Disciplina:   TI - Introdução a Tecnologia da Informação
Professor:   Jose Maria Silveira   (
ti_12ex_segurança.html )


Exercícios – Plano de segurança.


Em equipe: 

  1. Examinar o esboço de plano de segurança da informação para os funcionários abaixo descrito;
  2. Debater na equipe sobre a parte indicada (professor indicara para cada equipe);
  3. Apresentar a conclusão à classe, com ênfase para:
Cartilha de Seguranca para Internet - Checklist      
NIC BR Security Office -   http://www.nbso.nic.br/docs/cartilha/

1
Prevencao Contra os Riscos Envolvidos no Uso da Internet

1.1 Senhas
-elaborar sempre uma senha que contenha pelo menos oito caracteres, compostos de letras números e símbolos;
-jamais utilizar como senha seu nome, sobrenome, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com voce ou palavras constantes em ˆ dicionários;
-utilizar uma senha diferente para cada servico;
-alterar a senha com freqüencia.
1.2 Vírus e cavalos de tróia
-instalar e manter atualizado um bom programa antivírus;
-desabilitar no seu programa de e-mail a auto-execucao de arquivos anexados às mensagens; ¸˜
-nao executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas, ˜ mas caso seja inevitável, certifique-se que o arquivo foi verificado pelo programa antivírus;
-nao abrir arquivos ou executar programas de procedencia duvidosa ou desconhecida e mes-
mo que voce conheca a procedencia e queira abrí-los ou executá-los, certifique-se que foram
verificados pelo programa antivírus;
-procurar utilizar, no caso de arquivos de dados, formatos menos suscetíveis à propagacao de ¸˜ vírus, tais como RTF, PDF ou PS;
-procurar nao utilizar, no caso de arquivos comprimidos, o formato executável. Utilize o próprio ˜ formato compactado, como por exemplo ZIP ou GZ;
-procurar instalar um firewall pessoal, que em alguns casos pode bloquear o recebimento de um cavalo de tróia.
1.3 Vulnerabilidades
-manter o sistema operacional e demais softwares sempre atualizados;
-visitar regularmente os sites dos fabricantes de software para verificar a existencia de vulnera ˆ bilidades nos softwares utilizados;
-aplicar todas as correcoes de seguranca (patches) disponibilizadas pelo fabricante.
1.4 Worms
-instalar e manter atualizado um bom programa antivírus;
-manter o sistema operacional e demais softwares sempre atualizados;
-corrigir eventuais vulnerabilidades existentes nos softwares utilizados;
-procurar instalar um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada ou que o worm se propague.
1.5 Backdoors
-seguir as recomendacoes para prevencao contra infeccoes por vírus;
-nao executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas; ˜
-nao executar programas de procedencia duvidosa ou desconhecida;
-procurar instalar um firewall pessoal, que em alguns casos pode evitar o acesso a um backdoor já instalado em seu computador;
-corrigir eventuais vulnerabilidades existentes nos softwares utilizados.
1.6 Firewall
-instalar um firewall pessoal em todos os computadores que tiverem acesso à Internet;
-verificar os registros de eventos (logs) para identificar possíveis ataques.
1.7 E-mail
-manter sempre a versao mais atualizada do seu programa de e-mail;
-desligar as opcoes que permitem abrir ou executar automaticamente arquivos ou programas ¸˜ anexados às mensagens;
-desligar as opcoes de execucao do JavaScript, de programas Java e, se possível, o modo de
visualizacao de e-mails no formato HTML.
-evitar abrir arquivos ou executar programas anexados aos e-mails, sem antes verificá-los com um antivírus;
-desconfiar de e-mails pedindo urgencia na instalacao de algum aplicativo ou correcoes de de-
terminados defeitos dos softwares que voce utilize.
1.8 Browser
-manter o seu browser sempre atualizado;
-desativar a execucao de programas Java na configuracao de seu browser, a menos que seja
estritamente necessário;
-desativar a execucao de Javascripts antes de entrar em uma página desconhecida e, entao, ativá-
la ao sair;
-permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiáveis.
-manter maior controle sobre o uso de cookies, caso voce queira ter maior privacidade ao navegar ˆ na Internet;
