o ambiente cooperativo e a necessidade de segurança€¦ · – segurança deve fazer parte do...

<<seu nome aqui!>>

Universidade Federal de Ouro PretoDECEA / João Monlevade

O Ambiente Cooperativo e a Necessidade de

Segurança

Profa. Msc. Helen de Cássia S. da Costa LimaUniversidade Federal de Ouro Preto

CEA463 – SEGURANÇA E AUDITORIA DE SISTEMAS

O Ambiente Cooperativo

● Mundo glogalizado, altamente competitivo

● A busca de diferencial competitivo e de novos mercados faz com que as relações internacionais sejam cada vez mais necessárias e mais fortes


● Lista de aquisição da Google


● Definição: O ambiente cooperativo é o cenário em que múltiplas organizações (matrizes, filiais, fornecedores, parceiros comerciais, etc.) se relacionam, trocando informações por meio de uma rede integrada


● Comércio eletrônico no Brasil


● Neste cenário é imprescindível velocidade, qualidade e eficiência, seja das decisões, das implantações ou telecomunicações

● Infraestrutura de TI deve ser bem planejada e dimensionada de modo a otimizar os investimentos

● Indisponibilidade ou problemas de acesso → comprar no concorrente

● Roubo de informações: cadastro de clientes e senhas de cartão de crédito

Problemas em Ambientes Cooperativos

● Triangulização: como proteger os valores da organização A, evitando que um usuário de B acesse essas informções através de C?

Problemas em Ambientes Cooperativos

● Aumento da complexidade de níveis de acesso: usuário da organização A tem acesso irrestrito, o de B só pode acessar informações de produto de do setor financeiro, usuários da internet não podem acessar nenhum recurso de A...

● Desafios de controle de acesso em diferentes níveis

A Necessidade de Segurança

● A segurança das redes

– É uma das principais tecnologias, permitindo conexões entre todos seus elementos: roteadores, servidores de hospedagem, banco de dados do cliente, sistema financeiro, etc.

– Manutenção do acesso às informações, garantindo

disponibilidade, integridade e sigilo

– Permite a exploração de novos mercados:

e-commerce


1. Redes sem Fio: preocupação com acesso físico a rede e criação de novos protocolos (WEP – Wired Equivalent Protocol)

2. Computação na nuvem: controle de acesso e confidencialidade

3. Linguagens macro em aplicativos como Word e Excel: nova geração de vírus

4. Linguagens criadas para Web, como JavaScript, que contenham códigos maliciosos que podem executados numa rede interna

5. Documentos eletrônicos em formato pdf podem ser utilizados para ataques

6. Redes sociais como fonte de diferentes tipos de ataques

7. Avanço em clonagem pode resultar problemas relativos a biometria

● Maior evolução, maior preocupação com segurança


● Segurança como parte dos negócios

– Dado: valor, conjunto de bits armazenados● Nome, Endereço, nro. de cartão de crédito

– Informação: um dado que passa a ter sentido (contexto)

● Informações referentes a um cliente

– Conhecimento: conjunto de informaçãos que tem alguma aplicação e agrega valor ao ser humano e à organização, resulta em vantagem competitiva

● Ter o conhecimento do perfil do cliente que mais compra o seu produto possibilita uma propaganda direcinada e personalizada


● Segurança como parte dos negócios

– Proteção do conhecimento é de vital importância para o negócio

– Falha: perda de mercado, de negócios, perda financeira...

– O que aumenta a vulnerabilidade?● Superficialidade e a utilização de técnicas parciais

– Segurança deve fazer parte do processo de negócio, não deve ser uma tarefa do pessoal de TI

– Ideal: definição de uma estratégia de segurança

– Administrador de segurança


● Como a segurança é vista hoje?

– Obscuridade:● Redes sem proteção

● Servidores particulares na organização para acesso doméstico

● Firewall mal configurado

– Campo relativamente novo, muitos pensam que soluções são caras e não trazem retorno financeiro

– Desafio: uma solução de segurança é imensurável e não resulta em melhorias que podem ser notadas

– Ninguém percebe a existência de segurança, apenas a inexistência dela...


