O documento apresenta uma palestra sobre segurança de informações ministrada pelo professor Deivison Pinheiro Franco. A palestra aborda conceitos gerais de segurança de informações, como a evolução tecnológica, os princípios básicos, aspectos e elementos, tipos de segurança, ameaças, ataques e medidas de prevenção e controle. O professor também apresenta suas credenciais acadêmicas e profissionais.
1. V Semana Acadêmica da FCAT
Segurança de Informações
PROF. DEIVISON PINHEIRO FRANCO
PERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTER
ISO/IEC 27002 FOUNDATION
CEH, CHFI, CIFI, CFCE E DSFE
deivison.pfranco@gmail.com
2. 2
V Semana Acadêmica da FCAT Segurança de Informações
QUEM SOU EU?
üMestre em Inovação Tecnológica e em Computação Aplicada,
Especialista em Ciências Forenses com Ênfase em Computação
Forense, em Suporte a Redes de Computadores e em Redes de
Computadores e Graduado em Processamento de Dados;
üAnalista Pleno em Segurança de TI, Consultor Especial de
Segurança da Informação e Membro do Comitê de Segurança
Corporativa para Prevenção, Combate e Resposta a Incidentes e
Crimes Cibernéticos do Banco da Amazônia;
üProfessor das Disciplinas: Computação Forense, Segurança de
Redes e de Sistemas e Auditoria de Redes e de Sistemas;
üColaborador/Colunista das Revistas Segurança Digital,
Convergência Digital, Espírito Livre, Digital Forensics Magazine,
eForensics Magazine e Hakin9 Magazine;
üPerito Forense Computacional, Auditor de TI e Pentester;
üCertificações: ISO/IEC 27002 Foundation, CEH – Certified Ethical
Hacker, CHFI – Certified Hacking Forensic Investigator, CIFI –
Certified Information Forensic Investigator, CFCE – Certified
Forensic Computer Examiner e DSFE – Data Security Forensics
Examiner .
3. 3
V Semana Acadêmica da FCAT Segurança de Informações
AGENDA
ü Segurança de Informações
§ Conceitos Gerais
§ Princípios Básicos
§ Aspectos e Elementos
§ As Informações e os Atores do Processo de
Segurança de Informações
§ Tipos de Segurança
§ Riscos, Ameaças e Ataques
§ Prevenção e Medidas de Segurança
§ Mecanismos para Controle de Segurança
§ Principais Normas
§ O profissional de Segurança de Informações
4. 4
V Semana Acadêmica da FCAT Segurança de Informações
ANTES DE TUDO...
Um pouco de história e conceitos...
5. 5
V Semana Acadêmica da FCAT Segurança de Informações
EVOLUÇÃO TECNOLÓGICA
ü Anos 70 (Mainframes) e Anos 80/90
(Cliente/Servidor)
§ Fronteiras virtuais rígidas.
ü Características da Segurança e Proteção
§ Acesso aos sistemas e aplicações através da
identificação combinada à usuário x senha;
§ Permitir comunicação eletrônica com parceiros
externos por meio de aplicações customizadas.
6. 6
V Semana Acadêmica da FCAT Segurança de Informações
EVOLUÇÃO TECNOLÓGICA (CONT.)
ü Final dos Anos 90 e o início dos anos 2000
§ Aplicações Internet à acesso aos sistemas pelos
navegadores;
§ Soluções web à intranets e extranets;
§ Empresa expandida à alteração da segurança de
informações.
ü Características da Segurança - Proteção
§ Recursos tecnológicos certos conectados e disponíveis
para as pessoas certas, no momento certo;
§ Proteção e monitoramento de perímetro;
§ Confidencialidade e integridade dos dados.
7. 7
V Semana Acadêmica da FCAT Segurança de Informações
EVOLUÇÃO TECNOLÓGICA (CONT.)
ü Ambiente cheio de mudanças
ü Motivador à Evolução tecnológica acelerada
§ Redução do tamanho e do custo dos equipamentos e
componentes;
§ Aumento da capacidade de processamento;
§ Aumento da capacidade de armazenamento e
transmissão de dados.
