palestra - segurança de notebooks e dados em repouso
DESCRIPTION
Palestra - Segurança de Notebooks e dados em repousoTRANSCRIPT
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Segurança de Notebooks e Dados em Repouso
Março de 2010
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Termo de IsenTermo de Isençção de Responsabilidadeão de Responsabilidade
A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.
Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Sobre a TI SafeSobre a TI Safe
• Missão– Fornecer produtos e
serviços de qualidade para a Segurança da Informação
• Visão– Ser referência de
excelência em serviços de Segurança da Informação
• Equipe técnica altamente qualificada
• Apoio de grandes marcas do mercado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Não precisa copiar...Não precisa copiar...
http://www.tisafe.com/recursos/palestras/
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AgendaAgenda
• Definições• Introdução• Protegendo dados em repouso• Após o ataque• Soluções da TI Safe
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Para pensarPara pensar
“...If you try to protect ererything, usually in the end you protect nothing.”
“...Se você tentar proteger tudo, no final você acabará não protegendo nada.”
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controle de acesso a dadosControle de acesso a dados
• Antagonismo: Disponibilidade vs. Confidencialidade
Confidencialidade
Dis
poni
bilid
ade
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Quanto vale a informaQuanto vale a informaçção ?ão ?
• Custos estimados de perdas financeiras anuais com espionagemnos EUA : US$ 100 bilhões;
• A Associação de Bancos Britânicos estima em US$ 8 bilhões porano a perda financeira com fraudes por computador;
• 75% de empresas americanas pesquisadas tem tido roubos dePC’s; 80% tem tido softwares roubados;
• Perdas intangíveis:– Perda de confiança dos clientes– Perda de vantagem competitiva– Perda de produtividade
Fontes: White House Office of Science and Technology, National Computer Security Association Survey, Michigan State University Survey, Forrester Research
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
DefiniDefiniççõesões
• Quanto vale a informação?– Identificar os recursos (os ativos) do negócio– Identificar as ameaças– Quantificar o impacto do risco em potencial– Fazer o balanço entre os possíveis impactos do dano e suas
contramedidas
A informação é tão valiosa quanto o valor dos negócios associados a ela
Para pensar
ProbabilidadeEventoConseqüências
Risco
ISSO/IEC Guide 73:2002
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
DefiniDefiniççõesões
• O que são dados em repouso?– Informações armazenadas em um disco rígido, arquivo, pastas,
aplicações, bancos de dados ou qualquer meio quando não estão trafegando na rede.
• Por que precisamos deles?– Além das utilizações diárias para consultas e edições, “...existem cada
vez mais requisitos de conformidade e normativos para que as empresas guardem os dados. Separadamente, o conceito de eliminação de dados está rapidamente a desaparecer. As empresas não querem apagar dados – seja devido aos seus próprios regulamentos da atividade ou da compreensão de que os dados têm um valor potencial a longo prazo. Estes dados de “não produção” são encarados como um ativo empresarial...”
http://www.sun.com/emrkt/boardroom/newsletter/portugal/1005feature.html
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AgendaAgenda
• Definições• Introdução• Protegendo dados em repouso• Após o ataque• Soluções da TI Safe
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
EstatEstatíísticos sticos –– custos dos incidentescustos dos incidentes
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ClassificaClassificaçção dos dadosão dos dados
• Classificação dos dados quanto a sua importância– Os níveis de classificação de dados devem ser definidos quanto aos:
• Procedimentos de acesso e uso das informações• Padrões de como as informações devem ser utilizadas• Procedimentos para exclusão das informações quando não forem mais
solicitadas
Classificação comercial Classificação militar-governamental
•Confidencial•Privado•Sensível•Público
•Ultra secreto•Secreto•Confidencial•Sensível (desclassificado)•Desclassificado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
BellBell--LaPadulaLaPadula
Usuário
Não LêNão Escreve
Pode LerNão Escreve
Confidencial
Privado
Sensível
Público
Pode LerPode Escreve
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Muralha da ChinaMuralha da China
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Matriz de permissõesMatriz de permissões
Administrativo Comercial Técnico Impressora
Secretária Controle total Lê somente Sem acesso Executa
Diretor Lê somente Controle total Lê somente Executa
Analista Sem acesso Sem acesso Controle total Executa
Porteiro Sem acesso Sem acesso Sem acesso Sem acesso
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O que O que éé um ataque a dados digitais?um ataque a dados digitais?
