O Ambiente Cooperativo. Fatores que justificam segurana. Conceitos Bsicos. O que segurana computacional. Requisitos de Segurana. O que Poltica de Segurana
O Conceito de Dado
Dado = Uma cadeia (string) de smbolos, mas considerando-se algum significado.
Dados = vrias cadeias de smbolos concatenados, considerando-se um significado, que a semntica dos dados.
Conceito de Informao
Os dados, inseridas num determinado contexto, proporcionam alguma informao relevante a ser considerada.
Integrao dos mais diversos sistemas de diferentes organizaes.
Partes envolvidas cooperam entre si, na busca de rapidez e eficincia nos processos e realizaes dos negcios.
No Ambiente Cooperativo
Diferentes tipos de usurios Desafios a serem enfrentados no ambiente cooperativo Complexidade que envolve a segurana desses ambientes Modelo de segurana
Num Ambiente Cooperativo Complexo
Existem vulnerabilidades, ameaas, ataques, riscos, e impactos.
A complexidade da infraestrutura de rede atinge nveis considerveis.
No Ambiente Cooperativo
Toda informao tem valor e precisa ser protegida.
preciso a segurana das informaes que fazem parte dessa rede.
Fatores que justificam Segurana
Fragilidade da tecnologia existente.
Novas tecnologias trazem novas vulnerabilidades.
Novas formas de ataques so criadas.
Entender a natureza dos ataques fundamental.
Fatores que justificam Segurana
Aumento da conectividade resulta em novas possibilidades de ataques.
Existncia de ataques direcionados e oportunsticos.
Aumento dos crimes digitais.
Fatores que justificam Segurana A falta de uma classificao das informaes quanto ao seu valor e a sua confiabilidade, para a definio de uma estratgia de segurana.
Controle de acesso mal definido.
A Internet um ambiente hostil, e portanto, no confivel.
Fatores que justificam Segurana
A interao entre diferentes ambientes resulta na multiplicao dos pontos vulnerveis.
Fazer a defesa (segurana) mais complexa do que o ataque.
A Abrangncia da Segurana Segurana x Funcionalidades
Segurana inversamente proporcional as funcionalidades (servios, aplicativos, o aumento da complexidade das conexes, ...)
Aspectos da Segurana Segurana x Produtividade
A administrao da segurana deve ser dimensionada, sem que a produtividade dos usurios seja afetada.
Geralmente, a segurana antagnica produtividade dos usurios.
Objetivo Final
A tentativa de estabelecer uma rede totalmente segura no conveniente.
As organizaes devem definir o nvel de segurana, de acordo com suas necessidades, j assumindo riscos.
Construir um sistema altamente confivel, que seja capaz de dificultar ataques mais casuais. Problemas de Segurana da Informao
Garantir que pessoas mal intencionadas no leiam ou, pior ainda, modifiquem mensagens enviadas a outros destinatrios.
Pessoas que tentam ter acesso a servios remotos, os quais elas no esto autorizadas. Problemas de Segurana da Informao
Distino entre uma mensagem supostamente verdadeira e uma mensagem falsa.
Mensagens legtimas podem ser capturadas e reproduzidas.
Pessoas que negam ter enviado determinadas mensagens. Segurana Computacional
Segurana da Informao,
Segurana de Sistemas,
Segurana de Aplicaes,
Segurana de Redes. O QUE SEGURANA DA INFORMAO Requisitos para Segurana da Informao
Disponibilidade Confidencialidade Integridade Privacidade Autenticidade Controle de Acesso No-Repdio da Informao Aspectos no computacionais da Segurana da Informao
Normativos Conceitos, Diretrizes, Regulamentos, Padres Planos de Contingncia Estatsticas Legislao
25 Disponibilidade
A informao deve ser entregue no momento que ela precisar.
A informao estar disponvel para acesso no momento desejado. Confidencialidade
A informao transmitida so acessveis somente a partes autorizadas. Privacidade
As informaes pessoais podem ser fornecidas, mas somente com a autorizao do proprietrio da informao ou medida judicial.
Informaes mdicas ou financeira. Integridade
Garante a proteo da informao contra modificaes no autorizadas. escrever, mudar, mudar status, apagar, Criar Atrasar responder mensagens.
Autenticidade
Validar a identidade de um usurio, ou um dispositivo em um sistema.
Assegura que a identidade e a informao no so falsas. Controle de Acesso
Procedimentos operacionais para detectar e prevenir acessos no autorizados e permitir acessos autorizados num sistema.
No-Repdio
Nem o transmissor nem o receptor da informao, podem negar o envio/recepo da informao.
O que Segurana da Informao
Define restries aos recursos da informao.
Segurana da Informao a gesto de tais restries.
Para gerir restries, polticas de segurana precisam ser definidas.
