Baixe o app para aproveitar ainda mais
Prévia do material em texto
08/08/2013 1 Segurança de SistemasSegurança de SistemasSegurança de SistemasSegurança de Sistemas ULBRA ULBRA ULBRA ULBRA –––– Cachoeira do SulCachoeira do SulCachoeira do SulCachoeira do Sul Professor:Professor:Professor:Professor: Daniel Biasoli EEEE----mail: mail: mail: mail: daniel@biasoli.com 1 Aula 02Aula 02Aula 02Aula 02 Principais problemas para Principais problemas para Principais problemas para Principais problemas para gerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TI • Falta de política de segurança • Poucos mecanismos para divulgação de informação • Servidores/Desktops/Notes/Mobiles desprotegidos/desatualizados; • Falta de vistoria/inspeção (auditoria de segurança – vemos em processos mas não em segurança); • Máquinas conectadas à rede mal configuradas ou administradas e sem atualização de anti-vírus 08/08/2013 2 Principais problemas para Principais problemas para Principais problemas para Principais problemas para gerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TI • Inexistência de mecanismos de autenticação para uso da rede; • Falta de alinhamento entre RH e segurança (Conscientização); • Provas seletivas de contratação devem incluir conteúdo sobre segurança; • Falta de atribuição e responsabilidades formais e claras na utilização de recursos (ex. máquinas); • Falta de alinhamento do Depto Jurídico com as necessidades de segurança da empresa; • Falta de gerência de vulnerabilidades (gerência de patches e anti-vírus); • Falta de gerência de inventário; Principais problemas para Principais problemas para Principais problemas para Principais problemas para gerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TIgerenciar Segurança de TI • Falta de normas e procedimentos na empresa, o que impede aplicação de restrições; • Falta de regras claras de utilização (e-mails, redes) e penalidades conhecidas por toda comunidade; • Falta de investimento em segurança; • Falta de alinhamento entre as necessidades estratégicas e a segurança; • Falta de avaliação de impactos em mudanças por evolução ou demanda externa; • Falta de gestão e acompanhamento de riscos; • Inexistência quase que completa de um plano de continuidade/contingência; 08/08/2013 3 Incidentes como:Incidentes como:Incidentes como:Incidentes como: • Spam; • Worm/Trojam; • Scan (pesquisa de portas vulneráveis); • DoS (Denial of Service – Negação de serviço ataque com intenção de derrubar provedor ou serviço); • Open Proxy (envio de Spam – robôs); • Mau Uso (relacionado à violação de direito de uso). Todos os itens anteriores tem origens comuns que resultam na exploração de vulnerabilidade em servidores, desktops conectados à rede com serviços habilitados indevidamente. 08/08/2013 4 Exemplo: • Spam pode conter anexos executáveis coma instalação de um worm/trojan e que por sua natureza se espalha buscando máquinas vulneráveis na rede. Tais vulnerabilidades podem habilitar máquinas (Open Proxy) que atuam como protocolos smtp, no envio de SPAM, fechando desta maneira o ciclo de propagação x infecção. O modelo OSIO modelo OSIO modelo OSIO modelo OSI 08/08/2013 5 O Modelo TCPO Modelo TCPO Modelo TCPO Modelo TCP O Ambiente CooperativoO Ambiente CooperativoO Ambiente CooperativoO Ambiente Cooperativo 08/08/2013 6 A Importância da A Importância da A Importância da A Importância da Tecnologia da InformaçãoTecnologia da InformaçãoTecnologia da InformaçãoTecnologia da Informação • A dependência cada vez maior da Informática e da Telecomunicação para o sucesso das organizações resultou no surgimento do ambiente cooperativo. • Desafios com relação à segurança. A Informática como parte A Informática como parte A Informática como parte A Informática como parte dos Negóciosdos Negóciosdos Negóciosdos Negócios • Aumento dos investimentos realizados na área de Tecnologia da Informação. • Tecnologia como expansão dos negócios. • Revolução Digital faz parte de todos. • Pesquisas mostram que a Internet é a mais importante ferramenta de negócios, hoje, curto e médio prazo. 