Revisao AV2 da matéria Segurança da Informação

1. GESTÃO DE SEGURANÇA DA INFORMAÇÃO
PROF. RENATO GUIMARÃES

2. PRINCÍPIOS
Confidencialidade
- Trata-se da manutenção do segredo, do sigilo
ou da privacidade das informações;
- Esta propriedade indica que os dados e
informações não deveriam ser acessíveis a,
ficar disponíveis para ou ser divulgados a
usuários, entidades, sistemas ou processos
não autorizados e aprovados.

3. PRINCÍPIOS
Integridade
- Trata-se da manutenção das informações
tal e qual tenham sido geradas;
- Esta propriedade indica que os dados e
informações não deveriam ser alterados
ou destruídos de maneira não autorizada
e aprovada.

4. PRINCÍPIOS
Disponibilidade
- Trata-se da possibilidade de acesso
contínuo, ininterrupto, constante e
atemporal às informações;
- Esta propriedade indica que o acesso aos
serviços oferecidos pelo sistema deveria
ser sempre possível para um usuário,
entidade, sistema ou processo autorizado
e aprovado.

5. FATORES QUE IMPACTAM NA SEGURANÇA
 Exemplo – assalto a residência
Ativos: Objetos existentes na casa.
Vulnerabilidade: Porta com fechadura simples.
Ameaça: Pode haver um arrombamento e assalto.
Impactos: Perda de conforto, necessidade de
comprar tudo de novo.
Contra-medidas: Fechadura quádrupla, portas e
janelas blindadas, alarme, cachorro, vigia,
seguro, etc.

6. QUANDO PROTEGER?
No Ciclo de vida da Informação

7. Manuseio: Momento em que a informação é
criada e manipulada, seja ao folhear um maço
de papéis, ao digitar informações recém-
geradas em uma aplicação internet, ou ainda,
ao utilizar sua senha de acesso para
autenticação.

8. Armazenamento: Momento em que a
informação é armazenada, seja em um
banco de dados compartilhado, em uma
anotação de papel posteriormente
colocado em um arquivo de metal, ou
ainda, em um pendrive depositado em
uma gaveta, por exemplo.

9. Transporte: Momento em que a informação é
transportada, seja ao encaminhar informações
por correio eletrônico (e-mail), ao postar um
documento via aparelho de fax, ou ainda, ao
falar ao telefone uma informação
confidencial, por exemplo.

10. Descarte: Momento em que a informação é
descartada, seja ao depositar na lixeira da
empresa um material impresso, seja ao
eliminar um arquivo eletrônico em seu
computador de mesa, ou ainda, ao descartar
um CD-ROm usado que apresentou falha na
leitura.

11. O QUE SÃO VULNERABILIDADES?
Pontos fracos em que os ativos estão
suscetíveis a ataques - fatores negativos
internos.
Permitem o aparecimento de ameaças
potenciais à continuidade dos negócios
das organizações.

12. O QUE SÃO AMEAÇAS?
Representam perigo para os ativos -
fatores externos;
Oferecem riscos potenciais ao
ambiente de TI e á continuidade dos
negócios;
Podem afetar aspectos básicos da
segurança.

13. RECEITA DE UM ATAQUE

14. RECEITA DE UM ATAQUE
Levantamento das informações
A fase de reconhecimento é uma fase preparatória
onde o atacante procura coletar o maior número
possível de informações sobre o “alvo em avaliação”
antes do lançamento do ataque.

15. RECEITA DE UM ATAQUE
Existem duas formas de realizar o reconhecimento:
ativo e passivo.
- O reconhecimento passivo envolve a aquisição de
informação sem interação direta com o “alvo”.
- O reconhecimento ativo envolve interação direta
com o alvo através de algum meio, como por exemplo,
contato telefônico por meio do help desk ou
departamento técnico.

16. RECEITA DE UM ATAQUE
Exploração das informações (scanning)
Fase onde o atacante explora a rede baseado nas
informações obtidas na fase de reconhecimento. Esta
fase apresenta um alto risco para os negócios de uma
empresas, pois além de ser considerado uma fase de
pré-ataque envolve a utilização de diferentes técnicas
e softwares, como por exemplo, a utilização de port
scan, scanner de vulnerabilidade e network mapping.

17. RECEITA DE UM ATAQUE
Obtenção do acesso
Esta fase consiste na penetração do sistema propriamente dita.
Nesta fase são exploradas as vulnerabilidades encontradas no
sistema. Isto pode ocorrer através da internet, da rede local,
fraude ou roubo. Os fatores que irão influenciar nos métodos
utilizados pelo atacante serão: a arquitetura e configuração do
“alvo” escolhido, o grau de conhecimento do atacante e o nível
de acesso obtido.
Nesta fase o atacante poderá obter acesso a nível de: sistema
operacional, aplicação e rede.

