Segurança da Informação www.triforsec.com.br
Perfil Triforsec  <ul><li>15 anos de know-how em segurança de T.I. </li></ul><ul><li>Alguns clientes </li></ul>
Segurança da Informação — Cena atual <ul><li>Em 99,99% das empresas auditadas — no Brasil — informações estavam sendo atac...
Segurança da Informação — Alguns tipos de ataques e fraudes <ul><li>Furtos de dados  </li></ul><ul><ul><li>Feito por funci...
Segurança da Informação — Alguns tipos de ataques e fraudes <ul><li>Ataques à imagem de empresas </li></ul><ul><ul><li>Hac...
Alguns cases e registros <ul><li>Vazamento de dados da Receita, do Enem e outros </li></ul><ul><li>Milhões de sites violad...
Segurança da Informação — Pilares <ul><li>A informação segura repousa sobre o tripé abaixo e a ausência de qualquer destes...
Segurança da Informação — Quando implementá-la? <ul><li>Deve estar presente antes mesmo da informática ir ao ar — tal qual...
Pentest (penetration test) <ul><li>É uma auditoria da vulnerabilidade da T.I. da empresa </li></ul><ul><li>Formas mais com...
Gestão e Análise de Vulnerabilidades (GAV) <ul><li>Serviço contínuo que dispensa a necessidade de futuros Pentest  </li></...
Monitoria de Logs e Eventos (MLE) <ul><li>Análise contínua na busca de anomalias </li></ul><ul><li>Reporte da anomalia no ...
Política de Segurança de Informática (PSI) <ul><li>Consultoria que assessora a criação de práticas e regras que regulam, p...
Planejamento de Infraestrutura de Informática (PII) <ul><li>Aponta fragilidades e tem como referência a Rede Segura Trifor...
Planejamento de Infraestrutura de Informática (PII) <ul><li>Gestão de Servidores com monitoramento pró-ativo, incluindo </...
Obrigado!!
Próximos SlideShares
Carregando em…5
×

Triforsec segurança da informação

432 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
432
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
13
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Triforsec segurança da informação