08/08/2013 7 ConsideraçõesConsideraçõesConsideraçõesConsiderações • Concorrente em qualquer parte do mundo: – Busca do diferencial competitivo – Competitividade é ditada pela velocidade, qualidade e eficiência. • Operação virtual vende mais do que qualquer uma das 1.015 lojas • 2003 teve um faturamento de 211,6 milhões. 08/08/2013 8 • Em novembro/2006, fusão das Americanas + Submarino, resultando na B2W. – Faturamento: 5.4 bilhões em 2012, com crescimento de 15.3% Responsáveis pelo avanço da Responsáveis pelo avanço da Responsáveis pelo avanço da Responsáveis pelo avanço da globalização?globalização?globalização?globalização? • Infraestrutura de rede • Tecnologia da informação 08/08/2013 9 A Informática como parte A Informática como parte A Informática como parte A Informática como parte dos Negóciosdos Negóciosdos Negóciosdos Negócios • Problemas relacionados à segurança. • O contexto atual de grandes transformações comerciais e mercadológicas, mais a importância da Internet, faz com que surja um novo ambiente, no qual múltiplas organizações trocam informações por meio de integração de redes. O Ambiente CooperativoO Ambiente CooperativoO Ambiente CooperativoO Ambiente Cooperativo 08/08/2013 10 Aumento da Complexidade dos Aumento da Complexidade dos Aumento da Complexidade dos Aumento da Complexidade dos Níveis de AcessoNíveis de AcessoNíveis de AcessoNíveis de Acesso O Ambiente CooperativoO Ambiente CooperativoO Ambiente CooperativoO Ambiente Cooperativo • A complexidade da infra-estrutura de rede atinge níveis consideráveis. • É preciso a proteção das informações que fazem parte dessa rede. 08/08/2013 11 O Ambiente CooperativoO Ambiente CooperativoO Ambiente CooperativoO Ambiente Cooperativo • Caracterizado pela integração dos mais diversos sistemas de diferentes organizações. • As partes envolvidas cooperam entre si, na busca de um objetivo comum: rapidez e eficiência nos processos e realizações dos negócios. O O O O Ambiente Ambiente Ambiente Ambiente Cooperativo e a Cooperativo e a Cooperativo e a Cooperativo e a Diversidade de ConexõesDiversidade de ConexõesDiversidade de ConexõesDiversidade de Conexões • Uma filial que tenha acesso a serviços como Intranet, banco de dados financeiros, sistema de logística de peças e o serviço de emails. • Um fornecedor A, que tenha acesso ao sistema de logística de peças e ao serviço de FTP. • Um fornecedor B, que tenha acesso somente ao sistema de controle de estoques, para poder agilizar a reposição de peças. 08/08/2013 12 O Ambiente Cooperativo e a O Ambiente Cooperativo e a O Ambiente Cooperativo e a O Ambiente Cooperativo e a Diversidade Diversidade Diversidade Diversidade de Conexõesde Conexõesde Conexõesde Conexões • Um representante comercial tem acesso ao sistema de estoques, ao sistema de logística e ao sistema de preços. • Os clientes tem acesso ao sistema de estoques e de preços, para poder verificar a disponibilidade e os preços dos produtos. Atividade 01Atividade 01Atividade 01Atividade 01 • Liste um número máximo de possíveis falhas de segurança em ambientes cooperativos. (5 minutos) 08/08/2013 13 Problemas no Ambientes Problemas no Ambientes Problemas no Ambientes Problemas no Ambientes CooperativosCooperativosCooperativosCooperativos • Perigo das triangulações. • Aumento da complexidade em controlar os acessos em diferentes níveis. • Os diferentes níveis de acesso somados ao perigo das triangulações.• Os usuários da Internet podem chegar a uma organização, caso outras organizações tenham acesso. TriangulaçõesTriangulaçõesTriangulaçõesTriangulações 08/08/2013 14 Diversidade de Níveis de AcessosDiversidade de Níveis de AcessosDiversidade de Níveis de AcessosDiversidade de Níveis de Acessos Um Modelo de SegurançaUm Modelo de SegurançaUm Modelo de SegurançaUm Modelo de Segurança • A divisão entre os diferentes tipos de usuários, os desafios a serem enfrentados no ambiente cooperativo e a complexidade que envolve a segurança desses ambientes são analisados, do ponto de vista de um modelo de segurança para os ambientes cooperativos. 