SEGURANÇA DA INFORMAÇÃO

1. EVOLUÇÃO DO AMBIENTE COMPUTACIONAL, CICLO DE VIDA DA INFORMAÇÃO E OBJETIVOS DA SEGURANÇA DA INFORMAÇÃO - CINDAL A necessidade inicial das redes. Necessidade primária de permitir diversas possibilidades de conectividade entre os dispositivos de rede. Desta forma, a interoperabilidade dos dispositivos e não a segurança foi enfatizada como fator principal das redes. Porém nos dias atuais com o crescimento das demandas organizacionais, a segurança passou a ser uma necessidade fundamental, constituindo foco de atenção permanente dos profissionais envolvidos com a tecnologia da informação. Segurança. Estado, qualidade ou condição de seguro; condição daquele(ilo) que se pode confiar; certeza, firmeza, convicção. _ Para o profissional de Segurança: NÃO é um produto, que você seleciona, compra, instala e esquece. É um estado de espírito, uma busca sem fim, uma desconfiança permanente. Seguro. Certo, indubitável (que não há dúvida, incontestável); Livre de perigo; Em quem se pode confiar; Livre de risco; protegido, acautelado, garantido; Eficaz, eficiente. A adoção da segurança gera uma série de transtornos. Ninguém gosta de restrições impostas por controles de segurança na liberdade de ir e vir. Ninguém gosta de carregar chaves de portas. Ninguém gosta de lembrar-se de senhas. A maioria das pessoas fica impaciente em esperar por aprovação. Exemplos: Portas de segurança dos bancos; Limite de velocidade nas estradas; Horário para chegar/sair de casa. Isto tudo é válido? O ciclo de vida da informação. Para que possamos proteger a informação dentro da empresa é necessário conhecer o ciclo de vida da informação dentro da mesma. _ Geralmente o mesmo é composto por 04 etapas: 1. Manuseio. Local onde se iniciou o ciclo e onde a informação é manipulada. 2. Armazenamento. Momento em que a informação é armazenada, (papel, CD, disquete...). 3. Transporte. Momento do envio ou transporte (correio eletrônico, fax, sinais...). 4. Descarte. Momento em que a informação é eliminada, apagada (destruída de forma definitiva). A necessidade de proteção. Com o passar dos anos a situação computacional nas empresas foi mudando, bem como sua necessidade de proteção. _ Entre os anos de 1970 e 1980 o ambiente computacional era formado por mainframes, onde todos os dados eram centralizados. A necessidade de proteção restringia-se aos dados. _ A necessidade de segurança era apenas proteção contra acessos indevidos. _ Entre os anos de 1980 e 1990 o ambiente computacional sofreu alterações relevantes, sendo que além do mainframe veio à conexão com a rede. Com isso o panorama mudou para um grande número de informações internas descentralizadas e com acessos distribuídos. A necessidade de proteção deste ambiente estava nos dados e nas Informações. Era necessário proteger contra adulteração e destruição dos dados e das informações. A partir do ano de 1990 até hoje. O ambiente sofreu outra grande transformação: além do mainframe e conexão com a rede, surgiu a Internet. O panorama mudou para um grande número de informações internas e externas descentralizadas e com vários acessos distribuídos. A necessidade hoje é proteger os dados puros, as informações e o conhecimento do negócio. Mas é necessário manter os dados e as informações sempre disponíveis. A informação deverá estar
1

prescrições para utilização comum e repetitiva com vistas à obtenção do grau ótimo de ordem num dado contexto. São 148 controles divididos em dez partes distintas. Gerenciamento de senhas. _ NBR 1334 (atual ABNT 11515). conhecido TCSEC ou “Orange Book”. _ Disponibilidade: os usuários autorizados devem ter acesso à informação e aos ativos correspondentes. _ Integridade: Dados e informações corretas e sincronizadas no tempo e espaço. _ NBR 1335. Comitê da British Standard BS7799 BS7799-1. Orange Book (Truster Computer Security Evaluation Criteria). 2. Homologada desde 2000 (parte 1). O que é Normalização? Atividade que estabelece. _ Não Repúdio. _ NBR 12896. É a segunda parte da norma. Em 1995 surgiu a BS7799.2. NORMAS NACIONAIS E INTERNACIONAIS PARA SEGURANÇA DA INFORMAÇÃO _ No passado não existiam normas nem procedimentos no tema. uma norma de segurança da informação. A informação não pode sofrer nenhuma alteração desde a sua criação até o seu armazenamento. _ Legalidade: é a situação de conformidade com as leis atualmente vigentes no país. BS7799. As informações e os métodos de processamento somente podem ser alterados através de ações planejadas e autorizadas. _ NBR 10842.acessível somente para pessoas autorizadas. Autenticidade se aplica a dados e a emissor. deverá ser garantida a autenticidade da fonte. O departamento de Defesa dos Estados Unidos (DoD) especificou regras a serem utilizadas no processo para classificação dos sistemas operacionais seguros. para criar uma norma de segurança das informações para o Reino Unido. software e informações dos sistemas. em relação a problemas existentes ou potenciais. surgiram outros documentos "técnicos” que contribuíram para a formação de uma norma coesa e completa sobre a segurança da informação. Segurança de microcomputadores. O departamento de comércio e indústria do Reino Unido criou um centro de segurança de informações. com objetivo de gerenciar a segurança da informação. Controle de acesso físico a CPDs. devido a capa ser da cor laranja. diretrizes ou características para atividades de uso comum e repetitivas. Adaptação do livro laranja para rede de computadores. Red Book (Livro Vermelho). CINDAL – Objetivos da Segurança da Informação (SI) _ Confidencialidade: a informação estará acessível somente para pessoas autorizadas. sempre que necessário para o desenvolvimento de suas atividades. Os primeiros padrões de segurança física em informática foram definidos pelas normas: _ NBR 1333. é uma referência para implementar boas práticas de segurança da informação na empresa. Equipamentos para tecnologia da Informação e requisitos de segurança. Servem para avaliar a proteção para hardware. terminais e estações de trabalho. que fornece regras. 2 . Após o Orange Book. Critérios de segurança física para armazenamento de dados. Desde 1989 vários documentos preliminares foram publicados. BS7799 (British Standart 7799). Esta é a garantia que o emissor de uma mensagem é quem realmente diz ser. _ Autenticidade: para evitar o não-repúdio. aprovado por organismo reconhecido. ou não recusa. O que é Norma? É um documento estabelecido por consenso. Visa à obtenção de ordenação num dado contexto.

