PDF com parte do conteúdo do livro utilizado pela Antebellum em seus treinamentos oficiais do Exin,

1. Fundamentos de Segurança da Informação
ISBN: 978-85-66649-01-7
Autor: Fernando Fonseca
Direitos autorais garantidos para:
Antebellum Capacitação Profissional
Todos os direitos reservados. Este manual não pode ser copiado, fotocopiado, re-
produzido, traduzido para outras línguas ou convertido em qualquer forma eletrô-
nica ou legível por qualquer meio, em parte ou no todo, sem a aprovação prévia
por escrito da Antebellum Capacitação Profissional ®
320 Páginas - Editora Antebellum
www.antebellum.com.br
Material do Aluno cursos@antebellum.com.br
Versão 1.0
Responsabilidade Social
Este material foi impresso pela Ekofootprint, utilizan-
do papel reciclado e tecnologia de cera (Solid Ink) da
PDF Gerado em baixa resolução Xerox, que reduz o impacto ambiental das impressões
em 90%, se comparado à tecnologia Laser.
para demonstração do material www.ekofootprint.com
2

2. 3 4

3. Sumário
O Programa de Certificação do Exin................................. 6
1 - Informação e Segurança................................................... 15
1.1 - Conceitos Fundamentais.................................................. 15
1.2 - Valor da Informação......................................................... 58
1.3 - Aspectos de Confiabilidade.............................................. 65
2 - Alinhamento Estratégico.................................................. 75
2.1 - Governança...................................................................... 75
2.2 - Modelagem de Processos................................................ 91
2.3 - Classificação da Informação............................................. 96
3 - Gestão de Riscos.............................................................. 104
3.1 - Ameaças........................................................................... 104
3.2 - Tipos de Ameaça.............................................................. 107
3.3 - Dano................................................................................. 143
3.4 - Análise de Riscos.............................................................. 151
4 - Abordagem e Organização............................................... 166
4.1 - Políticas de Segurança...................................................... 166
4.2 - Organização da Segurança............................................... 172
4.3 - Gestão de Incidentes........................................................ 178
5 - Medidas de Segurança..................................................... 190
5.1 - A Importância das Medidas.............................................. 190
5.2 - Controles Físicos............................................................... 194
5.3 - Controles Tecnológicos.................................................... 203
5.4 - Segurança em Software................................................... 220
5.5 - Controles Organizacionais................................................ 242
5.6 - Gestão de Pessoas............................................................ 245
5.7 - Controle de Acesso........................................................... 253
5.8 - Continuidade de Negócios............................................... 259
5 6

4. Sumário
6 - Conformidade................................................................ 266
6.1 - Legislação e Regulamentação........................................ 266
6.2 - Avaliação....................................................................... 275
Anexo A. – Exame Simulado (Oficial Exin)..................... 280
Anexo B— Lista de Conceitos Básicos do Exin............... 301
Anexo C— Referências Bibliográficas............................ 308
Anexo D—Sites .Recomendados................................... 310
Anexo E—Cronograma do Curso................................... 312
O EXIN - Examination Institute for Information Science, é uma empresa glo-
bal, prestadora de exame independente de TI que oferece programas de capa-
citação para ISO/IEC 20000, ISO/IEC 27000, ITIL ®, MOF, entre outros. É
missão do EXIN melhorar a qualidade do setor de TI, os profissionais de TI e
os usuários de TI, por meio de testes e certificações.
A tecnologia da informação é a pedra fundamental do competitivo mundo
dos negócios de hoje. Como profissional de TI, você enfrenta o desafio diário
de fornecer serviços de TI confiáveis e acessíveis. Seu mundo é movido pelo
desempenho e está em constante mutação. Muitas novas profissões de TI
continuam a surgir. São mais de 350.000 profissionais certificados em mais
de 125 países exercitando-se em Tecnologia da Informação em todos os ní-
veis. Estes profissionais obtiveram sua valiosa certificação EXIN através de
7 8

5. treinamento e exames abrangentes baseados em padrões de TI reconhecidos
internacionalmente
A qualidade dos serviços de TI depende muito do profissionalismo da equi-
pe. O EXIN oferece acompanhamento da aprendizagem, proporcionando
aos profissionais de TIC (Tecnologia da Informação e Comunicação) as
competências e habilidades apropriadas para aprimorar o desempenho do
seu trabalho. A obtenção de um certificado EXIN é uma evidência sólida de
um treinamento bem-s
O programa de certificação do EXIN é dividido em três níveis. O inicial é o
exame de fundamentos, destinado a todos na organização que processam
informações. Seu objetivo é criar a consciência da responsabilidade de cada
indivíduo na manutenção da confiabilidade e do valor dos ativos de infor-
mação da empresa. O módulo também é adequado para pequenas empresas
cujos conhecimentos básicos de Segurança da Informação são necessários. 1. Informação e Segurança (10%)
1.1 O conceito de informação (2,5%) - O candidato entende o conceito
O exame avançado é destinado a todos que, através de sua posição, estão
de informação. O candidato é capaz de:
envolvidos com a implementação, avaliação e comunicação de segurança da
informação, tais como o Gerente de Segurança da Informação e o Security 1.1.1 Explicar a diferença entre os dados e informações
Officer ou o Gerente de Projetos. 1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutu-
ra básica
O exame de especialista em gerenciamento é destinado aos profissionais de
1.2 Valor da informação (2,5%) - O candidato entende o valor da infor-
TI que são responsáveis pelo desenvolvimento e implementação, em parte mação para as organizações. O candidato é capaz de:
ou no todo, das estruturas da Segurança da Informação. Exemplos podem
incluir o Chief Information Security Officer, o Gerente de Segurança da In- 1.2.1 Descrever o valor de dados / informação para as organizações
1.2.2 Descrever como o valor de dados / informações pode influenciar as
formação, Implementador de Segurança da Informação e Arquitetos de Sis-
organizações
temas de Informações. 1.2.3 Explicar como conceitos aplicados de segurança de informações
protegem o valor de dados / informações
9 10

6. 1.3 Aspectos de confiabilidade (5%) - O candidato conhece os aspectos 3.2 Componentes (2,5%) - O candidato conhece as várias componentes
de confiabilidade (confidencialidade, integridade, disponibilidade) da organização da segurança. O candidato é capaz de:
da informação. O candidato é capaz de:
3.2.1 Explicar a importância de um código de conduta
1.3.1 Nome dos aspectos de confiabilidade da informação 3.2.2 Explicar a importância da propriedade
1.3.2 Descrever os aspectos de confiabilidade da informação 3.2.3 Nomear as regras mais importantes na organização da segurança da
informação
2. Ameaças e riscos (30%)
3.3 Gerenciamento de Incidentes (5%) - O candidato compreende a im-
2.1 Ameaça e risco (15%) 0 O candidato compreende os conceitos de portância da gestão de incidentes e escaladas. O candidato é capaz
ameaça e risco. O candidato é capaz de: de:
2.1.1 Explicar os conceitos de ameaça, de risco e análise de risco 3.3.1 Resumir como incidentes de segurança são comunicados e as infor-
2.1.2 Explicar a relação entre uma ameaça e um risco mações que são necessárias
2.1.3 Descrever os vários tipos de ameaças 3.3.2 Dar exemplos de incidentes de segurança
2.1.4 Descrever os vários tipos de danos 3.3.3 Explicar as consequências da não notificação de incidentes de segu-
2.1.5 Descrever as diferentes estratégias de risco rança
3.3.4 Explicar o que implica uma escalada (funcional e hierárquica)
2.2 Relacionamento entre ameaças, riscos e confiabilidade das informa- 3.3.5 Descrever os efeitos da escalada dentro da organização
ções (15%) - O candidato compreende a relação entre as ameaças, 3.3.6 Explicar o ciclo do incidente
riscos e confiabilidade das informações. O candidato é capaz de:
2.2.1 Reconhecer exemplos dos diversos tipos de ameaças 4. Medidas (40%)
2.2.2 Descrever os efeitos que os vários tipos de ameaças têm sobre a in-
formação e ao tratamento das informações 4.1 Importância das medidas de (10%) - O candidato entende a impor-
tância de medidas de segurança. O candidato é capaz de:
3. Abordagem e Organização (10%)
4.1.1 Descrever as maneiras pelas quais as medidas de segurança podem
3.1 Política de Segurança e organização de segurança (2,5%) - O candida- ser estruturadas ou organizadas
to tem conhecimento da política de segurança e conceitos de organi- 4.1.2 Dar exemplos de cada tipo de medida de segurança
zação de segurança. O candidato é capaz de: 4.1.3 Explicar a relação entre os riscos e medidas de segurança
4.1.4 Explicar o objetivo da classificação das informações
3.1.1 enunciar os objetivos e o conteúdo de uma política de segurança 4.1.5 Descrever o efeito da classificação
3.1.2 enunciar os objetivos e o conteúdo de uma organização de segurança
11 12

