Segurana e Auditoria em Sistemas

Curso: Analise e Desenvolvimento de Sistemas

Prof.Eduardo Araujo

Site:www.professoreduardoaraujo.com

EMENTA

Definio de segurana de informao.

Identificao das necessidades de Segurana.
Avaliao de risco.
Impacto nos riscos.
Avaliao na Poltica e Procedimentos de Segurana.
Mtodos de Acesso.
Auditoria de Sistemas de Gesto.

SEGURANA E AUDITORIA DE SISTEMAS

Segurana da informao.
A segurana da informao est relacionada com proteo
de um conjunto de informaes, no sentido de preservar o
valor que possuem para um indivduo ou uma organizao.
So caractersticas bsicas da segurana da informao os
atributos de confidencialidade, integridade, disponibilidade e
autenticidade, no estando esta segurana restrita somente a
sistemas computacionais, informaes eletrnicas ou
sistemas de armazenamento.

O conceito se aplica a todos os aspectos de proteo de

informaes e dados. O conceito de Segurana Informtica ou
Segurana de Computadores est intimamente relacionado
com o de Segurana da Informao, incluindo no apenas a
segurana dos dados/informao, mas tambm a dos
sistemas em si.

SEGURANA E AUDITORIA DE SISTEMAS

Atualmente o conceito de Segurana da
Informao est padronizado pela
norma ISO/IEC 17799:2005, influenciada pelo
padro ingls (British Standard) BS 7799.
A srie de normas ISO/IEC27000 foram
reservadas para tratar de padres de
Segurana da Informao, incluindo a
complementao ao trabalho original do padro
ingls.
A ISO/IEC 27002:2005 continua sendo
considerada formalmente como 17799:2005
para fins histricos.

SEGURANA E AUDITORIA DE SISTEMAS

Conceitos de segurana

A Segurana da Informao se refere

proteo existente sobre as informaes de
uma determinada empresa ou pessoa, isto ,
aplica-se tanto as informaes corporativas
quanto s pessoais. Entende-se por informao
todo e qualquer contedo ou dado que tenha
valor para alguma organizao ou pessoa. Ela
pode estar guardada para uso restrito ou
exposta ao pblico para consulta ou aquisio.

SEGURANA E AUDITORIA DE SISTEMAS

Conceitos de segurana
Podem ser estabelecidas mtricas (com o
uso ou no de ferramentas) para a definio do
nvel de segurana existente e, com isto, serem
estabelecidas as bases para anlise da
melhoria ou piora da situao de segurana
existente. A segurana de uma determinada
informao pode ser afetada por fatores
comportamentais e de uso de quem se utiliza
dela, pelo ambiente ou infraestrutura que a
cerca ou por pessoas mal intencionadas que
tm o objetivo de furtar, destruir ou modificar tal
informao.

SEGURANA E AUDITORIA DE SISTEMAS

Conceitos de segurana
A trade CIA (Confidentiality, Integrity and
Availability) -- Confidencialidade, Integridade
e Disponibilidade -- representa os principais
atributos que, atualmente, orientam a anlise,
o planejamento e a implementao da
segurana para um determinado grupo de
informaes que se deseja proteger.
Outros
atributos
importantes
so
a
irretratabilidade e a autenticidade. Com a
evoluo do comrcio eletrnico e da
sociedade da informao, a privacidade
tambm uma grande preocupao.

SEGURANA E AUDITORIA DE SISTEMAS

Portanto os atributos bsicos, segundo os padres
internacionais (ISO/IEC 17799:2005) so os
seguintes:
Confidencialidade - propriedade que limita o acesso
a informao to somente s entidades legtimas,
ou seja, quelas autorizadas pelo proprietrio da
informao.
Integridade - propriedade que garante que a
informao manipulada mantenha todas as
caractersticas originais estabelecidas pelo
proprietrio da informao, incluindo controle de
mudanas e garantia do seu ciclo de vida
(nascimento,manuteno e destruio).

SEGURANA E AUDITORIA DE SISTEMAS

Disponibilidade - propriedade que garante que a
informao esteja sempre disponvel para o uso
legtimo, ou seja, por aqueles usurios autorizados
pelo proprietrio da informao.
Autenticidade - propriedade que garante que a
informao proveniente da fonte anunciada e que
no foi alvo de mutaes ao longo de um processo.
Irretratabilidade ou no repdio - propriedade que
garante a impossibilidade de negar a autoria em
relao a uma transao anteriormente feita

SEGURANA E AUDITORIA DE SISTEMAS

Para a montagem desta poltica, deve-se
levar em conta:
Riscos associados falta de segurana;
Benefcios;
Custos de implementao dos mecanismos.