Segurança de Dados PCI (Payment Card Industry). PDCA (Plan. a empresa pode ser penalizada com multa.ISO/IEC 17799:2005. implementar e executar conforme as metas. Legislação criada após problemas nas contabilidades das empresas Enron e WorldCom. SDCA – Standart – para melhoria contínua e implementação em filiais. 2002. Explodindo: ISO 27002: Padrão que substituiu em 2007 a ISO 17799:2005 (código de boas práticas). Do: iniciativas como educar e treinar envolvidos. 3 . SOX . Define o que empresas de serviços financeiros podem fazer com informações pessoais de clientes. Regulamentação federal que obriga médicos. A ISO 27001:2005 é a BS7799-2:2002 revisada. SARBANES e Michael OXLEY. Versão internacional da BS7799. Elaborada por membros do congresso americano S. Série ISO 27000. Outras leis que envolvem Segurança da Informação. Segunda versão brasileira da ISO (primeira versão 2001). Reuni normas de segurança da informação. Cobre os mais diversos tópicos de segurança da informação. o que será feito e metas. caso haja necessidade. Na falha ao cumprimento ou falta de correção. ISO 27005: Uma abordagem para gestão de risco das informações numa organização. PCI . As mudanças são na estrutura do SGSI (sistema de gestão de segurança da informação) . Os seguintes pontos devem possuir garantia: G1: informações administrativas. IEC (International Engineering Consortium).Sarbanes-Oxley. diretivas e procedimentos visando privacidade empresarial e existência de planos para recuperação e contingência de desastres. ISO 27006: Certificação. como registros médicos. ISO 27004: Mecanismos de mediação e de relatório de gestão de segurança da informação. hospitais e envolvidos a atender padrões ao manipular informações sigilosas. garantindo segurança: Plan: definir o que quer. NBR ISO/IEC 17799:2005. USA. incorrendo em multas. Ação para reduzir fraudes de cartões de crédito em transações on-line. Programa que define padrões de manuseio de dados de pagamentos seja manual ou eletrônico. Decreto GLBA (Gramm-Leachy Bliley Act). Check e Action). Criada para restaurar a confiança dos investidores nos relatórios financeiros de empresas públicas. transmissão ou processamento de dados de cartões de crédito. Método de administração da qualidade. com regras. ISO 27003: Recomendações de definição/implementação de gestão de segurança da informação. Action: corrigir rotas e tomar ações corretivas ou de melhorias. com objetivo de criar normas e padrões universais. auditoria e homologação da gestão de segurança da informação. G3: trata controles de informações intangíveis armazenadas nos sistemas e seu acesso. G2: trata controles físicos e regras relacionadas ao acesso físico às instalações e máquinas. Lida com armazenamento. HIPAA (Health Insurance Portability and Accountability Act-Congresso EUA. Responsabiliza funcionários pelo fornecimento de informações financeiras públicas precisas aos investidores. Responsabiliza CEOs e diretores de empresas como pessoas responsáveis pelo mau uso das informações pessoais. Organização para o aprimoramento da indústria da informação. Não afeta apenas planos de saúde mas qualquer empresa que lide com informações de pacientes.1996). homologada pela ISO (International Standartization Organization). Afeta empresas de comércio público.são destacados aspectos de auditoria e indicadores de desempenho. Do. Definir métodos que permitirão atingir as metas. restrições e proibição de aceitar cartões de crédito. Check: verificar continuamente se os trabalhos são executados da forma definida.

_ deve estar documentado formalmente. _ ser claro e conciso. podem-se citar os principais tipos (4 P’s): _ Paranóico: tudo é proibido. Diretrizes para cálculo de riscos de bancos. Permite o estabelecimento de limites (direitos e deveres) do usuário ou departamento ao utilizar um recurso da empresa. Norma Australiana/Neozelandesa para gerenciamento de riscos. OB-007. A política de segurança pode se dividir nos blocos Diretrizes. 3. Conjunto de leis. _ Operacional (procedimento): um procedimento deve possuir apenas um método de execução. ISO 17799:2005). mesmo aquilo que deveria ser permitido. todos os ativos do negócio. Normas e Procedimentos. Cada empresa é única então. Se algo falhar. Visa eficiência para o gerenciamento de riscos em banco. 4 . Aberto: tudo aquilo que não é proibido explicitamente é permitido. Formato dos procedimentos de segurança. _ ter sua finalidade explicada ou será ignorado. Documento que formaliza e detalha todo o conceito informal ou formal sobre segurança. destinados respectivamente às camadas Estratégica. tais como: elaborar. _ Proibitivo: tudo aquilo que não é permitido é explicitamente proibido. Existem diversas filosofias para planos de segurança. PLANOS. Elaborada pela Standards Austrália e Standards New Zealand através do comitê de gestão de riscos. que deverá ser aplicado na empresa. não existe receita pronta. protege e distribui suas informações e recursos. _ o colaborador deverá conhecer apenas os procedimentos que lhe dizem respeito. Deverá possuir as características: _ ser fácil de entender ou não será posto em prática.Basiléia II . Significado da segurança da informação (Item 0. regras e práticas que regulam como uma organização gerencia. É necessário programa de proteção das informações. Garantir continuidade do negócio e minimizar danos através da prevenção e redução dos impactos gerados por incidentes de segurança. PROCEDIMENTOS E POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Política de segurança (Item 5. Cabe a cada organização decidir a complexidade e severidade que deverá ser implementada de acordo com a sua necessidade. imprimir. Filosofia dos Planos Fechado: tudo aquilo que não é permitido é explicitamente proibido. _ ser elaborado por um responsável direto (CSO). Faz-se protegendo todos os elos da corrente. implementar (colocar em execução).Basel II Accord. _ ser aprovado pelo mais alto nível da hierarquia da empresa. todo o processo falha. ensinar (educar). Existe para minimizar os prejuízos para a empresa. formalmente descrito. incluindo aquilo que deveria ser proibido. A documentação da política de segurança apresenta dificuldades. Avalia riscos com resultados positivos (ganhos) e com resultados negativos. Orientações para gerenciamento de riscos de qualquer natureza. distribuir. atualizar. Tática e Operacional: _ Camada Estratégica (bloco de diretriz): rumo a ser seguido. _ Tática (norma): padronização para controlar e fazer com que todos tenham segurança. _ ser implementado com energia ou exceções serão criadas e virarão regras. Tudo aquilo que não é proibido é explicitamente permitido. ISO 17799:2005). físico ou lógico. _ Permissivo: oposto ao proibitivo. _ possuir sanções para os violadores.Australian Standard for Risk Management. AS/NZS 4360:2004 . _ Promíscuo: tudo é permitido.