• O que é um ataque a dados digitais?– Qualquer evento adverso, confirmado ou sob suspeita, relacionado à
segurança de sistemas de computação ou de redes de computadores.
– Exemplos:• Tentativas de ganhar acesso não autorizado a sistemas ou dados; • Uso ou acesso não autorizado a um sistema; • Modificações em um sistema, sem o conhecimento, instruções ou
consentimento prévio do dono do sistema; • Desrespeito à política de segurança ou à política de uso aceitável de uma
empresa ou provedor de acesso.
http://www.cert.br/docs/certbr-faq.html#6
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ClassificaClassificaçção de riscosão de riscos
• Quais os riscos aos quais os dados estão expostos?
FUNCIONÁRIOS
FalhasSabotagemUso indevido
OUTROS
HackersClientesTerceiros
AMBIENTE
DesastresInfra-estrutura
CÓDIGOS / APLICAÇÕES
VírusCavalos de Tróia
CONTROLES
Informação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Filtragem de informaFiltragem de informaççãoão
• Filtragem de informação (uso de políticas de segurança)
Leis e regulamentações
Política geral da empresa
Políticas funcionais
Padrões Procedimentos Linhas Base Linhas Guia
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
NDANDA
• Termos de responsabilidade e confidencialidade (NDAs)
– Pode ter (tem) valor legal– Seu prazo de validade varia conforme a validade das informações– É assinado por todos que tenham acesso a dados confidenciais
É um contrato de sigilo
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
IntroduIntroduçção ão àà criptografiacriptografia
• Introdução à criptografia
– Escrever secretamente, ou seja, por meio de códigos, sinais ou cifras.– Tem sido usada há décadas...
• Área Militar• Órgãos Governamentais• Instituições Financeiras
– Existem dois tipos de criptografia: simétrica e assimétrica, a segunda também é chamada de criptografia de chave pública.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Criptografia SimCriptografia Siméétricatrica
Chave
DadosDados
ChaveA chave usada para cifrar também é usada para decifrar.
Dados
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Criptografia AssimCriptografia Assiméétricatrica
Chave Privada Chave Pública
DadosDadosDados
A chave usada para cifrar não é usada para decifrar
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Assinatura digitalAssinatura digital
• Assinatura digital – Infra-estrutura de chaves públicas
AutoridadeCertificadora
Internet
AutoridadeRegistradora
CertificadoDigital
Usuário e chaves
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Certificados digitaisCertificados digitais
• Assinatura digital – Certificados digitais
CA Authorized
X.509 X.509 CertificateCertificateVersion #Serial #
Signature AlgorithmIssuer Name
Validity PeriodSubject Name
Subject Public KeyIssuer Unique ID
Subject Unique IDExtensions
Digital SignatureEmitido pela Polícia Federal
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AplicaAplicaçção da assinatura digitalão da assinatura digital
• Assinatura digital – Aplicação
Doc.Eletrônico Função
Hash
FunçãoAssinaturahash
Privada
Somente quempossui a ChavePrivada podeassinar
Doc.Eletrônico
AssinaturaDigital
Doc. Assinado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Aspectos legaisAspectos legais
Sox, Basileia II, Decreto 5301:2004
– ObjetivoFornecer maior confiança aos investidores e sustentabilidade às organizações
– Exige que as empresas demonstrem boas práticas corporativas:• Impõe procedimentos efetivos de governança corporativa;• Penalidades com imposição civil e criminal internacional;• Ampliação da cultura de ética profissional;• Declaração de Responsabilidade da administração em estabelecer e
manter um sistema de controles internos e métricas efetivas para:– Avaliação da efetividade dos Controles;– Declaração de auditoria independente certificando a avaliação da
gerência;– Declaração identificando a metodologia usada para implantar e avaliar
os controles internos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Aspectos normativosAspectos normativos
• Já conhecidosISO 9000 (qualidade)ISO 14000 (meio ambiente)
• Para a segurança:ISO 27001 (antigas BS7799-2, ISO 17799)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Onde a informaOnde a informaçção estão estáá??
Empresa XPTO
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Onde a informaOnde a informaçção estão estáá??
