunidades de negcio. evidente que os negcios esto cada vezmais dependentes das tecnologias e estas precisam estar de tal forma a proporcionarconfidencialidade, integridade e disponibilidade so os princpios bsicos para garantir asegurana da informao das informaes:



7


8/58


Confidencialidade A informao somente pode ser acessada por pessoasexplicitamente autorizadas; a proteo de sistemas de informao para impedir quepessoas no autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item garantir a identificao e autenticao das partes envolvidas.

Disponibilidade A informao ou sistema de computador deve estar disponvel nomomento em que a mesma for necessria;

Integridade A informao deve ser retornada em sua forma original no momento em quefoi armazenada; a proteo dos dados ou informaes contra modificaes intencionais ouacidentais no-autorizadas.

O item integridade no pode ser confundido com confiabilidade do contedo (seu significado)da informao. Uma informao pode ser imprecisa, mas deve permanecer integra (nosofrer alteraes por pessoas no autorizadas).

A segurana visa tambm aumentar a produtividade dos usurios atravs de um ambientemais organizado, proporcionando maior controle sobre os recursos de informtica,viabilizando at o uso de aplicaes de misso crtica.

A combinao em propores apropriadas dos itens confidencialidade, disponibilidade eintegridade facilitam o suporte para que as empresas alcancem os seus objetivos, pois seussistemas de informao sero mais confiveis.

Autenticidade Garante que a informao ou o usurio da mesma autntico; Atestacom exatido, a origem do dado ou informao;

No repdio No possvel negar (no sentido de dizer que no foi feito) uma operaoou servio que modificou ou criou uma informao; No possvel negar o envio ourecepo de uma informao ou dado;

Legalidade Garante a legalidade (jurdica) da informao; Aderncia de um sistema legislao; Caracterstica das informaes que possuem valor legal dentro de um processode comunicao, onde todos os ativos esto de acordo com as clusulas contratuaispactuadas ou a legislao poltica institucional, nacional ou internacional vigentes.

Privacidade Foge do aspecto de confidencialidade, pois uma informao pode serconsiderada confidencial, mas no privada. Uma informao privada deve ser vista / lida /alterada somente pelo seu dono. Garante ainda, que a informao no ser disponibilizadapara outras pessoas (neste caso atribudo o carter de confidencialidade a informao); a capacidade de um usurio realizar aes em um sistema sem que seja identificado.



8


9/58


Auditoria Rastreabilidade dos diversos passos que um negcio ou processo realizou ouque uma informao foi submetida, identificando os participantes, os locais e horrios decada etapa. Auditoria em software significa uma parte da aplicao, ou conjunto de funesdo sistema, que viabiliza uma auditoria; Consiste no exame do histrico dos eventos dentrode um sistema para determinar quando e onde ocorreu uma violao de segurana.

sugerido que a segurana somente obtida atravs da relao e correta implementaode 4 princpios da segurana: confidencialidade, integridade, disponibilidade e auditoria.

A confidencialidade dependente da integridade, pois se a integridade de um sistema forperdida, os mecanismos que controlam a confidencialidade no so mais confiveis.

A integridade dependente da confidencialidade, pois se alguma informao confidencial forperdida (senha de administrador do sistema, por exemplo) os mecanismos de integridadepodem ser desativados.

Auditoria e disponibilidade so dependentes da integridade e confidencialidade, pois estes

mecanismos garantem a auditoria do sistema (registros histricos) e a disponibilidade dosistema (nenhum servio ou informao vital alterado).

Morais da Segurana e Composio da Segurana3

Como no poderia deixar de ser, a segurana tambm possui algumas "morais" que surgiramno decorrer do tempo:

As portas dos fundos so to boas quanto s portas da frente.

Uma corrente to forte quanto o seu elo mais fraco.



9


10/58


Um invasor no tenta transpor as barreiras encontradas, ele vai ao redor delas buscando oponto mais vulnervel.

Outros Conceitos

Ameaas

Em ingls, utilizado utilizamos o termo threat para definir ameaa. E temos vrios tipos dethreat:

Ameaa Inteligente: Circunstncia onde um adversrio tem a potencialidade tcnica eoperacional para detectar e explorar uma vulnerabilidade de um sistema;



10


11/58


Ameaa: Potencial violao de segurana. Existe quando houver uma circunstncia,potencialidade, ao ou evento que poderia romper a segurana e causar o dano;

Ameaa de Anlise: Uma anlise da probabilidade das ocorrncias e das conseqnciasde aes prejudiciais a um sistema;

Conseqncias de uma ameaa: Uma violao de segurana resultado da ao de umaameaa. Inclui: divulgao, usurpao, decepo e rompimento; A ameaa pode ser definidacomo qualquer ao, acontecimento ou entidade que possa agir sobre um ativo, processo oupessoa, atravs de uma vulnerabilidade e conseqentemente gerando um determinadoimpacto. As ameaas apenas existem se houverem vulnerabilidades, sozinhas pouco fazem.Conforme descrito, as ameaas podem ser classificadas quanto a sua intencionalidade e serdivididas em grupos: Naturais Ameaas decorrentes de fenmenos da natureza, como incndios naturais,enchentes, terremotos, tempestades, poluio, etc.

Involuntrias Ameaas inconscientes, quase sempre causadas pelo desconhecimento.Podem ser causados por acidentes, erros, falta de energia, etc.

Voluntrias Ameaas propositais causadas por agentes humanos como hackers,invasores, espies, ladres, criadores e disseminadores de vrus de computador,incendirios.

Algumas outras ameaas aos sistemas de informao:

Falha de hardware ou softwareAes pessoais

Invaso pelo terminal de acesso Roubo de dados, servios, equipamentos Incndio Problemas eltricos Erros de usurios Mudanas no programa Problemas de telecomunicao

Elas podem se originar de fatores tcnicos, organizacionais e ambientais, agravados por msdecises administrativas.

Ataques

Em ingls, utilizado o termo attack para definir ataque. E existem vrios tipos de ataques.Ataque pode ser definido como um assalto ao sistema de segurana que deriva de umaameaa inteligente, isto , um ato inteligente que seja uma tentativa deliberada (especial no



11


12/58


sentido de um mtodo ou tcnica) para invadir servios de segurana e violar as polticas dosistema.

O ataque ato de tentar desviar dos controles de segurana de um sistema de forma aquebrar os princpios citados anteriormente.

Um ataque pode ser ativo, tendo por resultado a alterao dos dados; passivo, tendo porresultado a liberao dos dados; ou destrutivo visando negao do acesso aos dados ouservios.

O fato de um ataque estar acontecendo no significa necessariamente que ele ter sucesso.

O nvel de sucesso depende da vulnerabilidade do sistema ou da atividade e da eficcia decontramedidas existentes.

Para implementar mecanismos de segurana faz-se necessrio classificar as formas

possveis de ataques em sistemas:

Interceptao: considera-se interceptao o acesso a informaes por entidades noautorizadas (violao da privacidade e confidencialidade das informaes).

Interrupo: pode ser definida como a interrupo do fluxo normal das mensagens aodestino.

Modificao: consiste na modificao de mensagens por entidades no autorizadas,

violao da integridade da mensagem.

Personificao: considera-se personificao a entidade que acessa as informaes outransmite mensagem se passando por uma entidade autntica, violao da autenticidade.



12


13/58


Vulnerabilidades

A vulnerabilidade o ponto onde qualquer sistema suscetvel a um ataque, ou seja, umacondio encontrada em determinados recursos, processos, configuraes, etc.

Todos os ambientes so vulnerveis, partindo do principio de que no existem ambientestotalmente seguros. Muitas vezes encontramos vulnerabilidades nas medidas implementadaspela empresa.

Identificar as vulnerabilidades que podem contribuir para as ocorrncias de incidentes desegurana um aspecto importante na identificao de medidas adequadas de segurana.

As vulnerabilidades esto presentes no dia-a-dia das empresas e se apresentam nas maisdiversas reas de uma organizao.No existe uma nica causa para surgimento de vulnerabilidades. A negligncia por partedos administradores de rede e a falta de conhecimento tcnico so exemplos tpicos, porm

esta relao pode ser entendida como sendo de n para n, ou seja, cada vulnerabilidade podeestar presente em diversos ambientes computacionais.

