Belo Horizonte 2013 Paolo Bordoni Caldeira gestão de risco



Yüklə 184,19 Kb.
səhifə8/10
tarix04.11.2017
ölçüsü184,19 Kb.
#30151
1   2   3   4   5   6   7   8   9   10

4.5Comitê de Segurança

Diferente do que normalmente muitos gestores aplicam, a segurança da informação dentro de uma organização não deve ser gerida somente pelo setor de Tecnologia da Informação e nem tão pouco por apenas um setores. Esta é uma das, senão a mais complexa, atividade dentro da organização moderna, garantir segurança com processos rígidos e burocratizados sem que a empresa perca flexibilidade e agilidade para adaptar-se ao mercado e novas demandas com o objetivo de maximizar os resultados nos negócios.


Este comitê deve ser composto por uma equipe multidisciplinar, composta por membros do departamento jurídico, comercial, financeiro, pessoal, entre outros, além do de tecnologia. Este grupo para execução de suas funções deve ser posicionado como staff respondendo somente ao conselho administrativo ou diretoria, para que não seja prejudicado as tomadas de decisão referente a segurança por subordinação. A sua estrutura, objetivo e função devem ser comunicadas e formalizadas a toda organização.
O grande desafio do comitê do segurança é, após identificar o ativo informacional, quantificar o seu valor, identificar quais ameaças está sujeito o ativo, identificar os riscos, identificar as expectativas do negócio e então criar os procedimentos e normas de segurança para este ativo, sem perder o foco no negócio. Existirão casos que ou valor do ativo é tão insignificante ou o custo de proteção é tão alto que será preferível que a organização aceite o risco do que ficar procurando, ou implementado mecanismos de segurança.
É importante que notemos que a segurança existe para proteger um ativo, no caso da segurança da informação este ativo é a informação, esta por sua vez é importante por é um dos elementos essenciais para continuidade do negócio, assim o foco sempre será o negócio, não adianto medidas extremamente seguranças mas que engessem o negócio.
Autores como Sêmola e Diógenes, citam metodologias para elaboração de processos de segurança, como a teoria de perímetro. O objetivo deste método visa criar níveis de segurança até o ativo que será protegido. Estes níveis são importantes, pois quando um deles é alcançado, ser de parâmetro e alerta para os demais, podendo o comitê ou responsável providenciar alguma medida de correção ou prevenção.
Na gestão de segurança da informação são classificadas 6 tipos de barreiras de segurança de acordo com seu papel, segundo Sêmola:


  • Desencorajar: é primeira barreira que tem por objetivo desencorajar a ameaça.

  • Dificultar: são mecanismos que servem, caso aconteça à ameaça, dificulte que tenha êxito no na obtenção do ativo.

  • Discriminar: são mecanismos que identificam os acessos e separem os devidos dos indevidos.

  • Detectar: são mecanismos que detectam as situações de risco.

  • Deter: são mecanismos que detém a ameaça.

  • Diagnosticar: são ferramentas e métodos que permite levantar e analisar os riscos.

Segundo Sêmola (2003), devido a uma visão distorcida do tema sobre segurança da informação, adota-se uma postura míope sobre a situação e agem de forma a comprometer o negócio. Segundo o autor são considerados como péssima prática:




  • Atribuir a segurança da informação exclusivamente a área de TI.

  • Posicionar o Comitê de segurança hierarquicamente abaixo da Diretoria de TI.

  • Definir investimentos limitados e subestimados.

  • Elaborar planos reativos.

  • Tratar os planos somente como despesas e não como investimento.

  • Adoptar sempre medidas paliativas e pontuais.

  • Criar falsa sensação de seguranças por ações isoladas.

  • Não cultivar cultura de segurança de âmbito corporativo.

  • Tratar segurança como projeto e não como processo.



4.6Ameaças

Quando nos referimos a informação e passamos a analisar as ameaças nos deparamos em um ambiente extremamente hostil, pois as ameaças podem surgir de qualquer lugar:



  • Pessoas.