● Investimentos em Segurança

– Nunca é preventivo, sempre feito depois que ocorre algum incidente

– Assunto que começa a ficar em evidência: vírus

Ano Vírus Prejuízos (em milhões de dólares)

1999 Melissa 1.200

2001 Sircam 1.150

2003 SoBig 14.600

2004 MyDoom 89.600

2008 Conficker 9.100



– Divisor de águas: Atentados terroristas de 11 de Setembro de 2001

● Muitas organizações perderam tudo, desde capital humano e intelectual até suas informações

– Interesse maior pela gestão de continuidade de negócios: se preparar para situações e incidentes de segurança que não podem ser evitados

– Tendência: segurança agora possui seu próprio orçamento, separado dos recursos de TI

A Necessidade de Segurança● Investimentos em Segurança

Qual tecnologia seria apropriada para

garantir segurança de dados contra

ataques terroristas?



– Análise de riscos: metodologia usada para quantificar e qualificar os níveis de segurança de cada recurso da organização que são importantes

– É uma justificativa para o investimento em um sistema de segurança

– ROSI (Return on Security Investiment): equação tradicional do ROI (Return on Investiment) que se aplica a investimentos de segurança



– Exemplo: É estimado que uma empresa tem um dano financeiro de $25.000,00 relacionados a cada exposição a um determinado tipo de vírus. A empresa pega esse vírus aproximadamente 4 vezes por ano. Sendo assim, ela quer implantar um antivírus que custa $25,000 e consegue inibir 3 de 4 ataques que a empresa sofre por ano.


● Mitos sobre Segurança

– Uma visão mais limitada faz com que a empresa pense que tudo está bem. Ou seja, se não se conhece os riscos, pra que proteção?

● Nunca acontecerá conosco

● Já temos um firewall

● Vamos deixar funcionando e depois resolvemos os problemas de segurança

● O nosso parceiro é confiável, podemos liberar o acesso pra ele

– Incidentes sempre ocorrem no elo mais fraco da corrente, no ponto de vulnerabilidade

A Necessidade de Segurança● Segurança x Funcionalidades

– Segurança é inversamente proporcional a funcionalidade. Quanto mais funcionalidades (serviços, aplicativos), menor é a segurança desse ambiente

– Aumento dos pontos de ataques● Vulnerabilidades de sistemas operacionais, aplicativos, protocolos

e serviços

● Aspectos humanos das pessoas envolvidas

● Falha no desenvolvimento e implantação de políticas de segurança

● Falhas de configuração de serviços de segurança

– Quanto maior o número de sistemas, maior é a responsabilidade dos administradores de segurança


● Segurança x Produtividade

– A política de segurança deve ser bem definida e bem balanceada

– Exemplo: Se o FTP for bloqueado por medidas de segurança e o usuário necessita do serviço para seu trabalho, ele certamente buscará maneiras de driblar essa restrição e com isso, sua produtividade é prejudicada


● Considerações Finais

– Não existe rede totalmente segura: as organizações devem definir o nível de segurança que necessitam e assumir os riscos.

– Envolve diversos aspectos:● Tecnológicos (sistema de autenticação)● Técnicos (administrador de segurança)● Sociais (funcionários insatisfeitos)● Humanos (funcionários inocentes)● Educacionais (Não sei escolher uma senha segura...)


● Considerações Finais

– Existe rede mais confiável!● Definir os recursos que devem ser protegidos● Especificar quem irá administrar a segurança● Determinar o valor do investimento em segurança● Novas tecnologias e técnicas devem ser utilizadas antes

que os hackers utilizem contra a organização

Bibligrafia

● NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 2 e 3.

o ambiente cooperativo e a necessidade de segurança€¦ · – segurança deve fazer parte do...

Documents