Cada vulnerabilidade existente pode permitir a ocorrncia de determinados incidentes desegurana. Desta forma, podemos concluir que so as vulnerabilidades as principais causasdas ocorrncias de incidentes de segurana.



13


14/58


Por que sistemas so vulnerveis

Quando grandes quantidades de dados so armazenadas sob formato eletrnico, ficamvulnerveis a muito mais tipos de ameaas do que quando esto em formato manual.

Os avanos nas telecomunicaes e nos sistemas de informao ampliaram essasvulnerabilidades. Sistemas de informao em diferentes localidades podem serinterconectados por meio de redes de telecomunicaes. Logo, o potencial para acesso noautorizado, abuso ou fraude no fica limitado a um nico lugar, mas pode ocorrer emqualquer ponto de acesso rede.

Alm disso, arranjos mais complexos e diversos de hardware, software, pessoais eorganizacionais so exigidos para redes de telecomunicao, criando novas reas eoportunidades para invaso e manipulao. Redes sem fio que utilizam tecnologiasbaseadas em rdio so ainda mais vulnerveis invaso, porque fcil fazer a varredura

das faixas de radiofreqncia. A Internet apresenta problemas especiais porque foi projetadapara ser acessada facilmente por pessoas com sistemas de informaes diferentes. Asvulnerabilidades das redes de telecomunicao esto ilustradas na prxima figura.

Redes de telecomunicao so altamente vulnerveis a falhas naturais de hardware esoftware e ao uso indevido por programadores, operadores de computador, pessoal demanuteno e usurio finais.

possvel, por exemplo, grampear linhas de telecomunicao e interceptar dadosilegalmente. A transmisso de alta velocidade por canais de comunicao de par tranado,



14


15/58


por sua vez, causa interferncia denominada linha cruzada. E, finalmente, a radiaotambm pode causar falha da rede em vrios pontos.

Autenticao e autorizao

A autorizao o processo de conceder ou negar direitos a usurios ou sistemas, por meiodas chamadas listas de controle de acessos (Acess Control Lists ACL), definindo quaisatividades podero ser realizadas, desta forma gerando os chamados perfis de acesso.

A autenticao o meio para obter a certeza de que o usurio ou o objeto remoto realmente quem est afirmando ser. um servio essencial de segurana, pois umaautenticao confivel assegura o controle de acesso, determina que est autorizado a teracesso informao, permite trilhas de auditoria e assegura a legitimidade do acesso.

Atualmente os processos de autenticao esto baseados em trs mtodos distintos:

Identificao positiva (O que voc sabe) Na qual o requerente demonstra conhecimento

de alguma informao utilizada no processo de autenticao, por exemplo uma senha.

Identificao proprietria (O que voc tem) Na qual o requerente demonstrar possuiralgo a ser utilizado no processo de autenticao, como um carto magntico.



15


16/58


Identificao Biomtrica (O que voc ) Na qual o requerente exibe algumacaracterstica prpria, tal como a sua impresso digital

Combate a ataques e invases

Destinados a suprir a infra-estrutura tecnolgica com dispositivos de software e hardware deproteo, controle de acesso e conseqentemente combate a ataques e invases, estafamlia de mecanismos tem papel importante no modelo de gesto de segurana, medidaque as conexes eletrnicas e tentativas de acesso indevido crescem exponencialmente.Nesta categoria, existem dispositivos destinados ao monitoramento, filtragem e registro deacessos lgicos, bem como dispositivos voltados pra a segmentao de permetros,identificao e tratamento de tentativas de ataque.

Firewall

Um firewall um sistema (ou grupo de sistemas) que reforam a norma de segurana entreuma rede interna segura e uma rede no-confivel como a Internet. Os firewalls tendem aserem vistos como uma proteo entre a Internet e a rede privada. Mas em geral, um firewall



16


17/58


deveria ser considerado como um meio de dividir o mundo em duas ou mais redes: uma oumais redes seguras e uma ou mais redes no-seguras Um firewall pode ser um PC, umroteador, um computador de tamanho intermedirio, um mainframe, uma estao de trabalhoUNIX ou a combinao destes que determine qual informao ou servios podem seracessados de fora e a quem permitido usar a informao e os servios de fora.

Geralmente, um firewall instalado no ponto onde a rede interne segura e a rede externano-confivel se encontram, ponto que tambm conhecido como ponto deestrangulamento.

A fim de entender como um firewall funciona, considere que a rede seja um edifcio onde oacesso deva ser controlado. O edifcio tem uma sala de espera como o nico ponto deentrada. Nesta sala de espera, as recepcionistas recebem os visitantes, os guardas desegurana observam os visitantes, as cmeras de vdeo gravam as aes de cada visitante eleitores de sinais autenticam os visitantes que entram no edifcio.

Estes procedimentos devem funcionar bem para controlar o acesso ao edifcio, contudo se

uma pessoa no autorizada consegue entrar, no h meio de proteger o edifcio contra asaes do intruso. Porm, se os movimentos do intruso so monitorados, possvel detectarqualquer atividade suspeita.

Um firewall projetado para proteger as fontes de informao de uma organizao,controlando o acesso entre a rede interna segura e a rede externa no-confivel. importante notar que mesmo se o firewall tiver sido projetado para permitir que dadosconfiveis passem, negar servios vulnerveis e proteger a rede interna contra ataquesexternos, um ataque recm-criado pode penetrar o firewall a qualquer hora. O administradorda rede deve examinar regularmente os registros de eventos e alarmes gerados pelo firewall.

Os firewalls podem ser divididos em duas grandes classes: Filtros de pacote e servidoresproxy;

Filtros de Pacotes A filtragem de pacotes um dos principais mecanismos que, medianteregras definidas pelo administrador em um firewall, permite ou no a passagem dedatagramas IP em uma rede. Poderamos filtrar pacotes para impedir o acesso a um serviode Telnet, um chat ou mesmo um site na Internet.

O modelo mais simples de firewall conhecido como o dual homed system, ou seja, umsistema que interliga duas redes distintas. Este sistema possui um servidor com duas placas

de rede que faz com que os usurios possam falar entre si. O exemplo clssico um firewallentre uma Intranet e a Internet .



17


18/58


Detector de Intrusos6

A maneira mais comum para descobrir intruses a utilizao dos dados das auditoriasgerados pelos sistemas operacionais e ordenados em ordem cronolgica de acontecimento,sendo possvel inspeo manual destes registros, o que no uma prtica vivel, poisestes arquivos de logs apresentam tamanhos considerveis.

Nos ltimos anos, a tecnologia de deteco de intruso (Intrusion Detection System IDS)tem se mostrado uma grande aliada dos administradores de segurana. Basicamente, o quetais sistemas fazem tentar reconhecer um comportamento ou uma ao intrusiva, atravs

da anlise das informaes disponveis em um sistema de computao ou rede, para alertarum administrador e / ou automaticamente disparar contra-medidas.

Para realizar a deteco, vrias tecnologias esto sendo empregadas em produtoscomerciais ou em projetos de pesquisas, as tecnologias utilizadas incluem anlise estatstica,inferncia, inteligncia artificial, datamining, redes neurais e diversas outras.

Um IDS automatiza a tarefa de analisar dados da auditoria. Estes dados so extremamenteteis, pois podem ser usados para estabelecer a culpabilidade do atacante e na maioria das

vezes o nico modo de descobrir uma atividade sem autorizao, detectar a extenso dosdanos e prevenir tal ataque no futuro, tornando desta forma o IDS uma ferramentaextremamente valiosa para anlises em tempo real e tambm aps a ocorrncia de umataque.

Classificao de Detectores de Intruso



18


19/58


O IDS tem como principal objetivo detectar se algum est tentando entrar em um sistema ouse algum usurio legtimo est fazendo mau uso do mesmo. Esta ferramenta executadaconstantemente em background e somente gera uma notificao quando detecta algumaocorrncia que seja suspeita ou ilegal. Os sistemas em uso podem ser classificados comrelao a sua forma de monitorao (origem dos dados) e aos mecanismos (algoritmos) de

deteco utilizados.