Empresa XPTO
Informações expostas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Caso reais Caso reais –– Ernest & YoungErnest & Young
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Caso reais Caso reais –– FidelityFidelity InvestimentsInvestiments
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Casos reais Casos reais –– Ford do BrasilFord do Brasil
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Casos reais Casos reais –– Ford do BrasilFord do Brasil
• B402 – R$ 800 Milhões• Novo Fiesta• Planejamento comercial da
montadora para os próximos anos• Dados roubados por funcionário via
CD (revista Época, junho 2005)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Casos reais Casos reais –– Prefeito Prefeito éé alvo de ataquealvo de ataque
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AgendaAgenda
• Definições• Introdução• Protegendo dados em repouso• Após o ataque• Soluções da TI Safe
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Dispositivos fDispositivos fíísicossicos
• Dispositivos físicos
– Manter portas de acesso travadas – Retirar drivers “desnecessários” para o usuário– Uso de travas de segurança (cadeados, travas de teclados, etc)– Catalogar mídias removíveis– Uso de SmartCards, tokens, biometria
• Notebooks– Identificar física e logicamente– Fazer seguro dos equipamentos– Uso de SmartCards, tokens, biometria– Manutenção preventiva dos equipamentos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Cifragem de discosCifragem de discos
Características das soluções de mercado:– Proteção do disco por completo através de criptografia forte– Controle de acesso integrado ao pré-boot da máquina– Identificação de alteração de hardware– Bloqueio de força bruta (travamento da máquina)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Cifragem de discosCifragem de discos
Teste de disco cifrado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Portas de conexãoPortas de conexão
• Proteção de portas de conexão
– Definição de permissões de uso – Monitoramento de dispositivos físicos (dispositivos habilitados ou não)– Desabilitar portas de conexão física (USB, COM, LPT, Serial, etc)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataques internosAtaques internos
• Protegendo-se de ataques internos
– Uso de Firewall, antivírus, anti-spyware, locais– Armazenamento seguro de senhas– Evitar que pessoal não autorizado mexa nos equipamentos– Manter pastas e arquivos sensíveis disponíveis apenas quando
necessário – Evitar os “shoulder-surfers”– Topologia segura
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ataques externosAtaques externos
• Protegendo-se de ataques externos
– Identificação de pessoal– Ferramentas e procedimentos de proteção
• Firewalls• Antivírus• Intrusion Detection System (IDS)• Intrusion Prevention System (IPS)• DeMilitarized Zone (DMZ)• Honey Nets• Topologia segura• Controle de acesso reforçado• Atualização de patches
– Topologia segura
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Topologia seguraTopologia segura
FW 1FW 1 FW 2FW 2 FW 3FW 3
HoneyHoney NetNet
DMZ 1DMZ 1
FW IFW I
DMZ 2DMZ 2
IDSIDS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Servidores e mServidores e míídias de backupdias de backup
• Proteção de servidores e mídias de backup
Servidores BackupsPortas de identificaçãoCFTVSalas-cofrePessoal restritoSistemas de fuga
Agendamento de backupsBackup do backupArmazenamento em cofresDiferentes locaisSistemas de fuga
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
SeguranSegurançça de direta de diretóóriosrios
• Segurança de diretórios
– Definição de poderes de acesso– Cifragem de pastas– Organização de documentos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PolPolíítica de segurantica de seguranççaa
• Itens abordados pela política– Controle de acesso físico a máquinas e mídias– Política de mesa e desktop limpos– Aplicação de camadas de acesso (políticas em X509)– Instalações/usos de softwares (exemplificado)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PolPolíítica de segurantica de seguranççaa
• Política Diretivas abrangentes, de alto nível
• PadrõesAtividades mandatórias
• Linhas BaseDescrição de configurações mandatórias
• ProcedimentosFuncionamento passo-a-passo
• Linhas GuiaRecomendações abrangentes
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PolPolíítica de segurantica de segurançça a -- ExemploExemplo
• Exemplo de política de instalação e uso de antivírus
– Política• Aqueles que detém informações da empresa são responsáveis pela sua
integridade– Padrões– Linhas Base– Procedimentos– Linhas Guia
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PolPolíítica de segurantica de segurançça a -- ExemploExemplo
• Exemplo de política de antivírus
– Política• Aqueles que detém informações da empresa são responsáveis pela sua
integridade– Padrões
• Os usuários devem utilizar o antivírus XYZ– Linhas Base– Procedimentos– Linhas Guia
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PolPolíítica de segurantica de segurançça a -- ExemploExemplo
• Exemplo de política de antivírus
– Política• Aqueles que detém informações da empresa são responsáveis pela sua
integridade– Padrões
• Os usuários devem utilizar o antivírus XYZ– Linhas Base
• As configurações de varredura do antivírus XYZ devem ser marcadas como heurística e para todos os arquivos, afim de garantir a integridade das informações armazenadas
– Procedimentos– Linhas Guia
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PolPolíítica de segurantica de segurançça a -- ExemploExemplo
• Exemplo de política de antivírus
– Política• Aqueles que detém informações da empresa são responsáveis pela sua
integridade– Padrões
• Os usuários devem utilizar o antivírus XYZ– Linhas Base
• As configurações de varredura do antivírus XYZ devem ser marcadas como heurística e para todos os arquivos, afim de garantir a integridade das informações armazenadas
– Procedimentos• Todos os usuários receberão atualizações semanais do software XYZ. Nos
intervalos e ao final do dia os usuários devem bloquear suas sessões do sistema operacional.
