6 - Ativo, Ameaça, Vulnerabilidade

Download 6 - Ativo, Ameaça, Vulnerabilidade

Post on 29-Jun-2015

1.195 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

<p>ATIVOS, AMEAAS E VULNERABILIDADESLuiz Eduardo Guarino de Vasconcelos</p> <p>Objetivo Ativo Ameaa Vulnerabilidade Risco Medidas de segurana</p> <p>Voc sabia que 94% das empresas que perdem seus dados desaparecem? * Segundo um estudo realizado pela Universidade do Texas, apenas 6% das empresas que sofrem um desastre informtico sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Pesquisas do Gartner Group, ainda que mais moderadas, confirmam essa tendncia ao indicar que duas de cada cinco empresas que enfrentam grandes ataques ou danos em seus sistemas deixam de existir por isso que a Hitachi Data Systems assegura que o mercado de armazenamento de dados crescer cerca de 12% ao ano no Chile at 2008.</p> <p>O que so Ativos?Os ativos so elementos que a segurana busca proteger. Os ativos possuem valor para as empresas e, como conseqncia, precisam receber uma proteo adequada para que seus negcios no sejam prejudicados. So trs os elementos que compem o que chamamos de ativos: As informaes; Os equipamentos e sistemas que oferecem suporte a elas (SW, HW, Organizao); As pessoas que as utilizam.</p> <p>Ativo: InformaoQualquer tipo de informao, independente do tipo de meio em que esteja armazenada, que seja importante para a empresa e seus negcios Cultura importante, exemplos desses ativos so: Documentos, relatrios, livros, manuais, correspondncias, patentes, informaes de mercado, cdigo de programao, linhas de comando, arquivos de configurao, planilhas de remunerao de funcionrios, plano de negcios de uma empresa etc.</p> <p>Ativo: InformaoPossveis vulnerabilidades Documentos abandonados em locais pblicos, informaes publicadas em sistemas sem proteo de acesso, correspondncia em envelope no lacrado.</p> <p>Ativo: SOFTWAREProgramas de computador utilizados para a automatizao de processos, isto , acesso, leitura, trnsito, armazenamento e processamento das informaes. Dentre eles citamos: Os aplicativos comerciais Programas institucionais Sistemas operacionais</p> <p>Ativo: SOFTWAREPossveis vulnerabilidades Falhas conhecidas e no reparadas que podem ser exploradas para permitir acessos no autorizados aos computadores. Sistema de autenticao por senha que permite o uso de senhas em branco.</p> <p>Ativo: HardwareRepresentam toda a infra-estrutura tecnolgica que oferece suporte informao durante seu uso, trnsito, processamento e armazenamento. Faz parte desse grupo qualquer equipamento no qual se armazene, processe ou transmita as informaes da empresa: As estaes de trabalho Os servidores Os computadores portteis Os mainframes As mdias de armazenamento</p> <p>Ativo: HardwarePossveis vulnerabilidades Infra-estrutura eltrica sujeita a falhas que danifiquem os equipamentos, centros de computao sujeitos a inundaes, computadores portteis sem vigilncia em locais pblicos.</p> <p>Ativo: OrganizaoEstrutura fsica e organizacional das empresas. Refere-se organizao lgica e fsica. Temos, entre outros: A estrutura departamental e funcional O quadro de alocao dos funcionrios A distribuio de funes e os fluxos de informao da empresa os servidores Em relao ao ambiente fsico, entre outros, so considerados: Salas e armrios onde esto localizados os documentos, fototeca, sala de servidores de arquivos</p> <p>Ativo: OrganizaoPossveis vulnerabilidades Localizao insegura de documentos, equipamentos ou pessoas. Estrutura organizacional que no permita mudanas em termos de segurana. Ausncia de equipe dedicada de segurana.