O documento discute a segurança da informação e políticas de segurança. Ele aborda tópicos como a importância da informação para a economia moderna, serviços de segurança da informação, classificação de segurança, riscos e ameaças como vírus e hackers, e a necessidade de políticas de segurança formais para proteger os ativos de informação de uma organização.
3. Agenda
➢ A Segurança da Informação
➢ Serviços de Segurança da Informação
➢ Classificação de Segurança
➢ Riscos e Ameaças
➢ Vírus
➢ Internet
➢ Políticas de Segurança
3
Gilberto Sudré
5. Nova economia
➢ Acirramento da competição científica e econômica
➢ O conhecimento como expressão de poder e
vantagem competitiva
➢ Capital intelectual – Ativo das organizações
5
Gilberto Sudré
6. Conhecimento e Informação
➢ Natureza estratégica
➢ Diferencial competitivo
➢ Alto valor agregado
➢ Instrumento de poder
6
Gilberto Sudré
7. Desafios da segurança
➢ Redução do riscos contra vazamento de informações
confidenciais
➢ Redução da probabilidade de fraudes
➢ Diminuição de erros devido a treinamentos e
mudanças de comportamento
➢ Manuseio correto de informações confidenciais
7
Gilberto Sudré
8. Desafios da segurança
➢ Administrar uma gama muito grande de:
➢ Ambientes
➢ Usuários
➢ Sistemas e Aplicações
➢ Perfis de Trabalho
➢ Especialidades
➢ Mudanças
8
Gilberto Sudré
9. Eu odeio segurança !!
➢ Todos nós odiamos as restrições impostas pelos controles de
segurança em nossa liberdade de ir, vir, ler, escrever e falar.
➢ Ninguém gosta de ter que carregar chaves de portas e de
lembrar de senhas.
➢ Ficamos impacientes em esperar por aprovação para entrar em
um prédio ou na sala de espera em um aeroporto. Reclamamos
das portas de segurança dos bancos e dos limites de de
velocidade das vias públicas.
➢ Mas ela é cada vez mais necessária...
9
Gilberto Sudré
11. Definições de Segurança
segurança. S. f. 2. Estado, qualidade ou condição de
seguro. 3. Condição daquele ou daquilo em que se
pode confiar. 4. Certeza, firmeza, convicção.
[Aurélio]
11
Gilberto Sudré
12. Definições de Segurança
Segurança em sistemas de computadores resume-se
a uma série de soluções técnicas para problemas não
técnicos.
[Garfinkel e Spafford]
12
Gilberto Sudré
13. Definições de Segurança
“Segurança não é uma questão técnica, mas uma
questão gerencial e humana. Não adianta adquirir
uma série de dispositivos de hardware e software
sem treinar e conscientizar o nível gerencial da
empresa e todos os seus funcionários”
Christopher Klaus
CTO - Chief Technology Officer
ISS – Internet Security System
13
Gilberto Sudré
14. Solução de Segurança
Ferramentas Controles
Políticas de
Segurança
14
Gilberto Sudré
15. Pergunta...
O que é pior que não termos
segurança alguma em nossos
sistemas?
15
Gilberto Sudré
16. ! ! ! ...
É possuírmos a falsa impressão
de segurança
16
Gilberto Sudré
18. Serviços de Seg. da Informação
➢ Existem diferentes aspectos que caracterizam a
segurança de um sistema de computadores. Estes
aspectos são denominados serviços de segurança.
➢ Os serviços de segurança devem ter:
➢ Confidencialidade
➢ Integridade
➢ Autenticidade
➢ Disponibilidade
➢ Controle de acesso
➢ Não-repúdio
➢ Auditoria
18
Gilberto Sudré
21. Classificação de Segurança
Segurança Física
➢ Backups
➢ Ambientes de alta disponibilidade
➢ Plano de Contingência
➢ Dualização de servidores
➢ Área Segura
➢ Controle de acesso
➢ Limitado pelo Perímetro de Segurança
➢ Descarte e lixo
➢ Política de mesa e tela limpas
➢ Segurança de Equipamentos
21
Gilberto Sudré
22. Classificação de Segurança
Segurança Lógica
➢ Antivírus
➢ Autenticação
➢ Senhas
➢ Biometria
➢ Criptografia
➢ Ferramentas de:
➢ Bloqueio de acesso
➢ Detecção de invasões
➢ Detecção de Vulnerabilidades
➢ VPN (Virtual Private Network)
22
Gilberto Sudré
24. Vírus de Computador
➢ Como surgiram?
