Principais problemas de segurança em TI

Prévia do material em texto

08/08/2013
1
Segurança de SistemasSegurança de SistemasSegurança de SistemasSegurança de Sistemas
ULBRA ULBRA ULBRA ULBRA –––– Cachoeira do SulCachoeira do SulCachoeira do SulCachoeira do Sul
Professor:Professor:Professor:Professor: Daniel Biasoli
EEEE----mail: mail: mail: mail: daniel@biasoli.com
1 Aula 02Aula 02Aula 02Aula 02
Principais problemas para Principais problemas para Principais problemas para Principais problemas para 
gerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TI
• Falta de política de segurança
• Poucos mecanismos para divulgação de 
informação
• Servidores/Desktops/Notes/Mobiles 
desprotegidos/desatualizados;
• Falta de vistoria/inspeção (auditoria de segurança 
– vemos em processos mas não em segurança);
• Máquinas conectadas à rede mal configuradas ou 
administradas e sem atualização de anti-vírus
08/08/2013
2
Principais problemas para Principais problemas para Principais problemas para Principais problemas para 
gerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TI
• Inexistência de mecanismos de autenticação para uso da 
rede;
• Falta de alinhamento entre RH e segurança 
(Conscientização);
• Provas seletivas de contratação devem incluir conteúdo 
sobre segurança;
• Falta de atribuição e responsabilidades formais e claras na 
utilização de recursos (ex. máquinas);
• Falta de alinhamento do Depto Jurídico com as 
necessidades de segurança da empresa;
• Falta de gerência de vulnerabilidades (gerência de patches 
e anti-vírus);
• Falta de gerência de inventário;
Principais problemas para Principais problemas para Principais problemas para Principais problemas para 
gerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TI
• Falta de normas e procedimentos na empresa, o que 
impede aplicação de restrições;
• Falta de regras claras de utilização (e-mails, redes) e 
penalidades conhecidas por toda comunidade;
• Falta de investimento em segurança;
• Falta de alinhamento entre as necessidades estratégicas e 
a segurança;
• Falta de avaliação de impactos em mudanças por evolução 
ou demanda externa;
• Falta de gestão e acompanhamento de riscos;
• Inexistência quase que completa de um plano de 
continuidade/contingência;
08/08/2013
3
Incidentes como:Incidentes como:Incidentes como:Incidentes como:
• Spam;
• Worm/Trojam;
• Scan (pesquisa de portas vulneráveis);
• DoS (Denial of Service – Negação de serviço 
ataque com intenção de derrubar provedor ou 
serviço);
• Open Proxy (envio de Spam – robôs);
• Mau Uso (relacionado à violação de direito de 
uso).
Todos os itens anteriores tem origens 
comuns que resultam na exploração de 
vulnerabilidade em servidores, 
desktops conectados à rede com 
serviços habilitados indevidamente.
08/08/2013
4
Exemplo:
• Spam pode conter anexos executáveis coma 
instalação de um worm/trojan e que por sua 
natureza se espalha buscando máquinas 
vulneráveis na rede. Tais vulnerabilidades podem 
habilitar máquinas (Open Proxy) que atuam como 
protocolos smtp, no envio de SPAM, fechando 
desta maneira o ciclo de propagação x infecção.
O modelo OSIO modelo OSIO modelo OSIO modelo OSI
08/08/2013
5
O Modelo TCPO Modelo TCPO Modelo TCPO Modelo TCP
O Ambiente CooperativoO Ambiente CooperativoO Ambiente CooperativoO Ambiente Cooperativo
08/08/2013
6
A Importância da A Importância da A Importância da A Importância da 
Tecnologia da InformaçãoTecnologia da InformaçãoTecnologia da InformaçãoTecnologia da Informação
• A dependência cada vez maior da 
Informática e da Telecomunicação para o 
sucesso das organizações resultou no 
surgimento do ambiente cooperativo.
• Desafios com relação à segurança.
A Informática como parte A Informática como parte A Informática como parte A Informática como parte 
dos Negóciosdos Negóciosdos Negóciosdos Negócios
• Aumento dos investimentos realizados na área de 
Tecnologia da Informação.
• Tecnologia como expansão dos negócios.
• Revolução Digital faz parte de todos.
• Pesquisas mostram que a Internet é a mais importante 
ferramenta de negócios, hoje, curto e médio prazo.
08/08/2013
7
ConsideraçõesConsideraçõesConsideraçõesConsiderações
• Concorrente em qualquer parte do 
mundo:
– Busca do diferencial competitivo
– Competitividade é ditada pela 
velocidade, qualidade e eficiência.
