SlideShare uma empresa Scribd logo

Os Grandes Desafios em Segurança da Informação

ISH Tecnologia
ISH Tecnologia

Este documento discute os grandes desafios em segurança da informação e como superá-los. Ele aborda tópicos como a evolução das tecnologias de informação e comunicação, história da segurança da informação, nuvens computacionais, computação móvel e os desafios representados pelas pessoas e processos.

TecnologiaTurismo
1 de 32
Baixar para ler offline
Os Grandes Desafios em Segurança da Informação e Como Superá-los UCL – Semana Nacional de Ciência e Tecnologia Vitória/ES, 19 de Outubro de 2009.
Agenda Conceitos O que, de quem, como proteger? História Demandas Novos negócios Desafios Tecnologias Pessoas e Processos
Evolução da TIC 1ª. Revolução – Década de 60 Grandes Centros de Processamento de Dados 2ª. Revolução – Década de 70 Terminais Remotos 3ª. Revolução – Década de 80 PC, Redes de Computadores 4ª. Revolução – Década de 90 Downsizing , Massificação da Internet 5ª. Revolução – Década de 2000 Computação Móvel, Cloud Computing, Virtualização
História da Segurança da Informação 30000 AC - Ancestrais usavam sinais para marcar moradias e identificar tribos 2700 AC – Hieróglifos egípcios 1200 AC – Guerra de Tróia 1891 DC – Datiloscopia: DAKTILOS = dedos + SKOPEIN = examinar 1918 DC – Máquina de criptografia Enigma 1986 DC – Computer Fraud and Abuse Act é a primeira lei que tipifica crimes de computador 2002 DC – Sarbanes Oxley (SOX) ... Carlos Eduardo Brandão
O que proteger? Ativos ou Recursos de TIC: sm 1 Acervo de uma casa comercial. 2 Capital em circulação. sm pl 1 Bens materiais, dinheiro, haveres, fortuna. Premissas de segurança (CIA)
Do que proteger? Adulteração Invasão para a “pichação” de sites WEB Alteração de informações em bancos de dados Interrupção DoS e DDoS Interceptação Roubo de senhas Monitoramento de transações comerciais Falsificação IP Spoofing
De quem proteger? Perfil dos Invasores: Hackers – status e projeção pessoal, ataques não- destrutivos. Crackers – destruição e/ou danos irreparáveis. Terroristas – danos que acarretem em ganhos políticos. Invasores Internos – objetivos de ganhos financeiros ou vingança Criminosos Profissionais – objetivos comerciais financeiros pessoais.
Como proteger? A Segurança da Informação baseia-se em: Pessoas: Cultura Capacitação Processos: Sistemas de Gestão de Segurança da Informação Pessoas Plano de Continuidade dos Negócios Plano de Recuperação de Desastres Processos Ferramentas: Software Hardware Ferramentas Serviços
Demanda dos Negócios Globalização Parcerias, Fusões e Aquisições Terceirização Compartilhamento de Recursos Integração Velocidade Custo x Benefício Conformidade Legal
CLOUD COMPUTING
Cloud Computing Modelo no qual a computação está em algum lugar da rede e é acessada remotamente, via Internet. Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction.
Desafios Cloud Computing Caracterísiticas: Desafios On-demand self-service Complexidade e Diversidade Redes de banda larga Replicação de Informações Pool de recursos Controle de Acesso compartilhado Auditoria Independência geográfica Regulamentação Elasticidade SLA – Service Level Serviços mensuráveis Agreements Implementações Proprietárias
Superando os Desafios do Cloud Computing Arquitetura: Private Clouds x Public Clouds Criptografia (Armazenamento e Transmissão) Virtualização: Padronização, distribuição, provisionamento e controle seguro de máquinas virtuais Configuração e operação segura de máquinas virtuais Controle de acesso (SaaS, PaaS, IaaS) Planos de Contingência e Recuperação de Desastres Atendimento a regulamentações (SOX, HIPAA, PCI) Contratos consistentes com ISP/ASP Escolha de bons fornecedores (ISP/ASP) Auditorias externas periódicas SLA adequado ao negócio e medido constantemente
COMPUTAÇÃO MÓVEL
Desafios da Computação Móvel Características Desafios Portabilidade Mudança de Paradigma: Mobilidade Ontem: Disponibilidade Segurança x Conectividade Hoje: Energia Conectividade x Segurança Interface Conformidade Segurança Rastreabilidade Diversidade de dispositivos e tecnologias Roubo de informações
Controle de Acesso O controle de acesso físico e lógico às informações torna-se cada vez mais difícil: Falhas de configuração e administração de hw e sw Falhas de padrões e implementação de protocolos Diversidade de tecnologias e múltiplos caminhos de acesso: Bridges 802.11 a/b/g – WPA/WPA2, WEP Citrix Metaframe, Tarantela, Terminal Services SSL-VPN Complexidade das Aplicações Ampla distribuição das informações em locais distintos Autenticação Uso restrito da criptografia Cultura Engenharia social
Redes Wireless Fraquezas das implementações Wireless: MAC spoofing e session hijacking - http://www.klcconsulting.net/smac/ Smurf, DHCP Spoofing, ARP Spoofing e DNS Spoofing Wired Equivalent Privacy (WEP) Chaves de tamanho fixo e compartilhada. Criptografia fraca (RC4). Quebrado em 2001 - http://www.tomsnetworking.com/Sections-article118- page1.php Wi-Fi Protected Access (WPA) TKIP-Temporal Key Integrity Protocol , 802.1x, MAC Ataques de dicionário (quando usado Pre-Shared Key) Melhorias no WPA: WPA2: substituição do RC4 (stream) por AES (block) Preocupações Futuras Hoje: notebooks ligados em portas de switch na rede. Amanhã: gateways wireless que proverão backdoors.
Wardriving & Warchalking