SEGURANA E AUDITORIA DE SISTEMAS

Mecanismos de segurana
O suporte para as recomendaes de segurana
pode ser encontrado em: Controles fsicos e
Controles Lgicos

Controles fsicos: so barreiras que limitam o

contato ou acesso direto a informao ou a
infraestrutura (que garante a existncia da
informao) que a suporta.
Existem mecanismos de segurana que apoiam os
controles fsicos:
- Portas / trancas / paredes / blindagem / guardas /
etc ..

SEGURANA E AUDITORIA DE SISTEMAS

Mecanismos de segurana (Controles Lgicos)
Controles lgicos: so barreiras que impedem ou
limitam o acesso a informao, que est em ambiente
controlado, geralmente eletrnico, e que, de outro modo,
ficaria exposta a alterao no autorizada por elemento
mal intencionado.
Existem mecanismos de segurana que apoiam os
controles lgicos:
Mecanismos de cifrao ou encriptao: Permitem a
transformao reversvel da informao de forma a
torn-la ininteligvel a terceiros. Utiliza-se para tal,
algoritmos determinados e uma chave secreta para, a
partir de um conjunto de dados no criptografados,
produzir uma sequncia de dados criptografados. A
operao inversa a decifrao.

SEGURANA E AUDITORIA DE SISTEMAS

Mecanismos de segurana (Controles Lgicos)

Assinatura digital: Um conjunto de dados

criptografados, associados a um documento do
qual so funo, garantindo a integridade e
autenticidade do documento associado, mas no a
sua confidencialidade.
Mecanismos de garantia da integridade da
informao: Usando funes de "Hashing" ou de
checagem, garantida a integridade atravs de
comparao do resultado do teste local com o
divulgado pelo autor.
Mecanismos de controle de acesso: Palavraschave, sistemas biomtricos, firewalls, cartes
inteligentes.

SEGURANA E AUDITORIA DE SISTEMAS

Mecanismos de segurana (Controles Lgicos)
Mecanismos de certificao: Atesta a validade de um
documento.
Integridade: Medida em que um servio/informao
genuno, isto , est protegido contra a personificao
por intrusos.
Honeypot: uma ferramenta que tem a funo de
propositalmente simular falhas de segurana de um
sistema e colher informaes sobre o invasor
enganando-o, fazendo-o pensar que esteja de fato
explorando uma vulnerabilidade daquele sistema. um
espcie de armadilha para invasores. O HoneyPot no
oferece nenhum tipo de proteo.
Protocolos seguros: Uso de protocolos que garantem
um grau de segurana e usam alguns dos mecanismos
citados aqui.

SEGURANA E AUDITORIA DE SISTEMAS

Ameaas segurana
As ameaas segurana da informao so relacionadas
diretamente perda de uma de suas 3 caractersticas
principais, quais sejam:
Perda de Confidencialidade: seria quando h uma quebra
de sigilo de uma determinada informao (ex: a senha de um
usurio ou administrador de sistema) permitindo que sejam
expostas informaes restritas as quais seriam acessveis
apenas por um determinado grupo de usurios.

Perda de Integridade: aconteceria quando uma determinada

informao fica exposta a manuseio por uma pessoa no
autorizada, que efetua alteraes que no foram aprovadas e
no esto sob o controle do proprietrio (corporativo ou
privado) da informao.

SEGURANA E AUDITORIA DE SISTEMAS

Ameaas segurana
Perda de Disponibilidade: acontece quando a
informao deixa de estar acessvel por quem
necessita dela. Seria o caso da perda de
comunicao com um sistema importante para a
empresa, que aconteceu com a queda de um
servidor ou de uma aplicao crtica de negcio,
que apresentou uma falha devido a um erro
causado por motivo interno ou externo ao
equipamento ou por ao no autorizada de
pessoas com ou sem m inteno.

SEGURANA E AUDITORIA DE SISTEMAS

Ameaas segurana
No caso de ameaas rede de computadores ou a um
sistema, estas podem vir de agentes maliciosos, muitas
vezes conhecidos como crackers, (hackers no so
agentes maliciosos, pois tentam ajudar a encontrar
possveis falhas). Estas pessoas so motivadas para
fazer esta ilegalidade por vrios motivos. Os principais
so: notoriedade, auto-estima, vingana e o dinheiro. De
acordo com pesquisa elaborada pelo Computer Security
Institute, mais de 70% dos ataques partem de usurios
legtimos de sistemas de informao (Insiders) -- o que
motiva corporaes a investir largamente em controles
de segurana para seus ambientes corporativos
(intranet).

