ISO/IEC 27002- Seção 07- Gestão de ativos- Recomendações para classificação

ISO/IEC 27002- Seção 07- Gestão de ativos- Classificação da informação

   A informação possui vários níveis de sensibilidade e criticidade. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial.

    A classificação da informação tem como objetivo assegurar que a informação receba um nível adequado de proteção.

ISO/IEC 27002- Seção 07- Gestão de ativos- Uso aceitável dos ativos

  Convém que sejam identificadas, documentadas e implementadas regras para que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento das informações. Todos os funcionários, fornecedores e terceiros devem seguir as mesmas regras para o uso permitido de informações e de ativos associados aos recursos de processamento da informação, incluindo:  

• Regras para o uso da internet e do correio eletrônico;
• Diretrizes para o uso de dispositivos móveis.

    Convém que funcionários, fornecedores e terceiros que usem ou tenha acesso aos ativos da organização estejam consciente dos limites para o uso das informações e ativos associados da organização aos recursos de processamento da informação.

ISO/IEC 27002- Seção 07- Gestão de ativos- Proprietário dos ativos

Adicionar legenda

  Convém que todas as informações e ativos associados como os recursos de processamento da informação tenha um proprietário designado por uma parte definida da organização. 

Responsabilidades do proprietário:

• Assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam classificados;
• Definir e periodicamente analisar as classificações e restrições ao acesso, levando em conta as políticas de controle de acesso aplicáveis. 

    As tarefas de rotina podem ser delegadas, para um custodiante que cuida do ativos no dia a dia, porém a responsabilidade permanece com o proprietário.

ISO/IEC 27002- Seção 07- Gestão de ativos- Inventário dos ativos

  Convém que a organização identifique todos os ativos e documente a importância desses ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo de ativo, formato, localização, informações sobre cópia de segurança, informações sobre licenças e importância do ativo para o negócio.

Tipos de ativos:

• Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistemas, informações sobre pesquisas, manuais de usuários, material de treinamento, procedimentos de suporte e operação, planos de continuidade do negócio, procedimentos de recuperação, informações armazenas e etc;
• Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
• Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
• Serviços: serviço de computação e comunicação, utilidades gerais, por exemplo aquecimento , iluminação, refrigeração e eletricidade;
• Pessoas e suas qualificações, habilidade e experiências;
• Reputação e imagem da organização.

    O processo de compilação de um inventário de ativo é um pré-requisito importante no gerenciamento de riscos.

ISO/IEC 27002- Seção 07- Gestão de ativos- Responsabilidade pelos ativos

  O objetivo da responsabilidade pelos ativos é alcançar e manter a proteção adequada dos ativos da organização, convém que seja feito um inventários de todos os ativos e que os mesmos tenham um responsável.

     Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles. 

ISO/IEC 27002- Seção 06- Identificando segurança da informação nos acordos com terceiros

   Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamentos da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes.

Termos considerados para inclusão no acordo:

• Política de segurança da informação;
• Procedimentos para proteger os ativos da organização;
• Mecanismos e controles para proteção física;
• Proteção contra software malicioso;
• Confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante aos ativos;
• Restrições em relação a cópias ou divulgação de informação;
• Treinamento dos usuários e administradores, procedimentos e segurança da informação;
• Conscientização dos usuários;
• Responsabilidade com relação a manutenção de software e hardware;
• Processo claro e definido de gestão de mudanças;
• Políticas de controle de acesso;
• Descrição do produto ou serviço que esta sendo oferecido;
• Direito de monitorar e revogar qualquer atividade relacionada com os ativos da organização;
• Respectivas obrigações das partes com o acordo;
• Condições de renegociação ou encerramento de acordos

      Os acordos podem variar consideravelmente para diferentes organizações e entre os diferentes tipos de terceiros. Portanto, convém que seja tomados cuidados para incluir nos acordos todos os riscos identificados e os requisitos de segurança da informação.

ISO/IEC 27002- Seção 06- Identificando a segurança da informação, quando tratando com cliente

  Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou informações da organização.