18. RECEITA DE UM ATAQUE
Manutenção do acesso
Nesta fase o atacante tenta manter seu próprio
domínio sobre o sistema. Poderá também protege-lo
de outros atacantes através da utilização de “acessos
exclusivos” obtidos através de rootkits, backdoors ou
trojans. Poderá ainda fazer upload, download e
manipulação dos dados, aplicações e configurações da
máquina atacada. Nesta fase o sistema atacado poderá
ficar comprometido.

19. RECEITA DE UM ATAQUE
Camuflagem das evidências
Esta fase consiste na atividade realizada pelo atacante
de tentar camuflar seus atos não autorizados com o
objetivo de prolongar sua permanência na máquina
hospedeira, na utilização indevida dos recursos
computacionais.

20. EQUAÇÃO DA SEGURANÇA NO DESENVOLVIMENTO
Segurança Prazo Custo
= =
Produtividade
Funcionalidade

21. O QUE É RISCO?
Probabilidade de uma ameaça explorar uma (ou várias)
vulnerabilidades causando prejuízos. Os riscos estão
sempre associados à ocorrência de algum incidente. Sua
escala é dada por dois fatores:
Probabilidade de ocorrência da ameaça medida através
da combinação da sua freqüência com a avaliação das
vulnerabilidades;
Conseqüências trazidas pela ocorrência do incidente
(impacto);

22. IMPACTO NOS NEGÓCIOS
• Impactos financeiros:
- Perdas de receitas / vendas / juros / descontos;
- Pagamento de multas contratuais;
- Cancelamento de ordens de vendas por atraso;
- Indisponibilidade de fundos;
- Despesas extraordinárias com serviços externos,
funcionários temporários, compras de emergência,
etc.

23. IMPACTO NOS NEGÓCIOS
• Impactos operacionais:
- Interrupção dos negócios;
- Perda da capacidade de atendimento a clientes
externos e internos (i.e. alta gerência);
- Problemas de imagem;
- Problemas de perda de confiança (de clientes,
de entidades reguladoras, etc.).

24. ETAPAS DA GESTÃO DE RISCO

25. BARREIRAS DE SEGURANÇA
Barreira1: desencorajar
Esta é a primeira das barreiras de segurança e cumpre
o papel importante de desencorajar as ameaças. Estas,
por sua vez, podem ser desmotivadas ou podem
perder o interesse e o estímulo pela tentativa de
quebra de segurança por efeito de mecanismos físicos,
tecnlógicos ou humanos. A simples presença de uma
camâra de vídeo, mesmo falsa, de um aviso de
existência de alarmes, já são efetivos nesta fase.

26. BARREIRAS DE SEGURANÇA
Barreira2: Dificultar
O papel desta barreira é complementar à anterior
através da adoção efetiva dos controles que irão
dificultar o acesso indevido. Podemos citar os
dispositivos de autenticação para acesso físico, por
exemplo.

27. BARREIRAS DE SEGURANÇA
Barreira 3: Discriminar
Aqui o importante é se cercar de recursos que
permitam identificar e gerir os acessos, definindo
perfis e autorizando permissões. Os sistemas são
largamente empregados para monitorar e estabelecer
limites de acesso aos serviços de telefonia, perímetros
fisicos, aplicações de computador e banco de dados.

28. BARREIRAS DE SEGURANÇA
Barreira 4: Detectar
Esta barreira deve munir a solução de segurança de
dispositivos que sinalizem , alertem e instrumentem os
gestores da segurança na detecção de situações de
risco. Seja uma tentativa de invasão ou por uma
possível contaminação por vírus, por exemplo.

29. BARREIRAS DE SEGURANÇA
Barreira 5: Deter
Esta barreira representa o objetivo de impedir que a
ameaça atinja os ativos que suportam o negócio. O
acionamento desta barreira, ativando seus
mecanismos de controle, é um sinal de que as
barreiras anteriores não foram suficientes para conter
a ação da ameaça. Neste momento, medidas de
detenção, como ações administrativas, punitivas e
bloqueio de acessos físicos e lógicos, são bons
exemplos.

30. BARREIRAS DE SEGURANÇA
Barreira 6: Diagnosticar
Apesar de representar a última barreira no diagrama,
esta fase tem um sentido especial de representar a
continuidade do processo de gestão de segurança da
informação. Cria o elo de ligação com a primeira
barreira, criando um movimento cíclico e contínuo.
Devido a estes fatores é a barreira de maior
importância. Deve ser conduzida por atividades de
análise de risco que consideram tanto os aspectos
tecnológicos quanto os físicos e humanos.

