Os Grandes Desafios em Segurança da Informação

2.192 visualizações

Publicada em

Slides da palestra "Os Grandes Desafios em Segurança da Informação" ministrada por Carlos Eduardo Brandão, Diretor Técnico da ISH Tecnologia. Para saber mais visite www.ish.com.br ou http://twitter.com/ishtecnologia

Publicada em: Tecnologia, Turismo
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Os Grandes Desafios em Segurança da Informação

  1. 1. Os Grandes Desafios em Segurança da Informação e Como Superá-los UCL – Semana Nacional de Ciência e Tecnologia Vitória/ES, 19 de Outubro de 2009.
  2. 2. Agenda Conceitos O que, de quem, como proteger? História Demandas Novos negócios Desafios Tecnologias Pessoas e Processos
  3. 3. Evolução da TIC 1ª. Revolução – Década de 60 Grandes Centros de Processamento de Dados 2ª. Revolução – Década de 70 Terminais Remotos 3ª. Revolução – Década de 80 PC, Redes de Computadores 4ª. Revolução – Década de 90 Downsizing , Massificação da Internet 5ª. Revolução – Década de 2000 Computação Móvel, Cloud Computing, Virtualização
  4. 4. História da Segurança da Informação 30000 AC - Ancestrais usavam sinais para marcar moradias e identificar tribos 2700 AC – Hieróglifos egípcios 1200 AC – Guerra de Tróia 1891 DC – Datiloscopia: DAKTILOS = dedos + SKOPEIN = examinar 1918 DC – Máquina de criptografia Enigma 1986 DC – Computer Fraud and Abuse Act é a primeira lei que tipifica crimes de computador 2002 DC – Sarbanes Oxley (SOX) ... Carlos Eduardo Brandão
  5. 5. O que proteger? Ativos ou Recursos de TIC: sm 1 Acervo de uma casa comercial. 2 Capital em circulação. sm pl 1 Bens materiais, dinheiro, haveres, fortuna. Premissas de segurança (CIA)
  6. 6. Do que proteger? Adulteração Invasão para a “pichação” de sites WEB Alteração de informações em bancos de dados Interrupção DoS e DDoS Interceptação Roubo de senhas Monitoramento de transações comerciais Falsificação IP Spoofing
  7. 7. De quem proteger? Perfil dos Invasores: Hackers – status e projeção pessoal, ataques não- destrutivos. Crackers – destruição e/ou danos irreparáveis. Terroristas – danos que acarretem em ganhos políticos. Invasores Internos – objetivos de ganhos financeiros ou vingança Criminosos Profissionais – objetivos comerciais financeiros pessoais.
  8. 8. Como proteger? A Segurança da Informação baseia-se em: Pessoas: Cultura Capacitação Processos: Sistemas de Gestão de Segurança da Informação Pessoas Plano de Continuidade dos Negócios Plano de Recuperação de Desastres Processos Ferramentas: Software Hardware Ferramentas Serviços
  9. 9. Demanda dos Negócios Globalização Parcerias, Fusões e Aquisições Terceirização Compartilhamento de Recursos Integração Velocidade Custo x Benefício Conformidade Legal
  10. 10. CLOUD COMPUTING
  11. 11. Cloud Computing Modelo no qual a computação está em algum lugar da rede e é acessada remotamente, via Internet. Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction.
  12. 12. Desafios Cloud Computing Caracterísiticas: Desafios On-demand self-service Complexidade e Diversidade Redes de banda larga Replicação de Informações Pool de recursos Controle de Acesso compartilhado Auditoria Independência geográfica Regulamentação Elasticidade SLA – Service Level Serviços mensuráveis Agreements Implementações Proprietárias
  13. 13. Superando os Desafios do Cloud Computing Arquitetura: Private Clouds x Public Clouds Criptografia (Armazenamento e Transmissão) Virtualização: Padronização, distribuição, provisionamento e controle seguro de máquinas virtuais Configuração e operação segura de máquinas virtuais Controle de acesso (SaaS, PaaS, IaaS) Planos de Contingência e Recuperação de Desastres Atendimento a regulamentações (SOX, HIPAA, PCI) Contratos consistentes com ISP/ASP Escolha de bons fornecedores (ISP/ASP) Auditorias externas periódicas SLA adequado ao negócio e medido constantemente