7. 4.2 Medidas de segurança física (10%) - O candidato tem conhecimento 4.4.7 Tornar clara a importância da realização de exercícios
tanto da criação e execução de medidas de segurança física. O candi-
dato é capaz de:
5. Legislação e regulamentação (10%)
4.2.1 Dar exemplos de medidas de segurança física
4.2.2 Descrever os riscos envolvidos com medidas de segurança física 5.1 Legislação e regulamentos (10%) - O candidato entende a importân-
insuficientes cia e os efeitos da legislação e regulamentações. O candidato é capaz
de:
4.3 medidas de ordem técnica (10%) - O candidato tem conhecimento
tanto da criação quanto da execução de medidas de segurança técni- 5.1.1 Explicar porque a legislação e as regulamentações são importantes
ca. O candidato é capaz de: para a confiabilidade da informação
5.1.2 Dar exemplos de legislação relacionada à segurança da informação
4.3.1 Dar exemplos de medidas de segurança técnica 5.1.3 Dar exemplos de regulamentação relacionada à segurança da infor-
4.3.2 Descrever os riscos envolvidos com medidas de segurança técnica mação
insuficientes 5.1.4 Indicar as medidas possíveis que podem ser tomadas para cumprir
4.3.3 Compreender os conceitos de criptografia, assinatura digital e cer- as exigências da legislação e da regulamentação
tificado
4.3.4 Nome das três etapas para serviços bancários online (PC, web site, Vantagens da certificação IFSF
pagamento)
4.3.5 Nomear vários tipos de software malicioso  Redução de riscos do negócio;
4.3.6 Descrever as medidas que podem ser usados contra software mali-  Investimento em controles de segurança da informação frente aos ris-
cioso cos do negócio (racionalidade);
 Aumento da efetividade da segurança da informação (conceito de me-
4.4 Medidas organizacionais (10%) - O candidato tem conhecimento lhoria contínua);
tanto da criação quanto da execução de medidas de segurança orga-  Aumento de confiança nas relações comerciais;
nizacional. O candidato é capaz de:  Proteção dos ativos da informação em todas as suas formas
(tecnologia, pessoas e processos);
4.4.1 Dar exemplos de medidas de segurança organizacional
 O exame ISO/IEC 27002 do EXIN é composto de 40 perguntas em in-
4.4.2 Descrever os perigos e riscos envolvidos com medidas de segurança
glês, sendo necessário acertar 26 questões para ser aprovado. A taxa do
organizacional insuficientes
exame é de US$ 165,00.
4.4.3 Descrever as medidas de segurança de acesso, tais como a segrega-
 O Formato do exame é do tipo múltipla escolha e sua duração máxima
ção de funções e do uso de senhas
é de 60 minutos.
4.4.4 Descrever os princípios de gestão de acesso
 Uma vez aprovado no exame, você receberá dentro de 45 dias o certifi-
4.4.5 Descrever os conceitos de identificação, autenticação e autorização
cado da EXIN pelo correio.
4.4.6 Explicar a importância para uma organização de um Gerenciamen-
to da Continuidade de Negócios estruturado
13 14

8.  Envolvimento e comprometimento da direção da empresa na seguran- Requisito de exame Especificação de exame Peso Número
ça da informação; ao nível de maestria (%) de ques-
 Padrão aceito no mundo, com mais de 2500 certificações; tões
 Aumento da conscientização dos funcionários para assuntos referen- 1 Informação e segurança
tes à segurança da informação; O conceito de informação 1.1 Entendimento 2.5 1
 Conformidade com requisitos legais; Valor da informação 1.2 Entendimento 2.5 1
 Reconhecimento, por parte de terceiros, da importância da segurança Aspectos de confiabilidade 1.3 Lembrança 5 2
da informação para a empresa Subtotal 10 4
Formato do Exame 2 Ameaças e riscos
Ameaças e riscos 2.1 Entendimento 15 6
Relacionamento entre amea- 2.2 Entendimento 15 6
Características ças, riscos e confiabilidade da
Tipo de exame múltipla escolha informação
Número de questões 40 Subtotal 30 12
Duração do exame 60 minutos
3 Abordagem e organização
Taxa para aprovação 65%
Política de segurança e organi- 3.1 Lembrança 2.5 1
zação de segurança
Componentes 3.2 Lembrança 2.5 1
Literatura: O material do aluno cobre todos os requisitos do exame, in- Gerenciamento de incidentes 3.3 Entendimento 5 2
clusive com questãoes ao final de cada capítulo e respostas comentadas Subtotal 10 4
no apêndice A.
4 Medidas
Importância de medidas 4.1 Entendimento 10 4
O aluno também pode utilizar como literatura auxiliar o seguinte livro: Medidas físicas 4.2 Lembrança 10 4
Hintzbergen, J., Baars, H., Hintzbergen, K. and Smulders, A. - The Basics of Information Medidas técnicas 4.3 Lembrança 10 4
Security - A practical handbook - The Netherlands, 2009 - disponível gratuitamente, Medidas organizacionais 4.4 Lembrança 10 4
no formato PDF (em inglês), no sítio internet do EXIN: Subtotal 40 16
http://www.exin-exams.com/exams/exam-program/iso-iec-27000/isfs.aspx
5 Legislação e regulamentação
Legislação e regulamentação 5.1 Entendimento 10 4
Subtotal 10 4
Total 100 40
15 16

9. Conforme visto anteriormente, devido à sua natureza abstrata, as informa-
ções precisam de uma mídia para serem transmitidos e armazenados, essas
mídias no entanto precisam de um cuidado especial quanto a seu manuseio,
armazenamento, transporte e descarte. O critério utilizado varia de acordo
com a classificação da informação que armazenam
As boas práticas recomendam que, ao se classificar uma informação se espe-
cifique o tempo e as condições do armazenamento considerando sempre que
quanto maior a sensibilidade de uma informação, mais rígidos devem ser os
controles de prazo e condições de guarda.
É importante destacar que as informações podem ser reclassificadas a qual-
quer tempo, o que pode ocasionar uma revisão do prazo e das condições de
armazenamento das mesmas.
17 18

10. Quando uma informação não é mais necessária, é necessário estabelecer pro-
cedimentos na Política de Segurança da organização para o seu descarte, ava-
liando se a mídia utilizada para guardar aqueda informação, assim como as
que receberam suas cópias, pode ser sanitizada para receber novas informa-
ções (ex: HD, Fita, Cartão de Memória, DVD-RW), ou deve ser descartada
(Ex: papel, fita no final da vida útil, DVD-ROM).
As fases abaixo, representam o ciclo de vida da informação:
Criação – Início do ciclo onde a informação é gerada, pode ser o ponto
onde uma foto é tirada, uma filmagem é feita, um documento ou e-mail é
escrito, etc.
Transporte – Esta parte do ciclo consiste no momento do envio ou trans-
porte, onde a informação é encaminhada por correio, correio eletrônico,
Os processos definidos na política de segurança são fundamentais para a
fax, falada ao telefone ou através de alto-falantes públicos e outros. Nor-
manutenção da segurança do ambiente, pois eles definem o comportamen-
malmente ocorre antes e depois do armazenamento.
to esperado dos colaboradores em relação à segurança da informação, e as
tecnologias a serem utilizadas para assegurar a segurança da informação
Armazenamento – Momento em que a informação é armazenada, seja em
na organização.
uma base da dados de um banco de dados, em papel, mídia (CD, DVD,
Fita, disquete, memória USB) As pessoas, colaboradores da organização, aparecem como segundo com-
ponente dessa tríade fundamental, e necessitam de orientação para que
Descarte – A parte final do ciclo é o momento em que a informação é des- possam desempenhar suas obrigações quanto à segurança da informação
cartada, ou seja, eliminada, apagada, “deletada”, destruída de forma defi- da melhor forma possível.
nitiva. Pode ocorrer com a simples destruição de um papel, CD, ou DVD,
Por último temos a tecnologia, que fornece ferramentas para forçar com
ou pode ocorrer de forma que sua mídia hospedeira seja reutilizada poste-
que as políticas sejam seguidas monitorar o uso dos recursos de informa-
riormente.
ção, e alertar de diversas formas quanto a incidente e desvios no cumpri-
mento da política.
19 20

