Semana CulturalIntrodução a Segurança daInformação e mecanismos deproteção
• Uma organização deve determinar quais ativos podem afetar a entrega deum produto ou serviço pela ausência ou deterioraçã...
Impressa ou escrita em papelMostrada em vídeo Armazenada eletronicamenteTransmitida por correio eletrônicoVerbal“A forma e...
Internas – informações que você nãogostaria que a concorrência soubesseou que impacte a área de negócio.De clientes e forn...
A informação pode ser:•Criada•Transmitida•Processada•Usada•Armazenada•Corrompida•Perdida•Destruída
Segurança da Informação – é a proteção da informaçãocontra diversos tipos de ameaças para garantir acontinuidade dos negóc...
ConfidencialidadeConfidencialidadeÉ o grau no qual o acesso à informação é restrito para determinados grupos depessoas aut...
IntegridadeIntegridadeÉ o grau em que a informação á atualizada sem erros. As características daintegridade são ela ser co...
DisponibilidadeDisponibilidadeÉ o grau no qual a informação está disponível para o usuário e para o sistema deinformação q...
A internet tem nos proporcionado diversas facilidadesFazer amizades Ler notíciasDiversãoCompras Transações bancárias
Riscos relacionados ao uso da internet:Conteúdo impróprio e ofensivoBoatos (Hoax)Phishing PharmingInvasão de privacidadeGo...
Ataques relacionados a internet:• Exploração de vulnerabilidades• Varredura de redes (scan)• Falsificação de email (email-...
Como se proteger?Política de segurançaContas e senhasCriptografiaCópias de segurança (backup) Registro de eventos (Logs)Fe...
Política de segurançaÉ a política que governa toda a abordagem daorganização quanto ao gerenciamento desegurança da inform...
Contas e senhas3 mecanismos básicos de autenticação:•Aquilo que você é. (impressão digital, voz, íris, etc)•Aquilo que voc...
Contas e senhasCuidados a serem tomados ao usar suas contas e senhas:•Certifique-se de não estar sendo observado ao digita...
Contas e senhasElaboração de senhas:•Números aleatórios (135428907854)•Grande quantidade de caracteres (quanto mais longa ...
CriptografiaPor meio do uso da criptografia você pode:•Proteger os dados sigilosos armazenados no computador•Criar uma par...
Firewall“Utilizado para proteger o computadorcontra acessos não autorizados vindosda internet”O firewall é capaz de:•Regis...
Ferramentas antimalwareSão aquelas que procuram detectar, anular e remover os códigos maliciosos de umcomputador.EX: Antiv...
Registro de eventos (Logs)Logs é o registro de atividades gerado por programas e serviços de um computador.A partir da aná...
Cópias de segurança (backup)Backups são extremamente importantes, pois permitem:•Proteção dos dados: você pode preservar s...
www.spread.com.br
Introdução a segurança da informação
Introdução a segurança da informação
Introdução a segurança da informação
Introdução a segurança da informação
Próximos SlideShares
Carregando em…5
×

Introdução a segurança da informação

283 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
283
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
11
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Introdução a segurança da informação

  1. 1. Semana CulturalIntrodução a Segurança daInformação e mecanismos deproteção
  2. 2. • Uma organização deve determinar quais ativos podem afetar a entrega deum produto ou serviço pela ausência ou deterioração, ou causar dano aorganização através da perda de confidencialidade, integridade oudisponibilidade.• Deve-se definir qual é o valor de um ativo no caso de um incidente.
  3. 3. Impressa ou escrita em papelMostrada em vídeo Armazenada eletronicamenteTransmitida por correio eletrônicoVerbal“A forma em que ainformação se apresenta, vaidefinir as medidasnecessárias a sua proteção”
  4. 4. Internas – informações que você nãogostaria que a concorrência soubesseou que impacte a área de negócio.De clientes e fornecedores – informações queeles não gostariam que você divulgasse.De parceiros – informações quenecessitam ser compartilhadas comoutros parceiros comerciais.
  5. 5. A informação pode ser:•Criada•Transmitida•Processada•Usada•Armazenada•Corrompida•Perdida•Destruída
  6. 6. Segurança da Informação – é a proteção da informaçãocontra diversos tipos de ameaças para garantir acontinuidade dos negócios, minimizar os danos aosnegócios e maximizar o retorno dos investimentos e asoportunidades de negócio. “ISO/IEC 27002:2005”A Segurança da informação é constituída por umconjunto de controles, políticas, processos,estrutura organizacionais e normas.Tem como objetivo a proteção da informação nosaspectos de confidencialidade, integridade edisponibilidade.