  14. 14. COMPUTAÇÃO MÓVEL
  15. 15. Desafios da Computação Móvel Características Desafios Portabilidade Mudança de Paradigma: Mobilidade Ontem: Disponibilidade Segurança x Conectividade Hoje: Energia Conectividade x Segurança Interface Conformidade Segurança Rastreabilidade Diversidade de dispositivos e tecnologias Roubo de informações
  16. 16. Controle de Acesso O controle de acesso físico e lógico às informações torna-se cada vez mais difícil: Falhas de configuração e administração de hw e sw Falhas de padrões e implementação de protocolos Diversidade de tecnologias e múltiplos caminhos de acesso: Bridges 802.11 a/b/g – WPA/WPA2, WEP Citrix Metaframe, Tarantela, Terminal Services SSL-VPN Complexidade das Aplicações Ampla distribuição das informações em locais distintos Autenticação Uso restrito da criptografia Cultura Engenharia social
  17. 17. Redes Wireless Fraquezas das implementações Wireless: MAC spoofing e session hijacking - http://www.klcconsulting.net/smac/ Smurf, DHCP Spoofing, ARP Spoofing e DNS Spoofing Wired Equivalent Privacy (WEP) Chaves de tamanho fixo e compartilhada. Criptografia fraca (RC4). Quebrado em 2001 - http://www.tomsnetworking.com/Sections-article118- page1.php Wi-Fi Protected Access (WPA) TKIP-Temporal Key Integrity Protocol , 802.1x, MAC Ataques de dicionário (quando usado Pre-Shared Key) Melhorias no WPA: WPA2: substituição do RC4 (stream) por AES (block) Preocupações Futuras Hoje: notebooks ligados em portas de switch na rede. Amanhã: gateways wireless que proverão backdoors.
  18. 18. Wardriving & Warchalking
  19. 19. Superando os Desafios da Computação Móvel Wireless: Implementar WPA2 Selecionar adequadamente faixas de frequência e monitorar acessos Usar tecnologias atuais: IEEE 802.11n Isolar a rede wireless via Firewalls e IPS Autenticar e controlar acessos via IEEE 802.1x VPN/SSL-VPN/Terminal Services: Autenticação forte (baseada em dois fatores) Políticas de acesso a rede Adotar soluções para Conformidade e Confidencialidade: NAC – Network Access Control DLP – Data Loss Prevention
  20. 20. Conformidade e Controle de Acesso a Rede Gateway Enforcement 802.1x Enforcement Guest Wireless Policy Manager Compliant Non-Compliant Compliant Guest Access Remediation Non-Compliant LAN Enforcer Desktop DHCP Enforcer Server Host Integrity Rule Host Integrity Rule Status Status On-Demand Policy Manager Anti-VirusOn Anti-Virus On Switch Anti-VirusUpdated Anti-Virus Updated Router PersonalFirewall On Personal Firewall On ServicePack Updated Service Pack Updated Gateway SSL VPN Radius Enforcer Patch Updated Patch Updated Remediation DHCP Kiosk IPSEC VPN Applications Mobile User Hackers Telecommuter Host Integrity Rule Host Integrity Rule Status Status EAP EAP Status Status Partner Anti-Virus On User Name User Name Anti-Virus Updated Thieves Password Firewall On Personal Password Service Pack Updated Token Token Patch Updated
  21. 21. PESSOAS E PROCESSOS
  22. 22. Controles, Controles e Mais Controles... End Point Security Firewall Virtual Private Network Usuário Controle de Conteúdo Profissional de TI IPS/IDS Controle de Acesso Corporate LAN Correlação de Eventos Criptografia Dm z Internet Controle Remoto Wan Servidores e Storage Roteadores e Switches filial filial filial DLP
