RESUMO

Esta monografia (Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais) apresenta um panorama geral sobre a segurança da informação. As principais ameaças, vulnerabilidades, soluções, tecnologias e procedimentos envolvidos são discutidos aqui de forma simples e objetiva. Neste contexto,  detalhes sobre gerenciamento de riscos, política de segurança, gerenciamento de ativos, segurança em recursos humanos, segurança física e ambiental, gestão de operações e comunicações, controle de acesso, segurança de sistemas de informação, segurança no desenvolvimento de sistemas de informação, gerenciamento de incidentes de segurança da informação, continuidade do negócio, conformidade e coordenação da segurança da informação são mostrados aqui. Além disso, o documento inclui, nos apêndices, temas como engenharia social, teste de invasão, firewall, sistemas de detecção de intrusos, honeypot, criptografia, esteganografia, logs, patches de correção, scanners de vulnerabilidade, injeção de sql, biometria e outros mecanismos de autenticação, senhas, backup, malwares, exploits, buffer overflow, sistemas de controle de versão, configuração de servidores web e leis. Este documento foi baseado em livros que abordam temas voltados para hackers e security officers. Assim, foi possível estabelecer uma visão mais completa sobre o assunto segurança da informação. Palavras-chave: Segurança. Informação. Hacker. Tecnologias. Soluções.

ABSTRACT

This monograph presents a general overview about the information security. The main threats, vulnerabilities, solutions, technologies and procedures involved are discussed here in a simple and objective way. In this context, details about risk management, security policy, active management, human resources security, physical and environmental security, communications and operations management, access control, information systems security, security in information systems development, information security incident management, business continuity management, compliance and security information coordination are shown here. Moreover, the document includes, in the appendices, subjects like engineering social, penetration test, firewall, intrusion detection systems, honeypot, cryptography, steganography, logs, correction patches, vulnerability scanners, sql injection, biometric and others methods of authentication, passwords, backup, malwares, exploits, buffer overflow, version control systems, configuration of web servers and laws. This document was based on books that approach themes focused to hackers and security officers. So, was possible to establish a more complete overview about the subject information security. Keywords: Security. Information. Hacker. Technologies. Solutions.

