Principios_e_Conceitos_de_Seguranca_da_Informacao_-_Material_Complementar

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Hedwio Carvalho e Silva, MSchedwio@gmail.com
Fundamentos em Segurançada Informação
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Conceitos de Segurança da Informação
Conf
id. Integridade
Disponibilidade
INFORMAÇÃO
Marcos Sêmola
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Princípios básicos da Segurança da Informação:
Aspectos da Segurança da Informação:
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Ciclo de Vida da Informação
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Elementos
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
ATIVO: É tudo aquilo que possui valor para umaorganização.
Exemplo de classificação de ativos:
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Agentes ou condições que causamincidentes que comprometem asinformações e seus ativos por meioda exploração de vulnerabilidades,provocando perdas deconfidencialidade, integridade edisponibilidade e,consequentemente, causandoimpactos aos negócios de umaorganização.
Ameaças
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Vulnerabilidade
Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao serexplorada por ameaças, permite a ocorrência de um incidente de segurança, afetandonegativamente um ou mais princípios da segurança da informação: Confidencialidade, Integridade eDisponibilidade.
Por si só não provocam incidentes, são elementos passivos, necessitando para tanto de um agentecausador ou condição favorável, que são as ameaças.
São as falhas que são exploradas pelas ameaças.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Vulnerabilidades x Ameaças
Vulnerabilidades
Ameaças
Como peças que se encaixam, ameaças específicas exploram vulnerabilidades compatíveis
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Medidas de Segurança
Preventivas: objetivam evitar que incidentes venham a ocorrer. Visam manter a segurançajá implementada por meio de mecanismos que estabeleçam a conduta e a ética dasegurança na instituição. Ex.: políticas de segurança, instruções e procedimentos detrabalho, especificação de segurança, campanhas e palestras de conscientização deusuários; ferramentas para implementação da política de segurança (firewall, antivírus,configurações adequadas de roteadores e dos sistemas operacionais, etc).
Detectáveis: visam identificar condições ou indivíduos causadores de ameaças, a fim deevitar que as mesmas explorem vulnerabilidades. Ex.: análise de riscos, sistemas dedetecção de intrusão, alertas de segurança, câmeras de vigilância, alarmes, etc.
Corretivas: Ações voltadas à correção de uma estrutura tecnológica e humana para que asmesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadasà redução dos impactos: equipes para emergências, restauração de backup, plano decontinuidade operacional, plano de recuperação de desastres.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Barreiras de Segurança
DESENCORAJAR
DIFICULTAR
DISCRIMINAR
DETECTAR
DETER
DIAGNOSTICAR
AMEAÇAS
NEGÓCIO
ATIVOS
CRESCIMENTO DO IMPACTO
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Barreiras de Segurança
Barreira 1: DesencorajarEsta é a primeira das cinco barreiras de segurança e cumpre o papel importante dedesencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podemperder o interesse e o estímulo pela tentativa de quebra de segurança por efeito demecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmerade vídeo, mesmo falsa, de um aviso da existência de alarmes, campanhas dedivulgação da política de segurança ou treinamento dos funcionários informandoas práticas de auditoria e monitoramento de acesso aos sistemas, já são efetivosnesta fase.
Barreira 2: DificultarO papel desta barreira é complementar a anterior através da adoção efetiva doscontroles que irão dificultar o acesso indevido. Como exemplo, podemos citar osdispositivos de autenticação para acesso físico, como roletas, detectores de metale alarmes, ou lógicos, como leitores de cartão magnético, senhas, smartcards ecertificados digitais, além da criptografia, firewall, etc.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Barreiras de Segurança
Barreira 3: DiscriminarAqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindoperfis e autorizando permissões. Os sistemas são largamente empregados para monitorar eestabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações decomputadores e bancos de dados. Os processos de avaliação e gestão do volume de uso dosrecursos, como email, impressora, ou até mesmo o fluxo de acesso físico aos ambientes, sãobons exemplos das atividades desta barreira.