• Operação virtual vende mais do que 
qualquer uma das 1.015 lojas
• 2003 teve um faturamento de 211,6 
milhões.
08/08/2013
8
• Em novembro/2006, fusão das 
Americanas + Submarino, resultando 
na B2W.
– Faturamento: 5.4 bilhões em 2012, com 
crescimento de 15.3%
Responsáveis pelo avanço da Responsáveis pelo avanço da Responsáveis pelo avanço da Responsáveis pelo avanço da 
globalização?globalização?globalização?globalização?
• Infraestrutura de rede
• Tecnologia da informação
08/08/2013
9
A Informática como parte A Informática como parte A Informática como parte A Informática como parte 
dos Negóciosdos Negóciosdos Negóciosdos Negócios
• Problemas relacionados à segurança.
• O contexto atual de grandes 
transformações comerciais e 
mercadológicas, mais a importância da 
Internet, faz com que surja um novo 
ambiente, no qual múltiplas organizações 
trocam informações por meio de 
integração de redes.
O Ambiente CooperativoO Ambiente CooperativoO Ambiente CooperativoO Ambiente Cooperativo
08/08/2013
10
Aumento da Complexidade dos Aumento da Complexidade dos Aumento da Complexidade dos Aumento da Complexidade dos 
Níveis de AcessoNíveis de AcessoNíveis de AcessoNíveis de Acesso
O Ambiente CooperativoO Ambiente CooperativoO Ambiente CooperativoO Ambiente Cooperativo
• A complexidade da infra-estrutura de rede 
atinge níveis consideráveis.
• É preciso a proteção das informações que 
fazem parte dessa rede.
08/08/2013
11
O Ambiente CooperativoO Ambiente CooperativoO Ambiente CooperativoO Ambiente Cooperativo
• Caracterizado pela integração dos mais 
diversos sistemas de diferentes organizações.
• As partes envolvidas cooperam entre si, na 
busca de um objetivo comum: rapidez e 
eficiência nos processos e realizações dos 
negócios.
O O O O Ambiente Ambiente Ambiente Ambiente Cooperativo e a Cooperativo e a Cooperativo e a Cooperativo e a 
Diversidade de ConexõesDiversidade de ConexõesDiversidade de ConexõesDiversidade de Conexões
• Uma filial que tenha acesso a serviços como 
Intranet, banco de dados financeiros, sistema de 
logística de peças e o serviço de emails.
• Um fornecedor A, que tenha acesso ao sistema 
de logística de peças e ao serviço de FTP.
• Um fornecedor B, que tenha acesso somente ao 
sistema de controle de estoques, para poder 
agilizar a reposição de peças.
08/08/2013
12
O Ambiente Cooperativo e a O Ambiente Cooperativo e a O Ambiente Cooperativo e a O Ambiente Cooperativo e a 
Diversidade Diversidade Diversidade Diversidade de Conexõesde Conexõesde Conexõesde Conexões
• Um representante comercial tem acesso ao 
sistema de estoques, ao sistema de logística 
e ao sistema de preços.
• Os clientes tem acesso ao sistema de 
estoques e de preços, para poder verificar a 
disponibilidade e os preços dos produtos.
Atividade 01Atividade 01Atividade 01Atividade 01
• Liste um número máximo de 
possíveis falhas de segurança em 
ambientes cooperativos. (5 minutos)
08/08/2013
13
Problemas no Ambientes Problemas no Ambientes Problemas no Ambientes Problemas no Ambientes 
CooperativosCooperativosCooperativosCooperativos
• Perigo das triangulações.
• Aumento da complexidade em controlar os 
acessos em diferentes níveis.
• Os diferentes níveis de acesso somados ao 
perigo das triangulações.• Os usuários da Internet podem chegar a uma 
organização, caso outras organizações tenham 
acesso.
TriangulaçõesTriangulaçõesTriangulaçõesTriangulações
08/08/2013
14
Diversidade de Níveis de AcessosDiversidade de Níveis de AcessosDiversidade de Níveis de AcessosDiversidade de Níveis de Acessos
Um Modelo de SegurançaUm Modelo de SegurançaUm Modelo de SegurançaUm Modelo de Segurança
• A divisão entre os diferentes tipos de 
usuários, os desafios a serem enfrentados 
no ambiente cooperativo e a complexidade 
que envolve a segurança desses 
ambientes são analisados, do ponto de 
vista de um modelo de segurança para os 
ambientes cooperativos.