– Todo novo arquivo deve ser verificado quanto à existência de vírus– Sempre que possível as mídias de armazenamento externo devem ser protegidas
contra gravação– Toda atividade suspeita ou desautorizada deverá ser imediatamente comunicada
ao Grupo de Proteção da Informação, pelo ramal 5555
– Linhas Guia
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PolPolíítica de segurantica de segurançça a -- ExemploExemplo
• Exemplo de política de antivírus
– Política• Aqueles que detém informações da empresa são responsáveis pela sua integridade
– Padrões• Os usuários devem utilizar o antivírus XYZ
– Linhas Base• As configurações de varredura do antivírus XYZ devem ser marcadas como heurística e
para todos os arquivos, afim de garantir a integridade das informações armazenadas– Procedimentos
• Todos os usuários receberão atualizações semanais do software XYZ. Nos intervalos e ao final do dia os usuários devem bloquear suas sessões do sistema operacional.
– Todo novo arquivo deve ser verificado quanto à existência de vírus– Sempre que possível as mídias de armazenamento externo devem ser protegidas
contra gravação– Toda atividade suspeita ou desautorizada deverá ser imediatamente comunicada
ao Grupo de Proteção da Informação, pelo ramal 5555– Linhas Guia
• Os funcionários que utilizam sistemas computacionais devem participar de seminários sobre o poder destrutivo dos vírus e entender quais são suas responsabilidades pessoais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ganhei uma senha. E agora?Ganhei uma senha. E agora?
• Armazenamento seguro de senhas
– Memorizar– Entropia de senha amigável– Arquivos cifrados
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PasswordPassword SurveySurvey
Changed at least every 30 days.
Made up of one or more special characters.
An acronym from a phrase.
A keyboard pattern (qwerty, asdf, zxcvbn, etc.).
Plural or capitalization permutation of common words.
A common or vulgar phrase (deadhead).
A biological term.
A word from the King James Bible.
6 to 8 characters.
All the same letter or number (6666666 or ZZZZZZZ).
All numbers associated with you (Social Security Number, Phone Number, Birthdate).
A name associated with you (Maiden name, pet name, child’s name, favorite celebrity, teams, films, etc.).
The reverse spelling of a dictionary word.
A dictionary word (English or other languages).
NOYESIs Your Password…
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Fatores de autenticaFatores de autenticaççãoão
• Múltiplos fatores de autenticação
– O quê você sabe?• Senhas, respostas secretas, dados particulares
– O quê você tem?• Token, SmartCard, OTP, etc
– O quê você é?• Biometria, reconhecimento de voz, etc
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Fatores de autenticaFatores de autenticaççãoão
• O quê você sabe?
– Benefícios• Só você sabe• Independe de dispositivos
– Problemas• É fraca como única solução• Tem restrições• Inevitavelmente outras pessoas podem saber
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Fatores de autenticaFatores de autenticaççãoão
• O quê você tem?
– Benefícios• Associa o que você sabe ao que você tem• As chaves ficam armazenadas internamente• São portáteis (alguns à prova d’água)
– Problemas• Restauração difícil• Necessita de uma porta específica e dedicada (USB ou leitora)• Se perdido, gera burocracia
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Fatores de autenticaFatores de autenticaççãoão
• O que você é?