Superando os Desafios da Computação Móvel Wireless: Implementar WPA2 Selecionar adequadamente faixas de frequência e monitorar acessos Usar tecnologias atuais: IEEE 802.11n Isolar a rede wireless via Firewalls e IPS Autenticar e controlar acessos via IEEE 802.1x VPN/SSL-VPN/Terminal Services: Autenticação forte (baseada em dois fatores) Políticas de acesso a rede Adotar soluções para Conformidade e Confidencialidade: NAC – Network Access Control DLP – Data Loss Prevention
Conformidade e Controle de Acesso a Rede Gateway Enforcement 802.1x Enforcement Guest Wireless Policy Manager Compliant Non-Compliant Compliant Guest Access Remediation Non-Compliant LAN Enforcer Desktop DHCP Enforcer Server Host Integrity Rule Host Integrity Rule Status Status On-Demand Policy Manager Anti-VirusOn Anti-Virus On Switch Anti-VirusUpdated Anti-Virus Updated Router PersonalFirewall On Personal Firewall On ServicePack Updated Service Pack Updated Gateway SSL VPN Radius Enforcer Patch Updated Patch Updated Remediation DHCP Kiosk IPSEC VPN Applications Mobile User Hackers Telecommuter Host Integrity Rule Host Integrity Rule Status Status EAP EAP Status Status Partner Anti-Virus On User Name User Name Anti-Virus Updated Thieves Password Firewall On Personal Password Service Pack Updated Token Token Patch Updated
PESSOAS E PROCESSOS
Controles, Controles e Mais Controles... End Point Security Firewall Virtual Private Network Usuário Controle de Conteúdo Profissional de TI IPS/IDS Controle de Acesso Corporate LAN Correlação de Eventos Criptografia Dm z Internet Controle Remoto Wan Servidores e Storage Roteadores e Switches filial filial filial DLP
Pessoas e Processos Características Desafios Pessoal interno com maior Operação e suporte em foco no negócio da empresa ambientes complexos Especialização nos serviços Rotatividade de mão-de- Monitoração de eventos de obra segurança Qualificação profissional Rapidez na resposta a Educação para a segurança incidentes da informação Disponibilidade 24 x 7 Gestão de pessoas Monitoramento Pró-Ativo e Otimização de processos Preventivo Melhoria contínua de processos
Superando os Desafios de Pessoas e Processos Foco em PESSOAS! Estabelecer, Manter e Melhorar a Segurança da Informação por meio de um SGSI – Sistema de Gestão da Segurança da Informação, conforme ISO17799/ISO27001 A elaboração de processos deve ser norteada por educação e cultura do usuário e profissional de TI: Ampla divulgação Ciclos de palestras Capacitação da equipe técnica Interação com usuários Medição e Acompanhamento Promover a figura do Security Officer Promover interação entre departamentos: TIC, RH, Jurídico Qualificação Multi-disciplinar do profissional de TIC
Ciclo de Vida de Sistemas de Gestão 1. Definir a Política Requisitos do Negócio e Mercado Objetivos de Segurança Gestão de Riscos 2. Avaliar a Conformidade à Política Analisar o Ambiente Revisar os Controles 3. Implantar a Política Instalar Controles Integrar Controles Educar 4. Gerenciar a Conformidade Política Monitorar Eventos Manter o Ambiente 5. Responder Restaurar Remediar Melhororar
Mercado de Trabalho do Profissional de TI Características do Mercado de Deve possuir conhecimentos em Trabalho: diversas áreas: Ampla expansão e forte Segurança para Infra-estrutura: demanda por profissionais de Sistemas Operacionais Segurança Redes TCP/IP Remuneração acima da média Armazenamento e Backup em TI Segurança de Aplicações Alto nível de especialização Desenvolvimento de Sistemas Previsão do aumento da Banco de Dados demanda Best-practices de Segurança Tipos de Oportunidade: Gestão da Segurança Consultoria e Assessoria Visão Sistêmica Organização e Processos Administração e Operação Padrões e Regulamentações Suporte
Perfil dos Profissionais São Paulo (35%), Rio de Janeiro (15%), Distrito Federal (10%) e Minas Gerais (8%). A faixa etária mudou: Antes: sênior entre os 41 e 50 anos (18%) Agora: 23 e 27 anos (22%) e entre 28 e 32 anos (20%) Empresas privadas (68%) voltadas para os setores de Serviços, Tecnologia e Indústria. Características Pessoais: Sigilo (41%), Integração Inter-Equipes (31%) e Cumprimento de Normas (14%)
ISH Highlights o Negócio: Fornecimento de soluções integradas de Segurança e Infra-estrutura Avaliar Implantar o 13 anos no mercado de Segurança e Infra-estrutura de Tecnologia da Informação o Desde sua fundação com o mesmo “Core Business” o Escritórios o Vitória, ES o São Paulo, SP o Brasília, DF Responder Gerenciar o Belo Horizonte, MG
Parceiros tecnológicos
Serviços ISH Quadrantes: Modalidades: AVALIAR Assessoria IMPLANTAR Consultoria GERENCIAR Suporte RESPONDER Serviços Gerenciados Outsourcing Avaliar Implantar Diferenciais: Qualificação Técnica Compromisso com o Cliente Gerenciar Resolver Estrutura
Prêmio ISH Tecnologia 2010 Objetivo: Promover e estimular o desenvolvimento de profissionais no segmento de Segurança da Informação Meta: Construir solução para promover o rastreamento e/ou monitoramento centralizado e remoto da Segurança da Informação, utilizando ferramentas open source ou de mercado Premiação: Estágio de 6 meses na ISH Tecnologia e Notebook
Contatos Carlos Eduardo Brandão Diretor Técnico brandao@ish.com.br http://twitter.com/ishtecnologia Av. Engenheiro Luis Carlos Berrini, 828 conj. 41 Brooklin – 04571-010 – São Paulo, SP Tel.: 55 11 5503 8501 – Fax: 55 11 5505 2658 Av. Nossa Senhora da Penha, 387, 6º andar Praia do Canto – 29055-131 – Vitória, ES Tel.: 55 27 3334 8900 – Fax: 27 3334 8905

