Análise e Exploração de Vulnerabilidades

Informação

Corpo docente: Luís Amorim

Duração: Semestral

Horas de trabalho: 162

Horas de contacto: 45

ECTS: 6

Área científica: Informática

Objetivos

  • Aprender a projetar e orientar o desenvolvimento de uma política de segurança na organização.
  • Aprender a determinar estratégias adequadas para assegurar confidencialidade, integridade e disponibilidade da informação.
  • Aprender a aplicar técnicas de gestão de risco de modo a melhor gerir riscos, reduzir vulnerabilidades, ameaças e aplicar garantias / controlos adequados.

Resultados de Aprendizagem

  • Compreender os princípios subjacentes à segurança nos SI
  • Compreender os conceitos de ameaça, a avaliação dos bens, os ativos de informação, segurança física, operacional e da informação e como eles estão relacionados
  • Compreender a análise de risco e gestão de riscos
  • Compreender as abordagens de mitigação técnicas e administrativas
  • Compreender a necessidade de um modelo de segurança global e suas implicações para o gestor de segurança
  • Compreender as tecnologias de segurança
  • Compreender as noções básicas de criptografia, as considerações sobre a sua implementação e a gestão de chaves

Requisitos

Conhecimentos base de sistemas, redes e serviços de tecnologias de informação, bem como de segurança informática

Avaliação

A avaliação será realizada através de duas componentes: - Exame de avaliação teórica. - Projeto prático de aplicação da Metodologia de Análise e Avaliação de Risco. (em grupo) Nota final: média ponderada das notas de cada componente, arredondadas à unidade.

  • Exame = 40% (mínimo de 10 em 20V)
  • Projeto = 60% (mínimo de 10 em 20V)
  • Nota Final = Exame0,4 + Projeto 0,6 ( >10 em 20)

Metodologia

Aulas teóricas de exposição da matéria.

Aulas práticas com um trabalho prático, num cenário empresarial real, de aplicação da metodologia FRAAP.

Conteúdos

  • Funções e atividades da segurança:

    • Definição do papel da segurança no negócio;
    • Caracterização da importância da segurança da informação e a sua diferença face à segurança dos sistemas de informação;
    • Descrição das atividades associadas com a gestão, administração e controlo de um plano de segurança no âmbito de uma empresa ou de um negócio;
    • Identificação das várias áreas da segurança que permitem uma abordagem integrada e abrangente da segurança da informação.

  • Normativos e referenciais de segurança:

    • Normas internacionais que permitem a certificação de um sistema de gestão;
    • Referenciais internacionalmente reconhecidos de apoio à implementação de medidas de segurança.

  • Riscos de Segurança:

    • Caracterização dos riscos como função de ameaças e vulnerabilidades
    • Identificação e tipificação dos vários tipos de ameaças à segurança da informação;
    • Identificação e análise de diferentes tipos de vulnerabilidades de segurança a que é preciso estar atento e evitar;
    • Elencagem das falhas de segurança existentes em ambientes empresariais.

  • Gestão de Risco:

    • Caracterização das atividades que conduzem ao controlo de uma organização no que diz respeito aos riscos
    • Identificação das diferenças entre a gestão do risco e a análise do risco
    • Elencagem das alternativas de tratamento dos riscos

  • Mitigação do risco:

    • Análise das situações de aplicação de medidas técnicas ou administrativas
    • Controlos técnicos para mitigação do risco
    • Elencagem das técnicas criptográficas e a sua aplicabilidade como controlos de segurança

  • Análise de Risco:

    • Técnicas para avaliação do risco numa organização e os custos e benefícios associados a essa aferição;
    • Identificação e descrição de métodos para determinar níveis de relevância em sistemas e processos e aproximações para desenvolver estratégias de recuperação;
    • A metodologia de análise e avaliação de risco FRAAP, desenvolvida por Thomas R. Peltier.

  • Ferramentas de apoio à Gestão da Segurança:

    • Vantagens da utilização de ferramentas como apoio à gestão do risco;
    • Ferramentas de procura e análise de vulnerabilidades.

  • Gestão da Continuidade de Negócio:

    • Identificação e uso das ferramentas, as metodologias e os procedimentos necessários para conceber e concretizar um plano de recuperação de catástrofe e de reativação do negócio;
    • Definição, em termos de gestão, das análises, dos objetivos e das justificações para o esforço de planeamento num ambiente empresarial;
    • Análise do Business Impact Analysis como processo de análise dos impactos no negócio;
    • Determinação de quais e de que forma os processos/sistemas requerem a continuidade de negócio.

Bibliografia recomendada

  • Peltier, T. R.(2012). Information security risk analysis, 3rd Edition. Auerbach Publications; ISBN 978-1439839560
  • Referenciais e normas:
    • ISO 27001, ISO 27002, BS25999
    • NIST SP800, com destaque para
      • SP 800-30 Risk Management Guide for Information Technology Systems
      • SP800-100 Information Security Handbook
      • SP800-53 Recommended Security Controls for Federal Information Systems and Organizations