Pr-Reitoria de Graduao

Curso de Tecnologia em Segurana da Informao

Introduo a Segurana Computacional







BOAS PRTICAS EM SEGURANA DA INFORMAO







Autor: Grupo 3










Braslia - DF
2013





GRUPO 3













BOAS PRTICAS EM SEGURANA DA INFORMAO







Trabalho de sistematizao apresentado
ao curso de Tecnologia em Segurana da
Informao da Universidade Catlica de
Braslia, como requisito parcial para aprovao
na disciplina Introduo a Segurana
Computacional.















Braslia
2013









Trabalho de sistematizao de autoria do Grupo 3, intitulado BOAS
PRTICAS EM SEGURANA DA INFORMAO, apresentado como requisito parcial
para aprovao na disciplina Introduo a Segurana Computacional do curso de Tecnologia
em Segurana da Informao.

































Braslia
2013













































O perdedor erra e volta atrs, o
vencedor erra e comea tudo de novo.
No h heris na escola da vida, somos todos
eternos aprendizes.

Augusto Cury



RESUMO

3, Grupo. Boas prticas em segurana da informao. 2013. 9 folhas. Pesquisa Acadmica.
Tecnologia em Segurana da Informao - Universidade Catlica de Braslia, Braslia/DF,
2013.

Este trabalho representa uma pesquisa acadmica sobre boas prticas em segurana de
informao, e faz meno aos cdigos maliciosos mais usuais, os riscos e fraudes. Tambm
so apresentadas algumas solues e mecanismos por formas a banir ou minimizar o risco, e
de algumas recomendaes a empresas e usurios.


Palavras-chave: Informao, Segurana, Cdigos maliciosos, Riscos e fraudes.



ABSTRACT


This work represents an academic research on best practices in information security, and
makes mention of the most common malicious code, the risks and frauds. It also presents
some solutions and mechanisms to remove or minimize the risk, and some recommendations
to businesses and users.


Keywords: Information, Security, Malware, Fraud and risks.



SUMRIO

1 INTRODUO ....................................................................................................... 7
2 CONCEITOS FUNDAMENTAIS ........................................................................... 8
2.1 VULNERABILIDADE, AMEAA E ATAQUE. ........................................... 8
2.2 SERVIOS DE SEGURANA ....................................................................... 8
3 RISCOS E FRAUDES ........................................................................................... 10
3.1 PRINCIPAIS CDIGOS MALICIOSOS ...................................................... 10
3.1.1 Vrus .......................................................................................................... 10
3.1.2 Verme (Worm) .......................................................................................... 10
3.1.3 Trojan (Cavalo de Troia) ........................................................................... 10
3.1.4 Spywares ................................................................................................... 10
3.1.5 Keyloggers ................................................................................................ 11
3.1.6 Geradores de Spam ................................................................................... 11
3.2 PRINCIPAIS GOLPES ................................................................................... 11
3.2.1 Engenharia Social ..................................................................................... 11
3.2.2 Phishing Scam ........................................................................................... 11
4 SOLUES E MECANISMOS DE PREVENO ............................................. 12
5 COMPORTAMENTO E POSTURA DAS EMPRESAS E USURIOS .............. 13
6 CONSIDERAES FINAIS ................................................................................. 14
7 REFERNCIAS ..................................................................................................... 16


7

1 INTRODUO

O papel foi durante muito tempo um meio para armazenar, enviar e receber informao, sendo
muito simples mant-lo em segurana. A era em que se vive hoje trouxe consigo ganhos
significativos em todos os ramos da sociedade, e junto ao tal benefcio surgiram tambm
vrias questes relacionadas a confidencialidade, integridade, autenticidade, controle de
acesso e a disponibilidade da informao.
Pensou-se que com a evoluo os problemas minimizassem e talvez extinguisse a necessidade
de se investir na segurana da informao, mas os dados atuais mostram que ou se gasta
investindo em segurana ou os sistemas estaro vulnerveis e merc de ameaas e ataques
que uma vez aconteam, comprometero seriamente pessoas e empresas.
A cada segundo so armazenados, enviados e recebidos milhares de bits, a quem deve ser
chamada a responsabilidade da integridade de tais bits?