08/08/2013
15
Um Modelo de SegurançaUm Modelo de SegurançaUm Modelo de SegurançaUm Modelo de Segurança
• O propósito do modelo é como obter 
segurança em um ambiente cooperativo.
• Gerenciar todo o processo de segurança, 
visualizando a situação da segurança em 
todos os seus aspectos.
Fatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurança
• Entender a natureza dos ataques é 
fundamental.
• Fragilidade da tecnologia existente.
• Novas tecnologias trazem novas 
vulnerabilidades.
• Novas formas de ataques são criadas.
08/08/2013
16
Fatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurança
• Aumento da conectividade resulta em novas 
possibilidades de ataques.
• Existência de ataques direcionados como os 
oportunísticos.
• Fazer a defesa é mais complexa do que o 
ataque.
• Aumento dos crimes digitais.
Fatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurança
• A falta de uma classificação das 
informações quanto ao seu valor e a sua 
confiabilidade, para a definição de uma 
estratégia de segurança.
• Controle de acesso mal definido.
• A Internet é um ambiente hostil, e 
portanto, não confiável.
08/08/2013
17
Fatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurança
• As informações, as senhas e os e-mails 
que trafegam na rede podem ser 
capturados.
• A interação entre diferentes ambientes 
resulta na multiplicação dos pontos 
vulneráveis.
A abrangência da SegurançaA abrangência da SegurançaA abrangência da SegurançaA abrangência da Segurança
08/08/2013
18
Segurança x FuncionalidadesSegurança x FuncionalidadesSegurança x FuncionalidadesSegurança x Funcionalidades
• Segurança pode ser comprometida pelos 
seguintes fatores:
– Exploração de vulnerabilidades em SOs.
– Exploração dos aspectos humanos das pessoas 
envolvidas.
– Falha no desenvolvimento e implementação de uma 
política de segurança.
– Desenvolvimento de ataques mais sofisticados.
• Segurança é inversamente proporcional as 
funcionalidades (serviços, aplicativos, o aumento 
da complexidade das conexões, ...)
Aspectos da Segurança da InformaçãoAspectos da Segurança da InformaçãoAspectos da Segurança da InformaçãoAspectos da Segurança da Informação
08/08/2013
19
Segurança x ProdutividadeSegurança x ProdutividadeSegurança x ProdutividadeSegurança x Produtividade
• A administração da segurança deve ser 
dimensionada, sem que a produtividade 
dos usuários seja afetada. 
• Geralmente, a segurança é antagônica à 
produtividade dos usuários, no sentido de 
que , quanto maiores as funcionalidades, 
mais vulnerabilidades existem.
Objetivo FinalObjetivo FinalObjetivo FinalObjetivo Final
• A tentativa de estabelecer uma rede totalmente 
segura não é conveniente.
• As organizações devem definir o nível de 
segurança, de acordo com suas necessidades, já 
assumindo riscos.
• Construir um sistema altamente confiável, que 
seja capaz de dificultar ataques mais casuais. 
08/08/2013
20
Problemas de Segurança
• Atividade: 
– Listar possíveis problemas de 
segurança da ULBRA – Cachoeira do 
Sul
Atividade Para EntregarAtividade Para EntregarAtividade Para EntregarAtividade Para Entregar
• Enviar por e-mail para daniel@biasoli.com
• Assunto: [Trabalho01 – SEGURANÇA DA INFORMAÇÃO] Nomes 
• No corpo enviar os nomes dos representantes do grupo
• Anexar o arquivo com o trabalho
• Entregar até o final da aula
• Máximo 3 alunos
• Proposta: Realização de um plano de segurança para um ambiente 
cooperativo, baseados nos problemas apontados em aula, conforme 
atividade do Slide 31 da AULA 02, em 08/08/2013.
• Descrição: Elaborar políticas para um Plano de Segurança da Informação 
para a ULBRA (todos os campus). O trabalho deverá destacar políticas 
quanto a responsabilidades específicas de colaboradores em geral, 
gestores, monitoramento e auditoria do ambiente, correio eletrônico, 
internet, identificação, computadores e recursos tecnológicos, dispositivos 
móveis, datacenter (se houver), política de backups e utilização dos labins.
08/08/2013
21
Tópicos do Plano de SegurançaTópicos do Plano de SegurançaTópicos do Plano de SegurançaTópicos do Plano de Segurança
• Objetivos e Planos Gerais da Empresa
• Recursos de Processamento de Dados
• Filosofia e Projetos de Custos-Benefícios
• Recursos Humanos
• Infra-estrutura da área de sistemas: 
organização, metodologias, padrões e 
práticas de trabalho.