segurança da informação
DESCRIPTION
Aula sobre Segurança da Informação (2013)TRANSCRIPT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
1
SEGURANÇA DA INFORMAÇÃO
Efrain Cristian Zúñiga Saavedra Metrus Instituto de Seguridade Social
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
2
Leis e Regulamentações
Governança de TI
Gestão de Segurança da Informação
Responsabilidade Social e
Corporativa
Continuidade de Negócios
Segurança Saúde e Meio Ambiente
Segurança Estratégica e
Gerenciamento de Crises
Leis e Regulamentações
ISO 38500
CobIT 4.1
ISO 27001
ISO 27002
ISO 27005
CobIT DS.5
ISO 26001
NBR 16001
BS 25998-1
BS 25998-2
BS 25777-1
CobIT DS.4
ISO 14001
OHSAS 18001
ISO 27005
ISO 27002
ISO 31000
Fonte: Daryus
Gestão de Riscos
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
3
• Normas são documentos estabelecidos em consenso e aprovado por organismos reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto.
• É aquilo que se estabelece como medida para a realização de uma atividade.
• Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço.
O que são Normas?
Fonte: ABNT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
4
• Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços;
• Segurança: proteger a vida humana e a saúde;
• Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos;
• Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.
Objetivos da normalização
Fonte: ABNT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
5
• ISO (International Organization for Standardization)
• IEC (International Electrotechnical Commission)
• BSI Group
• ABNT ( Associação Brasileira de Normas Técnicas)
Quem faz Normas?
Fonte: ABNT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
6
A Família ISO/IEC 27000
Fonte: ISO 27000
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
7
Quem faz Normas?
Fonte: ABNT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
8
A arquitetura da informação se constitui numa série de ferramentas que adaptam os recursos às necessidades da informação.
Ela conecta os processos, os comportamentos, os métodos, a estrutura e o espaço físico, incluindo mapas, diretórios e padrões relacionados com o uso e armazenamento das informações.
Arquitetura da Informação
Fonte: Thomas H. Davenport
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
9
Ciclo de vida da informação
Fonte: Content Management
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
10
Formula e dirige a politica relativa à entrega de informações em uma organização.
“Entregar a informação certa as pessoas certas no tempo certo”
Gestão da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
11
• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Aspectos da confiabilidade da informaçãoCID
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
12
É obtida por meio de controles adequados para garantir queosobjetivos do negocio e de segurança da organização sejam atendidos. Os controles podem ser:
• Politicas;
• Processos;
• Procedimentos;
• Estruturas Organizacionais;
• Funções de SW e HW.
Este conjunto de controles adequados precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados.
Obtendo a segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
13
A evolução da segurança da informação
Fonte: Daryus
Período (Anos) Ambiente da Informação Tipo de Proteção Foco Segurança da Informação
50 a 70 Eletromecanico Dados Confidencialidade Inexistente ou Militar
70 a 80 Mainframe Dados ConfidencialidadeRetaguarda via informática ou
Militar
80 a 90 Mainframe e Rede Dados e Informação Confidencialidade e IntegridadeRetaguarda informática,
Administração e Operação
90 a 2000Mainframe em declínio. Redes computacioanais,
redes IP, Internet
Dados, informação, conhecimento, imagem e
voz
Confidencialidade, Integridade e Disponibilidade
Informática, Administração e Operação
2000 a 2010Redes de alta velocidade,
rede sem fio
Dados, informação, conhecimento, imagem,
sons e outros
Confidencialidade, Integridade e Disponibilidade
Responsabilidade de todos
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
14
Risco: Combinação da probabilidade de um evento e suas consequências (ISO Guide 73:2002).
Tratamento do Risco: Processo de tratamento, seleção e implementação das medidas para modificar o risco (ISO Guide73:2002).
Risco Residual: Risco remanescente após o tratamento
Definições sobre Risco
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
15
Ameaça: Uma potencial causa de incidente (BS ISO/IEC 1335:1 2004).
Ameaça: Todo e qualquer perigo eminente, seja natural, humana, tecnológica, física ou político-econômica.
Exemplos: vandalismo, roubo e furto, sabotagem, incêndio, raios, inundação, enchente, falha de servidores, falha humana, acesso de pessoas não autorizadas.
Ameaças
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
16
Código Malicioso (Malware)
Termo genérico que se refere a todos os tipos de programas que executam ações maliciosas em um computador.
São exemplos:
• Vírus
• Worms
• Spywares
• Bot e Botnet
• Backdoor
• Trojans e Rootkits
Ameaças à segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
17
Vírus
Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.
Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado.
Ameaças à segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
18
Tipos de Vírus
Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que seja executado.
Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML.
Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros).
Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens MMS. A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa.
Ameaças à segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
19
Worm
Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador.
Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores.
Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.
Ameaças à segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
20
Spyware
É um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros.
Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso:Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado.
Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador, como monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo, conta de usuário e senha).
Ameaças à segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
21
Bot e botnet
Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores.
A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam.
Ameaças à segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
22
Backdoor
Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim.
Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo.
Ameaças à segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
23
Cavalo de troia (Trojan)
Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário.
Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador.
Ameaças à segurança da informação
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
24
Ameaças à segurança da informação
Rootkit
Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.
O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:• instalar códigos maliciosos, como backdoors, para assegurar o acesso futuro
ao computador infectado;
• esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc;
• mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;
• capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
25
Ameaças à segurança da informação
Engenharia Social (Golpes)
Método de ataque onde a pessoa faz uso de persuasão, muitas vezes abusando da ingenuidade do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
26
Ameaças à segurança da informação
Hacking
Hacker: Individuo com conhecimentos profundos de sistemas computacionais. Conhece e procura novas falhas de segurança dos sistemas e está sempre estudando novas vulnerabilidades existentes.
Cracker: Utiliza seus conhecimentos e ferramentas de terceiros para finalidades obscuras ou a fim de gerar prejuízo a corporações, entidades e outros.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
27
Ameaças à segurança da informação
Hoax
Boato por e-mail que possui conteúdo alarmante ou falso.
Geralmente tem como remetente ou aponta como autora da mensagem alguma instituição, empresa importante ou orgão governamental.
Muito utilizado como instrumento de engenharia social para disseminar “cavalos de Tróia”.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
28
Ameaças à segurança da informação
Phishing
Mensagem falsa e não solicitada que procura induzir usuários ao fornecimento de dados pessoais e financeiros.
• Passa-se por comunicação de uma instituição conhecida como banco, empresa ou site popular;
• Pode induzir o usuário a instalar um código malicioso;
• Pode apresentar formulários para envio de dados.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
29
Vulnerabilidades
As vulnerabilidades características ou falhas em sistemas (ex: não atualização), que podem ser exploradas por agentes de ameaças (ex: cracker) para que uma ameaça se concretize (ex: invasão);
• Grau de exposição: medida numérica ou de sensibilidade a qual está exposto em grau menor ou maior um determinado ativo.
• Probabilidade de ocorrência: medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante um periodopré-determinado;
• Vulnerabilidade: uma fraqueza de um ativo que pode ser explorada por uma ou mais ameaças.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
30
Vulnerabilidades
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
31
Devemos correr riscos?
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
32
Gestão de Riscos
ISO 27005
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
33
PSI - Politica de Segurança da Informação
A Segurança da Informação "inicia" através da definição de uma política clara e concisa acerca da proteção das informações.
Através de uma Política de Segurança da Informação, a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos.
A PSI deve ser compreendida como a tradução das expectativas da empresa em relação a segurança considerando o alinhamento com os seus objetivos de negócio, estratégias e cultura.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
34
PSI - Politica de Segurança da Informação
Objetivos e Escopo
• Prover uma orientação de apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
• A PSI tem como propósito elaborar critérios para o adequado: manuseio, armazenamento, transporte e descarte das informações
• A Política de Segurança é um conjunto de diretrizes, normas, procedimentos e instruções, destinadas respectivamente aos níveis estratégico, tático e operacional, com o objetivo de estabelecer, padronizar e normatizar a segurança tanto no escopo humano como no tecnológico.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
35
PSI - Politica de Segurança da Informação
Elaboração da PSI
• Estruturar o Comitê de Segurança;
• Definir Objetivos;
• Realizar Entrevistas e Verificar a Documentação Existente;
• Elaborar o Glossário da Política de Segurança;
• Estabelecer Responsabilidades e Penalidades;
• Preparar o Documento Final da PSI;
• Oficializar a Política da Segurança da Informação;
• Sensibilizar os Colaboradores.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
36
PSI - Politica de Segurança da Informação
Questões
• O que significa Segurança da Informação?
• Por que os colaboradores devem se preocupar com segurança?
• Quais são os objetivos estratégicos de SI?
• Como é realizada a gestão da segurança da informação?
• O que pensa a alta administração?
• Quais são os principais papéis e responsabilidades?
• Quais as penalidades previstas?
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
37
PSI - Politica de Segurança da Informação
Políticas
Normas e Padrões
Procedimentos e Orientações
• Diretrizes
• Determinam o Cumprimento das diretrizes
• Como implementar os controles
Hierarquia
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
38
Auditoria de Sistemas de Informação
Servem para analisar e avaliar se foram desenvolvidos e implementados corretamente:
• Controles sistemas de informação;
• Controle de procedimentos;
• Controle de instalações;
• Outros controles administrativos.
• Pode ser definida uma trilha de auditoria no sistema (logs de rede, banco de dados, etc).
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| IS
O 2
7000
39
Auditoria de Sistemas de Informação
Exemplo da listagem realizada por um auditor: