GESTO DE SEGURANA DA INFORMAO

Aula 3: Vulnerabilidades de Segurana

Prof. Renato Guimares

GESTO DE SEGURANA DA INFORMAO

CONTEDO PROGRAMTICO
O que so Vulnerabilidades
Classificao das Vulnerabilidades
Anlise das Vulnerabilidades
Teste de Vulnerabilidades

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

IMPORTANTE
O profissional da rea de Tecnologia da Informao atua
diretamente no planejamento, implementao e
implantao de solues de TI nas organizaes. Desta
forma, imprescindvel que entenda o que
vulnerabilidade dentro do contexto organizacional, os
principais tipos existentes e as principais ferramentas de
anlise de vulnerabilidade de segurana.
Afinal segurana 100% no existe.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

O QUE SO VULNERABILIDADES
Pontos fracos em que os ativos esto suscetveis a
ataques - fatores negativos internos.

Permitem o aparecimento de ameaas potenciais

continuidade dos negcios das organizaes.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

O QUE SO VULNERABILIDADES
Fragilidade presente ou associada a ativos que manipula
ou processam informaes que, ao ser explorada por
ameaas, permitem a ocorrncia de um incidente de
segurana, afetando negativamente um ou mais princpios
de segurana da informao(CID).
Uma ameaa um possvel perigo que pode explorar uma
vulnerabilidade.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

CLASSIFICAO
Fsicas:
- Instalaes prediais fora dos padres de engenharia;
- Salas de servidores mal planejadas;
- Falta de extintores, detectores de fumaa e de outros
recursos para deteco e combate a incndio.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

CLASSIFICAO
Naturais:
- Possibilidade de desastres naturais (incndios, enchentes,
terremotos, tempestades, falta de energia);
- Problemas nos equipamentos de apoio (acmulo de poeira,
aumento de umidade e de temperatura).

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

CLASSIFICAO
Dados importantes para a organizao podem ser:
- Divulgados indevidamente (deixando de ser confidenciais),
destrudos (deixando de estar disponveis) ou corrompidos
(deixando de ser ntegros);
- Roubados por outras organizaes, visando compartilhar a
vantagem competitiva representada por estes;
- Apagados ou modificados por outras organizaes, de
forma a anular esta vantagem competitiva.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

CLASSIFICAO
Hardware:
-Falha nos recursos tecnolgicos (desgaste, obsolescncia,
mau uso);
-Erros durante a instalao;
-A ausncia de atualizaes de acordo com as orientaes
dos fabricantes dos programas utilizados;
-A conservao inadequada dos equipamentos.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

CLASSIFICAO
Software:
- Erros de instalao ou de configurao possibilitando
acessos indevidos, vazamento de informaes, perda de
dados ou indisponibilidade de recursos quando
necessrios;
- A configurao e a instalao indevidas dos programas de
computador/sistemas operacionais, podem levar ao uso
abusivo dos recursos por parte de usurios malintencionados.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

CLASSIFICAO
Mdias de armazenamento:
- Discos, fitas, relatrios e impressos em geral podem ser
perdidos ou danificados;
- Radiao eletromagntica pode afetar diversos tipos de
mdias magnticas;
- Erro de fabricao.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

CLASSIFICAO
Comunicaes:
-Acessos no autorizados ou perda de comunicao;
-A ausncia de sistemas de criptografia nas comunicaes ;
-A m escolha dos sistemas de comunicao para envio de
mensagens de alta prioridade da empresa.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

CLASSIFICAO
Humanas:
- Falta de treinamento;
- Compartilhamento de informaes confidenciais;
- Falta de execuo de rotinas de segurana;
- Erros ou omisses;
- Terrorismo ou vandalismo (ameaa de bomba, sabotagem,
distrbios civis, greves, roubo, furto, assalto, destruio
de propriedades ou de dados, invases, guerras, etc.).

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

Vulnerabilidades por si s no provocam incidentes, pois

so elementos passivos, necessitando para tanto de um
agente causador ou uma condio favorvel que so as
ameaas.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

ANLISE DAS VULNERABILIDADES

A Anlise das vulnerabilidades tem por objetivo verificar a
existncia de falhas de segurana no ambiente de TI das
empresas. Esta anlise uma ferramenta importante para
a implementao de controles de segurana eficientes
sobre os ativos de informao das empresas.
realizada atravs de um levantamento detalhado do
ambiente computacional da empresa, verificando se o
ambiente atual fornece condies de segurana
compatveis com a importncia estratgica dos servios
que fornece ou desempenha. Esta anlise compreende
todos os ativos da informao da empresa.
Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

ANLISE DAS VULNERABILIDADES

Tecnologias:
-Software e hardware usados em servidores, estaes de
trabalho e outros equipamentos pertinentes, como sistemas
de telefonia, rdio e gravadores;

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

ANLISE DAS VULNERABILIDADES

Processos:
-Anlise do fluxo de informao, da gerao da informao e
de seu consumo. Analisa tambm como a informao
compartilha entre os setores da organizao.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

ANLISE DAS VULNERABILIDADES

Pessoas:
-As pessoas so ativos da informao e executam processos,
logo, precisam ser analisadas.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

ANLISE DAS VULNERABILIDADES

Ambientes:
- o espao fsico onde acontecem os processos, onde as
pessoas trabalham e onde esto instalados os componentes
de tecnologia. Este item responsvel pela anlise de reas
fsicas.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

TESTE DE VULNERABILIDADE
-As portas do protocolo TCP/IP que encontram-se
desprotegidas (abertas);
-Os sistemas operacionais utilizados;
-Patches e service packs (se for o caso) aplicados;
-Aplicativos instalados;

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

TESTE DE VULNERABILIDADE
-Bugs especficos dos sistemas operacionais/ aplicativos;
-Fraqueza nas implementaes de segurana dos sistemas
operacionais/aplicativos;
-Falhas nos softwares dos equipamentos de comunicaes;

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

TESTE DE VULNERABILIDADE
-Fraquezas nas implementaes de segurana dos
equipamentos de comunicao;
-Fraqueza de segurana/falhas nos scripts que executam
nos servidores web;
-Falhas
nas
implementaes
de
segurana
nos
compartilhamentos de rede entre os sistemas e pastas de
arquivos.

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

IMPORTNCIA TESTE DE VULNERABILIDADE

-Identificar e corrigir vulnerabilidades de rede;
-Proteger a rede de ser atacada por invasores;
-Obter informaes que auxiliam a prevenir os problemas de
segurana;
-Obter informaes sobre vrus;

Aula 3: Vulnerabilidades de Segurana

GESTO DE SEGURANA DA INFORMAO

IMPORTNCIA TESTE DE VULNERABILIDADE

-Conhecer as fragilidades de redes de computadores;
-Conhecer os alertas de segurana antes de um ataque de
rede;
-Conhecer como recuperar uma rede aps um ataque.

Aula 3: Vulnerabilidades de Segurana