Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais
RESUMO
Esta monografia apresenta um panorama geral sobre a segurança da informação. As principais ameaças, vulnerabilidades, soluções, tecnologias e procedimentos envolvidos são discutidos aqui de forma simples e objetiva. Neste contexto, detalhes sobre gerenciamento de riscos, política de segurança, gerenciamento de ativos, segurança em recursos humanos, segurança física e ambiental, gestão de operações e comunicações, controle de acesso, segurança de sistemas de informação, segurança no desenvolvimento de sistemas de informação, gerenciamento de incidentes de segurança da informação, continuidade do negócio, conformidade e coordenação da segurança da informação são mostrados aqui. Além disso, o documento inclui, nos apêndices, temas como engenharia social, teste de invasão, firewall, sistemas de detecção de intrusos, honeypot, criptografia, esteganografia, logs, patches de correção, scanners de vulnerabilidade, injeção de sql, biometria e outros mecanismos de autenticação, senhas, backup, malwares, exploits, buffer overflow, sistemas de controle de versão, configuração de servidores web e leis. Este documento foi baseado em livros que abordam temas voltados para hackers e security officers. Assim, foi possível estabelecer uma visão mais completa sobre o assunto segurança da informação. Palavras-chave: Segurança. Informação. Hacker. Tecnologias. Soluções.
ABSTRACT
This monograph presents a general overview about the information security. The main threats, vulnerabilities, solutions, technologies and procedures involved are discussed here in a simple and objective way. In this context, details about risk management, security policy, active management, human resources security, physical and environmental security, communications and operations management, access control, information systems security, security in information systems development, information security incident management, business continuity management, compliance and security information coordination are shown here. Moreover, the document includes, in the appendices, subjects like engineering social, penetration test, firewall, intrusion detection systems, honeypot, cryptography, steganography, logs, correction patches, vulnerability scanners, sql injection, biometric and others methods of authentication, passwords, backup, malwares, exploits, buffer overflow, version control systems, configuration of web servers and laws. This document was based on books that approach themes focused to hackers and security officers. So, was possible to establish a more complete overview about the subject information security. Keywords: Security. Information. Hacker. Technologies. Solutions.
SUMÁRIO
|
1 |
|
|
1.1 |
JUSTIFICATIVAS |
|
1.2 |
OBJETIVO |
|
1.3 |
ESTRUTURA DA MONOGRAFIA |
|
2 |
|
|
3 |
|
|
3.1 |
ANÁLISE DE RISCOS |
|
3.2 |
TRATAMENTO DE RISCOS |
|
3.3 |
METODOLOGIA |
|
4 |
|
|
4.1 |
DESENVOLVIMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO |
|
4.2 |
ATUALIZAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO |
|
4.3 |
COMPROMETIMENTO DA DIREÇÃO |
|
5 |
|
|
5.1 |
RESPONSABILIDADES PELOS ATIVOS |
|
5.1.1 |
Inventário dos Ativos |
|
5.1.2 |
Proprietários dos Ativos |
|
5.1.3 |
Uso Adequado dos Ativos |
|
5.2 |
CLASSIFICAÇÃO DA INFORMAÇÃO |
|
5.2.1 |
Critérios de Classificação |
|
5.2.2 |
Revisão da Classificação |
|
5.2.3 |
Procedimentos de Classificação |
|
5.2.4 |
Níveis de Classificação |
|
6 |
|
|
6.1 |
CONTRATAÇÃO |
|
6.2 |
APÓS A CONTRATAÇÃO |
|
6.2.1 |
Responsabilidades da Direção |
|
6.2.2 |
Conscientização e Treinamento |
|
6.2.3 |
Medidas Disciplinares |
|
6.3 |
TÉRMINO DO CONTRATO, MUDANÇA DE CARGO OU DEMISSÃO |
|
6.3.1 |
Devolução de Ativos |
|
6.3.2 |
Revisão dos Direitos de Acesso |
|
7 |
|
|
7.1 |
ÁREAS SEGURAS |
|
7.1.1 |
Perímetro de Segurança Física |
