Segurança de Sistemas PDF

Summary

Este documento apresenta fundamentos e tópicos relacionados à segurança de sistemas, incluindo a triade CID, pilares da segurança da informação e meios de aplicabilidade. Também abrange o ciclo de vida da informação, a organização de segurança e as técnicas de auditoria de sistemas de informação.

Full Transcript

P

Segurança da Informação
Tríade CID

Garantia da integridade, confidencialidade e disponibilidade dos dados: Garantir que os
dados sejam precisos, protegidos contra acesso não autorizado e estejam disponíveis
quando necessários, garantindo assim a confiabilidade e eficácia das operações.

Identificação de vulnerabilidades e riscos: Detectar e mitigar possíveis pontos fracos nos
sistemas que possam ser explorados por ameaças, reduzindo assim a probabilidade de
incidentes de segurança.

Cumprimento de regulamentações e normas de segurança: Assegurar que os sistemas
estejam em conformidade com leis, regulamentos e padrões de segurança estabelecidos,
protegendo assim a organização contra possíveis penalidades legais e danos à reputação.
 P

Principais Pilares da Segurança da
Informação
1. Confidencialidade: Garantia de que apenas usuários autorizados tenham acesso a
informações sensíveis.

2. Integridade: Garantia de que os dados não sejam alterados ou corrompidos por usuários
não autorizados.

3. Disponibilidade: Garantia de que os recursos de tecnologia da informação estejam
disponíveis quando necessários.

4. Autenticidade: Garantia de que a identidade de usuários e recursos seja confirmada de
forma confiável.

5. Não-repúdio: Garantia de que as partes envolvidas em uma comunicação ou transação
não possam negar sua participação ou as ações realizadas.
 P

Meios de Aplicabilidade da
Segurança e Auditoria
Políticas de Segurança: Conjunto de regras e diretrizes que orientam o comportamento
dos usuários e a administração dos sistemas para proteger os recursos de informação.

Controles de Acesso: Mecanismos que limitam o acesso a recursos de informação
somente a usuários autorizados, utilizando métodos como autenticação e autorização.

Criptografia: Técnica de codificação de informações para proteger sua confidencialidade
durante a transmissão e armazenamento.

Monitoramento de Atividades: Acompanhamento contínuo das atividades dos usuários
e sistemas para identificar comportamentos suspeitos ou violações de segurança.

Auditorias Regulares: Avaliação periódica dos controles de segurança e práticas de
conformidade para garantir a eficácia e conformidade com políticas e regulamentações.
 P

A Segurança e o Ciclo de Vida da
Informação
Criação e Coleta: Dados são gerados ou coletados de diversas fontes.
Fontes de dados: Sensores, pesquisas, transações, etc.
Cuidados na criação: Garantir precisão e integridade desde o início.
Proteção inicial: Criptografia e controles de acesso

Armazenamento: Dados são armazenados de maneira segura.
Métodos de armazenamento: Servidores, nuvem, dispositivos físicos.
Medidas de Segurança: Criptografia, backups regulares, controle de acesso.
Políticas de Retenção: Definição de períodos de retenção de dados
 P

A Segurança e o Ciclo de Vida da
Informação
Uso: Acesso e utilização dos dados de forma controlada.
Controle de Acesso: Autenticação e autorização
Monitoramento: Auditorias e logs de acesso.
Educação de Usuários: Treinamento em boas práticas de segurança

Compartilhamento: Troca de dados entre diferentes partes, com segurança.
Políticas de Compartilhamento: Definição clara de quem pode acessar o quê.
Segurança da Transferência: Uso de canais seguros (VPNs, SSL/TLS).
Gerenciamento de Permissões: Revisão e atualização periódica de permissões
 P

A Segurança e o Ciclo de Vida da
Informação
Arquivamento: Dados são armazenados para referência futura.
Critérios de Arquivamento: Dados que precisam ser mantidos por razões legais
ou históricas.
Segurança de Arquivos: Criptografia e armazenamento em locais seguros.
Acesso a Arquivos: Controle rigoroso sobre quem pode acessar arquivos
arquivados.