_ prever ações concretas e quem as realiza. _ CTO . _ Possuir cultura organizacional (consciência coletiva) e muita cooperação. pois é possível planejar procedimentos para a redução deles. _ CEO . AMEAÇAS E IMPACTOS Análise de risco. VULNERABILIDADES. Responsável pela segurança física. ANÁLISE DE RISCOS: ATIVOS. _ Ter embasamento jurídico. Um nome sofisticado para diretor de finanças.chief risk officer (chefe de gestão). _ ter bom senso e senso crítico. _ A presença de um marketing interno eficaz para a segurança dentro da organização. _ saber lidar com pessoas.. Cargo mais alto da empresa. pelos serviços de proteção e privacidade da corporação e de seus colaboradores. o CRO também é responsável por analisar as estratégias do negócio. Responsável por coordenar atividades corporativas e suas implicações de segurança. _ sólidos conhecimentos de sistemas de gestão. encontrando o equilíbrio entre a proteção corporativa. _ atuar orientado a resultados. _ perfil executivo.chief executive officer (presidente). _ Divulgação e treinamento a funcionários e contratados. não há a forma correta de se avaliar riscos. 4. É chamado de presidente. Quando existe presidente e CEO. _ causar o mínimo de alterações no funcionamento da organização. e outros. _ ser possível executar. tem mais chances de alcançá-los. _ sólidos conhecimento em gestão de projetos. _ CRO . _ Deve ter bom entendimento dos requisitos de segurança. o primeiro é mais forte. _ A alta direção deve estar comprometida e dar amplo apoio aos implementadores. _ Alocação de recursos pessoais e financeiros. Diretores responsáveis nas empresas _ CIO . enxergando a organização como um todo.chief financial officer (chefe de finanças). principal executivo. Conhecimentos e características do profissional: _ visão generalista (visão global com ação local). 5 .chief technology officer (chfe de TI – infra). no tocante a ações / punições eventuais a serem aplicadas. Pode ser também chief imagination officer. seus riscos e retornos de investimentos através de métricas e indicadores. Existe uma confusão grande. avaliação e gestão de riscos. Como segurança é um sentimento e não um dado exato. diretor geral. a concorrência e a legislação._ ser dirigido para atingir o nível de segurança adequado aos bens que se quer proteger. CSO: Chief Security Officer (chefe de Segurança) . _ CFO . Fatores para o sucesso da política de segurança. Responsável pelo planejamento e estratégia por trás da tecnologia. Geralmente o CTO comanda a infra-estrutura da área de tecnologia e o CIO o seu uso estratégico. _ ser atento às necessidades de negócio. _ quantificar os recursos necessários para seu funcionamento. _ prever o que fazer em casos de falha na execução dos procedimentos (plano B). Se a organização conhece os riscos e as ameaças que colocam em perigo o alcance dos seus objetos. Além de gerenciar o risco nas operações financeiras.responsável pela segurança da informação global. _ não deve ser muito específico (senão a atualização o tornará inviável).chief information officer (chefe de TI– fluxo informação).

nuclear. que caso exploradas por uma ameaça representam riscos concretizados a organização. Climatização. não posso garantir disponibilidade total. todas as possíveis vulnerabilidades devem ser identificadas. Mídias magnéticas. _ Usuários: alta administração. _ Serviços: Serviços de comunicação e processamento. furacão. . Partem do meio interno ou externo. marítimo. quando o custo do controle aplicado para mitigá-lo. raio. porém eles podem ser facilmente detectados. Não entendimento de documentação. É o ponto onde o sistema poderá ser suscetível a ataque. Fraquezas associadas aos ativos da organização. Exemplos: Obtenção física de arquivos. É o processo de avaliar o que é ou não aceitável para uma organização. discos. _ A localização física dos prédios deverá ser observada conforme: Linhas de comunicação podem ser escutadas ou interrompidas? Ocorre a existência de Modems? Mesmo que as ameaças pareçam insignificantes. acidente de construção.. Vulnerabilidades. etc. pastas ou outros. _ benefícios. Técnica e Lógica. Ameaças. desvio de mensagens. _ Ameaças não intencionais. Só devemos aceitar um risco. Imagem. Pilares da segurança: Física. cópia. roubo de equipamentos. _ Ameaças físicas: acesso/uso não autorizado. _ Ameaças intencionais. senhas. Análise de risco. O nível de risco no qual se opera é denominado de risco aceitável. Identificação dos ativos _ Ativos físicos: Equipamentos computacionais (laptop. por roubo. modem). _ Ameaças naturais: fenômenos de natureza. listagens._ Ter risco significa ter chance: quando monto uma rede. Técnicas de análise de risco. e usuários chave. operadores de sistemas críticos. patentes. Arquivos enviados por engano. Normalmente é difícil evitar a ocorrência de tais eventos. Ferramentas de desenvolvimento. provocando possíveis problemas e impactos. _Intangíveis. Utilitários. Ameaças. Risco é perigo ou possibilidade de perigo.qualquer equipamento que manipule informações. administradores de rede. químico. _ custos. Geralmente ocorre por ignorância dos envolvidos: Falta de treinamento do usuário. Iluminação.Virtual Private Networking). A análise de risco deve ser feita considerando vários aspectos como: Ativos. complementares e integradas. Quando atravesso uma rua posso ser atropelado. terremoto. É a probabilidade de acontecer algo. Classificação dos ativos. _ Equipamentos: máquinas. ameaça de bomba. vulnerabilidades e o valor a proteger. aéreo. abandonados ou esquecidos. Algo que possa resultar em incidentes causando danos e prejuízos a uma organização. fogo. for maior do que o custo do bem em risco. etc. _ recursos envolvidos para evitar a concretização do risco. habilidade de desenvolvimento de atividade. chuva. etc. É um contexto que inclui as ameaças. mídias . como a estrutura dos servidores. _ Ativos de software: Aplicativos. necessárias. Risco. Tentativa de identificação ou autenticação como 6 . Para cada cenário deverão ser previstos: _ prejuízos.. rodoviário. Vulnerabilidades. Sistemas. _ Organização: localização áreas de importância relevante. credibilidade. _ Informações: tecnologias(VPN . Refrigeração. Podem ser classificados em tangíveis e intangíveis: _ Tangíveis _ Aplicações: Ferramentas de gerenciamento (ERP) e outros. reputação. pela exploração das vulnerabilidades. Listagens abandonadas em cestas de lixo.