SEGURANA E AUDITORIA DE SISTEMAS

Invases na Internet
Todo sistema de computao necessita de um sistema para
proteo de arquivos. Este sistema um conjunto de regras que
garantem que a informao no seja lida, ou modificada por quem
no tem permisso. A segurana usada especificamente para
referncia do problema genrico do assunto, j os mecanismos de
proteo so usados para salvar as informaes a serem
protegidas. A segurana analisada de vrias formas, sendo os
principais problemas causados com a falta dela a perda de dados e
as invases de intrusos. A perda de dados na maioria das vezes
causada por algumas razes: fatores naturais: incndios,
enchentes, terremotos, e vrios outros problemas de causas
naturais; Erros de hardware ou de software: falhas no
processamento, erros de comunicao, ou bugs em programas;
Erros humanos: entrada de dados incorreta, montagem errada de
disco ou perda de um disco. Para evitar a perda destes dados
necessrio manter um backup confivel, guardado longe destes
dados originais.

SEGURANA E AUDITORIA DE SISTEMAS

Nvel de segurana
Depois de identificado o potencial de ataque, as
organizaes tm que decidir o nvel de segurana a
estabelecer para uma rede ou sistema os recursos
fsicos e lgicos a necessitar de proteo. No nvel de
segurana devem ser quantificados os custos
associados aos ataques e os associados
implementao de mecanismos de proteo para
minimizar a probabilidade de ocorrncia de um ataque.
Segurana fsica
Considera as ameaas fsicas como incndios,
desabamentos, relmpagos, alagamento, algo que
possa danificar a parte fsica da segurana, acesso
indevido de estranhos, forma inadequada de tratamento
e manuseio do veculo.

SEGURANA E AUDITORIA DE SISTEMAS

Nvel de segurana

Segurana lgica

Atenta contra ameaas ocasionadas por vrus,

acessos remotos rede, backup desatualizados,
violao de senhas, etc.
Segurana lgica a forma como um sistema
protegido no nvel de sistema operacional e de
aplicao. Normalmente considerada como
proteo contra ataques, mas tambm significa
proteo de sistemas contra erros no intencionais,
como remoo acidental de importantes arquivos
de sistema ou aplicao.

SEGURANA E AUDITORIA DE SISTEMAS

Polticas de segurana

De acordo com o RFC 2196 (The Site Security

Handbook), uma poltica de segurana consiste num
conjunto formal de regras que devem ser seguidas pelos
utilizadores dos recursos de uma organizao.

As polticas de segurana devem ter implementao

realista, e definir claramente as reas de
responsabilidade dos utilizadores, do pessoal de gesto
de sistemas e redes e da direo. Deve tambm
adaptar-se a alteraes na organizao. As polticas de
segurana fornecem um enquadramento para a
implementao de mecanismos de segurana, definem
procedimentos de segurana adequados, processos de
auditoria segurana e estabelecem uma base para
procedimentos legais na sequncia de ataques.

SEGURANA E AUDITORIA DE SISTEMAS

Polticas de segurana
O documento que define a poltica de segurana deve
deixar de fora todos os aspectos tcnicos de
implementao dos mecanismos de segurana, pois
essa implementao pode variar ao longo do tempo.
Deve ser tambm um documento de fcil leitura e
compreenso, alm de resumido.
Algumas normas definem aspectos que devem ser
levados em considerao ao elaborar polticas de
segurana. Entre essas normas esto a BS
7799 (elaborada pela British Standards Institution) e a
NBR ISO/IEC 17799 (a verso brasileira desta primeira).
A ISO comeou a publicar a srie de normas 27000, em
substituio ISO 17799 (e por conseguinte BS
7799), das quais a primeira, ISO 27001, foi publicada
em 2005.

SEGURANA E AUDITORIA DE SISTEMAS

Polticas de segurana
Existem duas filosofias por trs de qualquer poltica de
segurana: a proibitiva (tudo que no expressamente permitido
proibido) e a permissiva (tudo que no proibido permitido).
Os elementos da poltica de segurana devem ser considerados:
A Disponibilidade: o sistema deve estar disponvel de forma
que quando o usurio necessitar, possa usar. Dados crticos
devem estar disponveis ininterruptamente.
A Legalidade:
A Integridade: sistema deve estar sempre ntegro e em
condies de uso.
A Autenticidade: o sistema deve ter condies de verificar a
identidade dos usurios, e este ter condies de analisar a
identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados
somente aos donos dos dados ou ao grupo por ele liberado.