Descarte: Eliminação segura de dados que não são mais necessários.
Métodos de Descarte: Destruição física, sobrescrita, desmagnetização.
Políticas de Descarte: Procedimentos claros e documentados.
Compliance: Conformidade com regulamentações e leis.
 P

Classificação e Controle dos Ativos
de Informação
Objetivo da Classificação:

Definição de Ativos de Identificar o nível de sensibilidade e
Informação: Qualquer recurso importância dos ativos.
que tenha valor para a
organização e que contenha Categorias Comuns:

dados ou informação. Público, Interno, Confidencial,
Restrito.
Importância: Proteção Critérios de Classificação:
adequada dos ativos contra
riscos e ameaças. Sensibilidade, impacto potencial de
divulgação, valor para a organização.
 P

Classificação e Controle dos Ativos
de Informação
Identificação dos Ativos: Lista
completa dos ativos de
informação.
Objetivo dos Controles: Garantir
a segurança, integridade e
Avaliação de Sensibilidade: disponibilidade dos ativos
Análise do impacto de vazamento
ou perda.
Tipos de Controle: Físico,
Atribuição de Categorias: Definir a técnico, administrativo.
categoria apropriada para cada
ativo.
Implementação de controles:
Documentação: Registrar e Medidas de segurança baseadas
manter atualizada a classificação na classificação dos ativos.
dos ativos.
 P

Segurança do Ambiente Físico e
Lógico
Ambiente Físico Ambiente Lógico
Exemplos: Exemplos:

Travas, câmeras de segurança, controle de Firewalls, criptografia, autenticação multifator.
acesso a instalações.

Proteção de Ambientes: Proteção de Sistemas:

Data centers, salas de servidores, arquivos Redes, computadores, dispositivos móveis.
físicos.
Monitoramento e Auditoria:
Monitoramento:
Logs de acesso, sistemas de detecção de
Vigilância contínua e registro de acessos. intrusão.
 A

Aspectos Humanos da Segurança
da Informação
A segurança da informação não depende apenas de tecnologias avançadas
e políticas rigorosas, mas também do comportamento e das ações das
pessoas que interagem com os sistemas e dados da organização. Os
aspectos humanos da segurança da informação envolvem a
conscientização, treinamento e comportamento dos funcionários, que são
frequentemente considerados a primeira linha de defesa contra ameaças à
segurança.
 A

Aspectos Humanos da Segurança
da Informação
Conscientização e Treinamento

A conscientização dos funcionários sobre os riscos e práticas de segurança é
crucial. Programas de treinamento regulares devem ser implementados para
educar os funcionários sobre:

Boas Práticas de Segurança: Uso adequado de senhas, reconhecimento de e-
mails de phishing, e proteção de informações sensíveis.

Políticas e Procedimentos de Segurança: Entendimento das políticas da empresa
e dos procedimentos a serem seguidos para garantir a segurança da informação.

Resposta a Incidentes: Como identificar e responder a incidentes de segurança,
como vazamento de dados ou tentativas de intrusão.
 A

Aspectos Humanos da Segurança
da Informação
Cultura Organizacional

Criar uma cultura de segurança dentro da organização é fundamental.
Isso envolve:

Engajamento da Liderança: Os líderes da organização devem promover e
apoiar a importância da segurança da informação.

Comunicação Aberta: Incentivar os funcionários a reportarem problemas
de segurança sem medo de repercussões.

Reforço Positivo: Reconhecer e recompensar comportamentos que
contribuem para a segurança da informação.
 A

Aspectos Humanos da Segurança
da Informação
Comportamento e Atitudes

O comportamento e as atitudes dos funcionários têm um impacto significativo
na segurança da informação. É importante:

Minimizar o Erro Humano: Implementar sistemas e processos que reduzam a
possibilidade de erro humano, como a automação de tarefas críticas e a
implementação de controles de segurança.

Gestão de Acessos: Garantir que os funcionários tenham acesso apenas às
informações necessárias para o desempenho de suas funções, minimizando o
risco de acesso indevido.