Proteção dos ativos incluindo:

• Procedimentos para proteger os ativos da organização;
• Procedimentos para determinar se ocorreu qualquer comprometimento de ativo;
• Integridade;
• Restrições em relação as cópias e divulgação de informações;
• Descrição do serviço ou produto a ser fornecido;
• Diferentes razões, requisitos e benefícios para o acesso do cliente;
• Políticas de controle de acesso;
• Descrição de cada serviço que deve estar disponível;
• Os níveis de serviços acordados e os níveis de serviços inaceitáveis;
• Direito de monitorar e revogar qualquer atividade relacionada com os ativos da organização;
• Responsabilidades legais dos clientes e da organização;
• Direitos de propriedade intelectual e direitos autorais e proteção de qualquer trabalho colaborativo.

    Os requisitos de segurança da informação relacionados com o acesso dos clientes aos ativos da organização podem variar consideravelmente, dependendo dos recursos de processamento da informação e das informações que estão sendo acessadas. Estes requisitos de segurança da informação podem ser contemplados, usando-se os acordos com o cliente, os quais contêm todos os riscos identificados e os requisitos de segurança da informação.

ISO/IEC 27002- Seção 06- Identificação dos riscos relacionados com partes externas

  Convém que os riscos para os recursos de processamentos da informação e da informação da organização oriundos de processos de negócio que envolvam as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso. 

Aspectos a serem seguidos:

• Os recursos de processamentos da informação que uma parte externa esteja autorizada a acessar;
• Tipo de acesso que a parte externa terá aos recursos de processamento da informação, como por exemplo, acesso a salas,computadores, arquivos de papéis, banco de dados, sistemas de informação, rede de conexão, acesso remoto, etc;
• Valor e a sensibilidade da informação envolvida, e a sua criticidade para as operações do negócio;
• Controles necessários para proteger a informação que não deva ser acessada pelas partes externas;
• Como a organização ou pessoal autorizado a ter acesso pode ser identificado;
• As diferentes formas e controles empregado pela parte externa quando estiver armazenando, processando, comunicando, compartilhando informações;
• Impacto do acesso não está disponível para a parte externa, quando requerido, e a entrada ou o recebimento incorreto ou por engano da informação;
• Práticas e procedimentos para tratar com incidentes  de segurança da informação e danos potenciais, e os termos e condições para que a parte externa continue acessando, no caso que ocorra um incidente de segurança da informação;

       Convém que o acesso às informações da organização pela parte externa não seja fornecido até que os controles apropriados tenha sido implementados e, onde for viável, um contrato tenha sido assinado definindo os termos e condições para a conexão ou o acesso e os preparativos para o trabalho.

    A informação pode ser colocada em risco por partes externas com uma gestão inadequada da segurança da informação. Convém que os controles sejam identificados e aplicados para administrar o acesso da parte externa aos recursos de processamento da informação.  

ISO/IEC 27002- Seção 06- Partes externas

  O objetivos é manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados comunicados ou gerenciados por partes externas. O acesso aos recursos de processamento da informação da organização e ao processamento e comunicação da informação por partes externas deve ser controlado.

  Convém que seja feita uma análise/avaliação dos riscos envolvidos para determinar as possíveis implicações na segurança e os controles necessários, onde existir uma necessidade de negócio para trabalhar como parte externas, que possa requerer acesso aos recursos de processamento da informação e à informação da organização, ou na obtenção ou fornecimento de um produto e serviço de uma parte externa ou para ela.

   

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Análise crítica independente de segurança da informação

  Convém que a análise crítica independente seja iniciada pela direção. Tal análise crítica independente é necessária para assegurar a contínua pertinência, adequação e eficácia do enfoque da organização  para gerenciar a segurança da informação. A análise crítica deve incluir a avaliação de oportunidades para a melhoria e a necessidade de mudanças para o enfoque da segurança da informação,  incluindo a política e os objetivos de controle.

   Critérios para análise independente:

• Execução por pessoas independente da área avaliada;
• Pessoas que realizem estas análises possuam habilidades e experiências apropriadas;
• Tomada de ações corretivas;
• Registros e relatos para a direção que iniciou a análise crítica.

