IFCE Campus Canind Curso de Tecnologia em Redes de Computadores Gesto de Segurana da Informao Prof. D.Sc. Rodrigo Costa

rodrigo.costa@ifce.edu.br

Aula 2:

Introduo segurana

prof.

Rodrigo Costa

Objetivo da Aula

Apresentar e discutir os principais conceitos

relacionados a Segurana da Informao;

Relacionar esses conceitos com a realidade do aluno e

das organizaes;

Propiciar uma viso integrada (ciclo da segurana da

informao) entre os conceitos-chaves.

07/11/2014 Conceitos 2/37

prof.

Rodrigo Costa

CONCEITOS GERAIS

3/37 07/11/2014 Conceitos

prof.

Rodrigo Costa

Dados

um conjunto de letras, nmeros ou dgitos que

colocado isoladamente, no agrega nenhum

conhecimento, no contem significado claro.

Por si s no transmite nenhuma mensagem que

possibilite o entendimento sobre determinada situao.

07/11/2014 Conceitos 4

0 1 1 0 1 1 0 0 1 0 0 1 0 1 1 0 Binrio

A C A B A D A Caracteres

Octal

Decimal

Hexadecimal

Hexadecimal

prof.

Rodrigo Costa

Informao

um conjunto de dados organizados que fazem referencia

a um acontecimento, um fato ou um fenmeno, que no seu

contexto tem um determinado significado.

Dado trabalhado ou tratado agregado com sentido natural e

lgico para quem usa a informao.

Ou seja, os dados foram analisados e interpretados sob

determinada tica, e a partir dessa anlise se torna possvel

qualificar esses dados.

07/11/2014 Conceitos 5

2,4,6,8,10 So Mltiplos de dois.

x,y,z - So coordenadas cartesianas.

Maria - Nome de uma pessoa.

ACABADA - O mesmo que finalizada, encerrada,

terminada.

prof.

Rodrigo Costa

Exemplo prtico

Dados:

Os custos fixos e operacionais (contas e funcionrios) da

empresa em um determinado perodo foi de R$800.000,00

O faturamento no mesmo perodo foi de R$ 500.000,00

A meta da empresa ter um faturamento superior aos

custos fixos e operacionais da empresa

Aps processar os dados gera-se informaes

A empresa est tendo prejuzos pois est faturando

menos que gasta;

A meta no perodo no foi atingida.

07/11/2014 Conceitos 6

prof.

Rodrigo Costa

Ativo de Informao

A informao elemento essencial para todos os

processos de negcio da organizao, sendo, portanto, um

bem ou ativo de grande valor

07/11/2014 Conceitos 7

prof.

Rodrigo Costa

Classificao

PBLICAS

informaes de menor importncia ou para conhecimento do pblico em geral

INTERNAS

devem ser mantidas fora do alcance do acesso externo, mas se forem acessadas de forma indevida, no causaro grandes impactos

CONFIDENCIAIS

devem ser protegidas de acesso externo, caso ocorra vazamento podero causar prejuzos financeiros ou perda de competitividade

SECRETAS

informaes crticas para atividades da empresa, seu acesso deve ser de uso restrito e sua manipulao vital para a organizao.

07/11/2014 Conceitos 8

prof.

Rodrigo Costa

Sistemas de Informao

Sistema

vindo do grego o termo "sistema" significa "combinar",

"ajustar", "formar um conjunto".

Componentes interagem com o seu meio atravs de

entradas e sadas.

Sistema de Informao

Todo sistema que manipula dados e gera informao.

Pode usar ou no recursos de tecnologia da informao.

Exemplos:

Arquivamento e recuperao de informaes de grandes

arquivos.

Anlise de investimentos da bolsa de valores.

07/11/2014 Conceitos 9

prof.

Rodrigo Costa

Porque as informaes so importantes

A informao um ativo que, como qualquer outro ativo

importante para os negcios, tem um valor para a

organizao e consequentemente necessita ser

adequadamente protegida (NBR 17999)

Tipos de Informao

Impressa e escrita em papel;

Armazenada eletronicamente;

Transmitida pelo correio;

Apresentada em filmes;

Falada em conversas.

07/11/2014 Conceitos 10

prof.

Rodrigo Costa

Definio de Segurana da Informao

a proteo da informao contra vrios tipos de

ameaas para garantir a continuidade do negcio,

minimizar riscos, maximizar o retorno sobre os

investimentos e as oportunidade de negcios [ISO 27002].

A segurana garantida pela preservao dos trs

aspectos:

07/11/2014 Conceitos 11

A informao s pode ser acessada por pessoas que tenham permisso (autorizadas)

Informao no foi alterada de forma indevida, no-autorizada ou acidentalmente

A informao deve estar disponvel no momento em que a mesma for acessada

prof.

