aula.revisao av2 gsi

Download Aula.revisao av2 gsi

Post on 04-Jul-2015

427 views

Category:

Education

1 download

Embed Size (px)

DESCRIPTION

Revisao AV2 da matéria Segurança da Informação

TRANSCRIPT

  • 1. GESTO DE SEGURANA DA INFORMAOPROF. RENATO GUIMARES

2. PRINCPIOSConfidencialidade- Trata-se da manuteno do segredo, do sigiloou da privacidade das informaes;- Esta propriedade indica que os dados einformaes no deveriam ser acessveis a,ficar disponveis para ou ser divulgados ausurios, entidades, sistemas ou processosno autorizados e aprovados. 3. PRINCPIOSIntegridade- Trata-se da manuteno das informaestal e qual tenham sido geradas;- Esta propriedade indica que os dados einformaes no deveriam ser alteradosou destrudos de maneira no autorizadae aprovada. 4. PRINCPIOSDisponibilidade- Trata-se da possibilidade de acessocontnuo,ininterrupto, constante eatemporal s informaes;- Esta propriedade indica que o acesso aosservios oferecidos pelo sistema deveriaser sempre possvel para um usurio,entidade, sistema ou processo autorizadoe aprovado. 5. FATORES QUE IMPACTAM NA SEGURANA Exemplo assalto a residnciaAtivos: Objetos existentes na casa.Vulnerabilidade: Porta com fechadura simples.Ameaa: Pode haver um arrombamento e assalto.Impactos: Perda de conforto, necessidade decomprar tudo de novo.Contra-medidas: Fechadura qudrupla, portas ejanelas blindadas, alarme, cachorro, vigia,seguro, etc. 6. QUANDO PROTEGER?No Ciclo de vida da Informao 7. Manuseio: Momento em que a informao criada e manipulada, seja ao folhear um maode papis, ao digitar informaes recm-geradas em uma aplicao internet, ou ainda,ao utilizar sua senha de acesso paraautenticao. 8. Armazenamento: Momento em que ainformao armazenada, seja em umbanco de dados compartilhado, em umaanotao depapel posteriormentecolocado em um arquivo de metal, ouainda, em um pendrive depositado emuma gaveta, por exemplo. 9. Transporte: Momento em que a informao transportada, seja ao encaminhar informaespor correio eletrnico (e-mail), ao postar umdocumento via aparelho de fax, ou ainda, aofalar ao telefoneuma informaoconfidencial, por exemplo. 10. Descarte: Momento em que a informao descartada, seja ao depositar na lixeira daempresa um material impresso, seja aoeliminar um arquivo eletrnico em seucomputador de mesa, ou ainda, ao descartarum CD-ROm usado que apresentou falha naleitura. 11. O QUE SO VULNERABILIDADES?Pontos fracos em que os ativos estosuscetveis a ataques - fatores negativosinternos.Permitem o aparecimento de ameaaspotenciais continuidade dos negciosdas organizaes. 12. O QUE SO AMEAAS?Representam perigo para os ativos -fatores externos;Oferecem riscos potenciais aoambiente de TI e continuidade dosnegcios;Podem afetar aspectos bsicos dasegurana. 13. RECEITA DE UM ATAQUE 14. RECEITA DE UM ATAQUELevantamento das informaesA fase de reconhecimento uma fase preparatriaonde o atacante procura coletar o maior nmeropossvel de informaes sobre o alvo em avaliaoantes do lanamento do ataque. 15. RECEITA DE UM ATAQUEExistem duas formas de realizar o reconhecimento:ativo e passivo.- O reconhecimento passivo envolve a aquisio deinformao sem interao direta com o alvo.- O reconhecimento ativo envolve interao diretacom o alvo atravs de algum meio, como por exemplo,contato telefnico por meio do help desk oudepartamento tcnico. 16. RECEITA DE UM ATAQUEExplorao das informaes (scanning)Fase onde o atacante explora a rede baseado nasinformaes obtidas na fase de reconhecimento. Estafase apresenta um alto risco para os negcios de umaempresas, pois alm de ser considerado uma fase depr-ataque envolve a utilizao de diferentes tcnicase softwares, como por exemplo, a utilizao de portscan, scanner de vulnerabilidade e network mapping. 17. RECEITA DE UM ATAQUEObteno do acessoEsta fase consiste na penetrao do sistema propriamente dita.Nesta fase so exploradas as vulnerabilidades encontradas nosistema. Isto pode ocorrer atravs da internet, da rede local,fraude ou roubo. Os fatores que iro influenciar nos mtodosutilizados pelo atacante sero: a arquitetura e configurao doalvo escolhido, o grau de conhecimento do atacante e o nvelde acesso obtido.Nesta fase o atacante poder obter acesso a nvel de: sistemaoperacional, aplicao e rede. 18. RECEITA DE UM ATAQUEManuteno do acessoNesta fase o atacante tenta manter seu prpriodomnio sobre o sistema. Poder tambm protege-lode outros atacantes atravs da utilizao de acessosexclusivos obtidos atravs de rootkits, backdoors outrojans. Poder ainda fazer upload, download emanipulao dos dados, aplicaes e configuraes damquina atacada. Nesta fase o sistema atacado poderficar comprometido. 19. RECEITA DE UM ATAQUECamuflagem das evidnciasEsta fase consiste na atividade realizada pelo atacantede tentar camuflar seus atos no autorizados com oobjetivo de prolongar sua permanncia na mquinahospedeira, na utilizao indevida dos recursoscomputacionais. 