Introdução a Segurança da Informação
-
Upload
jennifer-viana -
Category
Documents
-
view
11 -
download
0
description
Transcript of Introdução a Segurança da Informação
-
IFCE Campus Canind Curso de Tecnologia em Redes de Computadores Gesto de Segurana da Informao Prof. D.Sc. Rodrigo Costa
Aula 2:
Introduo segurana
-
prof.
Rodrigo Costa
Objetivo da Aula
Apresentar e discutir os principais conceitos
relacionados a Segurana da Informao;
Relacionar esses conceitos com a realidade do aluno e
das organizaes;
Propiciar uma viso integrada (ciclo da segurana da
informao) entre os conceitos-chaves.
07/11/2014 Conceitos 2/37
-
prof.
Rodrigo Costa
CONCEITOS GERAIS
3/37 07/11/2014 Conceitos
-
prof.
Rodrigo Costa
Dados
um conjunto de letras, nmeros ou dgitos que
colocado isoladamente, no agrega nenhum
conhecimento, no contem significado claro.
Por si s no transmite nenhuma mensagem que
possibilite o entendimento sobre determinada situao.
07/11/2014 Conceitos 4
0 1 1 0 1 1 0 0 1 0 0 1 0 1 1 0 Binrio
A C A B A D A Caracteres
Octal
Decimal
Hexadecimal
Hexadecimal
-
prof.
Rodrigo Costa
Informao
um conjunto de dados organizados que fazem referencia
a um acontecimento, um fato ou um fenmeno, que no seu
contexto tem um determinado significado.
Dado trabalhado ou tratado agregado com sentido natural e
lgico para quem usa a informao.
Ou seja, os dados foram analisados e interpretados sob
determinada tica, e a partir dessa anlise se torna possvel
qualificar esses dados.
07/11/2014 Conceitos 5
2,4,6,8,10 So Mltiplos de dois.
x,y,z - So coordenadas cartesianas.
Maria - Nome de uma pessoa.
ACABADA - O mesmo que finalizada, encerrada,
terminada.
-
prof.
Rodrigo Costa
Exemplo prtico
Dados:
Os custos fixos e operacionais (contas e funcionrios) da
empresa em um determinado perodo foi de R$800.000,00
O faturamento no mesmo perodo foi de R$ 500.000,00
A meta da empresa ter um faturamento superior aos
custos fixos e operacionais da empresa
Aps processar os dados gera-se informaes
A empresa est tendo prejuzos pois est faturando
menos que gasta;
A meta no perodo no foi atingida.
07/11/2014 Conceitos 6
-
prof.
Rodrigo Costa
Ativo de Informao
A informao elemento essencial para todos os
processos de negcio da organizao, sendo, portanto, um
bem ou ativo de grande valor
07/11/2014 Conceitos 7
-
prof.
Rodrigo Costa
Classificao
PBLICAS
informaes de menor importncia ou para conhecimento do pblico em geral
INTERNAS
devem ser mantidas fora do alcance do acesso externo, mas se forem acessadas de forma indevida, no causaro grandes impactos
CONFIDENCIAIS
devem ser protegidas de acesso externo, caso ocorra vazamento podero causar prejuzos financeiros ou perda de competitividade
SECRETAS
informaes crticas para atividades da empresa, seu acesso deve ser de uso restrito e sua manipulao vital para a organizao.
07/11/2014 Conceitos 8
-
prof.
Rodrigo Costa
Sistemas de Informao
Sistema
vindo do grego o termo "sistema" significa "combinar",
"ajustar", "formar um conjunto".
Componentes interagem com o seu meio atravs de
entradas e sadas.
Sistema de Informao
Todo sistema que manipula dados e gera informao.
Pode usar ou no recursos de tecnologia da informao.
Exemplos:
Arquivamento e recuperao de informaes de grandes
arquivos.
Anlise de investimentos da bolsa de valores.
07/11/2014 Conceitos 9
-
prof.
Rodrigo Costa
Porque as informaes so importantes
A informao um ativo que, como qualquer outro ativo
importante para os negcios, tem um valor para a
organizao e consequentemente necessita ser
adequadamente protegida (NBR 17999)
Tipos de Informao
Impressa e escrita em papel;
Armazenada eletronicamente;
Transmitida pelo correio;
Apresentada em filmes;
Falada em conversas.
07/11/2014 Conceitos 10
-
prof.
Rodrigo Costa
Definio de Segurana da Informao
a proteo da informao contra vrios tipos de
ameaas para garantir a continuidade do negcio,
minimizar riscos, maximizar o retorno sobre os
investimentos e as oportunidade de negcios [ISO 27002].
A segurana garantida pela preservao dos trs
aspectos:
07/11/2014 Conceitos 11
A informao s pode ser acessada por pessoas que tenham permisso (autorizadas)
Informao no foi alterada de forma indevida, no-autorizada ou acidentalmente
A informao deve estar disponvel no momento em que a mesma for acessada
-
prof.