sobre as perdas. Exemplo: vshield na memória. MÉTODO GUT PARA ANÁLISE DE RISCOS Medidas de segurança. Ataque terrorista. Paralisação de serviço ou de transporte. Ataque de negação de serviços. Falha de correio eletrônico. Prejuízo operacional. Execução arbitrária do código. industrial ou do governo. Desatualização ou imprecisão de dados. Greves. Falta de responsabilidade individual. Black-out. Engenharia social. Mede efeitos positivos/negativos da atividade: Perda financeira. Acesso de pessoas não autorizadas. _ Análise qualitativa: permitem estimar os impactos aos negócios provocados pela exploração de uma vulnerabilidade por parte de uma ameaça. Proximidade à zona de alta criminalidade. física ou lógica. Ação do pessoal de manutenção utilizando de forma indevida utilitários ou equipamentos. Ataques de dicionário. desarmando proteções. Criminoso cibernético. Exemplo: restore do arquivo danificado. _ Análise quantitativa: mensurar os impactos financeiros provocados por uma situação a partir da valoração dos próprios ativos. sistema operacional. Alteração indevida de dados. Estimar o valor dos prejuízos e o custo de combater a ameaça. Seqüestro de dados. forçando acessos. criando compensações. Estabelecidas em função de tempo e necessidade. Exemplo: clean no arquivo. _ Análise subjetiva: escrever vários cenários como base para sessão de brainstorming. Ataques por vírus (código hostil no geral). _ Perímetro de proteção: linha imaginária. “Grampos” na comunicação. Alteração no número de pessoas para a execução do processo. Ação do operador revelando medidas de proteção. Atitudes após conhecer ativos. Ação de programadores explorando o sistema. podendo ser de 4 tipos e sendo geralmente conhecidas como medidas PDCR. Podem pegar ao mesmo tempo valores tangíveis e intangíveis. de instalação/fornecimento de energia elétrica. Dano intencional aos sistemas/dados ou instalações. Espionagem de rede. deve-se analisar: _ Ativo: corresponde a entidade ou objeto alvo da função de segurança. Preventivas: ação de tentar evitar que o problema ocorra. pois abrange o processo como um todo. Pesar as várias ameaças para obter um valor final. 5. Exemplo: antivírus. Multas. Acessos remotos indevidos.. Detectivas (preditiva): ação de detectar um determinado problema. Restauradoras: recuperar algo perdido. Abalo na imagem. _ Diminuir: colocar em práticas ações com o objetivo de reduzir o risco. Erros e acidentes. Outros exemplos de ameaças. Multas. nos controles ambientais. sempre menores. Fogo. na entrada de dados. Corretivas: corrigir algo que não conseguiram evitar. Tem eficiência superior. em que a ameaça possa atingir o ativo. Funcionário descontente. de presídio/delegacia. Calor. de instalação militar. Pirataria e pornografia. em rede. _ Agente agressor: entidade responsável pela exploração da ameaça. Resumindo. Para cada ameaça quantificar a sua incidência. Ataques de força bruta. _Transferir: transferir risco a terceiro. Distúrbio civil. _ Ignorar: não dar nenhum tipo de importância e acreditar que nada irá acontecer.usuário legítimo. Atos de vandalismo. software aplicativo. _ Ameaça: ação. Descoberta de senhas. de hardware. Magnetismo. _ Vulnerabilidade: uma fraqueza do ativo. 7 . Técnicas de análise de risco. atitude ou situação em que a vulnerabilidade de um ativo possa ser explorada.. Desvio fraudulento de recursos. vulnerabilidades e ameaças: _ Aceitar: custo de implementação é maior que impacto negativo que o risco poderá trazer. Divulgação de informações e de dados. Impacto.

00 envolvendo equipamentos e habilidades que o atacante deverá possuir. Urgência e Tendência). Existem diversas formas de calcular o risco. onde P seria probabilidade de ocorrer o evento (vezes por ano). Os valores obtidos depois da análise são multiplicados gerando o impacto final. satisfazer as necessidades dos seus clientes e criar rendimento. Ativos. recriar a informação (o mais complexo e o mais caro). Valor do ativo. Incidente: Que incide. Ameaças. O resultado é posicionado por cores onde as faixa de 1 a 42. Registros históricos. Nesta fórmula ainda poderia ser acrescentada a variável P. Obs. Gravidade. Revisão constante Riscos/Ameaças/Vulnerabilidade. Probabilidade. TI =Total de Impactos. Vulnerabilidades. Este trabalho não deve ser feito apenas uma única vez. Considerar o tempo da duração dos impactos relacionados ao processo analisado: o que aconteceria com a empresa exemplo se a base continuasse corrompida por mais de 07 dias? Tendência. da informação no mercado. 76 Análise de risco. ocorre. porém. Exemplo: calcula-se que o roubo de dados de 1 unidade de smart card. O sucesso no ataque depende dos recursos. porém. reparar o equipamento. ele sempre poderá ser atacado. TV =Total de Vulnerabilidades. 8 . M =Medidas de Proteção. motivação e dinheiro empregado. Escopo. Determinação da probabilidade. Fluxo da análise de risco. A prioridade das ações pode ser encontrada utilizando a matriz GUT. Valor da reposição. Novos riscos. médio e longo prazo? Sistema de coloração da matriz GUT. otimiza o tempo e alcança melhores resultados. amarela e vermelha. Após a análise de risco é recomendável fazer a análise de custo benefício. Mudanças são constantes. A prioridade final é composta pela análise e produto das 3 dimensões GUT: Impacto=GravidadexUrgênciaxTendência. Conhecimento e experiência. Os riscos podem ser identificados. tempo.Mapeamento de processos. ameaças e vulnerabilidades podem surgir. Estes processos são as atividades de negócio que a empresa desenvolve para gerar valor. imprevisto. não é possível quantificar na sua totalidade. fortuito.I)/M)*P. recriar o ambiente. Ficaria então: R =((T. não é possível sua total eliminação. Desta forma poderá ser visto qual ativo ou processo tem maior impacto negativo em incidente. Considerar a oscilação dos impactos relacionados ao processo analisado: o que aconteceria com a empresa se a base ficasse comprometida a curto.A X T. custe R$ 100. TA =Total de Ameaças. Os riscos podem ser quantificados. É uma ferramenta simples que pode ser adotada por qualquer empresa. Este cálculo pode ser simples ou complexo dependendo das abordagens e dos ativos envolvidos: É necessário trocar o equipamento. circunstância acidental. dependerá dos índices a serem utilizados. Observar as medidas de segurança já implementadas. Considerar a severidade dos impactos relacionados ao processo analisado. 43 a 83 e 84 a 125 devem ser sinalizadas respectivamente por cores verde. Exemplo: o que seria do Telemarketing se toda a base de dados dos clientes fosse corrompida? Urgência. da perda aos negócios e de credibilidade. Quando é melhor investir em segurança. Acidente: Acontecimento casual. Risco. Qualquer organização é composta por processos tanto de natureza técnica como social. Um exemplo seria a seguinte equação matemática: R =((TA x TV x TI)/M). O objetivo é facilitar a identificação rápida do processo e sua prioridade. Identificar e mapear processos internos torna a empresa mais competitiva. na faixa de valores de 1 a 125. Matriz de GUT (Gravidade. Não importa quanto seja seguro um sistema. onde R =Risco.V X T.000. Impacto.

