segurança da informação: proteção no ambiente virtual

SEGURANÇA DA INFORMAÇÃO

PROTEÇÃO NO AMBIENTE VIRTUALB R U N O F E L I P E

B R U N O F F A C @ G M A I L . C O M

EU, PROFISSIONALMENTE.

o Analista de Sistemas na BankSystem Corporation;

o Professor na Faculdade Marista e Joaquim Nabuco. Professor

Executor na UFRPE-EAD;

o Mestrado em Ciência da Computação, Cin-UFPE;

o Especialização em Administração de Banco de Dados – Estácio

de Sá;

o Graduação em Sistemas para Internet;

o Técnico em Web Design, Unibratec.

AGENDA

o Conceitos Básicos em Segurança da Informação;

o Preocupação com a Segurança do Computador;

o Riscos em Segurança da Informação;

o Segurança no Ambiente Físico;

o Engenharia Social;

o Tipos de Ataques;

o Como se Proteger no Ambiente Virtual


Hoje em dia, segurança é um assunto bastante discutido em várias

vertentes. No entanto, vamos focar na segurança da informação, algo

muito valioso atualmente.


A segurança da informação tem vários aspectos importantes, porém três

deles se destacam:

o Confidencialidade;

o Integridade;

o Disponibilidade;



deles se destacam:

o Confidencialidade: capacidade de um sistema de permitir que os

usuários acessem determinadas informações, ao passo que impede

que outros não autorizados, a vejam.

o Integridade;

o Disponibilidade;



deles se destacam:


o Integridade: a informação deve estar correta, ser verdadeira e não estar

corrompida além de não mudar a menos que isso seja feito

explicitamente.

o Disponibilidade;



deles se destacam:


o Integridade;

o Disponibilidade: A informação deve estar disponível para todos que

precisarem dela para realizar seu objetivo.


Segurança da Informação

Confidencialidade

Disponibilidade

Integridade


Outros aspectos:

o Autenticação: garantir que o usuário é, de fato, quem alega ser;

o Não-repúdio: capacidade do sistema de provar que um usuário executou determinada ação;

o Legalidade: garantir que o sistema esteja aderente à legislação pertinente;

o Privacidade: capacidade do sistema de manter o anonimato do usuário;

o Auditoria: capacidade do sistema de auditar tudo o que foi realizado pelo usuário, a fim de detectar fraudes ou tentativas de ataques.


Então...

Quando estamos falando sobre Segurança da Informação queremos tomar

medidas para garantir a confidencialidade, integridade, disponibilidade

e outros aspectos dentro da necessidade do usuário.

POR QUE DEVO ME PREOCUPAR COM A

SEGURANÇA DO MEU COMPUTADOR?

o Transações financeiras;

o Compra de produtos ou serviços;

o Comunicação (email, chat);

o Armazenamento de dados;

o Senhas;

POR QUE ALGUÉM INVADIRIA MEU COMPUTADOR?

o Utilizar seu computador em alguma atividade ilícita, para esconder a

real identidade e localização do invasor;

o Utilizar seu disco rígido como repositório de dados;

o Destruir informações;

o Disseminar mensagens alarmantes e falsas;

o Propagar vírus de computador;

o Furtar números de cartões de crédito e senhas bancárias;

o Furtar dados do seu computador, como por exemplo, fotos.

RISCOS EM SEGURANÇA DA INFORMAÇÃO

o Ataque

Um tipo de incidente de segurança caracterizado pela existência de um

agente que busca obter algum tipo de retorno, atingindo algum ativo de

valor.


o Vulnerabilidades

Os ativos de informação possuem vulnerabilidades ou fraquezas que,

intencionalmente ou não, podem gerar a indisponibilidade, a quebra de

confidencialidade ou integridade. A vulnerabilidade é o ponto fraco.


o Impacto

O impacto de um incidente de segurança é medido pelas consequências

que possam causar aos processos de negócio suportados pelo ativo

em questão.

Os ativos possuem valores diferentes pois, suportam informações com

relevâncias diferentes para o negócio da organização. Quanto mais

relevante for o ativo, maior será o impacto de um eventual incidente

que poderá acontecer.

CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE

INFORMAÇÃO

A classificação da informação é o processo pelo qual estabelecemos o

grau de importância das informações frente ao seu impacto no negócio

ou processo que elas suportam.


INFORMAÇÃOo Classificação quanto à confidencialidade:

o Nível I: informação pública

Nesta categoria estão os ativos públicos ou não classificados. São

informações que se forem divulgadas fora da organização, não trarão

impacto para o negócio. Sua integridade não é vital e seu uso é livre.

Exemplo: folder da organização, banner eletrônico e etc.

o Nível II: informação Interna

Nesta categoria estão os ativos cujo o acesso pelo público externo deve ser

evitado, entretanto, caso venha a ser público as consequências não são

críticas.

Exemplo: lista de telefones e ramais, agenda eletrônica dos executivos e

etc.