11. gurança da informação dentro da organização
 Partes externas - Objetivo: Manter a segurança dos recursos de proces-
samento da informação e da informação da organização, que são aces-
sados, processados, comunicados ou gerenciados por partes externas
Gestão de ativos
 Responsabilidade sobre os ativos - Objetivo: Alcançar e manter a pro-
teção adequada dos ativos da organização
 Classificação da Informação - Objetivo: Assegurar que a informação
receba nível adequado de proteção.
Segurança em Recursos Humanos
A ISO 27002:2005 é dividida em 11 seções e 39 categorias, que listamos
a seguir:
 Antes da contratação - Objetivo: Assegurar que os funcionários, forne-
cedores e terceiros entendam suas responsabilidades, e estejam de
Política de segurança da informação
acordo com os papéis, e reduzir o risco de roubo, fraude ou mau uso de
recursos
 Política de Segurança da Informação - Objetivo: Prover uma orientação  Durante a contratação - Objetivo: Assegurar que os funcionários, for-
e apoio da direção para a segurança da informação de acordo com os necedores e terceiros estão conscientes das ameaças e preocupações
requisitos do negócio e com as leis e regulamentações relevantes relativas à segurança da informação, suas responsabilidades e obriga-
ções, e estão preparados para apoiar a política de segurança da infor-
Organizando a Segurança da Informação mação da organização durante os seus trabalhos normais, e para redu-
zir o risco de erro humano.
 Infraestrutura da Segurança da Informação - Objetivo: Gerenciar a se-
21 22

12.  Encerramento ou mudança da contratação - Objetivo: Assegurar que  Manuseio de mídias - Objetivo: Prevenir contra a divulgação não auto-
funcionários, fornecedores e terceiros deixem a organização ou mudem rizada, modificação, remoção ou destruição aos ativos e interrupções
de trabalho de forma ordenada. das atividades do negócio.
 Troca de informações - Objetivo: Manter a segurança na troca de infor-
Segurança Física e do Ambiente mações e software in ternamente à organização e com quaisquer enti-
dades externas
 Áreas seguras - Objetivo: Prevenir o acesso físico não autorizado, da-  Serviços de comércio eletrônico - Objetivo: Garantir a segurança de
nos e interferências com as instalações e informações da organização. serviços de comércio eletrônico e sua utilização segura
 Segurança de equipamentos - Objetivo: Impedir perdas, danos, furto  Monitoramento - Objetivo: Detectar atividades não autorizadas de
ou comprometimento de ativos e interrupção das atividades da organi- processamento da informação
zação.
Controle de acesso
Gerenciamento das Operações e Comunicações`  Requisitos de negócio para controle de acesso - Objetivo: Controlar o
acesso à informação
 Procedimentos e responsabilidades operacionais - Objetivo: Garantir a  Gerenciamento de acesso do usuário - Objetivo: Assegurar acesso de
operação segura e correta dos recursos de processamento da informa- usuário autorizado e prevenir acesso não autorizado a sistemas de in-
ção formação.
 Gerenciamento de serviços terceirizados - Objetivo: Implementar e  Responsabilidades dos usuários - Objetivo: Prevenir o acesso não au-
manter o nível apropriado de segurança da informação e de entrega de torizado dos usuários e evitar o comprometimento ou roubo da infor-
serviços em consonância com acordos de entrega de serviços terceiri- mação e dos recursos de processamento da informação.
zados  Controle de acesso à rede - Objetivo: Prevenir acesso não autorizado
 Planejamento e aceitação dos sistemas - Objetivos: Minimizar o risco aos serviços de rede
de falhas nos sistemas  Controle de acesso ao sistema operacional - Objetivo: Prevenir acesso
 Proteção contra códigos maliciosos e códigos móveis - Objetivos: Pro- não autorizado aos sistemas operacionais
teger a integridade do software e da informação.  Controle de acesso à aplicação e à informação - Objetivo: Prevenir
 Cópias de segurança - Objetivo: Manter a integridade e disponibilida- acesso não autorizado à informação contida nos sistemas de aplicação
de da informação e dos recursos de processamento de informação.
23 24

13.  Computação móvel e trabalho remoto - Objetivo: Garantir a segurança  Gestão de incidentes de segurança da informação e melhorias – Obje-
da informação quando a computação móvel e recursos de trabalho re- tivo: Assegurar que um enfoque consistente e efetivo seja aplicado à
moto gestão de incidentes de segurança
Aquisição, desenvolvimento e manutenção de sistemas de informa- Gestão de Continuidade de Negócios
ção
 Requisitos de segurança de sistemas de informação – Objetivo: Garan-  Aspectos da gestão da continuidade do negócio, relativos à segurança
tir que segurança é parte integrante de sistemas de informação da informação –Objetivo: Não permitir a interrupção das atividades
 Processamento correto de aplicações – Objetivo: Prevenir a ocorrência do negócio e proteger os processos críticos contra efeitos de falhas ou
de erros, perdas, modificação não autorizada ou mau uso de informa- desastres significativos, e assegurar a sua retomada em tempo hábil, se
ções em aplicações. for o caso.
 Controles criptografados – Objetivo: Proteger a confidencialidade, a
autenticidade ou a integridade das informações por meios criptográfi- Conformidade
cos
 Segurança dos arquivos do sistema – Objetivo: Garantir a segurança de  Conformidade com requisitos legais – Objetivo: Evitar violação de
arquivos de sistema qualquer lei criminal ou civil, estatutos, regulamentações ou obriga-
 Segurança em processos de desenvolvimento e de suporte. - Objetivo:
ções contratuais e de quaisquer requisitos de segurança da informa-
Manter a segurança de sistemas aplicativos e da informação. ção.
 Conformidade com normas e políticas de segurança da informação e
 Gestão de vulnerabilidades técnicas. - Objetivo: Reduzir riscos resul-
tantes de exploração de vulnerabilidades técnicas conhecidas. conformidade técnica –Objetivo: Garantir conformidade dos sistemas
com as políticas e normas organizacionais de segurança da informa-
Gestão de incidentes de Segurança da Informação ção.
 Notificação de fragilidades e eventos de segurança da informação – Considerações quanto á auditoria de sistemas de informação – Objetivo: Ma-
Objetivo: Assegurar que fragilidades e eventos de segurança da infor- ximizar a eficácia e minimizar a interferência no processo de auditoria dos
mação associados com sistemas de informação sejam comunicados, sistemas de informação.
permitindo a tomada de ação corretiva em tempo hábil.
25 26