  • Ambiente físico.

  • Processos.

  • Ambiente Lógico.

  • Equipamentos.



4.6.1Engenharia Social

A engenharia social usa a influência e a persuasão para enganar as pessoas e convence-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações como ou sem o uso da tecnologia. (MITNICK, 2005).


Apesar da complexidade do assunto, segurança da informação, todos os autores usados neste trabalho concordam, o fator humano é o elo fraco da segurança da informação e é por este motivo que o método de engenharia social pode ser um eficiente método para recolher informação.
Mitinick foi um dos hackers de maior renome e um engenheiro social nato, no anexo 1 segue a transcrição de um exemplo de ataque social descrito em seu livro.

4.6.2Malware

“Software malicioso, normalmente conhecido como malware, é um software que entra no sistema operacional sem o consentimento ou conhecimento do usuário”. (DIÓGENES; MAUSER, 2010, p. 13).


Dentre as categorias de malware temos:


  • Vírus: Segundo Diógenes e Mauser (2010), é um programa que é anexado por ele mesmo para disseminar. O vírus executa duas tarefas, primeiro ele replica e depois ele executa o código malicioso.

  • Worms: O worm ao contrário do vírus ele não precisa ser anexado a um arquivo para contaminar outros computadores e também não precisa ser acionado pelo usuário como o vírus para acionar o código malicioso.

  • Cavalo de Troia: São programas que estão no computador mascarados por outro programa, abrindo conexões para que o atacante acesse o computador da vítima.

  • Botnet: Segundo DIOGENES (2010), “é o termo genérico para o conjunto de software “robotizados”, apelidados de bots”.

  • Bomba Lógica: São softwares criado para serem executados em um determinado tempo ou evento.

  • Spyware e Adware: são softwares que coletam informações do usuário e violam sua privacidade.



4.6.3Ataques à Rede

Os ataques à rede acontecem por vários modos, que vão desde a exploração de vulnerabilidade do protocolo utilizado para conexão até a exploração de vulnerabilidades da aplicação. Dentre este método temos:




  • SYN Flood – Segundo Diógenes e Mauser (2010), este ataque aproveita de uma vulnerabilidade no processo de TCP Handshake, em a conexão não é estabelecida por completo e a sessão e o ataque inunda a vítima com pacotes SYN, causando a parada do equipamento.

  • Man in the Middle – este método o atacante desvia os pacotes de dados da(s) vítima(s) para ele, se colocando literalmente entre as conexões.




  • ARP Poisoning – Diógenes e Mauser (2010) trata este ataque como um dos mais devastadores para rede local, caso não sejam tomadas as devidas medidas para mitigá-la. Este é um processo utilizado para que o seja usado o Man in the Middle, pois envenenando a tabela ARP o atacante pode se colocar no lugar do Gateway ou desviar todo tráfego da rede para um dispositivo inexistente fazendo que ela pare.




  • DOS e DDOS - o ataque de negação de serviços, Denial of Service e Distributed Denial of Service respectivamente, para Diógenes e Mauser (2010), é o ataque mais temido, pois o atacante consegue indisponibilizar os serviços do alvo, deixando-o fora do ar.




  • Rainbow Table – esta técnica consiste em gerar uma tabela de senhas criptografas para que seja comparadas com hash conseguido por um analisador de pacotes ou através de ataque de man in the middle. Assim o atacante consegue obter uma terminada senha, como por exemplo a chave de acesso de um rede wireless com WPA.

É importante ressaltar que estas são algumas das ameaças e que medidas de segurança de acesso físico também devem ser tomadas pois um atacante consegue facilmente obter privilégios máximos em um computador caso tenha um acesso local.




Yüklə 184,19 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   10



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət
gir | qeydiyyatdan keç
    Ana səhifə
Dərs
Dərslik
Guide
Kompozisiya
Mücərrəd
Mühazirə
Qaydalar
Referat
Report
Request
Review

yükləyin