-certificar-se da procedencia do site e da utilizacao de conexoes seguras ao realizar transacoes
via Web.
1.9 Programas de Troca de Mensagens
-manter seu programa de troca de mensagens sempre atualizado;
-nao aceitar arquivos de pessoas desconhecidas, principalmente programas de computadores; ˜
-evitar fornecer muita informacao, principalmente a pessoas que voce acabou de conhecer;
-nao fornecer, em hipótese alguma, informacoes sensíveis, tais como senhas ou números de
cartoes de crédito;
-configurar o programa para ocultar o seu endereco IP.
1.10 Programas de Distribuicao de Arquivos
-manter seu programa de distribuicao de arquivos sempre atualizado e bem configurado; ¸˜
-ter um bom antivírus instalado em seu computador, mante-lo atualizado e utilizá-lo para verifi ˆ car qualquer arquivo obtido, pois eles podem conter vírus ou cavalos de tróia;
-certificar-se que os arquivos obtidos ou distribuídos sao livres, ou seja, nao violam as leis de
direitos autorais.
1.11 Compartilhamento de Recursos
-ter um bom antivírus instalado em seu computador, mante-lo atualizado e utilizá-lo para veri ˆ ficar qualquer arquivo ou programa compartilhado, pois eles podem conter vírus ou cavalos de tróia;
-estabelecer senhas para os compartilhamentos, caso seja estritamente necessário compartilhar recursos do seu computador.
1.12 Cópias de Seguranca
-procurar fazer cópias regulares dos dados do computador;
-criptografar dados sensíveis;
-armazenar as cópias em local acondicionado, de acesso restrito e com seguranca física; ¸
-considerar a necessidade de armazenar as cópias em um local diferente daquele onde está o computador.
2. privacidade
2.1 Privacidade dos e-mails
-utilizar criptografia sempre que precisar enviar um e-mail com informacoes sensíveis; ¸˜
-certificar-se que seu programa de e-mail grava as mensagens criptografadas, para garantir a seguranca das mensagens armazenadas no disco.
2.2 Cookies
-desabilitar cookies, exceto para sites confiáveis e onde sejam realmente necessários;
considerar o uso de softwares que permitem controlar o envio e recebimento de informacoes ¸˜ entre o browser e o site visitado.
2.3 Privacidade na Disponibilizacao de Páginas Web
-evitar colocar seus dados pessoais (e-mail, telefone, endereco, etc) em páginas Web ou blogs; ¸
-evitar colocar dados sobre o seu computador ou sobre os softwares que utiliza em páginas Web ou blogs;
-evitar fornecer informacoes sobre o seu cotidiano (como, por exemplo, hora que saiu e voltou ¸˜ para casa, data de uma viagem programada, horário que foi ao caixa eletronico, etc) em páginas ˆ Web ou blogs.
2.4 Cuidados com seus Dados Pessoais
-procurar nao fornecer seus dados pessoais (como nome, e-mail, endereco e números de docu-
mentos) para terceiros;
-nunca fornecer informacoes sensíveis (como senhas e números de cartao de crédito), a me-
nos que esteja sendo realizada uma transacao (comercial ou financeira) e se tenha certeza da ¸˜ idoneidade da instituicao que mantém o site.
2.5 Cuidados com os Dados Armazenados em um Disco Rígido
-criptografar todos os dados sensíveis, principalmente se for um notebook;
-sobrescrever os dados do disco rígido antes de vender ou se desfazer do seu computador usado.
3 Fraude
3.1 Engenharia social
-nao fornecer dados pessoais, números de cartoes e senhas através de contato telefonico;
-ficar atento a e-mails ou telefonemas solicitando informacoes pessoais;
-nao acessar sites ou seguir links recebidos por e-mail ou presentes em páginas sobre as quais ˜ nao se saiba a procedencia;
-sempre que houver dúvida sobre a real identidade do autor de uma mensagem ou ligacao te¸˜ lefonica, entrar em contato com a instituicao, provedor ou empresa para verificar a veracidade
dos fatos.
3.2 Cuidados ao realizar transacoes bancárias ou comerciais
-seguir todas as recomendacoes sobre utilizacao do browser de maneira segura;
-estar atento e prevenir-se dos ataques de engenharia social;
-realizar transacoes somente em sites de instituicoes que voce considere confiáveis;
-certificar-se de que o endereco apresentado em seu browser corresponde ao site que voce real-
mente quer acessar, antes de realizar qualquer acao;
