NOÇÕES DE SEGURANÇA DA INFORMAÇÃO Flashcards
PRINCÍPIOS BÁSICOS
DISPONIBILIDADE :
. A informação estará disponível sempre que for preciso
FERRAMENTAS DA DISPONIBILIDADE :
. Nobreak
. Firewall
. Backup
. Equipamentos redundantes
INTEGRIDADE :
. A informação só pode ser alterada por pessoas autorizadas, controle das alterações. Garante a completude ou inteireza da informação.
FERRAMENTAS DA INTEGRIDADE :
. Assinatura digital
. Backup
CONFIDENCIALIDADE :
. A informação só pode ser acessada por pessoas autorizadas - sigilo.
FERRAMENTAS DA CONFIDENCIALIDADE :
. Criptografia
AUTENCIDADE :
. Garante a veracidade da autoria da informação
. Garante também o não repúdio.
FERRAMENTAS DA AUTENCIDADE :
. Login é senha
. Token
. Biometria
. Assinatura e certificados digitais
IDENTIFICAÇÃO :
. Permite que uma entidade se identifique, dizendo quem é ela.
AUTENTIFICACAO:
. Verifica se a entidade é realmente quem ela diz ser.
AUTORIZAÇÃO :
. Determina as ações que a entidade pode executar.
NÃO REPÚDIO :
. Evitar que uma entidade possa negar que foi ela quem executor uma ação. Também conhecido como IRRETRABILIDADE.
AMEAÇAS
ATAQUES :
. São ações dos dos malfeitores que intenta contra o indivíduo de forma ativa.
*Ataque de exploração de vulnerabilidade :
. Busca por falhas que põem em risco a segurança da informação.
- Negação de serviço :(DoS)
. Tira um serviço de funcionamento - Spoofing:
. Atacante intercepta a conexão e se passa pelo usuário através da técnica de mascaramento. - Sniffing:
. Intercepta as conexões da rede para capturar dados através da técnica de farejamento. (não tem a intensão de se passar pelo usuário). - Força bruta :
. Adivinhar login e senha por tentativa e erro.
GOLPES :
. Podem ser feitos sem necessariamente ação atuante em tempo real do atacante, pode ser feitas armadilhas para que no futuro alguém caia.
Tipos de golpes :
- PHISHING X PHARMING:
. Características comuns :
-ambos visam furtar dados sigilosos
-ambos se passam por instituições conhecidas
-ambos usam páginas web falsas
. Características distintas :
-PHISHING = usam página de e-mail com link para página falsa.
-PHARMING= envenenamento do DNS(DNS POISONING). Traduz URL para IP falso, redirecionando usuário para página falsa.
MALWARE: . São códigos executáveis
Tipos de malware :
*VÍRUS.:
. Se insere em um arquivo hospedeiro,
. Insere copia do código, ele não cria uma cópia de si mesmo (assim ele vai se multiplicando)
. Não é autônomo
Tipo vírus :
. BUT= Infecta os arquivos de inicialização do sistema operacional
. MACRO= infecta especificamente arquivos de escritórios (world, excecel, etc)
*CAVALO DE TROIA (trojan):
. age com um propósito malicioso utilizando-se de um arquivo inofensivo.
. Não é autônomo
. Não se multiplica
. Não é um vírus
. É um malware
. Não insere códigos em outros arquivos
*WORM/VERMES
. É um malware autônomo
. Não precisa ser executado
. Se auto multiplicam
. Visa a negação de serviço
. não tem a função de corromper arquivos, apenas tirar do ar um sistema, um serviço ou uma máquina.
*BOT :
. É considerado uma evolução do WORM,
. Tem todas as características do WORM mas acrescentados com mecanismos de conexão
. Capacidade de permitir que o atacante se conecte a ele após a invasão.
. Pode receber comandos remotamente, enviando comandos para ser executados em outros ambientes.
*BOTNET:
. É uma rede de BOT
. Quando ocorre um ataque em massa usando not.