8

2 CONCEITOS FUNDAMENTAIS

2.1 VULNERABILIDADE, AMEAA E ATAQUE.
Em segurana da informao muito importante o domnio de alguns conceitos bsicos, so
eles: Vulnerabilidade, ameaa e ataque.
Uma vulnerabilidade representa qualquer fragilidade dentro de um sistema, rede ou
procedimento de atuao, que possa ser explorada, causando perdas ou danos pessoa ou
organizao, caso o sistema seja vulnervel, surge ento a ameaa que , portanto, a
possibilidade de explorao daquela vulnerabilidade. Um ataque representa ento a
materializao de uma ameaa.

2.2 SERVIOS DE SEGURANA
No Sculo atual, as empresas tm sido alvo de muitos ataques cibernticos o que pe em risco
a sua boa imagem e os seus ativos, ento para garantir proteo torna-se necessrio
implementar servios que podem ser agrupados nas seguintes categorias: confidencialidade,
integridade, autenticidade, controle de acesso e disponibilidade.

A confidencialidade tem como objetivo proteger as informaes contra acessos no-
autorizados.

A integridade garante que a informao no seja adulterada por terceiros ou programas no
autorizados.

A autenticidade tem por objetivo garantir que os envolvidos em uma comunicao sejam
autnticos e legtimos.

No controle de acesso a finalidade definir regras, limitando o acesso fsico ou lgico
somente pessoas autorizadas. O controle de acesso fsico engloba os mecanismos e medidas
de proteo contra acesso no-autorizado, visando a proteo de equipamentos, documentos,
suprimentos e pessoas, entre outros recursos, isto : uso de crachs de identificao de
funcionrios, registro da entrada de visitantes, alarmes, guardas, fechaduras etc. J controle de
acesso lgico visa proteo dos sistemas de informao e das bases de dados da empresa,
estabelecendo medidas e procedimentos para o uso e acesso a esses sistemas. Dessa forma, o
9

controle de acesso lgico deve prover mecanismos e estabelecer medidas para proteger os
recursos de software contra acessos no-autorizados.

O servio de disponibilidade encarrega-se em manter a informao sempre disponvel quando
requisitada por usurios e/ou sistemas com acessos autorizados.
10

3 RISCOS E FRAUDES

O investimento que tem sido feito por parte das empresas em ter um sistema fivel deixa-as
isentas de danos maiores, pois grande o prejuzo que muitas outras empresas enfrentam para
restaurar e reparar sistemas infectados e danificados.

Outrora muitos cdigos maliciosos eram criados por simples diverso, mas atualmente a
inteno de danificar e furtar tem aumentando significativamente portanto, importante
conhecer os principais cdigos maliciosos.

3.1 PRINCIPAIS CDIGOS MALICIOSOS
3.1.1 Vrus
Vrus um programa que se anexa a um arquivo hospedeiro (ou seja, o vrus aloca seu cdigo
dentro do corpo do arquivo hospedeiro) e de l tenta se copiar para outros arquivos. S entra
em ao quando seu arquivo hospedeiro executado.

3.1.2 Verme (Worm)
Verme um programa um programa auto replicante, projetado para tomar aes
maliciosas aps infestar um sistema, alm de se autorreplicar, pode deletar arquivos em um
sistema ou enviar documentos por e-mail.

3.1.3 Trojan (Cavalo de troia)
Cavalo de Troia um programa disfarado de um programa legtimo, que esconde objetivos
maliciosos, como apagar dados, a mudana nas permisses de arquivos de um usurio,
destruio total dos arquivos, roubar informaes e abrir portas de comunicao para que se
possa invadir o computador.