Segurança Física: Educar os funcionários sobre a importância de proteger
dispositivos físicos, como laptops e smartphones, contra roubo ou perda.
 A

Controle de Acesso
Controle de Acesso é uma medida de segurança que restringe o acesso a
recursos críticos e dados sensíveis, garantindo que apenas usuários
autorizados possam acessar determinados sistemas ou informações. Ele é
essencial para proteger a integridade, confidencialidade e disponibilidade
dos ativos organizacionais.
 A

Controle de Acesso
Controle de Acesso Lógico envolve políticas e ferramentas que regulam quem pode acessar
sistemas de informação, redes e dados digitais. Os principais componentes incluem:

Autenticação: Verifica a identidade dos usuários por meio de senhas, tokens, biometria, etc.

Autorização: Define o que os usuários autenticados podem acessar e modificar, baseada em
permissões e papéis (RBAC).

Auditoria: Registra e monitora as atividades dos usuários para detectar e prevenir
comportamentos suspeitos ou não autorizados.

Criptografia: Protege dados durante a transmissão e armazenamento, garantindo que apenas
usuários autorizados possam acessá-los.
 A

Controle de Acesso
Controle de Acesso Físico se refere a medidas de segurança que limitam o acesso a
locais físicos, como edifícios, salas de servidores, e datacenters. Exemplos incluem:

Cartões de Acesso: Identificam e registram entradas e saídas de funcionários e
visitantes em áreas restritas.

Sistemas de Videomonitoramento (CCTV): Monitoram em tempo real áreas sensíveis,
ajudando na detecção de acessos não autorizados.

Biometria: Utiliza características físicas, como impressões digitais ou reconhecimento
facial, para garantir que apenas pessoas autorizadas tenham acesso.

Barreiras Físicas: Portas blindadas, catracas, e cercas que dificultam ou impedem o
acesso físico não autorizado.
 A

Controle de Acesso
A implementação eficaz de controle de acesso oferece diversos benefícios para a
segurança organizacional:

Proteção contra Ameaças Internas e Externas: Previne acessos não autorizados a
informações críticas.

Compliance: Garante conformidade com regulamentos de segurança e privacidade,
como LGPD e GDPR.

Resposta a Incidentes: Melhora a capacidade de detectar e responder a incidentes de
segurança.

Confiança dos Stakeholders: Fortalece a confiança de clientes e parceiros na
segurança das operações.
 A

Controle de Acesso
Para garantir a eficácia do controle de acesso, adote as seguintes práticas:

Implementação de Múltiplos Fatores de Autenticação (MFA): Adicione camadas
extras de segurança além de senhas.

Princípio do Menor Privilégio (PoLP): Conceda aos usuários apenas as
permissões necessárias para realizar suas tarefas.

Auditorias Regulares: Revise e ajuste periodicamente as permissões e acessos
concedidos.

Treinamento de Usuários: Eduque os funcionários sobre a importância do
controle de acesso e as melhores práticas de segurança.
 P

Organização da Segurança
A Organização da Segurança refere-se à estruturação e coordenação das
políticas, procedimentos, recursos e pessoas envolvidas na proteção dos
ativos e informações de uma organização. Ela é fundamental para garantir
que todos os aspectos da segurança sejam abordados de maneira
integrada e eficiente.
 P

Organização da Segurança
A organização da segurança é composta por diversos elementos interligados, incluindo:

Governança de Segurança: Estrutura de liderança e diretrizes que assegura que a segurança esteja
alinhada com os objetivos estratégicos da organização.

Políticas de Segurança: Conjunto de regras e diretrizes que definem como os recursos da organização
devem ser protegidos.

Recursos Humanos: Envolvimento de pessoas treinadas e capacitadas para implementar e monitorar
práticas de segurança.

Tecnologia: Ferramentas e sistemas que suportam a implementação de controles de segurança.

Processos e Procedimentos: Metodologias para a gestão de riscos, incidentes de segurança e
conformidade.
 P

Organização da Segurança
A Governança de Segurança é o pilar central na organização da segurança, responsável
por:

Definição de Políticas e Normas: Estabelece as diretrizes de segurança que devem ser
seguidas por toda a organização.

Tomada de Decisão: Garante que decisões críticas relacionadas à segurança sejam
tomadas com base em uma análise abrangente dos riscos.

Gestão de Riscos: Identifica, avalia e mitiga riscos que possam impactar a segurança
dos ativos e informações da organização.