– Benefícios• São “códigos” únicos no mundo• Geralmente são associados à senhas• Não são copiáveis, emprestáveis, compartilháveis
– Problemas• Ferimentos• Imprecisão (falso-positivo)• Valor de implementação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Como funciona a biometriaComo funciona a biometria
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Impressão digital Impressão digital -- Detalhes da Minutiae
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Reconhecimento pela Reconhecimento pela íírisris
• Consiste nos seguintes passos:– Detectar a presença do olho na imagem– Localizar os limites interiores e exteriores da Íris– Detectar e excluir as pálpebras, se forem indutoras de erro– Definir um sistema de coordenadas 2D onde é mapeado o padrão
da íris e gerado o seu código
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Reconhecimento por vozReconhecimento por voz
• Imperfeições– Voz muda durante o tempo devido a vários fatores:
envelhecimento natural, stress, choques térmicos, etc.– Pode ser enganado por uma voz gravada.– Template da onda é muito grande (~6Kb).– Podemos obter templates diferentes dependendo do
microfone utilizado.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Geometria da mãoGeometria da mão
• O Mapeamento da mão consiste na obtenção de dados como o comprimento e largura dos dedos na imagem capturada. Estas medidas definem o mapa da mão de uma pessoa.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Comparativo entre as tComparativo entre as téécnicas biomcnicas bioméétricastricas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O mentirosoO mentiroso
• Como se proteger do Engenheiro Social
– Segurança física– Segurança técnica (lógica)– Segurança administrativa
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O mentirosoO mentiroso
• Como se proteger do Engenheiro Social
– Segurança física• Assaltos• Vandalismo• Catástrofes
– Segurança técnica (lógica)– Segurança administrativa
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O mentirosoO mentiroso
• Como se proteger do Engenheiro Social
– Segurança física– Segurança técnica (lógica)
• Firewall• Controle de acessos• Controle de usuários• IDS
– Segurança administrativa
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O mentirosoO mentiroso
• Como se proteger do Engenheiro Social
– Segurança física– Segurança técnica (lógica)– Segurança administrativa
• Políticas de segurança• Procedimentos• Educação (conscientização) de usuários• “Investigação” de novos empregados
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
EducaEducaçção de usuão de usuááriosrios
• Educação (conscientização) de usuários
– Revisão da política de segurança– Explicar os controles de acesso físico– Classificação dos tipos de informação e as formas de utilizar– Manejo das informações de procedência desconhecida/ duvidosa– Técnicas de engenharia social– Ética corporativa– Comunicação dos incidentes
de segurança
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CertificaCertificaçção digitalão digital
• Certificação digital
– O certificado digital é um documento eletrônico, que identifica pessoas físicas e jurídicas e também servidores;
– Contém informações importantes para a comunidade e para a aplicação a que se destina.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AgendaAgenda
• Definições• Introdução• Protegendo dados em repouso• Após o ataque• Sobre a TI Safe
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Apagando incêndiosApagando incêndios
• O que fazer se tudo der errado? (planos de contingência)
– Implantação de Business Continuity Planning (BCP)– Implantação de um Centro de Resposta a Incidentes– Ativação do Disaster Recovery Plan (DRP)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
A importância das atualizaA importância das atualizaççõesões
• Como dezenas de novas ameaças aparecem a cada dia, a atualização do sistema é absolutamente imprescindível para garantir a segurança do computador. Quanto mais atualizado, mais seguro estará o sistema, pois dezenas de novas falhas são expostas a cada dia.Por exemplo, se você não atualizar o seu anti-vírus, você ficaráprotegido apenas dos vírus conhecidos no momento em que a última atualização foi feita. Se nunca foi feita uma atualização, a proteção se resumirá aos vírus conhecidos no momento em que o antivírus foi lançado.
O Blaster apareceu menos de um mês depois que a Microsoft informou a respeito da vulnerabilidade explorada pelo worm e forneceu o patchpara corrigi-la.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ConclusãoConclusão
• Considerações finais
EducarEducar
PolPolííticasticas
Gerenciar
Gerenciar Proteger
Proteger
Monitorar
MonitorarAudita
r
Audita
r
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Participe do nosso fParticipe do nosso fóórum de seguranrum de seguranççaa
• Acesse www.tisafe.com/forum e cadastre-se
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ContatoContato