31. ISO 27002
• Esta norma estabelece um referencial para as
organizações desenvolverem, implementarem
avaliarem a gestão da segurança da informação.
Estabelece diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de
segurança da informação em uma organização.

32. ISO 27002
- Política de Segurança da Informação;
- Organizando a Segurança da Informação;
- Gestão de Ativos;
- Segurança em Recursos Humanos;
- Segurança Física e do Ambiente;
- Gestão das Operações e Comunicações;
- Controle de Acesso;
- Aquisição, Desenvolvimento e Manutenção de Sistemas de
Informação;
- Gestão de Incidentes de Segurança da Informação;
- Gestão da Continuidade do Negócio;
- Conformidade;

33. ISO 27002
É essencial que a organização identifique os requisitos de
segurança da informação, através de três fontes principais:

34. ISO 27002
• Análise de Risco:
A partir da análise/avaliação de riscos levando-se em
conta os objetivos e estratégias globais da
organização são identificadas as ameaças aos ativos e
as vulnerabilidades. È realizada ainda uma estimativa
de ocorrência das ameaças e do impacto potencial ao
negócio.

35. ISO 27002
• Requisito de Negócio:
Uma outra fonte é o conjunto de princípios, objetivos
e os requisitos de negócio para o processamento da
informação que uma organização tem que
desenvolver para apoiar suas operações.

36. ISO 27002
• Requisitos legais:
Legislação vigente, estatutos, regulamentação e
cláusulas contratuais que a organização, seus
parceiros comerciais, contratados e provedores de
serviço tem que atender.

37. ISO 27001
• Esta norma define os requisitos para a
implementação de um Sistema de Gestão de
Segurança da Informação (SGSI). Especifica os
requisitos para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar
um SGSI documentado dentro do contexto dos riscos
de negócio globais da organização, permitindo que
uma empresa construa de forma muito rápida uma
política de segurança baseada em controles de
segurança eficientes.

38. GESTÃO DO SGSI

39. PDCA
• Plan (estabelecer o SGSI): Para estabelecer o SGSI a
organização deve definir:
- O escopo do SGSI alinhado com as características de negócio, da
organização, sua localização, ativos e tecnologia;
- A política do SGSI;
- A abordagem de análise/avaliação de risco da organização;
- Identificar os riscos;
- Analisar e avaliar os riscos;
- Identificar e avaliar as opções para o tratamento de riscos;
- Selecionar objetivos de controle e controles para o tratamento de
riscos;

40. PDCA
- Obter aprovação da direção dos riscos residuais propostos;
- Obter autorização da direção para implementar e operar o
SGSI;
- Preparar uma declaração de Aplicabilidade;
(Declaração de Aplicabilidade): Documento exigido pela NBR
ISO 27001 no qual a empresa tem que relacionar quais
controles são aplicáveis e justificar os que não são aplicáveis ao
seu SGSI.
(Controles): São pontos específicos que definem o que deve
ser feito para assegurar aquele item.

41. PDCA
• Do(Implementar e operar o SGSI):
- Nesta fase a organização deve implementar e operar a política,
controles, processos e procedimentos do SGSI, buscando não
burocratizar o funcionamento das áreas . Deve formular e
implementar um plano de tratamento de riscos para identificar
a ação de gestão apropriada, implementar um plano de
conscientização e treinamento e gerenciar as ações e os
recursos do SGSI.

42. PDCA
• Check (monitorar e analisar criticamente o SGSI):
- A organização deve implementar procedimentos de monitoração e
análise crítica para detectar erros nos resultados de processamento,
identificar as tentativas e violações de segurança bem-sucedida, e
os incidente de segurança da informação.
- Os procedimentos de análise críticas da eficácia do SGSI, devem levar
em consideração os resultados das auditorias de segurança, dos
incidentes de segurança, dos resultados das medições e sugestões.
Deve ser realizado também a análise crítica das análises/avaliações
de risco a intervalos regulares e ainda realizadas auditorias
regularmente. Em função dos resultados das atividades de
monitoramento e análise crítica os planos de segurança devem ser
atualizados.

43. PDCA
• Act (Manter e melhorar o SGSI):
- A organização deve implementar as melhorias identificadas no
SGSI. Deve ainda executar as ações preventivas e corretivas
necessárias para o bom funcionamento do SGSI.

44. ISO 15999
• Objetivo e escopo:
A norma NBR ISSO/IEC 15999:1 orienta as organizações na
estruturação e implementação da continuidade de negócio. Foi
elaborada para fornecer um sistema baseado nas boas práticas
de gestão da continuidade de negócios. Serve como referência
única para a maior parte das situações que envolve a
continuidade de negócio, podendo ser usada por organizações
de grande, médio e pequeno portes, nos setores industriais,
comerciais, públicos e de caráter voluntário.