Conceitos Gerais de Segurana da Informao

Motivao
Advento e expanso da Internet, Sistemas de Informao e Globalizao
Mudana nas organizaes para se adequarem as transformaes no mundo O que se adequar?
tirar proveito da tecnologia e oportunidades, ser competitiva, mudar a forma de trabalho, rever as prioridades

Problemas que as empresas enfrentam

crimes eletrnicos; direito internacional e eletrnico; polmicas em torno do direito autoral e patentes; softwares maliciosos; fraudes financeiras e fiscais; pirataria; espionagem industrial; desastres; destruio de informaes; modificao das informaes; roubo ou perda; interrupo dos servios Problemas muitas vezes no previstos Como superar esses problemas e suas consequncias?
4

Consequncia dos problemas

Perda de informaes Descontinuidade de negcio Gasto de recursos para correo dos problemas e lidar com as consequencias Desvios das metas da organizao Prejuzo financeiro
5

Em outras palavras, estas so questes de Segurana da Informao... ...mas, o que Segurana?

Segurana
Segurana: estar livre de perigos e incertezas O que deve estar seguro?
Tudo o que tiver valor para a empresa: ativos Exemplos? As medidas de seguranas sero as mesmas para todos os ativos?

As organizaes cada vez mais reconhecem o valor e as vulnerabilidades de seus ativos

7

Ativos
TUDO que tenha valor para a organizao Como organizar os ativos?
Atravs de suas caractersticas
Categorias de ativos Tangveis Intangveis Categorias de ativos Lgicos Fsicos Humano Exemplo Dados armazenados em um servidor Sistema de CRM Computadores Impressoras Empregados Prestadores de servios
8

Exemplo Informaes impressas Automveis Reputao de uma empresa Marca de um produto

...mas o que proteo?

Proteo dos ativos

Proteo: medidas para fornecer segurana aos ativos Os ativos devem ser protegidos considerando suas caractersticas particulares
Tipo de proteo Lgicos Fsicos Administrativa Exemplo Permisses em arquivos Firewalls Portas e fechaduras Guardas Polticas Normas
10

Classificao da Proteo
As medidas de proteo podem classificadas de acordo o momento ou ao aplicadado
Tipo de proteo Preventiva Desencorajadora Limitadora Monitoradora Detectora Reativa Corretiva Recuperativa Exemplo Evitar que incidentes ocorram Desencorajar a prtica de aes Diminui danos causados Monitora o estado e funcionamento Detecta a ocorrncia de incidentes Reage a determinados incidentes Repara falhas existentes Repara danos causados por incidentes
11

Segurana x Segurana da Informao

SI lida com um tipo especfico de ativo: ativo de informao AI: ativos que geram, processam, manipulam, transmitem e armazenam informaes

12

Segurana da Informao
Segundo a NBR ISO/IEC 27002:2007
Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizando os riscos e maximizando o retorno do investimento e oportunidade de negcios

13

Questo a rea de TI a nica detentora dos ativos, e consequentemente a responsvel pela segurana e proteo dos mesmos?

14

Aspectos da SI
Com o que algum se preocupa ao sair de casa e fechar a porta com uma chave?

Aspectos da SI
Confidencialidade Integridade Disponibilidade Outros: autenticao, legalidade, conformidade, no repdio, autenticidade

16

Confidencialidade
Sigilo Garantir que somente os interessados tenho conhecimento/acesso informao Exemplos?

17

Integridade
Garantir que as informaes no sejam alteradas, tanto de forma acidental quanto intencional Exemplos?

18

Disponibilidade
Garantir que as informaes estejam disponveis no momentos que os interessados precisarem acess-las Exemplos?

19

Modelos de Ataque
(Stallings, 1999)
Preveno Confidencialidade Disponibilidade Autenticao Integridade

origem

destino

Ameaas

Interceptao Fabricao Modificao Fluxo Interrupo normal

20

Formas de ataque
Passivos
Resultam na liberao dos dados

Ativos
Resultam na alterao ou destruio dos dados

21

 possvel garantir um nvel de segurana 100%? Quais as consequncias disso?

24

Componentes bsicos
Valor Ameaa Vulnerabilidade Impacto Risco

25

Componentes bsicos
Valor
Importncia do ativo para a organizao Pode-se utilizar alguma medida

Ameaa
Evento que tem potencial para comprometer os objetivos da organizao Seja atravs de danos diretos aos ativos ou prejuzos decorrentes de situaes inesperadas Explora vulnerabilidades
26

Componentes bsicos
Vulnerabilidade
Ausncia de um mecanismo de proteo Ou falhas (fraqueza) em mecanismo de proteo existente Permite que as ameaas se concretizem

Impacto
Prejuzo, medido atravs de propriedades mensurveis ou abstratas, causado por uma ameaa
27

Componentes bsicos
Risco
Probabilidade de uma ameaa se concretizar, combinada com o impacto que ela trar

Ataque
Ao que comprometa a segurana de uma organizao

28

Interao entre os componentes

29

O Ambiente
A SI compreende tanto a segurana fsica quanto na segurana das informaes armazenadas
Talvez essas questes sejam tratadas por reas diferentes na organizao

30

Por que proteo?

Evitar e minimizar prejuzos
Ex.: Furto de impressoras X Vrus/Worm

As ameaas quando se concretizam, afetam os objetivos estratgicos e operacionais da organizao

31

Origem dos eventos

Natural Acidental Intencional
Origem do Evento Natural Acidental Intencional Exemplo Desastres naturais Erros de usurios Falta de energia Invases Espionagem

32

Estratgias de proteo
Privilgio mnimo Defesa em profundidade Elo mais fraco Ponto de estragulamento Segurana atravs da obscuridade Simplicidade

33

Estratgias de proteo
Privilgio mnimo
Exposio a ameaas No expor a riscos desnecessrios Exemplo?