INFORMAÇÃOo Classificação quanto à confidencialidade: (Cont.)

o Nível III: informação confidencial

Nesta categoria estão os ativos que possuem acesso restrito dentro da organização e protegidos do acesso externo. A integridade é vital. O acesso não autorizado a este ativo pode trazer impactos significativos para o funcionamento da empresa.

Exemplo: dados de clientes, senhas de acesso, login como administrador e etc.

o Nível IV: informação secreta

Tanto o acesso interno quanto o externo a este ativo é extremamente crítico para a organização. A quantidade de pessoas com acesso a estes ativos precisa ser a menor possível e minuciosamente controlado.

Exemplo: informações de concorrentes, informações militares, BI e etc.


INFORMAÇÃOo Classificação quanto à disponibilidade:

Qual a falta que a informação faz? Ao responder esta pergunta poderemos

classificá-las em nível de criticidade e estabelecer uma ordem em caso de

indisponibilidade.

o Nível I: informações que devem ser recuperadas em segundos/minutos;

o Nível II: informações que devem ser recuperadas em horas;

o Nível III: informações que devem ser recuperadas em dias;

o Nível IV: informações que não são críticas;


INFORMAÇÃOo Classificação quanto à integridade:

Uma informação errada pode trazer vários transtornos aos processos de

trabalho. Assim, identificar aquelas que são fundamentais para o negócio

ajuda a apontar o local certo para direcionar os controles para prevenir,

detectar e corrigir a produção de informações sem integridade ou

alterações indevidas na mesma.


INFORMAÇÃOo Monitoramento contínuo:

Após a classificação dos ativos da informação, devemos elaborar e manter

procedimentos de reavaliação periódicas dos mesmos, sempre

assegurando que os ativos estejam seguramente classificados.

SEGURANÇA NO AMBIENTE FÍSICO

Para garantir a adequada segurança física aos ativos de informação é

preciso combinar medidas de prevenção, detecção e reação aos

possíveis incidentes de segurança.

Prevenção, Detecção e Reação


A ISO 17.799 (Segurança da Informação) recomenda que escritórios, salas

e instalações de processamento de dados sejam seguros contra fogo,

poeira, fumaça, vibração, vazamento d’água, explosão e desastres

naturais.

Da mesma forma os equipamentos devem ser seguros contra falha elétrica

ou qualquer anomalia na rede elétrica. No break, recomendado.


Sem esquecer do sistema de cabeamento, muito importante dentro de uma

empresa, deve receber os devidos cuidados.

Em muitas empresas, informações ainda são mantidas em papéis, os

mesmo devem ser digitalizados para conservarem seu “tempo de vida”.

ENGENHARIA SOCIAL

Tudo que a gente viu até agora pode ir por água abaixo.

O termo é utilizado para descrever um método de ataque, onde alguém faz

uso da persuasão, muitas vezes abusando da ingenuidade ou confiança

do usuário, para obter informações que podem ser utilizadas para ter

acesso não autorizado a computadores ou informações.

TIPOS DE ATAQUES

ATAQUES

Físico(Sabotagem)

Interceptação

Denial of Service

Intrusão

Engenharia Social

Backdoor

Físico(Sabotagem)

Corte de eletricidade Extinção manual do

computador Vandalismo Abertura da caixa do

computador e roubo do disco rígido

Interceptação

Roubo de sessão

(sessão hijacking)

Desvio ou alteração de

mensagens (IP spoofing)

Sniffing

Denial of

Service

Exploração de fraquezas

dos protocolos TCP/IP

Exploração de

vulnerabilidade dos

"software" servidores

Intrusão

Elevação de privilégios por

buffer overflow

Programas maliciosos

(vírus, malwares)

Engenharia

Social

Facebook

Google

Phishing

(normalmente por Email)

Backdoor Programas maliciosos

(que abrem portas)

COMO SE PROTEGER NO AMBIENTE VIRTUAL

SENHAS

Autenticar o usuário é o processo de verificação

de sua identidade, assegurando que este é

realmente quem diz ser.

SENHAS

o Use muitos caracteres;

o Combine maiúsculas e minúsculas;

o Combine letras, números e caracteres

especiais (# $ % & @ etc.);

o Evite a repetição de caracteres;

o Não use palavras que estão no

dicionário.

ANTIVÍRUS

Os antivírus são programas que procuram detectar e, então, anular ou remover

os programas maliciosos do computador.

FIREWALLS

Os firewalls são dispositivos constituídos pela combinação

de software e hardware, utilizados para dividir e controlar o acesso entre

redes de computadores.

CADEADO NA BARRA DE ENDEREÇOS

O cadeado exibido na imagem informa que o tráfego de dados no site é feita

por meio de uma conexão segura (https), ou seja, os dados serão

criptografados.

Então por que todos os sites na web não usam o cadeado ao trafegar dados?

REFERÊNCIAS

http://cartilha.cert.br/

http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

http://cartilha.cert.br/

http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o


COMO SE PROTEGER NO AMBIENTE

VIRTUALB R U N O F E L I P E

B R U N O F F A C @ G M A I L . C O M

segurança da informação: proteção no ambiente virtual

Technology