Quanto Origem dos Dados

Existem basicamente dois tipos de implementao de ferramentas IDS:

Host Based IDS(HIDS) so instalados em servidores para alertar e identificar ataques etentativas de acesso indevido prpria mquina, sendo mais empregados nos casos em quea segurana est focada em informaes contidas em um servidor;

Network Based IDS (NIDS) so instalados em mquinas responsveis por identificar

ataques direcionados a toda a rede, monitorando o contedo dos pacotes de rede e seusdetalhes como informaes de cabealhos e protocolos.

Os sistemas NIDS podem monitorar diversos computadores simultaneamente. Todavia, suaeficcia diminui na medida em que o tamanho e a velocidade da rede aumenta, pelanecessidade de analisar os pacotes mais rapidamente. Alm disso, o uso de protocoloscifrados (baseados em SSL Secure Socket Layer) torna o contedo dos pacotes opaco aoIDS. A velocidade da rede e o uso de criptografia no so problemas para os sistemas HIDS.

Todavia, como esse sistema instalado na prpria mquina a monitorar, pode serdesativado por um invasor bem-sucedido. Existem IDS que trabalham de forma hbrida, ou

seja,combinando as duas tcnicas citadas anteriormente.

Quanto Forma de Deteco

Muitas ferramentas de IDS realizam suas operaes a partir da anlise de padres dosistema operacional e da rede tais como: utilizao de CPU, E/S de disco, uso de memria,atividades dos usurios, nmero de tentativas de login, nmero de conexes, volume dedados trafegando no segmento de rede entre outros. Estes dados formam uma base deinformao sobre a utilizao do sistema em vrios momentos ao longo do dia. Algumasferramentas possuem bases com padres de ataque (assinaturas) previamente constitudo,permitindo tambm a configurao das informaes j existentes bem como incluso de

novos parmetros. As tcnicas usadas para detectar intruses podem ser classificadas em:

Deteco por assinatura os dados coletados so comparados com uma base deregistros de ataques conhecidos (assinaturas). Por exemplo, o sistema pode vasculhar ospacotes de rede procurando seqncias de bytes que caracterizem um ataque de bufferoverflowcontra o servidor WWW Apache;



19


20/58


Deteco por anomalia os dados coletados so comparados com registros histricos daatividade considerada normal do sistema. Desvios da normalidade so sinalizados comoameaas.

Deteco Hbrida o mecanismo de anlise combina as duas abordagens anteriores,

buscando detectar ataques conhecidos e comportamentos anormais.

A deteco por assinatura a tcnica mais empregada nos sistemas de produo atuais. Umexemplo de IDS baseado em assinatura o SNORT. Os sistemas antivrus tambm adotama deteco por assinatura. A deteco de intruso por anomalia ainda pouco usada emsistemas de produo.

Privacidade das Comunicaes

Criptografia

A palavra criptografia tem origem grega (kriptos = escondido, oculto e grifo = grafia,escrita) edefine a arte ou cincia de escrever em cifras ou em cdigos, utilizando um conjunto detcnicas que torna uma mensagem incompreensvel, chamada comumente de texto cifrado,atravs de um processo chamado cifragem, permitindo que apenas o destinatrio desejadoconsiga decodificar e ler a mensagem com clareza, no processo inverso, a decifragem.

Criptografia a cincia de escrever ocultamente e hoje, sem dvida, a maneira maissegura de se enviar informaes atravs de um canal de comunicao inseguro como, porexemplo, a Internet.

A criptografia representa um conjunto de tcnicas que so usadas para manter a informao

segura. Estas tcnicas consistem na utilizao de chaves e algoritmos de criptografia. Tendoconhecimento da chave e do algoritmo usado possvel desembaralhar a mensagemrecebida.

Simtrica ou de chave privada

Estes so os algoritmos convencionais de criptografia, onde a mesma chave secreta utilizada tanto para cifrar como para decifrar uma mensagem, devendo ser conhecida porambos os lados do processo. Este o grande problema do mtodo, pois a chave tem de serentregue aos participantes de modo seguro, e as transaes s podem ser realizadas depoisdisso.



20


21/58


O fato de ambos os lados conhecerem a chave tambm leva possibilidade de repdio datransao, pois um lado pode sempre alegar que o outro usou a chave e realizou a transaoem seu nome, indevidamente.

Como cada par de participantes deve ter uma chave prpria, o nmero de chavesnecessrias para comunicao segura entre muitos participantes cresce combinatoriamente,

com agravante adicional de que todas essas chaves so secretas e devem ser protegidasadequadamente. Ou seja, um participante do ciclo de criptografia dever ter a chave detodos os outros para se comunicar com cada um deles. Isso inviabiliza o uso destesalgoritmos isoladamente em certas aplicaes.

Os algoritmos de chave simtrica so usados para cifrar a maioria dos dados ou fluxos dedados. Estes algoritmos so projetados para serem bem rpidos e (geralmente) terem umgrande nmero de chaves possveis. Os melhores algoritmos de chave simtrica oferecemboa segurana quando os dados so cifrados com determinada chave, e dificilmente pode-sedecifrar os dados sem possuir a mesma chave. Como a criptografia sempre uma cargaadicional ao processamento, esta vantagem importante e dever ser utilizada

adequadamente.

Os algoritmos de chave simtrica podem ser divididos em duas categorias: de bloco e defluxo:

Algoritmos de Bloco Cifram os dados a partir de blocos, ou seja, se o dado a ser cifrado um texto, esse texto ser dividido em blocos e a criptografia ser aplicada em cima de cada



21


22/58


bloco. Um problema com essa cifragem que se o mesmo bloco de texto simples aparecerem dois lugares, ele encriptar o mesmo texto, gerando assim, um padro de repetio.

Algoritmos de Fluxo Cifram os dados byte a byte. O dado a ser criptografado no cifrado por blocos, como o anterior e sim, serialmente. A informao vai sendo criptografada

do inicio ao fim, sem separaes.

H muitos algoritmos de chave simtrica em uso atualmente. Alguns dos algoritmos maiscomuns no campo da segurana so:

DES o Padro para Criptografia de Dados (Data Encryption Standard) foi adotado comopadro pelo governo dos EUA em 1977, e como padro ANSI em 1981. O DES umalgoritmo de bloco que usa uma chave de 56 bits e tem diferentes modos de operao,dependendo da finalidade com que usado. O DES um algoritmo poderoso, mas o seureinado no mercado comeou a ruir em janeiro/1997, quando a empresa RSA Data SecurityInc. (que detm a patente do sistema criptogrfico RSA) decidiu colocar o DES prova,

oferecendo um prmio de US$ 10 mil primeira pessoa ou instituio que decifrasse umafrase criptografada com o DES (vencido o primeiro desafio, a RSA decidiu repeti-lo a cadasemestre, condicionando o pagamento do prmio quebra do recorde de tempoestabelecido at o momento). Atualmente uma mquina preparada para a tarefa capaz dedecifrar uma mensagem cifrada com o DES em poucas horas.

Triple DES uma maneira de tornar o DES pelo menos duas vezes mais seguro,usando o algoritmo de criptografia trs vezes, com trs chaves diferentes. Usar o DES duasvezes com duas chaves diferentes no aumenta tanto a segurana quanto se poderia pensardevido a um tipo terico de ataque conhecido como meet-in-the-midle (encontro no meio),com o qual o atacante tenta cifrar o texto limpo simultaneamente com uma operao do DES

e decifrar o texto com outra operao, at que haja um encontro no meio. Atualmente, oTriple-DES est sendo usado por instituies financeiras com uma alternativa para o DES.

IDEA O International Data Encryption Algorithm (IDEA - Algoritmo de Criptografia deDados Internacional) foi desenvolvido em Zurique, na Sua, por James L. Massey e XuenjiaLai, e publicado em 1990. O IDEA usa chave de 128 bits, e bastante forte.

RC2 Este algoritmo de bloco foi desenvolvido originalmente por Ronald Rivest, e mantidoem segredo pela RSA Data Security. Foi revelado por uma mensagem annima na Usenetem 1996, e parece ser relativamente forte (embora algumas chaves sejam vulnerveis). ORC2 vendido com uma implementao que permite a utilizao de chaves de 1 a 2048 bits.