14. "These novel or unusual design features are associated with connectivity
of the passenger domain computer systems to the airplane critical sys-
tems and data networks." (FAA)
Este tipo de ameaça é real, e tem sido discutida por vários profissionais de
Segurança da Informação. Conforme lembrou o colega Javed Ikbal em um
post enviado para a lista cisspforum, no ano passado foi demonstrado no site
da CSO online como é possível derrubar o sistema de entretenimento a bor-
do (os jogos nos monitores) de um vôo da JetBlue utilizando o telefone a
bordo para passar um parâmetro inválido para o jogo Tetris.
A própria reportagem da Wired cita uma apresentação muito interessante
do pesquisador Mark Loveless, ("Hacking the Friendly Skies") onde ele apre-
senta como hackear computadores vizinhos durante o vôo e, no final da
apresentação, faz várias considerações sobre os projetos existentes de dispo-
nibilização de acesso internet nos vôos.
Estudo de Caso—Boeing 787
Segundo a matéria, a Boeing diz que está ciente do risco e está trabalhando
Segundo um relatório da agência americana FAA (Federal Aviation Adminis-
na separação física das redes e na adoção de proteção baseada em softwares
tration), o novo jato tem uma vulnerabilidade séria de segurança na arquite-
de firewall. Infelizmente (como lembrou o colega Les Bell na lista cisspfo-
tura de suas redes internas de computadores, que pode permitir que passa-
rum), manter todas estas redes totalmente isoladas fisicamente implicaria
geiros acessem os sistemas de controle do avião a partir da rede criada para
em ter equipamentos e cabeamento redundante em toda a aeronave, um cus-
prover acesso internet durante o voo. De acordo com o relatório, a rede desti-
to muito pesado para a indústria aeronáutica. Por isso, o compartilhamento
nada aos passageiros está conectada com as redes dos sistemas de controles
da infraestrutura pareceria algo óbvio aos olhos de um leigo.
de voo, de navegação, comunicação e a rede administrativa da compania aé-
Lamentavelmente, muitas vezes os profissionais de segurança não são envol-
rea (responsável por sistemas administrativos e de manutenção da equipe de
vidos na fase de design do projeto, cabendo então a árdua tarefa de criar me-
terra). No atual design, a conexão física entre estas redes, anteriormente iso-
canismos adicionais de proteção, depois que o problema é encontrado
ladas, faz com que todo o sistema seja mais facilmente vulnerável a hackers.
Fonte: AnchisesLândia - http://anchisesbr.blogspot.com/2008/01/segurana-possvel-hackear-o-boeing-787.html
27 28

15. Existe um importante fluxo de informações entre os objetivos de controle de
É importante diferenciarmos Governança de TI de Gerenciamento de TI.
TI e a alta gestão.
A Governança de TI encontra-se e um nível estratégico, sendo o sistema
pelo qual o uso atual e futuro da TI é dirigido e controlado. Significa avaliar
e direcionar o uso da TI para dar suporte à organização e monitorar seu uso Os objetivos de negócio que forem definidos pela alta direção geram requisi-
para realizar os planos. Inclui a estratégia e as políticas de uso da TI dentro tos para os objetivos de TI. Uma vez implementados, esses controles geram
da organização informações necessárias para que o negócio alcance seus objetivos.
O Gerenciamento de TI encontra-se em uma esfera mais operacional, e re-
presenta o sistema de controles e processos necessário para alcançar os ob-
A alta gestão é responsável por passar o direcionamento e recursos necessá-
jetivos estratégicos estabelecidos pela direção da organização. O gerencia-
rios para a área de TI, que servem como entrada nos objetivos de controle, e
mento está sujeito às diretrizes, às políticas e ao monitoramento estabeleci-
a governança de TI devolve informações importantes para que os executivos
dos pela governança corporativa
e o conselho possa exercer suas funções.
29 30

16. Gestão de recursos: refere-se à melhor utilização possível dos investimentos
e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, infor-
mações, infraestrutura e pessoas. Questões relevantes referem-se à otimiza-
ção do conhecimento e infraestrutura.
Gestão de risco: requer a preocupação com riscos pelos funcionários mais
experientes da corporação, um entendimento claro do apetite de risco da em
-presa e dos requerimentos de conformidade, transparência sobre os riscos
significantes para a organização e inserção do gerenciamento de riscos nas
atividades da companhia.
Mensuração de desempenho: acompanha e monitora a implementação da es-
tratégia, término do projeto, uso dos recursos, processo de performance e en
Segundo o CobiT (Control Objectives for Information and related Techno- -trega dos serviços, usando, por exemplo, “balanced scorecards” que tradu-
logy), a Governança de TI possui cinco áreas de foco: zem as estratégia em ações para atingir os objetivos, medidos através de pro-
cessos contábeis convencionais Existe um importante fluxo de informações
entre os objetivos de controle de TI e a alta gestão.
Alinhamento estratégico: foca em garantir a ligação entre os planos de negó
-cios e de TI, definindo, mantendo e validando a proposta de valor de TI, ali
-nhando as operações de TI com as operações da organização.
Entrega de valor: é a execução da proposta de valor de IT através do ciclo
de entrega, garantindo que TI entrega os prometidos benefícios previstos
na estratégia da organização, concentrando-se em otimizar custos e pro-
vendo o valor intrínseco de TI
31 32

17. O BSC mede o desempenho da organização sob a óptica de quatro perspec-
tivas que assim se inter-relacionam:
 Resultados financeiros,
 Satisfação do cliente,
 Processos internos do negócio e
 Aprendizado e crescimento.
A melhoria do aprendizado e crescimento dos empregados resulta em me-
lhoria dos processos internos do negócio, os quais criam melhores produtos
e serviços e, consequentemente, maior satisfação do cliente e maior partici-
pação no mercado, conduzindo a melhores resultados financeiros para a or-
ganização.
O Balanced ScoreCard (BSC) é uma metodologia que estabelece um siste-
ma de medição de desempenho das organizações. Foi proposto por Kaplan
e Norton em 1992 ao nível empresarial.
O Balanced Scorecard é uma ferramenta para planejar a implementação de
estratégias e obter melhoria contínua em todos os níveis da organização. É
um conjunto de medidas que dão aos gerentes uma visão rápida e compre-
ensiva dos negócios.
33 34

18. As quatro perspectivas do Balanced Scorecard estão contempladas em obje-
tivos de negócio (Business Goals) do CobiT. Cada objetivo de negócio (Business Goal) aponta para um ou mais objetivos
de TI, conforme indicado na tabela acima, e descrito a seguir:
 Financeiro: BG01 a BG03
 Cliente: BG04 a BG09 Perspectiva Financeira
 Processos Internos: BG10 a BG15
 Aprendizado e Crescimento: BG16 e 17
1 - Prover um retorno de investimento adequado para os investimentos
de TI relacionados aos negócios. (24)
2 - Gerenciar os riscos de negócios relacionados a TI. (2, 14, 17, 18, 19, 20, 21,
22)
3 - Aprimorar governança corporativa e transparência. (2, 18)
35 36

19. Perspectiva do Cliente
4 - Aprimorar orientação para clientes e serviços. (3, 23)
5 - Oferecer produtos e serviços competitivos. (5, 24)
6 - Estabelecer a continuidade e disponibilidade de serviços. (10, 16, 22, 23)
7 - Criar agilidade em responder a requerimentos de negócios que
mudam continuamente. (1, 5, 25)
8 - Atingir otimização dos custos para entrega de serviços.(7, 8, 10, 24)
9 - Obter informações confiáveis e úteis para o processo de decisões estraté-
gicas. (2, 4, 12, 20, 26)
Perspectiva Interna
10 - Aprimorar e manter a funcionalidade dos processos de negócios. (6, 7, 11) Os objetivos de TI por sua vez são mapeados em processos do CobiT:
11 - Reduzir custos de processos. (7, 8, 13, 15, 24)
12 - Conformidade com leis externas, regulamentos e contratos. (2, 19, 20, 21, 1 - Responder aos requerimentos de negócios de maneira alinhada com a es-
22, 26, 27) tratégia de negócios. (PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1)
13 - Conformidade com políticas internas. (2, 13) 2 - Responder aos requerimentos de governança em linha com a Alta Dire-
ção. (PO1 PO4 PO10 ME1 ME4)
14 - Gerenciar mudanças de negócios. (1, 5, 6, 11, 28)
3 - Assegurar a satisfação dos usuários finais com a oferta e níveis de servi-
15 - Aprimorar e manter a operação e produtividade do pessoal. (7, 8, 11, 13) ços. (PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13)
4 - Otimizar o uso da informação. (PO2 DS11)
Perspectiva de Aprendizagem 5 - Criar agilidade para TI. (PO2 PO4 PO7 AI3)
6 - Definir como funções de negócios e requerimentos de controles são con-
16 - Gerenciar a inovação de produtos e negócios. (5, 25, 28) vertidos em soluções automatizadas efetivas e eficientes. (AI1 AI2 AI6)
17 - Contratar e manter pessoas habilitadas e motivadas. (9)
37 38

