Baixe o app para aproveitar ainda mais
Prévia do material em texto
ARA0076 - SEGURANÇA CIBERNÉTICA Tema 1. PRINCÍPIOS E CONCEITOS DE SEGURANÇA CIBERNÉTICA AULA 02 Situação problema 2 • A área de tecnologia deduz a necessidade de investimentos, muitas vezes, grandiosos para obtenção, processamento e gestão das informações, o que inclui investimentos para protegê-las. Quando a palavra proteção entra em cena, muitos pensam em hackers e ataques, quando, na verdade, a palavra "proteção" submete à tarefas como manter a informação sempre disponível e confiável, o que não tem relação direta ou frequente com acesso indevido, roubo ou sequestro de dados, mas, sim, com backups, redundância, treinamento de pessoal e outras atividades. Voce teria noção do que precisa ser feito e os equipamentos necessários para garantir o sucesso de tantas atividades? Saberia mensurar, em valores, o montante necessário para proteção adequada dos dados? ✓ Segurança da Informação ✓ “É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidade de negócios” [ISO 27002]. ✓ As informações podem existir em diversas formas; ✓ O mesmo ocorre com as vulnerabilidades e ameaças; ✓ A pergunta chave: O que e como devemosproteger? Segurança da Informação ✓ Ativos ✓ Qualquer elemento que tenha valor para a organização [ISO 27002]; ✓ Os ativos fornecem suporte aos processos de negócios, portanto devem ser protegidos. Todo elemento utilizado para armazenar, processar, transportar, armazenar, manusear e descartar a informação, inclusive a própria. Segurança da Informação ✓ Ativos ✓ Categorias de Ativos ✓ Os ativos podem ser classificados / agrupados de diversas formas: ✓ Informações; Hardware; Software; Ambiente Físico; Pessoas; ✓ Lógico; Físico Humano; ✓ Equipamentos; aplicações, informações e processos; ✓ Um ativo é todo elemento que agregue valor ao negócio, podendo ser uma informação digital ou física, hardware, software, pessoa ou ambiente físico, cuja a quebra da confidencialidade, integridade ou disponibilidade trará prejuízo. E justamente por ser fundamental ao negócio, deve ser adequadamente protegido. Segurança da Informação PRINCIPAIS DESAFIOS GESTÃO DE RISCOS • Implementar e gerir controles que tenham como foco principal os objetivos do negócio; • Promover ações corretivas e preventivas de forma eficiente; • Garantir o cumprimento de regulamentações; • Ter visão das vulnerabilidades associadas a cada ativo e seu histórico; • Atribuir responsáveis e datas limite para correções; • Definir e automatizar os processos de gestão da Segurança da Informação. 1: Introdução 6 ✓ Vulnerabilidades ✓ Fragilidade de um ativo ou grupo de ativos que explorada por uma ou mais ameaças[ISO 27002]; “Efeito da incerteza no alcance dos objetivos da organização” ✓ As vulnerabilidades devem ser gerenciadas (identificadas e corrigidas); ✓ Tipos deVulnerabilidades ✓ Físicas; naturais; hardware e software e humanas; ✓ Para identificar quais são os riscos aos quais o seu negócio está exposto, é preciso construir o bom hábito de se executar uma análise de riscos de segurança da informação, que consiste em identificar vulnerabilidades, ameaças e os riscos, avaliando assim os possíveis impactos aos ativos da organização. Facilitando, portanto, a adoção dos melhores controles para protegê-los. Segurança da Informação ✓ Ameaças ✓ Causa potencial (agente) de um incidente indesejado, que pode resultar em dano para um sistema ou organização [ISO 27002]; ✓ A segurança da informação precisa prover mecanismos para impedir que as ameaças explorem as vulnerabilidades; ✓ Tipos deAmeaças ✓ Ameaças Naturais; Intencionais e Involuntárias; ✓ Perda acidental de dados ✓ Congestionamento da internet ocasionada por ataques DDoS ✓ Extorsão por ataque ou ameaça de DDoS ✓ Interrupção de serviço acidental ✓ Insider malicioso ✓ Espionagem industrial ou extração de dados ✓ Exposição de dados sujeitos à