ü Motivador à Novas necessidades e
oportunidades
§ Criatividade x Necessidade x Oportunidade;
§ Popularização da TI à Consumerização de TI.
8. 8
V Semana Acadêmica da FCAT Segurança de Informações
AS INFORMAÇÕES
ü Devem ser sempre protegida
adequadamente, seja qual for a forma
apresentada:
§ Impressa;
§ Escrita;
§ Armazenada;
§ Transmitida;
§ Apresentada em filmes;
§ Falada em conversas;
§ Ou por outro meio de compartilhamento ou
armazenamento.
9. 9
V Semana Acadêmica da FCAT Segurança de Informações
CICLO DE VIDA DAS INFORMAÇÕES
Criação à
Manuseio
Armazenamento
Transporte
Descarte Informações
10. 10
V Semana Acadêmica da FCAT Segurança de Informações
CICLO DE VIDA DA SEGURANÇA
O que precisa
ser protegido?
Como
proteger?
Simulação de
um ataque
Qual é probabilidade
de um ataque?
Qual prejuízo, se
ataque sucedido?
Qual é nível da
proteção?
Informações
11. 11
V Semana Acadêmica da FCAT Segurança de Informações
SEGURANÇA X INFORMAÇÕES
ü A Importância da
Segurança de Informações
§ Quanto vale a informação?
§ Sem informação uma empresa pode sobreviver
quanto tempo?
§ O que proteger?
§ Por que proteger?
§ Quando proteger?
§ Onde proteger?
§ Proteger do que?
12. 12
V Semana Acadêmica da FCAT Segurança de Informações
DOMÍNIOS DE CONHECIMENTO
ü Gerenciamento de SI
ü Segurança de
Aplicações
ü Arquitetura de SI
ü Segurança Física
ü Segurança Lógica
ü Continuidade de
Negócios
ü Investigação e Perícia
Forense
ü Segurança de
Operações
13. 13
V Semana Acadêmica da FCAT Segurança de Informações
ATIVOS DE INFORMAÇÕES
Informações Processos Serviços
Pessoas
ü Todo elemento que compõe os
processos que manipulam e
processam a informação
ü A própria informação
ü O meio em que ela é armazenada
ü Os equipamentos em que ela é
manuseada transportada e descartada
14. 14
V Semana Acadêmica da FCAT Segurança de Informações
ATIVOS DE INFORMAÇÕES
Ou seja…
ü Tudo que possui valor para a organização
Informações Processos Serviços
Pessoas
ü Todo o ciclo de vida da informação
15. 15
V Semana Acadêmica da FCAT Segurança de Informações
PRA QUE SERVE
A SEGURANÇA DE INFORMAÇÕES?
ü Área de conhecimento dedicada à
proteção de informações e seus ativos
ü Protege um dos maiores bens de uma
organização: As informações
ü Trabalha na criação de mecanismos de
tratamento de riscos
ü Protege as informações contra perda de:
§ Confidencialidade
§ Integridade
§ Disponibilidade
§ Autenticidade
à Segurança de Informações envolve tecnologia,
processos e pessoas
16. 16
V Semana Acadêmica da FCAT Segurança de Informações
PRINCÍPIOS BÁSICOS
ü Confidencialidade;
ü Integridade;
ü Disponibilidade;
ü Autenticidade.
ü Não Repúdio
22. 22
V Semana Acadêmica da FCAT Segurança de Informações
ASPECTOS E ELEMENTOS DA
SEGURANÇA DE INFORMAÇÕES?