Barreira 4: DetectarMais uma vez agindo de forma complementar às suas antecessoras, esta barreira deve munir asolução de segurança de dispositivos que sinalizem, alertem, e instrumentem os gestores dasegurança na detecção de situações de risco. Seja em uma tentativa de invasão, uma possívelcontaminação por vírus, o descumprimento da política de segurança da empresa, ou a cópia eenvio de informações sigilosas de forma inadequada. Entram aqui os sistemas demonitoramento e auditoria para auxiliar na identificação de atitudes de exposição, como oantivírus e o sistema de detecção de intrusos, que reduziram o tempo de resposta a incidentes.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Barreiras de Segurança
Barreira 5: DeterRepresenta o objetivo de impedir que a ameaça atinja os ativos que suportam onegócio. O acionamento desta barreira, ativando seus mecanismos de controle, éum sinal de que as barreiras anteriores não foram suficientes para conter a ação daameaça. Neste momento, medidas de detenção, como ações administrativas,punitivas e bloqueio de acessos físicos e lógicos, respectivamente a ambientes esistemas, são bons exemplos.
Barreira 6: DiagnosticarApesar de representar a última barreira no diagrama, esta fase tem um sentidoespecial de representar a continuidade do processo de gestão de segurança dainformação. Pode parecer o fim, mas é o elo de ligação com a primeira barreira,criando um movimento cíclico e contínuo. Devido a esses fatores esta é a barreira demaior importância. Deve ser conduzida por atividades de análise de riscos queconsiderem tanto os aspectos tecnológicos quanto os físicos e humanos, sempreorientados às características e às necessidades específicas dos processos de negóciode uma empresa.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Riscos: Probabilidade de ameaças explorarem vulnerabilidades, provocandoperdas de confidencialidade, integridade e disponibilidade,causando possivelmente, impactos nos negócios.
Probabilidade: Chances de uma ameaça explorar uma vulnerabilidade.
Impacto: Abrangência dos danos causados por um incidente de segurançasobre um ou mais processo ou ativos de negócio.
Risco = Probabilidade x Impacto
Portanto:Segurança é uma prática voltada à eliminação de Vulnerabilidades parareduzir os Riscos de uma Ameaça se concretizar no ambiente que se querproteger.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Conforme (Stoneburner, 2001), a forma para descobrir se existe algum risco em umprojeto e se o mesmo é aceitável, é apresentada na próxima figura:
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Nas últimas décadas começamos a entrar emuma era onde o que mandava era o bloqueio!Aos poucos nos tornamos caixas pretasinterligadas à Internet. Privamos os usuáriosdo acesso a diversos tipos de sites. Nossosserviços ficaram centralizados.
E nos últimos anos estamos tendo querever estes conceitos. Acessos àsredes sociais, etc. As vantagens dedisponibilizar nossos serviços nasNuvens!
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
 Isso nunca acontecerá conosco;
 Nunca fomos atacados, não precisamos de mais segurança;
 Já estamos seguros com um firewall;
 Utilizamos os melhores sistemas, então, eles devem ser seguros;
 Não dá para gastar com segurança agora, deixa assim mesmo;
 Utilizamos as últimas versões dos sistemas dos melhores fabricantes;
 Nossos fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada;
 Ninguém
vai descobrir essa brecha em nossa segurança;
 Tomamos todas as precauções, de modo que os testes não são necessários;
 Vamos deixar funcionando e depois resolveremos os problemas de segurança;
 Os problemas de segurança são de responsabilidade do departamento de TI;
 Está tudo seguro, eu mesmo escolho as senhas de meus funcionários;
 O nosso parceiro é confiável, podemos liberar o acesso para ele.
Mitos sobre segurança
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Exercício: Quantas falhas de segurança você é capaz de encontrar?
