seguranca e auditoria em sistemas aula 1

Upload: oda-san

Post on 08-Jul-2018

216 views

Category:

Documents


0 download

TRANSCRIPT

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    1/33

    Segurança e Auditoria em Sistemas

    Curso: Analise e Desenvolvimento de Sistemas

    Prof.Eduardo Araujo

    Site:www.professoreduardoaraujo.com

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    2/33

    EMENTA

    • Definição de segurança de informação.

    • Identificação das necessidades de Segurança.•  Avaliação de risco.

    • Impacto nos riscos.

    •  Avaliação na Política e Procedimentos de Segurança.

    • Métodos de Acesso.

    •  Auditoria de Sistemas de Gestão.

    2

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    3/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Segurança da informação.    A segurança da informação está relacionada com proteção

    de um conjunto de informações, no sentido de preservar ovalor que possuem para um indivíduo ou uma organização.São características básicas da segurança da informação os

    atributos de confidencialidade, integridade, disponibilidade eautenticidade, não estando esta segurança restrita somente asistemas computacionais, informações eletrônicas ousistemas de armazenamento.

      O conceito se aplica a todos os aspectos de proteção deinformações e dados. O conceito de Segurança Informática ouSegurança de Computadores está intimamente relacionadocom o de Segurança da Informação, incluindo não apenas asegurança dos dados/informação, mas também a dossistemas em si.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    4/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

     Atualmente o conceito de Segurança da

    Informação está padronizado pelanorma ISO/IEC 17799:2005, influenciada pelopadrão inglês (British Standard) BS 7799.

     A série de normas ISO/IEC27000 foramreservadas para tratar de padrões deSegurança da Informação, incluindo acomplementação ao trabalho original do padrão

    inglês.  A ISO/IEC 27002:2005 continua sendo

    considerada formalmente como 17799:2005para fins históricos.

    http://pt.wikipedia.org/wiki/ISO/IEChttp://pt.wikipedia.org/wiki/17799:2005http://pt.wikipedia.org/w/index.php?title=British_Standard&action=edit&redlink=1http://pt.wikipedia.org/wiki/BS_7799http://pt.wikipedia.org/wiki/ISO/IEChttp://pt.wikipedia.org/w/index.php?title=27002:2005&action=edit&redlink=1http://pt.wikipedia.org/w/index.php?title=27002:2005&action=edit&redlink=1http://pt.wikipedia.org/wiki/ISO/IEChttp://pt.wikipedia.org/wiki/BS_7799http://pt.wikipedia.org/w/index.php?title=British_Standard&action=edit&redlink=1http://pt.wikipedia.org/wiki/17799:2005http://pt.wikipedia.org/wiki/ISO/IEC

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    5/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Conceitos de segurança

       A Segurança da Informação se refere à

    proteção existente sobre as informações deuma determinada empresa ou pessoa, isto é,aplica-se tanto as informações corporativasquanto às pessoais. Entende-se por informação

    todo e qualquer conteúdo ou dado que tenhavalor para alguma organização ou pessoa. Elapode estar guardada para uso restrito ouexposta ao público para consulta ou aquisição.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    6/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Conceitos de segurança

    Podem ser estabelecidas métricas (com ouso ou não de ferramentas) para a definição donível de segurança existente e, com isto, seremestabelecidas as bases para análise damelhoria ou piora da situação de segurançaexistente. A segurança de uma determinadainformação pode ser afetada por fatorescomportamentais e de uso de quem se utilizadela, pelo ambiente ou infraestrutura que acerca ou por pessoas mal intencionadas quetêm o objetivo de furtar, destruir ou modificar talinformação.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    7/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Conceitos de segurança

     A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridadee Disponibilidade -- representa os principaisatributos que, atualmente, orientam a análise,

    o planejamento e a implementação dasegurança para um determinado grupo deinformações que se deseja proteger.

    Outros atributos importantes são airretratabilidade e a autenticidade. Com aevolução do comércio eletrônico e dasociedade da informação, a privacidade é

    também uma grande preocupação.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    8/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    Portanto os atributos básicos, segundo os padrõesinternacionais (ISO/IEC 17799:2005) são osseguintes:

    • Confidencialidade - propriedade que limita o acessoa informação tão somente às entidades legítimas,ou seja, àquelas autorizadas pelo proprietário dainformação.