. Executando ações na máquina sem que o usuário nen perceba
. Forma uma rede de ataques a distância
SPYWARE . São códigos espiões, ou software espiões . Se instalam na máquina do usuário sem seu conhecimento . Furta dados sigilo sós e enviam para outros interessados
Tipos de SPAWARE :
*ADWARE :
. Software de propaganda que muitas vezes se instala na máquina do usuário sem o seu conhecimento
. Instalando barra de fermentas, modificando suas preferências e instalando ferramentas sem que usuário tenha solicitado.
*BACKDOOR (portas dos fundos) :
. Permite o retorno do invasor
. Abre vulnerabilidade na máquina
. Capaz de tomar o controle total da máquina sem que o usuário perceba
*KEYLOGGER:
. armazena, registra, coleta as teclas utilizadas no teclado
*SCREENLOGGER :
. Tira um print da tela Toda vez que o mouse é clicado.
OUTROS TIPOS DE AMEAÇAS
*COOKIES :
. são arquivos de texto salvos no computador do usuário
. Não fica no servidor
. Não é executável
. É um arquivo de armazenamento de informações
. Armazena dados de navegação do usuário
. Tipos de koocks : sessão X persistentes /
. Sessão =são àqueles que têm uma vida útil somente enquanto o usuário está acessando o site.
. Persistente = eles são salvos no arquivo de koocks e permanecem por tempo indeterminado
. Pode ser primário (do próprio domínio do site que o usuário está acessando) ou de terceiros (koocks de outro site que está inserido naquele site que o usuário está navegando)
. Os koocks são de conhecimento do usuário
. Podem ser apagados pelo usuário
. Riscos dos COOKIES =compartilhamento das informações pessoais.
. Exploração de vulnerabilidade
. Autenticação automática
. Coleta de hábitos de navegação
. COOKIES não são vírus
*HACKER :
. São indivíduos que usa suas habilidades cibernéticas para exibir seu potencial
*CRACKER :
. São individuos que usa as habilidades pra cometer danos a outros
*ENGENHARIA SOCIAL :
. É uma ameaça que usa a persuasão para furtar dados e cometer crimes cibernéticos
*SPAM:
. Mensagem eletrônica não solicitada enviada em massa
PROTEÇÃO
ANTIVÍRUS OU ANTIMALWARE
. Detecta e elimina malware
. Quarentena de isolamento
. Vacinas atualizadas constantemente
. Pago X gratuitos
CENTRAL DE AÇÕES DO WINDOWS
. Exibe notificações sobre vulnerabilidades
WINDOWS UPDATE
. Corrige falhas de vulnerabilidade
WINDOWS DEFENDER
. Antivírus gratuito da Microsoft
CERTIFICADO DIGITAL
. Documento eletrônico que identifica pessoas físicas ou jurídicas
. Possui as chaves públicas ou privada do proprietário
. Possuem dados pessoais do proprietário assim como data de validade
. Possui dados da autoridade certificadora
- TIPOS DE CERTIFICADOS:
. Distinguem-se por funcionalidade, armazenamento e prazo de validade
Funcionalidades dos certificados digitais :
. Tipo A= usados para fins de identificação e autenticação
. Tipo S= utilizado para sigilo ou criptografia
. Tipo T= atestam E hora é a data de uma assinatura digital
- Armazenamento e prazo de validade dos certificados :
. A1e S1= HD E PEN DRIVE = 1ANO
. A2eS2= CARTÃO INTELIGENTE E TOKEN =ATÉ 2 ANOS
. A3eS3= CARTÃO INTELIGENTE, TOKEN E NUVEM=ATÉ 5 ANOS
. A4eS4= CARTÃO INTELIGENTE, TOKEN E NUVEM =ATÉ 6 ANOS - Conteúdos de um certificado digital :
. Informações referentes à entidade para o qual o certificado foi emitido (nome, e-mail, CPF/CNPJ, PIS etc.)
. Além chave pública referente a chave privada de posse da entidade especificada no certificado
. O período de validade
. A localização do centro de revogação (uma URL pra download da LCR, ou local para uma consulta OCSP)
. A assinatura da autoridade certificadora (entidade que afirma que a chave pública contida naquele certificado confere com as informações contidas no mesmo)
*PIN:
. Número de identificação pessoal que impede o acesso aos dados do certificado digital
*PUK:
. É a chave de desbloqueio do PIN
CRIPTOGRAFIA
. É a técnica que torna a mensagem original em código cifrado, identificável.
