Aula 1 - Conceitos Gerais de Segurança da Informação

Prévia do material em texto

SEGURANÇA DA INFORMAÇÃO
Prof. André Luiz Gonçalves Campos
CONCEITOS GERAIS DE SEGURANÇA DA 
INFORMAÇÃO
Prof. André Luiz Gonçalves CamposAULA 1
3
Tópicos abordados
 Aula 1 – Conceitos Gerais
 Aula 2 – Gestão de Risco
 Aula 3 – Ética Legislação
 Aula 4 – Política de Segurança
 Aula 5 – Classificação de Informações
 Aula 6 – Gestão de Continuidade de Negócios
 Aula 7 – Gestão de Pessoas
 Aula 8 – Segurança Física e Patrimonial
 Aula 9 – Organização da Segurança da Informação
4
Tópicos
 Introdução
 O Ambiente
 A história
 Desafios Atuais
 SI nas organizações
 A gestão de SI
 Tecnologia e SI
 Estudo de Caso
5
Introdução
 O que é Segurança?
A premissa mais básica para se estudar segurança é entender sua definição.
A palavra segurança, no que diz respeito a área que estudaremos, costuma
ser empregada com dois significados:
 Estado ou condição: onde aquilo que é objeto de
proteção não passa por eventos que lhe causem algum
mal ou comprometam seus objetivos.
 Conjunto de Proteções: projetadas e implementadas
de forma a se atingir o estado ou a condição de
segurança. Essas proteções podem ser de diversos
tipos.
6
Introdução
 Tipos de Ativos
 Tangíveis
 Informações
 Sistemas
 Móveis
 Intangíveis
 Imagem
 Confiabilidade
 Marca
 Tipos de Ativos
 Lógicos
 Dados Armazenados
 Sistemas
 Redes
 Físicos
 Computadores
 Sistemas de Ar-
Condicionado
 Prédios
 Pessoal
 Empregados
 Prestadores de Serviço
ATIVO – tudo aquilo que traz valor ao negócio
7
Introdução
 Tipos de Proteção
 Físicas
 Portas
 Fechaduras
 Seguranças (pessoas)
 Lógicas
 Dispositivos de controle de acesso de SO
 Firewall
 Criptografia
 Administrativas
 Políticas
 Normas
 Procedimentos
8
Introdução
 A implementação de SI se baseia na utilização de diversos tipos
diferentes de controles, variando bastante sua ação. Isso permite a
implementação de um conceito conhecido com defesa em
produndidade.
 Este conceito prega que é preferível ter diversos controles com nível
de segurança menores, do que um único grande controle, com o nível
de segurança altíssimo. A premissa básica é que todos os controles
estão sujeitos a falhas e, sendo assim, a melhor estratégia é prever
nos projetos controles que se complementam e que sirvam de
backup entre si.
 Tipos de proteções de acordo com a sua finalidade
 Prevenção, Desencorajamento, Monitoramento, Detecção, Limitação, 
Reação, Correção, Recuperação.
9
Introdução
 Os aspectos de SI - CID
Confidencialidade
Integridade Disponibilidade
10
 Confidencialidade – condição na qual apenas
instâncias previamente estabelecidas terão
conhecimento sobre as diversas informações
pertencentes as organizações.
 Integridade – Condição que representa que
determinada informação é precisa e correta.
 Disponibilidade – Condição na qual determinado
ativo estará disponível para uso sempre que a
organização necessitar.
11
Introdução
 Os componentes básicos
 A premissa fundamental em segurança prevê que não 
existe nada 100% seguro
12
Introdução
 Os componentes básicos
 Valor – medida da importância do ativo para a organização. Pode
se dar através de propriedades mensuráveis ou não.
 Ameaça – evento que pode comprometer o funcionamento normal
da organização, impactando seus objetivos em várias escalas.
 Vulnerabilidade – falha ou falta de proteção que permite que a
ameaça se concretize.
 Impacto – Grau de comprometimento que a concretização de uma
determinada ameaça traz para a organização.
 Risco – medida que indica a probabilidade de uma determinada
ameaça se concretizar, combinada com os impactos que ela trará.
13
• Os proprietários de ativos devem ter confiança (confidence) na eficácia das contramedidas, mas podem não possuir a 
habilidade de avaliá-la.
• Assim, os proprietários utilizam-se de uma avaliação (evaluation), que gera uma declaração do nível de validação 
(assurance) de sua capacidade de mitigar riscos.
Introdução
ISO 15408
É a norma mais antiga de segurança da informação. O foco da
norma é o desenvolvimento seguro de softwares e a definição de
mecanismos de avaliação para análise e classificação da
segurança de eplicações.
Owners – proprietários
Countmeasures – proteções
Vulnerabilities – vulnerabilidades
Threat agents – originadores de ameaças
Threat – ameaças
Assets - ativos
14
Introdução
15
Introdução
 Requerimentos de Segurança
 São agrupados em famílias, que por sua vez são 
agrupadas em classes.