SUMÁRIO

1

INTRODUÇÃO

1.1

JUSTIFICATIVAS

1.2

OBJETIVO

1.3

ESTRUTURA DA MONOGRAFIA

2

REVISÃO BIBLIOGRÁFICA

3

GERENCIAMENTO DE RISCOS

3.1

ANÁLISE DE RISCOS

3.2

TRATAMENTO DE RISCOS

3.3

METODOLOGIA

4

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

4.1

DESENVOLVIMENTO DA POLÍTICA DE SEGURANÇA DA  INFORMAÇÃO

4.2

ATUALIZAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

4.3

COMPROMETIMENTO DA DIREÇÃO

5

GESTÃO DE ATIVOS

5.1

RESPONSABILIDADES PELOS ATIVOS

5.1.1

Inventário dos Ativos

5.1.2

Proprietários dos Ativos

5.1.3

Uso Adequado dos Ativos

5.2

CLASSIFICAÇÃO DA INFORMAÇÃO

5.2.1

Critérios de Classificação

5.2.2

Revisão da Classificação

5.2.3

Procedimentos de Classificação

5.2.4

Níveis de Classificação

6

SEGURANÇA EM RECURSOS HUMANOS

6.1

CONTRATAÇÃO

6.2

APÓS A CONTRATAÇÃO

6.2.1

Responsabilidades da Direção

6.2.2

Conscientização e Treinamento

6.2.3

Medidas Disciplinares

6.3

TÉRMINO DO CONTRATO, MUDANÇA DE CARGO OU DEMISSÃO

6.3.1

Devolução de Ativos

6.3.2

Revisão dos Direitos de Acesso

7

SEGURANÇA FÍSICA E DO AMBIENTE

7.1

ÁREAS SEGURAS

7.1.1

Perímetro de Segurança Física

7.1.2

Controles de Acesso Físico

7.1.3

Trabalho em Áreas Seguras

7.1.4

Proteção contra Desastres

7.1.5

Proteção em Áreas de Entrega e Carregamento

7.2

PROTEÇÃO DOS EQUIPAMENTOS

7.2.1

Proteção dos Equipamentos fora da Organização

7.2.2

Manutenção dos Equipamentos

7.2.3

Descarte dos Equipamentos

7.2.4

Segurança do Cabeamento

7.2.5

Interrupção de Serviços Básicos

8

GERENCIAMENTO DE OPERAÇÕES E COMUNICAÇÕES

8.1

GERENCIAMENTO DA SEGURANÇA EM REDES

8.2

GERAÇÃO E PROTEÇÃO DE CÓPIAS DE SEGURANÇA

8.3

DESCARTE DE MÍDIAS

8.4

TROCA DE INFORMAÇÕES

8.5

SERVIÇOS ONLINE

8.5.1

Informações Publicamente Acessíveis

8.5.2

Integridade dos Dados Publicados

8.5.3

Transações

8.5.4

Comércio Eletrônico

8.6

MONITORAMENTO

8.7

TRABALHO REMOTO

9

CONTROLE DE ACESSOS

9.1

POLÍTICA DE CONTROLE DE ACESSOS

9.2

GERENCIAMENTO DE ACESSO DO USUÁRIO

9.3

RESPONSABILIDADES DOS USUÁRIOS

9.4

CONTROLE DE ACESSO À REDE

9.5

CONTROLE DE ACESSO A INFORMAÇÕES E SISTEMAS

10

SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

10.1

DEFINIÇÃO DE REQUISITOS DE SEGURANÇA

10.2

VALIDAÇÃO EM SISTEMAS DE INFORMAÇÃO

10.3

GERENCIAMENTO DE VULNERABILIDADES TÉCNICAS

10.4

GERENCIAMENTO DE SISTEMAS OPERACIONAIS

11

SEGURANÇA NO DESENVOLVIMENTO DE SISTEMAS

11.1

SEGREGAÇÃO DE AMBIENTES

11.2

METODOLOGIA DE DESENVOLVIMENTO

11.3

DESENVOLVIMENTO TERCEIRIZADO

11.4

REALIZAÇÃO DE TESTES

11.5

GERENCIAMENTO DE MUDANÇAS

12

GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

12.1

INCIDENTES DE SEGURANCA

12.2

OBJETIVO DA GESTÃO DE INCIDENTES DE SEGURANÇA

12.3

PLANO DE GERENCIAMENTO DE INCIDENTES DE SEGURANÇA

12.4

NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA

12.5

RESPONSABILIDADES

12.6

FORENSE COMPUTACIONAL

12.7

RESPOSTA A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

12.8

MELHORIAS

13

CONTINUIDADE DO NEGÓCIO

13.1

AVALIAÇÃO DE AMEAÇAS E RISCOS

13.2

PLANO DE CONTINGÊNCIA

13.3

SOLUÇÕES

13.4

RESPONSABILIDADES

13.5

TESTES E MANUTENÇÃO

13.6

RECUPERAÇÃO

14

CONFORMIDADE

14.1

CONFORMIDADE COM A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

14.2

CONFORMIDADE  COM DIREITOS DE PROPRIEDADE INTELECTUAL

14.3

CONFORMIDADE COM REQUISITOS LEGAIS

14.4

CONFORMIDADE TÉCNICA

14.5

PROTEÇÃO DE REGISTROS ORGANIZACIONAIS

14.6

PRIVACIDADE DE INFORMAÇÕES PESSOAIS

14.7

CONFORMIDADE EM CONTRATOS COM TERCEIROS

14.8

NÃO CONFORMIDADE

15

COORDENAÇÃO DO PROCESSO DE SEGURANÇA DA INFORMAÇÃO

15.1

SECURITY OFFICER

15.2

ANÁLISE CRÍTICA INDEPENDENTE

16

SOLUÇÕES ADOTADAS EM AMBIENTES ORGANIZACIONAIS

17

MATERIAIS E MÉTODOS

18

APLICAÇÃO DO APRENDIZADO

19

CONCLUSÃO

REFERÊNCIAS

APÊNDICES

A

NIST SP-800-30

A.1

CARACTERIZAÇÃO DOS SISTEMAS

A.2

IDENTIFICAÇÃO DAS AMEAÇAS

A.3

IDENTIFICAÇÃO DAS VULNERABILIDADES

A.4

ANÁLISE DOS CONTROLES DE SEGURANÇA

A.5

DETERMINAÇÃO DA PROBABILIDADE

A.6

ANÁLISE DO IMPACTO

A.7

DETERMINAÇÃO DO RISCO

A.8

RECOMENDAÇÕES DOS CONTROLES DE SEGURANÇA

A.9

DOCUMENTAÇÃO DOS RESULTADOS

B

NÍVEIS DE CLASSIFICAÇÃO DA INFORMAÇÃO

B.1

INFORMAÇÃO PÚBLICA

B.2

INFORMAÇÃO INTERNA

B.3

INFORMAÇÃO CONFIDENCIAL

B.4

INFORMAÇÃO RESTRITA

C

ENGENHARIA SOCIAL

C.1

A ARTE DE MANIPULAR

C.2

O PERFIL DO ENGENHEIRO SOCIAL

C.3

CONHECENDO O ALVO

C.4

BURLANDO CONTROLES DE SEGURANÇA

C.5

TREINAMENTO CONTRA ENGENHARIA SOCIAL

D

PROTEÇÃO CONTRA MALWARES

D.1

TIPOS DE MALWARES

D.1.1

Vírus

D.1.2

Cavalo de Troia

D.1.3

Adware

D.1.4

Spyware

D.1.5

Backdoor

D.1.6

Keylogger

D.1.7

Worm

D.1.8

Bot

D.1.9

Rootkit

D.2

A IMPORTÂNCIA DO SISTEMA OPERACIONAL

E

FIREWALL

F

SISTEMA DE DETECÇÃO DE INTRUSOS

F.1

TIPOS DE IDS

F.2

FALSOS POSITIVOS

G

HONEYPOT

H

CRIPTOGRAFIA

H.1

TIPOS DE CRIPTOGRAFIA

H.2

GERENCIAMENTO DE CHAVES CRIPTOGRÁFICAS

I

ESTEGANOGRAFIA

J

CUIDADOS COM SERVIDORES WEB

K

BACKUP

L

LOGS

M

SENHAS

N

MECANISMOS DE AUTENTICAÇÃO

O

BIOMETRIA

P

BUFFER OVERFLOW

Q

INJEÇÃO DE CÓDIGO SQL

R

SCANNER DE VULNERABILIDADES

S

PATCHES DE CORREÇÃO

T

EXPLOITS

U

SISTEMA DE CONTROLE DE VERSÃO

V

TESTE DE INVASÃO

W

LEI SARBANES-OXLEY

X

RESOLUÇÃO 3380 DO BANCO CENTRAL DO BRASIL


MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.