7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
1/16
Aula 20 pg. 237
Segurana Fsica, Lgica e Controles de Acesso
A importncia da conscientizao depessoas nos ambientes com tecnologia eprincipais riscos com engenharia social
Um dos assuntos que necessitam de uma ateno muito especial a conscientiza-
o de pessoas.
A conscientizao das pessoas dentro do ambiente corporativo um fator crtico desucesso para que se possa atingir um grande nvel de segurana da informao.
Iremos ver nesta aula que todos os assuntos discutidos no curso podem ter sucesso
apenas se houver uma grande conscientizao de todos os envolvidos.
Conscientizao de pessoas
Dentro do ambiente corporativo, dever haver um programa de conscientizao das
pessoas sobre o uso correto dos ativos da informao.
Esse programa apoiado pela norma NBR ISO/IEC 27002, que, em um dos seus
controles, se preocupa com a utilizao correta dos recursos, pois por meio dele podemos
ter acesso indevido ou mesmo uso incorreto, que gera uma ameaa s informaes da
companhia.
Conscientizao das pessoas no ambiente - NBR ISO/IEC 27002
8.2.2 - Conscientizao, educao e treinamento em seg. da informao
Controle
Convm que todos os funcionrios da organizao e, onde pertinente,
fornecedores e terceiros recebam treinamento apropriados em conscientiza-
o, e atualizaes regulares nas polticas e procedimentos organizacionais,
relevantes para as suas funes.
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
2/16
Aula 20 pg. 238
Segurana Fsica, Lgica e Controles de Acesso
A norma tambm apoia um programa de processo disciplinar em caso de uma viola-
o de polticas de segurana da informao, em que tenham sido transgredidas as regras
estabelecidas no uso indevido de ativos da informao.
O programa muito importante para que todos da companhia saibam de suas res-
ponsabilidades dentro do contexto de suas atribuies, e tenham plena conscincia de
que existe um programa disciplinar, nas leis vigentes de cada pas.
Engenharia socialEngenharia social engloba as prticas utilizadas para obter acesso a informaes
importantes ou sigilosas em organizaes ou sistemas por meio da enganao ou explo-
rao da confiana das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade,
fingir que um profissional de determinada rea etc. uma forma de entrar em organi-
zaes que no necessita da fora bruta ou de erros em mquinas. Explora as falhas de
segurana das prprias pessoas que, quando no treinadas para esses ataques, podem
ser facilmente manipuladas.
Um engenheiro social no um profissional na engenharia social (a engenharia
social no uma faculdade, e sim um conjunto de tcnicas), mas trata-se de uma pessoa
que pode ter profundos conhecimentos em diversas reas; 99% das pessoas que prati-
cam a engenharia social, de maneira benfica ou no, trabalham em empresas de grande
ou mdio porte, visando buscar falhas em um sistema de segurana da informao para
elimin-las ou explor-las.
Uma das mais clssicas e antigas tcnicas utilizadas pelos engenheiros o poder
de persuaso. Um filme que estreou no ano de 2002 conta a histria de Frank William
Abagnale Jr., um jovem que se utilizava da engenharia social para realizar golpes na
dcada de 1960.
Entre seus principais golpes, ele desenvolveu uma tcnica que empregou durante
oito anos, pela qual se passou como mdico, piloto de avio, advogado e professor, con-
vencendo todas as pessoas que cruzavam seu caminho.
Outro nome muito conhecido no mundo da engenharia social o do norte-america-
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
3/16
Aula 20 pg. 239
Segurana Fsica, Lgica e Controles de Acesso
Acesse o ambiente virtual de aprendizagem UNINOVE
para ver o vdeo sobre conscientizao da engenharia social.
no Kevin Mitnick, que nos anos 1990 realizou inmeras fraudes, a maioria por meio da
engenharia social. Em uma de suas tcnicas, Mitnick se passava por algum que era do
corpo tcnico de uma empresa, entrando em contato com os profissionais da empresa, e
por meio da engenharia social conseguia senha e usurio de administrador dos sistemas,
endereo de rede e tudo o que pedisse, e assim realizava suas invases nos sistemas
desejados.
Redes sociais
Outro fator de grande preocupao nas empresas o crescente nmero de redes
sociais que esto tomando conta da web.
As redes sociais podem apresentar um grande perigo quanto ao acrscimo de in-
formaes sigilosas das pessoas. Informaes sigilosas devem ser restritas em redes
sociais, pois por meio delas os engenheiros sociais podem se aproveitar e investir na vida
de sua vtima.