Rodrigo Costa

Propriedades Bsicas

Confidencialidade

Certeza de que o que foi dito, escrito ou falado ser acessado somente por pessoas autorizadas;

necessrio prover mecanismos para garantir a identificao e autenticao das partes envolvidas

Integridade

Garantia de que a informao no foi alterada (de forma indevida ou no-autorizada);

A quebra da integridade ocorre quando a informao corrompida, falsificada ou roubada;

Disponibilidade

Estar a informao ou o meio informtico (sistema, servidor, etc) disponvel 24 x 7 (24 horas por dia, 7 dias por semana)

Disponibilidade passa pelas estratgias (planos) de contingncia

07/11/2014 Conceitos 12

prof.

Rodrigo Costa

Exemplos de Violao

Confidencialidade:

algum obtm acesso no autorizado ao seu computador e l todas as informaes contidas na sua declarao de Imposto de Renda;

Integridade:

algum obtm acesso no autorizado ao seu computador e altera informaes da sua declarao de Imposto de Renda, momentos antes de voc envi-la Receita Federal;

Disponibilidade:

o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negao de servio e por este motivo voc fica impossibilitado de enviar sua declarao de Imposto de Renda Receita Federal.

07/11/2014 Conceitos 13

prof.

Rodrigo Costa

Conceitos bsicos

Vulnerabilidade

So as fraquezas presentes nos ativos de informao

Podem causar a quebra de um ou mais dos princpios da segurana da informao

As vulnerabilidades devem ser gerenciadas

Ameaas

Agente externo ao ativo que aproveitando-se das vulnerabilidades poder causar um de um incidente indesejado, que pode resultar em dano para um sistema ou organizao [ISO 27002];

07/11/2014 Conceitos 14

prof.

Rodrigo Costa

ATIVIDADES

15/37 07/11/2014 Conceitos

prof.

Rodrigo Costa

Atividades

Tendo como base a empresa em que atua, descreva

necessidades / requisitos gerias de segurana da

informao. (30 minutos)

Considere um ativo de uma determinada categoria e

indique (descreva) vulnerabilidades e ameaas as quais

estes ativos esto expostos. ( 30 minutos)

07/11/2014 Conceitos 16

prof.

Rodrigo Costa

DETALHAMENTO

17/37 07/11/2014 Conceitos

prof.

Rodrigo Costa

Ativos

Qualquer elemento que tenha valor para a organizao [ISO

27002];

Os ativos fornecem suporte aos processos de negcios,

portanto devem ser protegidos. Todo elemento utilizado para

armazenar, processar, transportar, armazenar, manusear e

descartar a informao, inclusive a prpria.

Categorias

Tangveis e intangveis

Tipos de Ativos

Informaes; Hardware; Software; Ambiente Fsico; Pessoas;

Lgico; Fsico Humano;

Equipamentos; aplicaes, usurios, ambientes, informaes e

processos;

07/11/2014 Conceitos 18

prof.

Rodrigo Costa

Segurana de Informao

07/11/2014 Conceitos 19

prof.

Rodrigo Costa

Ameaas

Conhecido tambm pelo termo threat

Caracaterizado como qualquer ao, acontecimento ou

entidade que possa agir sobre:

um ativo, pessoa ou processo

atravs de uma vulnerabilidade e consequentemente

gerando determinado impacto

Tipos de Ameaas

Naturais: Decorrentes de fenmenos da natureza

Involuntrias: Inconscientes, causadas pelo

desconhecimento

Voluntrias:Propositais, causadas por agentes humanos

como crackers, invasores, espies, ladres, etc...

07/11/2014 Conceitos 20

prof.

Rodrigo Costa

Exemplos de Ameaas

Pessoas chaves para uma organizao

Ferimento, morte

Servidores de arquivos

Ataques DoS

Dados dos alunos

Acesso interno no autorizado

Equipamentos de produo

Desastre natural

07/11/2014 Conceitos 21

prof.

Rodrigo Costa

Vulnerabilidades

Fsica

inerentes ao ambiente em que a informao ser manipulada e/ou armazenada

Ex: ausncia de proteo contra incndios ou de proteo ao sistema de cabeamento da rede

Naturais

So inerentes s condies da natureza, que podem colocar em risco as informaes

Humana

Referem-se aos danos que as pessoas podem causar s informaes e/ou ao ambiente tecnolgico que as suporta

Tecnolgica

Hardware, software, sistemas de comunicao ou midias que podem causar risco as informaes

07/11/2014 Conceitos 22

prof.

Rodrigo Costa

Exemplos

Classifique as seguintes vulnerabilidades como Fsicas,

Naturais, Hardware, Software, Mdias, Comunicao e

Humanas.

07/11/2014 Conceitos 23

Instalaes prediais fora

do padro

Desgaste dos recursos

tecnolgicos

Incndios ou enchentes

Desconeco de um cabo

de rede

Falta de treinamento

Erros de configurao

DVD antigo

Deadlocks

Acmulo de umidade

prof.

Rodrigo Costa

Incidentes

Quando uma ameaa explora vulnerabilidades de um

ativo

07/11/2014 Conceitos 24

Viola um ou mais

caractersticas de

segurana

Tem uma chance de

acontecer (Probabilidade)

Se acontecer causa um

prejuizo (impacto).

prof.

