Este documento discute os grandes desafios em segurança da informação e como superá-los. Ele aborda tópicos como a evolução das tecnologias de informação e comunicação, história da segurança da informação, nuvens computacionais, computação móvel e os desafios representados pelas pessoas e processos.
1. Os Grandes Desafios em Segurança da
Informação e Como Superá-los
UCL – Semana Nacional de Ciência e Tecnologia
Vitória/ES, 19 de Outubro de 2009.
2. Agenda
Conceitos
O que, de quem, como proteger?
História
Demandas
Novos negócios
Desafios
Tecnologias
Pessoas e Processos
3. Evolução da TIC
1ª. Revolução – Década de 60
Grandes Centros de Processamento de Dados
2ª. Revolução – Década de 70
Terminais Remotos
3ª. Revolução – Década de 80
PC, Redes de Computadores
4ª. Revolução – Década de 90
Downsizing , Massificação da Internet
5ª. Revolução – Década de 2000
Computação Móvel, Cloud Computing, Virtualização
4. História da Segurança da Informação
30000 AC - Ancestrais usavam
sinais para marcar moradias e
identificar tribos
2700 AC – Hieróglifos egípcios
1200 AC – Guerra de Tróia
1891 DC – Datiloscopia: DAKTILOS
= dedos + SKOPEIN = examinar
1918 DC – Máquina de
criptografia Enigma
1986 DC – Computer Fraud and
Abuse Act é a primeira lei que
tipifica crimes de computador
2002 DC – Sarbanes Oxley (SOX)
...
Carlos Eduardo Brandão
5. O que proteger?
Ativos ou Recursos de TIC:
sm 1 Acervo de uma casa comercial. 2 Capital em
circulação.
sm pl 1 Bens materiais, dinheiro, haveres, fortuna.
Premissas de segurança (CIA)
6. Do que proteger?
Adulteração
Invasão para a “pichação” de sites WEB
Alteração de informações em bancos de dados
Interrupção
DoS e DDoS
Interceptação
Roubo de senhas
Monitoramento de transações comerciais
Falsificação
IP Spoofing
7. De quem proteger?
Perfil dos Invasores:
Hackers – status e projeção pessoal, ataques não-
destrutivos.
Crackers – destruição e/ou danos irreparáveis.
Terroristas – danos que acarretem em ganhos
políticos.
Invasores Internos – objetivos de ganhos
financeiros ou vingança
Criminosos Profissionais – objetivos comerciais
financeiros pessoais.
8. Como proteger?
A Segurança da Informação
baseia-se em:
Pessoas:
Cultura
Capacitação
Processos:
Sistemas de Gestão de
Segurança da Informação Pessoas
Plano de Continuidade dos
Negócios
Plano de Recuperação de
Desastres Processos
Ferramentas:
Software
Hardware Ferramentas
Serviços
9. Demanda dos Negócios
Globalização
Parcerias, Fusões e Aquisições
Terceirização
Compartilhamento de Recursos
Integração
Velocidade
Custo x Benefício
Conformidade Legal
11. Cloud Computing
Modelo no qual a computação
está em algum lugar da rede e é
acessada remotamente, via
Internet.
Cloud computing is a model for
enabling convenient, on-demand
network access to a shared pool
of configurable computing
resources that can be rapidly
provisioned and released with
minimal management effort or
service provider interaction.
