Segurança da Informação e Pentest

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Segurança de Informação
Pentest e Computação Forense
Responsável pelo Conteúdo:
Prof. Dr. Sandro Pereira de Melo
Revisão Textual:
Profa. Dra. Selma Aparecida Cesarin
Nesta unidade, trabalharemos os seguintes tópicos:
• Introdução ao tema
• Orientações para Leitura Obrigatória
• Material Complementar Fonte: iStock/Getty Im
ages
Objetivos
• Estudo de temáticas relevantes para o contexto de Segurança da Informação. Entre 
essas temáticas, serão estudados conceitos sobre a abordagem da Segurança da 
Informação, Medidas de Segurança, Mecanismo de Segurança e Segurança em 
Computação em Nuvem.
Normalmente com a correria do dia a dia, não nos organizamos e deixamos para o 
último momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
Pentest e Computação Forense
UNIDADE 
Pentest e Computação Forense
Introdução ao tema
Abordagem da Segurança da Informação
Qualquer Empresa tem alguns processos que podem ser considerados processos em 
conformidade com a ISO 27002, mesmo que a maturidade em Segurança da Informação 
da Empresa seja pequena.
Muitos especialistas de Segurança da Informação, ao realizar um processo de 
oficializar a Segurança da Informação em uma Empresa, tomam a decisão de primeiro 
avaliar/auditar os processos praticados. Uma forma comum é a realização do checklist 
dos controles sugeridos pela ISO 27002.
O tamanho do desafio é diretamente proporcional à maturidade em Segurança da 
Informação que a Empresa possui.
Assim que estiver qualificada a maturidade, pode-se iniciar de forma mais efetiva 
a definição dos controles não existentes e a sugestão de melhorias nos controles já 
existentes. Entretanto, é notória a necessidade de classificação da informação da 
Empresa, pois é uma ação que fundamenta as ações posteriores.
Sendo uma política que visa a assegurar que a informação receba um nível adequado 
de proteção por meio da sua identificação, considerando-se seu valor, requisitos legais, 
sensibilidade e criticidade, o que também pode nortear as tomadas de decisões como, 
por exemplo, quais as áreas do negócio pelas quais se deve iniciar uma avaliação de 
risco, por exemplo, embora seja consenso considerar o financeiro da Empresa uma das 
primeiras áreas pela qual se deve iniciar os processos de Segurança da Informação.
Uma política de Classificação da Informação normalmente rotula todas as informações 
críticas segundo o seu grau de criticidade e teor crítico no momento da criação, como:
• Secreto;
• Confidencial;
• Público.
Código de Conduta
Outra ação importante dentro das organizações é definir o código de conduta 
como uma forma de direcionar as atitudes dos colaboradores para que estejam em 
conformidade com a conduta esperada pela alta gestão. Um código de conduta pode 
variar de Empresa para Empresa.
Deve-se ter em mente que definir um “Código de Conduta” demanda, também, um 
processo de conscientização dos colaboradores e treinamentos focados para que eles 
tomem conhecimento sobre o Código e, principalmente, do valor de segui-lo para o 
bem da Organização.
6
7
Gestão de Incidente
Colaboradores devem ser estimulados a reportar incidentes e orientados para tal, pois 
é importante para a Empresa, tanto para que uma resposta seja dada ao incidente, como 
também para que essa resposta seja dada no menor tempo e da melhor forma possível.
Quando se tem o processo definido, normalmente os incidentes são reportados ao Help 
Desk. Dessa forma, o atendente pode escalar o incidente funcional ou hierarquicamente.
Mecanismos de Segurança
Os mecanismos de segurança são recursos que irão tentar defender a Organização 
de ameaças, seja no contexto tecnológico, seja no de processos e de pessoas.
No contexto tecnológico, deve-se considerar o uso de mecanismos de segurança e 
segregação de redes como Firewall, IDS, IPS, Proxy, HoneyPots e no ponto de vista da 
estação de trabalho, antivírus ou mesmo uma segurança mais elaborada, baseada em 
soluções “End Point”.
Medidas Físicas
As medidas de natureza física têm o objetivo de prevenir o acesso físico não autorizado, 
danos e interferências com as instalações e informações da Organização.
A norma recomenda que se crie um perímetro de segurança física por meio de 
paredes e portões de entrada com cartões, entre outros, para proteger as áreas que 
contenham informações e instalações de processamento:
• Tipos de medidas físicas;
• Alarmes;
• Uso de sensores;
• Detecção por infravermelho;
• Câmeras que detectam movimento;
• Detecção de vibração;
• Sensores de quebra de vidros;
• Medidas para cópia de Segurança (Backup).