20. 7 - Adquirir e manter sistemas aplicativos integrados e padronizados. (PO3
AI2 AI5)
8 - Adquirir e manter uma infraestrutura de TI integrada e padronizada.
(AI3 AI5)
9 - Adquirir e manter habilidades de TI que atendam as estratégias de TI.
(PO7 AI5)
10 - Assegurar a satisfação mútua no relacionamento com terceiros. (DS2
11 - Assegurar a integração dos aplicativos com os processos de negócios.
(PO2 AI4 AI7)
2 - Assegurar a transparência e o entendimento dos custos, benefícios, estra
-tégia, políticas e níveis de serviços de TI. (PO5 PO6 DS1 DS2 DS6 ME1
ME4)
13 - Assegurar apropriado uso e a performance das soluções de aplicativos e
de tecnologia. (PO6 AI4 AI7 DS7 DS8)
14 - Responsabilizar e proteger todos os ativos de TI. (PO9 DS5 DS9 DS12
ME2)
15 - Otimizar a infraestrutura, recursos e capacidades de TI. (PO3 AI3 DS3 A história oficial dos ÓVNIS no Brasil
DS7 DS9)
Documentos da Aeronáutica revelam a missão especial que filmou e fotogra-
16 - Reduzir os defeitos e re-trabalhos na entrega de serviços e soluções.
fou aparições de óvnis no País e mostram como funcionava o departamento
(PO8 AI4 AI6 AI7 DS10)
criado pelos militares para investigar os relatos sobre discos voadores
17 - Proteger os resultados alcançados pelos objetivos de TI. (PO9 DS10
ME2)
18 - Estabelecer claramente os impactos para os negócios resultantes de ris-
Duas dezenas de oficiais da Força Aérea Brasileira (FAB) estiveram envolvi-
cos de objetivos e recursos de TI. (PO9)
dos em uma missão sigilosa no meio da selva amazônica, no Pará, 30 anos
atrás. Denominada Operação Prato, ela é a mais impressionante investigação
de óvnis (objetos voadores não identificados) realizada pela Aeronáutica
que se conhece. É uma espécie de caso Roswell brasileiro, com missões se-
cretas, histórias e fenômenos sem explicação. Enquanto em Roswell, marco
39 40

21. da ufologia mundial, os militares americanos primeiro admitiram a existên- Lembrar que eles foram desclassificados porque pertencem à sociedade, e
cia dos óvnis e depois negaram, os relatórios da FAB não deixam dúvidas: estão somente sob custódia do governo. cumpriram 30 anos de ressalva de-
os oficiais do I Comando Aéreo Regional (Comar), em Belém, designados veriam ser públicas, mas na prática não é o que ocorre. "Não se quebra uma
para a opera-ção, que ocorreu nos quatro últimos meses de 1977, afirmam cultura de uma vez. E eu não sou a favor de divulgar documentos que ferem
ter presenciado - mais de uma vez - UFOs cruzando o céu da Amazônia. a privacidade das pessoas, induzem pânico à população ou colocam a segu-
rança do País em risco", defende o brigadeiro José Carlos Pereira, ex-
comandante de operações da FAB e ex-presidente da Empresa Brasileira de
Detalhes da Operação Prato estão em relatórios sigilosos que acabam de ser
Infraestrutura Aeroportuária (Infraero).
liberados pelo governo federal para consulta no Arquivo Nacional, em Bra-
sília. Desde o ano passado, estão vindo a público documentos, alguns guar-
dados há mais de 50 anos. Todos os arquivos secretos de UFO estão sob Hoje na reserva, o brigadeiro de 67 anos foi considerado por muitos anos o
responsabilidade da Casa Civil desde 2005. Há 1.300 folhas de um total es- guardião da chave do cofre de segredos ufológicos brasileiros. Foi ele quem
timado em 25 quilos de material, com descrições, croquis e fotos de óvnis ordenou o recolhimento de todo material sigiloso produzido sobre o tema
referentes a três lotes de informações da FAB. Os dois primeiros contêm espalhado em bases aéreas e aeroportos do Brasil. A papelada foi levada para
relatos dos anos 50 e 60. O último, aberto em maio e do qual faz parte a o Comando de Defesa Aeroespacial (Comdabra), em Brasília, onde ele exer-
Operação Prato, cobre a década seguinte. No próximo mês, será a vez do cia a função de comandante- geral, no início da década. Mas somente no ano
acervo dos anos 80. passado os documentos começaram a chegar ao arquivo nacional.
Os arquivos, agora públicos, trazem depoimentos de civis, trocas de corres- Revirar os porões das Forças Armadas e revelar os segredos ufológicos é
pondências entre militares sobre óvnis, recortes de jornais da época e várias uma tendência verificada em outros países. "Com essa abertura, a Aeronáuti-
conversas entre pilotos e controladores de voos sobre estranhos fenômenos ca reconhece a necessidade de tratar o fenômeno UFO de maneira séria, dei-
no espaço aéreo nacional No momento, apenas os relatórios de UFOs clas- xando de lado o tom pejorativo e irreverente que quase sempre aparece
sificados como reservados e confidenciais da Aeronáutica tornaram- se pú- quando se levanta a plausível hipótese de estarmos recebendo a visita de
blicos. Espera-se que o Exército e a Marinha façam o mesmo. São aguarda- seres extraterrestres", diz Ademar José Gevaerd, 47 anos, coordenador da
das, também, as páginas com os carimbos de secreto e ultra-secreto. Por lei, Comissão Brasileira de Ufólogos (CBU), que elaborou uma campanha em
as que Ressaltar que os documentos eram confidenciais e reservados, com prol da liberdade de informações sobre UFOs.
tempo diferente de classificação dos secretos.
41 42

22. Hoje, a pessoa que quiser relatar a aparição de um óvni dificilmente encon-
trará eco na FAB. "A Aeronáutica não dispõe de estrutura especializada pa-
ra realizar investigações científicas", informou a FAB à ISTOÉ. Porém, du-
rante o funcionamento do Sioani, no IV Comar, toda testemunha era sub-
metida a
43 44

23. A palavra risco, vem da palavra “risicare”, que no italiano antigo significa Uma ameaça pode ser definida de diversas formas, dentre elas selecionamos
ousar. Através dessa definição entendemos que risco não é necessariamente 2 que definem bem o termo:
algo negativo. Pelo menos não de uma forma geral.
1) Uma potencial causa de incidente*
2) Todo e qualquer perigo eminente seja natural, humana, tecnológica,
Quando se joga 100.000 dólares em um número da roleta existe uma grande
física ou político-econômica.
chance de se perder todo o dinheiro (risco negativo alto), mas existe a possi-
bilidade de ganhar (risco positivo baixo). Podemos considerar este um risco
As ameaças são latentes, e dependem de uma ação externa para que se con-
positivo, uma oportunidade de ficar milionário.
cretizem. O Agente de ameaça é um elemento que através de uma ação pró-
pria é capaz de concretizar uma ameaça.
Colocando-se no lugar da banca você identifica uma excelente oportunidade
de ganhar 100.000 dólares (risco positivo) e um pequeno risco de pagar uma Uma invasão é uma ameaça latente, por outro lado um cracker pode ser o
fortuna para um sortudo que ousou apostar uma fortuna (risco positivo), agente de ameaça a transformá-la em uma realidade.
45 46