➢ Início dos anos 80
➢ Fred Cohem, estudante da University of Southern
California
➢ Experiências com códigos “hostis”
➢ Tese de doutorado
➢ Qual foi o primeiro Vírus?
➢ 1986
➢ Origem Pakistão
➢ Nome: Brain
24
Gilberto Sudré
25. Worms
(vermes)
➢ Termo genérico utilizado para qualquer software
capaz de propagar a si próprio em redes de
computadores
➢ Normalmente utilizam a exploração de falhas de
código
➢ Exemplo:
➢ Code Red
➢ Explora falha de buffer overflow no Microsoft IIS Web
Server
25
Gilberto Sudré
26. Cavalo de Tróia
(Trojan Horse)
➢ Programa que é executado na máquina atacada
(Servidor), controlado a partir do programa cliente
instalado na máquina do atacante (Cliente)
➢ Normalmente não se propaga automaticamente,
aguarda que o usuário o instale em sua máquina
26
Gilberto Sudré
28. E-mail e Mensagens Instantâneas
➢ Meio de propagação de vírus e outras pragas virtuais
➢ Divulgação de informações enganosas e mentirosas
➢ Perda de produtividade
➢ Vazamento de informações sigilosas
28
Gilberto Sudré
29. Programas piratas
➢ Ilegal
➢ Multa até 2000 x o valor da cópia original
➢ Responsabilidade criminal
➢ Administradores
➢ Caixa de surpresas
➢ Você nunca sabe o que tem dentro !!!
29
Gilberto Sudré
30. Navegação na Internet
➢ Disseminação de Vírus e Cavalos de Tróia
➢ Captura de informações pessoais
➢ Perda de produtividade
30
Gilberto Sudré
32. Política de Segurança
O que é?
➢ Política de segurança é a expressão formal das regras
pelas quais é fornecido acesso aos recursos
tecnológicos da empresa.
➢ Quem, quando e como pode ter acesso as
informações
➢ Considerações
➢ Serviços oferecidos X Segurança fornecida
➢ Facilidade de uso X Segurança
➢ Custo da segurança X Risco da perda
32
Gilberto Sudré
33. Política de Segurança
➢ É importante para:
➢ Garantir a implementação de controles de segurança
apropriados
➢ Auxiliar na seleção de produtos e no desenvolvimento de
processos
➢ Documentar as preocupações da alta direção sobre
segurança
➢ Evitar responsabilidade da empresa nos casos de quebra de
segurança
➢ Transformar a segurança em um esforço comum 33
Gilberto Sudré
34. Política de Segurança
Tipos
➢ Fechada
➢ Tudo aquilo que não é permitido explicitamente é
proibido.
➢ Aberta
➢ Tudo aquilo que não é proibido explicitamente é
permitido.
34
Gilberto Sudré
35. Política de Segurança
➢ Segurança da Informação precisa ser tratada
corporativamente
➢ Verdadeiro
➢ É fator crítico de sucesso tratar os problemas de segurança
de forma ampla e completa, pois diferente disso, as
empresas terão apenas soluções isoladas e pontuais que
pouco contribuirão para elevar o nível de controle e
segurança das informações da empresa
35
Gilberto Sudré
36. Política de Segurança
O que não deve prever ?
➢ Detalhes técnicos
➢ Copiar políticas e implementações de outro local
36
Gilberto Sudré
37. Política de Segurança
Comitê de Segurança
➢ Montar comitê representativo da Cultura da
Organização (exemplos)
➢ Infra-estrutura
➢ Informática, Engenharia
➢ Apoio
➢ RH, Auditoria, Jurídico, Qualidade, Segurança
➢ Atividades-fim da Organização
37
Gilberto Sudré
38. Uma solução evolutiva
Planejamento
Elaboração
Monitoramento
Implantação e
38
Gilberto Sudré treinamento
40. Conclusão
➢ A informação é o ativo mais importante da sociedade
atual
➢ Segurança da informação é fator fundamental para
garantir o uso correto das informações em um sistema
de computadores
➢ A solução completa de segurança da informação deve
contar, além dos recursos tecnológicos, com uma
política e administração de segurança global,
sistematicamente controlada (Pessoas, Procedimentos
e Técnicas) 40
Gilberto Sudré