  Convém que as áreas onde os gerentes regularmente fazem análise crítica possam também ser analisadas criticamente de forma independente. Técnicas para a análise crítica podem incluir entrevista com a gerência, verificação de registro ou análise crítica de documentos da política de segurança da informação. 

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Contato com grupos especiais

   Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais. 

    É conveniente associação a grupos de interesses especiais ou fóruns seja considerada como forma de:

• Ampliar o conhecimento sobre as melhores práticas e manter-se atualizado com as informações relevantes sobre segurança da informação;
• Assegurar que o entendimento do ambiente de segurança da informação está atual e completo;
• Receber previamente advertências de alertas, aconselhamentos e correções relativos a ataques e vulnerabilidades;
• Conseguir acesso à consultoria especializada em segurança da informação;
• Compartilhar e trocar informações sobre novas tecnologias, produtos, ameaças ou vulnerabilidades;
• Prover relacionamentos adequados quando tratar com incidentes de segurança da informação.

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Contato com autoridades

  Convém que as organizações tenham procedimentos em funcionamentos que especifiquem quando e por quais autoridades devem ser contratadas e como os incidentes de segurança da informação identificados devem ser notificados em tempo hábil, no caso de suspeita de que a lei foi violada.

  A manutenção de tais contatos pode ser um requisito para apoiar a gestão de incidentes de segurança da informação ou da continuidade dos negócios e do processo de planejamento da contingência. Contatos com organismos reguladores são também úteis para antecipar ou preparar as mudanças futuras na lei ou nos regulamentos, os quais tem que ser seguidos pela organização. Contatos com outras autoridades incluem utilidades, serviços de emergência, saúde e segurança, por exemplo corpo de bombeiros(em conjunto com a continuidade do negócio), provedores de telecomunicação (em conjunto com as rotas de linha e disponibilidade), fornecedor de água (em conjunto com as instalações de refrigeração para os equipamentos).

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Acordos de confidencialidade

    Convém que os acordos de confidencialidade e de não divulgação considere os requisitos para proteger as informações confidenciais, usando termos que são obrigados do ponto de vista legal. 

    Para identificar os requisitos para os acordos de confidencialidade ou de não divulgação, convém que sejam considerados os seguintes elementos:

• Definição da informação a ser protegida;
• Tempo de duração esperado de um acordo, incluindo situações onde a confidencialidade tenha que ser mantida indefinidamente;
• Ações requeridas quando um acordo é encerrado;
• Responsabilidades e ações dos signatários para evitar a divulgação não autorizada da informação;
• Proprietário da informação, segredos comerciais e de propriedade intelectual, e como isto se relaciona com a proteção da informação confidencial;
• Uso permitido da informação confidencial e os direitos do signatário para usar a informação;
• Direito de auditar e monitorar as atividades que envolvem as informações confidenciais;
• Processo para notificação e relato de divulgação não autorizada ou violação das informações confidenciais;
• Termos para a informação ser retornada ou destruída quando do término do acordo;
• Ações esperadas a serem tomadas no caso de uma violação deste acordo.

    Acordos de confidencialidade e de não divulgação protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada.

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Processos de autorização para os recursos de processamento da informação

  Convém que seja definido e implementado um processo de gestão de autorização para novos recursos de processamento da informação.

Diretrizes no no processo de autorização:

• Os novos recursos tenham a autorização adequada por parte da administração de usuários, autorizando seus propósitos e uso;
• Hardware e software sejam verificados para garantir que são compatíveis com outros componentes do sistema;
• Uso de recursos de processamento de informação, pessoais ou privados, para processamento das informações do negócio, possa introduzir novas vulnerabilidades, e convém que controles necessários sejam identificados e implementados.  

ISO/IEC 27002- Seção 06- Organizando a segurança da informação- Atribuição de responsabilidades para a segurança da informação

   Convém que a atribuição das responsabilidades pela segurança da informação seja feita em conformidade com a política de segurança da informação. É importante definir claramente as responsabilidades pela proteção de cada ativo e o cumprimento dos processos de segurança da informação.