Recomendados

Apresentação Dominit 2012
Apresentação Dominit 2012Apresentação Dominit 2012
Apresentação Dominit 2012Dominit - Soluções e Processos em TI
 
Gestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomGestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomAndracom Solutions
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de SegurançaVaine Luiz Barreira, MBA
 
Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12Evandro Alves
 
Portfolio Completo de Projetos
Portfolio Completo de ProjetosPortfolio Completo de Projetos
Portfolio Completo de ProjetosBit Telecom
 
Apresentacao Institucional SETi
Apresentacao Institucional SETiApresentacao Institucional SETi
Apresentacao Institucional SETidanilopv
 
Seguranca em redes moveis exemplo fazion
Seguranca em redes moveis exemplo fazionSeguranca em redes moveis exemplo fazion
Seguranca em redes moveis exemplo fazionmaxwellrod
 
Segurança e Visibilidade com Soluções de Correlacionamento de Eventos
Segurança e Visibilidade com Soluções de Correlacionamento de EventosSegurança e Visibilidade com Soluções de Correlacionamento de Eventos
Segurança e Visibilidade com Soluções de Correlacionamento de EventosISH Tecnologia
 

Recomendados

Apresentação Dominit 2012
Apresentação Dominit 2012Apresentação Dominit 2012
Apresentação Dominit 2012Dominit - Soluções e Processos em TI
 
Gestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomGestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomAndracom Solutions
 
