O documento discute os conceitos e riscos relacionados à segurança da informação, incluindo ameaças como hackers e vírus. Ele também aborda métodos de proteção como firewalls, criptografia e auditoria, além de políticas de segurança para empresas.
3. A segurança da informação
Definição
Pode ser definida como uma processo de proteger a
informação do mau uso tanto acidental como intencional.
Vulnerabilidade ou falha de segurança pode ser um bug em
uma aplicação, como um servidor web ou um vírus.
Não existe rede ou mesmo informação 100% segura.
3
4. Ataques contra a segurança da informação trazem prejuízos
incalculáveis para empresas e corporações.
Firewalls – dispositivos que controlam o tráfego entre redes,
permitindo ou negando determinado tipo de tráfego.
4
5. A internet: Um jogo com vantagens e
Riscos
Dependência de empresas e pessoas;
Crescimento do comércio eletrônico.
Riscos e Vulnerabilidades para empresas;
Downtime – tempo em a rede fica indisponível para uso;
Ameaças de Vírus – pelo acesso a internet;
Invasão de Hackers – todos os dias são desenvolvidas técnicas
inteligentes e sofisticadas de invasão;
5
7. Hackers – Quem São?
Refere-se a um individuo ou organização que possui
conhecimento em sistemas operacionais e protocolos, e faz uso
desse conhecimento para quebrar segurança de sistemas e roubar
informações, buscando sempre alguma vantagem ou ganho
financeiro.
Em geral os hackers exploram vulnerabilidades ou falhas na
implementação dos sistemas, e conhecendo-as, conseguem atacá-
los.
7
8. Crackers
São pessoas que descobrem falhas em sistemas de
seguranças, e usam essas falhas para roubar e destruir
informações;
8
9. Motivos que levam um hacker/cracker a
realizar um ataque:
• Acesso a recursos adicionais – Quando o ataque se torna um
desafio a ser quebrado para conseguir acessos adicionais a rede;
• Vantagens Competitivas – Espionagem industrial, onde um hacker
é contratado para tentar roubar informações confidenciais de um
concorrente;
• Econômico – Fraudes com números de cartão de crédito ou em
sistemas de internet banking;
• Descontentamento Pessoal ou Vingança – Ex-funcionários que
desejam se vingar da empresa invadindo-a;
9
10. Motivos que levam um hacker/cracker
a realizar um ataque:
• Cyber Terrorismo – É o uso da tecnologia da informação para
desfechar um ataque pela internet;
• Curiosidade – Quando alguém sem intenção de causar prejuízos
usa alguma ferramenta hacking sem conhecimentos e acaba
causando grandes estragos;
• Prejuízos – Quando alguém que definitivamente causar danos a
alguém;
• Diversão – Adolescentes que atacam as redes por diversão;
10
11. Algumas das ameaças mais comuns que as empresas
vêm sofrendo atualmente são ataques de vírus e worm que
causam grandes prejuízos.
Existem ainda uma grande problemática a respeito do
abuso do uso de e-mail e da web pelos funcionários de
empresas.
A internet trouxe grande flexibilidade e agilidade para
as organizações, entretanto o mau uso dessa tecnologia por
seus usuários pode causar grandes prejuízos de produtividade
e qualidade nos processos da empresa.
11
12. O problema do e-mail
Spam – E-mails indesejáveis enviados por pequenas empresas que
desejam divulgar seus produtos e serviços de maneira barata e
eficiente;
Conteúdo Inadequados – Pornografia, piadas, política ou racistas
que não se referem ao dia-a-dia da empresa;
O e-mail pode ainda ser usado para roubar e transmitir informações
confidenciais da empresa;
12
13. O problema da WEB
Mau uso da internet – Acesso a sites com conteúdo inadequado,
downloads de softwares piratas, além do uso de ferramentas de e-
mail via web que podem burlar mecanismos de monitoração e
proteção.