Contribuio da Segurana da Informao
Garantir a continuidade do negcio
Minimizar o risco ao negcio
Maximizar o retorno sobre os investimentos. O que uma Poltica de Segurana
Poltica de Segurana um conjunto de diretrizes e diretivas que definem formalmente as regras e os direitos dos funcionrios e prestadores de servios, visando proteo adequada dos ativos da informao.
Essa poltica est baseada em diretrizes de segurana e diretivas de privacidade. Diretrizes de Segurana
Proteger as informaes Assegurar Recursos Garantir Continuidade Cumprir Normas Atender s Leis Selecionar Mecanismos Comunicar Descumprimento Diretivas de Privacidade
As informaes so coletadas de forma legal e sob o conhecimento do usurio;
As informaes so enviadas empresa de forma segura com mtodos de criptografia e certificao digital.
As informaes enviadas empresa sero armazenadas de forma ntegra, sem alterao de qualquer parte. Diretrizes de Privacidade As informaes so armazenadas de forma segura e criptografada restringindo o acesso somente s pessoas autorizadas;
As informaes sero utilizadas apenas para as finalidades aprovadas pela Organizao;
As informaes dos clientes nunca sero fornecidas a terceiros, exceto por determinao legal ou judicial. Gesto de Segurana da Informao Da normatizao ABNT NBR, ISO/IEC 27002:2005
Mediante tal embasamento e considerando o disposto em seu Planejamento Estratgico, uma empresa pode resolver implantar um Sistema de Gesto de Segurana da Informao (SGSI), cuja estrutura e diretrizes so expressas num documento. Ciclo de Segurana O processo de segurana da informao pode ser visto, conforme o ciclo:
Anlise de Segurana Atualizao de regras de segurana Implementao e divulgao das regras Administrao de segurana Auditorias O que Segurana de Sistemas
Segurana de Sistemas Operacionais
Segurana de Bancos de Dados
O que Segurana de Aplicao
Mecanismos de segurana inerentes linguagem de programao usada.
Segurana nos Navegadores, Aplicaes na Web, Clientes de Email e aplicativos em geral. O que Segurana de Rede
Segurana provida nos elementos de rede (roteadores, switches, pontos de acesso em redes sem fio, ...).
Segurana provida nos segmentos de rede.
Segurana nos protocolos de comunicao. CONCEITOS Vulnerabilidade, Ameaa, Ataque, Intruso Conceito de Intruso Anlise da Vulnerabilidade (descobrir o melhor caminho para chegar at a invaso).
Preparao das Ferramentas (constri ou escolhe as ferramentas para a invaso).
Ameaa ou Tentativa de Ataque (quando o invasor pula o muro).
Ataque (concretiza o arrombamento).
Invaso ou Penetrao (quando obtm sucesso). Vulnerabilidades
Pontos Fracos por onde se pode atacar.
Uma falha de segurana em um sistema de software ou de hardware que pode ser explorada para permitir a efetivao de uma intruso. Ameaas
Pulando o Muro Uma ao ou evento que pode prejudicar a segurana. a tentativa de ataque a um sistema de informao, explorando suas vulnerabilidades, no sentido de causar dano confidencialidade, integridade ou disponibilidade. Conceito de Ataque Arrombamento
O ato de tentar desviar dos controles de segurana de um sistema.
Qualquer ao que comprometa a segurana da informao de propriedade de uma organizao. Ataque Ativo x Passivo
Pode ser ativo, tendo por resultado a alterao dos dados.
Pode ser passivo, tendo por resultado a obteno da informao: escuta oculta de transmisses, anlise de trfego. Ataque Externo x Ataque Interno
Pode ser externo, quando originado de fora da rede protegida.
Pode ser interno, quando originado de dentro da rede protegida de uma instituio. Ataque: Sucesso x Insucesso
O fato de um ataque estar acontecendo, no significa necessariamente que ele ter sucesso.
O nvel de sucesso depende da vulnerabilidade do sistema ou da eficincia das contramedidas de segurana existentes Conceito de Intruso (Invaso)
Acesso bem sucedido, porm no autorizado, em um sistema de informao.
Sucesso no ataque.
Obteno da Informao.
Risco
Risco a probabilidade da ocorrncia de uma ameaa particular.
Anlise de Risco Identificao e avaliao do riscos que os recursos da informao esto sujeitos.
Risco
Gerenciamento de Riscos - Inclui a anlise de risco, a anlise de custo-benefcio, a avaliao de segurana das protees e a reviso total da segurana.
Risco Residual: Riscos ainda existentes depois de terem sido aplicadas medidas de segurana. Impacto a representao (normalmente em forma de avaliao) do grau de dano percebido associado aos bens de uma empresa.
Grau de Dano = Severidade (qualitativo)
A consequncia para uma organizao da perda de confidencialidade, disponibilidade e (ou) integridade de uma informao.