2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de Segurança2011 - TI - Novos Desafios de Segurança
2011 - TI - Novos Desafios de SegurançaVaine Luiz Barreira, MBA
 
Apresentação netconsulting nov12
Apresentação netconsulting nov12Apresentação netconsulting nov12
Apresentação netconsulting nov12Evandro Alves
 
Portfolio Completo de Projetos
Portfolio Completo de ProjetosPortfolio Completo de Projetos
Portfolio Completo de ProjetosBit Telecom
 
Apresentacao Institucional SETi
Apresentacao Institucional SETiApresentacao Institucional SETi
Apresentacao Institucional SETidanilopv
 
Seguranca em redes moveis exemplo fazion
Seguranca em redes moveis exemplo fazionSeguranca em redes moveis exemplo fazion
Seguranca em redes moveis exemplo fazionmaxwellrod
 
Segurança e Visibilidade com Soluções de Correlacionamento de Eventos
Segurança e Visibilidade com Soluções de Correlacionamento de EventosSegurança e Visibilidade com Soluções de Correlacionamento de Eventos
Segurança e Visibilidade com Soluções de Correlacionamento de EventosISH Tecnologia
 
Virtualização de Servidores
Virtualização de ServidoresVirtualização de Servidores
Virtualização de ServidoresISH Tecnologia
 
Como as Comunicações Unificadas estão sendo usadas nas empresas.
Como as Comunicações Unificadas estão sendo usadas nas empresas.Como as Comunicações Unificadas estão sendo usadas nas empresas.
Como as Comunicações Unificadas estão sendo usadas nas empresas.ISH Tecnologia
 
O Impacto Econômico do Windows 2008 R2 em uma empresa.
O Impacto Econômico do Windows 2008 R2 em uma empresa.O Impacto Econômico do Windows 2008 R2 em uma empresa.
O Impacto Econômico do Windows 2008 R2 em uma empresa.ISH Tecnologia
 
Migrando do Windows 2000 Server.
Migrando do Windows 2000 Server.Migrando do Windows 2000 Server.
Migrando do Windows 2000 Server.ISH Tecnologia
 
Desafio: Manter.
Desafio: Manter.Desafio: Manter.
Desafio: Manter.ISH Tecnologia
 
Virtualização de Servidores
Virtualização de ServidoresVirtualização de Servidores
Virtualização de ServidoresISH Tecnologia
 
TrustWave - Visão Geral da Solução
TrustWave - Visão Geral da SoluçãoTrustWave - Visão Geral da Solução
TrustWave - Visão Geral da SoluçãoINSPIRIT BRASIL
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresasmarcesil
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...TI Safe
 
Firewall
FirewallFirewall
FirewallFabricio Figueiredo Leao
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any CloudAlexandre Freire
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Novo Datacenter Smti (2)
Novo Datacenter Smti (2)Novo Datacenter Smti (2)
Novo Datacenter Smti (2)valmagro12
 
Novo Datacenter Smti (2)
Novo Datacenter Smti (2)Novo Datacenter Smti (2)
Novo Datacenter Smti (2)valmagro12
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de RedesVaine Luiz Barreira, MBA
 
Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Renato Sobral
 
windows server 2012 e windows 8 = melhores juntos
windows server 2012 e windows 8 = melhores juntoswindows server 2012 e windows 8 = melhores juntos
windows server 2012 e windows 8 = melhores juntosFabio Hara
 
Dell sonic wall sales training
Dell sonic wall sales training Dell sonic wall sales training
Dell sonic wall sales training danilopv
 
Futurecom 2012-Monitoração de Aplicações Críticas de Negócio
Futurecom 2012-Monitoração de Aplicações Críticas de NegócioFuturecom 2012-Monitoração de Aplicações Críticas de Negócio
Futurecom 2012-Monitoração de Aplicações Críticas de NegócioJose Ricardo Maia Moraes
 
Apresentação Cloud Privada
Apresentação Cloud PrivadaApresentação Cloud Privada
Apresentação Cloud PrivadaCarlos Miranda
 
Cloud computing
Cloud computingCloud computing
Cloud computingAdilmar Dantas
 

Mais conteúdo relacionado

Destaque

Virtualização de Servidores
Virtualização de ServidoresVirtualização de Servidores
Virtualização de ServidoresISH Tecnologia
 
Como as Comunicações Unificadas estão sendo usadas nas empresas.
Como as Comunicações Unificadas estão sendo usadas nas empresas.Como as Comunicações Unificadas estão sendo usadas nas empresas.
Como as Comunicações Unificadas estão sendo usadas nas empresas.ISH Tecnologia
 