O problema maior do mau uso da web é que demanda banda dos
links de comunicação, por isso afeta diretamente o desempenho das
aplicações críticas da empresa, implicando em lentidão e redução
significativa no tempo de resposta.
13
14. Monitoração do mau uso
Técnica que consiste na monitoração de e-mail e páginas webs;
Violação as liberdades individuais;
14
15. Outros métodos de monitoração
Filtros de mensagens – Usado para filtragens de mensagens e
informações não relacionadas ao negócio da empresa. Esse
processo minimiza o efeito dos spams na rede;
Filtro de URLs – Permite às empresas bloquearem a páginas não
autorizadas.
15
16. cuidadosamente pelas empresas. O recomendável é
Estes assuntos devem ser tratados e discutidos
descrever
detalhadamente na política de segurança quais os usos devidos que
os usuários podem fazer da rede, e principalmente estabelecer
claramente o que não é permitido. Após a definição dessa política e
documento informando que concordam
do treinamento dos funcionários, eles devem
com a
assinar um
política, e
principalmente conhecem os procedimentos e punições no caso de
desrespeito da política de segurança corporativa.
16
17. Modelo de Referência de Segurança
Foi criado para definir uma arquitetura de rede confiável
que implemente uma política de segurança, que consiste em uma
série de regras, procedimentos, autorizações e negações que
garantem a manutenção da segurança e da confiabilidade da rede.
17
18. Componentes que constituem o MRS
Equipamentos da rede – Roteadores, servidores de comunicação,
switches de rede local, gateways etc.
Sistemas de autenticação – Biométricos, assinatura digital e
certificação digital;
Sistemas de segurança – Criptografia, PKI e firewalls;
Informação e mensagens trocadas no sistema de cunho reservado,
confidencial, restrito ou livre para divulgação;
18
19. Serviços de segurança implementados pelo
sistema
Integridade;
Autenticidade;
Confidencialidade;
Não Repúdio;
Disponibilidade;
Controle de Acesso;
Auditoria.
19
20. Integridade
Consiste na garantia de que a informação permaneceu
íntegra, o que significa que ela não sofreu nenhuma espécie de
modificação durante a sua transmissão ou armazenamento, sem
autorização do autor da mensagem;
A integridade está relacionada com proteção quanto à
informação ou um processo para que não seja intencionalmente ou
acidentalmente alterada sem a devida autorização.
O objetivo da garantia de integridade dos dados é prevenir
a existência de fraudes ou erros de processamento.
20
21. Ameaças à Integridade
A integridade da informação pode ser comprometida por
hackers, usuários não autorizados, programas maliciosos (trojans ou
vírus), ou qualquer ação que implique na alteração de dados e
programas.
Existem três principais controles de segurança para garantir
a integridade da informação nos processos:
• Rotation of Duties – A troca constante de pessoas em cargos
chave pode ser uma forma de evitar a fraude em sistemas ou nos
dados, além de trazer uma série de vantagens.
• Need to Know – Os usuários devem ter acesso apenas aos dados
ou programas que ele necessita para executar o seu trabalho.
• Separation of Duties - Consiste em garantir que do início ao final
de um processo que as pessoas envolvidas tenham o controle
dele.
21
22. Funções de Hashing
Hashing é uma técnica utilizada para verificar e garantir a
integridade dos dados.
• Característica do hashing
Pode ser de qualquer tamanho;
O digest é sempre de tamanho fixo;
Devem ser fáceis de computar;
Hash é unidirecional;
É livre de colisão, ou seja, dois textos não podem possuir o
mesmo hashing;
22
23. Algoritmos de Hashing
Os principais algoritmos de hashing são:
SHA-1 – Calculado sobre uma mensagens de qualquer tamanho,
gerando um digest de 512 bits. É utilizado em conjunto com
algoritmos criptográficos.
MD5 – Processa a entrada em blocos de mensagens de 512 bits
e gera digest de 128 bits. O MD5 está sujeito a colisões.