24. Agente de ameaça é o elemento que através de uma ação própria é capaz de
Um rootkit é um pacote de programas maliciosos, que substituem o arqui-
concretizar uma ameaça.
vos binários (programas compilados) por um kit de programas que mantém
uma porta aberta sem que verdadeiro root (administrador do unix) perceba.
O agente é o elo de ligação entre a ameaça e o ativo, ele é responsável por Com a porta aberta o invasor pode voltar a qualquer momento e utilizar os
explorar a vulnerabilidade do ativo e causar o incidente. privilégios do root (ou do usuário do serviço que ele tenha utilizado, para
realizar absolutamente qualquer ação dentro do computador, inclusive,
roubar, alterar ou destruir qualquer informação.
Um Cracker que realiza uma invasão é o agente de ameaça que explora uma
vulnerabilidade de software ou configuração e causa um incidente. O Nome rootkit é derivado do usuário root do Unix, ambiente onde essa
prática se popularizou, mas existem rootkits para quase todas as platafor-
mas. Existem rootkits para Solares, Mac OS, Linux e a maioria das versões
do Windows, entre outros.
47 48

25. Os rootkits ganharam publicidade em 2005, quando foi revelado que a gra- tema operacional e criam uma trilha adicional de execução, que mantém
vadora Sony/BMG instalava um rootkit chamado XCP (Extended Copy essa porta aberta. Esse tipo de Malware também recebe o nome de rootkit
Protection) em seus CD´s de música com o objetivo de instalar um meca- no Windows
nismo anti-cópia.
Os rootkits são extremamente difíceis de serem detectados, e infectam o
sistema sem que o usuário perceba nada. É difícil garantir a completa re- O Rootkit de DRM da Sony: A Verdadeira História
moção dos rootkits de um sistema,esses programas são especializados em
enganar as ferramentas de segurança para ficarem ocultos. A forma mais É uma história de David contra Golias, sobre os blogs de tecnologia der-
confiável de reaver seu computador é formatar o disco e reinstalar todo o rotando uma megacorporação.
sistema.
Porta de Manutenção / Backdoor são uma possível fonte de vazamento de Em 31 de Outubro, Mark Russinovich detonou a história em seu blog: A
informações sensível. São os canais secretos de comunicação, ou seja, ca- Sony BMG Music Entertainment distribuiu um esquema de proteção
nais que dos quais os usuários ignoram a existência. Estes canais são cha- contra cópias junto com seus CD’s que secretamente instalava um root-
kit nos computadores. Essa ferramenta é executada sem o conhecimen-
mados de porta de manutenção ou Backdoor, e são comumente utilizado
to nem consentimento: ela é carregada em seu computador por um CD,
por Trojans para comunicar-se com seu controlador, ou até mesmo forne-
e um hacker pode obter e manter acesso ao seu sistema sem que você
cer acesso à máquina infectada.
saiba.
São considerados Backdoors os programas ou partes de códigos escondi-
dos em outros programas, que permitem que um invasor entre ou retorne a O código da Sony modifica o Windows para que não se possa dizer que
um computador comprometido por uma porta dos fundos‖, sem ter que está lá, um processo denominado “Clocking” (Camuflagem) no mundo
passar pelo processo normal de autenticação. Nos primórdios da computa- hacker. Ele age como um spyware, sorrateiramente enviando informa-
ção, os próprios programadores deixavam alguns backdoors em seus siste- ções sobre você para a Sony. E ele não pode ser removido; tentar livrar-
mas, e os chamavam de ganchos de manutenção. se dele danifica o Windows.
Nos sistemas Windows, os backdoors geralmente são Trojans, instalados
através de Phishing, ou ainda programas instalados por worms, que após
explorarem uma vulnerabilidade do sistema alvo infectam arquivos do sis-
49 50

26. A história foi acolhida por outros blogs (inclusive o meu), e logo depois
pela mídia de informática. Finalmente os grandes meios de comunicação
No entanto, o comportamento arrogante de uma corporação também
trouxeram isso à tona.
não é a história real
O Clamor foi tão grande que em 11 de novembro a Sony anunciou que
estava temporariamente parando a produção desse esquema de prote-
ção de cópias. Isso ainda não era o suficiente, em 14 de novembro a Esse drama é sobre incompetência. A última ferramenta de remoção do
companhia anunciou que estava retirando das lojas os CD’s protegidos, rootkit da Sony na realidade deixa uma vulnerabilidade escancarada. E
e oferecia aos usuários o rootkit da Sony, desenhado para parar as infrações de direitos autorais
pode ter infringido ele mesmo uma copyright. Por mais incrível que isso
uma troca gratuita dos CD’s infectados.
possa parecer, o código parece incluir um codificador MP3 de código
aberto, em violação à licença dessa biblioteca. Mas mesmo isso não é a
história real.
Mas essa não é a história real aqui
É um épico de ações judiciais coletivas na Califórnia e em outros luga-
É uma história sobre extrema arrogância. A Sony distribuiu seu incrivel-
res, e o foco das investigações criminais. O rootkit teria sido encontrado
mente invasivo esquema de proteção contra cópia sem sequer discutir
em computadores executados pelo Departamento de Defesa, para des-
publicamente seus detalhes, confiando que os benefícios justificariam a
gosto do Departamento de Segurança Interna de. Enquanto a Sony po-
modificação nos computadores de seus clientes. Quando essa ação foi
deria ser processada sob a legislação de cybercrime dos EUA, ninguém
inicialmente descoberta, a Sony ofereceu um “fix”que não removia o roo-
acha que vai ser. E ações nunca são toda a história.
tkit, apenas a camuflagem.
Esta saga é cheia de reviravoltas estranhas. Alguns apontaram como
A Sony alegou que o rootkit não “ligava para casa”, quando na realidade
este tipo de software degradaria a confiabilidade do Windows. Alguém
ele o fazia. Em 4 de novembro, Thomas Hesse, presidente global de ne-
criou um código malicioso que usava o rootkit para se esconder. Um
gócios digitais da Sony BMG, demonstrou todo o desdenho da compa-
hacker usou o rootkit para evitar o spyware de um jogo popular. E havia
nhia por seus clientes quando ele disse em uma entrevista à NPR: A
até mesmo chamadas para boicotar a Sony em todo o mundo. Afinal, se
maior paste das pessoas nem sequer sabem o que é um rootkit, então
você não pode confiar Sony não infectar o seu computador quando você
porque eles devem se preocupar com isso?
51 52

27. compra CDs com suas músicas, você pode confiar nela para lhe vender o tipo de coisa que você está pagando essas empresas para detectar,
um computador não infectado? Essa é uma pergunta boa, mas - de novo especialmente porque o rootkit foi “telefonar para casa”.
- não a verdadeira história.
Mas muito pior do que não detectá-lo antes da descoberta Russinovich
É ainda outra situação onde os usuários do Macintosh podem assistir, foi o silêncio ensurdecedor que se seguiu. Quando um novo malware é
divertindo-se (bem, na maior parte) do lado de fora, perguntando por que encontrado, empresas de segurança caem sobre si para limpar os nos-
alguém ainda usa o Microsoft Windows. Mas certamente, mesmo isso sos computadores e inocular nossas redes. Não neste caso.
não é a história real.
A McAfee não adicionou um código de detecção de até 09 de novembro,
A história de prestar atenção aqui é o conluio entre grandes empresas e agora, 15 de novembro ainda não remove o rootkit, somente o disposi-
de mídia que tentam controlar o que fazemos em nossos computadores tivo de camuflagem. A empresa admite em sua página web que este é
e companhias de software de segurança, e empresas que deveriam es- um compromisso pobre. "A McAfee detecta, remove e evita a reinstala-
tar nos protegendo. ção do XCP." Esse é o código de camuflagem. "Por favor, note que a
remoção não irão afetar os mecanismos de proteção de direitos autorais
instalados a partir do CD. Houve relatos de travamento do sistema, pos-
As estimativas iniciais são de que mais de meio milhão de computadores sivelmente resultante de desinstalar o XCP." Obrigado pelo aviso.
no mundo estão infectadas com este rootkit da Sony. São números sur-
preendentes de infecção, tornando esta uma das epidemias mais graves
da Internet de todos os tempos, no mesmo nível de worms como Blaster, Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No início,
Slammer, Code Red e Nimda. a empresa não considerou o XCP como um Malware. Não era até 11 de
novembro que a Symantec publicou uma ferramenta para remover a
camuflagem. Em 15 de novembro, ainda é insossa sobre isso, explican-
O que você acha da sua empresa antivírus, o que não percebeu rootkit do que "este rootkit foi projetado para esconder uma aplicação legítima,
da Sony, como infectou meio milhão de computadores? E isso não é um mas pode ser usado para esconder outros objetos, incluindo software
daqueles vermes relâmpago da Internet; este vem se espalhando desde malicioso".
meados de 2004. Porque se espalhou através de CDs infectados, não
através de conexões de internet, eles não notaram? Este é exatamente
53 54