Defesa em profundidade
Ter vrios controles complementares e redundantes No existem controles infalveis Os controles devem possuir diversidade Exemplo?
34

Estratgias de proteo
Elo mais fraco
a fora de um corrente igual a fora de seu elo mais fraco Deve-se considerar a segurana total igual a segurana oferecida pelo elo mais frgil Exemplo?

Ponto de estrangulamento
Colocar um nico controle para entrada Exemplo?
35

Estratgias de proteo
Segurana atravs da obscuridade
Esconder informaes das pessoas que no precisam dela Quanto menos informao um atacante tiver, maior ser a dificuldade para invadi-lo Exemplo?

Simplicidade
Quanto mais complicado um sistema, mais difcil torn-lo seguro Exemplo?
36

Desafios atuais
Aumento da exposio
Consequncia da conexo das empresas Internet Informaes sigilosas podendo ser acessadas via Internet

Convergncia
Diversos dispositivos tambm esto se conectando a Internet

Os problemas tecnolgicos
Muitos padres/tecnologias utilizados, foram criados com pouca preocupao em segurana Falhas nos sistemas

Leis, regulamentaes e normas

Normas nacionais Normas internacionais

38

Segurana da Informao nas organizaes (1)

Viso
Fazer com que a segurana permeie a vida das organizaes, impactando o mnimo possvel a sua rotina, controlando os riscos

Metas
Incorporar a cultura e as prticas de segurana de trabalho Buscar tecnologias que cuidem da segurana enquanto as organizaes cuidam dos objetivos Aproximar-se do centro de deciso das organizaes, agregando valor, e ajudando no alcance de seus objetos Encontrar solues economicamente viveis para os problemas

39

Segurana da Informao nas organizaes (2)

Hierarquia
O pessoal de SI vem da rea de TI As atividades dessas duas reas so acumuladas pelos mesmos responsveis Sobreposio de funo, criam conflitos internos e comprometem a eficcia da segurana como um todo

40

Preparando a organizao
O que proteger? Contra o qu ou quem? Quais as vulnerabilidades/ameaas? Qual a importncia de cada recurso? Qual o grau de proteo desejado? Quanto tempo, recursos financeiros e humanos se pretende gastar? Quais as expectativas em relao a segurana da informao

41

Requisitos de Segurana
Deve-se considerar
Anlise/avaliao dos riscos da organizao Legislao vigente, estatutos, regulamentaes e clusulas contratuais da organizao Conjunto de princpios, objetivos e requisitos do negcio

42

Anlise/Avaliao dos riscos

Gastos com controles precisam ser balanceados de acordo com os danos potenciais Resultados direcionam e determinam aes gerenciais Tarefa peridica, para contemplar mudanas

43

Controles
Modo de gerenciar riscos, incluindo polticas, procedimentos, diretrizes, e prticas, que podem ser de natureza administrativa, tcnica, legal ou de gesto

44

Seleo de controles
Controles devem ser implementados para garantir a reduo dos riscos Dependem das decises da organizao quanto aos riscos Podem ser selecionados a partir de normas preestabelecidas ou de conjunto de controles especficos

45

Controles para SI
Controles essenciais
Proteo de dados e privacidade Proteo de registros organizacionais Direitos de propriedade intelectuais

46

Controles para SI
Poltica de Segurana da Informao Atribuio de responsabilidade Conscientizao, educao e treinamento em SI Processamento correto em aplicaes Gesto de vulnerabilidades Gesto da continuidade do negcio Gesto de incidentes de SI
47

Fatores de Sucesso
Poltica de Segurana da Informao Comprometimento dos nveis gerenciais Entendimento dos requisitos de segurana Divulgao eficiente Comunicao das polticas e normas de SI Proviso de recursos financeiros Processo eficiente de gesto de incidentes Medio da gesto da SI
48

NBR ISO/IEC
A segurana subjetiva
Ex.: Quantidade de policiais na rua

A ISO adotou norma Britnica, como guia de melhores prticas para gesto de SI Tambm adotada pela ABNT

49

Atividade 1 A1
Indique o modelo de ataque aplicvel. Justifique
Situao Adio de um registro falsificado em um BD Desativar um sistema de arquivos Modificao de dados trafegando na rede Destruio de um componente de hardware Captura de dados em rede, atravs de escutas Alterao de um programa para que execute de modo diferente
50

Modelo de ataque

Justificativa

Atividade 2 A2
Cite pelo menos uma vulnerabilidade possvel de ser explorada para concretizar uma ameaa segurana da informao. Justifique-se.
Pessoal de servio dirio de mensageiro realizando entrega e colega de mensagens Ex-funcionrios que deixaram a empresa porque foram dispensados Funcionrio viajando a servio da organizao e acessando a rede remotamente Utilizao de notebook pessoal sem cadastro na lista de ativos

51

Atividade 3 A3
Identifique a forma de ataque aplicvel a cada situao a seguir. Justifique-se.
Captura e acesso a um arquivo transferido de um cliente a um servidor via rede Alterao da parte de uma mensagem legtima Anlise de trfego de rede utilizando um sniffer Utilizao de login e senha de outro usurio
52

Atividade A4
Pesquise reportagens que abordem aspectos de segurana da informao
Faa resumo em, no mximo, 3 linhas da reportagem Identifique elementos de SI presentes na reportagem (conceitos, aspectos, ataques, componentes, controles) Faa um comentrio crtico sobre os problemas e solues abordados na reportagem
54