Itens a serem cumpridos:

• Os ativos e os processos de segurança da informação associados com cada sistema sejam identificados e claramente definidos;
• Gestor responsável por cada ativo ou processo de segurança da informação tenha atribuições definidas e os detalhes dessa responsabilidade sejam documentados;
• Os níveis de autorização sejam claramente definidos e documentados

    Em muitas organizações um gestor de segurança da informação pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e implementação da segurança da informação e para apoiar a identificação de controles. Entretanto, a responsabilidade pela obtenção dos recursos e implementação dos controles permanece sempre com os gestores. Uma prática comum é indicar um responsável por cada ativo, tornando-o assim responsável por sua proteção no dia a dia.

ISO/IEC 27002- Seção 06- Organizando a segurança da informação- Coordenação da segurança da informação

  Convém que as atividades de segurança da informação sejam coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes.

   A coordenação de segurança da informação deve envolver a cooperação e colaboração de gerentes, usuários, administradores, auditores, pessoal de segurança e especialistas com habilidades nas áreas de seguro, questões legais, recurso humanos, TI e gestão de riscos.

Atividades da coordenação da segurança informação

• Indicar como conduzir as não- conformidades;
• Garantir que as atividades de segurança da informação sejam executadas em conformidades com a política de segurança da informação;
• Aprove as metodologias e processos para a segurança da informação, tais como análise/avaliação de riscos e classificação da informação;
• Indique as ameaças significativas e a exposição da informação e dos recursos de processamento da informação às ameaças;
• Promova, de forma de forma eficaz, a educação, o treinamento e a conscientização pela segurança da informação por toda a organização. 

ISO/IEC 27002- Seção 06- Organizando a segurança da informação- Comprometimento da direção com a segurança da informação

  Convém que a direção apoie ativamente a segurança da informação dentro da organização, por meio de um claro direcionamento, demostrando o seu comprometimento, definindo atribuições de forma explícita e reconhecendo as responsabilidades pela segurança da informação.

É conveniente que a direção:

• Assegure que as metas da segurança da informação estejam identificadas e atendam os requisitos da organização;
• Formule, analise criticamente  e aprove a segurança da informação;
• Forneça um claro direcionamento e apoio para as iniciativas de segurança da informação;
• Forneça os recursos necessários para a segurança da informação;
• Inicie planos e programas para manter a conscientização da segurança da informação;
• Aprove as atribuições de tarefas e responsabilidades específicas para a segurança da informação por toda a organização.

   Convém que a direção identifique as necessidades para a consultoria de um especialista interno ou externo em segurança da informação, analise criticamente e coordene os resultados dessa consultoria por toda a organização

ISO/IEC 27002- Seção 06- Organizando a segurança da informação- Organização interna

     A organização da segurança da informação tem como objetivo gerenciar a segurança da informação dentro da organização.

   Se necessário, convém que uma consultoria especializada em segurança da informação seja estabelecida e disponibilizada dentro da organização. É conveniente que contatos com especialistas ou grupos de segurança da informação externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as tendências de mercado, monitorar normas e métodos de avaliação, além de fornecer apoio adequado, quando estiver tratando de incidentes de segurança da informação. 

ISO/IEC 27002- Seção 05- Políticas de Segurança da Informação- Análise crítica da política de segurança da informação

    Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem . A análise crítica deve incluir a avaliação de oportunidades para a melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstancia do negócio, às condições legais ou ao ambiente técnico.

   

   Informações sobre as entradas para a análise crítica:

• Realimentação das partes interessadas;
• Resultado de análises críticas  independentes;
• Situação de ações preventivas e corretivas;
• Desempenho do processo e conformidade com a política de segurança da informação;
• Tendências relacionadas com ameaças e vulnerabilidades;
•  Relato sobre incidentes de segurança da informação;
• Recomendações fornecidas por autoridades relevantes;
• Melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos;
• Melhoria dos controles e objetivos de controles;
• Melhoria na alocação de recursos ou de responsabilidades.

