Introdução aos Sistemas de Informações

Módulo 6

Segurança da TI

2

Por que os Controles São Necessários

• Os controles são necessários para garantir a qualidade e segurança dos recursos de hardware, software, redes e dados dos sistemas de informação. Os computadores provaram que podem processar grandes volumes de dados e executar cálculos complexos de modo mais preciso do que os sistemas manuais ou mecânicos.

• Entretanto, sabe-se também que:- Ocorrem erros em sistemas computadorizados- Os computadores têm sido utilizados para fins fraudulentos.- Os sistemas de computador e seus recursos de software e dados têm sido destruídos acidental ou deliberadamente.

3

4

Casualidades

• Acidentes,• Desastres naturais,• Sabotagem,• Vandalismo,• Uso não autorizado,• Espionagem industrial,• Destruição, e• Roubo de recursos

5

Tipos de Controle

• Três tipos principais de controle devem ser desenvolvidos para garantir a qualidade e segurança dos SI.

• Essas categorias de controle incluem:

1. Controles de sistemas de informação.

2. Controles de procedimentos.

3. Controles de instalações.

6

1. Controles de SI• Entrada de dados

• Senhas e outros códigos• Telas formatadas• Sinais audíveis de erro

• Técnicas de processamento• Controle de hardware• Controle de software

• Métodos de armazenamento• Criptografia• Backup

• Saída de informações• Relatórios• Listas de distribuição• Formulários pré-numerados

Controles de Hardware• Circuitos de Detecção de Falhas

• Componentes Redundantes

• Microprocessadores de Finalidades Especiais e Circuitos Associados

7

Controles de Software• Rótulos de Arquivos Internos

• Pontos de Verificação

• Monitores de Segurança de Sistema

8

2. Controles das Instalações

• Segurança da rede

• Administração de segurança– Fire Wall– Criptografia

• Controles biométricos

• Tolerância a falhas

• Controles de proteção física

9

10

Controles de Proteção Física

• Símbolos de identificação,

• Fechaduras eletrônicas,

• Alarmes contra roubo,

• Polícia de segurança,

• Circuito fechado de TV, e

• Outros sistemas de detecção

11

3. Controle dos Procedimentos

• Padrões de procedimento e documentação

• Requisitos de Autorização

• Recuperação de Desastres

• Controles para a Computação pelo Usuário Final

12

13

14

TÁTICAS USUAIS DE HACKING • Negação de Serviço: Tornando o equipamento de um website ocupado

com muitos pedidos de informação, um atacante pode, de fato, obstruir o sistema, reduzir seu desempenho ou mesmo travar o site.

• Scans: Extensas investigações na Internet para descobrir tipos de computadores, serviços e conexões. Dessa forma, maus sujeitos podem tirar vantagem de fraquezas de uma determinada fabricação de computador ou de um programa.

• Sniffer: Programas que, de modo disfarçado, procuram pacotes individuais de dados ao serem transmitidos pela Internet, capturando senhas de acesso ou conteúdos completos.

• Spoofing: Disfarçar um endereço de e-mail ou página da Web para enganar usuários, levando-os a entregar informações cruciais, como senhas de acesso ou números de cartão de crédito.

• Cavalo de Tróia: Um programa que, ignorado pelo usuário, contém instruções que exploram uma conhecida vulnerabilidade de alguns softwares.

• Back Doors: Se o ponto de entrada original tiver sido detectado, ter uns poucos caminhos escondidos nos fundos torna a reentrada simples — e difícil de ser percebida.

15

TÁTICAS USUAIS DE HACKING • Applets prejudiciais: programas escritos na popular linguagem Java, que

utilizam mal os recursos de seu computador, modificam arquivos no disco rígido, enviam e-mail falso, ou roubam senhas.

• Discagem de Guerra: Programas que automaticamente discam milhares de números de telefone buscando uma forma de fazer uma conexão com um modem.

• Bombas lógicas: Uma instrução num programa de computador que o faz realizar uma ação prejudicial.

• Buffer Overflow: Uma técnica para travar ou obter controle sobre um computador enviando uma quantidade muito grande de dados ao buffer na memória de um computador.

• Quebrador de senhas: Software que pode descobrir senhas. • Engenharia social: Uma tática utilizada para conseguir acesso aos

sistemas de computadores por meio de conversa confiante com funcionários da empresa sobre informações valiosas, tais como as senhas.

• Mergulho no Depósito de Lixo: Vasculhar o lixo de uma empresa para encontrar informações que ajudem a interromper seus computadores. Às vezes, a informação é utilizada para tornar uma tentativa de engenharia social mais confiável

16

17

18

19

Auditoria de SI

Auditoria em torno do computadorEnvolve a verificação da precisão e propriedade de entrada e saída do computador produzida sem avaliação do software que processou os dados.

Vantagens deste método:- Método simples e fácil que não exige auditores com

experiência em programação.

Desvantagens deste método:- Não acompanha uma transação ao longo de todas as suas

etapas de processamento - Não testa a precisão e integridade do software utilizado.

20

Auditoria de SIAuditoria por meio do computador

Envolve verificação da precisão e integridade do software que processa os dados, bem como das entradas e saídas produzidos pelos sistemas e redes de computadores.

Vantagens deste método:- Testa a precisão e integridade dos programas de

computador.- Testa a entrada e saída do sistema de computador.

Desvantagens deste método:- Exige conhecimento do sistema de computador, de rede e

desenvolvimento de software.- Dispendioso para algumas aplicações de computador.

21FIM