Marcos SantosMarcos Santosmarcoss@microsoft.commarcoss@microsoft.comMicrosoft PortugalMicrosoft Portugal

Segurança MicrosoftSegurança MicrosoftProgresso, Visão e Estratégia Progresso, Visão e Estratégia

O que é a Segurança?O que é a Segurança?

1.1. Estado ou sentimento de Segurança :Estado ou sentimento de Segurança : O estado de O estado de estar a salvo e protegidoestar a salvo e protegido

2.2. Despreocupação sobre uma possível perda:Despreocupação sobre uma possível perda: A A certeza de que qualquer coisa de valor não será certeza de que qualquer coisa de valor não será roubadaroubada

3.3. Algo que dê Segurança:Algo que dê Segurança: Algo que proporcione um Algo que proporcione um sentimento de protecção contra perda, ataque ou acto sentimento de protecção contra perda, ataque ou acto maldosomaldoso

4.4. Estar a salvo:Estar a salvo: Protecção contra ataques (uma questão Protecção contra ataques (uma questão de segurança nacional)de segurança nacional)

5.5. Precauções para se manter a salvo:Precauções para se manter a salvo: Medidas Medidas tomadas para manter alguém ou algo a salvo de tomadas para manter alguém ou algo a salvo de crimes, ataques ou perigos (medidas de segurança) crimes, ataques ou perigos (medidas de segurança)

Encarta« World English Dictionary ® & (P) 2004 Microsoft Corporation. All rights reserved. Desenvolvido por Encarta« World English Dictionary ® & (P) 2004 Microsoft Corporation. All rights reserved. Desenvolvido por Microsoft by Bloomsbury Publishing Plc.Microsoft by Bloomsbury Publishing Plc.

Segurança num mundo Segurança num mundo complexocomplexo

Segurança não é mais do que um processo Segurança não é mais do que um processo que tenta manter seguro um sistema complexo que tenta manter seguro um sistema complexo com múltiplas entidades:com múltiplas entidades:

Pessoas (cultura, conhecimento)Pessoas (cultura, conhecimento)

Processos (procedimentos, regras)Processos (procedimentos, regras)

Tecnologia (hardware, software, redes)Tecnologia (hardware, software, redes)

As entidades interagem entre si das mais As entidades interagem entre si das mais diferentes e imprevisíveis formasdiferentes e imprevisíveis formas

A Segurança falha se nos concentrarmos em A Segurança falha se nos concentrarmos em parte do problemaparte do problema

A Tecnologia não é onde residem todos os A Tecnologia não é onde residem todos os problemas mas também não é a solução totalproblemas mas também não é a solução total

Segurança é importante?Segurança é importante?

O custo de implementar medidas de segurança não é O custo de implementar medidas de segurança não é trivial; no entanto, é uma pequena fracção do custo trivial; no entanto, é uma pequena fracção do custo real de um incidente de segurança.real de um incidente de segurança.

Quanta Segurança?Quanta Segurança?

Determinar a segurança adequada considerando:Determinar a segurança adequada considerando:Ameaças que estão a enfrentarAmeaças que estão a enfrentar

Estar preparado para aceitar riscosEstar preparado para aceitar riscos

O valor dos bensO valor dos bens

Não esquecer de considerar custos administrativos ou Não esquecer de considerar custos administrativos ou valores perdidos em desempenho e utilizaçãovalores perdidos em desempenho e utilização

Segurança absoluta é inatingivelSegurança absoluta é inatingivel

Numa boa solução:Numa boa solução:Apenas a pessoa certa tem acesso em qualquer momento à Apenas a pessoa certa tem acesso em qualquer momento à

informação certa, com o melhor desempenho informação certa, com o melhor desempenho e ao mais baixo custo possívele ao mais baixo custo possível

Segurança

Pro

duti

vidade

Custo

Existe sempre um intercâmbio entre Existe sempre um intercâmbio entre segurança, custo e produtividadesegurança, custo e produtividade