O Impacto Econômico do Windows 2008 R2 em uma empresa.
O Impacto Econômico do Windows 2008 R2 em uma empresa.O Impacto Econômico do Windows 2008 R2 em uma empresa.
O Impacto Econômico do Windows 2008 R2 em uma empresa.ISH Tecnologia
 
Migrando do Windows 2000 Server.
Migrando do Windows 2000 Server.Migrando do Windows 2000 Server.
Migrando do Windows 2000 Server.ISH Tecnologia
 
Virtualização de Servidores
Virtualização de ServidoresVirtualização de Servidores
Virtualização de ServidoresISH Tecnologia
 

Destaque (6)

Virtualização de Servidores
Virtualização de ServidoresVirtualização de Servidores
Virtualização de Servidores
 
Como as Comunicações Unificadas estão sendo usadas nas empresas.
Como as Comunicações Unificadas estão sendo usadas nas empresas.Como as Comunicações Unificadas estão sendo usadas nas empresas.
Como as Comunicações Unificadas estão sendo usadas nas empresas.
 
O Impacto Econômico do Windows 2008 R2 em uma empresa.
O Impacto Econômico do Windows 2008 R2 em uma empresa.O Impacto Econômico do Windows 2008 R2 em uma empresa.
O Impacto Econômico do Windows 2008 R2 em uma empresa.
 
Migrando do Windows 2000 Server.
Migrando do Windows 2000 Server.Migrando do Windows 2000 Server.
Migrando do Windows 2000 Server.
 
Desafio: Manter.
Desafio: Manter.Desafio: Manter.
Desafio: Manter.
 
Virtualização de Servidores
Virtualização de ServidoresVirtualização de Servidores
Virtualização de Servidores
 

Semelhante a Os Grandes Desafios em Segurança da Informação

TrustWave - Visão Geral da Solução
TrustWave - Visão Geral da SoluçãoTrustWave - Visão Geral da Solução
TrustWave - Visão Geral da SoluçãoINSPIRIT BRASIL
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresasmarcesil
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...TI Safe
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Novo Datacenter Smti (2)
Novo Datacenter Smti (2)Novo Datacenter Smti (2)
Novo Datacenter Smti (2)valmagro12
 
Novo Datacenter Smti (2)
Novo Datacenter Smti (2)Novo Datacenter Smti (2)
Novo Datacenter Smti (2)valmagro12
 
Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Renato Sobral
 
windows server 2012 e windows 8 = melhores juntos
windows server 2012 e windows 8 = melhores juntoswindows server 2012 e windows 8 = melhores juntos
windows server 2012 e windows 8 = melhores juntosFabio Hara
 
Dell sonic wall sales training
Dell sonic wall sales training Dell sonic wall sales training
Dell sonic wall sales training danilopv
 
Futurecom 2012-Monitoração de Aplicações Críticas de Negócio
Futurecom 2012-Monitoração de Aplicações Críticas de NegócioFuturecom 2012-Monitoração de Aplicações Críticas de Negócio
Futurecom 2012-Monitoração de Aplicações Críticas de NegócioJose Ricardo Maia Moraes
 
Apresentação Cloud Privada
Apresentação Cloud PrivadaApresentação Cloud Privada
Apresentação Cloud PrivadaCarlos Miranda
 
Conheça a solução Vagalume
Conheça a solução VagalumeConheça a solução Vagalume
Conheça a solução VagalumeElcoma Networks
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
WiFi Security and QOS
WiFi Security and QOSWiFi Security and QOS
WiFi Security and QOSAndre_C10002
 
SEC4YOU: Watchguard UTM & NGFW
SEC4YOU: Watchguard UTM & NGFWSEC4YOU: Watchguard UTM & NGFW
SEC4YOU: Watchguard UTM & NGFWSEC4YOU Consulting
 

Semelhante a Os Grandes Desafios em Segurança da Informação (20)

TrustWave - Visão Geral da Solução
TrustWave - Visão Geral da SoluçãoTrustWave - Visão Geral da Solução
TrustWave - Visão Geral da Solução
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
 
Firewall
FirewallFirewall
Firewall
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | Andracom
 
Novo Datacenter Smti (2)
Novo Datacenter Smti (2)Novo Datacenter Smti (2)
Novo Datacenter Smti (2)
 