*CHAVE SIMÉTRICA (ÚNICA) :
. Usa uma única chave para criptografar e descriptografar
*CRIPTOGRAFIA ASSIMÉTRICA :
. Utiliza duas chave (pública e privada)
. Chave pública =ela é quem criptografa, é disponível para qualquer usuário
. Chave privada =ela é quem descriptografa a mensagem e somente o proprietário pode ter acesso a ela.
ASSINATURA DIGITAL
. Autêntica a autoria de um documento
. Usa a criptografia assimétrica invertida (privada e pública)
*Assinatura digital possui dois passos :
. PRIMEIRO PASSO =Geração da assinatura
. SEGUNDO PASSO = Validação da assinatura
. Garante a autentidade e a integridade
HTTPS
. É o HTTPSeguro
. Garante confidencialidade, integralidade e autenticidade
. HTTP + SSL & TLS=Certificado digital e a criptografia
FIREWALL
. Quanto um equipamento
. Estalado entre redes distintas (pública e privadas)
. Filtra todas as conexões das redes
. Quanto um software :
. Instalado em cada micro individualmente
. Tanto como equipamento quanto como software ele filtra e impede acessos nocivos externos
. Também filtra acessos de dentro para fora (assim como o proxy)
. Firewall não é um antivírus
. Pode bloquear vírus ou malware
. Não elimina vírus ou malware
. Ele não consegue bloquear e-mails com anexos de vírus
BACKUP
. Copia de segurança
. É realizado por uma ferramenta específica
. Leva em conta 3 Fatores : (período, volume e local)
. Deve ser armazenados em discos e locais diferentes
. CLOUDSTORAGE é um meio de backup
. Produz uma cópia de tamanho menor
. Há 5 tipos de backup :
*1tipo =normal, global, total - cópia todo o conteúdo selecionado e identifica os arquivos copiados.
*2 tipo =Backup de cópia - igual aos normal, mas não identifica os arquivos copiados. (é feito de emergência).
*3 tipo =incremental - copia somente arquivos criados ou modificados desde o último backup normal ou incremental e identifica. (desmarca o atributo arquivo)
*4 tipo =Diferencial - igual ao incremental mas não identifica. (não desmarca o atributo arquivo)
*5 tipo =Doario - copia somente arquivos criados ou modificados desde uma data e não identifica.
.
GESTÃO DE RISCO NO SISTEMA DE INFORMAÇÃO
Risco = é a probabilidade de acontecer (incerteza) um evento e o impacto desse evento nos ambientes e nos resultados esperados.
ISO 27001= Oferece diretrizes para um sistema de gestão de segurança da informação.
ISO 27005= Esclarece como gerenciar riscos de segurança da informação.
O risco pode ter impacto positivo ou negativo.
. NEGATIVOS = ameaças (fonte de danos com perdas e danos)
. POSITIVOS = Oportunidades (fontes de ganhos com ganhos e benefícios)
*Risco depende da probabilidade de uma ameaça atingir um sistema e do impacto resultante deste ataque.
PROCESSO DE GESTÃO DE RISCOS
ATIVIDADES :
. 1- DEFINIÇÃO DO CONTEXTO = Definir o escopo e limites que serão levados em consideração na gestão de riscos.
. Descreve os processos que fazem parte escopo e identifica os ativos relevantes. Determinar os critérios gerais de aceitação dos riscos para a organização e as responsabilidades para a gestão de riscos.
. 2-IDENTIFICAO DE RISCOS = envolve ativos, ameaças, vulnerabilidades e impactos.
. ATIVOS = qualquer elementos informacional que represente valor para a empresa, como banco de dados, arquivos, documentos, contratos etc.
. AMEAÇAS = algo que possa explorar uma vulnerabilidade, intencional ou acidental, e obter, danificar ou destruir um ativo.
. VULNERABILIDADE = pontos fracos ou falhas que podem ser explorados por ameaças para obter acesso a um ativo.