3.1.4 Spywares
Spywares um programa que monitora as atividades de um sistema e envia as informaes
para terceiros, sem o conhecimento do usurio.

11

3.1.5 Keyloggers
Keyloggers tm por objetivo capturar tudo o que digitado pelo usurio, armazenando a
seqncia de teclas pressionadas em arquivos na prpria mquina ou enviando para algum
outro computador na rede.

3.1.6 Geradores de Spam
Programas geradores de spam so aqueles cujo objetivo gerar grandes volumes de e-mails e
envi-los aos mais diversos destinatrios. Geralmente, tais programas so instalados por
crackers em mquinas por eles invadidas ou podem ser instalados involuntariamente, pelo
prprio usurio, ao acessar determinados sites.

3.2 PRINCIPAIS GOLPES
3.2.1 Engenharia Social
A persuaso uma das armas usadas, naquele ataque que chamado de Engenharia
Social, tipo de golpe, pelo qual algum convence, muitas vezes abusando da ingenuidade ou
confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no
autorizado a computadores ou informaes.

3.2.2 Phishing Scam
Este tipo de golpe tem como objetivo obter dados de usurios desavisados ou faz-los abrir
arquivos com programas maliciosos para obter senhas de banco, nmeros de carto de crdito,
etc. Normalmente implementado por meio de e-mail (spam), atravs do envio de uma
mensagem ilegtima que aparenta pertencer a uma instituio conhecida, como por exemplo
um banco.

Quando se conhece os riscos e as fraudes, torna-se mais fcil prevenir acontecimentos
catastrficos, e pautar por medidas e comportamentos que evitem passar por situaes
previstas acima.
O usurio um ator imprescindvel na questo da segurana e joga um papel predominante na
tomada de decises que possam ser fulcrais na preveno e combate de vulnerabilidades.
12

4 SOLUES E MECANISMOS DE PREVENO

Quando se decide qual o rumo que queremos para uma instituio em termos de segurana,
pensa-se logo em quais os mecanismos a usar. Estes variam de instituio a instituio, em
funo de seu estgio de maturidade, grau de informatizao, rea de atuao, cultura
organizacional, necessidades requeridas, requisitos de segurana, entre outros aspectos.
As empresas buscam por solues que resultem e que sejam fiveis, ento cabe ao
profissional em Segurana da informao ou a equipa responsvel pela rea na empresa velar
por quais solues e mecanismos empregar.

Destacam-se ento as seguintes solues e mecanismos:
Na componente fsica, o uso de portas, salas que exijam cartes e ou impresso
digital, cmeras de vdeo vigilncia, guardas, prdios, muros, etc., permitem
bloquear o contato ou acesso direto a informao ou a infraestrutura.

Na componente lgica, a escolha certa dos Sistemas operativos, Antivrus e Anti-
spyware com atualizao automtica e frequente, backups, Utilizao de softwares
originais com licenas oficiais, Firewall, mecanismos de autenticao e
criptografia, certificao digital, sistema de deteco de intrusos, etc.
13

5 RECOMENDAES PARA EMPRESAS E USURIOS

Visto que o usurio uma personagem ativa no processo que envolve as questes de
segurana da informao, deve ento pautar de comportamentos e de uma postura solida no
uso das ferramentas da empresa e no s.
Muitos dos problemas em sistemas tem sido por falta de conhecimento e informao por parte
dos funcionrios que por vezes at usam as ferramentas de trabalho para seu benefcio e lazer
o que muitas vezes compromete a instituio, ento relevante dominar algumas tcnicas que
podero servir para o seu benefcio e no s.
A empresa deve investir em polticas que ajudem os seus funcionrios (usurios) a adquirirem
uma postura exemplar no uso das tecnologias da informao e comunicao, o segurana da
informao da responsabilidade da empresa e cabe a mesma velar pelo bom uso da mesma.

