segurança da informação: proteção no ambiente virtual
DESCRIPTION
Apresentação abordando conceitos básicos sobre segurança da informação. Além de falar sobre alguns ataques e como se proteger no ambiente virtual.TRANSCRIPT
SEGURANÇA DA INFORMAÇÃO
PROTEÇÃO NO AMBIENTE VIRTUALB R U N O F E L I P E
B R U N O F F A C @ G M A I L . C O M
EU, PROFISSIONALMENTE.
o Analista de Sistemas na BankSystem Corporation;
o Professor na Faculdade Marista e Joaquim Nabuco. Professor
Executor na UFRPE-EAD;
o Mestrado em Ciência da Computação, Cin-UFPE;
o Especialização em Administração de Banco de Dados – Estácio
de Sá;
o Graduação em Sistemas para Internet;
o Técnico em Web Design, Unibratec.
AGENDA
o Conceitos Básicos em Segurança da Informação;
o Preocupação com a Segurança do Computador;
o Riscos em Segurança da Informação;
o Segurança no Ambiente Físico;
o Engenharia Social;
o Tipos de Ataques;
o Como se Proteger no Ambiente Virtual
SEGURANÇA DA INFORMAÇÃO
Hoje em dia, segurança é um assunto bastante discutido em várias
vertentes. No entanto, vamos focar na segurança da informação, algo
muito valioso atualmente.
SEGURANÇA DA INFORMAÇÃO
A segurança da informação tem vários aspectos importantes, porém três
deles se destacam:
o Confidencialidade;
o Integridade;
o Disponibilidade;
SEGURANÇA DA INFORMAÇÃO
A segurança da informação tem vários aspectos importantes, porém três
deles se destacam:
o Confidencialidade: capacidade de um sistema de permitir que os
usuários acessem determinadas informações, ao passo que impede
que outros não autorizados, a vejam.
o Integridade;
o Disponibilidade;
SEGURANÇA DA INFORMAÇÃO
A segurança da informação tem vários aspectos importantes, porém três
deles se destacam:
o Confidencialidade;
o Integridade: a informação deve estar correta, ser verdadeira e não estar
corrompida além de não mudar a menos que isso seja feito
explicitamente.
o Disponibilidade;
SEGURANÇA DA INFORMAÇÃO
A segurança da informação tem vários aspectos importantes, porém três
deles se destacam:
o Confidencialidade;
o Integridade;
o Disponibilidade: A informação deve estar disponível para todos que
precisarem dela para realizar seu objetivo.
SEGURANÇA DA INFORMAÇÃO
Segurança da Informação
Confidencialidade
Disponibilidade
Integridade
SEGURANÇA DA INFORMAÇÃO
Outros aspectos:
o Autenticação: garantir que o usuário é, de fato, quem alega ser;
o Não-repúdio: capacidade do sistema de provar que um usuário executou determinada ação;
o Legalidade: garantir que o sistema esteja aderente à legislação pertinente;
o Privacidade: capacidade do sistema de manter o anonimato do usuário;
o Auditoria: capacidade do sistema de auditar tudo o que foi realizado pelo usuário, a fim de detectar fraudes ou tentativas de ataques.
SEGURANÇA DA INFORMAÇÃO
Então...
Quando estamos falando sobre Segurança da Informação queremos tomar
medidas para garantir a confidencialidade, integridade, disponibilidade
e outros aspectos dentro da necessidade do usuário.
POR QUE DEVO ME PREOCUPAR COM A
SEGURANÇA DO MEU COMPUTADOR?
o Transações financeiras;
o Compra de produtos ou serviços;
o Comunicação (email, chat);
o Armazenamento de dados;
o Senhas;
POR QUE ALGUÉM INVADIRIA MEU COMPUTADOR?
o Utilizar seu computador em alguma atividade ilícita, para esconder a
real identidade e localização do invasor;
o Utilizar seu disco rígido como repositório de dados;
o Destruir informações;
o Disseminar mensagens alarmantes e falsas;
o Propagar vírus de computador;
o Furtar números de cartões de crédito e senhas bancárias;
o Furtar dados do seu computador, como por exemplo, fotos.
RISCOS EM SEGURANÇA DA INFORMAÇÃO
o Ataque
Um tipo de incidente de segurança caracterizado pela existência de um
agente que busca obter algum tipo de retorno, atingindo algum ativo de
valor.
RISCOS EM SEGURANÇA DA INFORMAÇÃO
o Vulnerabilidades
Os ativos de informação possuem vulnerabilidades ou fraquezas que,
intencionalmente ou não, podem gerar a indisponibilidade, a quebra de
confidencialidade ou integridade. A vulnerabilidade é o ponto fraco.
RISCOS EM SEGURANÇA DA INFORMAÇÃO
o Impacto
O impacto de um incidente de segurança é medido pelas consequências
que possam causar aos processos de negócio suportados pelo ativo
em questão.
Os ativos possuem valores diferentes pois, suportam informações com
relevâncias diferentes para o negócio da organização. Quanto mais
relevante for o ativo, maior será o impacto de um eventual incidente
que poderá acontecer.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE
INFORMAÇÃO
A classificação da informação é o processo pelo qual estabelecemos o
grau de importância das informações frente ao seu impacto no negócio
ou processo que elas suportam.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE
INFORMAÇÃOo Classificação quanto à confidencialidade:
o Nível I: informação pública
Nesta categoria estão os ativos públicos ou não classificados. São
informações que se forem divulgadas fora da organização, não trarão
impacto para o negócio. Sua integridade não é vital e seu uso é livre.