Acesse o ambiente virtual de aprendizagem UNINOVE
para praticar seus exerccios.
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
4/16
Aula 20 pg. 240
Segurana Fsica, Lgica e Controles de Acesso
Microsoft Technet. Acesso em: 20 abr 2010 - http://www.microsoft.com/brasil/athome/
security/privacy/password.mspx
http://www.cert.org/
http://www.infoexame.com.br
http://www.iso17799.hpg.ig.com.br/index.htm
http://www.sms.com.br
http://www.engetron.com.br
http://www.aceco.com.br
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel
Books, 2000.
CARUSO, C.A.A. Segurana em informtica e de informaes.So Paulo: SENAC, 1999.
OLIVEIRA, Wilson Jos de. Segurana da informao tcnicas e solues. Florianpo-
lis: Visual Books, 2001.
SANTOS, Alfredo. Gerenciamento de identidade.Rio de Janeiro: Brasport, 2007.337
SMOLA, Marcos. Gesto da segurana da informao uma viso executiva. Rio de
Janeiro: Editora Campus, 2003.
TERADA, Routo. Segurana de dados criptografia em redes. So Paulo: Edgard Blu-
cher, 2000.
Indicao de Sites
Referncias
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
5/16
Aula 20 pg. 241
Segurana Fsica, Lgica e Controles de Acesso
http://www.caviglia.com.br
http://www.isaca.com.br
http://www.modulo.com.br
http://www.drii.org
http://www.nbso.nic.br
http://www.abnt.org.br
http://www.b5c.com.br
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
6/16
Segurana Fsica, Lgica e Controles de Acesso
Anotaes
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
7/16
Segurana Fsica, Lgica e Controles de Acesso
Anotaes
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
8/16
Segurana Fsica, Lgica e Controles de Acesso
Anotaes
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
9/16
Segurana Fsica, Lgica e Controles de Acesso
Anotaes
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
10/16
Segurana Fsica, Lgica e Controles de Acesso
Aula 02
Aula 01
ndice
Aula 03
Aula 04
A complexidade da segurana da informao nas empresas ............................................................ 3
Ambientes de negcios complexos, globalizao e a necessidade de proteo e adequa-
o s leis e aos mecanismos regulatrios ................................................................................. 4
Referncias ..................................................................................................................................... 6
Indicao de Sites .......................................................................................................................... 6 Figuras ............................................................................................................................................. 8
Principais padres e normas relacionadas segurana da informao ........................................ 13
Norma de segurana da informao srie ABNT NBR ISO/IEC 27000 .......................... 13
Payment Card Industry PCI .................................................................................................... 14
Lei SarbanesOxley .................................................................................................................... 16 Cobit 4.1 Control Objectives for Information and Related Technology ............................. 17
ITIL IT Infrastructure Library ................................................................................................... 18
Referncias ................................................................................................................................... 20
Figuras ........................................................................................................................................... 21
Poltica de segurana da informao ................................................................................................... 28
Referncias ................................................................................................................................... 32
Criao de normas de utilizao dos recursos fsicos dentro das empresas ................................ 37
Documentao de responsabilidade de uso segundo a iso/iec 27002 ............................... 37
Seo 7.1.2. Proprietrio dos ativos ................................................................................ 37
Seo 7.1.3. Uso aceitvel dos ativos ............................................................................. 38
Referncias ................................................................................................................................... 40
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
11/16
Segurana Fsica, Lgica e Controles de Acesso
Aula 06
Aula 05
Aula 07
Mapeamento de processos de negcio, identificao e classificao da informao e a impor-
tncia para a continuidade de negcios. Identificao dos ativos que suportam os negcios
(relao de dependncia: processo de negcio, sistema e infraestrutura envolvida) .................. 45
Mapeamento de processos de negcio ................................................................................... 45
Identificao e classificao da informao e a importncia para a continuidade do neg-
cio ...................................................................................................................................................... 46
Identificao dos ativos que suportam os negcios .............................................................. 47
Relao de dependncia: processo de negcio, sistema e infraestrutura envolvida ....... 47
Referncias ................................................................................................................................... 49
Figuras ........................................................................................................................................... 50
Inventrio de ativos de hardware e softwares: planos de controles e responsabilidades ........... 56
A importncia da iso 27002 e o framework itil para gesto de ativos ................................. 56 Inventrio de ativos de hardware e software: planos de controles e responsabilidade so-
bre o uso .......................................................................................................................................... 56
Planos de controles de ativos utilizando a ISO/IEC 27002 ............................................... 57
Responsabilidade sobre o uso de um ativo de TI .................................................................. 58
A seo da norma ISO/IEC 27002 gesto de ativos .......................................................... 59
ITIL gerenciamento da configurao ..................................................................................... 60
Atividades do gerenciamento da configurao ....................................................................... 60
Identificao .................................................................................................................................. 60
Controle ......................................................................................................................................... 61
Referncias ................................................................................................................................... 62
Figuras ........................................................................................................................................... 63
Anlise de riscos fsicos em infraestruturas de suporte aos ambientes de TI ............................... 69
Mapeamento e identificao de riscos fsicos e lgicos ....................................................... 69
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
12/16
Segurana Fsica, Lgica e Controles de Acesso
Aula 08
Aula 09
Anlise de riscos em infraestrutura de suporte aos ambientes de TI ................................. 69 Risco .............................................................................................................................................. 70