Os bens para protegerOs bens para proteger

DadosDadosNúmeros de cartão Números de cartão de créditode crédito

Planos de MarketingPlanos de Marketing

Código fonteCódigo fonte

Informação sobre Informação sobre SaláriosSalários

ServiçosServiçosWeb sitesWeb sites

Acesso à InternetAcesso à Internet

Controladores de Controladores de DomínioDomínio

Sistemas ERPSistemas ERP

ComunicaçõesComunicaçõesInícios de sessãoInícios de sessão

Transacções/Transacções/PagamentosPagamentos

Cópia de um plano Cópia de um plano estratégicoestratégico

Enviar uma mensagemEnviar uma mensagem

Quais são as ameaças?Quais são as ameaças?Ameaças à SegurançaAmeaças à Segurança

Desastres Naturais (Inundações, Desastres Naturais (Inundações, Sismos, Furacões)Sismos, Furacões)HumanosHumanos

Não Maliciosos (Empregados ignorantes Não Maliciosos (Empregados ignorantes ou mal informados)ou mal informados)MaliciososMaliciosos

Empregados Internos desgostosos ou Empregados Internos desgostosos ou revoltadosrevoltadosPessoas externas como Hackers, criminosos, Pessoas externas como Hackers, criminosos, concorrência ou governosconcorrência ou governos

Quais os principais motivos?Quais os principais motivos?

Motivos pessoaisMotivos pessoaisRetaliar ou ”vingar-se”Retaliar ou ”vingar-se”Declaração politica ou Declaração politica ou terrorismoterrorismoPregar uma partidaPregar uma partidaExibicionismoExibicionismo

Aproveitamento EconómicoAproveitamento EconómicoRoubar informaçãoRoubar informação

ChantagemChantagem

Fraude FinanceiroFraude Financeiro

Provocar danosProvocar danosAlterar, corromper ou Alterar, corromper ou apagar a informaçãoapagar a informação

Paragem de um serviçoParagem de um serviço

Denegrir a imagem públicaDenegrir a imagem pública

Quais são os métodos?Quais são os métodos?

Fazer o Crack das Fazer o Crack das Palavras PassePalavras Passe

VírusVírus

Cavalos de TróiaCavalos de Tróia

WormsWorms

Ataques de Paragem de Ataques de Paragem de ServiçoServiço

Impersonificação de Impersonificação de E-mailsE-mails

Repetição de pacotes de Repetição de pacotes de rederedeModificação de pacotes de Modificação de pacotes de rederedeEngenharia SocialEngenharia SocialAtaques de intrusãoAtaques de intrusãoSpoofingSpoofing da rede da redeApoderar da SessãoApoderar da Sessão

São apenas exemplos, muitos mais métodos são possíveis

Quais são as Vulnerabilidades?Quais são as Vulnerabilidades?

Tecnologia

Planos, Politicas

& procedim

entos

O fa

ctor

hu

man

o

Produtos têm poucas Produtos têm poucas funcionalidades de funcionalidades de SegurançaSegurançaProdutos têm Produtos têm bugsbugsVárias situações não Várias situações não são endereçadas são endereçadas pelos standards pelos standards técnicostécnicos

Desenhado a pensar na Desenhado a pensar na SegurançaSegurançaFunções e responsabilidadesFunções e responsabilidadesAuditar, Identificar, Auditar, Identificar, fazer o seguimentofazer o seguimentoPlanos de Planos de EmergênciaEmergênciaManter-se actualizadoManter-se actualizado

Falta de conhecimento Falta de conhecimento Falta de empenhoFalta de empenhoErros HumanosErros Humanos

Plataforma de ProtecçãoPlataforma de Protecção

Dados

ServiçosComuni-cações

Prevenção

Dete

cção

Reacção

Tecnologia

Planos, Politicas

& procedim

entosO

fact

or h

uman

o

Aproveitamento Económico

Provovar danos

Motivos pessoais

PrevençãoPrevenção

Evitar problemas antes que eles aconteçamEvitar problemas antes que eles aconteçam

Abordagem pro-activaAbordagem pro-activa

Protecção contra ataques que podem ser Protecção contra ataques que podem ser previstosprevistos

Esta é a área onde a tecnologia pode trazer Esta é a área onde a tecnologia pode trazer uma grande ajudauma grande ajuda

Exemplo: Utilizar um Exemplo: Utilizar um SmartCardSmartCard + código para + código para entrar no edifícioentrar no edifício

Prevenção

DetecçãoDetecçãoDetectar as brechas de segurança que são capazes Detectar as brechas de segurança que são capazes de superar o estado de prevençãode superar o estado de prevenção

Relevante para brechas de segurança previstas e Relevante para brechas de segurança previstas e não previstasnão previstas

