Aula 15

Prévia do material em texto

CENÁRIO DE TECNOLOGIA DA INFORMAÇÃO
AULA 15: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
1
Conteúdo desta aula
SEGURANÇA DA
 INFORMAÇÃO
1
AS Principais 
VULNERABILIDADES
3
PRÓXIMOS 
PASSOS
A SUA IMPORTÂNCIA 
ESTRATÉGICA
2
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
2
Segurança da Informação
Fonte: https://alexfeleol.wordpress.com/2012/06/23/os-tres-pilares-da-seguranca-da-informacao/
Também muito graves são os crimes digitais, nem sempre noticiados, porém causando grande prejuízo à instituição afetada; 
Constantemente deparamo-nos com notícias de falhas de segurança na internet, evidenciadas pelo roubo de informações e sabotagens em sites; 
Tais crimes têm o intuito de furtar ou adulterar informações estratégicas pertencentes às organizações e são muitas vezes executados por concorrentes de mercado; 
Existem também os danos causados por funcionários devido a falhas no controle de acesso às informações, resultando na perda ou no vazamento de dados importantes.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Segurança da Informação
A segurança da informação é dada pela garantia dos seguintes serviços:
Fonte: http://www.vc2ti.com.br/seguranca-da-informacao/
Confidencialidade — impede que pessoas não autorizadas tenham acesso à informação;
Integridade — é a garantia que a informação está consistente;
Disponibilidade — garante que uma informação estará disponível para acesso no momento desejado.
Autenticidade — garante a identidade de quem está executando uma determinada ação;
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
A sua importância estratégica
Fonte: http://www.simplessolucoes.com.br/blog/category/gestao-da-seguranca-da-informacao/
Entende-se por ação segura qualquer atitude envolvendo manipulação de informações que seja feita de acordo com o nível de segurança definido ao tipo de informação que será passada, estando ela em qualquer meio;
A informação é um bem que tem valor para a organização, consequentemente, necessita ser adequadamente protegida; 
A informação trafega por diversos meios como papel, e-mail e telefone; 
Devido a essa abrangência, é necessário que ações seguras sejam entendidas e incorporadas pelos funcionários da instituição. 
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
A sua importância estratégica
Fonte: http://ausland.com.br/seguranca-e-confiabilidade-em-erp/
A razão para prover segurança às informações de uma organização apoia-se no diferencial que a segurança pode representar entre o sucesso e o insucesso, no cumprimento do objetivo fim da instituição.
O objetivo da segurança da informação é assegurar a continuidade do negócio e reduzir os danos a ele, prevenindo e minimizando os impactos dos incidentes de segurança; 
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades
As ameaças podem ter origem interna e/ou externa e serem propositais ou não; 
Os tipos de ameaças e os riscos envolvidos estão intimamente ligados ao negócio da empresa, ou seja, dependendo do tamanho da corporação e de sua área de atuação as ameaças podem ser maiores ou menores e, consequentemente, os riscos;
Vírus;
Spyware;
Phishing;
Código Hostil;
Falhas e erros;
Fraudes, roubos e sabotagens;
Hackers;
Espionagem.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades - Vírus
Um vírus é um programa que pode infectar outros programas, alterando seu código executável;
Pode se replicar; 
Pode ficar por um longo período de tempo dormente antes de realizar sua tarefa; 
Em função de algum evento, como uma determinada data ou número de vezes que foi replicado, o vírus pode ser ativado; 
Dependendo do sistema operacional, um vírus pode ter acesso irrestrito aos recursos do computador onde está sendo executado ou apenas a determinados recursos; 
Apesar das inúmeras ferramentas para identificar e tratar vírus, as empresas continuam perdendo muito dinheiro com os estragos produzidos pela entrada de apenas um vírus que se espalha rapidamente por toda a rede.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades - Spyware
Os possíveis interessados podem ser empresas que queiram conhecer o perfil de consumo do usuário ou um hacker interessado nas suas informações pessoais ou financeiras.
É um programa que, quando instalado na máquina do usuário, monitora o que o ele está fazendo e envia as suas informações para a internet sem o seu conhecimento; 
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades - Phishing
É muito comum o recebimento de mensagens falsas de bancos, Receita Federal e empresas de proteção ao crédito, solicitando atualização de dados cadastrais ou avisando de algum problema sério com a conta bancária ou crédito. 
No Phishing, o usuário é “fisgado” por algum e-mail ou mensagem que parecem de fontes confiáveis e, a partir de site falso, informam seus dados financeiros como, por exemplo, número da conta e senha do banco; 
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades – Código Hostil
Os plug-ins são programas executáveis que permitem ao browser executar arquivos em formatos diferentes de HTML, como áudio, animações e acesso a banco de dados; 
O grande problema dos plug-ins é que sua segurança está baseada na confiança em quem desenvolveu o aplicativo. Como o plug-in tem acesso irrestrito ao seu sistema, é possível ter acesso a informações no disco local, abrir conexões de rede ou introduzir um Cavalo de Tróia. Neste caso, não só a estação poderá ficar comprometida, mas também sua rede interna; 
Com a introdução de linguagens/tecnologias como Java, JavaScript, VBscript e ActiveX, o browser passou a receber código ativo pela rede, ou seja, o simples fato de se visitar um site, na internet, já é o suficiente para receber um código malicioso que possa ter acesso a qualquer parte do seu sistema (processador, memória, discos e rede) e, até mesmo, desligar sua estação. 
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades – Falhas e erros
Problemas de segurança da informação podem ser consequência de falhas e erros humanos. A integridade das informações pode ser comprometida com a entrada de dados errada ou incompleta; 
Falhas no desenvolvimento de software, conhecidos como bugs, podem levar a sérios problemas de segurança, tanto em sistemas aplicativos como software básico. Um bom exemplo deste tipo de vulnerabilidade são as falhas de buffer overflow largamente utilizadas por hackers para ganhar acesso privilegiado aos servidores web, sistemas operacionais, bancos de dados etc.
A maneira mais efetiva de evitar este tipo de ameaça é manter hardware e software sempre atualizados, com as devidas correções. A grande dificuldade, no entanto, é atualizar o parque na velocidade que as correções são disponibilizadas.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades – Fraudes, Roubos e Sabotagens
Fraudes e roubos não estão restritos às informações; 
Muitas vezes, as informações obtidas internamente são repassadas para fora da empresa e a ação executada externamente;
Bens materiais, como computadores, periféricos e componentes, também podem ser alvos deste tipo de ameaça; 
A sabotagem, geralmente, é realizada por funcionários insatisfeitos que, por algum motivo, destroem ou alteram as informações.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades – Hackers
Hacker significa, genericamente, alguém que conhece profundamente computação. O termo é utilizado comosinônimo de cracker, ou seja, alguém que invade sistemas computacionais sem autorização para obter algum tipo de benefício;
Hackers invadem sistemas apenas para mostrar que podem fazê-lo. Diversos sites, na internet, têm suas páginas desfiguradas, onde o conteúdo original é substituído por mensagens diversas. Neste caso, nenhuma informação é roubada, apenas a imagem da empresa ficará comprometida. Dependendo do tipo de negócio, a imagem pode ser um ativo fundamental, como no caso de uma empresa de segurança da informação;
Hackers, geralmente, estão relacionados a indivíduos externos à empresa, porém também existem hackers internos, que podem causar danos mais facilmente. Com a evolução da internet, é esperado um crescimento dos problemas de segurança relacionados a hackers. 
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Ameaças e Vulnerabilidades – Espionagem
A espionagem é realizada por funcionários que têm acesso autorizado às informações, tornando sua identificação muito difícil. 
Espionagem industrial é o ato de reunir informações de uma empresa e repassá-las a outra empresa, geralmente concorrente, mediante a algum tipo de vantagem financeira; 
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Autenticação e Controle de Acesso
Autenticação é a capacidade de se identificar com precisão um usuário ou sistema; 
A partir dessa identificação, é possível controlar e monitorar o acesso aos recursos disponíveis; 
A autenticação pode ser implementada baseada em três métodos diferentes:
Algo que se Sabe;
Algo que se Tem;
Algo que se É.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Algo que se Sabe
O usuário conhece alguma informação que permite a sua identificação e autenticação;
 