Conformidade: Assegura que a organização cumpre com todas as leis, regulamentos e
padrões aplicáveis à segurança.
 P

Organização da Segurança
Políticas e Procedimentos de Segurança são documentos fundamentais que orientam as
ações de segurança na organização. Eles incluem:

Política de Segurança da Informação (PSI): Define diretrizes para a proteção de dados e
informações sensíveis.

Política de Uso de Recursos: Regula como os recursos tecnológicos devem ser
utilizados pelos colaboradores.

Plano de Resposta a Incidentes: Procedimentos para identificar, responder e
recuperar-se de incidentes de segurança.

Gestão de Identidades e Acessos (IAM): Normas para gerenciar o ciclo de vida de
identidades digitais e o acesso a sistemas.
 P

Organização da Segurança
A estrutura organizacional de segurança envolve diferentes níveis de
responsabilidade:

Comitê de Segurança: Grupo de líderes que orienta a direção estratégica da
segurança na organização.

Equipe de Segurança da Informação: Profissionais dedicados à implementação e
monitoramento das políticas e práticas de segurança.

Auditores Internos e Externos: Responsáveis por avaliar a eficácia dos controles
de segurança e conformidade.

Colaboradores: Todos os funcionários têm responsabilidades na manutenção da
segurança organizacional.
 P

Organização da Segurança
Desenvolver uma Cultura de Segurança robusta é essencial para o sucesso da
organização da segurança:

Conscientização e Treinamento: Eduque continuamente os colaboradores sobre
práticas seguras e as ameaças emergentes.

Engajamento de Todos os Níveis: A segurança deve ser uma prioridade para todos na
organização, do nível operacional à alta administração.

Comunicação Eficiente: Estabeleça canais claros para a comunicação de incidentes,
preocupações e melhorias na segurança.

Reconhecimento e Incentivo: Recompense comportamentos que promovam a
segurança e incentivem a participação ativa dos colaboradores.
 P

Organização da Segurança
A organização da segurança enfrenta desafios que devem ser gerenciados com
cuidado:

Complexidade Organizacional: Organizações grandes ou distribuídas enfrentam
dificuldades para manter políticas de segurança consistentes.

Evolução das Ameaças: A rápida evolução das ameaças cibernéticas exige que a
organização da segurança seja dinâmica e adaptável.

Resistência à Mudança: Implementar novas políticas ou tecnologias de
segurança pode encontrar resistência dentro da organização.

Custo e Recursos: A alocação de recursos financeiros e humanos para a
segurança pode ser limitada, exigindo decisões estratégicas.
 P

Organização da Segurança
Para uma organização de segurança eficaz, adote as seguintes melhores práticas:

Alinhamento Estratégico: Assegure que as iniciativas de segurança estejam
alinhadas com os objetivos de negócios.

Avaliação Contínua de Riscos: Realize avaliações periódicas para identificar
novas ameaças e ajustar as medidas de segurança.

Integração de Segurança em Todos os Processos: Incorpore a segurança em
todas as fases dos processos organizacionais, desde o planejamento até a
execução.

Investimento em Tecnologia e Pessoas: Combine soluções tecnológicas
avançadas com capacitação contínua dos profissionais de segurança.
 A Segurança no Contexto da
Governança de TI
O que é Governança de TI? Como a Segurança se Integra à
Governança de TI
Conjunto de práticas,
processos e estruturas Segurança como componente
organizacionais. central na Governança de TI.

Alinhamento da TI com os Estabelecimento de políticas e
objetivos de negócios. procedimentos de segurança.

Gestão eficaz dos recursos Alinhamento das práticas de
de TI, maximizando valor e segurança com os objetivos
minimizando riscos. estratégicos.
 A Segurança no Contexto da
Governança de TI
Benefícios

Redução de riscos cibernéticos.

Conformidade com
regulamentações (ex.: LGPD,
GDPR).

Proteção de ativos críticos e dados
sensíveis.

Maior confiança dos stakeholders.
 Os tipos comuns de ataques
Cibernéticos
Phishing: Um dos ataques mais frequentes, onde os invasores enviam e-mails ou mensagens
fraudulentas que parecem ser de fontes confiáveis, com o objetivo de induzir as vítimas a
fornecer informações pessoais ou clicar em links maliciosos.

