O Valor da O Valor da Segurança da Segurança da
InformaçãoInformação
O Valor da O Valor da Segurança da Segurança da
InformaçãoInformaçãoEduardo Silvestri
www.eduardosilvestri.com.br
Tópicos DiscutidosTópicos Discutidos Importância da Segurança da InformaçãoImportância da Segurança da Informação Tipos de AtaquesTipos de Ataques Tipos de SegurançaTipos de Segurança Classificação da InformaçãoClassificação da Informação Ciclo de Vida de SegurançaCiclo de Vida de Segurança Mecanismos de ProteçãoMecanismos de Proteção
A importânciaA importânciada Segurançada Segurança
Causas e ConseqüênciasCausas e Conseqüências
A importância da InformaçãoA importância da Informação
Quanto vale informação para uma empresa?
Sem Informação uma empresa pode sobreviver quanto tempo?
O que exatamente precisa de ser protegido?
Roubo de NotebooksRoubo de Notebooks
Quanto custa um Notebook ?
Aproximadamente R$ 10.000,00
Quanto custa a informação do Notebook ?
10 a 20 vezes o valor do Notebook.
Fonte de Problemas ou AtaquesFonte de Problemas ou AtaquesEstudante – Alterar ou enviar e-mail em
nome de outros.
Hacker - Examinar a segurança do Sistema; Roubar informação.
Empresário - Descobrir o plano de marketing estratégico do competidor.
Ex-empregado - Vingar-se por ter sido despedido.
Fonte de Problemas ou AtaquesFonte de Problemas ou AtaquesContador - Desviar dinheiro de uma
empresa
Corretor - Negar uma solicitação feita a um cliente por e-mail.
Terrorista - Roubar segredos de guerra
Outros
Cenário Atual do MundoCenário Atual do Mundo
O "vírus do amor" causou um prejuízo de US$2,5 bi nas O "vírus do amor" causou um prejuízo de US$2,5 bi nas empresas e atingiu por volta de 600 mil computadores nos empresas e atingiu por volta de 600 mil computadores nos EUAEUA
Site Anti-Hackers - 10 de maio de 2000Site Anti-Hackers - 10 de maio de 2000
Computador com segredos de Estado desaparece nos EUAComputador com segredos de Estado desaparece nos EUA
Folha de São Paulo - 24 de Abril de 2003Folha de São Paulo - 24 de Abril de 2003
Roubo de notebooks com dados sigilosos assusta empresasRoubo de notebooks com dados sigilosos assusta empresas
IDG Now! - 18 de Setembro de 2002IDG Now! - 18 de Setembro de 2002
Hackers roubam cartões de crédito de site pró-israelitaHackers roubam cartões de crédito de site pró-israelitaSite Securenet - 06 de fevereiro de 2003Site Securenet - 06 de fevereiro de 2003
Mais de 80% dos “ataques” são Mais de 80% dos “ataques” são
internos e anônimos.internos e anônimos.
Não há mecanismos tecnológicos e Não há mecanismos tecnológicos e
legais para responsabilizar usuários.legais para responsabilizar usuários.
Vulnerabilidade & Vulnerabilidade & ResponsabilidadeResponsabilidade
Tipos de Crimes % Vítimas Custo Médio US$
Acesso Não Autorizado 55% $143,000
Roubo de informações 26% $1,848,000
Fraudes em Telecom 17% $27,000
Fraudes Financeiras 14% $1,471,000
Penetração do Sistema 31% $103,000
Sabotagem de Dados/Rede
19% $164,000
Abuso de Acesso a Redes
97% $93,500
“Escutas” em Telecom 13% $76,500
Infecção por Vírus 90% $45,500
Grampos Ativos 2% $20,000
Roubo de NoteBooks 69% $87,000
Custos com Fraudes!Custos com Fraudes!
O que é Segurança ?O que é Segurança ?
Um mecanismo de Segurança Um mecanismo de Segurança da Informação providencia da Informação providencia
meios para reduzir as meios para reduzir as vulnerabilidades existentes em vulnerabilidades existentes em
um Sistema de Informação.um Sistema de Informação.
Segurança envolve Segurança envolve tecnologia, processos e tecnologia, processos e
pessoaspessoas
Base da Segurança da Base da Segurança da InformaçãoInformação
IntegridadeIntegridade
DisponibilidadeDisponibilidade
ConfidencialidadeConfidencialidade
Principais ObstáculosPrincipais Obstáculos
0%
5%
10%
15%
20%
25%
30%
35%
40%
Fe
rram
en
tas
Co
nsciê
ncia
Re
c. H
um
an
os
Orç
am
en
to
Ge
rên
cia
Ou
tro
s
Como ImplementarComo Implementar
O que deve ser protegido?O que deve ser protegido?
Dono da informaçãoDono da informação
Risco x Custo de proteção?Risco x Custo de proteção?
ExecutivoExecutivo
Como ImplementarComo Implementar
Como deve ser protegido?Como deve ser protegido?
Profissional de “security”Profissional de “security”
Como deve ser implementado?Como deve ser implementado?
TecnologiaTecnologia
Ameaças na SegurançaAmeaças na Segurança
F DFonte de
InformaçãoDestino daInformação
Fluxo Normal
F D
Interrupção
F D
InterceptaçãoI
F D
Modificação
M
F D
Fabricação
F
Como prevenir e evitar Como prevenir e evitar ataques ?ataques ?• Restringir ao máximo o acesso dos
usuários às informações vitais da organização;
• Restringir o acesso físico às áreas críticas;
• Definir e divulgar normas e políticas de acesso físico e lógico;
Como prevenir e evitar Como prevenir e evitar ataques ?ataques ?• Implementar soluções de criptografia
para informações críticas;
• Implementar soluções de auditoria para informações críticas;
• Controlar o acesso de prestadores de serviços as áreas críticas e as informações.
Ciclo de Vida da Segurança.Ciclo de Vida da Segurança.O que precisa ser protegido?
Como proteger?
Simulação de um ataque
Qual é probabilidade de um ataque?
Qual prejuízo, se ataque sucedido?
Qual é nível da proteção?
Por onde começar.Por onde começar.
• Analise seu parque e a tecnologia disponibilizada:– Os programas instalados são realmente
necessários?
– Os recursos de hardware estão de acordo com as necessidades de cada usuário?
– O sistema operacional está configurado de forma a garantir uma utilização segura?
• Avalie os recursos!!!
Por onde começar.Por onde começar.
• Desenvolva uma política de Desenvolva uma política de
segurança da informação:segurança da informação:– Seus usuários conhecem as normas de Seus usuários conhecem as normas de
segurança da informação?segurança da informação?
– A direção da empresa apóia as políticas A direção da empresa apóia as políticas
adotadas?adotadas?
– A política de segurança da informação é A política de segurança da informação é
dinâmica?dinâmica?
• Conscientize o usuário!!!Conscientize o usuário!!!
Por onde começar.Por onde começar.
• Utilize as ferramentas necessárias Utilize as ferramentas necessárias
para cumprir a política de segurança para cumprir a política de segurança – Criptografia das informaçõesCriptografia das informações
– Controle da InternetControle da Internet
– Inventário de hardware e softwareInventário de hardware e software
– AuditoriaAuditoria
• Analise os resultados!!!Analise os resultados!!!
www.eduardosilvestri.com.brwww.eduardosilvestri.com.br
Eduardo SilvestriEduardo [email protected]@eduardosilvestri.com.br
DúvidasDúvidas