-antes de aceitar um novo certificado, verificar junto à instituicao que mantém o site sobre sua ¸˜ emissao e quais sao os dados nele contidos;
-procurar sempre digitar em seu browser o endereco desejado. Nao utilize links em páginas de
terceiros ou recebidos por e-mail;
-certificar-se que o site faz uso de conexao segura, ou seja, que os dados transmitidos entre seu ˜ browser e o site serao criptografados e utiliza um tamanho de chave considerado seguro; ˜
-verificar o certificado do site, para assegurar-se que ele foi emitido para a instituicao que se ¸˜ deseja acessar e está dentro do prazo de validade;
-nao acessar sites de comércio eletronico ou Internet Banking através de computadores de ter-
ceiros;
-desligar sua webcam (caso vece possua alguma), ao acessar um site de comércio eletronico ou
Internet banking.
3.3 Boatos
-verificar sempre a procedencia da mensagem e se o fato sendo descrito é verídico;
-verificar em sites especializados e em publicacoes da área se o e-mail recebido já nao está
catalogado como um boato.
4 Banda Larga e Redes Sem Fio
4.1 Protecao de um computador utilizando banda larga
-instalar um firewall pessoal e ficar atento aos registros de eventos (logs) gerados por este programa;
-instalar um bom antivírus e atualizá-lo freqüentemente;
-manter o seu software (sistema operacional, programas que utiliza, etc) sempre atualizado e com as últimas correcoes aplicadas; ¸˜
-desligar o compartilhamento de disco, impressora, etc;
-mudar a senha padrao do seu equipamento de banda larga (modem ADSL, por exemplo) pois ˜ as senhas destes equipamentos podem ser facilmente encontradas na Internet com uma simples busca. Esse fato é de conhecimento dos atacantes e bastante abusado.
4.2 Protecao de uma rede utilizando banda larga
-instalar um firewall separando a rede interna da Internet;
-caso seja instalado algum tipo de proxy (como AnalogX, wingate, WinProxy, etc) configurá-lo para que apenas aceite requisicoes partindo da rede interna; ¸˜
-caso seja necessário compartilhar recursos como disco ou impressora entre máquinas da rede interna, devem-se tomar os devidos cuidados para que o firewall nao permita que este compar ˜ tilhamento seja visível pela Internet.
4.3 Cuidados com um cliente de rede sem fio (wireless)
-possuir um firewall pessoal;
-possuir um antivírus instalado e atualizado;
-aplicar as últimas correcoes em seus softwares (sistema operacional, programas que utiliza, ¸˜ etc);
-desligar compartilhamento de disco, impressora, etc;
-desabilitar o modo ad-hoc. Utilize esse modo apenas se for absolutamente necessário e desli- gue-o assim que nao precisar mais; ˜
-usar WEP (Wired Equivalent Privacy) sempre que possível;
-considerar o uso de criptografia nas aplicacoes, como por exemplo o uso de PGP para o envio ¸˜ de e-mails, SSH para conexoes remotas ou ainda o uso de VPNs; ˜
-habilitar a rede wireless somente quando for usá-la e desabilitá-la após o uso.
4.4 Cuidados com uma rede sem fio doméstica
-mudar configuracoes padrao que acompanham o seu AP;
-usar sempre que possível WEP (Wired Equivalent Privacy);
-trocar as chaves WEP que acompanham a configuracao padrao do equipamento. Procure usar o
maior tamanho de chave possível (128 bits);
-desligar seu AP quando nao estiver usando sua rede.
5 SPAM
-considerar a utilizacao de um software de filtragem de e-mails;
-verificar com seu provedor ou com o administrador da rede se é utilizado algum software de filtragem no servidor de e-mails;
-evitar responder a um SPAM ou enviar um e-mail solicitando a remocao da lista.
6 Incidentes de Seguranca e Uso Abusivo da Rede
6.1 Registros de eventos (logs)
-verificar sempre os logs do firewall pessoal e de IDSs que estejam instalados no computador;
-verificar se nao é um falso positivo, antes de notificar um incidente.
6.2 Notificacoes de incidentes
-incluir logs completos (com data, horário, timezone, endereco IP de origem, portas envolvidas, ¸ protocolo utilizado, etc) e qualquer outra informacao que tenha feito parte da identificacao do
incidente;
-enviar a notificacao para os contatos da rede e para os grupos de seguranca das redes envolvidas;
-manter [email protected] na cópia das mensagens.





Hosted by www.Geocities.ws

1