ü Essenciais na prática da segurança
de informações, dependendo do
objetivo que se pretende alcançar
§ Autenticação
§ Legalidade
§ Auditoria
§ Privacidade
§ Vulnerabilidades
§ Ameaças
§ Incidentes
23. 23
V Semana Acadêmica da FCAT Segurança de Informações
AUTENTICAÇÃO
ü Processo de identificação e reconhecimento
formal da identidade dos elementos que
entram em comunicação ou fazem parte de
uma transação eletrônica
§ Acesso à informação e ativos por meio de controles
de identificação
24. 24
V Semana Acadêmica da FCAT Segurança de Informações
LEGALIDADE
ü Característica das informações que
possuem valor legal dentro de um
processo de comunicação
§ Ativos estão de acordo com as cláusulas
contratuais pactuadas ou com a legislação
política institucional
25. 25
V Semana Acadêmica da FCAT Segurança de Informações
AUDITORIA/PERÍCIA
ü Processo de coleta de evidências
de uso dos recursos existentes, a fim
de identificar as entidades envolvidas
em um processo de troca de
informações
§ Análise/Investigação da origem, destino e
meios de tráfego de uma informação
26. 26
V Semana Acadêmica da FCAT Segurança de Informações
PRIVACIDADE
ü Controle da exposição e da
disponibilidade de informações de alguém
ü Garantia ao usuário de Não Monitoramento,
Não Registro e Não Reconhecimento
à Não ser “visto e ouvido”
à Não ter imagens e conversas gravadas
à Não ter imagens e conversas gravadas
publicadas na Internet em outros meios
Obs.: Políticas de Segurança/Contrato de Trabalho à Permitem
internamente Monitoramento, Registro e Reconhecimento
27. 27
V Semana Acadêmica da FCAT Segurança de Informações
VULNERABILIDADES
ü Fragilidade presente nos ativos que
manipulam e/ou processam informações
§ São elementos passivos à necessitam de
um agente causador
Obs.: Ela por si só não provoca incidentes à Ao ser
explorada é que permite a ocorrência de um
incidente de segurança
28. 28
V Semana Acadêmica da FCAT Segurança de Informações
AMEAÇAS
ü Agentes ou condições que causam
incidentes que comprometem as
informações e seus ativos por meio de
exploração de vulnerabilidades,
provocando perdas de confiabilidade,
integridade e disponibilidade
29. 29
V Semana Acadêmica da FCAT Segurança de Informações
CLASSIFICAÇÃO DE AMEAÇAS
ü Naturais:
Fenômenos da natureza
ü Involuntárias:
Acidentes e Erros
ü Voluntárias:
Invasão, Espionagem
30. 30
V Semana Acadêmica da FCAT Segurança de Informações
AMEAÇAS EXTERNAS - ATAQUES
ü Comprometimento de um sistema/rede
ü Deriva de uma ameaça inteligente
ü Tentativa deliberada à sentido de um método
ou técnica para invadir sistemas e violar
políticas de segurança
ü Ato de tentar desviar dos controles de
segurança de um sistema de forma a quebrar
“CIDA”.
31. 31
V Semana Acadêmica da FCAT Segurança de Informações
ü Um ataque pode ser:
§ Ativo à alteração de dados;
§ Passivo à liberação de dados;
§ Destrutivo à negação de acesso a dados ou serviços.
ü O fato de um ataque estar acontecendo não
significa necessariamente que ele terá sucesso
ü O nível de sucesso depende da vulnerabilidade
do sistema ou da atividade e da eficácia de
contramedidas existentes
AMEAÇAS EXTERNAS - ATAQUES
32. 32
V Semana Acadêmica da FCAT Segurança de Informações
ü Possíveis formas de ataques:
§ Interceptação
• Acesso a informações por entidades não
autorizadas à violação da confidencialidade
§ Interrupção
• Interrupção do fluxo normal entre origem e
destino - violação da disponibilidade
§ Modificação