23
24. Confidencialidade
O principio da confidencialidade é proteger a informação
em sistemas, recursos e processos, para que elas não possam ser
acessadas por pessoas não autorizadas;
A informação não pode ser disponibilizada a quem não
tenha a devida autorização para acessá-las. A confidencialidade
também é um mecanismo que garante a privacidade dos dados;
24
25. Ameaças à Confidencialidade
Atividade não autorizada - Ocorre quando usuários não
autorizados tem acesso aos sistemas e comprometem arquivos
confidenciais.
Downloads não autorizados – Quando informações confidenciais
são movidas de lugares seguros para ambientes onde não é
possível garantir a confidencialidade;
Redes – Criptografar informações de forma a evitar que a
confidencialidade seja comprometida;
Vírus e Trojans – Códigos maliciosos instalados em sistemas com
objetivo de descobrir informações confidenciais, copiando-as para
uma entidade externa;
Engenharia Social – Processo de ataque que não faz uso da
tecnologia e sim do fator humano;
25
26. Identificação, Autenticação e Autorização
Identificação – Método usado para que um usuário, programa ou
processo disponibilize ao sistema sua identificação.
Autenticação – Mecanismo que verifica a identificação do usuário.
Existem três mecanismos para garantir a autenticidade de um
usuário:
O que o usuário conhece (senha);
O que o usuário possui (token, cartão, chave criptografada ou
certificado;
O que o usuário é (característica biométrica única);
Autorização – Mecanismo que autoriza o acesso obedecendo as
princípios do need to know;
As soluções de gerenciamento de identidade são usadas para verificar a identidade,
autenticar e autorizar o acesso;
26
27. Disponibilidade
É a garantia de que o sistema sempre estará acessível quando o
usuário precisar
27
28. Ameaças à Disponibilidade
Ataques de negação de serviços – DOS (ataques realizados por um
conjunto de computadores contra uma rede com objetivo de
tornar indisponíveis os serviços oferecidos por esta rede;
Perdas resultantes por desastres naturais (fogo, enchentes,
terremotos ou ações humanas);
28
29. Ameaça à Disponibilidade
Os ataques de negação de serviço derrubam servidores, deixando os
serviços indisponíveis;
Os ataque de negação de serviços distribuídos – são causados por
maquinas zumbis contaminadas na internet;
Para aumentar a disponibilizada de um sistema utiliza-se
equipamentos, aplicativos e servidores redundantes.
29
30. Não Repúdio
É um serviço de segurança que consiste em técnicas e métodos para
que o remetente da mensagem não possa negar, no futuro, o envio
dela.
30
31. Auditoria
É um mecanismo que permite a criação de registros (logs), nos quais
as ações ocorridas na rede ficam registradas e podem ser auditadas
no futuro para verificar irregularidades.
A auditoria consiste na capacidade de verificação das atividades do
sistema e determinação do que foi feito, por quem, quando e o que
foi afetado.
31
32. Embora, de uma forma geral, todos os serviços de segurança seja
importantes, diferentes organizações terão visões distintas sobre
quanto cada serviço é importante.
32
34. Análise e Gerenciamento de Riscos
Visa identificar perdas e impactos causados pelo comprometimento
da confidencialidade das informações ou roubos das informações
restritas a empresa.
Princípio básico do gerenciamento de risco:
“Não podemos proteger algo que não conhecemos”
34
35. Análise de Riscos
Processo de avaliação e tomada de decisões que permitem
identificar e qualificar os riscos envolvidos em um sistema.
• Aceitar um risco pode ser muito perigoso;
• É possível minimizar o risco, mas nunca evitá-lo;
• Evitar um risco é muito complexo.
35
36. Existem basicamente duas formas de realizarmos análise de riscos:
• Análise Quantitativa
• Análise Qualitativa
36
37. Análise Quantitativa
Está relacionada com o lado financeiro, ela consiste em medir o
custo da perda ligados à ameaça e proteção.
É incapaz de calcular a probabilidade de que os eventos ou ameaças
ocorram.