Ransomware: Nesse tipo de ataque, os criminosos sequestram os dados de uma organização
ou indivíduo, criptografando-os e exigindo um resgate para restaurar o acesso. Exemplos
notórios incluem ataques como o WannaCry.

Ataques de Negação de Serviço (DoS/DDoS): Esses ataques sobrecarregam um servidor, rede
ou serviço com tráfego excessivo, tornando-os inacessíveis para os usuários legítimos. Em
ataques DDoS (Distribuídos), essa sobrecarga vem de várias fontes, dificultando a defesa.

Malware: Programas maliciosos, como vírus, worms, trojans e spyware, projetados para causar
danos ao sistema, roubar informações ou executar atividades não autorizadas. O malware pode
ser distribuído por e-mails, downloads maliciosos ou mídias removíveis.
 Os tipos comuns de ataques
Cibernéticos
Ataques Man-in-the-Middle (MitM): O invasor intercepta a comunicação entre dois sistemas,
podendo capturar ou alterar dados em trânsito sem que as partes envolvidas percebam. Esse
tipo de ataque é comum em redes Wi-Fi desprotegidas.

SQL Injection: Esse ataque ocorre quando invasores inserem códigos maliciosos em uma
aplicação através de consultas SQL vulneráveis, permitindo o acesso não autorizado a bancos
de dados. Isso pode levar ao roubo de informações sensíveis, como dados de usuários.

Ataques de Engenharia Social: Manipulação psicológica de indivíduos para que eles revelem
informações confidenciais ou realizem ações inseguras. Os ataques de engenharia social
exploram a confiança e podem ser combinados com outras técnicas, como phishing.

Exploração de Vulnerabilidades Zero-Day: Ataques que exploram falhas de segurança
desconhecidas ou não corrigidas nos softwares. Como as vulnerabilidades são desconhecidas
pelo fabricante, os ataques zero-day podem ser altamente devastadores até que uma correção
seja disponibilizada.
 Fundamentos em Auditoria de
Sistemas de Informação
O que é Auditoria de Sistemas de Informação?

Auditoria de Sistemas de Informação (ASI) é o processo de avaliar e revisar
os controles, a segurança e a integridade de sistemas tecnológicos e
informações empresariais. Seu objetivo é garantir que os sistemas
funcionem corretamente, de forma eficiente e em conformidade com as
normas e regulamentações aplicáveis.
 Fundamentos em Auditoria de
Sistemas de Informação
Importância da Auditoria de SI

Segurança e Proteção de Dados: Identifica vulnerabilidades e garante que
medidas de segurança adequadas estejam implementadas para proteger dados
sensíveis.

Conformidade: Assegura que a organização esteja de acordo com leis,
regulamentos e políticas internas, como LGPD, SOX e outras normas do setor.

Eficiência Operacional: Verifica se os sistemas de TI estão funcionando de forma
eficaz e eficiente para suportar as operações do negócio.

Detecção de Fraudes: Ajuda a detectar e prevenir fraudes, manipulação de
dados e outras irregularidades.
 Fundamentos em Auditoria de
Sistemas de Informação
Tipos de Auditoria de SI

Auditoria de Conformidade: Avalia se os sistemas e processos atendem às
regulamentações e normas exigidas.

Auditoria de Segurança: Verifica os controles de segurança, incluindo firewalls,
criptografia e práticas de autenticação.

Auditoria Operacional: Analisa a eficácia dos processos e procedimentos
internos de TI.

Auditoria de Desempenho: Avalia a eficiência dos sistemas em termos de
processamento de dados, resposta a usuários e uso de recursos.
 Fundamentos em Auditoria de
Sistemas de Informação
Princípios da Auditoria de Sistemas de Informação

Independência e Objetividade: O auditor deve ser imparcial e independente,
evitando conflitos de interesse.

Integridade: As auditorias devem ser conduzidas de forma ética e com precisão
nos registros e conclusões.

Baseada em Riscos: A auditoria deve focar em áreas de maior risco para a
organização, avaliando controles e processos críticos.

Documentação Adequada: Manter registros detalhados e organizados do
processo de auditoria é fundamental para garantir rastreabilidade e
conformidade.
 Fundamentos em Auditoria de
Sistemas de Informação
Processo de Auditoria de Sistemas de Informação

Planejamento: Definir o escopo da auditoria, identificar os riscos e priorizar áreas
a serem auditadas.