Rodrigo Costa

Riscos

a probabilidade das ameaas explorarem as

vulnerabilidades, causando perdas e danos aos

ativos e/ou impactos no negcio.

Podem comprometer

as trs metas de segurana

07/11/2014 Conceitos 25

prof.

Rodrigo Costa

Eventos de Segurana vs Incidente de Segurana

Eventos

Uma ocorrncia

identificada de um estado

de sistema, servio ou rede

indica uma possvel

violao da poltica de

segurana ou falha de

controles

07/11/2014 Conceitos 26

Incidente

Um simples ou uma srie

de eventos de segurana

da informao indesejados

ou inesperados,

Tem uma grande

probabilidade de

comprometer as

operaes de negcios e

ameaar a segurana da

informao

prof.

Rodrigo Costa

Segurana

A segurana da informao o processo que tem a

responsabilidade de manter a informao ntegra, confivel

e disponvel, porm disponvel apenas a quem tenha

direito.

Para isso requer controles

07/11/2014 Conceitos 27

prof.

Rodrigo Costa

Controles

So prticas, procedimentos e mecanismos utilizados

para a proteo de ativos

Permitem:

impedir que as ameaas explorem as vulnerabilidades

reduzir o surgimento de vulnerabilidades

minimizar o impacto dos incidentes de segurana da

informao

Tipos:

Tcnicos, administrativos e de gesto;

07/11/2014 Conceitos 28

prof.

Rodrigo Costa

Conceitos que devem ser analisados

AUTENTICAO:

Capacidade de garantir que um usurio, sistema ou informao mesmo quem alega ser.

NO REPDIO

Capacidade de atravs do sistema de se provar que um usurio executou determinada ao no sistema

LEGALIDADE

a aderncia de um sistema ou procedimento de segurana uma determinada legislao nacional ou internacional.

Inmeras legislaes so descumpridas por desconhecimento dos gestores da existncia das mesmas;

PRIVACIDADE:

informao privada pode ser lida, alterada, entre outros, somente pelo seu dono

07/11/2014 Conceitos 29

prof.

Rodrigo Costa

QUANDO SE PREOCUPAR COM

SEGURANA DA INFORMAO?

30/37 07/11/2014 Conceitos

prof.

Rodrigo Costa

Ciclo de vida da informao

Manuseio

Momento em que a

informao criada e

manipulada

Armazenamento

Momento em que a

informao armazenada

Transporte

Momento em que a

informao transportada

Descarte

Momento em que a

informao descartada

07/11/2014 Conceitos 31

prof.

Rodrigo Costa

Leis Imutveis da Segurana

Ningum acredita que nada de mal possa acontecer at que acontece;

Segurana s funciona se a forma de se manter seguro for uma forma simples;

Se voc no realiza as correes de segurana, sua rede no ser sua por muito tempo;

Vigilncia eterna o preo da segurana;

Segurana por Obscuridade, no segurana;

LOGs, se no audit-los, melhor no t-los.

Existe realmente algum tentando quebrar (adivinhar) sua senha;

A rede mais segura uma rede bem administrada;

A dificuldade de defender uma rede diretamente proporcional a sua complexidade;

Segurana no se prope a evitar os riscos, e sim gerenci-los;

Tecnologia no tudo.

07/11/2014 Conceitos 32

prof.

Rodrigo Costa

Todo cuidado pouco

07/11/2014 Conceitos 33

prof.

Rodrigo Costa

Principais Equvocos da segurana

1. No fazer atualizaes

2. No descartar dados corretamente

3. No usar criptografia

4. No usar servios de segurana

5. No informar os funcionrios

07/11/2014 Conceitos 34

prof.

Rodrigo Costa

Segurana nas Organizaes

Segurana um processo que tenta manter protegido um sistema complexo composto de muitas entidades:

Tecnologia (hardware, software, redes)

Processos (procedimentos, manuais)

Pessoas (cultura, conhecimento)

Estas entidades interagem das formas mais variadas e

imprevisveis

A Segurana falhar se focar apenas em parte do

problema

Tecnologia no nem o problema inteiro, nem a

soluo inteira

07/11/2014 Conceitos 35

prof.

Rodrigo Costa

Aplicao da Segurana da Inf. em Nveis

07/11/2014 Conceitos 36

ESTRATGICO: GOVERNANA, NORMAS, (COBIT, ITIL, GRC)

TTICO: POLTICAS DE SEGURANA, MAPEAMENTO DE RISCOS, PLANOS

DE CONTINGNCIAS

OPERACIONAL: FERRAMENTAS, CERTIFICADOS, CRIPTOGRAFIA

prof.

Rodrigo Costa

3.5 Dvidas

07/11/2014 Conceitos

Dvidas?

37/37

prof.

Rodrigo Costa 07/11/2014 Conceitos

Obrigado!

38