Podem ser ambas reactivas ou pro-activasPodem ser ambas reactivas ou pro-activas

A Tecnologia pode ajudar mas esta é uma área que A Tecnologia pode ajudar mas esta é uma área que requer alguma inteligência e experiênciarequer alguma inteligência e experiência

É vital recolher todas as provas e documentar todas É vital recolher todas as provas e documentar todas as acções de forma a tomar as medidas seguintes as acções de forma a tomar as medidas seguintes necessáriasnecessárias

Exemplo: Cartão da companhia com fotografia deve Exemplo: Cartão da companhia com fotografia deve ser utilizado sempre que estejam dentro do edifício ser utilizado sempre que estejam dentro do edifício da Companhiada Companhia

Dete

cção

ReacçãoReacção

Detecção sem reacção não tem Detecção sem reacção não tem qualquer significado!qualquer significado!

Recuperar os dados ou serviço para a Recuperar os dados ou serviço para a situação normalsituação normal

Identificar e prosseguir o atacanteIdentificar e prosseguir o atacante

Aprender das experiências e melhorar a Aprender das experiências e melhorar a SegurançaSegurança

Exemplo: Qualquer pessoa sem o Exemplo: Qualquer pessoa sem o cartão da companhia é acompanhado à cartão da companhia é acompanhado à porta pelos guardas da Segurançaporta pelos guardas da Segurança

Reacção

Qual o papel da Microsoft?Qual o papel da Microsoft?

Interacção aberta, Interacção aberta, transparente com transparente com clientes clientes

Liderança na Liderança na IndustriaIndustria

Adesão aos Adesão aos Open StandardsOpen Standards

Previsível, Previsível, consistente e consistente e disponíveldisponível

Fácil de configurarFácil de configurare gerire gerir

ResilienteResiliente

RecuperávelRecuperável

Colocado à provaColocado à prova

Seguro contra Seguro contra ataquesataques

Proteger a Proteger a confidencialidade, confidencialidade, integridade dos integridade dos dados e sistemasdados e sistemas

Capacidade de Capacidade de GestãoGestão

Proteger contra Proteger contra comunicação comunicação indesejadaindesejada

Controle de Controle de informação privadainformação privada

Produtos e Produtos e serviços online serviços online com princípios com princípios correctoscorrectos

Boas Boas PráticasPráticas

SegurançaSegurança PrivacidadePrivacidade ConfiançaConfiança

Headlines Headlines and Quotesand Quotes

““Microsoft has set the security Microsoft has set the security bar with its predictable patch bar with its predictable patch release schedule, security release schedule, security advisories that tell advisories that tell administrators why they need administrators why they need to patch (or why they don't), to patch (or why they don't), and early warnings about and early warnings about potential problems before a potential problems before a patch is available. . . patch is available. . . ‘Microsoft's method has really ‘Microsoft's method has really turned into the exception,but turned into the exception,but their way is the way everyone their way is the way everyone will eventually have to go. will eventually have to go.

Customers will demand it.’”Customers will demand it.’” John PescatoreSenior Analyst

Gartner

““To say Microsoft has holes To say Microsoft has holes and the others don’t is just and the others don’t is just silly. Over the last two or three silly. Over the last two or three years, Microsoft has become years, Microsoft has become more aggressive in writing more aggressive in writing secure code and educating the secure code and educating the world about security, taking world about security, taking the time to do it right. I don’t the time to do it right. I don’t see Linux [developers] and the see Linux [developers] and the rest of the industry doing thatrest of the industry doing that.”.”

Jay FerronCEO

Interactive Security Training

0%

25%

50%

75%

100%

2003 2004 1M2005

Dsat (0-3)

50 4432 29

2M2005

Um trabalho contínuo…Um trabalho contínuo…

““Microsoft faz produtos mais seguros”Microsoft faz produtos mais seguros”

Desceu 25 pontos NSAT!Fonte: MS Internal Research, Fall/Winter FY06 WWCPSSFonte: MS Internal Research, Fall/Winter FY06 WWCPSS

Neutral-sat (4-7)

4755 56

40

Vsat (8,9)

10 9 13 14

ResumoResumo

Porque é que a Segurança é importantePorque é que a Segurança é importante

Os bens que temos de protegerOs bens que temos de proteger

Classificamos as vulnerabilidadesClassificamos as vulnerabilidades

Plataforma de protecção:Plataforma de protecção:Prevenção, Detecção e ReacçãoPrevenção, Detecção e Reacção

Papel da MicrosoftPapel da Microsoft

© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.