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Mencionar senha por telefone. Antes de disponibilizar qualquer tipo de informação, saber:Com quem fala, de onde fala, conferir se possível se o telefone de onde se origina onúmero esteja batendo com o mencionado (via bina por exemplo) e por que, quer aquelainformação;
• Fatores externos (Visitantes) ter acesso à área interna na empresa, obtendo contato àinformações confidenciais;
• Entrega de informações sem o devido conhecimento real de quem esta levando essainformação;
• Entrada de pessoas não autorizadas ou sem identificação de quem se trata, com portasabertas e expostas a entrada de qualquer um;
• Recebimento de informações digitais (disquete, cd etc..) sem o prévio conhecimento daprocedência de onde realmente vem, de quem vem e do que se trata, sem fazerprimeiramente uma inspeção do material recebido em algum lugar ou equipamento quenão comprometa a empresa ou organização;
• Descarte incorreto de material que se acha inútil depois de jogado no lixo. O nãopicotamento em diversos pedaços e de preferência em diversos lixos;
• Cabos e fios que interligam os computadores soltos no meio da sala, sem a devidaorganização de estar atrás do micro salvaguardados de qualquer tropeço ou acidente;
• Gavetas abertas, de fácil acesso a documentos;
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Jogos via internet ou mesmo por disquetes ou CD-ROM são passíveis de conter armadilhas,como ativação de worms, cavalos de tróia , vírus dentre outros perigos que se escondempor traz dos envolventes jogos, ou diversões oferecidas;
• Deixar exposto arquivos de backup, não guardando em lugar seguro e confiável. Além dedemonstrar explicitamente que é um backup. Como do absurdo de colocar em risco a perdade todo backup sem os devidos cuidados necessários a segurança física, em caso de algumacidente como uma xícara de café cair em cima do material de backup;
• Nome de usuário e senhas expostos para qualquer um que passar, ver e ter acesso;
• Disquetes, Cds, documentos, material particular como bolsas, carteiras em cima da mesa ouexpostos, com grande facilidade de alguém se apoderar ou ter acesso, principalmente se asportas ou janelas ficam sempre abertas;
• Fumar em ambiente de trabalho, já não é tão correto dependendo de onde se trabalha,quanto mais se neste lugar têm-se carpetes! ;
• Programas, documentos digitais gravados em disquete ou Cds, não sendo devidamenteguardados em lugares seguros onde somente aqueles que podem ter realmente acessoseriam portadores da informação;
• Materiais eletro-eletrônicos, perto das máquinas de trabalho;
• Cabos de energia soltos, comprometendo a segurança física dos funcionários;
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Computador ligado demonstrando informações confidenciais como senha, usuário, códigosfontes;
• Acesso a sites indevidos, não confiáveis, ou fora das políticas de trabalho da empresa;
• Computador ligado e, sobretudo logado com a senha e nome de algum usuárioesquecidinho, deixando a mercê o uso da máquina por alguém não autorizado;
• Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgência ouemergência;
• Material (softwares de aplicativos) exposto sem estar guardado em lugar seguro. Bem comolivros, apostilas etc, que contenham informações que sirva como um facilitador em trazerpalavras de cunho técnico de modo à “achar” id, passwords, sejam elas default ou não;
• Enfeites, como vasos, quadros dentre outros, servindo como mera distração, fugindo dohabitual e tradicional layout de arranjo do ambiente de trabalho, quando surgem, podemser alvo de suspeita, pois de traz desses “enfeites” , podem estar guardados, escondidos ouimplantados sistemas de escuta, gravadores dentre outros pequenos sistemas que podemcolher informações ditas ou vivenciadas naquele ambiente. (paranóias e neuroses à partetodo cuidado é pouco!);
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
CURIOSIDADE!!
Tempo Implementação Controle
Controle mal implementado = Menor tempo gasto – Produtividade MenorControle bem implementado = Mais tempo gasto – Produtividade praticamente igual
Produtividade do usuário final afetada:Gasta tempo da sua produtividade já comprometida tentando encontrar uma maneira de burlara segurança. Após o usuário conseguir você continua sem segurança!
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
a) NAKAMURA, Emilio; GEUS, Paulo. Segurança de Redes emAmbientes Cooperativos. São Paulo: Novatec, 2010.
1. PEIXOTO, Mário César Pintaudi. Engenharia Social eSegurança da Informação na Gestão Corporativa. Rio deJaneiro: Brasport, 2006.
1. SÊMOLA, Marcos. Gestão da Segurança da Informação: umavisão executiva. 14ª ed. Campus Elsevier, 2011
Bibliografia