Rodrigo Costa
Propriedades Bsicas
Confidencialidade
Certeza de que o que foi dito, escrito ou falado ser acessado somente por pessoas autorizadas;
necessrio prover mecanismos para garantir a identificao e autenticao das partes envolvidas
Integridade
Garantia de que a informao no foi alterada (de forma indevida ou no-autorizada);
A quebra da integridade ocorre quando a informao corrompida, falsificada ou roubada;
Disponibilidade
Estar a informao ou o meio informtico (sistema, servidor, etc) disponvel 24 x 7 (24 horas por dia, 7 dias por semana)
Disponibilidade passa pelas estratgias (planos) de contingncia
07/11/2014 Conceitos 12
-
prof.
Rodrigo Costa
Exemplos de Violao
Confidencialidade:
algum obtm acesso no autorizado ao seu computador e l todas as informaes contidas na sua declarao de Imposto de Renda;
Integridade:
algum obtm acesso no autorizado ao seu computador e altera informaes da sua declarao de Imposto de Renda, momentos antes de voc envi-la Receita Federal;
Disponibilidade:
o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negao de servio e por este motivo voc fica impossibilitado de enviar sua declarao de Imposto de Renda Receita Federal.
07/11/2014 Conceitos 13
-
prof.
Rodrigo Costa
Conceitos bsicos
Vulnerabilidade
So as fraquezas presentes nos ativos de informao
Podem causar a quebra de um ou mais dos princpios da segurana da informao
As vulnerabilidades devem ser gerenciadas
Ameaas
Agente externo ao ativo que aproveitando-se das vulnerabilidades poder causar um de um incidente indesejado, que pode resultar em dano para um sistema ou organizao [ISO 27002];
07/11/2014 Conceitos 14
-
prof.
Rodrigo Costa
ATIVIDADES
15/37 07/11/2014 Conceitos
-
prof.
Rodrigo Costa
Atividades
Tendo como base a empresa em que atua, descreva
necessidades / requisitos gerias de segurana da
informao. (30 minutos)
Considere um ativo de uma determinada categoria e
indique (descreva) vulnerabilidades e ameaas as quais
estes ativos esto expostos. ( 30 minutos)
07/11/2014 Conceitos 16
-
prof.
Rodrigo Costa
DETALHAMENTO
17/37 07/11/2014 Conceitos
-
prof.
Rodrigo Costa
Ativos
Qualquer elemento que tenha valor para a organizao [ISO
27002];
Os ativos fornecem suporte aos processos de negcios,
portanto devem ser protegidos. Todo elemento utilizado para
armazenar, processar, transportar, armazenar, manusear e
descartar a informao, inclusive a prpria.
Categorias
Tangveis e intangveis
Tipos de Ativos
Informaes; Hardware; Software; Ambiente Fsico; Pessoas;
Lgico; Fsico Humano;
Equipamentos; aplicaes, usurios, ambientes, informaes e
processos;
07/11/2014 Conceitos 18
-
prof.
Rodrigo Costa
Segurana de Informao
07/11/2014 Conceitos 19
-
prof.
Rodrigo Costa
Ameaas
Conhecido tambm pelo termo threat
Caracaterizado como qualquer ao, acontecimento ou
entidade que possa agir sobre:
um ativo, pessoa ou processo
atravs de uma vulnerabilidade e consequentemente
gerando determinado impacto
Tipos de Ameaas
Naturais: Decorrentes de fenmenos da natureza
Involuntrias: Inconscientes, causadas pelo
desconhecimento
Voluntrias:Propositais, causadas por agentes humanos
como crackers, invasores, espies, ladres, etc...
07/11/2014 Conceitos 20
-
prof.
Rodrigo Costa
Exemplos de Ameaas
Pessoas chaves para uma organizao
Ferimento, morte
Servidores de arquivos
Ataques DoS
Dados dos alunos
Acesso interno no autorizado
Equipamentos de produo
Desastre natural
07/11/2014 Conceitos 21
-
prof.
Rodrigo Costa
Vulnerabilidades
Fsica
inerentes ao ambiente em que a informao ser manipulada e/ou armazenada
Ex: ausncia de proteo contra incndios ou de proteo ao sistema de cabeamento da rede
Naturais
So inerentes s condies da natureza, que podem colocar em risco as informaes
Humana
Referem-se aos danos que as pessoas podem causar s informaes e/ou ao ambiente tecnolgico que as suporta
Tecnolgica
Hardware, software, sistemas de comunicao ou midias que podem causar risco as informaes
07/11/2014 Conceitos 22
-
prof.
Rodrigo Costa
Exemplos
Classifique as seguintes vulnerabilidades como Fsicas,
Naturais, Hardware, Software, Mdias, Comunicao e
Humanas.
07/11/2014 Conceitos 23
Instalaes prediais fora
do padro
Desgaste dos recursos
tecnolgicos
Incndios ou enchentes
Desconeco de um cabo
de rede
Falta de treinamento
Erros de configurao
DVD antigo
Deadlocks
Acmulo de umidade
-
prof.