definir o depositário do bem. Equipe diminuta. Um escopo muito abrangente. Órgão ou função administrativa na empresa que mantém sob sua guarda bem de informação. Análise das respostas dos questionários: verificar coerência. Fase onde é definida claramente para a alta administração. Classificar significa ordenar e dispor em ordem. Respostas a determinadas situações variam de acordo com tempo e condições do momento.Existem diversos erros na análise. Autorizar e cancelar acessos. Identificação das informações importantes dentro do escopo definido: analise com maior profundidade do que foi escolhido e quais informações são importantes para o trabalho. encontrando para a escolha feita. Quando for o caso. Basear-se exclusivamente na tecnologia. razões justificáveis. Quanto mais informatizado o ambiente. A área de informática mantém a custódia dos bens de informações da empresa. Cuidado com dados errados e questionários não verificados. É o órgão gerador do ativo de informação. BIA: fases do projeto 1. aprovação de verbas e resistências internas. Uma atividade estruturada que visa quantificar prejuízos potenciais. causados por interrupção ou desastre dentro de uma empresa. financeiros e operacionais. Existem várias ferramentas que ajudam na gestão dos dados. CUSTODIANTE DA INFORMAÇÃO Proprietário da informação. Estabelecer política de backup. Atribuições e responsabilidades do custodiante. Não conhecimento total do negócio da empresa. Porque classificar a informação? As informações não possuem os mesmos níveis de confidencialidade. diminuição). Conceito de classificação. Falta de tempo. 3. fica mais fácil avaliar a importância dos negócios da empresa. Basear-se exclusivamente nas pessoas. Providenciar proteção física. 9 . Fixar prazos para o retorno dos documentos entregues. proporcionando unidade. Esta fase tem alguns problemas como: tempo para decisão. Com a utilização da técnica. sendo possível identificar a ordem que se deve adotar para restaurar cada processo afetado. Classificar é escolher uma entre várias classificações possíveis. 5. capaz de estimar em que nível de criticidade ela se enquadra. 6. integridade e a disponibilidade do bem de informação. Cada informação deve ter um autor "dono". maior a vulnerabilidade. 4. Não deixar margem para dupla interpretação. Estas pessoas estão sempre ocupadas e provavelmente repassarão o questionário. as pessoas deverão ser re. Definir as necessidades de proteção do bem. Manter a confidencialidade. Executar serviços com os bens custodiados.Business Impact Analisys . Áreas mais críticas merecem maior atenção. Falta de verbas para mitigação (suavização. 6. BIA . Fechamento das respostas e relatório final: Demonstração do levantamento para a direção da empresa. Uma ordem consiste de um número de elementos quaisquer que possuem característica comum pela qual devem ser diferenciados de outros elementos. Custodiante da informação.Análise de Impacto dos Negócios. Adotar os controles definidos. Elaboração de questionário de levantamento de acordo com a área envolvida. Selecionar o público alvo do questionário: Pessoas chaves (gerentes e responsáveis pelos processos). Período de tempo da análise muito longo ou muito pequeno Falta de comprometimento da alta ADM. se incoerente. 2. qual será o foco do trabalho: empresa toda? uma filial? área de TI? Etc.entrevistadas. Definição do escopo do projeto.

Recomendações para classificação _ SECRETA: informação que proporciona um diferencial competitivo e que revela estratégias específicas de negócio. Classificando as informações de acordo com sua sensibilidade e controlando o acesso de acordo com essa classificação. não podendo ser divulgada total ou parcialmente. INTERNA. que regula o arquivamento. _ Valor de substituição: está relacionado à substituição de um bem em particular. _ CONFIDENCIAL: seu conhecimento. Deve-se preocupar com a forma de registro e acompanhamento do trâmite. _ RESTRITA: informação cujo acesso deve estar restrito aos usuários que dela necessitam para cumprir suas tarefas. Mudará de acordo com as leis de oferta e procura (valor de mercado). Com a classificação da informação pode-se identificar uma situação de risco mais facilmente e reagir em menor espaço de tempo e adotar procedimentos e ferramentas de proteção adequadas a cada tipo de informação. PÚBLICA. Porém possui valor limitado para troca ou uso. em qualquer formato a outros usuários não designados. reduzindo os custos e aumentando a segurança. Classificação da informação quanto a sua sensibilidade. Estes modelos irão definir as regras para controlar o acesso aos diversos tipos de informações. Deve ser abrangente para ser eficaz. _ Valor como moeda de troca: aquilo que o usuário está disposto a pagar. critérios e responsáveis pela conservação e eliminação de documentos. A classificação da informação desenvolve-se de acordo com a criticidade de cada informação. Está atrelado a diversos itens como: _ Valor da utilização ou uso da mesma: uso final que se faz da informação. uso e acesso são restritos a um grupo específico da alta administração da empresa e dos usuários por ela designados nominalmente. O valor da informação. _ Valor do segredo da informação: relacionado à informação secreta e de interesse comercial. CONFIDENCIAL. Pode ser maior. Outro parâmetro que ajuda a classificar a informação é a identificação do valor da informação. RESTRITA. Não basta definir onde serão guardadas as informações. a organização poderá definir os modelos e as tecnologias que utilizará para preservar o CINDAL dos dados. Assume a ponta no processo de implementação da estratégia de segurança. porque fornecerá critérios para identificar quais informações tem valor. menor ou igual ao valor de uso. 10 . Norma de classificação da informação. Pode ser valioso para mais de um indivíduo ou grupo. O principal instrumento de controle de documentos do sistema de arquivos é a tabela de classificação. Considerar todos os tipos de informação e todas as etapas de seu ciclo de vida seja ela apresentada em suporte físico ou eletrônico. pois algumas informações têm alto valor para quem as possui. Uma opção é usar as descrições: SECRETA. Sua revelação externa causaria danos à empresa. estabelecendo prazos. Com a classificação desenvolvida é implementado o melhor modelo para controle de acesso de acordo com as características da organização. Como classificar? Deverão ser classificadas de acordo com a necessidade da empresa.Política de classificação da informação.

Fumaça. Segurança no cabeamento _ A separação entre cabos de dados e cabos de energia elétrica é medida para prevenção de interferências. Umidade/vapor. Exposição ao fogo Ambientes vizinhos podem colocar em risco o seu ambiente. Em caso de perda. terrenos abaixo do nível de rios. incluindo clientes e fornecedores. Poeira. _ Os equipamentos: estão muito próximos aos usuários. discos). Uma varredura inicial deverá ser feita para identificar dispositivos não autorizados conectados aos cabos. Verificar: _ Se os materiais dos prédios vizinhos são resistentes ao fogo. _ Crítica: cruciais para os objetivos da empresa. Itens que podem fazer com que a empresa tenha prejuízos de impactos elevados. Fogo. Vandalismo. O cabeamento de rede deve ser protegido contra intercepção não autorizada e danos. a organização pode vir a ter suas metas seriamente comprometidas. Segurança física – CINDAL _ É tratada com indiferença. A identificação do cabeamento é importante para manutenções e expansões._ INTERNA: informação de uso restrito a assuntos pessoais. Componentes (cabos. Sua destruição pode ocasionar encerramento das atividades da organização. Aceso indevido. antenas. _ PÚBLICA: informação que pode estar disponível para usuários externos ao ambiente da empresa. Gases corrosivos. tanques de combustíveis. sem que exista restrição em assuntos pessoais. Radiação. Magnetismo. Sua perda pode causar transtornos para funções de negócios dentro da organização. Corresponde aos recursos materiais dos ambientes e plataformas operacionais: Hardware. facilmente danificados por eles. Evitar instalações próximas à: depósitos de tintas. no-break). A proteção física dos cabos pode ser feita com conduítes e canaletas. 7. Outra forma para classificar as Informações _ Vital: essenciais para a sobrevivência da empresa. Insumos (formulários. Impacto de escombros. técnicos ou organizacionais que tornam seu uso possível somente dentro da empresa. Os riscos ao ambiente _ Explosão. _ Valiosa: valiosas para segmento ou indivíduo dentro da empresa. _ Rightsizing: adequar as plataformas de processamento de dados às necessidades da empresa. Roubo. tendo que enfrentar prejuízos financeiros ou de imagem. _ O estoque e volume de papéis nas vizinhanças de sua empresa. Localização física _ Fundamental para segurança ambiental e evitar incidentes. SEGURANÇA FÍSICA: LOCALIZAÇÃO FÍSICA E RECOMENDAÇÕES Evolução do parque de informática _ Downsizing: troca dos dispendiosos mainframes por outras de menor porte. técnicos ou organizacionais e cuja divulgação indevida não acarrete impacto a empresa. 11 .