|
7.1.2 |
Controles de Acesso Físico |
|
7.1.3 |
Trabalho em Áreas Seguras |
|
7.1.4 |
Proteção contra Desastres |
|
7.1.5 |
Proteção em Áreas de Entrega e Carregamento |
|
7.2 |
PROTEÇÃO DOS EQUIPAMENTOS |
|
7.2.1 |
Proteção dos Equipamentos fora da Organização |
|
7.2.2 |
Manutenção dos Equipamentos |
|
7.2.3 |
Descarte dos Equipamentos |
|
7.2.4 |
Segurança do Cabeamento |
|
7.2.5 |
Interrupção de Serviços Básicos |
|
8 |
|
|
8.1 |
GERENCIAMENTO DA SEGURANÇA EM REDES |
|
8.2 |
GERAÇÃO E PROTEÇÃO DE CÓPIAS DE SEGURANÇA |
|
8.3 |
DESCARTE DE MÍDIAS |
|
8.4 |
TROCA DE INFORMAÇÕES |
|
8.5 |
SERVIÇOS ONLINE |
|
8.5.1 |
Informações Publicamente Acessíveis |
|
8.5.2 |
Integridade dos Dados Publicados |
|
8.5.3 |
Transações |
|
8.5.4 |
Comércio Eletrônico |
|
8.6 |
MONITORAMENTO |
|
8.7 |
TRABALHO REMOTO |
|
9 |
|
|
9.1 |
POLÍTICA DE CONTROLE DE ACESSOS |
|
9.2 |
GERENCIAMENTO DE ACESSO DO USUÁRIO |
|
9.3 |
RESPONSABILIDADES DOS USUÁRIOS |
|
9.4 |
CONTROLE DE ACESSO À REDE |
|
9.5 |
CONTROLE DE ACESSO A INFORMAÇÕES E SISTEMAS |
|
10 |
|
|
10.1 |
DEFINIÇÃO DE REQUISITOS DE SEGURANÇA |
|
10.2 |
VALIDAÇÃO EM SISTEMAS DE INFORMAÇÃO |
|
10.3 |
GERENCIAMENTO DE VULNERABILIDADES TÉCNICAS |
|
10.4 |
GERENCIAMENTO DE SISTEMAS OPERACIONAIS |
|
11 |
|
|
11.1 |
SEGREGAÇÃO DE AMBIENTES |
|
11.2 |
METODOLOGIA DE DESENVOLVIMENTO |
|
11.3 |
DESENVOLVIMENTO TERCEIRIZADO |
|
11.4 |
REALIZAÇÃO DE TESTES |
|
11.5 |
GERENCIAMENTO DE MUDANÇAS |
|
12 |
|
|
12.1 |
INCIDENTES DE SEGURANCA |
|
12.2 |
OBJETIVO DA GESTÃO DE INCIDENTES DE SEGURANÇA |
|
12.3 |
PLANO DE GERENCIAMENTO DE INCIDENTES DE SEGURANÇA |
|
12.4 |
NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA |
|
12.5 |
RESPONSABILIDADES |
|
12.6 |
FORENSE COMPUTACIONAL |
|
12.7 |
RESPOSTA A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO |
|
12.8 |
MELHORIAS |
|
13 |
|
|
13.1 |
AVALIAÇÃO DE AMEAÇAS E RISCOS |
|
13.2 |
PLANO DE CONTINGÊNCIA |
|
13.3 |
SOLUÇÕES |
|
13.4 |
RESPONSABILIDADES |
|
13.5 |
TESTES E MANUTENÇÃO |
|
13.6 |
RECUPERAÇÃO |
|
14 |
|
|
14.1 |
CONFORMIDADE COM A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO |
|
14.2 |
CONFORMIDADE COM DIREITOS DE PROPRIEDADE INTELECTUAL |
|
14.3 |
CONFORMIDADE COM REQUISITOS LEGAIS |
|
14.4 |
CONFORMIDADE TÉCNICA |
|
14.5 |
PROTEÇÃO DE REGISTROS ORGANIZACIONAIS |
|
14.6 |
PRIVACIDADE DE INFORMAÇÕES PESSOAIS |
|
14.7 |
CONFORMIDADE EM CONTRATOS COM TERCEIROS |
|
14.8 |
NÃO CONFORMIDADE |
|
15 |
|
|
15.1 |
SECURITY OFFICER |
|
15.2 |
ANÁLISE CRÍTICA INDEPENDENTE |
|
16 |
|
|
17 |
|
|
18 |
|
|
19 |
|
|
APÊNDICES |
|
|
A |
|
|
A.1 |
CARACTERIZAÇÃO DOS SISTEMAS |
|
A.2 |
IDENTIFICAÇÃO DAS AMEAÇAS |
|
A.3 |
IDENTIFICAÇÃO DAS VULNERABILIDADES |
|
A.4 |
ANÁLISE DOS CONTROLES DE SEGURANÇA |
|
A.5 |
DETERMINAÇÃO DA PROBABILIDADE |
|
A.6 |
ANÁLISE DO IMPACTO |
|
A.7 |
DETERMINAÇÃO DO RISCO |
|
A.8 |
RECOMENDAÇÕES DOS CONTROLES DE SEGURANÇA |
|
A.9 |
DOCUMENTAÇÃO DOS RESULTADOS |
|
B |
|
|
B.1 |
INFORMAÇÃO PÚBLICA |
|
B.2 |
INFORMAÇÃO INTERNA |
|
B.3 |
INFORMAÇÃO CONFIDENCIAL |
|
B.4 |
INFORMAÇÃO RESTRITA |
|
C |
|
|
C.1 |
A ARTE DE MANIPULAR |
|
C.2 |
O PERFIL DO ENGENHEIRO SOCIAL |
|
C.3 |
CONHECENDO O ALVO |
|
C.4 |
BURLANDO CONTROLES DE SEGURANÇA |
|
C.5 |
TREINAMENTO CONTRA ENGENHARIA SOCIAL |
|
D |
|
|
D.1 |
TIPOS DE MALWARES |
|
D.1.1 |
Vírus |
|
D.1.2 |
Cavalo de Troia |
|
D.1.3 |
Adware |
|
D.1.4 |
Spyware |
|
D.1.5 |
Backdoor |
|
D.1.6 |
Keylogger |
|
D.1.7 |
Worm |
|
D.1.8 |
Bot |
|
D.1.9 |
Rootkit |
|
D.2 |
A IMPORTÂNCIA DO SISTEMA OPERACIONAL |
|
E |
|
|
F |
|
|
F.1 |
TIPOS DE IDS |
|
F.2 |
FALSOS POSITIVOS |
|
G |
|
|
H |
|
|
H.1 |
TIPOS DE CRIPTOGRAFIA |
|
H.2 |
GERENCIAMENTO DE CHAVES CRIPTOGRÁFICAS |
|
I |
|
|
J |
|
|
K |
|
|
L |
|
|
M |
|
|
N |
|
|
O |
|
|
P |
|
|
Q |
|
|
R |
|
|
S |
|
|
T |
|
|
U |
|
|
V |
|
|
W |
|
|
X |
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.