Exemplo: folder da organização, banner eletrônico e etc.
o Nível II: informação Interna
Nesta categoria estão os ativos cujo o acesso pelo público externo deve ser
evitado, entretanto, caso venha a ser público as consequências não são
críticas.
Exemplo: lista de telefones e ramais, agenda eletrônica dos executivos e
etc.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE
INFORMAÇÃOo Classificação quanto à confidencialidade: (Cont.)
o Nível III: informação confidencial
Nesta categoria estão os ativos que possuem acesso restrito dentro da organização e protegidos do acesso externo. A integridade é vital. O acesso não autorizado a este ativo pode trazer impactos significativos para o funcionamento da empresa.
Exemplo: dados de clientes, senhas de acesso, login como administrador e etc.
o Nível IV: informação secreta
Tanto o acesso interno quanto o externo a este ativo é extremamente crítico para a organização. A quantidade de pessoas com acesso a estes ativos precisa ser a menor possível e minuciosamente controlado.
Exemplo: informações de concorrentes, informações militares, BI e etc.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE
INFORMAÇÃOo Classificação quanto à disponibilidade:
Qual a falta que a informação faz? Ao responder esta pergunta poderemos
classificá-las em nível de criticidade e estabelecer uma ordem em caso de
indisponibilidade.
o Nível I: informações que devem ser recuperadas em segundos/minutos;
o Nível II: informações que devem ser recuperadas em horas;
o Nível III: informações que devem ser recuperadas em dias;
o Nível IV: informações que não são críticas;
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE
INFORMAÇÃOo Classificação quanto à integridade:
Uma informação errada pode trazer vários transtornos aos processos de
trabalho. Assim, identificar aquelas que são fundamentais para o negócio
ajuda a apontar o local certo para direcionar os controles para prevenir,
detectar e corrigir a produção de informações sem integridade ou
alterações indevidas na mesma.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE
INFORMAÇÃOo Monitoramento contínuo:
Após a classificação dos ativos da informação, devemos elaborar e manter
procedimentos de reavaliação periódicas dos mesmos, sempre
assegurando que os ativos estejam seguramente classificados.
SEGURANÇA NO AMBIENTE FÍSICO
Para garantir a adequada segurança física aos ativos de informação é
preciso combinar medidas de prevenção, detecção e reação aos
possíveis incidentes de segurança.
Prevenção, Detecção e Reação
SEGURANÇA NO AMBIENTE FÍSICO
A ISO 17.799 (Segurança da Informação) recomenda que escritórios, salas
e instalações de processamento de dados sejam seguros contra fogo,
poeira, fumaça, vibração, vazamento d’água, explosão e desastres
naturais.
Da mesma forma os equipamentos devem ser seguros contra falha elétrica
ou qualquer anomalia na rede elétrica. No break, recomendado.
SEGURANÇA NO AMBIENTE FÍSICO
Sem esquecer do sistema de cabeamento, muito importante dentro de uma
empresa, deve receber os devidos cuidados.
Em muitas empresas, informações ainda são mantidas em papéis, os
mesmo devem ser digitalizados para conservarem seu “tempo de vida”.
ENGENHARIA SOCIAL
Tudo que a gente viu até agora pode ir por água abaixo.
O termo é utilizado para descrever um método de ataque, onde alguém faz
uso da persuasão, muitas vezes abusando da ingenuidade ou confiança
do usuário, para obter informações que podem ser utilizadas para ter
acesso não autorizado a computadores ou informações.
TIPOS DE ATAQUES
ATAQUES
Físico(Sabotagem)
Interceptação
Denial of Service
Intrusão
Engenharia Social
Backdoor
Físico(Sabotagem)
Corte de eletricidade Extinção manual do
computador Vandalismo Abertura da caixa do
computador e roubo do disco rígido
Interceptação
Roubo de sessão
(sessão hijacking)
Desvio ou alteração de
mensagens (IP spoofing)
Sniffing
Denial of
Service
Exploração de fraquezas
dos protocolos TCP/IP
Exploração de
vulnerabilidade dos
"software" servidores
Intrusão
Elevação de privilégios por
buffer overflow
Programas maliciosos
(vírus, malwares)
Engenharia
Social
Phishing
(normalmente por Email)
Backdoor Programas maliciosos
(que abrem portas)
COMO SE PROTEGER NO AMBIENTE VIRTUAL
SENHAS
Autenticar o usuário é o processo de verificação
de sua identidade, assegurando que este é
realmente quem diz ser.
SENHAS
o Use muitos caracteres;
o Combine maiúsculas e minúsculas;
o Combine letras, números e caracteres
especiais (# $ % & @ etc.);
o Evite a repetição de caracteres;
o Não use palavras que estão no
dicionário.
ANTIVÍRUS
Os antivírus são programas que procuram detectar e, então, anular ou remover
os programas maliciosos do computador.
FIREWALLS
Os firewalls são dispositivos constituídos pela combinação
de software e hardware, utilizados para dividir e controlar o acesso entre
redes de computadores.
CADEADO NA BARRA DE ENDEREÇOS
O cadeado exibido na imagem informa que o tráfego de dados no site é feita
por meio de uma conexão segura (https), ou seja, os dados serão
criptografados.
Então por que todos os sites na web não usam o cadeado ao trafegar dados?
REFERÊNCIAS
http://cartilha.cert.br/
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
SEGURANÇA DA INFORMAÇÃO
COMO SE PROTEGER NO AMBIENTE
VIRTUALB R U N O F E L I P E
B R U N O F F A C @ G M A I L . C O M