Vulnerabilidade ............................................................................................................................. 71
Ameaas ........................................................................................................................................ 71
Tipos de ameaas .............................................................................................................. 71
Conformidade com o risco ......................................................................................................... 72
Analisando as possveis ameaas no ambiente de TI ........................................................... 74
Anlise de riscos lgicos em ambiente de processamento de dados (servidores, firewall,
acesso fsico) ................................................................................................................................... 75
Estudo de impactos CIDAL e prioridades GUT ...................................................................... 76
Referncias ................................................................................................................................... 78
Indicao de Sites......................................................................................................................... 78
Figuras ........................................................................................................................................... 80
Segurana fsica ambiental: sala dos servidores, cpd e data center .............................................. 86 Principais controles relacionados segurana em data center ........................................... 86
Os objetivos da segurana fsica de TI .................................................................................... 87
Controles da norma NBR ISO/IEC 27002 relacionados segurana fsica e ambiental. 88
Referncias ................................................................................................................................... 91
Indicao de Sites ........................................................................................................................ 91
Segurana fsica: identificao de reas de acessos restritos e permetro de segurana seguin-
do a iso 27002 .......................................................................................................................................... 97
Descarte seguro das informaes ............................................................................................ 97
Utilizando a norma NBR ISO/IEC 27002 ................................................................................. 97
Identificao dos permetros de segurana ............................................................................ 98
Descarte seguro da informao .............................................................................................. 101
Referncias ................................................................................................................................. 102
Indicao de Sites ..................................................................................................................... 102
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
13/16
Segurana Fsica, Lgica e Controles de Acesso
Aula 11
Aula 10
Figuras ......................................................................................................................................... 104
Necessidade da implantao de sistemas de tolerncia a falhas .................................................. 110
Cluster de alta disponibilidade ................................................................................................. 110
Tipos de tolerncias s falhas RAID ................................................................................... 110
RAID 1 ................................................................................................................................ 111
RAID 5 ................................................................................................................................ 112
Cluster .......................................................................................................................................... 113
Cluster de alta disponibilidade ........................................................................................ 113
Cluster de balanceamento de carga .............................................................................. 114
Cluster de alto desempenho ........................................................................................... 114
Referncias ................................................................................................................................. 115
Indicao de Sites ...................................................................................................................... 115
Figuras ......................................................................................................................................... 117
Processos de backup. Processos de recuperao de backup. Auditoria em processos de recu-
perao de backup e restore Segregao de funes .................................................................... 123
Processos de backups .............................................................................................................. 123
Backup full ................................................................................................................................... 123
Backup incremental ................................................................................................................... 124
Backup diferencial ...................................................................................................................... 124
Processos de recuperao de backups ................................................................................. 125
Processos de auditorias de backup ........................................................................................ 126
A realizao da auditoria de backup ....................................................................................... 126
Segregao de funes ............................................................................................................ 127
Referncias ................................................................................................................................. 129
Indicao de Sites ......................................................................................................................129
Figuras ......................................................................................................................................... 131
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
14/16
Segurana Fsica, Lgica e Controles de Acesso
Aula 12
Aula 13
Aula 14
Plano de continuidade de negcios (BCP/PCN) Sites de contingncia: sites de continuidade
operacional (hot site, cold site e warm site) ....................................................................................... 138
Requisitos empresariais para a continuidade de servios .................................................. 139
Sites de continuidade operacional cold site ....................................................................... 140
Sites de continuidade operacional warm site ..................................................................... 141
Sites de continuidade operacional hot site ......................................................................... 141
Referncias ................................................................................................................................. 142
Indicao de Sites ...................................................................................................................... 142
Figuras ......................................................................................................................................... 144
Segurana lgica: auditoria em controle de acesso lgico. Direitos e permisses: AAA (autori-
zao, autenticao e auditoria) .......................................................................................................... 150
Qual papel do AAA no ambiente? ........................................................................................... 151 Mtodos de autenticao .......................................................................................................... 152
Procedimento de criao de usurios .................................................................................... 154
Criao de grupos de acesso lgico ...................................................................................... 155
Referncias ................................................................................................................................. 157
Indicao de Sites ......................................................................................................................157
Figuras ......................................................................................................................................... 159
Polticas de senhas de ambiente de ti e de desenvolvimento. Recomendaes de criao de se-
nhas ...................................................................................................................................................... 166
Polticas de senhas do ambiente de TI .................................................................................. 166
O que torna uma senha forte recomendaes .................................................................. 167
Crie uma senha forte e fcil de lembrar em seis passos .................................................... 168
Estratgias de senha a evitar ...................................................................................................169
Referncias ................................................................................................................................. 171
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
15/16
Segurana Fsica, Lgica e Controles de Acesso
Aula 16
Aula 15
Aula 17
Indicao de Sites ...................................................................................................................... 171
Gerenciamento de acesso lgico: comprovao de privilgio de acesso Procedimentos de cria-
o de usurios e grupo de acesso lgico. Processo de aprovao de criao de usurio .... 177
Comprovao de privilgios de acesso ................................................................................. 177
Procedimentos de criao de usurios e grupo de acesso lgico .................................... 179
Grupo de acesso lgico processo de criao e administrao ...................................... 180
Processo de aprovao de criao de usurio ..................................................................... 181
Referncias ................................................................................................................................. 182
Indicao de Sites ......................................................................................................................182
Figuras ......................................................................................................................................... 184
Grupo de administrao de recursos de recursos de TI. Procedimentos de criao de usurios
e grupo de acesso lgico Concesso de acessos autorizados atravs de documentao ...... 191 Concesso de acessos por meio de documentao ........................................................... 191
Referncias ................................................................................................................................. 196
Indicao de Sites ..................................................................................................................... 196
Figuras ......................................................................................................................................... 198
Hackers, ramificaes e estratgias de invases: principais invases nos ambientes ............. 203
Tipos de invasores ..................................................................................................................... 203
Principais invases nos ambientes ......................................................................................... 204
Varreduras de portas ....................................................................................................... 204
IP spoofing ........................................................................................................................ 205
Ataques utilizando o RIP ................................................................................................. 205
Cavalo de troia .................................................................................................................. 205
Worm .................................................................................................................................. 206
Sniffing ............................................................................................................................... 206
7/25/2019 A Importncia Da Conscientizao Sobre Engenharia Social
16/16
Segurana Fsica, Lgica e Controles de Acesso
Aula 18
Aula 19
Aula 20
Referncias 207 Indicao de Sites 207
Figuras 209
Controles de acessos fsicos: tipos de controles mais utilizados. Modelos de acesso RBAC
(role based access control), MAC (mandatory access control) e DAC (discretionary access
control) ..................................................................................................................................................... 215
MAC Mandatory Access Control 215
DAC Discretionary Access Control 216
RBAC Controle de Acesso Baseado em Funo (Role Based Access Control) 217
Referncias 219
Indicao de Sites 219
Figuras 221
Cuidados e controles de segurana fsica em equipamentos de proteo de energia eltrica
Monitorao do ambiente com CFTV Isolamento e proteo de reas crticas ......................... 227
Cuidados com a segurana fsica em equipamentos .......................................................... 227
Monitoramento com CFTV ....................................................................................................... 228
Referncias ................................................................................................................................. 230
Indicao de Sites ..................................................................................................................... 230
Figuras ......................................................................................................................................... 232
A importncia da conscientizao de pessoas nos ambientes com tecnologia e principais riscos
com engenharia social .......................................................................................................................... 237
Conscientizao de pessoas ................................................................................................... 237
Engenharia social ...................................................................................................................... 238
Redes sociais ............................................................................................................................. 239
Referncias ................................................................................................................................. 240 Indicao de Sites ..................................................................................................................... 240
Top Related