    • Integridade - propriedade que garante que a

    informação manipulada mantenha todas ascaracterísticas originais estabelecidas peloproprietário da informação, incluindo controle demudanças e garantia do seu ciclo de vida

    (nascimento,manutenção e destruição).

    http://pt.wikipedia.org/wiki/ISO/IEChttp://pt.wikipedia.org/wiki/17799:2005http://pt.wikipedia.org/wiki/Confidencialidadehttp://pt.wikipedia.org/wiki/Integridadehttp://pt.wikipedia.org/wiki/Integridadehttp://pt.wikipedia.org/wiki/Confidencialidadehttp://pt.wikipedia.org/wiki/17799:2005http://pt.wikipedia.org/wiki/ISO/IEC

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    9/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Disponibilidade - propriedade que garante que ainformação esteja sempre disponível para o usolegítimo, ou seja, por aqueles usuários autorizadospelo proprietário da informação.

    •  Autenticidade - propriedade que garante que ainformação é proveniente da fonte anunciada e quenão foi alvo de mutações ao longo de um processo.

    • Irretratabilidade ou não repúdio - propriedade que

    garante a impossibilidade de negar a autoria emrelação a uma transação anteriormente feita

    http://pt.wikipedia.org/wiki/Disponibilidadehttp://pt.wikipedia.org/wiki/Autenticidadehttp://pt.wikipedia.org/w/index.php?title=Irretratabilidade_ou_n%C3%A3o_rep%C3%BAdio&action=edit&redlink=1http://pt.wikipedia.org/w/index.php?title=Irretratabilidade_ou_n%C3%A3o_rep%C3%BAdio&action=edit&redlink=1http://pt.wikipedia.org/wiki/Autenticidadehttp://pt.wikipedia.org/wiki/Disponibilidade

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    10/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    Para a montagem desta política, deve-selevar em conta:

    • Riscos associados à falta de segurança;• Benefícios;

    • Custos de implementação dos mecanismos.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    11/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Mecanismos de segurança

    O suporte para as recomendações de segurançapode ser encontrado em: Controles físicos eControles Lógicos

    • Controles físicos: são barreiras que limitam ocontato ou acesso direto a informação ou ainfraestrutura (que garante a existência da

    informação) que a suporta.• Existem mecanismos de segurança que apoiam os

    controles físicos:

    - Portas / trancas / paredes / blindagem / guardas /

    etc ..

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    12/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Mecanismos de segurança (Controles Lógicos)

    • Controles lógicos: são barreiras que impedem oulimitam o acesso a informação, que está em ambientecontrolado, geralmente eletrônico, e que, de outro modo,ficaria exposta a alteração não autorizada por elementomal intencionado.

    • Existem mecanismos de segurança que apoiam oscontroles lógicos:

    • Mecanismos de cifração ou encriptação: Permitem a

    transformação reversível da informação de forma atorná-la ininteligível a terceiros. Utiliza-se para tal,algoritmos determinados e uma chave secreta para, apartir de um conjunto de dados não criptografados,produzir uma sequência de dados criptografados. A

    operação inversa é a decifração.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    13/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Mecanismos de segurança (Controles Lógicos)

    • Assinatura digital: Um conjunto de dadoscriptografados, associados a um documento doqual são função, garantindo a integridade e

    autenticidade do documento associado, mas não asua confidencialidade.

    • Mecanismos de garantia da integridade da

    informação: Usando funções de "Hashing" ou de

    checagem, é garantida a integridade através decomparação do resultado do teste local com odivulgado pelo autor.

    • Mecanismos de controle de acesso: Palavras-

    chave, sistemas biométricos, firewalls, cartõesinteligentes.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    14/33

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    15/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Ameaças à segurança

    •  As ameaças à segurança da informação são relacionadasdiretamente à perda de uma de suas 3 característicasprincipais, quais sejam:

    • Perda de Confidencialidade: seria quando há uma quebra

    de sigilo de uma determinada informação (ex: a senha de umusuário ou administrador de sistema) permitindo que sejamexpostas informações restritas as quais seriam acessíveisapenas por um determinado grupo de usuários.

    • Perda de Integridade: aconteceria quando uma determinadainformação fica exposta a manuseio por uma pessoa nãoautorizada, que efetua alterações que não foram aprovadas enão estão sob o controle do proprietário (corporativo ouprivado) da informação.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    16/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Ameaças à segurança

    • Perda de Disponibilidade: acontece quando ainformação deixa de estar acessível por quem

    necessita dela. Seria o caso da perda decomunicação com um sistema importante para aempresa, que aconteceu com a queda de umservidor ou de uma aplicação crítica de negócio,

    que apresentou uma falha devido a um errocausado por motivo interno ou externo aoequipamento ou por ação não autorizada depessoas com ou sem má intenção.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    17/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Ameaças à segurança

    No caso de ameaças à rede de computadores ou a umsistema, estas podem vir de agentes maliciosos, muitasvezes conhecidos como crackers, (hackers não sãoagentes maliciosos, pois tentam ajudar a encontrarpossíveis falhas). Estas pessoas são motivadas parafazer esta ilegalidade por vários motivos. Os principaissão: notoriedade, auto-estima, vingança e o dinheiro. De

    acordo com pesquisa elaborada pelo Computer SecurityInstitute, mais de 70% dos ataques partem de usuárioslegítimos de sistemas de informação (Insiders) -- o quemotiva corporações a investir largamente em controlesde segurança para seus ambientes corporativos

    (intranet).