RC4 Inventado em 1987 pela RSA, nunca teve o seu algoritmo de funcionamento internopublicado. Esse segredo possua interesses financeiros e no de segurana. A empresaesperava que o mantendo em segredo, ningum mais o implementaria e o comercializaria. uma cifragem muito utilizada hoje em dia, at fazendo parte no protocolo de comunicaoSSL (Security Socket Layer).



22


23/58


RC5 Este algoritmo de bloco foi desenvolvido por Ronald Rivest e publicado em 1994. ORC5 permite que o tamanho da chave, o tamanho dos blocos de dados e o nmero de vezesque a criptografia ser realizada seja definida pelo usurio.

Blowfish um algoritmo de criptografia em bloco, rpido, compacto e simples, inventado

por Bruce Schneier. O algoritmo permite a utilizao de uma chave de tamanho varivel, deat 448 bits, e otimizado para executar em processadores de 32 ou 64 bits. No patenteado e foi colocado em domnio pblico.

Assimtrica ou de chave pblica

A existncia da criptografia de chave pblica foi postulada pela primeira vez em meados de1975 por Withfield Diffie e Martin Hellman. Os dois pesquisadores, na poca na universidadede Stanford, escreveram um artigo em que pressuponham a existncia de uma tcnicacriptogrfica com a qual a informao criptografada com uma chave poderia ser decifrada poruma segunda chave, aparentemente sem relao com a primeira. Robert Merkle, ento

estudante em Berkeley que tinha idias semelhantes mas, devido lentido do processo depublicao acadmica, seus artigos s foram publicados quando a idia de criptografia dechave pblica j era bem conhecida.

Os algoritmos assimtricos utilizam-se de duas chaves diferentes, uma em cada extremidadedo processo. As duas chaves so associadas atravs de um relacionamento matemtico,pertencendo a apenas um participante, que as utilizar para se comunicar com todos osoutros de modo seguro.

Essas duas chaves so geradas de tal maneira que a partir de uma delas no possvelcalcular a outra a um custo computacional vivel, possibilitando a divulgao de uma delas,

denominada chave pblica, sem colocar em risco o segredo da outra, denominada chavesecreta ou privada.



23


24/58


Os principais sistemas de chaves pblicas atualmente em uso so:

Diffie-Hellman Um sistema para troca de chaves criptogrficas entre partes. Na verdade,no um mtodo de criptografia ou decifragem, um mtodo para troca de chave secretacompartilhada por meio de um canal de comunicao pblico. Com efeito, as duas partesestabelecem certos valores numricos comuns e cada uma delas cria uma chave. Astransformaes matemticas das chaves so intercambiadas. Cada parte calcula ento umaterceira chave (a chave de sesso) que no pode ser descoberta facilmente por um atacanteque conhea os valores intercambiados.

ElGamal Batizado com o nome de seu criador, Taher ElGamal, um sistemacriptogrfico de chave pblica baseado no protocolo de troca de chaves de Diffie- Hellman. OElGamal pode ser utilizado para criptografia e assinatura digital, de forma semelhante aoalgoritmo RSA.

DSS O Digital Signature Standard(DSS - Padro de Assinatura Digital) foi desenvolvidopela Agncia Nacional de Segurana (NSA), e adotado como Padro Federal deProcessamento de Informao (FIPS) pelo Instituto Nacional de Padres Tecnologia (NIST)dos EUA. O DSS baseado no Algoritmo de Assinatura Digital - DSA (Digital Signature

Algorithm) que permite a utilizao de qualquer tamanho de chave, embora no DSS FIPSs sejam permitidas chaves entre 512 e 1024 bits. O DSS s pode ser usado para arealizao de assinaturas digitais, embora haja implementaes do DSA para criptografia.

RSA RSA um sistema criptogrfico de chave pblica conhecido, desenvolvido porRonald Rivest, Adi Shamir e Leonard Adleman, ento professores do MIT (Instituto deTecnologia de Massachusets). O RSA utiliza criptografia em blocos e possui uma seguranamuito forte, devido ao alto poder computacional necessrio para se tentar quebrar uma chave



24


25/58


RSA. Pode tanto ser usado para cifrar informaes como para servir de base para umsistema de assinatura digital. As assinaturas digitais podem ser usadas para provar aautenticidade de informaes digitais. A chave pode ser de qualquer tamanho, dependendoda implementao utilizada.

Assinatura Digital

Outra grande vantagem dos algoritmos assimtricos, particularmente o RSA, que o maisconhecido e utilizado atualmente, que o processo funciona tambm na criptografia no outrosentido, da chave secreta para a chave pblica, o que possibilita implementar o que sedenomina assinatura digital.

O conceito de assinatura o de um processo que apenas o signatrio possa realizar,garantindo dessa maneira sua participao pessoal no processo. Como a chave secreta deposse e uso exclusivo de seu detentor, um processo de cifragem usando a chave privada dosignatrio se encaixa nesse conceito, permitindo, assim, a gerao de uma assinatura por

um processo digital.

No caso da assinatura digital, inadequado cifrar toda a mensagem ou documento a serassinado digitalmente devido ao tempo gasto na criptografia de um documento utilizandochaves assimtricas. A criptografia aplicada apenas sobre um identificador unvoco domesmo. Normalmente utilizado como identificador o resultado da aplicao de uma funotipo HASH, que mapeia um documento digital de tamanho qualquer num conjunto de bits detamanho fixo. Ao valor do HASH podem ainda ser anexados a data/hora, nmero deseqncia e outros dados identificadores, e este conjunto ento cifrado com a chavesecreta do signatrio constituindo a assinatura digital do documento. A funo de HASH serexplicada em seguida.

Qualquer participante pode verificar a autenticidade de uma assinatura digital, bastandodecifr-la com a chave pblica do signatrio, o qual todos podem ter acesso. Se o resultado significativo, est garantido o uso da chave secreta correspondente na assinatura, e portantosua autenticidade. Resta ainda comprovar a associao da assinatura ao documento, o que feito recalculando o HASH do documento recebido e comparando-o com o valor includo naassinatura. Se forem iguais, prova-se ainda a ligao com o documento, assim como aintegridade (no alterao) do mesmo. Uma vez que a verificao realizada utilizando achave pblica, sua validao pode ser realizada por terceiros, tais como rbitros e auditores.

Virtual Private Network

A idia de utilizar uma rede pblica como a Internet em vez de linhas privativas paraimplementar redes corporativas denominada de Virtual Private Network (VPN) ou RedePrivada Virtual. As VPNs so tneis de criptografia entre pontos autorizados, criados atravsda Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, demodo seguro, entre redes corporativas ou usurios remotos.



25


26/58


A segurana a primeira e mais importante funo da VPN. Uma vez que dados privadossero transmitidos pela Internet, que um meio de transmisso inseguro, eles devem serprotegidos de forma a no permitir que sejam modificados ou interceptados.Outro servio

oferecido pelas VPNs a conexo entre corporaes.

Uma das grandes vantagens decorrentes do uso das VPNs a reduo de custos comcomunicaes corporativas, pois elimina a necessidade de links dedicados de longa distnciaque podem ser substitudos pela Internet. As LANs podem, atravs de links dedicados oudiscados, conectar-se a algum provedor de acesso local e interligar-se a outras LANs,possibilitando o fluxo de dados atravs da Internet. Esta soluo pode ser bastanteinteressante sob o ponto de vista econmico, sobretudo nos casos em que enlacesinternacionais ou nacionais de longa distncia esto envolvidos. Outro fator que simplifica aoperacionalizao da WAN que a conexo LAN-Internet-LAN fica parcialmente a cargo dosprovedores de acesso.

Aplicaes para redes privadas virtuais

Abaixo, so apresentadas as trs aplicaes ditas mais importantes para as VPNs.

Acesso Remoto via Internet O acesso remoto a redes corporativas atravs da Internetpode ser viabilizado com a VPN atravs da ligao local a algum provedor de acesso(Internet Service Provider - ISP). A estao remota disca para o provedor de acesso,conectando-se Internet e o software de VPN cria uma rede virtual privada entre o usurioremoto e o servidor de VPN corporativo atravs da Internet.

