View
106
Download
2
Category
Preview:
Citation preview
Introdução aos Sistemas de Informações
Módulo 6
Segurança da TI
2
Por que os Controles São Necessários
• Os controles são necessários para garantir a qualidade e segurança dos recursos de hardware, software, redes e dados dos sistemas de informação. Os computadores provaram que podem processar grandes volumes de dados e executar cálculos complexos de modo mais preciso do que os sistemas manuais ou mecânicos.
• Entretanto, sabe-se também que:- Ocorrem erros em sistemas computadorizados- Os computadores têm sido utilizados para fins fraudulentos.- Os sistemas de computador e seus recursos de software e dados têm sido destruídos acidental ou deliberadamente.
3
4
Casualidades
• Acidentes,• Desastres naturais,• Sabotagem,• Vandalismo,• Uso não autorizado,• Espionagem industrial,• Destruição, e• Roubo de recursos
5
Tipos de Controle
• Três tipos principais de controle devem ser desenvolvidos para garantir a qualidade e segurança dos SI.
• Essas categorias de controle incluem:
1. Controles de sistemas de informação.
2. Controles de procedimentos.
3. Controles de instalações.
6
1. Controles de SI• Entrada de dados
• Senhas e outros códigos• Telas formatadas• Sinais audíveis de erro
• Técnicas de processamento• Controle de hardware• Controle de software
• Métodos de armazenamento• Criptografia• Backup
• Saída de informações• Relatórios• Listas de distribuição• Formulários pré-numerados
Controles de Hardware• Circuitos de Detecção de Falhas
• Componentes Redundantes
• Microprocessadores de Finalidades Especiais e Circuitos Associados
7
Controles de Software• Rótulos de Arquivos Internos
• Pontos de Verificação
• Monitores de Segurança de Sistema
8
2. Controles das Instalações
• Segurança da rede
• Administração de segurança– Fire Wall– Criptografia
• Controles biométricos
• Tolerância a falhas
• Controles de proteção física
9
10
Controles de Proteção Física
• Símbolos de identificação,
• Fechaduras eletrônicas,
• Alarmes contra roubo,
• Polícia de segurança,
• Circuito fechado de TV, e
• Outros sistemas de detecção
11
3. Controle dos Procedimentos
• Padrões de procedimento e documentação
• Requisitos de Autorização
• Recuperação de Desastres
• Controles para a Computação pelo Usuário Final
12
13
14
TÁTICAS USUAIS DE HACKING • Negação de Serviço: Tornando o equipamento de um website ocupado
com muitos pedidos de informação, um atacante pode, de fato, obstruir o sistema, reduzir seu desempenho ou mesmo travar o site.
• Scans: Extensas investigações na Internet para descobrir tipos de computadores, serviços e conexões. Dessa forma, maus sujeitos podem tirar vantagem de fraquezas de uma determinada fabricação de computador ou de um programa.
• Sniffer: Programas que, de modo disfarçado, procuram pacotes individuais de dados ao serem transmitidos pela Internet, capturando senhas de acesso ou conteúdos completos.
• Spoofing: Disfarçar um endereço de e-mail ou página da Web para enganar usuários, levando-os a entregar informações cruciais, como senhas de acesso ou números de cartão de crédito.
• Cavalo de Tróia: Um programa que, ignorado pelo usuário, contém instruções que exploram uma conhecida vulnerabilidade de alguns softwares.
• Back Doors: Se o ponto de entrada original tiver sido detectado, ter uns poucos caminhos escondidos nos fundos torna a reentrada simples — e difícil de ser percebida.
15
TÁTICAS USUAIS DE HACKING • Applets prejudiciais: programas escritos na popular linguagem Java, que
utilizam mal os recursos de seu computador, modificam arquivos no disco rígido, enviam e-mail falso, ou roubam senhas.
• Discagem de Guerra: Programas que automaticamente discam milhares de números de telefone buscando uma forma de fazer uma conexão com um modem.
• Bombas lógicas: Uma instrução num programa de computador que o faz realizar uma ação prejudicial.
• Buffer Overflow: Uma técnica para travar ou obter controle sobre um computador enviando uma quantidade muito grande de dados ao buffer na memória de um computador.
• Quebrador de senhas: Software que pode descobrir senhas. • Engenharia social: Uma tática utilizada para conseguir acesso aos
sistemas de computadores por meio de conversa confiante com funcionários da empresa sobre informações valiosas, tais como as senhas.
• Mergulho no Depósito de Lixo: Vasculhar o lixo de uma empresa para encontrar informações que ajudem a interromper seus computadores. Às vezes, a informação é utilizada para tornar uma tentativa de engenharia social mais confiável
16
17
18
19
Auditoria de SI
Auditoria em torno do computadorEnvolve a verificação da precisão e propriedade de entrada e saída do computador produzida sem avaliação do software que processou os dados.
Vantagens deste método:- Método simples e fácil que não exige auditores com
experiência em programação.
Desvantagens deste método:- Não acompanha uma transação ao longo de todas as suas
etapas de processamento - Não testa a precisão e integridade do software utilizado.
20
Auditoria de SIAuditoria por meio do computador
Envolve verificação da precisão e integridade do software que processa os dados, bem como das entradas e saídas produzidos pelos sistemas e redes de computadores.
Vantagens deste método:- Testa a precisão e integridade dos programas de
computador.- Testa a entrada e saída do sistema de computador.
Desvantagens deste método:- Exige conhecimento do sistema de computador, de rede e
desenvolvimento de software.- Dispendioso para algumas aplicações de computador.
21FIM
Recommended