37
38. Etapas do processo de análise de riscos:
Identificar as ameaças que possam afetar operações criticas e os
ativos;
Estimar a probabilidade de um evento ocorrer;
Identificar e classificar os valores, o nível de sensibilidade e a
criticidade de operações, além de se preocupar com as perdas ou
danos ocorrentes se ameaça se realizar;
Identificar ações com base na análise de custoXbeneficio na
condução da redução do risco;
Documentação dos resultados;
38
39. Análise Qualitativa
É uma técnica usada na análise de riscos para fazer uma estimativa
da perda provocada pela ameaça.
Esse tipo de abordagem trabalha com ameaças, vulnerabilidades e
mecanismos de controle.
39
41. As ameaças
As ameaças são os principais e prováveis perigos a que uma
empresa esta sujeita.
Principais ameaças
Ameaças Intencionais;
Ameaças relacionadas aos equipamentos;
Ameaças relativas a um evento natural;
Ameaças não intencionais;
41
42. Acompanhe:
Ameaças Intencionais – Ameaças que viram notícias de jornal e
nas quais os produtos de segurança melhor podem atuar.
Agentes Causadores:
Externos – Podem acessar o sistema de varias formas (arrombamento,
falsificação de documentos, modems, suborno ou coação dos agentes
internos);
Internos – São responsáveis pela maior parte dos problemas de
segurança.
42
43. Os principais agentes causadores de ameaças intencionais são:
ganho
Espião industrial – Alguém contratado para roubar uma
informação, e como consequência, causar algum dano;
Criminoso Profissional – Alguém interessado em ter
financeiro com uso de uma informação;
Hacker – Especialista em computação que usa seu conhecimento
para invadir sistemas e fraudar dados;
Funcionário mal-intencionado – Funcionário que tenta
internamente roubar informações da empresa.
43
44. Ameaças relativas aos equipamentos – Falhas de hardware e
software, seja por defeito ou por bugs.
Ameaças relativas a um evento natural – Ameaças provocadas
pela a ocorrência de algum evento natural, são difíceis de serem
evitadas, no entanto são facilmente detectadas;
Ameaças não intencionais – São os perigos trazidos pela
ignorância das pessoas. A maior parte dos danos causados no
sistema surge pela ignorância de usuários ou administradores mal
capacitados.
44
46. Vulnerabilidades
Definição
Ponto do sistema no qual o sistema é suscetível a ataques.
Exemplos:
As pessoas que operam e usam o sistema (elas foram treinadas
adequadamente?);
A conexão do sistema coma Internet (as comunicações são
criptografadas?);
O fato de o prédio estar em uma área sujeita a inundação (o
sistema está no piso térreo do prédio);
46
47. O processo de identificação das vulnerabilidades considera:
Dadas as ameaças, onde estão as vulnerabilidades do sistema;
Dadas as vulnerabilidades, quais ameaças podem surgir;
47
48. Principais vulnerabilidades de um sistemas:
Físicas – O ambiente onde o sistema é mantido é vulnerável?
Naturais – Fogo, inundação, terremoto e perda de energia podem
danificar equipamentos ou destruir dados;
Hardware e Software – Falhas de hardware e software podem
comprometer a segurança do sistema;
Mídia – Discos, fitas e material impresso podem ser facilmente
roubados ou danificados;
Emanação – Sinais emitidos por computadores, equipamentos de
rede podem ser captados e decifrados;
Comunicação – Mensagens em transito podem ser interceptados,
desviados e forjados. Linhas de comunicação podem ser escutadas
ou interrompidas;
Humanas – Usuários, operadores ou administradores do sistema
podem conter erros que comprometam o funcionamento do
sistemas, serem subornados ou coagidos a cometer atos danosos.
48
49. Riscos surgem a partir de vulnerabilidades que possam ser
exploradas, existindo várias maneiras de fazer isso.
Em um plano de segurança precisamos, a partir do conhecimento
das vulnerabilidades, identificar a probabilidade da ameaça ocorrer.