Conexo de Lans via Internet Uma soluo que substitui as conexes entre LANs atravsde circuitos dedicados de longa distncia a utilizao de circuitos dedicados locaisinterligando-as Internet. O software de VPN assegura esta interconexo formando a WANcorporativa.

A depender das aplicaes tambm, pode-se optar pela utilizao de circuitos discados emuma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada Internetvia circuito dedicado local ficando disponvel 24 horas por dia para eventuais trfegosprovenientes da VPN.

Leis Fundamentais

So 10 as leis fundamentais da segurana da informao Todas as vezes que for necessrioparticipar de um novo projeto de software ou infra-estrutura em sua empresa, se preocupeem respeitar as leis abaixo:



26


27/58


1. Segurana do lado do Cliente no funciona

Segurana do lado do cliente segurana implementada unicamente no cliente;

O usurio sempre tem a oportunidade de quebrar a segurana, pois ele est no controle damquina;

A segurana no lado do cliente no fornecer segurana se tempo e recursos estiveremdisponveis ao atacante.

2. Voc no pode trocar chaves de criptografia com segurana sem uma informaocompartilhada.

As informaes compartilhadas so usadas para validar mquinas antes da criao dasesso;

Voc pode trocar chaves privadas compartilhadas ou usar SSL (Secure Socket Layer)atravs do seu navegador;

As trocas de chaves so vulnerveis a ataques do tipo man-in-themiddle (homem no meio).

3. No existe proteo total contra cdigo malicioso.

Os produtos de software no so perfeitos;

Os programas de deteco de vrus e cavalo de tria se baseiam em arquivos deassinatura;

Pequenas mudanas na assinatura de cdigo podem produzir uma variao no detectvel(at que a nova assinatura seja publicada).

4. Qualquer cdigo malicioso pode ser completamente modificado para evitar detecode assinatura.

Os atacantes podem mudar a identidade ou assinatura de um arquivo rapidamente;

Os atacantes podem usar compactao, criptografia e senhas para mudar a aparncia docdigo;

Voc no tem como se proteger contra cada modificao possvel.



27


28/58


5. Os firewalls no podem proteg-lo cem por cento contra ataques.

Os firewalls podem ser software ou hardware, ou ambos;A principal funo de um firewall filtrar pacotes que chegam e saem;

Ataques sucessivos so possveis como resultados de regras e polticas incorretas, e deproblemas de manuteno.

6. Qualquer IDS pode ser burlado.

Os sistemas de deteco de intruso (IDS) freqentemente so projetos passivos;

difcil para um atacante detectar a presena de um IDS quando est sondando;

Um IDS est sujeito configurao incorreta e falta de manuteno. Essas condiespodem criar oportunidades de ataque.

7. Algoritmos criptogrficos secretos no so seguros.

Criptografia difcil;

A maioria da criptografia no revisada e testada o bastante antes de ser lanada;

Algoritmos comuns esto em uso em diversas reas. Eles so difceis, mas noimpossveis de atacar.

8. Se uma chave no for necessria, voc no tem criptografia voctem codificao.

Esta lei universal; no h excees;

A criptografia usada para proteger a codificao. Se no existe uma chave, voc nopode criptografar;

As chaves precisam ser mantidas em segredo ou no existe segurana;

As senhas no podem ser armazenadas com segurana no cliente a menos que haja outrasenha para proteg-las;

fcil detectar informaes de senha armazenadas em mquinas clientes;



28


29/58


Se uma senha no criptografada ou no est protegida quando armazenada, ele no segura;

A segurana de senha em mquinas clientes requer um segundo mecanismo para fornecersegurana.

9. Para que um sistema comece a ser considerado seguro, ele precisa submeter-se auma auditoria de segurana independente.

A auditoria o comeo de uma boa anlise de sistemas de segurana;

Os sistemas de segurana, muitas vezes, no so revisados correta ou completamente,permitindo furos;

Verificao externa vital para a defesa; a falta dela um convite a ataques.

10. Segurana atravs de obscuridade no funciona.

Ocultar no proteger;

necessria proteo ativa;

O uso da obscuridade por si s convida ao comprometimento.

As 10 Leis Imutveis da Segurana Segundo Scott Culp, gerente central de resposta desegurana da Microsoft, so 10 as leis da segurana:

Primeira: Se um malfeitor consegue te persuadir a executar um programa no seucomputador, este computador deixa de ser seu.

O conselho de - jamais executar arquivos de estranhos - merece, justamente, o primeirolugar nessa lista. Este o principal problema enfrentado por usurios com excesso deconfiana. Pessoas ms podem facilmente tomar o controle do seu computador se teconvencerem a executar os seus (deles) programas. Software como cavalos-de-Tria fazemparte desta lei.

Segunda: Se um malfeitor consegue alterar o sistema operacional do seu computador, estecomputador deixa de ser seu.



29


30/58


Programas executam comandos que so interpretados pelo sistema operacional docomputador. Se um programa pode prejudicar seu funcionamento, imagine o que umaalterao no prprio sistema operacional pode fazer.

Terceira: Se um malfeitor tiver acesso fsico irrestrito ao seu computador, este computador

deixa de ser seu.

Nenhum sistema lgico de segurana suficientemente bom para proteger um computadorse esse estiver acessvel fisicamente.

Entre os milhares de ameaas que surgem neste cenrio, esto as simples - como jogar ocomputador pela janela - e as mais complexas - como abrir o equipamento, conectardispositivos que faam cpias das informaes que trafegam pelo computador para transferi-las para lugares remotos.

Quarta: Se voc permitir que um malfeitor envie programas para seu web site, este web site

deixa de ser seu.

Assim como seu computador possui um sistema e programas que fazem suas tarefasdirias - como as planilhas, editores etc. um web Server possui um sistema operacional eprogramas que respondem pela tarefa de "servir" pginas na internet.

Se voc permitir que um visitante instrua este computador a executar seus comandosestar sob a mesma vulnerabilidade da primeira lei.

Estes comandos isolados ou at mesmo um programa completo podero ser transmitidos eexecutados pelo computador, submetendo-o vontade do invasor.

Quinta: Senhas fracas triunfam sobre a mais forte segurana.

Uma senha , por definio, secreta. Entretanto, muitos usurios as compartilham comcolegas ou as entregam a estranhos. Ela serve para dizer se voc quem diz ser. Deixaralgum usar sua senha como permitir que assumam sua identidade. Qualquer aotomada sob essa identificao ser de sua responsabilidade.

Isso sem falar nos que nem mesmo tm uma senha! alarmante o nmero de contas,inclusive administrativas, que no possuem senha ou que a senha igual ao login. Claro quea maioria cai no erro de senhas bvias, nomes, datas de aniversrio, marca do monitor (!)

etc.Sexta: Um sistema to seguro quanto seu administrador confivel.

Polticas de acesso restrito a servios ou arquivos so peas-chave para se manter ummnimo de segurana nos sistemas. Mas quem diz quais arquivos ou servios devem ou noser acessados? Certo, o administrador.



30


31/58


Ele possui controle total sobre o sistema e pode, a seu inteiro critrio, acessar qualquerbyte que esteja sob seu domnio, mesmo que ele no seja a pessoa certa para, digamos,abrir um relatrio confidencial da diretoria ou a folha de pagamentos.

A confiana no responsvel pela administrao dos sistemas de segurana deve serapoiada por mecanismos de monitorao de acesso exclusivo dos auditores. Utilizao deferramentas para responsabilidade compartilhada, onde necessrio o consentimentode mais de uma pessoa na execuo de determinadas tarefas, ajudam a minimizar umproblema de confiana.

Stima: Dados criptografados so to seguros quanto senha usada para sua decriptao.

Todos os sistemas de criptografia possuem chaves com as quais possvel decifrar seucontedo. Um sistema - por mais forte que seja - perde seu valor caso a senha usada estejadisponvel para terceiros.

Este erro cometido por muitos usurios, principalmente na guarda de arquivos usadoscomo chave. Ao invs de grav-los no prprio computador, procure guard-los em umdisquete (e leve este disquete para um lugar seguro). Caso estes arquivos estejamprotegidos por senhas, ou caso as prprias senhas e passphrases, senhas formadas porfrases, sejam usadas na criptografia, jamais as anotem em cadernos, post-it, palms etc.