Novo Datacenter Smti (2)
Novo Datacenter Smti (2)Novo Datacenter Smti (2)
Novo Datacenter Smti (2)
 
2009 - Segurança de Redes
2009 - Segurança de Redes2009 - Segurança de Redes
2009 - Segurança de Redes
 
Apresentação NetSecurity 2011
Apresentação NetSecurity 2011Apresentação NetSecurity 2011
Apresentação NetSecurity 2011
 
windows server 2012 e windows 8 = melhores juntos
windows server 2012 e windows 8 = melhores juntoswindows server 2012 e windows 8 = melhores juntos
windows server 2012 e windows 8 = melhores juntos
 
Dell sonic wall sales training
Dell sonic wall sales training Dell sonic wall sales training
Dell sonic wall sales training
 
Futurecom 2012-Monitoração de Aplicações Críticas de Negócio
Futurecom 2012-Monitoração de Aplicações Críticas de NegócioFuturecom 2012-Monitoração de Aplicações Críticas de Negócio
Futurecom 2012-Monitoração de Aplicações Críticas de Negócio
 
Apresentação Cloud Privada
Apresentação Cloud PrivadaApresentação Cloud Privada
Apresentação Cloud Privada
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Conheça a solução Vagalume
Conheça a solução VagalumeConheça a solução Vagalume
Conheça a solução Vagalume
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
WiFi Security and QOS
WiFi Security and QOSWiFi Security and QOS
WiFi Security and QOS
 
SEC4YOU: Watchguard UTM & NGFW
SEC4YOU: Watchguard UTM & NGFWSEC4YOU: Watchguard UTM & NGFW
SEC4YOU: Watchguard UTM & NGFW
 

