Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA DA INFORMAÇÃO Prof. André Luiz Gonçalves Campos CONCEITOS GERAIS DE SEGURANÇA DA INFORMAÇÃO Prof. André Luiz Gonçalves CamposAULA 1 3 Tópicos abordados Aula 1 – Conceitos Gerais Aula 2 – Gestão de Risco Aula 3 – Ética Legislação Aula 4 – Política de Segurança Aula 5 – Classificação de Informações Aula 6 – Gestão de Continuidade de Negócios Aula 7 – Gestão de Pessoas Aula 8 – Segurança Física e Patrimonial Aula 9 – Organização da Segurança da Informação 4 Tópicos Introdução O Ambiente A história Desafios Atuais SI nas organizações A gestão de SI Tecnologia e SI Estudo de Caso 5 Introdução O que é Segurança? A premissa mais básica para se estudar segurança é entender sua definição. A palavra segurança, no que diz respeito a área que estudaremos, costuma ser empregada com dois significados: Estado ou condição: onde aquilo que é objeto de proteção não passa por eventos que lhe causem algum mal ou comprometam seus objetivos. Conjunto de Proteções: projetadas e implementadas de forma a se atingir o estado ou a condição de segurança. Essas proteções podem ser de diversos tipos. 6 Introdução Tipos de Ativos Tangíveis Informações Sistemas Móveis Intangíveis Imagem Confiabilidade Marca Tipos de Ativos Lógicos Dados Armazenados Sistemas Redes Físicos Computadores Sistemas de Ar- Condicionado Prédios Pessoal Empregados Prestadores de Serviço ATIVO – tudo aquilo que traz valor ao negócio 7 Introdução Tipos de Proteção Físicas Portas Fechaduras Seguranças (pessoas) Lógicas Dispositivos de controle de acesso de SO Firewall Criptografia Administrativas Políticas Normas Procedimentos 8 Introdução A implementação de SI se baseia na utilização de diversos tipos diferentes de controles, variando bastante sua ação. Isso permite a implementação de um conceito conhecido com defesa em produndidade. Este conceito prega que é preferível ter diversos controles com nível de segurança menores, do que um único grande controle, com o nível de segurança altíssimo. A premissa básica é que todos os controles estão sujeitos a falhas e, sendo assim, a melhor estratégia é prever nos projetos controles que se complementam e que sirvam de backup entre si. Tipos de proteções de acordo com a sua finalidade Prevenção, Desencorajamento, Monitoramento, Detecção, Limitação, Reação, Correção, Recuperação. 9 Introdução Os aspectos de SI - CID Confidencialidade Integridade Disponibilidade 10 Confidencialidade – condição na qual apenas instâncias previamente estabelecidas terão conhecimento sobre as diversas informações pertencentes as organizações. Integridade – Condição que representa que determinada informação é precisa e correta. Disponibilidade – Condição na qual determinado ativo estará disponível para uso sempre que a organização necessitar. 11 Introdução Os componentes básicos A premissa fundamental em segurança prevê que não existe nada 100% seguro 12 Introdução Os componentes básicos Valor – medida da importância do ativo para a organização. Pode se dar através de propriedades mensuráveis ou não. Ameaça – evento que pode comprometer o funcionamento normal da organização, impactando seus objetivos em várias escalas. Vulnerabilidade – falha ou falta de proteção que permite que a ameaça se concretize. Impacto – Grau de comprometimento que a concretização de uma determinada ameaça traz para a organização. Risco – medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará. 13 • Os proprietários de ativos devem ter confiança (confidence) na eficácia das contramedidas, mas podem não possuir a habilidade de avaliá-la. • Assim, os proprietários utilizam-se de uma avaliação (evaluation), que gera uma declaração do nível de validação (assurance) de sua capacidade de mitigar riscos. Introdução ISO 15408 É a norma mais antiga de segurança da informação. O foco da norma é o desenvolvimento seguro de softwares e a definição de mecanismos de avaliação para análise e classificação da segurança de eplicações. Owners – proprietários Countmeasures – proteções Vulnerabilities – vulnerabilidades Threat agents – originadores de ameaças Threat – ameaças Assets - ativos 14 Introdução 15 Introdução Requerimentos de Segurança São agrupados em famílias, que por sua vez são agrupadas em classes. Se dividem em dois tipos: Requerimentos Funcionais de Segurança Requerimentos de Validação de Segurança 16 Classes de Requerimentos Funcionais de Segurança Auditoria de segurança (FAU) – validação da funcionalidade de geração de trilha de auditoria de eventos relevantes do ponto de vista de segurança; Comunicação (FCO) – validação dos controles aplicados à comunicação entre o sistema e outras entidades através de não repúdio de recebimento e envio; Suporte criptográfico (FCS) – validação dos controles aplicados ao suporte criptográfico, como gerenciamento de chaves e escolha dos algoritmos; Proteção a dados do usuário (FDP) – validação dos controles de proteção aos dados do usuário na importação, exportação, armazenamento ou comunicação interna entre componentes do sistema; 17 Classes de Requerimentos Funcionais de Segurança Identificação e autenticação (FIA) – validação dos controles aplicados à correta identificação dos usuários do sistema, bem como sua associação a perfis de permissões; Gerenciamento de segurança (FMT) – validação dos controles aplicados ao gerenciamento de dados de segurança como perfis de permissões, atributos de segurança e outros dados internos; Privacidade (FPR) – validação dos controles utilizados para impedir que usuários do sistema comprometam a segurança dos dados uns dos outros; Proteção do sistema (FPT) – validação dos controles utilizados para garantir a integridade dos dados e processamento do sistema diretamente associados à sua segurança; 18 Classes de Requerimentos Funcionais de Segurança Utilização de recursos (FRU) – validação dos controles utilizados para garantir o uso devido de recursos como memória, armazenamento e banda, com a devida compartimentalização e priorização de sua alocação; Acesso ao sistema (FTA) – validação dos controles aplicados ao estabelecimento, gerenciamento e encerramento de sessões entre o usuário e o sistema; Trusted Paths (FTP) – validação dos controles aplicados à criação de canais de comunicação confiáveis (não-repúdio) entre usuários e o sistema, e entre este e outras entidades com as quais exista um relacionamento de confiança. 19 Classes de Requerimentos de Validação de Segurança Gerenciamento de Configuração (ACM) – manutenção da integridade do sistema do controle e dos processos de modificação do mesmo; Entrega e Operação (ADO) – manutenção da segurança do sistema durante entrega, instalação, inicialização e operação; Desenvolvimento (ADV) – provisões de segurança na especificação, design e implementação do sistema. Documentação (AGD) – cobre a facilidade de compreensão, abrangência e completude da documentação operacional do sistema para usuários e administradores; 20 Classes de Requerimentos de Validação de Segurança Suporte ao Ciclo de Vida (ALC) – que inclui a segurança do ambiente, processos e ferramentas utilizadas para o desenvolvimento e manutenção do sistema; Testes (ATE) – analisa os testes sistemáticos utilizados para validara aderência do sistema aos seus requisitos funcionais de segurança; Análise de Vulnerabilidades (AVA) – que cobre a identificação de vulnerabilidades exploráveis no sistema, como covert channels; Manutenção da Validação (AMA) – que cobre a validação continuada de segurança após a avaliação inicial, quando da alteração do sistema. 21 O Ambiente O que deve ser protegido? Tudo deveria ser protegido. Alguns aspectos se aplicam mais a um tipo de ativo que a outros. A segurança física, costuma estar mais focada nos ativos tangíveis, nos sistemas de suporte e infraestrutura e nas pessoas. Já as Segurança em TI foca-se mais na segurança das informações armazenadas, processadas e transmitidas por sitemas. A visão mais lógica, é que a SI compreende todo o universo mas, na maioria das organizações, diferentes aspectos costumam ser controlados por áreas diferentes. 22 O Ambiente Por que devemos nos proteger? Buscar visão mais abrangente dos impactos causados pelos problemas de segurança. 23 O Ambiente De que devemos nos proteger? Natural Eventos meteorológicos Acidental Erros dos usuários Falhas de sistemas Falha no fornecimento de serviços básicos (energia elétrica) Intencional Invasões Terrorismo Chantagem Espionagem 24 A História Pré-informática Pós-informática Cenário Atual 25 Os Desafios Atuais Aumento da exposição Convergência Os problemas tecnológicos Leis, regulamentações e normas 26 SI nas organizações Visão – fazer com que a SI permeie a vida das organizações, impactando da menor forma possível a sua rotina e mantenha os riscos dentro de patamares desejados. Metas – dentre as muitas metas que a segurança enfrenta hoje destacamos: Incorporar a cultura e as práticas de segurança a rotina de trabalho dos colaboradores. Buscar tecnologias que cuidem da segurança enquanto as organizações cuidam de seus objetivos. Se aproximar do centro de decisão das organizações, agregando valor e ajudando no alcance dos objetivos Encontrar soluções economicamente viáveis para os problemas. Hierarquia – estruturação das funções ligadas a área de segurança. 27 A gestão de SI Políticas Classificação das informações Análise de Risco Arquitetura Empresarial de Segurança Continuidade dos Negócios Ética e Legislação Peopleware Sistema de Gestão de SI 28 Tecnologia e SI Segurança de hosts Plataforma Windows Plataforma Unix Segurança de Redes Sistemas de Firewall e Defesa Perimetral IDS/IPS Segurança de Ambientes Wireless Criptografia Tecnolgias ICP (PKI) Segurança no Desenvolvimento de Aplicações Perícia Forense Teste de Invasão
Compartilhar