Cópias de segurança dos dados armazenados em um computador são importantes, 
não só para se recuperar de eventuais falhas, mas também das consequências de uma 
possível infecção por vírus ou de uma invasão, ataques de ransomware e ameaça não 
humanas, como um incêndio, por exemplo.
Embora ter uma solução de Backup com a retenção devidamente planejada seja 
muito importante e ajude o conceito de Plano de Continuidade de Negócio, deve-se 
lembrar de que o PCN é um processo muito maior, no qual uma solução de Backup é 
uma parte.
7
UNIDADE 
Pentest e Computação Forense
Computação em Nuvem
A computação em nuvem possui um modelo de infraestrutura de TI que provê recursos 
de modo mais fácil e econômico. Dessa forma, as empresas podem pensar em ter mais 
aplicações para aprimorar e alavancar negócios, o que, consequentemente, demanda 
que os profissionais de TI, os desenvolvedores de aplicativos, tenham a habilidade de 
explorar os recursos da nuvem, mas que eles façam isso conduzidos pelas boas práticas 
de Segurança da Informação.
Diante disso, a Computação em Nuvem faz parte do escopo do especialista de 
Segurança da Informação, que deverá ser capaz de avaliar o uso da Tecnologia, identificar 
as ameaças relacionadas, classificar o risco e definir as ações necessárias para mitigá-los.
Orientações para Leitura Obrigatória
Recomendo a leitura do artigo Conceitos em Segurança em Computação em Nuvens.
https://goo.gl/ApFNf1
8
9
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Vídeos
Sistemas de Informação - Aula 16 - Computação em Nuvem
https://goo.gl/OpH91B
CHAPTER 12 FIREWALL Networking Basic
Aula conceitual sobre Firewall em inglês, mas que permite a utilização de legendas.
https://goo.gl/bE6ZNW
Introdução ao Gerenciamento de Redes - parte 3 - IDSs
https://goo.gl/E0gXIM
Ransomware – O que são ? Como se proteger ? O que fazer se estiver infectado ?
https://goo.gl/tT2q7N
Como Vencer o Ransomware?
https://goo.gl/TOhEuK
 Leitura
A Segurança de Dados na Computação em Nuvens nas Pequenas e Médias Empresas
Artigo sobre Segurança em Computação em Nuvem.
https://goo.gl/D8YsZQ
9
UNIDADE 
Pentest e Computação Forense
Referências
ABNT NBR ISO/IEC 27001:2013 – Sistemas de gestão da segurança da informação 
–Requisitos. Brasil:2013.
ABNT NBR ISO/IEC 27002:2013 – Código de prática para controles de Segurança 
da Informação. Brasil:2013.
ABNT NBR ISO/IEC 27003:2011 – Diretrizes para Implantação de um Sistema de 
Gestão da Segurança da Informação. Brasil:2011.
ABNT NBR ISO/IEC 27004:2010 – Gestão da Segurança da Informação – Medição. 
Brasil:2010.
ABNT NBR ISO/IEC 27005:2011 – Gestão de riscos de segurança da informação. 
Brasil:2011.
ABNT NBR ISO/IEC 27011:2009 – Diretrizes para Gestão da Segurança da 
Informação para Organizações de Telecomunicações baseadas na ABNT NBR 
ISO/IEC 27002. Brasil:2009.
ABNT NBR ISO/IEC 27014:2013 – Governança de Segurança da Informação. 
Brasil:2013.
ABNT NBR ISO/IEC 27031:2015 – Diretrizes para a Prontidão para a Continuidade 
dos Negócios da Tecnologia da Informação e Comunicação. Brasil:2015.
ABNT NBR ISO/IEC 27037:2013 – Diretrizes para identificação, Coleta, Aquisição 
e Preservação de Evidência Digital. Brasil:2013.
ABNT, NBR ISO/IEC 27001 – Código de Prática para a Gestão da Segurança da 
Informação. Brasil: 2008.
BEAL, A. Segurança da Informação, Princí pios e Melhores Prá ticas para a Proteç ã o 
dos Ativos de Informaç ã o nas Organizaç õ es. São Paulo: Atlas, 2008.
GALVÃO, M. C. Fundamentos em segurança da informação São Paulo: Pearson, 2015.
10