O envolvimento do usurio importante no processo da segurana da informao, pois na
adequada utilizao destes recursos, como instrumento de trabalho, que se inicia a formao
de uma slida cultura de segurana da informao.

Recomenda-se aos usurios a adoo das seguintes prticas:
Fazer regularmente cpias de segurana de seus dados;
Manter registro das cpias de segurana;
Guardar as copias de segurana em local seguro e distinto daquele onde se encontra a
informao original;
Utilizar senhas que contenham, pelo menos, oito caracteres, compostos de letras,
nmeros e smbolos, evitando o uso de nomes, sobrenomes, nmeros de documentos,
placas de carros, nmeros de telefones, datas que possam ser relacionadas com o
usurio ou palavras constantes em dicionrios e no transmitir a ningum;
Alterar periodicamente suas senhas;
Evitar utilizar o e-mail coorporativo para fins pessoais;
Navegar conscientemente na Web, evitar sites que paream suspeitos, links de janelas
Pop-ups, utilizar sites seguros ao enviar dados confidenciais;
No executar arquivos anexados a e-mails, sem antes examin-los e evitar clicar em
links recebidos por e-mail;
Utilizar Softwares licenciados para uso pela Autarquia;
14

Criar, transmitir, distribuir, disponibilizar e armazenar documentos, desde que respeite
as leis e regulamentaes;
Evitar envio de material obsceno, ilegal ou no tico, envio de propaganda, mensagem do
tipo corrente e de entretenimento, relacionadas com nacionalidade, raa, orientao
sexual, religiosa, convico poltica ou qualquer outro assunto ;
Evitar fazer download de contedo multimdia com direitos autorais que promovam a
pirataria;
Manter o antivrus sempre atualizado, uma das questes bsicas mas muito
importante;
Evitar trazer contedos externos para dentro da instituio, por meio de CDs, DVDs,
discos externos ou Pen-drives;
Reportar atitudes suspeitas do seu sistema a equipe responsvel da rea ou quando o
usurio se depara com uma questo que no domina;
Sempre que sair de frente da sua estao de trabalho, bloquear o computador.

15

6 CONSIDERAES FINAIS

A problemtica da segurana da informao tem colocado muitas empresas e usurios alerta,
e hoje muita informao est disponvel a esse respeito, e tem havido necessidade de mais
profissionais na rea. As empresas buscam por solues que aumentem valor o seu negcio e
so um ponto fulcral para a confiana de seus clientes. Triste que informaes sigilosas de
clientes sejam expostas ao pblico ou usadas em benefcio de terceiros, devido a debilidades
de segurana de determinada empresa. Que cliente confiara nessa instituio?

Usurios podem ser a chave para aumentar a segurana e importante investir no seu
intelecto em questes de segurana, so eles que lidam diretamente com a informao e
muitas vezes eles so a ponte que une os sistemas as ameaas e ataques.

No existem sistemas imunes, isentos ou excludos de ataques, mas quando se toma uma
postura rgida, quando se tomam excelentes polticas de segurana e se investe em boas
prticas em segurana da informao, minimiza-se em muito o riscos e obtm-se sistemas
mais seguros.

16

7 REFERNCIAS

TRIBUNAL DE CONTAS DA UNIO. Boas prticas em segurana da informao. 2 ed.
Braslia, 2007.

TRIBUNAL DE CONTAS DA UNIO, Boas prticas em segurana da informao, 4 ed,
Braslia, 2012.

GUSTAVO, Andr. Boas prticas de segurana em Tecnologia da informao.2012.

GABRIEL, Baptista Colares Borges. Sistematizao da Matria de Polticas de Segurana.
Universidade Catolica de Brasilia.

AGENCIA ESTADUAL DE TECNOLOGIA DA INFORMAO. Dicas de Segurana.
Verso 1.0. So Jos Recife.

UNIVERSIDADE CATLICA DE BRASILIA VIRTUAL. Contedo UEA de Introduo
a segurana computacional, 2013