Rodrigo Costa
Incidentes
Quando uma ameaa explora vulnerabilidades de um
ativo
07/11/2014 Conceitos 24
Viola um ou mais
caractersticas de
segurana
Tem uma chance de
acontecer (Probabilidade)
Se acontecer causa um
prejuizo (impacto).
-
prof.
Rodrigo Costa
Riscos
a probabilidade das ameaas explorarem as
vulnerabilidades, causando perdas e danos aos
ativos e/ou impactos no negcio.
Podem comprometer
as trs metas de segurana
07/11/2014 Conceitos 25
-
prof.
Rodrigo Costa
Eventos de Segurana vs Incidente de Segurana
Eventos
Uma ocorrncia
identificada de um estado
de sistema, servio ou rede
indica uma possvel
violao da poltica de
segurana ou falha de
controles
07/11/2014 Conceitos 26
Incidente
Um simples ou uma srie
de eventos de segurana
da informao indesejados
ou inesperados,
Tem uma grande
probabilidade de
comprometer as
operaes de negcios e
ameaar a segurana da
informao
-
prof.
Rodrigo Costa
Segurana
A segurana da informao o processo que tem a
responsabilidade de manter a informao ntegra, confivel
e disponvel, porm disponvel apenas a quem tenha
direito.
Para isso requer controles
07/11/2014 Conceitos 27
-
prof.
Rodrigo Costa
Controles
So prticas, procedimentos e mecanismos utilizados
para a proteo de ativos
Permitem:
impedir que as ameaas explorem as vulnerabilidades
reduzir o surgimento de vulnerabilidades
minimizar o impacto dos incidentes de segurana da
informao
Tipos:
Tcnicos, administrativos e de gesto;
07/11/2014 Conceitos 28
-
prof.
Rodrigo Costa
Conceitos que devem ser analisados
AUTENTICAO:
Capacidade de garantir que um usurio, sistema ou informao mesmo quem alega ser.
NO REPDIO
Capacidade de atravs do sistema de se provar que um usurio executou determinada ao no sistema
LEGALIDADE
a aderncia de um sistema ou procedimento de segurana uma determinada legislao nacional ou internacional.
Inmeras legislaes so descumpridas por desconhecimento dos gestores da existncia das mesmas;
PRIVACIDADE:
informao privada pode ser lida, alterada, entre outros, somente pelo seu dono
07/11/2014 Conceitos 29
-
prof.
Rodrigo Costa
QUANDO SE PREOCUPAR COM
SEGURANA DA INFORMAO?
30/37 07/11/2014 Conceitos
-
prof.
Rodrigo Costa
Ciclo de vida da informao
Manuseio
Momento em que a
informao criada e
manipulada
Armazenamento
Momento em que a
informao armazenada
Transporte
Momento em que a
informao transportada
Descarte
Momento em que a
informao descartada
07/11/2014 Conceitos 31
-
prof.
Rodrigo Costa
Leis Imutveis da Segurana
Ningum acredita que nada de mal possa acontecer at que acontece;
Segurana s funciona se a forma de se manter seguro for uma forma simples;
Se voc no realiza as correes de segurana, sua rede no ser sua por muito tempo;
Vigilncia eterna o preo da segurana;
Segurana por Obscuridade, no segurana;
LOGs, se no audit-los, melhor no t-los.
Existe realmente algum tentando quebrar (adivinhar) sua senha;
A rede mais segura uma rede bem administrada;
A dificuldade de defender uma rede diretamente proporcional a sua complexidade;
Segurana no se prope a evitar os riscos, e sim gerenci-los;
Tecnologia no tudo.
07/11/2014 Conceitos 32
-
prof.
Rodrigo Costa
Todo cuidado pouco
07/11/2014 Conceitos 33
-
prof.
Rodrigo Costa
Principais Equvocos da segurana
1. No fazer atualizaes
2. No descartar dados corretamente
3. No usar criptografia
4. No usar servios de segurana
5. No informar os funcionrios
07/11/2014 Conceitos 34
-
prof.
Rodrigo Costa
Segurana nas Organizaes
Segurana um processo que tenta manter protegido um sistema complexo composto de muitas entidades:
Tecnologia (hardware, software, redes)
Processos (procedimentos, manuais)
Pessoas (cultura, conhecimento)
Estas entidades interagem das formas mais variadas e
imprevisveis
A Segurana falhar se focar apenas em parte do
problema
Tecnologia no nem o problema inteiro, nem a
soluo inteira
07/11/2014 Conceitos 35
-
prof.
Rodrigo Costa
Aplicao da Segurana da Inf. em Nveis
07/11/2014 Conceitos 36
ESTRATGICO: GOVERNANA, NORMAS, (COBIT, ITIL, GRC)
TTICO: POLTICAS DE SEGURANA, MAPEAMENTO DE RISCOS, PLANOS
DE CONTINGNCIAS
OPERACIONAL: FERRAMENTAS, CERTIFICADOS, CRIPTOGRAFIA
-
prof.
Rodrigo Costa
3.5 Dvidas
07/11/2014 Conceitos
Dvidas?
37/37
-
prof.
Rodrigo Costa 07/11/2014 Conceitos
Obrigado!
38