  7. 7. ConfidencialidadeConfidencialidadeÉ o grau no qual o acesso à informação é restrito para determinados grupos depessoas autorizados a ter este acesso. Confidencialidade também inclui medidas deproteção a privacidade.Exemplos de medidas de confidencialidade•Acesso a informação garantido somente onde necessário•Empregados tomam medidas para garantir que a informação não é encontrada poraqueles que dela não necessitam.•Gestão de acesso lógico garante que pessoas ou processos não autorizados não tenhamacesso a sistemas automatizados, bases de dados ou programas.•Uma separação é criada entre o sistema de desenvolvimento da organização, osprocessos da organização e os usuários. Um desenvolvedor, por exemplo, não pode alterarsalários.•Nos processos onde dados são utilizados, medidas são tomadas para garantir aprivacidade das pessoas e terceiros.
  8. 8. IntegridadeIntegridadeÉ o grau em que a informação á atualizada sem erros. As características daintegridade são ela ser correta e completa.Exemplos de medidas de integridade•Mudança autorizadas de dados. Por exemplo: Alteração de um preço conforme definidopela administração.•As ações dos usuários são registradas e portanto pode-se determinar quem alteroudeterminada informação.•Uso de criptografia para impedir acesso a informação e assegurar sua proteção.
  9. 9. DisponibilidadeDisponibilidadeÉ o grau no qual a informação está disponível para o usuário e para o sistema deinformação que está em operação no momento em que a organização a requer.Características de disponibilidade•Pontualidade: o sistema de informação está disponível quando necessário•Continuidade: a organização pode continuar trabalhando no caso de falha.•Robustez: existe capacidade suficiente, o que permite que toda organização trabalhe nosistemaExemplos de medidas de disponibilidade:•Gestão e armazenamento de dados – Ex: armazenados em rede, ao invés do HD•Procedimentos de backup - armazenado em locais físicos diferentes•Procedimento de emergência - garantia de que as atividades voltem a operar maisrápido possível.
  10. 10. A internet tem nos proporcionado diversas facilidadesFazer amizades Ler notíciasDiversãoCompras Transações bancárias
  11. 11. Riscos relacionados ao uso da internet:Conteúdo impróprio e ofensivoBoatos (Hoax)Phishing PharmingInvasão de privacidadeGolpes de comércio eletrônico
  12. 12. Ataques relacionados a internet:• Exploração de vulnerabilidades• Varredura de redes (scan)• Falsificação de email (email-spoofing)• Interceptação de tráfego (sniffing)• Força bruta (brute force)• Desfiguração de páginas (Defacement)• Negação de serviço (Denial of service)Prevenção:• Quanto menor a quantidade de computadores vulneráveis e infectados, menoseficazes serão os ataques de negação de serviço.• Quanto mais consciente dos mecanismos de segurança você estiver, menores sãoas chances de sucesso do atacante.• Quanto melhores forem as suas senhas, menores são as chances de sucesso deataques de força bruta• Quanto mais os usuários usarem criptografia para proteger os dados nocomputador ou internet, menores são as chances de tráfego de texto claro serinterceptados.
  13. 13. Como se proteger?Política de segurançaContas e senhasCriptografiaCópias de segurança (backup) Registro de eventos (Logs)Ferramentas antimalwareFirewall
  14. 14. Política de segurançaÉ a política que governa toda a abordagem daorganização quanto ao gerenciamento desegurança da informação, deve cobrir todasas áreas de segurança, ser apropriada, estardisponível a todos os clientes, usuários eequipe de TI e atender às necessidades donegócio.Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais,como tamanho mínimo e máximo, regra de formação e periodicidade de troca.Política de backup: define as regras sobre a realização de cópias de segurança, como tipode mídia utilizada, período de retenção e frequência de execução.Política de privacidade: define como são tratadas as informações pessoais, sejam elas declientes, usuários ou funcionários.Política de confidencialidade: define como são tratadas as informações institucionais, ouseja, se elas podem ser repassadas a terceiros.Política de uso aceitável (PUA): define as regras de uso dos recursos computacionais, osdireitos e as responsabilidades de quem os utiliza e as situações que são consideradasabusivas.