20. EQUAO DA SEGURANA NO DESENVOLVIMENTOSeguranaPrazo Custo== Produtividade Funcionalidade 21. O QUE RISCO?Probabilidade de uma ameaa explorar uma (ou vrias)vulnerabilidades causando prejuzos. Os riscos estosempre associados ocorrncia de algum incidente. Suaescala dada por dois fatores:Probabilidade de ocorrncia da ameaa medida atravsda combinao da sua freqncia com a avaliao dasvulnerabilidades;Conseqncias trazidas pela ocorrncia do incidente(impacto); 22. IMPACTO NOS NEGCIOS Impactos financeiros:- Perdas de receitas / vendas / juros / descontos;- Pagamento de multas contratuais;- Cancelamento de ordens de vendas por atraso;- Indisponibilidade de fundos;- Despesas extraordinrias com servios externos, funcionrios temporrios, compras de emergncia, etc. 23. IMPACTO NOS NEGCIOS Impactos operacionais:- Interrupo dos negcios;- Perda da capacidade de atendimento a clientes externos e internos (i.e. alta gerncia);- Problemas de imagem;- Problemas de perda de confiana (de clientes, de entidades reguladoras, etc.). 24. ETAPAS DA GESTO DE RISCO 25. BARREIRAS DE SEGURANABarreira1: desencorajarEsta a primeira das barreiras de segurana e cumpreo papel importante de desencorajar as ameaas. Estas,por sua vez, podem ser desmotivadas ou podemperder o interesse e o estmulo pela tentativa dequebra de segurana por efeito de mecanismos fsicos,tecnlgicos ou humanos. A simples presena de umacamra de vdeo, mesmo falsa, de um aviso deexistncia de alarmes, j so efetivos nesta fase. 26. BARREIRAS DE SEGURANABarreira2: DificultarO papel desta barreira complementar anterioratravs da adoo efetiva dos controles que irodificultar o acesso indevido. Podemos citar osdispositivos de autenticao para acesso fsico, porexemplo. 27. BARREIRAS DE SEGURANABarreira 3: Discriminar Aqui o importante se cercar de recursos quepermitam identificar e gerir os acessos, definindoperfis e autorizando permisses. Os sistemas solargamente empregados para monitorar e estabelecerlimites de acesso aos servios de telefonia, permetrosfisicos, aplicaes de computador e banco de dados. 28. BARREIRAS DE SEGURANABarreira 4: DetectarEsta barreira deve munir a soluo de segurana dedispositivos que sinalizem , alertem e instrumentem osgestores da segurana na deteco de situaes derisco. Seja uma tentativa de invaso ou por umapossvel contaminao por vrus, por exemplo. 29. BARREIRAS DE SEGURANABarreira 5: DeterEsta barreira representa o objetivo de impedir que aameaa atinja os ativos que suportam o negcio. Oacionamentodestabarreira, ativandoseusmecanismos de controle, um sinal de que asbarreiras anteriores no foram suficientes para contera ao da ameaa. Neste momento, medidas dedeteno, como aes administrativas, punitivas ebloqueio de acessos fsicos e lgicos, so bonsexemplos. 30. BARREIRAS DE SEGURANABarreira 6: DiagnosticarApesar de representar a ltima barreira no diagrama,esta fase tem um sentido especial de representar acontinuidade do processo de gesto de segurana dainformao. Cria o elo de ligao com a primeirabarreira, criando um movimento cclico e contnuo.Devido a estes fatores a barreira de maiorimportncia. Deve ser conduzida por atividades deanlise de risco que consideram tanto os aspectostecnolgicos quanto os fsicos e humanos. 31. ISO 27002 Esta norma estabelece um referencial para asorganizaes desenvolverem, implementaremavaliarem a gesto da segurana da informao.Estabelece diretrizes e princpios gerais para iniciar,implementar, manter e melhorar a gesto desegurana da informao em uma organizao. 32. ISO 27002- Poltica de Segurana da Informao;- Organizando a Segurana da Informao;- Gesto de Ativos;- Segurana em Recursos Humanos;- Segurana Fsica e do Ambiente;- Gesto das Operaes e Comunicaes;- Controle de Acesso;- Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao;- Gesto de Incidentes de Segurana da Informao;- Gesto da Continuidade do Negcio;- Conformidade; 33. ISO 27002 essencial que a organizao identifique os requisitos desegurana da informao, atravs de trs fontes principais: 34. ISO 27002 Anlise de Risco:A partir da anlise/avaliao de riscos levando-se emconta os objetivos e estratgias globais daorganizao so identificadas as ameaas aos ativos eas vulnerabilidades. realizada ainda uma estimativade ocorrncia das ameaas e do impacto potencial aonegcio. 35. ISO 27002 Requisito de Negcio: Uma outra fonte o conjunto de princpios, objetivos e os requisitos de negcio para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes. 36. ISO 27002 Requisitos legais:Legislao vigente, estatutos, regulamentao eclusulas contratuais que a organizao, seusparceiros comerciais, contratados e provedores deservio tem que atender. 37. ISO 27001 Esta norma define os requisitos para aimplementao de um Sistema de Gesto deSegurana da Informao (SGSI). Especifica osrequisitos para estabelecer, implementar, operar,monitorar, analisar criticamente, manter e melhorarum SGSI documentado dentro do contexto dos riscosde negcio globais da organizao, permitindo queuma empresa construa de forma muito rpida umapoltica de segurana baseada em controles desegurana eficientes. 38. GESTO DO SGSI 39. PDCA Plan (estabelecer o SGSI): Para estabelecer o SGSI aorganizao deve definir:- O escopo do SGSI alinhado com as caractersticas de