ISO/IEC 27002- Seção 05- Políticas de Segurança da Informação- Documento da política de segurança da informação

   Convém que um documento da política de segurança da informação  seja aprovado pela direção, publicado para todos os funcionários e partes externas relevantes . Convêm que o documento da política contenha declarações relativas a: 

• Definição de informação, suas metas, escopo e importância da segurança da informação;
• Declaração do comprometimento da direção apoiando a metas e princípios da segurança da informação, alinhada com estratégias e objetivos do negócio;
• Estrutura para obter os objetivos de controle, incluindo análise/avaliação e gerenciamento de riscos;
• Explanação da políticas, princípios, normas e requisitos de conformidade de segurança da informação;
• Registro dos incidentes da segurança da informação;
• Consequências das violações na políticas de segurança da informação;
• Definição das responsabilidades gerais e específicas na gestão da segurança da informação.

Convém que a política de segurança da informação seja comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor.

ISO/IEC 27002- Seção 05- Políticas de Segurança da Informação

     O objetivo da política de segurança da informação é prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes.

   Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio, e demonstre apoio e comprometimento com a segurança da informação por  meio da publicação e manutenção de uma política de segurança da informação para toda a organização.

    

ABNT NBR ISO/IEC 27002:2013

   A norma ABNT NBR ISO/IEC 27002:2013  código de práticas para  controles de Segurança da Informação, que tem como objetivo fornecer diretrizes para práticas de gestão de Segurança da Informação e normas de Segurança da informação para as organizações, incluindo uma seleção, a implementação e gerenciamento de controles, levando em  consideração os ambientes de riscos da segurança da informação da organização. 

Extranet

   Uma extranet é uma rede privada que utiliza a tecnologia da internet, pode ser entendida como a intranet de uma empresa que é estendida para os usuário fora da empresa. Seu conceito reside na possibilidade de pessoas acessarem remotamente todo conteúdo disponível dentro da intranet. A extranet pode ser acessada por qualquer pessoa que seja autorizada pelo administrador da rede e que possua um login e senha.
   

Intranet

   A intranet é uma rede de computadores baseada em protocolos TCP/IP. A intranet é uma rede interna exclusiva de uma empresa e muitas vezes liberada somente no ambiente de trabalho e em computadores registrados na rede.
   Uma intranet é uma versão particular da internet, que pode ou não está conectada a World Wide Web global. Essa tecnologia tem muitas utilidades para uma organização, pois permite a comunicação de um departamento com todos os outros ou até mesmo entre os funcionários, de forma a facilitar o fluxo de informações. A intranet permite uma segurança maior entre tudo que circula na rede da empresa, pois nenhum computador fora dela não poderá ter acesso aos conteúdos que estão na sua rede privada.
    

Phishing Scam

    A palavra phishing, do inglês “fishing”, vem de uma analogia criada pelos fraudadores, onde “iscas” (mensagens eletrônicas) são usadas para “pescar” senhas e dados financeiros de usuários da Internet.

    Phishing, phishing-scam ou phishing/scam, é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social.

O phishing ocorre por meio do envio de mensagens eletrônicas que:

• Tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
• Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira.

Exemplos de situações envolvendo phishing:

• Páginas falsas de comércio eletrônico ou Internet Banking;
• Páginas falsas de redes sociais ou de companhias aéreas;
• Mensagens contendo formulários;
• Solicitação de recadastramento.

Prevenção

• fique atento a mensagens, recebidas em nome de alguma instituição, que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;
• questione-se por que instituições com as quais você não tem contato estão lhe enviando mensagens, como se houvesse alguma relação previa entre vocês (por exemplo, se você não tem conta em um determinado banco, não ha porque recadastrar dados ou atualizar módulos de segurança);
• fique atento a mensagens que apelem demasiadamente pela sua atenção e que, de alguma forma, o ameacem caso você não execute os procedimentos descritos;
• seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web;
• utilize mecanismos de segurança, como programas antimalware, firewall pessoal e filtros antiphishing.

Firewall

    Firewall é uma solução de segurança baseada em hardware ou software que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executados.

 Ele é utilizado para proteger as redes e computadores,ou seja, controlar o acesso e bloquear o que é proibido.