Os Grandes Desafios em Segurança da Informação

  • 1. Os Grandes Desafios em Segurança da Informação e Como Superá-los UCL – Semana Nacional de Ciência e Tecnologia Vitória/ES, 19 de Outubro de 2009.
  • 2. Agenda Conceitos O que, de quem, como proteger? História Demandas Novos negócios Desafios Tecnologias Pessoas e Processos
  • 3. Evolução da TIC 1ª. Revolução – Década de 60 Grandes Centros de Processamento de Dados 2ª. Revolução – Década de 70 Terminais Remotos 3ª. Revolução – Década de 80 PC, Redes de Computadores 4ª. Revolução – Década de 90 Downsizing , Massificação da Internet 5ª. Revolução – Década de 2000 Computação Móvel, Cloud Computing, Virtualização
  • 4. História da Segurança da Informação 30000 AC - Ancestrais usavam sinais para marcar moradias e identificar tribos 2700 AC – Hieróglifos egípcios 1200 AC – Guerra de Tróia 1891 DC – Datiloscopia: DAKTILOS = dedos + SKOPEIN = examinar 1918 DC – Máquina de criptografia Enigma 1986 DC – Computer Fraud and Abuse Act é a primeira lei que tipifica crimes de computador 2002 DC – Sarbanes Oxley (SOX) ... Carlos Eduardo Brandão
  • 5. O que proteger? Ativos ou Recursos de TIC: sm 1 Acervo de uma casa comercial. 2 Capital em circulação. sm pl 1 Bens materiais, dinheiro, haveres, fortuna. Premissas de segurança (CIA)
  • 6. Do que proteger? Adulteração Invasão para a “pichação” de sites WEB Alteração de informações em bancos de dados Interrupção DoS e DDoS Interceptação Roubo de senhas Monitoramento de transações comerciais Falsificação IP Spoofing
  • 7. De quem proteger? Perfil dos Invasores: Hackers – status e projeção pessoal, ataques não- destrutivos. Crackers – destruição e/ou danos irreparáveis. Terroristas – danos que acarretem em ganhos políticos. Invasores Internos – objetivos de ganhos financeiros ou vingança Criminosos Profissionais – objetivos comerciais financeiros pessoais.
  • 8. Como proteger? A Segurança da Informação baseia-se em: Pessoas: Cultura Capacitação Processos: Sistemas de Gestão de Segurança da Informação Pessoas Plano de Continuidade dos Negócios Plano de Recuperação de Desastres Processos Ferramentas: Software Hardware Ferramentas Serviços
  • 9. Demanda dos Negócios Globalização Parcerias, Fusões e Aquisições Terceirização Compartilhamento de Recursos Integração Velocidade Custo x Benefício Conformidade Legal
  • 11. Cloud Computing Modelo no qual a computação está em algum lugar da rede e é acessada remotamente, via Internet. Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction.
  • 12. Desafios Cloud Computing Caracterísiticas: Desafios On-demand self-service Complexidade e Diversidade Redes de banda larga Replicação de Informações Pool de recursos Controle de Acesso compartilhado Auditoria Independência geográfica Regulamentação Elasticidade SLA – Service Level Serviços mensuráveis Agreements Implementações Proprietárias
  • 13. Superando os Desafios do Cloud Computing Arquitetura: Private Clouds x Public Clouds Criptografia (Armazenamento e Transmissão) Virtualização: Padronização, distribuição, provisionamento e controle seguro de máquinas virtuais Configuração e operação segura de máquinas virtuais Controle de acesso (SaaS, PaaS, IaaS) Planos de Contingência e Recuperação de Desastres Atendimento a regulamentações (SOX, HIPAA, PCI) Contratos consistentes com ISP/ASP Escolha de bons fornecedores (ISP/ASP) Auditorias externas periódicas SLA adequado ao negócio e medido constantemente
  • 15. Desafios da Computação Móvel Características Desafios Portabilidade Mudança de Paradigma: Mobilidade Ontem: Disponibilidade Segurança x Conectividade Hoje: Energia Conectividade x Segurança Interface Conformidade Segurança Rastreabilidade Diversidade de dispositivos e tecnologias Roubo de informações
  • 16. Controle de Acesso O controle de acesso físico e lógico às informações torna-se cada vez mais difícil: Falhas de configuração e administração de hw e sw Falhas de padrões e implementação de protocolos Diversidade de tecnologias e múltiplos caminhos de acesso: Bridges 802.11 a/b/g – WPA/WPA2, WEP Citrix Metaframe, Tarantela, Terminal Services SSL-VPN Complexidade das Aplicações Ampla distribuição das informações em locais distintos Autenticação Uso restrito da criptografia Cultura Engenharia social
  • 17. Redes Wireless Fraquezas das implementações Wireless: MAC spoofing e session hijacking - http://www.klcconsulting.net/smac/ Smurf, DHCP Spoofing, ARP Spoofing e DNS Spoofing Wired Equivalent Privacy (WEP) Chaves de tamanho fixo e compartilhada. Criptografia fraca (RC4). Quebrado em 2001 - http://www.tomsnetworking.com/Sections-article118- page1.php Wi-Fi Protected Access (WPA) TKIP-Temporal Key Integrity Protocol , 802.1x, MAC Ataques de dicionário (quando usado Pre-Shared Key) Melhorias no WPA: WPA2: substituição do RC4 (stream) por AES (block) Preocupações Futuras Hoje: notebooks ligados em portas de switch na rede. Amanhã: gateways wireless que proverão backdoors.
  • 19. Superando os Desafios da Computação Móvel Wireless: Implementar WPA2 Selecionar adequadamente faixas de frequência e monitorar acessos Usar tecnologias atuais: IEEE 802.11n Isolar a rede wireless via Firewalls e IPS Autenticar e controlar acessos via IEEE 802.1x VPN/SSL-VPN/Terminal Services: Autenticação forte (baseada em dois fatores) Políticas de acesso a rede Adotar soluções para Conformidade e Confidencialidade: NAC – Network Access Control DLP – Data Loss Prevention