28. A única coisa que torna este rootkit legítimo é o fato de uma empresa
multinacional colocá-lo no seu computador, e não uma organização cri-
minosa.
Você poderia esperar que a Microsoft fosse a primeira empresa a conde-
nar este rootkit. Afinal, o XCP corrompe o interior do Windows "de uma
forma bastante desagradável. É o tipo de comportamento que poderia
facilmente levar a falhas no sistema, falhas que os clientes culpam a Mi-
crosoft. Mas não foi até 13 de novembro, quando a pressão pública era
muito grande para ser ignorada, e a Microsoft anunciou que iria atualizar
suas ferramentas de segurança para detectar e remover a parte do dis-
farce do rootkit.
Talvez a única empresa de segurança que merece louvor é F-Secure, o
primeiro e o mais alto crítico das ações da Sony. E a Sysinternals, é cla-
ro, que hospeda blog do Russinovich e trouxe isto para a luz.
Segurança ruim acontece. Isso sempre foi e sempre será. E as empre-
sas fazem coisas estúpidas, sempre fizeram e sempre farão. Mas a ra-
zão que nós compramos produtos de segurança da Symantec, McAfee e
outros, é para nos proteger de segurança ruim.
55 56

29. A política é um conjunto de documentos que estabelecem as regras a serem
obedecidas para que a organização possua um nível aceitável de segurança.
É através da política de segurança que a estratégia de SI é montada e passada
para todas as áreas envolvidas. Uma versão resumida deve ser publicada para
todos os colaboradores e parceiros relevantes, como fornecedores e clientes.
O desenvolvimento da política é ponto fundamental de uma série de normas
e regulamentações, além de ser incentivado por regulamentações e normas
internacionais de melhores práticas.
57 58

30. Os colaboradores de empresa desempenham um importante papel na
detecção de fragilidades segurança, e na notificação de incidentes de
segurança, uma vez que estes estão lidando com os controles e também
próximos dos incidentes quando ocorrem. Para que a gestão de inci-
dentes seja eficiente, os colaboradores precisam ter um canal para re-
portar os incidentes e fragilidades dos controles, esse canal é geral-
mente o Helpdesk.
É importante que as pessoas não tenham receio de reportar incidentes
de segurança, entendendo que essa é uma obrigação de cada colabora-
dor.
59 60

31. Os controles de segurança da informação devem ter uma origem bem justifi-
cada, e sofrer uma revisão periódica para analisar sua aderência e eficiência.
A principal origem de controles se dá nas regulamentações. As organizações
precisam atender às regulamentações da área em que estão inseridas, e para
isso precisam ter em sua política de segurança controles que enderecem es-
ses requisitos. Exemplos de controles dessa categoria são os controles sobre
dados de cartão de crédito (PCI DSS), dados de saúde (ANS), integridade de
relatórios financeiros (Sarbanes-Oxley), etc.
Outra grande origem de controles são os requisitos de negócio. Se uma orga-
nização opera com projetos automobilísticos ou eletrônicos, ela precisa ga-
rantia a confidencialidade de seus projetos para sobreviver no mercado.
61 62

32. Segundo a ISO 27002, os controles físicos previnem o acesso físico não As cópias de segurança fundamentais para se manter a integridade e dispo-
nibilidade da informação. A politica de Backup deve levar em consideração
autorizado, danos e interferências com as instalações e informações da
os seguintes aspectos:
organização.
 produção de registros completos e exatos das cópias e documentação
sobre os procedimentos de recuperação;
A Norma especifica dois importantes pontos a serem tratados:
 a extensão (completa, incremental, diferencial) e a freqüência da geração
das cópias reflita os requisitos do negócio, requisitos de segurança e a
 Perímetro de segurança física: utilizar perímetros de segurança criticidade da informação;
 armazenar as cópias em uma localidade remota, a uma distância sufici-
(paredes, portões de entrada com cartões, etc) para proteger as
ente para escapar de danos de um desastre no local principal;
áreas processamento e armazenagem de informações  testar as mídias e os procedimentos de recuperação regularmente;
 Controles de entrada física: visam assegurar que somente pesso-
as autorizadas tenham acesso a um local. As mídias de armazenamento devem ser definidas de acordo com o tempo de
retenção dos dados para que a informação não se deteriore antes do tempo
previsto.
63 64

33. Ciência milenar, chave dos segredos da antiga Roma, peça fundamental na O conceito de infraestrutura significa um somatório de tecnologias
Segunda Guerra Mundial, atualmente é estrela do mundo da Segurança da para garantir segurança, onde, trata-se de uma solução conjunta de
Informação. Diversos sistemas operacionais, bancos de dados, protocolos de hardware, software e protocolos, através da distribuição e gerencia-
comunicação ou simples sistemas de armazenamento de arquivos chegam
mento de chaves e certificados digitais.
aos consumidores providos desta função de embaralhar os dados. Através do
uso de um algoritmo (sequência de passos para o embaralhamento) os dados
a serem protegidos e de uma chave (conjunto de bits) transforma-se textos
Apesar das CAs auxiliarem na comprovação da identidade do dono
ou dados abertos em códigos ilegíveis.
de uma chave pública através dos certificados digitais, ainda existe a
A chave (conjunto de bits) existe para embaralhar (encriptar) o texto e, atra- necessidade de disponibilizar os certificados, e revogar outros certifi-
vés do conhecimento dela, conseguir recuperar o texto original (decriptar). cados em caso de perda, comprometimento ou desligamento de um
Isso é Criptografia no mundo computacional, e isso era Criptografia há mil funcionário.
anos. Porém, se hoje temos computadores para criptografar dados e proces-
65 66

34. As autoridades certificadoras (AC’s) agem como cartórios digitais, reco-
lhendo, através de suas AR’s (autoridades de registro) a documentação das
entidades para as quais os certificados serão emitidos, e criando um certifi-
cado digital que associa a entidade a um par de chaves.
As AC’s emitem os certificados digitais a partir de uma política estabeleci-
da, assim como alguns órgãos emitem carteira de identidade, carteira de
motorista, reconhecimento de firma, etc. Elas possuem uma cadeia de cer-
tificação que garantem a identidade da entidade, através de uma rígida po-
lítica de segurança, e por isso são consideradas um terceiro confiável.
67 68

35. Após o lançamento de um software, uma vulnerabilidade não detecta-
da nas fases de teste permanece latente até que algum pesquisador
(esse sim, geralmente um Hacker) contratado pelo próprio fabricante,
por terceiros ou independente a encontre.
A índole do pesquisador vai ditar as regras de quando ele irá publicar
a vulnerabilidade. Se o pesquisador estiver apoiando o fabricante, e
este tratar segurança como algo sério, a vulnerabilidade somente será
publicada após uma correção estar disponibilizada para os usuários.
Caso ele não se importe com o fabricante ou com os usuários, a vulne-
rabilidade pode ser publicada assim que ele a descobrir ou quando ele
já tiver um código que a explore.
69 70