</p> <p>Ativo: HumanoO grupo usurios refere-se aos indivduos que utilizam a estrutura tecnolgica e de comunicao da empresa e que lidam com a informao. Formao do hbito da segurana em todos os funcionrios. So exemplos deste tipo de ativo: Funcionrios da rea de contabilidade. Direo da empresa</p> <p>Ativo: HumanoPossveis vulnerabilidades Desconhecimento dos mtodos de escolha de senhas fortes. Resistncia de funcionrios a adotar prticas de segurana. Descuido por parte dos usurios na manipulao da informao.</p> <p>AmeaasPara cada um dos grupos apresentados foram identificadas vulnerabilidades. Vulnerabilidades no seriam um problema se no houvesse elementos capazes de explor-las, causando danos. Estes elementos so conhecidos como Ameaas. As ameaas so causa potencial de um incidente indesejado, que caso se concretize pode resultar em dano. Ameaas exploram as falhas de segurana, que denominamos pontos fracos, e, como conseqncia, provocam perdas ou danos aos ativos de uma empresa, afetando os seus negcios.</p> <p>NotciaA Atos Origin, parceira tecnolgica mundial do Comit Olmpico Internacional (COI), anunciou em Londres, no dia 17 de setembro de 2004, que a soluo de segurana implementada na infra-estrutura tecnolgica dos Jogos Olmpicos de Atenas 2004 conseguiu resolver sem problemas os ataques de vrus e hackers ocorridos durante o evento, garantindo a no-interrupo das transmisses e uma retransmisso precisa e em tempo real dos resultados tanto para os meios de comunicao para o resto do mundo. Durante os 16 dias que durou a competio, foram registrados mais de cinco milhes de alertas de segurana nos sistemas de informao dos Jogos, dos quais 425 foram graves e 20, crticos. Entre os invasores, encontravam-se pessoas autorizadas que pretendiam desconectar o sistema INFO 2004 a Intranet dos Jogos Olmpicos, que oferecia os resultados e o calendrio de provas, alm de informaes sobre os atletas , com a finalidade de conectar os computadores portteis para obter acesso Internet. A equipe responsvel conseguiu oferecer uma resposta rpida a todos esses alertas e evitar acessos noautorizados. Devido ao enorme aumento no nmero de ataques e vrus de computador dos ltimos anos, a Atos Origin transformou a segurana tecnolgica em sua prioridade mxima, melhorando-a de forma significativa em relao de Salt Lake City, afirma o diretor de tecnologia do COI, Philippe Verveer. A Atos Origin gerenciou de forma eficiente e eficaz o grande nmero de alertas de segurana registrados durante os Jogos, garantindo que sua infra-estrutura tecnolgica no fosse afetada.</p> <p>AmeaasPodem ser: Causas naturais ou no-naturais Causas internas ou externas E sobre frequncia podem se dividir em: Ameaas naturais condies da natureza e a intemprie que podero provocar danos nos ativos, tais como fogo, inundao, terremotos. Intencionais so ameaas deliberadas, fraudes, vandalismo, sabotagens, espionagem, invases e furtos de informaes, entre outros. Involuntrias so ameaas resultantes de aes inconscientes de usurios, por vrus eletrnicos, muitas vezes causados pela falta de conhecimento no uso dos ativos, tais como erros e acidentes.</p> <p>Ameaa Vrus Divulgao de senhas Hackers Funcionrios insatisfeitos Acessos indevidos Vazamento de informaes Erros e acidentes Roubo/furto Fraudes</p> <p>% 75 57 44 42 40 33 31 18 18</p> <p>VulnerabilidadeAs vulnerabilidades so os elementos que, ao serem explorados por ameaas, afetam a confidencialidade, a disponibilidade e a integridade das informaes de um indivduo ou empresa. Um dos primeiros passos para a implementao da segurana rastrear e eliminar os pontos fracos de um ambiente de tecnologia da informao.