49
50. Controles
São mecanismos de contramedidas usados para minimizar ameaças.
Tipos de Controle:
Controle efetivo – Diminuir a probabilidade de ocorrência de uma
ameaça;
Controle preventivo – Previne vulnerabilidades de forma a
minimizar o sucesso das tentativas de ataques;
Controle corretivo – Reduzi o efeito da ameaça;
Controle detectivo – Descobre ataques e controle de correção;
Controle de recuperação – Restaura a situação da empresa a um
quadro normal após a incidência de um evento.
50
51. O trabalho de ameaça deve ser feito frequentemente, uma vez que,
novas ameaças podem surgir, vulnerabilidades não identificadas
podem ser notadas em revisões futuras.
Os riscos não podem ser eliminados completamente, mas são
identificados, quantificados e então reduzidos. Não importa quão
seguro seja o computador, sua segurança sempre pode ser quebrada
com recursos necessários.
51
53. Política de Segurança
Define diretrizes quanto ao uso da informação no ambiente
corporativo. Ela relaciona:
Riscos ao patrimônio;
Risco de fraude;
Risco de roubo;
Os acessos do usuário ao sistema;
O uso de canais de comunicação;
Sistemas redundantes e tolerantes a falhas;
Garantia de integridade de software;
53
54. O propósito de uma política de segurança é definir como uma
organização vai se proteger de incidentes de segurança.
Funções:
Deixar claro o que deve ser protegido e por quê;
Explicitar quem é responsável por essa proteção;
Funcionar como referência para solução de conflitos e problemas
que possam surgir;
Uma política de segurança não deve ser uma lista de ameaça, ela
deve ser genérica e variar com pouco tempo;
54
55. Alguns definições da política de segurança:
Pense no proprietário – A informação e o equipamento devem ter
um proprietário.
Seja positivo – As pessoas respondem melhor a sentenças
positivas do que a negativas;
Todos somos pessoas – Inclusive usuários! E pessoas cometem
erros;
Responsabilidade deve ser seguida de autoridade – Se você é
responsável pela segurança, mas não tem autoridade, sua função
na organização será apenas assumir a culpa quando algo sair
errado;
Definia a filosofia da política – Tudo que não for proibido e
permitido ou tudo que não for permitido e proibido;
Seja abrangente e profundo – Não seja superficial na criação da
política, inclua diferentes níveis de proteção;
55
56. Uma política de segurança deve ser formada por:
Escopo;
Posicionamento da organização;
Aplicabilidade;
Funções e responsabilidades;
Complacência;
Pontos de contato e outras informações;
56
58. Padrão ISO 1.7799
É um padrão de normas internacionais para gerenciamento de
segurança da informação. A ISO é organizada em dez principais
sessões, e cada uma cobre diferentes tópicos e áreas.
A ISO define os dez pilares de segurança da informação que devem
ser regularmente seguidos pela empresas que desejam ser
certificadas:
Plano de continuidade de negócios;
Políticas de controle de acesso;
Políticas de desenvolvimento e manutenção de sistemas;
Políticas de segurança física e de ambiente;
58
59. Políticas de segurança pessoal;
Políticas de gerenciamento dos computadores e das redes;
Políticas de controle e classificação de ativos;
Política global de segurança da informação;
Análise de conformidade;
Aspectos legais.
59
60. Auditoria na ISSO 1.7799
É a verificação das atividades do sistema e a determinação do que
foi feito, por quem, quando e o que foi afetado. A auditoria aplica-se
não apenas à verificação de atividades de usuários não autorizados,
mas também dos usuários autorizados.
Em aplicações críticas, o nível de detalhes nos registros de auditoria
pode ser suficiente a ponto ser suficiente a ponto de permitir
desfazer operações para ajudar a trazer o sistema a um estado
correto de operação.
de auditoria é essencial para
das políticas de segurançada
verificação do
informação na
O processo
cumprimento
organização.
60