36. Outra possibilidade a que ele não venha a publicá-la, e sim a disponi-
bilizá-la para um criador de vírus que utilizam se de “zero-days”, ou
seja, exploração de vulnerabilidades zero ou menos dias antes da pu-
blicação da correção.
Uma vez que a correção é publicada inicia-se o período de homologa-
ção por parte do usuário, que pode levar de horas a dias.
Os últimos estudos mostram que os vírus baseados em zero-days ou
em correções recém lançadas tem tido uma penetração maior em em-
presas do que em usuários domésticos, porque estes contam com um
serviço de atualização automática, e as organizações perdem um tem-
po valioso em seu processo de homologação, que apesar de importan-
te deve ser tratado com prioridade para que essa não fique exposta a A Injeção de código SQL (SQL Injection), é uma forma de ataque a aplicações
ameaças durante muito tempo. onde o usuário ao invés de entrar com um dado “inocente” como um nome
(Ex: Pietro) ou identificador (Ex: 1001) entra com uma expressão SQL, que
altera o funcionamento da aplicação para realizar alguma ação que poderá
comprometer a confidencialidade, disponibilidade e integridade das aplica-
ções.
71 72

37. O Morris Worm causou um prejuízo estimado entre 10 e 100 Milhões de
dólares, e Robert foi julgado culpado pelo “Computer Fraud and Abuse
Act”, sentenciado a 3 anos de condicional e 400 horas de serviços comunitá-
rios. Hoje Morris é professor de ciência da computação no MIT
Os Worms são a causa mais comum de ataques na Internet:
 Mais de 50% dos boletins publicados pelo CERT (computer security
incident report team) são conseqüência de buffer overflows
 Morris worm (1988): B.O. no Fingerd: 6,000 máquinas infectadas
 CodeRed (2001): B.O. no servidor MS-IIS 5: 300,000 máquinas infec-
tadas em 14 horas
 SQL Slammer (2003): B.O. no MS-SQL server: 75,000 máquinas infec-
tadas em 10 minutos (!!)
O Primeiro malware a utilizar-se de uma vulnerabilidade de código foi o
“Morris Worm”, nome dado em homenagem a seu criador, o filho de um ci-
entista chefe do NSA e estudante de graduação Robert Morris, que em 1988
criou um programa para se propagar lentamente pela Internet, e sem causar
dano medir o tamanho da rede contabilizando os hosts VAX por onde passa-
va.
Devido a um erro de programação ele criou novas cópias muito rapidamente,
sobrecarregando as máquinas infectadas, e travando as máquinas SUN, para
as quais o worm não foi projetado.
73 74

38. Através da engenharia reversa do código da correção, ficou fácil para os
atacantes entender a vulnerabilidade existente no código do Windows
e criar o Blaster, que em poucos dias deixou um saldo de:
 Mais de 15 milhões de computadores infectados
 3.3 Milhões (quase 10 vezes o normal) de chamados de segurança
para o suporte Microsoft, que é gratuito para todos os cliente com
software original
A Microsoft considerou que na época cada chamado lhe custou U$
40,00. O que significa um prejuízo tangível e direto de quase 120 Mi-
lhões de dólares, que se mostrariam modestos frente ao desgaste de ima-
gem.
O trecho de código acima foi extraído de um documento da Microsoft,
vemos uma vulnerabilidade no código do servidor RPC do Windows,
que foi explorado pelo vírus Blaster (aquele que fazia a máquina reinici-
ar em 60 segundos).
Durante o programa Trustworth Computing (Computação Confiável) a
Microsoft revirou o código do Windows e descobriu diversas vulnerabi-
lidades como esta, e à medida em que as foi corrigindo foi distribuindo
atualizações de segurança para os usuários, que na época, Setembro de
2003, não tinham a cultura de aplicar as correções de segurança, e não
contavam com um programa de atualização automática do sistema.
75 76

39. A partir da década de 80, alguns organismos internacionais começaram a de-
senvolver padrões de certificação para testar as aplicações em homologação
pelo governo de seus respectivos países.
Durante um período de cinco anos, entre 1993 e 1998, esses organismos uni-
ram-se para criar um padrão de certificação que facilitasse o trabalho e dimi-
nuísse o custo dos fabricantes de software, antes obrigados a pagar por dife-
rentes tipos de certificação, um para cada país ou região.
77 78

40. Trata-se de um dos princípios mais conhecidos e mais importantes da se-
gurança da informação, e prega a divisão de tarefas e permissões na organi-
zação, não concentrando o conhecimento em apenas uma pessoa e reduzin-
do o risco de fraudes, uma vez que seriam necessários dois ou mais colabo-
radores trabalhando em conluio (ato de cooperação entre partes que come-
tem um ato ilícito) para que essa se consumasse.
A Segregação de funções é complementar aos conceitos de need-to-know e
privilégio mínimo, que pregam que os colaboradores somente precisam
conhecer o suficiente para desempenhar suas tarefas, e que não necessitam
de mais permissões no sistema do que o necessário para executar essas ta-
refas.
79 80

41. De acordo com a classificação da informação que está sendo protegida pode-
mos utilizar uma combinação de mais de um fator de autenticação, tornando
o acesso muito mais seguro., com dois ou três fatores
3 Fatores: Senha + Crachá + Biometria
2 Fatores: Crachá + Biometria, Senha + Cracha, Senha + Biometria
A maioria de nós já utilizou algum tipo de autenticação com dois fatores, al-
guns exemplos são:
 Senha + Cartão de Senhas (Bancos)
 Senha + Token (Bancos, VPN)
 Senha + SmartCard (VPN)
81 82

42. Anexo A
Exercícios com Respostas Comentadas
Estar em conformidade significa evitar violação de:
 Qualquer lei criminal ou civil;
 estatutos;
 regulamentações;
 obrigações contratuais;
 quaisquer requisitos de segurança da informação;
O Fator chave para manter-se em conformidade é identificar a legisla-
ção vigente, assim como as regulamentações às quais nossa organiza-
ção está subordinada.
83 84

43. Anexo A – Exercícios com respostas comentadas C. incorreto. A indispensabilidade dos dados para os processos de negó-
cios, em parte, determina o valor.
1 de 40 —Você recebeu do seu contador uma cópia da sua declaração fiscal e D. incorreto. Dados críticos para os processos de negócio importantes, por-
deve verificar se os dados estão corretos. Qual característica de confiabilida- tanto, valiosos.
de da informação que você está verificando?
3 de 40 – Nosso acesso à informação é cada vez mais fácil. Ainda assim, a
A. Disponibilidade informação tem de ser confiável, a fim de ser utilizável. O que não é um
B. Exclusividade aspecto de confiabilidade da informação?
C. Integridade A. Disponibilidade
D. Confidencialidade B. Integridade
C. Quantidade
A. incorreto. A disponibilidade é o grau em que a informação está disponível D. Confidencialidade
para os usuários nos momentos necessários.
B. incorreto. A exclusividade é uma característica de sigilo. A. incorreto. A disponibilidade é um aspecto de confiabilidade da informa-
C. correto. Esta é uma preocupação da integridade. ção
D. incorreto. Trata-se do grau em que o acesso à informação é restrito a ape- B. incorreto. A integridade é um aspecto de confiabilidade da informação
nas aqueles que são autorizados. C. correto. Quantidade não é um aspecto de confiabilidade das infor-
mações.
2 de 40 — A fim de ter uma apólice de seguro de incêndio, o departamento D. incorreto. A confidencialidade é um aspecto de confiabilidade da infor-
administrativo deve determinar o valor dos dados que ele gerencia. Qual mação
fator não é importante para determinar o valor de dados para uma organiza-
ção? 4 de 40 — "Completeza" faz parte de qual aspecto de confiabilidade da in-
formação?
A. O conteúdo dos dados. A. Disponibilidade
B. O grau em que a falta, dados incompletos ou incorretos podem ser recupe- B. Exclusividade
rados. C. Integridade
C. A indispensabilidade dos dados para os processos de negócio. D. Confidencialidade
D. A importância dos processos de negócios que fazem uso dos dados.
A. incorreto. As informações podem estar disponíveis sem ter que ser com-
A. correto. O conteúdo dos dados não determina o seu valor. pletas
B. incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmen- B. incorreto. A exclusividade é uma característica de sigilo.
te recuperados são menos valiosos do que os dados que são difíceis ou im- C. correto. Completeza faz parte da Integridade, que é parte do aspecto de
possíveis de recuperar. confiabilidade.
85 86