08/08/2013 15 Um Modelo de SegurançaUm Modelo de SegurançaUm Modelo de SegurançaUm Modelo de Segurança • O propósito do modelo é como obter segurança em um ambiente cooperativo. • Gerenciar todo o processo de segurança, visualizando a situação da segurança em todos os seus aspectos. Fatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurança • Entender a natureza dos ataques é fundamental. • Fragilidade da tecnologia existente. • Novas tecnologias trazem novas vulnerabilidades. • Novas formas de ataques são criadas. 08/08/2013 16 Fatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurança • Aumento da conectividade resulta em novas possibilidades de ataques. • Existência de ataques direcionados como os oportunísticos. • Fazer a defesa é mais complexa do que o ataque. • Aumento dos crimes digitais. Fatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurança • A falta de uma classificação das informações quanto ao seu valor e a sua confiabilidade, para a definição de uma estratégia de segurança. • Controle de acesso mal definido. • A Internet é um ambiente hostil, e portanto, não confiável. 08/08/2013 17 Fatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurançaFatores que justificam a segurança • As informações, as senhas e os e-mails que trafegam na rede podem ser capturados. • A interação entre diferentes ambientes resulta na multiplicação dos pontos vulneráveis. A abrangência da SegurançaA abrangência da SegurançaA abrangência da SegurançaA abrangência da Segurança 08/08/2013 18 Segurança x FuncionalidadesSegurança x FuncionalidadesSegurança x FuncionalidadesSegurança x Funcionalidades • Segurança pode ser comprometida pelos seguintes fatores: – Exploração de vulnerabilidades em SOs. – Exploração dos aspectos humanos das pessoas envolvidas. – Falha no desenvolvimento e implementação de uma política de segurança. – Desenvolvimento de ataques mais sofisticados. • Segurança é inversamente proporcional as funcionalidades (serviços, aplicativos, o aumento da complexidade das conexões, ...) Aspectos da Segurança da InformaçãoAspectos da Segurança da InformaçãoAspectos da Segurança da InformaçãoAspectos da Segurança da Informação 08/08/2013 19 Segurança x ProdutividadeSegurança x ProdutividadeSegurança x ProdutividadeSegurança x Produtividade • A administração da segurança deve ser dimensionada, sem que a produtividade dos usuários seja afetada. • Geralmente, a segurança é antagônica à produtividade dos usuários, no sentido de que , quanto maiores as funcionalidades, mais vulnerabilidades existem. Objetivo FinalObjetivo FinalObjetivo FinalObjetivo Final • A tentativa de estabelecer uma rede totalmente segura não é conveniente. • As organizações devem definir o nível de segurança, de acordo com suas necessidades, já assumindo riscos. • Construir um sistema altamente confiável, que seja capaz de dificultar ataques mais casuais. 08/08/2013 20 Problemas de Segurança • Atividade: – Listar possíveis problemas de segurança da ULBRA – Cachoeira do Sul Atividade Para EntregarAtividade Para EntregarAtividade Para EntregarAtividade Para Entregar • Enviar por e-mail para daniel@biasoli.com • Assunto: [Trabalho01 – SEGURANÇA DA INFORMAÇÃO] Nomes • No corpo enviar os nomes dos representantes do grupo • Anexar o arquivo com o trabalho • Entregar até o final da aula • Máximo 3 alunos • Proposta: Realização de um plano de segurança para um ambiente cooperativo, baseados nos problemas apontados em aula, conforme atividade do Slide 31 da AULA 02, em 08/08/2013. • Descrição: Elaborar políticas para um Plano de Segurança da Informação para a ULBRA (todos os campus). O trabalho deverá destacar políticas quanto a responsabilidades específicas de colaboradores em geral, gestores, monitoramento e auditoria do ambiente, correio eletrônico, internet, identificação, computadores e recursos tecnológicos, dispositivos móveis, datacenter (se houver), política de backups e utilização dos labins. 08/08/2013 21 Tópicos do Plano de SegurançaTópicos do Plano de SegurançaTópicos do Plano de SegurançaTópicos do Plano de Segurança • Objetivos e Planos Gerais da Empresa • Recursos de Processamento de Dados • Filosofia e Projetos de Custos-Benefícios • Recursos Humanos • Infra-estrutura da área de sistemas: organização, metodologias, padrões e práticas de trabalho.
Compartilhar