Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Motivao
Advento e expanso da Internet, Sistemas de Informao e Globalizao
Mudana nas organizaes para se adequarem as transformaes no mundo O que se adequar?
tirar proveito da tecnologia e oportunidades, ser competitiva, mudar a forma de trabalho, rever as prioridades
Segurana
Segurana: estar livre de perigos e incertezas O que deve estar seguro?
Tudo o que tiver valor para a empresa: ativos Exemplos? As medidas de seguranas sero as mesmas para todos os ativos?
Ativos
TUDO que tenha valor para a organizao Como organizar os ativos?
Atravs de suas caractersticas
Categorias de ativos Tangveis Intangveis Categorias de ativos Lgicos Fsicos Humano Exemplo Dados armazenados em um servidor Sistema de CRM Computadores Impressoras Empregados Prestadores de servios
8
Classificao da Proteo
As medidas de proteo podem classificadas de acordo o momento ou ao aplicadado
Tipo de proteo Preventiva Desencorajadora Limitadora Monitoradora Detectora Reativa Corretiva Recuperativa Exemplo Evitar que incidentes ocorram Desencorajar a prtica de aes Diminui danos causados Monitora o estado e funcionamento Detecta a ocorrncia de incidentes Reage a determinados incidentes Repara falhas existentes Repara danos causados por incidentes
11
12
Segurana da Informao
Segundo a NBR ISO/IEC 27002:2007
Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizando os riscos e maximizando o retorno do investimento e oportunidade de negcios
13
Questo a rea de TI a nica detentora dos ativos, e consequentemente a responsvel pela segurana e proteo dos mesmos?
14
Aspectos da SI
Com o que algum se preocupa ao sair de casa e fechar a porta com uma chave?
Aspectos da SI
Confidencialidade Integridade Disponibilidade Outros: autenticao, legalidade, conformidade, no repdio, autenticidade
16
Confidencialidade
Sigilo Garantir que somente os interessados tenho conhecimento/acesso informao Exemplos?
17
Integridade
Garantir que as informaes no sejam alteradas, tanto de forma acidental quanto intencional Exemplos?
18
Disponibilidade
Garantir que as informaes estejam disponveis no momentos que os interessados precisarem acess-las Exemplos?
19
Modelos de Ataque
(Stallings, 1999)
Preveno Confidencialidade Disponibilidade Autenticao Integridade
origem
destino
Ameaas
20
Formas de ataque
Passivos
Resultam na liberao dos dados
Ativos
Resultam na alterao ou destruio dos dados
21
24
Componentes bsicos
Valor Ameaa Vulnerabilidade Impacto Risco
25
Componentes bsicos
Valor
Importncia do ativo para a organizao Pode-se utilizar alguma medida
Ameaa
Evento que tem potencial para comprometer os objetivos da organizao Seja atravs de danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas Explora vulnerabilidades
26
Componentes bsicos
Vulnerabilidade
Ausncia de um mecanismo de proteo Ou falhas (fraqueza) em mecanismo de proteo existente Permite que as ameaas se concretizem
Impacto
Prejuzo, medido atravs de propriedades mensurveis ou abstratas, causado por uma ameaa
27
Componentes bsicos
Risco
Probabilidade de uma ameaa se concretizar, combinada com o impacto que ela trar
Ataque
Ao que comprometa a segurana de uma organizao
28
29
O Ambiente
A SI compreende tanto a segurana fsica quanto na segurana das informaes armazenadas
Talvez essas questes sejam tratadas por reas diferentes na organizao
30
31
32
Estratgias de proteo
Privilgio mnimo Defesa em profundidade Elo mais fraco Ponto de estragulamento Segurana atravs da obscuridade Simplicidade
33
Estratgias de proteo
Privilgio mnimo
Exposio a ameaas No expor a riscos desnecessrios Exemplo?
Defesa em profundidade
Ter vrios controles complementares e redundantes No existem controles infalveis Os controles devem possuir diversidade Exemplo?
34
Estratgias de proteo
Elo mais fraco
a fora de um corrente igual a fora de seu elo mais fraco Deve-se considerar a segurana total igual a segurana oferecida pelo elo mais frgil Exemplo?
Ponto de estrangulamento
Colocar um nico controle para entrada Exemplo?