Como funciona?

    se alguém ou algum programa suspeito tentar se conectar ao seu computador, um firewall entra em ação para bloquear tentativas de invasão. o firewall é uma lista ordenada da seguinte maneira.

• Regra 1, ação 1;
• Regra 2, ação 2;
• etc.

   Alguns sistemas operacionais possuem firewall pessoal integrado. Caso o sistema instalado em seu computador não possua um ou você não queira usá-lo, há diversas opções disponíveis (pagas ou gratuitas). Você também pode optar por um antimalware com funcionalidades de firewall pessoal integradas.

Cuidados a serem tomados:

• verifique a procedência e certifique-se de que o fabricante é confiável;
• certifique-se de que o firewall instalado esteja ativo (estado: ativado);
• configure seu firewall para registrar a maior quantidade de informações possíveis (desta forma,é possível detectar tentativas de invasão ou rastrear as conexões de um invasor);

     

Plug-ins, complementos e extensões

     São programas geralmente desenvolvidos por terceiros e que você pode instalar em seu navegador web ou leitor de e-mail para prover funcionalidades extras.

     Esses programas, na maioria das vezes, são disponibilizados em repositórios, onde podem ser baixados livremente ou comprados. Alguns repositórios efetuam controle rígido sobre os programas antes de disponibilizá-los, outros utilizam classificações referentes ao tipo de revisão, enquanto outros

não efetuam nenhum tipo de controle.

     Apesar de grande parte destes programas serem confiáveis, há a chance de existir programas especificamente criados para executar atividades maliciosas ou que, devido a erros de implementação, possam executar ações danosas em seu computador.

prevenção

• Assegure-se de ter mecanismos de segurança instalados e atualizados, antes de instalar programas desenvolvidos por terceiros;
• Manter os programas instalados sempre atualizados;
• Obter arquivos apenas de fontes confiáveis;
• Veja comentários de outros usuários sobre o programa, antes de instalá-lo;
• verifique se as permissões necessárias para a instalação e execução são coerentes, ou seja, um programa de jogos não necessariamente precisa ter acesso aos seus dados pessoais.

Cookies

     Cookies são pequenos arquivos que são gravados em seu computador quando você acessa sites na internet e que são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre você, como carrinho de compras, lista de produtos e preferencia de navegação. 

     um cookie pode ser temporário(de sessão), quando é apagado no  momento em que o navegador web ou programa leitor de e-mail é fechado, ou permanente(persistente), quando fica gravado no computador até expirar ou ser apagado.

Alguns riscos relacionado ao uso de cookies:

• Compartilhamento de informações para outros sites e afetar a sua privacidade;
• Os cookies podem ser utilizados para explorar possíveis vulnerabilidades em seu computador;
• Coleta de informações pessoais;

Prevenção 

     Não é indicado bloquear totalmente o recebimento de cookies, pois isto pode impedir o uso adequado ou até mesmo o acesso a determinados sites e serviços. 

• Em outros navegadores ou programas leitores de e-mail, configure para que, por padrão, os sites não possam definir cookies e crie listas de exceções , cadastrando sites considerados confiáveis e onde o uso de cookies é realmente necessário, como Webmail e de Internet Banking e comércio eletrônico;
• Caso você, mesmo ciente dos riscos, decida permitir que por padrão os sites possam definir cookies, procure criar uma lista de exceções e nela cadastre os sites que deseja bloquear;
• Configure para que os cookies sejam apagados assim que o navegador for fechado;
• Utilize opções de navegar anonimamente, quando usar computadores de terceiros (ao fazer isto, informações sobre a sua navegação, incluindo cookies, não serão gravadas).

Spam

   Spam é o termo utilizado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas.

   O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta colocada na caixa de correio, o panfleto recebido na esquina e a ligação  telefônica ofertando produtos. Porém, o que o difere ´e justamente o que o torna tão atraente e motivante para quem o envia (spammer): ao passo que nas demais formas o remetente precisa fazer algum tipo de investimento, o spammer necessita investir muito pouco, ou até mesmo nada, para alcançar os mesmos objetivos e em uma escala muito maior.