12. Desafios Cloud Computing
Caracterísiticas: Desafios
On-demand self-service Complexidade e Diversidade
Redes de banda larga Replicação de Informações
Pool de recursos Controle de Acesso
compartilhado Auditoria
Independência geográfica Regulamentação
Elasticidade SLA – Service Level
Serviços mensuráveis Agreements
Implementações
Proprietárias
13. Superando os Desafios do Cloud Computing
Arquitetura: Private Clouds x Public Clouds
Criptografia (Armazenamento e Transmissão)
Virtualização:
Padronização, distribuição, provisionamento e controle seguro de
máquinas virtuais
Configuração e operação segura de máquinas virtuais
Controle de acesso (SaaS, PaaS, IaaS)
Planos de Contingência e Recuperação de Desastres
Atendimento a regulamentações (SOX, HIPAA, PCI)
Contratos consistentes com ISP/ASP
Escolha de bons fornecedores (ISP/ASP)
Auditorias externas periódicas
SLA adequado ao negócio e medido constantemente
15. Desafios da Computação Móvel
Características Desafios
Portabilidade Mudança de Paradigma:
Mobilidade Ontem:
Disponibilidade Segurança x Conectividade
Hoje:
Energia Conectividade x Segurança
Interface
Conformidade
Segurança
Rastreabilidade
Diversidade de dispositivos
e tecnologias
Roubo de informações
16. Controle de Acesso
O controle de acesso físico e lógico às informações torna-se
cada vez mais difícil:
Falhas de configuração e administração de hw e sw
Falhas de padrões e implementação de protocolos
Diversidade de tecnologias e múltiplos caminhos de acesso:
Bridges 802.11 a/b/g – WPA/WPA2, WEP
Citrix Metaframe, Tarantela, Terminal Services
SSL-VPN
Complexidade das Aplicações
Ampla distribuição das informações em locais distintos
Autenticação
Uso restrito da criptografia
Cultura
Engenharia social
17. Redes Wireless
Fraquezas das implementações Wireless:
MAC spoofing e session hijacking - http://www.klcconsulting.net/smac/
Smurf, DHCP Spoofing, ARP Spoofing e DNS Spoofing
Wired Equivalent Privacy (WEP)
Chaves de tamanho fixo e compartilhada.
Criptografia fraca (RC4).
Quebrado em 2001 - http://www.tomsnetworking.com/Sections-article118-
page1.php
Wi-Fi Protected Access (WPA)
TKIP-Temporal Key Integrity Protocol , 802.1x, MAC
Ataques de dicionário (quando usado Pre-Shared Key)
Melhorias no WPA:
WPA2: substituição do RC4 (stream) por AES (block)
Preocupações Futuras
Hoje: notebooks ligados em portas de switch na rede.
Amanhã: gateways wireless que proverão backdoors.
19. Superando os Desafios da Computação Móvel
Wireless:
Implementar WPA2
Selecionar adequadamente faixas de frequência e monitorar acessos
Usar tecnologias atuais: IEEE 802.11n
Isolar a rede wireless via Firewalls e IPS
Autenticar e controlar acessos via IEEE 802.1x
VPN/SSL-VPN/Terminal Services:
Autenticação forte (baseada em dois fatores)
Políticas de acesso a rede
Adotar soluções para Conformidade e Confidencialidade:
NAC – Network Access Control
DLP – Data Loss Prevention
20. Conformidade e Controle de Acesso a Rede
Gateway Enforcement
802.1x Enforcement
Guest
Wireless
Policy Manager Compliant
Non-Compliant
Compliant
Guest Access
Remediation
Non-Compliant
LAN Enforcer
Desktop
DHCP Enforcer
Server
Host Integrity Rule
Host Integrity Rule Status
Status
On-Demand
Policy Manager Anti-VirusOn
Anti-Virus On
Switch
Anti-VirusUpdated
Anti-Virus Updated
Router PersonalFirewall On
Personal Firewall On
ServicePack Updated
Service Pack Updated
Gateway SSL VPN
Radius Enforcer Patch Updated
Patch Updated
Remediation
DHCP Kiosk
IPSEC VPN
Applications Mobile User Hackers
Telecommuter
Host Integrity Rule
Host Integrity Rule Status
Status
EAP
EAP Status
Status Partner
Anti-Virus On
User Name
User Name
Anti-Virus Updated
Thieves
Password Firewall On
Personal
Password
Service Pack Updated
Token
Token
Patch Updated
22. Controles, Controles e Mais Controles...
End Point Security
Firewall
Virtual Private Network
Usuário Controle de Conteúdo
Profissional de TI
IPS/IDS
Controle de Acesso
Corporate LAN Correlação de Eventos
Criptografia
Dm
z Internet
Controle Remoto
Wan
Servidores e Storage
Roteadores e Switches
filial
filial
filial DLP
23. Pessoas e Processos
Características Desafios
Pessoal interno com maior Operação e suporte em
foco no negócio da empresa ambientes complexos
Especialização nos serviços Rotatividade de mão-de-
Monitoração de eventos de obra
segurança Qualificação profissional
Rapidez na resposta a Educação para a segurança
incidentes da informação
Disponibilidade 24 x 7 Gestão de pessoas
Monitoramento Pró-Ativo e Otimização de processos
Preventivo Melhoria contínua de
processos
24. Superando os Desafios de Pessoas e Processos
Foco em PESSOAS!