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    18/33

    SEGURANÇA E AUDITORIA DE SISTEMAS• Invasões na Internet

    Todo sistema de computação necessita de um sistema paraproteção de arquivos. Este sistema é um conjunto de regras quegarantem que a informação não seja lida, ou modificada por quemnão tem permissão. A segurança é usada especificamente parareferência do problema genérico do assunto, já os mecanismos de

    proteção são usados para salvar as informações a seremprotegidas. A segurança é analisada de várias formas, sendo osprincipais problemas causados com a falta dela a perda de dados eas invasões de intrusos. A perda de dados na maioria das vezes écausada por algumas razões: fatores naturais: incêndios,enchentes, terremotos, e vários outros problemas de causasnaturais; Erros de hardware ou de software: falhas noprocessamento, erros de comunicação, ou bugs em programas;Erros humanos: entrada de dados incorreta, montagem errada dedisco ou perda de um disco. Para evitar a perda destes dados énecessário manter um backup confiável, guardado longe destes

    dados originais.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    19/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Nível de segurança

    Depois de identificado o potencial de ataque, asorganizações têm que decidir o nível de segurança aestabelecer para uma rede ou sistema os recursosfísicos e lógicos a necessitar de proteção. No nível desegurança devem ser quantificados os custos

    associados aos ataques e os associados àimplementação de mecanismos de proteção paraminimizar a probabilidade de ocorrência de um ataque.

    • Segurança física

    • Considera as ameaças físicas como incêndios,desabamentos, relâmpagos, alagamento, algo quepossa danificar a parte física da segurança, acessoindevido de estranhos, forma inadequada de tratamentoe manuseio do veículo.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    20/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Nível de segurança

    •  Segurança lógica 

    •  Atenta contra ameaças ocasionadas por vírus,

    acessos remotos à rede, backup desatualizados,violação de senhas, etc.

    • Segurança lógica é a forma como um sistema é

    protegido no nível de sistema operacional e deaplicação. Normalmente é considerada comoproteção contra ataques, mas também significaproteção de sistemas contra erros não intencionais,como remoção acidental de importantes arquivosde sistema ou aplicação.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    21/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Políticas de segurança

    •  De acordo com o RFC 2196 (The Site SecurityHandbook ), uma política de segurança consiste numconjunto formal de regras que devem ser seguidas pelosutilizadores dos recursos de uma organização.

    •  As políticas de segurança devem ter implementaçãorealista, e definir claramente as áreas deresponsabilidade dos utilizadores, do pessoal de gestãode sistemas e redes e da direção. Deve também

    adaptar-se a alterações na organização. As políticas desegurança fornecem um enquadramento para aimplementação de mecanismos de segurança, definemprocedimentos de segurança adequados, processos deauditoria à segurança e estabelecem uma base paraprocedimentos legais na sequência de ataques.

    http://tools.ietf.org/html/rfc2196http://tools.ietf.org/html/rfc2196

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    22/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Políticas de segurança

    • O documento que define a política de segurança devedeixar de fora todos os aspectos técnicos deimplementação dos mecanismos de segurança, poisessa implementação pode variar ao longo do tempo.Deve ser também um documento de fácil leitura e

    compreensão, além de resumido.

    •  Algumas normas definem aspectos que devem serlevados em consideração ao elaborar políticas desegurança. Entre essas normas estão a BS7799  (elaborada pela British Standards Institution) e aNBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, emsubstituição à ISO 17799 (e por conseguinte à BS

    7799), das quais a primeira, ISO 27001, foi publicadaem 2005.

    http://pt.wikipedia.org/wiki/BS_7799http://pt.wikipedia.org/wiki/BS_7799http://pt.wikipedia.org/wiki/ISOhttp://pt.wikipedia.org/wiki/ISO_27001http://pt.wikipedia.org/wiki/ISO_27001http://pt.wikipedia.org/wiki/ISO_27001http://pt.wikipedia.org/wiki/ISO_27001http://pt.wikipedia.org/wiki/ISOhttp://pt.wikipedia.org/wiki/BS_7799http://pt.wikipedia.org/wiki/BS_7799http://pt.wikipedia.org/wiki/BS_7799

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    23/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Políticas de segurançaExistem duas filosofias por trás de qualquer política desegurança: a proibitiva (tudo que não é expressamente permitidoé proibido) e a permissiva (tudo que não é proibido é permitido).