. IMPACTO = consequências que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos sejam identificadas.
*TIPOS DE RISCOS :
. CONHECIDOS = são identificados e analisados, e podem ser considerados no planejamento.
. DESCONHECIDOS = não podem ser gerenciados de forma pró-ativa
. RESÍDUAIS = são os que permanecem depois que as respostas planejadas foram adotadas ou os que foram deliberadamente aceitos.
. SECUNDÁRIOS= são riscos novos que surgem como resultado direto da implementação de uma respostas a riscos.
. 3- ESTIMATIVA DE RISCOS = atribui valor ao impacto que um risco pode ter e a probabilidade de sua ocorrência, assim como, a combinação entre a probabilidade de um cenário de incidente e suas consequências.
. 4-AVALIAÇÃO DE RISCO = determinar a prioridade de cada risco.
. Comparação entre o nível estimado do risco e o nível aceitável estabelecido pela organização.
. Relatório de recomendações de segurança e uma matriz de criticidade dos ativos analisados.
.-5-TRATAMENTO DE RISCO = implementar controle para REDUZIR, RETER, EVITAR OU TRANSFERIR o risco.
. Se não resultar em um nível de risco residual que seja aceitável, deve se iniciar novamente a atividade ou o processo.
. REDUZIR = diminuir sua probabilidade ou impacto.
. RETER = aceitação do risco por meio de reserva de contingência.
. EVITAR = ptevinir, eliminar a ameaça
.TRANFERIR = conferir a outra parte a responsabilidade pelo gerenciamento.
. 6-ACEITAÇÃO DE RISCOS =registrar formalmente a aprovação dos planos de tratamento do risco e os riscos residuais, juntamente com a responsabilidade pela decisão.
Níveis de risco = alto
Consequência = paralisação do serviço.
Aceitabilidade = inaceitável, requer ação imediata para correção do risco
Nível de risco = médio
Consequência = alguns processos afetados
Aceitabilidade = não pode ser aceito, requer correção para resolver o risco
Nível de risco = baixo
Consequências = efeitos menores
Aceitabilidade = risco aceitável, solução de contingência.
.7- COMUNICAÇÃO = Desenvolver planos de comunicação dos riscos para assegurar que todos tenham consciência sobre os riscos e controle a serem adotados.
. 8- MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS = monitorar continuamente os riscos e seus fatores a fim de identificar eventuais mudanças no contexto.
CLASSIFICAÇÃO E CONTROLE DE ATIVOS DE INFORMAÇÃO
*ATIVO DE INFORMAÇÃO :
. Qualquer elemento informacional que represente valor para a instituição, como banco de dados, arquivos, documentos, contatos etc.
*OBJETIVO DA CLASSIFICAÇÃO DOS ATIVOS DE INFORMAÇÃO :
. Estabelecer níveis de proteção para os diferentes dados e informações que circulam na organização.
*CRITÉRIOS DE CLASSIFICAÇÃO DE ATIVOS :
. Valor = informações que impactam no valor financeiro e de mercado.
. REQUISITOS LEGAIS = informações que impactam no cumprimento de leis.
. CRITICIDADE = informações que impactam no funcionamento organizacional.
. SENSIBILIDADE = informações que impactam na imagem da instituição perante a sociedade.
*CATEGORIAS DE CLASSIFICAÇÃO DE ATIVOS :
. PÚBLICA = sem preocupação com confidencialidade, deve-se preservar a integridade e disponibilidade. Nível de proteção BAIXO.
. INTERNA = baixa preocupação com a confidencialidade,. Usada por colaboradores. Maior preocupação com integridade. Nível de proteção BAIXO.
. RESTRITA = disponível apenas para grupos específicos de colaboradores. Alta preocupação com confidencialidade e integridade. Nível de proteção MÉDIO.
. CONFIDENCIAL = o acesso externo ou interno não autorizado é extremamente crítico. Altíssima preocupação com a confidencialidade e integridade. Nível de preocupação ALTÍSSIMO.
CONTROLE DE ACESSO FÍSICO E LÓGICOS
CONTROLE DE ACESSO LÓGICO:
. Limitar, restringir, controlar e auditar o acesso aos dados digitais, sistemas e aplicações por meio de técnicas e ferramentas que atendam aos requisitos de segurança estabelecidos.