Se dividem em dois tipos:
 Requerimentos Funcionais de Segurança
 Requerimentos de Validação de Segurança
16
Classes de Requerimentos Funcionais de Segurança
 Auditoria de segurança (FAU) – validação da
funcionalidade de geração de trilha de auditoria de
eventos relevantes do ponto de vista de segurança;
 Comunicação (FCO) – validação dos controles aplicados à
comunicação entre o sistema e outras entidades através de
não repúdio de recebimento e envio;
 Suporte criptográfico (FCS) – validação dos controles
aplicados ao suporte criptográfico, como gerenciamento de
chaves e escolha dos algoritmos;
 Proteção a dados do usuário (FDP) – validação dos
controles de proteção aos dados do usuário na importação,
exportação, armazenamento ou comunicação interna entre
componentes do sistema;
17
Classes de Requerimentos Funcionais de Segurança
 Identificação e autenticação (FIA) – validação dos controles
aplicados à correta identificação dos usuários do sistema,
bem como sua associação a perfis de permissões;
 Gerenciamento de segurança (FMT) – validação dos
controles aplicados ao gerenciamento de dados de
segurança como perfis de permissões, atributos de
segurança e outros dados internos;
 Privacidade (FPR) – validação dos controles utilizados para
impedir que usuários do sistema comprometam a segurança
dos dados uns dos outros;
 Proteção do sistema (FPT) – validação dos controles
utilizados para garantir a integridade dos dados e
processamento do sistema diretamente associados à sua
segurança;
18
Classes de Requerimentos Funcionais de Segurança
 Utilização de recursos (FRU) – validação dos controles
utilizados para garantir o uso devido de recursos como
memória, armazenamento e banda, com a devida
compartimentalização e priorização de sua alocação;
 Acesso ao sistema (FTA) – validação dos controles
aplicados ao estabelecimento, gerenciamento e
encerramento de sessões entre o usuário e o sistema;
 Trusted Paths (FTP) – validação dos controles aplicados à
criação de canais de comunicação confiáveis (não-repúdio)
entre usuários e o sistema, e entre este e outras entidades
com as quais exista um relacionamento de confiança.
19
Classes de Requerimentos de Validação de Segurança
 Gerenciamento de Configuração (ACM) – manutenção da
integridade do sistema do controle e dos processos de
modificação do mesmo;
 Entrega e Operação (ADO) – manutenção da segurança do
sistema durante entrega, instalação, inicialização e
operação;
 Desenvolvimento (ADV) – provisões de segurança na
especificação, design e implementação do sistema.
 Documentação (AGD) – cobre a facilidade de
compreensão, abrangência e completude da
documentação operacional do sistema para usuários e
administradores;
20
Classes de Requerimentos de Validação de Segurança
 Suporte ao Ciclo de Vida (ALC) – que inclui a segurança do
ambiente, processos e ferramentas utilizadas para o
desenvolvimento e manutenção do sistema;
 Testes (ATE) – analisa os testes sistemáticos utilizados para
validara aderência do sistema aos seus requisitos
funcionais de segurança;
 Análise de Vulnerabilidades (AVA) – que cobre a
identificação de vulnerabilidades exploráveis no sistema,
como covert channels;
 Manutenção da Validação (AMA) – que cobre a validação
continuada de segurança após a avaliação inicial, quando
da alteração do sistema.
21
O Ambiente
 O que deve ser protegido?
 Tudo deveria ser protegido. Alguns aspectos se aplicam
mais a um tipo de ativo que a outros. A segurança física,
costuma estar mais focada nos ativos tangíveis, nos sistemas
de suporte e infraestrutura e nas pessoas. Já as Segurança
em TI foca-se mais na segurança das informações
armazenadas, processadas e transmitidas por sitemas.
 A visão mais lógica, é que a SI compreende todo o universo
mas, na maioria das organizações, diferentes aspectos
costumam ser controlados por áreas diferentes.
22
O Ambiente
 Por que devemos nos proteger?
 Buscar visão mais abrangente dos impactos causados 
pelos problemas de segurança.
23
O Ambiente
 De que devemos nos proteger?
 Natural
 Eventos meteorológicos
 Acidental
 Erros dos usuários
 Falhas de sistemas
 Falha no fornecimento de serviços básicos (energia elétrica)
 Intencional
 Invasões
 Terrorismo
 Chantagem
 Espionagem
24
A História
Pré-informática
Pós-informática
Cenário Atual
25
Os Desafios Atuais
 Aumento da exposição
 Convergência
 Os problemas tecnológicos
 Leis, regulamentações e normas
26
SI nas organizações
 Visão – fazer com que a SI permeie a vida das organizações,
impactando da menor forma possível a sua rotina e mantenha
os riscos dentro de patamares desejados.
 Metas – dentre as muitas metas que a segurança enfrenta
hoje destacamos:
 Incorporar a cultura e as práticas de segurança a rotina de trabalho dos colaboradores.
 Buscar tecnologias que cuidem da segurança enquanto as organizações cuidam de seus objetivos.
 Se aproximar do centro de decisão das organizações, agregando valor e ajudando no alcance dos
objetivos
 Encontrar soluções economicamente viáveis para os problemas.
 Hierarquia – estruturação das funções ligadas a área de
segurança.
27
A gestão de SI
 Políticas
 Classificação das informações
 Análise de Risco
 Arquitetura Empresarial de Segurança
 Continuidade dos Negócios
 Ética e Legislação
 Peopleware
 Sistema de Gestão de SI
28
Tecnologia e SI
 Segurança de hosts
 Plataforma Windows
 Plataforma Unix
 Segurança de Redes
 Sistemas de Firewall e Defesa Perimetral
 IDS/IPS
 Segurança de Ambientes Wireless
 Criptografia
 Tecnolgias
 ICP (PKI)
 Segurança no Desenvolvimento de Aplicações
 Perícia Forense
 Teste de Invasão