Atps sasi 2012 - etapa 1

Disponível somente no TrabalhosFeitos
  • Páginas : 7 (1585 palavras )
  • Download(s) : 0
  • Publicado : 31 de março de 2013
Ler documento completo
Amostra do texto
ANHANGUERA EDUCACIONAL
Faculdade Anhanguera de Campinas Unidade IV
Curso de Sistemas de Informação

Nome Sobrenome RA

ATPS – Segurança e Auditoria em Sistemas de Informação
Etapa 1 – Segurança em Sistemas de Informação e Redes de Computadores

Campinas
2012

1.1 Introdução à Segurança em Sistemas de Informação e Redes de Computador

* Redução de riscos obtidos atravésde uma metodologia de risco formal (por exemplo: minimização ou eliminação de vulnerabilidades explícitas e que colocam informações vitais da empresa sob perigo facilmente identificável e constante).
* Prevenção de acessos não autorizados, danos ou interferência no
andamento dos negócios, mesmo nos casos de falhas ou de desastres.
* Maior segurança nos processos do negócio.

1.2Exemplos de Problemas de Segurança em Sistemas de Informação:

Desenvolvimento de ferramentas de defesa
Desde a década de 80, quando surgiram os primeiros vírus de computador, a indústria vive em uma briga de gato e rato com criminosos virtuais. Todas as ferramentas de segurança são desenvolvidas com base em ataques já realizados. Dessa forma, uma ameaça é neutralizada e dias depois outraaparece. E então a empresa demora um pouco para criar um antídoto.
É claro que muitas ferramentas são de ótima qualidade, mas é preciso entender que cada empresa tem uma necessidade e que os gestores de TI devem conhecê-la para criar políticas ativas de segurança. Na prática, isso significa que o gestor deve ter conhecimento suficiente para implementar regras de bloquear tudo e permitir apenaso acesso a sites 100% seguros.
Como definir isso? Por meio da análise do histórico das páginas web, da análise semântica de conteúdo, entre outros quesitos.  Obviamente essa alternativa demanda esforço por parte da equipe de TI, bem como tempo disponível para realizá-la. Mas, infelizmente, não há outra solução; enquanto as empresas continuarem correndo atrás dos ataques, sempre estarão remediando asituação e sofrendo com seus efeitos.

Testes de vulnerabilidade
Os testes de penetração são parte vital do arsenal de segurança corporativa, mas não podem ser os únicos mecanismos utilizados para determinar se aplicações e sistemas estão realmente blindados para ataques maliciosos.
Esse modelo de teste não é 100% confiável porque leva em conta vírus e spywares criados justamente com a finalidade deavaliar ambientes específicos. As “falsas ameaças” não levam em conta critérios externos.
Qualquer sistema eficiente de testes deve analisar desde as ferramentas que protegem os sistemas, até os códigos de programação do ambiente, bem como a arquitetura em que foi projetado, o design e tudo o mais que possa apresentar uma brecha de segurança.
Existem soluções desenvolvidas para realizar testesmais completos, mas o ideal é que as empresas tenham pessoas contratadas para invadir suas redes. Mesmo com todos os aparatos de segurança, a mente humana sempre pode encontrar uma maneira de burlá-los.

1.3 Falhas em Sistemas de Informação:

SQL – Injection : A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita defalhas em sistemas que interagem combases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.

Quebra de Código JavaScript : Quando um usuário visita uma página assim, o código é capaz de sondar automaticamente a rede local à qual a máquina do usuárioestá conectada. Uma vez tendo identificado os computadores e outros equipamentos na rede, o mesmo método pode ser usado para enviar comandos para travá-los ou controlá-los.

Cross Site Scripting : é um tipo de vulnerabilidade do sistema de segurança de computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script(Código Javascript) dentro...
tracking img