Oitava: Um antivrus desatualizado apenas ligeiramente melhor do que nenhum antivrus.

As mais eficientes tecnologias de combate aos vrus so baseadas em pesquisas nosarquivos de um computador, comparando-os com trechos de vrus j catalogados pelofabricante do antivrus.

Quando um vrus descoberto, o fornecedor do seu software antivrus "descreve" este vruse fornece estes dados para que sua ferramenta possa reconhec-lo caso o encontreperambulando pelos seus arquivos.

J deu para imaginar que um antivrus desatualizado, ou seja, que no reconhece umdeterminado vrus - mesmo que ele esteja bem embaixo do seu nariz - no vai ser uma

proteo muito eficiente. A grande maioria dos sistemas antivrus possui atualizaesautomticas on-line, facilitando muito esse trabalho. Basta fazer a sua parte!

Nona: O anonimato absoluto no existe, nem dentro, nem fora daInternet.



31


32/58


Durante qualquer tipo de interao com outras pessoas, dados sobre voc so coletados earmazenados, independentemente do propsito e s vezes at mesmo contra a vontade dointerlocutor.

Em uma conversa sobre o tempo em um elevador voc j deixou disponvel, de forma

aproximada, seu peso, sua altura, sua idade, seu status na sociedade, seu poder aquisitivo e,dependendo do sotaque, sua origem. Pode-se descobrir mais em crachs, observandoposturas e gestos, puxando outros assuntos e, finalmente, observando em que andar vocdesce do elevador.

Na Internet ou em qualquer outra rede, a situao a mesma: computadores queconversam com outros computadores deixam as informaes sobre a comunicao ou seusprprios sistemas armazenados no interlocutor ou em pontos intermedirios.

Estas informaes so geralmente arquivadas por convenincia (para futurasinvestigaes, por exemplo), mas outras so especialmente requisitadas para um

levantamento do comportamento dos usurios, verificao de um funcionrio quanto aoseguimento da poltica de segurana de uma empresa ou at mesmo a identificaoinequvoca de uma pessoa cruzando-se dados de diferentes organizaes e websites.

Dcima: Tecnologia no um remdio para todos os males. OUTecnologia no uma panacia.

Algumas pessoas desconfiam de campanhas de marketing que prometem soluesmilagrosas, perfeitas, definitivas e de baixo custo para qualquer tipo de produto. Profissionaisda rea de segurana no desconfiam: tm certeza de que no existe, na sua rea, umasoluo deste tipo.

Nenhum software ou hardware suficientemente bom para proteger eternamente seussistemas computacionais. Assim como nem mesmo um exrcito inteiro suficientementebom para impedir um ataque inimigo bem sucedido.

Primeiro porque segurana no se consegue s com tecnologia nem s com atitudes. Ela uma combinao de equipamentos seguros e prticas seguras. Segundo porque a seguranano um produto, um processo. Mesmo que voc consiga um nvel de seguranasatisfatrio em um determinado momento, nada garante que as ameaas continuaro asmesmas e que nenhuma outra vulnerabilidade poder ser explorada no futuro.

No espere que um fabricante fornea correes ou lance verses aprimoradas dos seussistemas de segurana que resolvam os problemas descritos acima. No existe, hoje, outrasoluo para eles alm de uma educao em segurana da informao.

Processo de Segurana



32


33/58


Segurana no tecnologia, no possvel comprar um dispositivo que torne a sua empresasegura, assim como no possvel comprar ou criar um software capaz de tornar seucomputador seguro.Como trabalho, a segurana tambm se constitui de um processo. Pode se fazer umaanalogia com o trabalho de uma analista de sistemas, mas o trabalho de um profissional de

segurana, deve-se resumir no mnimo em:Analise o problema levando em considerao tudo que conhece. Sintetize uma soluo para o problema a partir de sua anlise.Avalie a soluo e aprenda em que aspectos no corresponderam a suas expectativas.

Este processo deve ser feito continuamente, como num crculo vicioso.

O mtodo PDCA (Plan, Do, Check e Action Planejar, Executar, Verificar e Agir), hoje oprincipal mtodo da Administrao pela Qualidade Total, tendo sido criado na dcada de1920 por Shewhart. Ele se baseia no ontrole processos, mas pode ser adaptado para serutilizando num ciclo de verificao da informao num processo de segurana.

Neste sentido a anlise e medio dos processos so relevantes para a manuteno emelhoria dos mesmos, contemplando inclusive o planejamento, padronizao e adocumentao destes.

O uso dos mesmos pode ser assim descrito:

Plan Definir o que se quer, planejar o que ser feito, estabelecer metas e definir osmtodos que permitiro atingir as metas propostas. No caso de desenvolvimento de umSistema de Informao, esta atividade pode corresponder ao planejamento do Sistema.



33


34/58


Do Tomar iniciativa, educar, treinar, implementar, executar o planejado conforme asmetas e mtodos definidos. No caso de desenvolvimento de um Sistema de Informao, estaatividade pode corresponder ao desenvolvimento e uso do sistema.

Check Verificar os resultados que se est obtendo, verificar continuamente os trabalhos

para ver se esto sendo executados conforme planejados. No caso de desenvolvimento deum Sistema de Informao, esta atividade pode corresponder aos testes, anlise dasinformaes geradas e avaliao de qualidade do sistema.

Action Fazer correes de rotas se for necessrio, tomar aes corretivas ou demelhoria, caso tenha sido constatada na fase anterior a necessidade de corrigir ou melhorarprocessos. No caso de desenvolvimento de um Sistema de Informao, esta atividade podecorresponder aos ajustes, implementaes e continuidade do sistema.

Polticas de Segurana

Existe uma antiga piada, contada mais ou menos assim:

Um guarda de segurana que trabalha no turno da noite em uma fbrica v um homembaixinho sair do prdio, empurrando um carrinho de mo vazio. O guarda, com uma suspeitarepentina, pra o homem, que pergunta por que est sendo parado. Apenas quero tercerteza de que voc no est roubando nada, diz o guarda, forma grosseira. Confira tudo oque quiser, responde o homem, e o guarda procura, mas no encontra nada suspeito epermite que o homem v embora. Na noite seguinte, acontece mesma coisa. Isso se repetepor algumas semanas e ento o baixinho no aparece mais no porto.

Passam vinte anos e o guarda, j aposentado, est sentado em um bar, quando o baixinho

entra. Reconhecendo-o, o guarda aposentado se aproxima, explica quem e oferece pagaruma bebida, se o baixinho responder a uma pergunta. O homem concorda e o guarda diz:

Tenho certeza de que voc estava levando algo, mas nunca consegui descobrir o que vocestava roubando. O baixinho pegou a bebida e, enquanto levava o copo boca, disse: Euestava roubando carrinhos de mo.

A idia dessa piada sugere, claro, que as medidas de segurana nada representaro se osguardas no souberem o que devero proteger.

Experimentem perguntar ao executivo de uma empresa quais so os objetivos das equipes

de segurana e provavelmente receber respostas parecidas com so eles que nos mantmseguros l. Se pressionadas, muitas pessoas podero ir um pouco adiante, descrevendo olado da segurana fsica: no permitir a entrada de visitas sem autorizao, verificar se estotrancadas as portas que devem permanecer trancadas e ajudar em qualquer emergncia. bem pouco provvel que as mesmas pessoas compreendam para que existe a equipe desegurana dos computadores.



34


35/58


Na melhor das hipteses, provavelmente voc ouvir manter os hackers fora de nossarede. Cabe equipe de segurana da rede partir dessa descrio vaga e mostrar que seutrabalho mais amplo, at o ponto em que possa fixar prioridades e merecer estar includonos oramentos.

Se voc perguntar a profissionais de segurana o que poder fazer de mais importante paraproteger sua rede, eles respondero, sem hesitar, que escrever uma boa poltica desegurana.

Definindo uma Poltica de Segurana de Informaes

A Poltica de Segurana apenas a formalizao dos anseios da empresa quanto proteodas informaes.