  • 20. Conformidade e Controle de Acesso a Rede Gateway Enforcement 802.1x Enforcement Guest Wireless Policy Manager Compliant Non-Compliant Compliant Guest Access Remediation Non-Compliant LAN Enforcer Desktop DHCP Enforcer Server Host Integrity Rule Host Integrity Rule Status Status On-Demand Policy Manager Anti-VirusOn Anti-Virus On Switch Anti-VirusUpdated Anti-Virus Updated Router PersonalFirewall On Personal Firewall On ServicePack Updated Service Pack Updated Gateway SSL VPN Radius Enforcer Patch Updated Patch Updated Remediation DHCP Kiosk IPSEC VPN Applications Mobile User Hackers Telecommuter Host Integrity Rule Host Integrity Rule Status Status EAP EAP Status Status Partner Anti-Virus On User Name User Name Anti-Virus Updated Thieves Password Firewall On Personal Password Service Pack Updated Token Token Patch Updated
  • 22. Controles, Controles e Mais Controles... End Point Security Firewall Virtual Private Network Usuário Controle de Conteúdo Profissional de TI IPS/IDS Controle de Acesso Corporate LAN Correlação de Eventos Criptografia Dm z Internet Controle Remoto Wan Servidores e Storage Roteadores e Switches filial filial filial DLP
  • 23. Pessoas e Processos Características Desafios Pessoal interno com maior Operação e suporte em foco no negócio da empresa ambientes complexos Especialização nos serviços Rotatividade de mão-de- Monitoração de eventos de obra segurança Qualificação profissional Rapidez na resposta a Educação para a segurança incidentes da informação Disponibilidade 24 x 7 Gestão de pessoas Monitoramento Pró-Ativo e Otimização de processos Preventivo Melhoria contínua de processos
  • 24. Superando os Desafios de Pessoas e Processos Foco em PESSOAS! Estabelecer, Manter e Melhorar a Segurança da Informação por meio de um SGSI – Sistema de Gestão da Segurança da Informação, conforme ISO17799/ISO27001 A elaboração de processos deve ser norteada por educação e cultura do usuário e profissional de TI: Ampla divulgação Ciclos de palestras Capacitação da equipe técnica Interação com usuários Medição e Acompanhamento Promover a figura do Security Officer Promover interação entre departamentos: TIC, RH, Jurídico Qualificação Multi-disciplinar do profissional de TIC
  • 25. Ciclo de Vida de Sistemas de Gestão 1. Definir a Política Requisitos do Negócio e Mercado Objetivos de Segurança Gestão de Riscos 2. Avaliar a Conformidade à Política Analisar o Ambiente Revisar os Controles 3. Implantar a Política Instalar Controles Integrar Controles Educar 4. Gerenciar a Conformidade Política Monitorar Eventos Manter o Ambiente 5. Responder Restaurar Remediar Melhororar
  • 26. Mercado de Trabalho do Profissional de TI Características do Mercado de Deve possuir conhecimentos em Trabalho: diversas áreas: Ampla expansão e forte Segurança para Infra-estrutura: demanda por profissionais de Sistemas Operacionais Segurança Redes TCP/IP Remuneração acima da média Armazenamento e Backup em TI Segurança de Aplicações Alto nível de especialização Desenvolvimento de Sistemas Previsão do aumento da Banco de Dados demanda Best-practices de Segurança Tipos de Oportunidade: Gestão da Segurança Consultoria e Assessoria Visão Sistêmica Organização e Processos Administração e Operação Padrões e Regulamentações Suporte
  • 27. Perfil dos Profissionais São Paulo (35%), Rio de Janeiro (15%), Distrito Federal (10%) e Minas Gerais (8%). A faixa etária mudou: Antes: sênior entre os 41 e 50 anos (18%) Agora: 23 e 27 anos (22%) e entre 28 e 32 anos (20%) Empresas privadas (68%) voltadas para os setores de Serviços, Tecnologia e Indústria. Características Pessoais: Sigilo (41%), Integração Inter-Equipes (31%) e Cumprimento de Normas (14%)
  • 28. ISH Highlights o Negócio: Fornecimento de soluções integradas de Segurança e Infra-estrutura Avaliar Implantar o 13 anos no mercado de Segurança e Infra-estrutura de Tecnologia da Informação o Desde sua fundação com o mesmo “Core Business” o Escritórios o Vitória, ES o São Paulo, SP o Brasília, DF Responder Gerenciar o Belo Horizonte, MG
  • 30. Serviços ISH Quadrantes: Modalidades: AVALIAR Assessoria IMPLANTAR Consultoria GERENCIAR Suporte RESPONDER Serviços Gerenciados Outsourcing Avaliar Implantar Diferenciais: Qualificação Técnica Compromisso com o Cliente Gerenciar Resolver Estrutura
  • 31. Prêmio ISH Tecnologia 2010 Objetivo: Promover e estimular o desenvolvimento de profissionais no segmento de Segurança da Informação Meta: Construir solução para promover o rastreamento e/ou monitoramento centralizado e remoto da Segurança da Informação, utilizando ferramentas open source ou de mercado Premiação: Estágio de 6 meses na ISH Tecnologia e Notebook
  • 32. Contatos Carlos Eduardo Brandão Diretor Técnico brandao@ish.com.br http://twitter.com/ishtecnologia Av. Engenheiro Luis Carlos Berrini, 828 conj. 41 Brooklin – 04571-010 – São Paulo, SP Tel.: 55 11 5503 8501 – Fax: 55 11 5505 2658 Av. Nossa Senhora da Penha, 387, 6º andar Praia do Canto – 29055-131 – Vitória, ES Tel.: 55 27 3334 8900 – Fax: 27 3334 8905