SEGURANA E AUDITORIA DE SISTEMAS

Polticas de Senhas
Dentre as polticas utilizadas pelas grandes
corporaes a composio da senha ou password
a mais controversa. Por um lado profissionais com
dificuldade de memorizar varias senhas de acesso,
por outro funcionrios displicentes que anotam a
senha sob o teclado no fundo das gavetas, em
casos mais graves o colaborador anota a senha no
monitor.
Recomenda-se a adoo das seguintes regras para
minimizar o problema, mas a regra fundamental a
conscientizao dos colaboradores quanto ao uso e
manuteno das senhas.

SEGURANA E AUDITORIA DE SISTEMAS

Polticas de Senhas

Senha com data para expirao

Adota-se um padro definido onde a senha possui
prazo de validade com 30 ou 45 dias, obrigando o
colaborador ou usurio a renovar sua senha. Inibir
a repetio.
Adota-se atravs de regras predefinidas que uma
senha uma vez utilizada no poder ter mais que
60% dos caracteres repetidos, p. ex: senha anterior
123senha nova senha deve ter 60% dos
caracteres diferentes como 456seuse, neste caso
foram repetidos somente os caracteres s e os
demais diferentes.

SEGURANA E AUDITORIA DE SISTEMAS

Polticas de Senhas

Obrigar a composio com nmero mnimo de caracteres

numricos e alfabticos
Define-se obrigatoriedade de 4 caracteres alfabticos e 4
caracteres numricos, por exemplo:1s4e3u2s ou posicional os
4 primeiros caracteres devem ser numricos e os 4
subsequentes alfabticos por exemplo: 1432seus.Criar um
conjunto com possveis senhas que no podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de
senhas e proibir o seu uso, como por exemplo o usurio
chama-se Jose da Silva, logo sua senha no deve conter
partes do nome como 1221jose ou 1212silv etc, os formatos
DDMMAAAA ou 19XX, 1883emc ou I2B3M4Recomenda-se
ainda utilizar senhas com CASE SENSITIVE e utilizao de
caracteres especiais como: @ # $ % & *

Questes
1 - Um computador um equipamento capaz de
processar com rapidez e segurana grande
quantidade de informaes.
Assim, alm dos componentes de hardware, os
computadores necessitam de um conjunto de
softwares denominado
A - arquivo de dados.
B - blocos de disco.
C - navegador de internet.
D - processador de dados.
E - sistema operacional.
27

Questes
1 - Um computador um equipamento capaz de
processar com rapidez e segurana grande
quantidade de informaes.
Assim, alm dos componentes de hardware, os
computadores necessitam de um conjunto de
softwares denominado
A - arquivo de dados.
B - blocos de disco.
C - navegador de internet.
D - processador de dados.
E - sistema operacional.
28

Questes
2 - A tecnologia utilizada na internet que se refere
segurana da informao ?
A Criptografia.
B Download.
C Streaming.
D Mailing lists.
E Web feed.

29

Questes
2 - A tecnologia utilizada na internet que se refere
segurana da informao ?
A Criptografia.
B Download.
C Streaming.
D Mailing lists.
E Web feed.

30

Questes
3 Qual das abaixo uma ameaa a segurana da
informao?
A Assinatura digital.
B Perda da Confiabilidade.
C Streaming incompleto.
D Mecanismos de certificao.
E Mecanismos de honeypot.

31

Questes
3 Qual das abaixo uma ameaa a segurana da
informao?
A Assinatura digital.
B Perda da Confiabilidade.
C Streaming incompleto.
D Mecanismos de certificao.
E Mecanismos de honeypot.

32

Bibliografia
LYRA, MAURICIO ROCHA. Segurana e Auditoria em
Sistemas de Informao. 1 ed. So Paulo: Cincia
Moderna, 2009.
SMOLA, Marcos. Gesto da Segurana da Informao:
Uma Viso Executiva. 1 ed. So Paulo: Campus - Elsevier,
2002.
FERREIRA, Fernando Nicolau; ARAUJO, Marcio (orgs.).
Poltica de Segurana da Informao. 1 ed. Rio de
Janeiro: Cincia
Moderna, 2008.

Copyright 2015 Prof. Eduardo Araujo

Todos direitos reservados. Reproduo ou divulgao total ou parcial
deste expressamente probido sem o consentimento formal, por
escrito,do Professor Eduardo Araujo