  23. 23. Pessoas e Processos Características Desafios Pessoal interno com maior Operação e suporte em foco no negócio da empresa ambientes complexos Especialização nos serviços Rotatividade de mão-de- Monitoração de eventos de obra segurança Qualificação profissional Rapidez na resposta a Educação para a segurança incidentes da informação Disponibilidade 24 x 7 Gestão de pessoas Monitoramento Pró-Ativo e Otimização de processos Preventivo Melhoria contínua de processos
  24. 24. Superando os Desafios de Pessoas e Processos Foco em PESSOAS! Estabelecer, Manter e Melhorar a Segurança da Informação por meio de um SGSI – Sistema de Gestão da Segurança da Informação, conforme ISO17799/ISO27001 A elaboração de processos deve ser norteada por educação e cultura do usuário e profissional de TI: Ampla divulgação Ciclos de palestras Capacitação da equipe técnica Interação com usuários Medição e Acompanhamento Promover a figura do Security Officer Promover interação entre departamentos: TIC, RH, Jurídico Qualificação Multi-disciplinar do profissional de TIC
  25. 25. Ciclo de Vida de Sistemas de Gestão 1. Definir a Política Requisitos do Negócio e Mercado Objetivos de Segurança Gestão de Riscos 2. Avaliar a Conformidade à Política Analisar o Ambiente Revisar os Controles 3. Implantar a Política Instalar Controles Integrar Controles Educar 4. Gerenciar a Conformidade Política Monitorar Eventos Manter o Ambiente 5. Responder Restaurar Remediar Melhororar
  26. 26. Mercado de Trabalho do Profissional de TI Características do Mercado de Deve possuir conhecimentos em Trabalho: diversas áreas: Ampla expansão e forte Segurança para Infra-estrutura: demanda por profissionais de Sistemas Operacionais Segurança Redes TCP/IP Remuneração acima da média Armazenamento e Backup em TI Segurança de Aplicações Alto nível de especialização Desenvolvimento de Sistemas Previsão do aumento da Banco de Dados demanda Best-practices de Segurança Tipos de Oportunidade: Gestão da Segurança Consultoria e Assessoria Visão Sistêmica Organização e Processos Administração e Operação Padrões e Regulamentações Suporte
  27. 27. Perfil dos Profissionais São Paulo (35%), Rio de Janeiro (15%), Distrito Federal (10%) e Minas Gerais (8%). A faixa etária mudou: Antes: sênior entre os 41 e 50 anos (18%) Agora: 23 e 27 anos (22%) e entre 28 e 32 anos (20%) Empresas privadas (68%) voltadas para os setores de Serviços, Tecnologia e Indústria. Características Pessoais: Sigilo (41%), Integração Inter-Equipes (31%) e Cumprimento de Normas (14%)
  28. 28. ISH Highlights o Negócio: Fornecimento de soluções integradas de Segurança e Infra-estrutura Avaliar Implantar o 13 anos no mercado de Segurança e Infra-estrutura de Tecnologia da Informação o Desde sua fundação com o mesmo “Core Business” o Escritórios o Vitória, ES o São Paulo, SP o Brasília, DF Responder Gerenciar o Belo Horizonte, MG
  29. 29. Parceiros tecnológicos
  30. 30. Serviços ISH Quadrantes: Modalidades: AVALIAR Assessoria IMPLANTAR Consultoria GERENCIAR Suporte RESPONDER Serviços Gerenciados Outsourcing Avaliar Implantar Diferenciais: Qualificação Técnica Compromisso com o Cliente Gerenciar Resolver Estrutura
  31. 31. Prêmio ISH Tecnologia 2010 Objetivo: Promover e estimular o desenvolvimento de profissionais no segmento de Segurança da Informação Meta: Construir solução para promover o rastreamento e/ou monitoramento centralizado e remoto da Segurança da Informação, utilizando ferramentas open source ou de mercado Premiação: Estágio de 6 meses na ISH Tecnologia e Notebook
  32. 32. Contatos Carlos Eduardo Brandão Diretor Técnico brandao@ish.com.br http://twitter.com/ishtecnologia Av. Engenheiro Luis Carlos Berrini, 828 conj. 41 Brooklin – 04571-010 – São Paulo, SP Tel.: 55 11 5503 8501 – Fax: 55 11 5505 2658 Av. Nossa Senhora da Penha, 387, 6º andar Praia do Canto – 29055-131 – Vitória, ES Tel.: 55 27 3334 8900 – Fax: 27 3334 8905

×