Problemas Causados pelo Spam

• Lotar o tamanho da caixa postal;
• Perda de tempo lendo e excluindo e-mail;
• Perda de produtividade na leitura de e-mail com propagandas;
• Conteúdo impróprio ou ofensivo;
• Prejuízos financeiros causados por fraude.

Prevenção 

• Preservar as informações pessoais como endereços de e-mail, dados pessoais e, principalmente, cadastrais de bancos, cartões de crédito e senhas. Um bom exercício é pensar que ninguém forneceria dados pessoais a um estranho na rua, certo? Então, por que o faria na Internet?
• Ter, sempre que possível, e-mails separados para assuntos pessoais, profissionais, para as compras e cadastros on-line. 
• Não ser um "clicador compulsivo", ou seja, o usuário deve procurar controlar a curiosidade de verificar sempre a indicação de um site em um e-mail suspeito de spam. Pensar, analisar as características do e-mail e verificar se não é mesmo um golpe ou código malicioso.
• Não ser um "caça-brindes", "papa-liquidações" ou "destruidor-de-promoções". Ao receber e-mails sobre brindes, promoções ou descontos, reserve um tempo para analisar o e-mail, sua procedência e verificar no site da empresa as informações sobre a promoção em questão. 
• Ter um filtro anti-spam instalado, ou ainda, usar os recursos anti-spam oferecidos pelo seu provedor de acesso.        
• Usar firewall pessoal e antivírus

Pragas Digitais: Rootkit

   A origem do Rootkit começou no sistema operacional Linux/Unix, "Root" é a denominação usada para os usuários que tem o controle total da máquina, "kit" é o conjunto de programas usados para manter os privilégios de acesso. Ao juntar o "Root" e "kit" tem-se o controle absoluto do computador.

    Rootkit é um conjunto de e programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.

Os Rootkits podem ser usados para:

• Remover evidências em aquivos de logs;
• Instalar outros códigos maliciosos, como backdoor, para assegurar o acesso futuro ao computador infectado;
• Esconder atividades e informações, como arquivos, diretórios, processos, conexão de rede, etc;
•   Mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede.

Pragas Digitais: Cavalo de Troia(Trojan)

     O cavalo de Troia, segundo a mitologia grega, foi uma grande estátua feita de madeira, utilizada como instrumento de guerra pelos gregos para obter acesso à cidade de Troia. a estátua do cavalo foi fechada com soldados, que durante a noite, saíram do cavalo e abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Troia. 

     Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário.
     O cavalo de troia precisa ser executado para que ele se instale em um computador. Geralmente o cavalo de troia vem anexado a um e-mail ou em algum site na internet.

Tipos de trojan:

Trojan downloader: instala outros códigos maliciosos, obtidos de sites na internet;
Trojan backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador.
Trojan Dos: instala ferramentas de negação de serviço e as utiliza para fazer ataques.
Trojan destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora de operação.

     

Pragas Digitais: Backdoor

     BACKDOOR (porta dos fundos) é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim.

     O backdoor é usado para garantir o acesso futuro ao computador infectado, permitindo que ele seja acessado remotamente, sem que haja a necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção, sem que seja notado.

     Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas. Estes casos constituem uma séria ameaça à segurança de um computador, pois comprometem a privacidade do usuário.         

     A melhor maneira de se proteger desse tipo de ataque é instalar um firewall no computador e manter sempre seu antivírus atualizado.

Pragas Digitais: Spyware

      É um programa projetado para para monitorar as atividades de um sistema e enviar as informações para terceiros.
   Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do que é feito por quem recebe as informações coletadas.   Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do que é feito por quem recebe as informações coletadas.

Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste.

Exemplo: existem empresas de anúncios que utilizam spyware de forma legal, para coletar informações de seus assinantes, com o objetivo de selecionar o tipo de anúncio que irão lhes apresentar.
Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador. 

Exemplo: Capturar informações pessoas como conta de usuário e senha.