Execução: Revisar documentos, realizar entrevistas e testes para verificar
controles e procedimentos.

Relatório: Documentar os achados, fornecer recomendações e sugerir ações
corretivas.

Follow-up: Monitorar a implementação das recomendações e garantir que os
problemas identificados sejam resolvidos.
 Fundamentos em Auditoria de
Sistemas de Informação
Benefícios da Auditoria de SI para as Organizações

Melhoria nos Controles Internos: A auditoria ajuda a identificar deficiências e
sugerir melhorias nos processos de controle interno.

Aprimoramento da Segurança: Proporciona uma avaliação crítica dos controles
de segurança e suas vulnerabilidades.

Eficiência nos Processos: Identifica gargalos e recomendações para melhorar o
desempenho e a eficiência operacional.

Confiança nas Operações: Garante maior transparência e confiança nas
operações de TI, mitigando riscos.
 Ferramentas de Auditoria de
Sistemas de Informação
Tipos de Ferramentas de Auditoria de SI

Ferramentas de Avaliação de Riscos
Essas ferramentas ajudam a identificar e avaliar os riscos de segurança e de operação de TI,
fornecendo relatórios detalhados sobre áreas que precisam de atenção.

Exemplo: RiskWatch, GRC Tools (Governance, Risk, and Compliance)

Ferramentas de Análise de Logs
Analisam registros de eventos gerados por sistemas e aplicativos para detectar padrões incomuns que
podem indicar falhas de segurança ou problemas de conformidade.

Exemplo: Splunk, Graylog, SolarWinds Log & Event Manager
 Ferramentas de Auditoria de
Sistemas de Informação
Tipos de Ferramentas de Auditoria de SI

Ferramentas de Varredura de Vulnerabilidades
Realizam varreduras automáticas nos sistemas para identificar falhas de segurança, como patches
desatualizados ou configurações incorretas.

Exemplo: Nessus, OpenVAS, QualysGuard

Ferramentas de Auditoria de Redes
Verificam a segurança e eficiência das redes, analisando tráfego de dados, uso de banda e
configuração de dispositivos de rede.

Exemplo: Wireshark, Nmap, SolarWinds Network Configuration Manager
 Técnicas de Auditoria de Sistemas de
Informação
Entrevistas e Questionários

Coleta de informações sobre os processos e controles através de interação com os responsáveis.
Observação Direta

Análise das atividades e processos em tempo real, identificando riscos.
Revisão de Documentos e Registros

Avaliação da documentação e registros de sistema para verificar conformidade.
Testes de Controle

Validação dos controles implementados, por meio de testes práticos.
 Técnicas de Auditoria de Sistemas de
Informação
Análise de Logs e Rastreamento

Utilização de ferramentas de SIEM para detectar incidentes e anomalias.
Análise de Vulnerabilidades

Ferramentas como Nessus, OpenVAS para identificar vulnerabilidades.
Penetration Testing (Pentest)

Testes controlados de invasão para verificar a segurança do sistema.
Auditorias de Configuração

Ferramentas de verificação de conformidade com padrões de configuração (ex.: CIS Benchmarks).
 Técnicas de Auditoria de Sistemas de
Informação
Auditoria de Aplicações e Banco Auditoria de Rede e Infraestrutura
de Dados
Escopo: Verificar a segurança dos
Auditoria de Aplicações elementos de rede (firewalls,
roteadores, switches).
Avaliação de vulnerabilidades e
falhas de segurança em aplicações.
Técnicas: Testes de penetração,
Auditoria de Banco de Dados análise de logs e avaliação de
configuração.
Revisão de privilégios de acesso,
integridade dos dados e controles de Objetivo: Garantir que os dados
segurança.
trafeguem de forma segura.
 Técnicas de Auditoria de Sistemas de
Informação
Auditoria de Controles de Acesso e Identidades

Revisão de Acessos
Verificação de permissões, segregação de funções e compliance com o
princípio de menor privilégio.

Identidades e Autenticação
Análise dos métodos de autenticação, como MFA, e controles de senha.