A poltica de segurana um mecanismo preventivo de proteo dos dados e processosimportantes de uma organizao que define um padro de segurana a ser seguido pelocorpo tcnico e gerencial e pelos usurios, internos ou externos. Pode ser usada para definiras interfaces entre usurios, fornecedores e parceiros e para medir a qualidade e asegurana dos sistemas atuais.

Em um pas, temos a legislao que deve ser seguida para que tenhamos um padro deconduta considerado adequado s necessidades da nao para garantia de seu progresso eharmonia. No havia como ser diferente em uma empresa. Nesta, precisamos definirpadres de conduta para garantir o sucesso do negcio.

Ainda fazendo um paralelo com a legislao, temos nesta: leis, decretos, medidas provisriasentre outras.

Uma poltica de segurana atende a vrios propsitos:

1 Descreve o que est sendo protegido e por qu;

2 Define prioridades sobre o que precisa ser protegido em primeiro lugar e com qual custo;

3 Permite estabelecer um acordo explcito com vrias partes da empresa em relao ao valorda segurana;

4 Fornece ao departamento de segurana um motivo vlido para dizer no quandonecessrio;



35


36/58


5 Proporciona ao departamento de segurana a autoridade necessria para sustentar ono;

6 Impede que o departamento de segurana tenha um desempenho ftil.

A poltica de segurana de informaes deve estabelecer princpios institucionais de como aorganizao ir proteger controlar e monitorar seus recursos computacionais e,conseqentemente, as informaes por eles manipuladas. importante que a polticaestabelea ainda as responsabilidades das funes relacionadas com a segurana ediscrimine as principais ameaas, riscos e impactos envolvidos.

A poltica de segurana, deve ir alm dos aspectos relacionados com sistemas de informaoou recursos computacionais, ela deve estar integrada com as polticas

Institucionais da empresa, metas de negcio e ao planejamento estratgico da empresa.

Armadilhas

Se uma boa poltica de segurana o recurso mais importante que se pode criar para tornaruma rede segura, por que a maioria das empresas considera to difcil criar uma polticaeficiente? Existem vrias razes principais.

Prioridade: A poltica importante, mas hoje tarde preciso que algum coloque oservidor da Web on-line. Se for necessrio que as pessoas deixem de cuidar do queconsideram urgentes e usem o tempo para concordar com a poltica de segurana, sermuito difcil ter sucesso.

Poltica interna: Em qualquer empresa, grande ou pequena, vrios fatores internos afetamqualquer deciso ou prtica.

Propriedade: De uma maneira bastante estranha, em algumas empresas existe uma brigaentre vrios grupos que desejam ser os donos da poltica e, em outras empresas, a brigaocorre entre vrios grupos que explicitamente no querem ser os responsveis pela poltica.

Dificuldade para escrever: Uma boa poltica um documento difcil de se organizar demaneira precisa, principalmente quando necessrio que seja abrangente. No possvelprever todos os casos e todos os detalhes.

Algumas sugestes para ajudar a solucionar esses problemas:

Uma boa poltica hoje melhor do que uma excelente poltica no prximo ano;

Uma poltica fraca, mas bem-distribuda, melhor do que uma poltica forte que ningumleu;



36


37/58


Uma poltica simples e facilmente compreendida melhor do que uma poltica confusa ecomplicada que ningum se d o trabalho de ler;

Uma poltica cujos detalhes esto ligeiramente errados muito melhor do que uma poltica

sem quaisquer detalhes;

Uma poltica dinmica que atualizada constantemente melhor do que uma poltica quese torna obsoleta com o passar do tempo;

Costuma ser melhor se desculpar do que pedir permisso.

Como organizar uma poltica de segurana eficiente.

Existe uma forma de estabelecer uma poltica decente em sua empresa. No perfeita nemsem riscos, mas se conseguir administr-la, voc economizar muito tempo e dificuldades. Oprocesso o seguinte:

1. Escreva uma poltica de segurana para sua empresa.

No inclua nada especfico. Afirme generalidades. Essa poltica no dever ocupar mais decinco pginas. Nem sero necessrios mais de dois dias para escrev-la. Pense em escrev-la durante o fim de semana, assim no ser perturbado. No pea ajuda. Faa de acordocom suas prprias idias. No tente torn-la perfeita, procure apenas reunir algumas idias

essenciais. No necessrio que esteja completa e no precisa ser de uma clarezaabsoluta.

2. Descubra trs pessoas dispostas a fazer parte do comit de poltica de segurana.

A tarefa dessas pessoas ser criar regras e emendas para a poltica, sem modific-la. Aspessoas do comit devero estar interessadas na existncia de uma poltica de segurana,pertencer a partes diferentes da empresa, se possveis, e estar dispostas a se encontraremrapidamente uma ou duas vezes por trimestre.

Deixe claro que a aplicao da poltica e a soluo de qualquer problema relacionado so

sua responsabilidade e no delas. O trabalho do comit ser o de legisladores e no deexecutores.

3. Crie um site interno sobre a poltica e inclua uma pgina para entrar em contato como comit.



37


38/58


medida que as emendas forem escritas e aprovadas, acrescente-as ao site to depressaquanto possvel.

4. Trate a poltica e as emendas como regras absolutas com fora de lei.

No faa nada que possa violar a poltica e no permita que ocorram violaes. Em algummomento, a administrao notar o que est acontecendo. Permita e incentive queadministrao se envolva no processo tanto quanto possvel, a no ser que o pessoal daadministrao pretenda simplesmente eliminar a sua poltica e deix-lo com nada. Oriente-ospara a criao de uma poltica nova e melhor. No ser possvel engaj-los a menos querealmente o queiram e este um mtodo excelente para envolv-los. Se eles continuareminteressados, voc ser capaz de estabelecer uma poltica com o aval da administrao. Seeles passarem a se ocupar de outras coisas, sua poltica seguir no processo emandamento.

5. Se algum tiver algum problema com a poltica, faa com que a pessoa proponhauma emenda.

A emenda poder ter apenas uma Dever ser to genrica quanto possvel. Para se tornaruma emenda, ser necessrio que dois dos trs (ou mais) membros do comit de polticaconcordem.

6. Programe um encontro regular para consolidar a poltica e as emendas.

Esse encontro dever acontecer uma vez por ano e dever envolver voc e o comit depoltica de segurana. O propsito desse encontro , considerando a poltica e possveisemendas, combin-los em uma nova declarao de poltica de cinco pginas. Incentive oprprio comit a redigi-la, se preferir, mas provavelmente o melhor procedimento serdedicar um fim de semana para escrever outro rascunho da poltica, incluindo todas asemendas.

7. Repita o processo novamente. (item 3 em diante).

Exponha a poltica no site, trate-a como uma lei, envolva as pessoas da administrao, se

desejarem ser envolvidas, acrescente emendas conforme seja necessrio e revise tudo acada ano. Continue repetindo esse processo, enquanto for possvel.

Contedo da Poltica

Algumas questes cuja incluso em uma poltica de segurana dever ser levada emconsiderao:



38


39/58


O que estamos protegendo?

Se no souber o que e por que est defendendo, no ser possvel defend-lo

Saber que est sendo atacado representa mais da metade da batalha.

Descreva de forma razoavelmente detalhada os tipos de nveis de segurana esperados parasua empresa. Por exemplo, caracterize as mquinas da rede da seguinte maneira:

Vermelho Contm informaes extremamente confidenciais ou fornece serviosessenciais;

Amarelo Contm informaes sensveis ou fornece servios importantes.

Verde Capaz de ter acesso s mquinas vermelhas ou amarelas, mas no armazena

informaes sensveis nem executa funes cruciais de uma maneira direta.

Branco Sem acesso aos sistemas vermelho, amarelo ou verde e no pode ser acessadoexternamente. Sem funes ou informaes sensveis.

Preto Acessvel externamente. Sem acesso aos sistemas vermelho, amarelo, verde oubranco.

Reunindo essas informaes, voc agora ter um vocabulrio para descrever todas asmquinas existentes na rede e o nvel de segurana a se atribudo a cada mquina. Amesma nomenclatura permitir descrever as redes, alm de exigir, por exemplo, que as

mquinas vermelhas estejam conectadas s redes vermelhas e assim por diante.