Plano de contingência _ Não basta ter uma atitude reativa. Poderemos utilizar os seguintes componentes para identificar possíveis problemas: _ Sistemas de detecção especialista._ _ _ _ _ _ _ Uso de cortinas. _ Pessoas com vivência na área. evitando que o incêndio aconteça. é eficaz e não tóxico as pessoas. que dimensionado corretamente pelo volume da sala. Foi largamente usado e ainda está presente em boa parte das instalações. _ Detectores ópticos. Deve ser utilizado em instalações onde não existam pessoas. caso contrário. Mecanismos de combate ao fogo em ambiente de TI _ Atualmente a extinção automatizada de fogo é feita com a utilização do gás FM200. Localização dos acessos e saídas de emergência. porém. a sala deverá permitir tempo de escape do local ou possuir portas de liberação manual. Dispositivos de detecção. Por isso. provoca mudança brusca na temperatura do ambiente. _ Detectores por ionização que reagem às partículas carregadas na fumaça. _ Redundância de equipamento. _ Sensores de temperatura. em função das exigências de níveis de temperatura e umidade inerentes dos equipamentos. Água _ Aberturas na laje. Devem ser observados: _ Exclusividade do sistema. ao contrário do gás carbônico que é letal. Além disso. _ Ser automático quanto aos controles e ajustes. Porta corta fogo. Dispositivo de desligamento de energia em caso de incêndio. já que o mesmo remove o oxigênio do local. É incolor. _ Dimensionamento adequado do equipamento. É importante observar: _ Condições do subsolo. Treinamento do pessoal e testes periódicos dos equipamentos. podem ser caminho para inundação do andar abaixo. o CO2. O gás FM200 diminui a concentração de oxigênio do ambiente de forma a apagar o fogo e não prejudicar a humanos. podendo ser prejudicial aos equipamentos. Eletricidade 12 . Climatização _ Os CPDs são dependentes das instalações de climatização. muito letal. Devemos prevenir. quando liberado. _ Gás carbônico. Um sistema de condicionamento de ar mantém um ambiente isento de impurezas e deixa o clima em condições ideais e estáveis. carpetes e móveis. cabe ao profissional detectar possíveis situações que causariam incidentes. _ Proteção contra umidade. _ Localização do prédio referente a risco de enchente. do telhado e laje e dos materiais utilizados nas tubulações. _ Controle e registro de temperatura ambiente e umidade relativa do ar. que são combustíveis. Iluminação de emergência. _ Localização adequada das tubulações.

13 . observar qualidade das instalações. devido aos picos de demanda. terminais e impressoras não devem ser deixados ligados quando não estiverem em uso. _ Desabilitação de serviços desnecessários. _ Projeto de descontinuidade das estações de trabalho. Porém. a empresa poderá estar sem capacidade de processamento por um prolongado período de tempo. _ Atualmente os telefones celulares possuem câmera e documentos confidenciais podem ser fotografados. Acesso a internet. _ Hot Site: Equipamentos e dados permanecem no local à disposição. _ Instalação de antivírus. Outra desvantagem é o custo para montar e manter um site de contingência espelho do original. Parar manter a disponibilidade operacional do ambiente de TI. Fax. Segurança das estações de trabalho _ Formatação da estação de trabalho com a utilização de softwares originais. para ser utilizado quando a contingência acontecer. qualidade do fornecimento das prestadoras de serviço._ O que faz com que um computador fique ligado é a energia elétrica. cabos. Suas principais vantagens são a possibilidade de ser testado periodicamente e a velocidade de retomada de funcionamento em desastre. Outros problemas de segurança física _ Os postos de trabalho são mais acessíveis fisicamente. Preparado para manter o site backup em funcionamento por um longo tempo. _ Computadores. _ Documentos impressos não recolhidos pelos funcionários. Em uma situação emergencial. estabilizadores e outros. Recomenda-se que toda a alimentação seja fornecida por sistema no-break. Porém. transformadores. Tipos de sites alternativos _ Cold Site: Local contendo os suprimentos necessários para instalação de um sistema de computador. não permite que o local seja utilizado para testes periódicos de recuperações estratégicas. _ Papéis e mídias de computador serem deixados em locais não seguros. _ Aplicação de path’s de segurança. Uma desvantagem é que empresas com uma grade parque de equipamentos de processamento instalados podem ter problemas de compatibilidade com os serviços de recuperação oferecidos. Mesas. _ A energia elétrica fornecida deve ser estabilizada e ininterrupta. que além de fornecer energia limpa. _ Desabilite a conta CONVIDADO. Dentre os equipamentos que estão no warm site podemos citar: Cadeiras. _ Cuidado na exposição da senha do administrador local da estação de trabalho. _ Instalação dos softwares específicos para cada estação de trabalho. atua como fonte alternativa. Telefones. sendo somente necessário levar os colaboradores para o local físico do hot site. Além disso. não contém as cópias de backup das informações e está sujeitado ao tempo de restore da base de dados. _ Warm Site: Equipamentos similares ao site original de trabalho. Deve ser modular para permitir expansões futuras. pode-se obter do prestador de serviços a instalação de computadores de backup nesse ambiente. exclusividade das instalações elétricas. Deve ser dimensionado para suportar 50% a mais da máxima carga a ser utilizada. _ Copiadoras com uso não autorizado fora do horário normal de trabalho.