• Alteração de informações por entidades não
autorizadas à violação da integridade
§ Personificação ou Fabricação
• Acesso ou transmissão de informações passando
por uma entidade autêntica à violação da
autenticidade
AMEAÇAS EXTERNAS - ATAQUES
34. 34
V Semana Acadêmica da FCAT Segurança de Informações
Invasões
Virus,
Vermes
Acesso/Uso
Indevido
Email
Malicioso
Criminoso
Internet
AMEAÇAS EXTERNAS - ATAQUES
35. 35
V Semana Acadêmica da FCAT Segurança de Informações
Vítima
Atacante
O Atacante Invade Máquinas Vulneráveis e Instala
Programas de Acesso Remoto Nelas
AMEAÇAS EXTERNAS – ESQUEMA DE UM ATAQUE
36. 36
V Semana Acadêmica da FCAT Segurança de Informações
Para a vítima, a
origem aparece como
sendo a máquina
zumbi, e não a
máquina do atacante
O Atacante Seleciona um Escravo e Comanda
um Ataque Indireto
Vítima
Atacante
AMEAÇAS EXTERNAS – ESQUEMA DE UM ATAQUE
37. 37
V Semana Acadêmica da FCAT Segurança de Informações
AMEAÇAS INTERNAS
ü Mais Críticas à O usuário é a Ameaça
§ Roubo de Informações
§ Alteração de informações
§ Danos físicos
§ Alteração de configurações
38. 38
V Semana Acadêmica da FCAT Segurança de Informações
INCIDENTE DE SEGURANÇA
ü Quando uma Ameaça explora uma
Vulnerabilidade de um Ativo
§ Quebra do “CIDA” à Impacto x Prejuízo
39. 39
V Semana Acadêmica da FCAT Segurança de Informações
PREVENÇÃO DE AMEAÇAS INTERNAS
ü Restrições de acesso lógico à privilégios
ü Restrições de acesso físico à áreas críticas
ü Definição e divulgação normas e políticas de
segurança à acesso físico e lógico
ü Implementação de soluções de
criptografia/auditoria à informações críticas
ü Controle de terceiros à Acesso físico e lógico
40. 40
V Semana Acadêmica da FCAT Segurança de Informações
MEDIDAS DE SEGURANÇA
ü Preventivas à Evitar que incidentes
ocorram
§ Exemplo: Política de segurança
ü Detectáveis à Identificar condições ou
indivíduos causadores de ameaça
§ Exemplo: Sistemas de detecção de intrusão
ü Corretivas à Correção de uma estrutura
tecnológica e humana para que as mesmas se
adaptem às condições preventivas
§ Exemplo: Adequação de sistemas
Obs.: Reativas à Depois que um incidente ocorreu à Não é
interessante que haja esse tipo de medida
41. 41
V Semana Acadêmica da FCAT Segurança de Informações
TIPOS DE SEGURANÇA
ü Segurança Física
§ Providenciar mecanismos para restringir o acesso às
áreas críticas da organização
§ Como isto pode ser feito?
• Controle de acesso à meios de identificação/autorização à
câmeras, biometria, crachá, CFTV etc.
ü Segurança Lógica
§ Fornecer mecanismos para garantir:
• Confidencialidade
• Integridade
• Disponibilidade
• Autenticidade
Apenas os mecanismos tradicionais não garantem a
Segurança Lógica!
42. 42
V Semana Acadêmica da FCAT Segurança de Informações
PREVENÇÃO
ü Mudança Cultural
Ø Políticas
Ø Palestras
Ø Seminários
Ø Exemplos práticos
Ø Simulações
Ø Estudo de Casos
45. 45
V Semana Acadêmica da FCAT Segurança de Informações
ü Relação entre Probabilidade e Impacto à
Possibilidade de uma ameaça explorar uma
vulnerabilidade à Prejuízo
ü Medida da incerteza associada aos retornos
esperados de investimentos
ü Identificação de pontos que demandam
investimentos em segurança da informação
ü Essencial para o progresso à falhas
decorrentes à processo de aprendizado
ü Evento ou condição incerta à Risco Positivo
e Negativo
RISCOS
47. 47
V Semana Acadêmica da FCAT Segurança de Informações
ATORES DO PROCESSO DE SEGURANÇA DA INFORMAÇÃO
48. 48
V Semana Acadêmica da FCAT Segurança de Informações