Mtodos de proteo

Descrever as prioridades para a proteo da rede. Por exemplo, as prioridadesorganizacionais podero ser as seguintes:

1. Sade e segurana humana;

2. Conformidade com a legislao aplicvel local, estadual e federal;

3. Preservao dos interesses da empresa;

4. Preservao dos interesses dos parceiros da empresa;

5. Disseminao gratuita e aberta de informaes no-sensveis.



39


40/58


Descrever qualquer poltica de carter geral para o acesso de cada categoria do sistema, eainda criar um ciclo de qualificao que ir descrever com que freqncia uma mquina dedeterminado tipo de usurio dever ser examinada para verificar se ainda est configuradacorretamente de acordo com seu status de segurana.

Barreiras de SeguranaConceitualmente, diante da amplitude e complexidade do papel da segurana, comumestudarmos os desafios em camadas ou fases, particionando todo o trabalho para tornarmais claro o entendimento de cada uma delas. Chamamos esta diviso de barreiras.Cada uma delas tem uma participao importante no objetivo maior de reduzir os riscos, epor isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita interaoe integrao, como se fossem peas de um nico quebra-cabea.

Barreira 1: Desencorajar Esta a primeira das cinco barreiras de segurana e cumpre opapel importante de desencorajar as ameaas.

Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estmulo pelatentativa de quebra de segurana por efeito de mecanismosfsicos, tecnolgicos ou humanos. A simples presena de uma cmera de vdeo, mesmofalsa, de um aviso da existncia de alarmes, campanhas de divulgao da poltica desegurana ou treinamento dos funcionrios informando as prticas de auditoria emonitoramento de acesso aos sistemas, j so efetivos nesta fase.

Barreira 2: Dificultar O papel desta barreira complementar anterior atravs daadoo efetiva dos controles que iro dificultar o acesso indevido. Como exemplo, podemoscitar os dispositivos de autenticao para acesso fsico, como roletas, detectores de metal e

alarmes, ou lgicos, como leitores de carto magntico, senhas, smartcards e certificadosdigitais, alm da criptografia, firewall, etc.

Barreira 3: Discriminar Aqui o importante se cercar de recursos que permitamidentificar e gerir os acessos, definindo perfis e autorizando permisses. Os sistemas solargamente empregados para monitorar e estabelecer limites e acesso aos servios detelefonia, permetros fsicos, aplicaes de computador e bancos de dados. Os processos deavaliao e gesto do volume de usos dos recursos, como e-mail, impressora, ou at mesmoo fluxo de acesso fsico aos ambientes, so bons exemplos das atividades desta barreira.

Barreira 4: Detectar Mais uma vez agindo de forma complementar s suas

antecessoras, esta barreira deve munir a soluo de segurana de dispositivos quesinalizem, alertem e instrumentam os gestores da segurana na deteco de situaes derisco. Seja em uma tentativa de invaso, uma possvel contaminao por vrus, odescumprimento da poltica de segurana da empresa, ou a cpia e envio de informaessigilosas de forma inadequada.



40


41/58


Entram aqui os sistemas de monitoramento e auditoria para auxiliar na identificao deatitudes de exposio, como o antivrus e os sistema de deteco de intrusos, que reduziramo tempo de resposta a incidentes.

Barreira 5: Deter Representa o objetivo de impedir que a ameaa atinja os ativos que

suportam o negcio. O acionamento desta barreira, ativando seus mecanismos de controle, um sinal de que as barreiras anteriores no foram suficientes para conter a ao da ameaa.Neste momento, medidas de deteno, como aes administrativas, punitivas e bloqueio deacessos fsicos e lgicos, respectivamente a ambientes e sistemas, so bons exemplos.

Barreira 6: Diagnosticar Apesar de representar a ltima barreira no diagrama, esta fasetem um sentido especial de representar a continuidade do processo de gesto de segurana.Pode parecer o fim, mas o elo de ligao com a primeira barreira, criando um movimentocclico e contnuo.

Devido a esses fatores esta a barreira de maior importncia. Deve ser conduzida por

atividades de anlise de riscos que considerem tanto os aspectos tecnolgicos quanto osfsicos e humanos, sempre orientados s caractersticas e s necessidades especficas dosprocessos de negcio da empresa.

importante notar que um trabalho preliminar de diagnstico mal conduzido ou executadosem metodologia e instrumentos que confiram maior preciso ao processo de levantamentoe anlise de riscos, poder distorcer o entendimento da situao atual de segurana esimultaneamente a situao desejada. Desta forma, aumenta a probabilidade de sedimensionar inadequadamente estas barreiras, distribuindo os investimentos de formadesproporcional, redundante muitas vezes, e pior, de forma ineficaz. O retorno sobreinvestimento no corresponder s expectativas e a empresa no atingir o nvel de

segurana adequado natureza de suas atividades.AmeaasCenrio 1

Tome como exemplo uma grande loja de departamentos e 10 possveis assaltantes(daqueles bem simples, que roubam somente roupas / perfumes / etc.).

Vamos ver como funcionaria cada barreira. As 5 primeiras barreiras (se corretamenteorganizadas), poderia funcionar da seguinte forma:

DESENCORAJAR Ao entrar na loja, os assaltantes percebem um grande aviso na porta

Sorria, voc est sendo filmado !!!. Como este aviso, 2 assaltantes ficaram intimidados edesistiram do furto. Sobraram 8.

DIFICULTAR Nas peas de roupas que seriam roubadas, existe um dispositivoeletromagntico que impede a sada do produto da loja sem antes passar pelo caixa. Comisto, 2 assaltantes foram para outra loja. Sobraram 6.



41


42/58


DISCRIMINAR A loja dispe de cmeras de vdeo posicionadas de forma a cobrir todosos pontos da loja. Estas cmeras possibilitam a identificao dos assaltantes. Ao perceberemas cmeras, 2 assaltantes ficaram receosos e desistiram. Sobraram 4.

DETECTAR Ao passar pela porta, os alarmes identificaram as peas de roupas com osdispositivos, soando um alarme sonoro. 2 assaltantes largaram as peas de roupas efugiram. No perca as contas, ainda sobraram 2.

DETER O armrio, digo, vigia da loja, prende os 2 ltimos assaltantes. Estes meliantesto cedo no voltam a agir.

DIAGNOSTICAR Nesta fase, a equipe de segurana da loja ir fazer um balano sobreeficcia dos mtodos adotados. O ideal, seria que os assaltantes desistam ao encontrar abarreira DISCRIMINAR. Neste exemplo, se todos os 4 assaltantes ignorassem a barreiraDETECTAR, o vigia (barreira DETER) teria dificuldades. Ou se os 2 ltimos assaltantes

estivessem armados, o vigia (barreira DETER) poderia no funcionar adequadamente(poderia haver troca de tiros, ocasionado em possveis perdas humanas).

Um exemplo de melhoria poderia ser aplicado na barreira DISCRIMINAR, ao identificarsuspeitos, atravs de algum software de reconhecimento de imagens interligado com obanco de dados da polcia, a polcia poderia ser chamada de forma a evitar maioresprejuzos para a loja e seus clientes.

Cenrio 2

Num cenrio bancrio, a porta giratria com identificao de metais, pode ser classificadocomo um mtodo de desencorajamento, dificuldade (no fcil passar uma arma),discriminao (identifica uma arma) , deteco e deteo (pois o suspeito fica preso naporta).

Estudo de Caso

Rever as polticas de segurana criadas por vocs e verificar se as barreiras esto sendoaplicadas nas polticas;

Gerenciamento de Risco

O risco no um novo problema ou uma nova terminologia; os seres humanos sempretiveram de enfrentar (ou encarar) os riscos no seu meio ambiente, embora seu significadotenha mudado, como tem mudado a sociedade e o prprio meio onde vive. No passado, agrande preocupao estava centrada nos desastres naturais (geolgicos e climatolgicos) naforma de inundaes, secas, terremotos e tempestades.



42


43/58


Aps a revoluo industrial, os riscos naturais foram substitudos por aqueles gerados peloprprio homem; nos Estados Unidos, os acidentes originados dos perigos tecnolgico

apostila segurança da informação

Documents