35
Estratgias de proteo
Segurana atravs da obscuridade
Esconder informaes das pessoas que no precisam dela Quanto menos informao um atacante tiver, maior ser a dificuldade para invadi-lo Exemplo?
Simplicidade
Quanto mais complicado um sistema, mais difcil torn-lo seguro Exemplo?
36
Desafios atuais
Aumento da exposio
Consequncia da conexo das empresas Internet Informaes sigilosas podendo ser acessadas via Internet
Convergncia
Diversos dispositivos tambm esto se conectando a Internet
Os problemas tecnolgicos
Muitos padres/tecnologias utilizados, foram criados com pouca preocupao em segurana Falhas nos sistemas
38
Metas
Incorporar a cultura e as prticas de segurana de trabalho Buscar tecnologias que cuidem da segurana enquanto as organizaes cuidam dos objetivos Aproximar-se do centro de deciso das organizaes, agregando valor, e ajudando no alcance de seus objetos Encontrar solues economicamente viveis para os problemas
39
40
Preparando a organizao
O que proteger? Contra o qu ou quem? Quais as vulnerabilidades/ameaas? Qual a importncia de cada recurso? Qual o grau de proteo desejado? Quanto tempo, recursos financeiros e humanos se pretende gastar? Quais as expectativas em relao a segurana da informao
41
Requisitos de Segurana
Deve-se considerar
Anlise/avaliao dos riscos da organizao Legislao vigente, estatutos, regulamentaes e clusulas contratuais da organizao Conjunto de princpios, objetivos e requisitos do negcio
42
43
Controles
Modo de gerenciar riscos, incluindo polticas, procedimentos, diretrizes, e prticas, que podem ser de natureza administrativa, tcnica, legal ou de gesto
44
Seleo de controles
Controles devem ser implementados para garantir a reduo dos riscos Dependem das decises da organizao quanto aos riscos Podem ser selecionados a partir de normas preestabelecidas ou de conjunto de controles especficos
45
Controles para SI
Controles essenciais
Proteo de dados e privacidade Proteo de registros organizacionais Direitos de propriedade intelectuais
46
Controles para SI
Poltica de Segurana da Informao Atribuio de responsabilidade Conscientizao, educao e treinamento em SI Processamento correto em aplicaes Gesto de vulnerabilidades Gesto da continuidade do negcio Gesto de incidentes de SI
47
Fatores de Sucesso
Poltica de Segurana da Informao Comprometimento dos nveis gerenciais Entendimento dos requisitos de segurana Divulgao eficiente Comunicao das polticas e normas de SI Proviso de recursos financeiros Processo eficiente de gesto de incidentes Medio da gesto da SI
48
NBR ISO/IEC
A segurana subjetiva
Ex.: Quantidade de policiais na rua
A ISO adotou norma Britnica, como guia de melhores prticas para gesto de SI Tambm adotada pela ABNT
49
Atividade 1 A1
Indique o modelo de ataque aplicvel. Justifique
Situao Adio de um registro falsificado em um BD Desativar um sistema de arquivos Modificao de dados trafegando na rede Destruio de um componente de hardware Captura de dados em rede, atravs de escutas Alterao de um programa para que execute de modo diferente
50
Modelo de ataque
Justificativa
Atividade 2 A2
Cite pelo menos uma vulnerabilidade possvel de ser explorada para concretizar uma ameaa segurana da informao. Justifique-se.
Pessoal de servio dirio de mensageiro realizando entrega e colega de mensagens Ex-funcionrios que deixaram a empresa porque foram dispensados Funcionrio viajando a servio da organizao e acessando a rede remotamente Utilizao de notebook pessoal sem cadastro na lista de ativos
51
Atividade 3 A3
Identifique a forma de ataque aplicvel a cada situao a seguir. Justifique-se.
Captura e acesso a um arquivo transferido de um cliente a um servidor via rede Alterao da parte de uma mensagem legtima Anlise de trfego de rede utilizando um sniffer Utilizao de login e senha de outro usurio
52
Atividade A4
Pesquise reportagens que abordem aspectos de segurana da informao
Faa resumo em, no mximo, 3 linhas da reportagem Identifique elementos de SI presentes na reportagem (conceitos, aspectos, ataques, componentes, controles) Faa um comentrio crtico sobre os problemas e solues abordados na reportagem
54