ATORES DO PROCESSO DE SEGURANÇA DA INFORMAÇÃO
49. 49
V Semana Acadêmica da FCAT Segurança de Informações
MECANISMOS PARA CONTROLES DE SEGURANÇA
ü Autorização
§ Processo de conceder ou negar direitos a usuários
ou sistemas
§ Listas de controle de acessos (Acess Control Lists –
ACL)
§ Perfis de acesso
ü Autenticação
§ Meio para obter a certeza de que o usuário ou o
objeto remoto é quem está afirmando ser
§ Assegura o controle e a legitimidade do acesso
§ Permite trilhas de auditoria
50. 50
V Semana Acadêmica da FCAT Segurança de Informações
MECANISMOS PARA CONTROLES DE SEGURANÇA
ü Autenticação à Três métodos:
§ Identificação Positiva
§ Identificação Proprietária
§ Identificação Biométrica
51. 51
V Semana Acadêmica da FCAT Segurança de Informações
MECANISMOS PARA CONTROLES DE SEGURANÇA
ü Identificação Positiva à O que você sabe
ü Usuário demonstra conhecimento de alguma
informação utilizada no processo de autenticação à
login/senha
52. 52
V Semana Acadêmica da FCAT Segurança de Informações
MECANISMOS PARA CONTROLES DE SEGURANÇA
ü Identificação Proprietária à O que você
tem
ü O usuário demonstra possuir algo a ser utilizado no
processo de autenticação à cartão magnético
53. 53
V Semana Acadêmica da FCAT Segurança de Informações
MECANISMOS PARA CONTROLES DE SEGURANÇA
ü Identificação Biométrica à O que você é
ü O usuário exibe alguma característica própria à
impressão digital
54. 54
V Semana Acadêmica da FCAT Segurança de Informações
MECANISMOS PARA CONTROLES DE SEGURANÇA
ü Autenticação Híbrida
§ Identificação Positiva + Identificação Proprietária +
Identificação Biométrica
+ +
55. 55
V Semana Acadêmica da FCAT Segurança de Informações
CONCLUINDO...
SEGURANÇA DE INFORMAÇÕES NO DIA-A-DIA
ü Análises de Risco
ü Avaliações e
Certificações
ü Conscientização
ü Análises de logs
ü Resposta a Incidentes
ü Investigações e
Perícias
ü Ataques simulados
ü “Hardenizações” de
Equipamentos e
Sistemas
ü Controle de Acesso e
Identidade
56. 56
V Semana Acadêmica da FCAT Segurança de Informações
Normas e códigos de boas práticas
ü ABNT NBR ISO/IEC 27001:2006
§ Sistemas de gestão de segurança da informação -
Requisitos
ü ABNT NBR ISO/IEC 27002:2005
§ Código de prática para a gestão da segurança da
informação
ü ABNT NBR ISO 31000:2009
§ Gestão de riscos - Princípios e diretrizes
ü ABNT NBR 15999-1:2007
§ Gestão de continuidade de negócios - Código de prática
ü PCI-DSS V2.0:2010
§ Payment Card Industry Data Security Standard
5
CONCLUINDO...
57. 57
V Semana Acadêmica da FCAT Segurança de Informações
CONCLUINDO...
O PROFISSIONAL DE SEGURANÇA DE INFORMAÇÕES
ü Formação Superior em TI;
ü Especialização / Pós em Segurança de
Informações ou Certificações na área:
§ Security+
§ CISSP
§ CISM
§ CEH
§ CHFI
§ ISO 27002, etc.
58. 58
V Semana Acadêmica da FCAT Segurança de Informações
ENCONTRE 8 ERROS DE SEGURANÇA DA INFORMAÇÃO:
CONCLUINDO...
59. 59
V Semana Acadêmica da FCAT Segurança de Informações
8 ERROS DE SEGURANÇA DA INFORMAÇÃO:
CONCLUINDO...
60. 60
V Semana Acadêmica da FCAT Segurança de Informações
"Se você acha que tecnologia pode resolver
seus problemas de segurança, então você não
entende os problemas nem a tecnologia."
Bruce Schneier
REFLITAM
61. 61
V Semana Acadêmica da FCAT Segurança de Informações
PROF. DEIVISON PINHEIRO FRANCO
PERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTER
ISO/IEC 27002 FOUNDATION
CEH, CHFI, CIFI, CFCE E DSFE
deivison.pfranco@gmail.com
Dúvidas?
OBRIGADO PELA ATENÇÃO!