O uso de senhas é o melhor exemplo deste método; 
Além das senhas, é possível utilizar informações pessoais do usuário para identificá-lo positivamente, como data de nascimento, número de um documento.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Algo que se Tem
Os cartões magnéticos, smartcards e certificados digitais são bons exemplos deste método.
O usuário possui algo que deve ser utilizado no processo de identificação e autenticação; 
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Algo que se É
O usuário utiliza alguma característica física que permite a sua identificação e autenticação. 
Este método é conhecido como autenticação biométrica e envolve processos que reconheçam características físicas intrínsecas de cada indivíduo, como a impressão digital, íris, retina, voz, formato das mãos ou face.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
Criptografia
A criptografia e a certificação digital são ferramentas fundamentais na construção da nova infraestrutura de comércio eletrônico com segurança;
Criptografia oferece confidencialidade, integridade e autenticidade;
Certificação digital oferece a infraestrutura para que tais serviços sejam oferecidos de forma simples, rápida e segura; 
O certificado digital é a carteira de identidade do mundo virtual, que permite aos usuários se identificarem e assinarem documentos eletrônicos;
A criptografia consiste na ciência de escrever a informação em cifras, de forma a que somente as pessoas autorizadas possam compreendê-la. O seu objetivo é a construção de cifras invioláveis que garantam confidencialidade, integridade e autenticidade das informações transmitidas.
Cenários de Tecnologia da Informação
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO
21