As imagens devem ser armazenadas. Procedimentos de usuários deverão ser formalmente descritos. Além de evitarem a possibilidade de acesso local. Controle sobre a posse das chaves do local. O objetivo é aumentar a segurança de acesso às áreas delimitadas. permitindo ainda._ Material confidencial sobre a mesa. terminais e impressoras não devem ser deixados ligados quando não em uso. _ Papéis deixados na impressora da rede. _ Proibição do remanejamento de equipamentos sem autorização. alimento e bebidas próximo aos equipamentos. 14 . considerando: _ Obrigatoriedade de desligar e cobrir os equipamentos ao final do expediente. Devem ter número de série único. _ Documentos jogados no lixo sem trituração. o acionamento de alarmes remoto. Os usuários devem ser encorajados a manter os seus trabalhos nos servidores. Mecanismos de proteção _ Identificação para acesso como crachás ou cartões magnéticos. Monitoração do ambiente _ É recomendável circuito fechado de TV. Cresce o uso de câmera IP. _ Cuidados a serem adotados no uso de equipamentos. 8. Recomendações de segurança para as instalações dos equipamentos. _ Periódica orientação a cada usuário sobre deveres e responsabilidades. de forma a identificar. _ Comunicação acessível para estabelecer comunicação com o responsável pela autorização. _ Hall de entrada com portas de acesso controladas por sistemas automáticos. _ Documentos jogados no lixo sem trituração. Política de mesa e tela limpa _ Computadores. Processo para dar permissão ou estabelecer limites nos direitos de acesso à áreas ou objetos. a cada acesso. ou seja. Dificultar falsificações. Devem conter indicação visual dos privilégios de acesso. disquetes e relatórios. _ Senhas anotadas em papéis. Os postos de trabalho são geralmente mais acessíveis fisicamente. O tempo de retenção é variável. Controle da entrada de objetos estranhos e local. Outros problemas de segurança física _ Uso de telefone celular com câmera para fotografar documentos. _ Papéis não triturados. _ Material confidencial sobre a mesa. tornando possível o monitoramento remoto. Dependendo do impacto e do risco: _ Instalação de uma central de segurança. podendo ser configurado para soar alarme em caso de invasão. Utilização de sensores internos e externos contra intrusões. possuindo ligação a uma central de segurança. beneficiam-se de backups periódicos. Identificar funcionário/visitante com verificação de dia/hora. Controle de acesso físico. GARANTIA DE REDUNDÂNCIA NOS AMBIENTES CORPORATIVOS Recomendações de segurança para as instalações dos equipamentos Deverá ser proibido o uso de fumo. _ Portas com dispositivo de acionamento elétrico para liberação de abertura. _ Bloqueio de múltiplos acessos. permitir que somente uma pessoa entre. para vigilância constante no interior da sala e no perímetro externo.

_ Um seguro minimiza prejuízo financeiro com perda de equipamento. arquivos anexados. localização física. Inventário dos ativos da informação _ O inventário de hardware deve compreender todos os componentes e periféricos. no-breaks. tipo do ativo. responsável e criticidade e outras informações necessárias. Sistema de tolerância à falhas _ Sistema de proteção para dar alto grau de confiabilidade na proteção das informações armazenadas em servidores de rede.218/91 aplica multa de 5% sobre o valor das operações comerciais fiscais/contábeis aos contribuintes que omitirem ou prestarem incorretamente informações solicitadas em arquivos magnéticos formatados e guardados à disposição da Receita Federal. Os seguros geralmente não cobrem equipamentos que são furtados por de descuido. a fonte redundante estará fornecendo a energia necessária para o ponto de distribuição do sistema. Servidores e equipamentos de rede Com relação a servidores e equipamentos de rede. devem ter capacidade ociosa. senhas e agendas de compromisso. Papéis e mídias de computador devem ser guardados de forma adequada. mas fique atento às cláusulas contratuais. A tolerância a falhas geralmente é feita pela duplicação dos recursos. marca e modelo. data da aquisição. os equipamentos de comunicação. Alguns que possuem mecanismo de alarme em tentativa de corte do cabo ou violação do cadeado. desaparecimento inexplicável e extravio. Instalar equipamentos para rastrear e bloquear acesso à rede quando o dono comunicar perda ou roubo. número de série. Isso aumenta o custo da solução. as mídias magnéticas e outros. fax ou fotocópias) devem ser recolhidos logo após sua geração ou emissão. Os equipamentos móveis. sem derrubar a rede. condicionadores de ar e refrigeração. É conhecido por Tolerance Faults. Os equipamentos de apoio. proprietário. Observar se as fontes redundantes possuem o recurso hot-swap (troca a quente) . Infra-estrutura e redundâncias _ Sites seguros não saem do ar. _ Ferramentas automatizadas como SMS (Microsoft) e outros softwares de inventários de hardware e software podem ser utilizados. a redundância de alguns componentes é vital para evitar possíveis falhas durante a utilização.possibilitam que as mesmas sejam trocadas com a máquina ligada. _ Multas por perda de arquivos. _ Fontes redundantes. Artigo de lei 8. 15 . geradores. nomes de contatos.Os documentos impressos (impressões. _ Deverá conter informações sobre fornecedor. correio eletrônico. principalmente as que citam a não cobertura do seguro para: furto simples. Notebook. não podendo ser mantidos nos aparelhos ou proximidades. _ Outros componentes que deverão ser observados quanto à necessidade ou não de duplicação. pen drive e outros. _ Podem conter: Informações de acesso remoto. _ Utilize cable locks ou cadeados presos por cabos de aço. O valor do equipamento é irrisório se comparado às informações armazenadas. Não se resume a no-breaks. No caso de falha. Copiadoras devem ser protegidas contra o uso não autorizado fora do horário normal de trabalho.

nos departamentos governamentais dos Estados Unidos. _ Manuais: supervisão apenas humana: validação de crachás por porteiros. Como funciona O usuário registra-se através de um meio físico. Existem em média 30 a 40 minúcias em uma imagem de impressão digital.impressão digital Um dos mais antigos e simples. Estes índices podem ser ajustados. íris. etc. smart card. _ FRR (taxa de falsa rejeição): mede o desempenho da recusa por meio da taxa. _ Automáticos: independem de ações humanas: acesso por meio de senhas.9. aplicação de medidas matemáticas à biologia. CONTROLES BIOMÉTRICOS Tipo de sistemas de controle de acesso/exemplo. Vem do grego. identificar ou validar uma pessoa por outra. AFIS -Automated Fingerprint Identification System. Características-chave são armazenadas traduzidas a um formato de planilha biométrica. Início por volta de 1970. Analisam marcas na imagem do dedo – terminações/bifurcações dos sulcos (minúcias). Aplicação civil: registro e 16 . Baseado na comparação de minúcias. algumas aplicações incluem: Local onde você está. mas também na permanência. _ automática direta e intransferível: por parte do corpo ou característica física. etc. DNA. Sistema AFIS. Para acesso é preciso que apresentar a característica biométrica correspondente ao padrão registrado. Identificação. Taxa de credibilidade e desempenho Índices FA (Falsa Aceitação). código. etc. Credenciais de segurança da autenticação _ Algo que você possui: CPF. _ Semi-automáticos: dependem de interação humana: porteiro eletrônico. Falsa recusa causa frustração e falsa aceitação fraude. Identificação de latentes (fragmentos) de impressões. com características geométricas da mão. _ Algo que você é ou tem: Exemplos: impressão digital. Ciência que usa tecnologia digital para identificar indivíduos. FR (Falsa Recusa) e taxas FAR (False Acceptance Rate) e de FRR (False Rejection Rate). Definição de biometria Utilização de característica física ou comportamental do ser humano para verificar sua identidade. _ FAR (taxa de falsa aceitação): mede desempenho (quanto maior. baseado em métricas físicas e biológicas. _ Identificação automática: dividida em 2 subsistemas: _ automática indireta e transferível: por meio de objeto de sua posse ou de uma chave. Biometria . _ Algo que você sabe: senha. Bio (vida) e Métron (medida). Em 1976 por exemplo. permitindo a coleta de um elemento mensurável. A preocupação não deve ser apenas na entrada. _ Atualmente. Usado principalmente em aplicações criminais. Existem várias formas de identificação: _ Identificação tradicional: feita através de documentos e fotos. motivado pela Guerra do Vietnã. _ FR: possibilidade de que pessoa válida não seja reconhecida pelo sistema. _ FA: possibilidade de por erro. pior).