  15. 15. Contas e senhas3 mecanismos básicos de autenticação:•Aquilo que você é. (impressão digital, voz, íris, etc)•Aquilo que você possui. (token gerador de senhas)•Aquilo que você sabe. (perguntas de segurança)Identificação única de um usuário em um computador ou serviços
  16. 16. Contas e senhasCuidados a serem tomados ao usar suas contas e senhas:•Certifique-se de não estar sendo observado ao digitar as suas senhas.•Não forneça a sua senha para outra pessoa, em hipótese alguma.•Certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso desenhas. (logout).•Elabore boas senhas•Altere as suas senhas sempre que julgar necessário•Não use a mesma senha para todos os serviços que acessa.•Ao usar perguntas de segurança para facilitar a recuperação de senhas, eviteescolher questões cujas respostas possam ser facilmente adivinhadas.•Certifique-se de utilizar serviços criptografados quando o acesso a um siteenvolver o fornecimento de senha.•Procure manter sua privacidade, reduzindo a quantidade de informação quepossam ser coletados sobre você•Seja cuidadoso ao usar a sua senha em computadores potencialmente infectadosou comprometidos
  17. 17. Contas e senhasElaboração de senhas:•Números aleatórios (135428907854)•Grande quantidade de caracteres (quanto mais longa for a senha mais difícil será descobri-la)•Diferentes tipos de caracteres (quanto mais “bagunçada” for a senha mais difícil será descobri-la)•Selecione caracteres de uma frase•Utilize uma frase longa (frase que faça sentido e seja fácil de memorizar)•Faça substituição de caracteres (semelhança - w ou vv – fonética - ca ou k)“Uma senha boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) efácil de ser lembrada.”
  18. 18. CriptografiaPor meio do uso da criptografia você pode:•Proteger os dados sigilosos armazenados no computador•Criar uma partição específica, onde as informações que forem gravadas serãoautomaticamente criptografadas•Proteger comunicações realizadas na internetTipos de criptografia:•Criptografia de chave simétrica : utiliza uma mesma chave para codificar e descodificar.•Criptografia de chaves assimétricas: utiliza duas chaves distintas, uma pública e uma privada.•Assinatura digital: usa chave privada e chave pública, porém a codificação é feita no hash.•Certificado digital: registro eletrônico composto por um conjunto de dados que destingue umentidade e associa a ela uma chave pública. Pode ser emitido por empresas, serviços,equipamentos.
  19. 19. Firewall“Utilizado para proteger o computadorcontra acessos não autorizados vindosda internet”O firewall é capaz de:•Registrar as tentativas de acesso aosserviços habilitados no seu computador•Bloquear o envio para terceiros deinformações coletadas por invasores•Bloquear tentativas de invasão e exploraçãode vulnerabilidades•Analisar continuamente o conteúdo dasconexões
  20. 20. Ferramentas antimalwareSão aquelas que procuram detectar, anular e remover os códigos maliciosos de umcomputador.EX: Antivírus, antispyware, antirootkit, antitrojan, etc.Diferenças entre si:•Método de detecção: assinatura (procura de padrões), heurística (características que umcódigo possui), comportamento ( quando executado).•Forma de obtenção: gratuitos, experimentais, pagos.•Execução: podem ser instalados em computador ou executados sob demanda•Funcionalidades apresentadas: além das funções básicas (detectar, anular e removercódigos maliciosos) podem apresentar outras funções integradas, como firewall pessoal,backup e recovery, etc.Cuidados a serem tomados:•Tenha um antimalware instalado em seu computador•Configure o antimalware para verificar toda e qualquer extensão de arquivo•Configure o antimalware para verificar automaticamente arquivos em e-mails ou da internet•Mantenha o antimalware sempre atualizado.•Evite executar mais de um antimalware ao mesmo tempo
  21. 21. Registro de eventos (Logs)Logs é o registro de atividades gerado por programas e serviços de um computador.A partir da análise de logs você é capaz de:•Detectar o uso indevido do seu computador,como um usuário tentando acessar arquivos deoutro usuário, ou alterar arquivos de sistema.•Detectar um ataque, como força bruta ou aexploração de alguma vulnerabilidade•Rastrear as ações executados por um usuáriono seu computador, como programas utilizados,comandos executados e tempo de uso dosistema.•Detectar programas de hardware ou noprogramas e serviços instaladosLogs são essenciais para notificação de incidentes, pois permitem que diversas informaçõesimportantes sejam detectadas. Ex: data e horário de uma atividade, endereço IP, portasenvolvidas e protocolos de rede.
  22. 22. Cópias de segurança (backup)Backups são extremamente importantes, pois permitem:•Proteção dos dados: você pode preservar seus dados para que sejam recuperados emsituações como falha de disco rígido, atualização mal sucedida, exclusão ou substituiçãoacidental de arquivos.•Recuperação de versões: você pode recuperar uma versão antiga de um arquivo alterado•Arquivamento: você pode copiar ou mover dados que deseja ou que precisa guardar.Cuidados a serem tomados com seus backups:•Mantenha seus backups atualizados, de acordo com a frequência de alteração dos dados;•Mantenha seus backups em locais seguros, bem condicionados e com acesso restrito;•Configure para que seus backups sejam realizados automaticamente e certifique-se de queeles estejam realmente sendo feitos;•Faça backup antes de efetuar grandes alterações no sistema;•Armazene dados sensíveis em formato criptografado;
  23. 23. www.spread.com.br

×