Estabelecer, Manter e Melhorar a Segurança da Informação por meio de
um SGSI – Sistema de Gestão da Segurança da Informação, conforme
ISO17799/ISO27001
A elaboração de processos deve ser norteada por educação e cultura do
usuário e profissional de TI:
Ampla divulgação
Ciclos de palestras
Capacitação da equipe técnica
Interação com usuários
Medição e Acompanhamento
Promover a figura do Security Officer
Promover interação entre departamentos:
TIC, RH, Jurídico
Qualificação Multi-disciplinar do profissional de TIC
25. Ciclo de Vida de Sistemas de Gestão
1. Definir a Política
Requisitos do Negócio e Mercado
Objetivos de Segurança
Gestão de Riscos
2. Avaliar a Conformidade à Política
Analisar o Ambiente
Revisar os Controles
3. Implantar a Política
Instalar Controles
Integrar Controles
Educar
4. Gerenciar a Conformidade Política
Monitorar Eventos
Manter o Ambiente
5. Responder
Restaurar
Remediar
Melhororar
26. Mercado de Trabalho do Profissional de TI
Características do Mercado de Deve possuir conhecimentos em
Trabalho: diversas áreas:
Ampla expansão e forte Segurança para Infra-estrutura:
demanda por profissionais de Sistemas Operacionais
Segurança Redes TCP/IP
Remuneração acima da média Armazenamento e Backup
em TI Segurança de Aplicações
Alto nível de especialização Desenvolvimento de Sistemas
Previsão do aumento da Banco de Dados
demanda Best-practices de Segurança
Tipos de Oportunidade: Gestão da Segurança
Consultoria e Assessoria Visão Sistêmica
Organização e Processos
Administração e Operação
Padrões e Regulamentações
Suporte
27. Perfil dos Profissionais
São Paulo (35%), Rio de Janeiro (15%), Distrito
Federal (10%) e Minas Gerais (8%).
A faixa etária mudou:
Antes: sênior entre os 41 e 50 anos (18%)
Agora: 23 e 27 anos (22%) e entre 28 e 32 anos (20%)
Empresas privadas (68%) voltadas para os setores de
Serviços, Tecnologia e Indústria.
Características Pessoais:
Sigilo (41%), Integração Inter-Equipes (31%) e
Cumprimento de Normas (14%)
28. ISH Highlights
o Negócio: Fornecimento de
soluções integradas de
Segurança e Infra-estrutura Avaliar Implantar
o 13 anos no mercado de
Segurança e Infra-estrutura de
Tecnologia da Informação
o Desde sua fundação com o
mesmo “Core Business”
o Escritórios
o Vitória, ES
o São Paulo, SP
o Brasília, DF
Responder Gerenciar
o Belo Horizonte, MG
30. Serviços ISH
Quadrantes: Modalidades:
AVALIAR Assessoria
IMPLANTAR Consultoria
GERENCIAR Suporte
RESPONDER Serviços Gerenciados
Outsourcing
Avaliar Implantar
Diferenciais:
Qualificação Técnica
Compromisso com o
Cliente
Gerenciar Resolver
Estrutura
31. Prêmio ISH Tecnologia 2010
Objetivo:
Promover e estimular o desenvolvimento de profissionais no
segmento de Segurança da Informação
Meta:
Construir solução para promover o rastreamento e/ou monitoramento
centralizado e remoto da Segurança da Informação, utilizando
ferramentas open source ou de mercado
Premiação:
Estágio de 6 meses na ISH Tecnologia e Notebook
32. Contatos
Carlos Eduardo Brandão
Diretor Técnico
brandao@ish.com.br
http://twitter.com/ishtecnologia
Av. Engenheiro Luis Carlos Berrini, 828 conj. 41
Brooklin – 04571-010 – São Paulo, SP
Tel.: 55 11 5503 8501 – Fax: 55 11 5505 2658
Av. Nossa Senhora da Penha, 387, 6º andar
Praia do Canto – 29055-131 – Vitória, ES
Tel.: 55 27 3334 8900 – Fax: 27 3334 8905