    Os elementos da política de segurança devem ser considerados:

    • A Disponibilidade: o sistema deve estar disponível de formaque quando o usuário necessitar, possa usar. Dados críticosdevem estar disponíveis ininterruptamente.

    • A Legalidade:

    • A Integridade: sistema deve estar sempre íntegro e em

    condições de uso.• A Autenticidade: o sistema deve ter condições de verificar a

    identidade dos usuários, e este ter condições de analisar aidentidade do sistema.

    • A Confidencialidade: dados privados devem ser apresentadossomente aos donos dos dados ou ao grupo por ele liberado.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    24/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Políticas de Senhas

    • Dentre as políticas utilizadas pelas grandescorporações a composição da senha ou password éa mais controversa. Por um lado profissionais com

    dificuldade de memorizar varias senhas de acesso,por outro funcionários displicentes que anotam asenha sob o teclado no fundo das gavetas, emcasos mais graves o colaborador anota a senha nomonitor.

    • Recomenda-se a adoção das seguintes regras paraminimizar o problema, mas a regra fundamental é aconscientização dos colaboradores quanto ao uso e

    manutenção das senhas.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    25/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Políticas de Senhas

    • Senha com data para expiração

    •  Adota-se um padrão definido onde a senha possuiprazo de validade com 30 ou 45 dias, obrigando o

    colaborador ou usuário a renovar sua senha. Inibira repetição.

    •  Adota-se através de regras predefinidas que umasenha uma vez utilizada não poderá ter mais que

    60% dos caracteres repetidos, p. ex: senha anterior“123senha”  nova senha deve ter 60% doscaracteres diferentes como “456seuse”, neste casoforam repetidos somente os caracteres “s”  “e”  osdemais diferentes.

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    26/33

    SEGURANÇA E AUDITORIA DE SISTEMAS

    • Políticas de Senhas

    • Obrigar a composição com número mínimo de caracteresnuméricos e alfabéticos

    • Define-se obrigatoriedade de 4 caracteres alfabéticos e 4caracteres numéricos, por exemplo:1s4e3u2s ou posicional os4 primeiros caracteres devem ser numéricos e os 4subsequentes alfabéticos por exemplo: 1432seus.Criar umconjunto com possíveis senhas que não podem ser utilizadas

    • Monta-se uma base de dados com formatos conhecidos desenhas e proibir o seu uso, como por exemplo o usuáriochama-se Jose da Silva, logo sua senha não deve conterpartes do nome como 1221jose ou 1212silv etc, os formatosDDMMAAAA ou 19XX, 1883emc ou I2B3M4Recomenda-seainda utilizar senhas com CASE SENSITIVE e utilização decaracteres especiais como: @ # $ % & *

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    27/33

    Questões

    1 - Um computador é um equipamento capaz de

    processar com rapidez e segurança grandequantidade de informações.

     Assim, além dos componentes de hardware, oscomputadores necessitam de um conjunto desoftwares denominado

     A - arquivo de dados.

    B - blocos de disco.

    C - navegador de internet.D - processador de dados.

    E - sistema operacional.

    27

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    28/33

    Questões

    1 - Um computador é um equipamento capaz de

    processar com rapidez e segurança grandequantidade de informações.

     Assim, além dos componentes de hardware, oscomputadores necessitam de um conjunto desoftwares denominado

     A - arquivo de dados.

    B - blocos de disco.

    C - navegador de internet.D - processador de dados.

    E - sistema operacional.

    28

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    29/33

    Questões

    2 - A tecnologia utilizada na internet que se refere à

    segurança da informação é?

     A – Criptografia.

    B  – Download.

    C  – Streaming.D  – Mailing lists.

    E  – Web feed.

    29

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    30/33

    Questões

    2 - A tecnologia utilizada na internet que se refere à

    segurança da informação é?

     A – Criptografia.

    B  – Download.

    C  – Streaming.D  – Mailing lists.

    E  – Web feed.

    30

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    31/33

    3  – Qual das abaixo é uma ameaça a segurança da

    informação?

     A – Assinatura digital.

    B  – Perda da Confiabilidade.

    C  – Streaming incompleto.D  – Mecanismos de certificação.

    E  – Mecanismos de honeypot.

    31

    Questões

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    32/33

    3  – Qual das abaixo é uma ameaça a segurança da

    informação?

     A – Assinatura digital.

    B  – Perda da Confiabilidade.

    C  – Streaming incompleto.D  – Mecanismos de certificação.

    E  – Mecanismos de honeypot.

    32

    Questões

  • 8/19/2019 Seguranca e Auditoria Em Sistemas Aula 1

    33/33