     Tipos de Spyware

Keylogger: Captura e armazenas as teclas digitadas pelo usuário no teclado do computador.
Screenlogger: Captura a tela apresentada no monitor, nos momentos em que o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de internet Banking.
Adware: Projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporados a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que ele saiba que tal monitoramento está sendo feito. 

Pragas Digitais: Bot e Botnet

     BOT  é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. O Bot é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores.      A comunicação entre o invasor e computador infectado pelo bot pode ocorrer vai canais de IRC, servidores Web entre outros. Ao se comunicar, o invasor pode ter total controle sobre o bot, e enviar instruções para que ações maliciosas sejam executadas como desferir ataques, furtar dados, corromper banco de dados e arquivos , descobrir senhas e envia-las para o invasor, enviar spam e etc.     Um computador infectado por um bot costuma ser chamado de zumbi, pois pode ser controlado remotamente, sem o conhecimento do seu dono.
      BOTNET é uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots. O atacante além de usa-la para seus próprios ataques, também pode alugá-la para outras pessoas ou grupos que desejem que uma ação maliciosa específica seja executa.      

      Algumas ações executas pelas Botnets

• Ataque de negação de serviço(DOS);
• Propagação de códigos maliciosos;

• Coleta de informações;

• Envio de spam

     Medidas de prevenção

• Manter o sistema operacional atualizado;

• Manter os softwares instalados atualizado;

• Antivírus;

• Firewall pessoal;

• Usar apenas programas originais;

• Evitar oc acesso a sites recebido por mensagens eletrônicas;

Pragas Digitais: Worm

     Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. A propagação ocorre por meio da execução direta de suas cópias ou pela exploração automática de vulnerabilidades  existentes em programas instalados em computadores. 

     Os worms são responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, consumir recursos da máquina hospedeira e banda de rede.

PROCESSO DE PROPAGAÇÃO E INFECÇÃO DOS WORMS

Identificação dos computadores alvos: 

• Efetua varredura na rede para identificar computadores ativos;
• Aguarda que outros computadores contatem o computador infectado;
• Utiliza listas, predefinidas ou obtidas na internet, contendo a identificação dos alvos;
• Utiliza informações contidas no computador infectado, como arquivos de configuração e listas de endereços de e-mail.

 Envio das cópias:

• Anexada em e-mail;
• Via canais de IRC( Internet Relay Chat);
• Via programas de troca de mensagens instantânea;
• Incluídas em pastas compartilhas em redes locais.

         Após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a partir de agora, o computador que era alvo passa a ser também o computador originador dos ataques.

     

Vírus de computador

     Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.
     Para se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado.
     Os vírus são capazes de causar grandes transtornos para pessoas, empresas e outras instituições, pois podem apagar dados, capturar informações, alterar ou impedir o funcionamento do sistema operacional.
     O principal meio de propagação de vírus é a internet, pois os vírus podem se espalhar de maneira muito mais rápida e contaminar um número maior de computadores.     Para se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado.     Os vírus são capazes de causar grandes transtornos para pessoas, empresas e outras instituições, pois podem apagar dados, capturar informações, alterar ou impedir o funcionamento do sistema operacional.     O principal meio de propagação de vírus é a internet, pois os vírus podem se espalhar de maneira muito mais rápida e contaminar um número maior de computadores.

Autoridades Certificadoras

INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA(ICP-BRASIL)

     É uma cadeia hierárquica e de confiança que viabiliza a emissão de certificados digitais para a identificação virtual do cidadão. O modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o Instituto Nacional de Tecnologia da Informação(ITI), além de desempenhar o papel de Autoridade Certificadora Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

ESTRUTURA  
   

    A Autoridade Certificadora Raiz(ICP-Brasil), é a primeira autoridade da cadeia de certificação. Executa as políticas de certificados e normas técnicas e operacionais aprovadas pelo comitê Gestor ICP-Brasil.

ESTRUTURA DETALHADA DAS AUTORIDADES CERTIFICADORAS DE NÍVEL 1° E NÍVEL 2°.

http://www.iti.gov.br/images/icp-brasil/estrutura/2016/12_dezembro/atualizacao_51/estrutura_completa.pdf