</p> <p>Vulnerabilidade importante conhecer a estrutura para causar menos impactos nos sistemas, comprometendo os princpios da segurana da informao. Fsicas: instalaes Naturais: natureza (incndio, enchente, etc) Hardware: Defeitos e m configurao de equipamentos Softwares: aplicativos Meios de armazenamento: HD, pen-drive, servidor Comunicao: fibra, rdio, telefone, etc Humanas: senhas fracas, compartilhamento de senhas, etc</p> <p>RiscoRisco a probabilidade de que as ameaas explorem os pontos fracos, causando perdas ou danos aos ativos e impactos no negcio, ou seja, afetando: a confidencialidade, a integridade e a disponibilidade da informao.</p> <p>O que so medidas de segurana?So aes orientadas para a eliminao de vulnerabilidades, com o objetivo de evitar que uma ameaa se torne realidade. Aes podem ser: Preventivas: Busca evitar o surgimento de novos pontos fracos e ameaas. Perceptivas: Busca revelar atos que possam pr em risco as informaes. Corretivas: Buscar corrigir os problemas de segurana medida que eles ocorrem.</p> <p>medidas de seguranaAnlise de riscos uma medida que busca rastrear vulnerabilidades nos ativos que possam ser explorados por ameaas. A anlise de riscos tem como resultado um grupo de recomendaes para a correo dos ativos a fim de que possam ser protegidos.</p> <p>medidas de seguranaDiretiva de segurana uma medida que busca estabelecer os padres de segurana que devem ser seguidos por todos os envolvidos no uso e na manuteno dos ativos. uma forma de administrar um conjunto de normas para guiar as pessoas na realizao de seu trabalho. o primeiro passo para aumentar a conscincia da segurana das pessoas, pois est orientada para a formao de hbitos, por meio de manuais de instruo e procedimentos operacionais.</p> <p>medidas de seguranaEspecificaes de segurana So medidas que objetivam instruir a correta implementao de um novo ambiente tecnolgico atravs do detalhe de seus elementos constituintes e a forma como os mesmos devem estar dispostos para atender aos princpios da segurana da informao.</p> <p>medidas de seguranaAdministrao da segurana So medidas integradas para produzir a gesto dos riscos de um ambiente. A administrao da segurana envolve todas as medidas mencionadas anteriormente, a do tipo preventiva, perceptiva e corretiva, com base no ciclo da segurana apresentado a seguir.</p> <p>Exerccio 1Um executivo da empresa U-TI esqueceu a senha de trs importantes arquivos que contm informaes sobre as finanas da empresa (um .doc e dois .xls) Voc dever descobrir as senhas destes arquivos usando quaisquer recursos. Ao descobri-las, envie por e-mail a soluo adotada de forma detalhada (as tentativas que falharam, a tentativa com sucesso e o tempo mdio utilizado para quebrar cada uma delas) e as senhas encontradas para du.guarino@gmail.com Apenas o primeiro que enviar o e-mail ser considerado</p> <p>Exerccio 2Pesquise 2 programas que recuperam arquivos e pastas de pen-drive ou HD e faa uma comparao entre eles. Responda: Onde conseguir? Funcionamento Quantos arquivos e pastas foram recuperadas? Qual o melhor? Gratuito ou pago? Trial ou Completo?</p> <p>Bibliografia Novo Dicionrio Aurlio O Dicionrio da Lngua Portuguesa edio de 1999. Timeline of the History of Information - Geoffrey Numberg Security Controls for Computer Systems: Report of Defense Science Boad Task Force on Computer Security. Editado por W. H. Ware. CSC-STD-001-83 - Library No. S225,711 - Department of Defense Trusted Computer System Evaluation Criteria - 15 August 1983. An Introduction to Computer Security: The NIST Handbook Special Publication 800-12. http://www.iso27001security.com/html/iso27000.html. Decreto No 3.505, de 13 de junho de 2.000 Presidncia da Repblica Casa Civil. Segurana de Redes Projeto e gerenciamento de redes seguras Thomas A. Wadlow. Editora Campus, 2000.</p>