porém randômico. Utiliza luz de baixa intensidade e incômoda na captura de dados. São chamados de sistemas 1-1 (um-para-um). prejudicam esta autenticação. Medidas básicas: distância entre olhos. Após ter o dado biométrico se faz busca no banco de dados. _ Formato. A pessoa é quem diz ser? O reconhecimento por biometria pode ser adotado de duas formas. tempo em que se mantém pressionada cada tecla. A primeira e mais simples é a verificação de identidade. transparente ao usuário. com certa margem de erro.olho _ Íris (círculo colorido que envolve a pupila). Você conhece essa pessoa? Realiza a procura pela identificação da pessoa. Considerado um sistema preciso. Sistemas 1-N e N-N. algoritmo com sistema analógico parecido com o cérebro humano. _ Intensidade da pressão. Envolve inteligência artificial. Aplicados para identificação de criminosos ou localização de desaparecidos.assinatura Não analisam as formas das letras. entre boca. Trata-se de sistemas tridimensionais que utilizam um scanner especialmente desenhado para capturar a imagem desses três elementos biométricos: _ Imagem tridimensional. _ Aceleração. nariz e olhos. Adotado de forma natural. inviabilizando a tentativa de uso de gravadores. Biometria . e não a assinatura. Biometria – dinâmica da digitação São avaliadas as seguintes características: _ Velocidade de digitação. O usuário se apresenta como sendo determinada pessoa e o sistema confere. A imagem térmica é mais sofisticada. comparando-o até que se encontre o registro procurado. dedo e palma Baseado nas características da mão de uma pessoa. _ Número de vezes que a caneta levanta. _ Espaço de tempo entre o acionamento de cada tecla. Transforma sons em sinais analógicos e depois em sinais digitais. Poderá solicitar ao usuário que fale em voz alta. Biometria – timbre vocal Um dos sistemas mais utilizados nos anos 80. Sistemas desse tipo são 1-n (um-para-muitos): uma pessoa é comparada a várias. Câmera obtém a imagem sem incômodo ao usuário. É difícil de ser imitado por usuário ilegítimo. _ Pressão da caneta.face O rosto humano contém grande quantidade de características únicas. Biometria – geometria da mão.identificação. Na captura é ideal de 3 a 4 assinaturas para comparação e aprovação. na captura ou verificação. Sistemas 1-1. Biometria . A maioria usa texto fixo. Analisam características comportamentais: _ Observa-se o modo de assinar. Biometria . Identificação X verificação. onde diversos dados biométricos são comparados com um banco de dados contendo 17 . Existe variação N-N (muitos-paramuitos). Pode ser afetado por enfermidades que mudam a tonalidade vocal. que poderiam ser copiadas e falsificadas. manuseando geometria e proporções da face. _ Retina: camada de vasos sanguíneos no fundo do olho. Ruídos externos. sendo necessária a utilização de câmeras mais especificas. _ Ângulo da caneta. pois é simplesmente checado o que foi registrado no banco de dados. Pode ser afetado por óculos. uma seqüência aleatória de números ou uma frase. _ Largura.

para um serviço. a cada ativo 3 vulnerabilidades. constrangimento. _ Imagem térmica do rosto ou punho. _ Precisão: representa o grau de exatidão conseguido com a análise biométrica. Exercício 1. Exercício 4. custos. Impacto. _ Formato da orelha. Diz quem você é. Garante privacidade em caso de roubo de senhas. Para a escolha do sistema biométrico. Indicar qualquer ajuda extra dos outros departamentos. Pense em sua casa e faça uma análise de risco preenchendo com pelo menos 3 elementos dos citados: Ativo. verificar 4 principais características: _ Custo: valor do software e do hardware envolvidos na solução. riscos. Exemplo: servidor de e-mail. Escolher 3 processos. Smart card. Criar com no mínimo 15 linhas. umidade. presença humana na manipulação dos equipamentos biométricos. _ Intrusão: a tecnologia biométrica é imperceptível. Vulnerabilidade. Exercício 2. B) Os anexos maiores que 5 MB serão automaticamente retirados das mensagens. a cada vulnerabilidade 1 ameaça que explora a vulnerabilidade e o método de controle mitigador. _ Cooperação: quanto tempo e colaboração são exigidos do usuário. 18 . pois ele contém dados públicos. Ameaça. O token é sincronizado a um servidor de autenticação. _ Estudos de padrões das veias. Para visualizar o certificado digital não é necessário o PIN. quanto menos invasiva for. sujeira nos equipamentos. C) Caso autorizado pelo chefe de departamento o envio de anexo maior que 5 MB. Para autenticar é necessário inserir o PIN que é utilizado para liberação de acesso ao sistema. Aspecto básico afetado. ele deve informar sua senha e um nº que é gerado a cada X segundos. Mapeamento de processos e análise de riscos. Criar uma descrição que represente a política no nível estratégico.diversos outros dados. Idem no nível tático e no nível operacional. para um serviço. Exercício 5. Aplicar o método GUT. Cartão contendo um chip para geração e armazenamento de certificados digitais. Biometria pode apresentar problemas: pressão. Para autenticar o usuário. Sistemas de identificação biométricos baseados em: _ Análise do DNA. sugestão de como divulgar a política de segurança da empresa. Medidas de segurança a serem adotadas. Exercício 3. _ Salinidade do corpo humano. Para cada processo 3 ativos. _ Odor. Exemplo: identificação de pessoas em jogos de futebol. Controles existentes. _ Token. O PIN permite visualizar as informações privadas contidas no smart card. necessidade de cadastro. contatar o setor responsável pela liberação do envio munido dos documentos necessários. Tecnologias futuras. responsável por validar o código e administrar as políticas de acesso. tempo de reconhecimento. A) Os colaboradores não deverão enviar anexos maiores que 5 MB. equipamento mal regulado. Relacionar 10 assuntos a serem tratados em normas de uma política de segurança.

19 .