*Requisitos do negócio para controle de acesso :
. Política de controle de acesso
. Acesso às redes e aos serviços de rede
*Gerenciamento de acesso do usuário
. Registro e cancelamento do usuário
. Provisionamento para acesso de usuário
. Gerenciamento de direito de acesso privilegiados
. Gerenciamento da informação de autenticação secreta de usuário
. Análise crítica dos Direitos de acesso de usuário
. Retirada ou ajustes de direitos de acesso
*RESPONSABILIDADES DE USUÁRIO
. Uso da informação da autenticação
*CONTROLE DE ACESSO AO SISTEMAS E À APLICAÇÃO
. Restrição de acesso à informação
. Procedimentos seguros de entrada nos sistema (logon)
. Sistema de gerenciamento de senha
Uso de programas utilitários privilegiados
. Controle de acesso ao código fonte de programas
CONTROLE DE ACESSO FÍSICO :
. Limitar, restringir, controlar e auditar o acesso físico aos ambientes e equipamentos de tecnologia da informação.
- Áreas seguras = previnir o acesso físico não autorizado, danos e interferências com os recursos de processamento das informações e nas investigações da organização.
. Perímetro de segurança
. Controle de entrada física
. Segurança em escritórios, salas e instalações
. Proteção contra ameaças externas e e do meio ambiente
. Trabalhando em áreas seguras
. Área de entrega e carregamento
*EQUIPAMENTOS = impedir perdas, danos, furto ou comprometimento de ativos e interrupção das operações da organização.
. Escolha de local e é proteção do equipamento
. Utilidades
. Segurança do cabeamento
. Manutenção dos equipamentos
. Remoção de ativos
. Segurança de equipamentos e ativos fora da dependência da organização
. Equipamentos e ativos fora das dependências da organização
. Equipamento de usuário sem monitoração
. Reutilização e alienação seguras de equipamentos
. Política de mesa limpa e tela limpa
CONTINUIDADE DE NEGÓCIOS
CONCEITO :
É uma DOCUMENTAÇÃO de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um INCIDENTE.
PLANO DE CONTINGÊNCIA
. Plano que tem o objetivo de descrever as medidas a serem tomadas por uma empresa, incluindo a ativação de processos manuais, para fazer com que seus processos vitais voltem a funcionar o mais rápido possível, evitando assim uma paralisação prolongada.
PLANO DE GERENCIAMENTO DE INCIDENTES
. Plano de ação claramente definido e documentado, para ser usado quando ocorrerá um incidente que basicamente cubra as principais pessoas, recursos, sérvicos e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes.
INCIDENTE = é quando ocorre um simples ou vários eventos de segurança da informação indesejados ou inesperados e que podem comprometer as operações de negócio e trazer riscos para segurança da informação.
EVENTO = é a ocorrência identificada de um Estado de sistema, serviço ou rede, que indica uma possível falha no sistema de gestão da informação.
ESTRUTURA DE RESPOSTA A INCIDENTES
. DETECÇÃO : confirmar a natureza e extensão do incidente
. IDENTIFICAÇÃO : tomar controle da situação
. CONTROLE : controlar o incidente
. COMUNICAÇÃO : comunicar-se com as partes interessadas
COMPLEXIDADE DE TESTE
. SIMPLES : teste de mesa e walk through, manualmente
. MÉDIO : simulação e teste de atividades críticas, anualmente ou duas vezes ao ano
. COMLEXO : testar todo o PCN, incluindo o gerenciamento de incidentes, anualmente
LINHA DO TEMPO DO INCIDENTE
D1:
RPO( Recovery Point Objective) : ponto mais próximo de recuperação. Hora mais próxima antes do incidente
D 0:
RTO (Recorvey Time Objective) = tempo para recuperação do ambiente, dia do incidente
D+2:
MTD (Maximum Tolerable Downtime) = tempo máximo tolerável de inatividade
D+5:
MBCO(Minimum Business Contonuity Objective) = tempo de retorno da capacidade de entrega, recuperação.