regulamentação ✓ IoTs comprometidos Segurança da Informação ✓ Evento de Segurança da Informação ✓ Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles que possa ser relevante para a segurança da informação [ISO 27000:2009]. Segurança da Informação ✓ Incidentes de Segurança ✓ Um simples ou uma série informação indesejados ou grande probabilidade de de eventos inesperados, comprometer de segurança da negócios e ameaçar a segurança da 27000:2009]. informação que tenham uma as operações de [ISO Segurança da Informação ✓ Controles ✓ Medidas de segurança são práticas, procedimentos e mecanismos utilizados para a proteção de ativos; ✓ Esses controles podem: (a) impedir que as ameaças explorem as vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c) minimizar o impacto dos incidentes de segurança da informação; ✓ Tipos decontroles: ✓ Técnicos, administrativos e de gestão; Segurança da Informação Quais são as principais intervenções maliciosas à sua empresa? Sistemas conectados à internet possuem diversos riscos, que podem vir de atacantes criminosos, espiões, vândalos, entre outros. Confira como a informação da sua empresa pode ser acessada por indivíduos externos: • Ataque Esforço de entrada ou uso não autorizado de um serviço, rede ou computador. • Exploit Programa malicioso feito para encontrar vulnerabilidades existentes em um programa de computador. • Código Malicioso Programas criados para executar ações perigosas em um computador como vírus, bot, spyware, entre outros. Segurança da Informação • Invasão Violação efetiva que proporciona o acesso às informações em um computador. • Escuta de tráfego Inspeção de dados por meio de programas maliciosos específicos. • Defacement ou ataque ao site Modificação da página de um site na internet. • Varredura de rede Efetivação de buscas minuciosas na rede, em busca de vulnerabilidades em serviços ou programas. Segurança da Informação Saiba quais são os tipos de ataques mais comuns É vital que haja uma conscientização dentro da empresa para que os colaboradores possam identificar as diversas investidas externas. Crie uma cartilha educativa, exemplificando cada espécie de risco: • Engenharia social Indução para que o usuário possa realizar alguma ação, como a instalação de aplicativo ou clique em um link. • Busca exaustiva de chave Verificação automática de todas as possíveis chaves e senhas de um dado criptografado. • DDoS (Distributed Denial of Service) Invalidação por sobrecarga, quando um computador mestre deixa sob seu comando outros computadores, que são chamados de zumbis. O objetivo é tornar o sistema atacado indisponível. Segurança da Informação ✓ Entender o negócio ✓ Na etapa inicial de um projeto de segurança, deve-se entender o ambiente da organização. Normalmente a situação é a seguinte: ✓ Desconhecimento do ambiente/processos; ✓ Baixo (ou nenhum) nível de controle implementado; ✓ Alto índice de riscos; ✓ Falta de uma cultura de segurança; ✓ Resistência (interna e externa); Considerações Finais ✓ Requisitos de Segurança da Informação ✓ Quais os requisitos de SI? Como obter esses requisitos? ✓ Implementação ✓ A Seg Info é obtida a partir da implementação de um conjunto de controles adequados as necessidades da organização; ✓ Controles monitorados, precisam analisados ser estabelecidos, implementados, e melhorados para garantir que os objetivos do negócio e de segurança sejam atendidos; Considerações Finais Slide 1 Slide 2: Situação problema Slide 3: Segurança da Informação Slide 4 Slide 5: Segurança da Informação Slide 6: PRINCIPAIS DESAFIOS GESTÃO DE RISCOS Slide 7: Segurança da Informação Slide 8: Segurança da Informação Slide 9: Segurança da Informação Slide 10 Slide 11: Segurança da Informação Slide 12: Segurança da InformaçãoSlide 13: Segurança da Informação Slide 14: Segurança da Informação Slide 15: Considerações Finais Slide 16: Considerações Finais
Compartilhar