  1. 1. Segurança da Informação www.triforsec.com.br
  2. 2. Perfil Triforsec <ul><li>15 anos de know-how em segurança de T.I. </li></ul><ul><li>Alguns clientes </li></ul>
  3. 3. Segurança da Informação — Cena atual <ul><li>Em 99,99% das empresas auditadas — no Brasil — informações estavam sendo atacadas ou ameaçadas de alguma forma </li></ul><ul><li>Violar emails, sites e sistemas alimenta um próspero mercado de dados sigilosos, uso clandestino de T.I., congestionamento orquestrado de sites e outros — um &quot;negócio&quot; lucrativo e com baixo risco de punição </li></ul><ul><li>As fraudes crescem muito mais rápido do que a velocidade da lei e da justiça pode alcançá-las — até porque muitas vêm do exterior </li></ul><ul><li>Fraudes podem durar anos despercebida e, enquanto isto, a empresa perde negócios ou causas judiciais de forma inexplicável ou tem boa parte de sua capacidade computacional &quot;adotada&quot; por fraudadores — via internet ou de dentro da própria empresa </li></ul><ul><li>O Brasil é terreno fértil pois pouquíssimas empresas têm práticas de segurança efetivas </li></ul><ul><li>A melhor saída — talvez a única — é a prevenção </li></ul><ul><li>O padrão internacional recomenda uma auditoria anual no mínimo — e feita por uma auditora externa </li></ul>
  4. 4. Segurança da Informação — Alguns tipos de ataques e fraudes <ul><li>Furtos de dados </li></ul><ul><ul><li>Feito por funcionário ou visitante com acesso à rede que quer desviar dados sigilosos ou entrar na justiça contra a empresa </li></ul></ul><ul><ul><li>Feito por hacker ou técnico de T.I. da própria empresa — que viola emails e sistemas para vender dados sigilosos a terceiros </li></ul></ul><ul><li>Vazamento de dados por omissão técnica </li></ul><ul><ul><li>Causados por processos e treinamentos frágeis que permitem práticas inseguras de usuários (e.g., compartilham senhas, deixam computador sem dar sign-out nos sistemas, etc.) </li></ul></ul><ul><li>Uso clandestino de infraestrutura de T.I. </li></ul><ul><ul><li>Feito por hacker ou técnico de T.I. da própria empresa — que se apropria da infraestrutura de T.I. da mesma para “negócios” paralelos (e.g., hospedar sites), sem a empresa o desconfiar </li></ul></ul><ul><ul><li>É um negócio da China pois o fraudador ganha dinheiro e não paga nem pela energia elétrica </li></ul></ul><ul><ul><li>Ataques pela internet são uma epidemia — são milhões por dia </li></ul></ul>
  5. 5. Segurança da Informação — Alguns tipos de ataques e fraudes <ul><li>Ataques à imagem de empresas </li></ul><ul><ul><li>Hackers são pagos para congestionar sites ou “defaceá-los“ redirecionando visitantes a sites estranhos (e.g., pornôs) </li></ul></ul><ul><li>Fraudes contra campanhas de marketing via sites ou redes sociais </li></ul><ul><ul><li>Espertinhos criam por exemplo softwares-robôs para obter grandes pontuações e assim levar centenas de brindes (e.g., créditos de celulares, celulares, etc.) </li></ul></ul>
  6. 6. Alguns cases e registros <ul><li>Vazamento de dados da Receita, do Enem e outros </li></ul><ul><li>Milhões de sites violados diariamente </li></ul><ul><li>Hospital (do norte-nordeste) perde causa milionária porque teve sua rede invadida e a defesa que seria apresentada na audiência foi parar nas mãos do advogado do demandante — que assim pôde conhecer-lhe a linha de defesa e foi mais fácil derrubá-la </li></ul><ul><li>É comum a auditoria fisgar senhas bancárias, listas de clientes, preços e estoques, prontuários médicos </li></ul>
  7. 7. Segurança da Informação — Pilares <ul><li>A informação segura repousa sobre o tripé abaixo e a ausência de qualquer destes pilares põe a perder a segurança como um todo </li></ul>Integridade Confiabilidade Disponibilidade
  8. 8. Segurança da Informação — Quando implementá-la? <ul><li>Deve estar presente antes mesmo da informática ir ao ar — tal qual se faz com seguro de saúde ou de automóvel </li></ul><ul><li>A seguir, os processos de segurança de T.I. com maturidade de padrão internacional </li></ul>Monitoria de Logs e Eventos (MLE) Política de Segurança de Informática (PSI) Planejamento da Infraestrutura de Informática (PII) Gestão e Análise de Vulnerabilidades (GAV) Penetration test (pentest)
  9. 9. Pentest (penetration test) <ul><li>É uma auditoria da vulnerabilidade da T.I. da empresa </li></ul><ul><li>Formas mais comuns </li></ul><ul><ul><li>Blind </li></ul></ul><ul><ul><ul><li>A área de T.I. do cliente sabe que vai ser auditada e o auditor não sabe o que vai encontrar </li></ul></ul></ul><ul><ul><li>Double Blind </li></ul></ul><ul><ul><ul><li>A área de T.I. do cliente não sabe que vai ser auditada — e pode não sabê-lo mesmo depois da auditagem </li></ul></ul></ul><ul><li>Costuma ser porta de entrada da Triforsec no cliente </li></ul><ul><li>Pode ser parcial (e.g., externa, interna, por aplicação) </li></ul><ul><li>Quem o requisita é a diretoria ou o CIO (e.g., ao assumir um CPD) </li></ul>
  10. 10. Gestão e Análise de Vulnerabilidades (GAV) <ul><li>Serviço contínuo que dispensa a necessidade de futuros Pentest </li></ul><ul><li>Busca vulnerabilidades por omissões técnicas </li></ul><ul><li>Idem para a ausência de patches de segurança (windows) </li></ul><ul><li>Varre vulnerabilidades conhecidas </li></ul><ul><li>Reporta vulnerabilidade no momento de sua detecção </li></ul><ul><li>Gera relatórios periódicos </li></ul>
  11. 11. Monitoria de Logs e Eventos (MLE) <ul><li>Análise contínua na busca de anomalias </li></ul><ul><li>Reporte da anomalia no momento de sua detecção </li></ul><ul><li>Gera relatórios periódicos </li></ul>
  12. 12. Política de Segurança de Informática (PSI) <ul><li>Consultoria que assessora a criação de práticas e regras que regulam, protegem, gerenciam, distribuem informações e planeja a segurança da informação como um todo, incluindo </li></ul><ul><ul><li>Controles de acessos internos e externos à internet, rede, servidores </li></ul></ul><ul><ul><li>Criptografia de HD, pendrives, CDs, comunicações </li></ul></ul><ul><ul><li>Mecanismos de garantia de inviolabilidade de dados — mesmo em caso de sequestro dos computadores da organização </li></ul></ul><ul><ul><li>Minimização de risco de furtos de dados por invasores virtuais ou locais com acesso à rede (funcionário, cliente, fornecedor, visitante) ou por omissão técnica </li></ul></ul>
  13. 13. Planejamento de Infraestrutura de Informática (PII) <ul><li>Aponta fragilidades e tem como referência a Rede Segura Triforsec (de padrão internacional de segurança) </li></ul>Servidores Internet Ambiente Internet DMZ (Zona Desmilitarizada) Proteção de 1o. nível: - Retém Spams , Malwares e a maioria dos ataques externos WARM - Web Access Report Manager IDSRG - Intrusion Detection System Report Generation WEB FTP E-mail CRM Internet Proteção de 2o. nível: acesso controlado entre VLANs Ambiente VLAN (Virtual LAN) Servidores Internos VLAN - Vendas & Administração VLAN - Informática VLAN - Diretoria Banco Dados Firewall Triforsec WARM / IDSRG IPbx Aplicativos Rede Roteamento entre VLANs
  14. 14. Planejamento de Infraestrutura de Informática (PII) <ul><li>Gestão de Servidores com monitoramento pró-ativo, incluindo </li></ul><ul><ul><li>Análise de Performance </li></ul></ul><ul><ul><li>Gerenciamento de acessos de usuários </li></ul></ul><ul><ul><li>Restricionamento de acesso a sites </li></ul></ul>
  15. 15. Obrigado!!

×