Prévia do material em texto
7.1 Fundamentos dos Sistemas de Informação Segurança em Sistemas de Informação 7.2 OBJETIVOS DE ESTUDO • Analisar por que sistemas de informação precisam de proteção especial contra destruição, erros e uso indevido • Avaliar o valor empresarial da segurança e do controle • Projetar uma estrutura organizacional para segurança e controle • Avaliar as mais importantes tecnologias e ferramentas disponíveis para salvaguardar recursos de informação Fundamentos dos Sistemas de Informação 7.3 SISTEMAS DE INFORMAÇÃO E A SUA IMPORTÂNCIA • O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos, serviços e capacidades que confiram a esta empresa vantagens estratégicas sobre as forças competitivas que ela enfrenta no mercado mundial. 7.4 RAZÕES FUNDAMENTAIS • Apoio às Operações e aos processos; • Apoio à tomada de decisão empresarial; • Apoio às Estratégias para vantagem competitiva; 7.5 DEFINIÇÃO • Segurança da Informação: Trata-se da proteção, dispensada aos dados e informações, contra ações não autorizadas relativas à divulgação, transferência, modificação ou destruição destes, sejam estas ações intencionais ou acidentais. 7.6 OUTRA DEFINIÇÃO • Condição em que pessoas, instalações, equipamentos, sistemas básicos, sistemas aplicativos, dados, informações e outros recursos significativos encontram-se a salvo de desastres ou ameaças naturais, bem como de desastres ou ameaças causados pelo homem. 7.7 SOBRE O PRISMA ORGANIZACIONAL • Segurança da Informação está relacionada à proteção dos ativos. Todas as informações processadas por uma organização, bem como os equipamentos e sistemas utilizados para o processamento destas, representam ativos valiosos, no sentido em que a continuidade do funcionamento da organização pode depender da preservação destes ativos. 7.8 SOBRE O PRISMA LEGAL • Garantir a exatidão, a integridade e a disponibilidade das informações da organização (ex: para o fisco); • Garantir a confidencialidade e a privacidade dos dados mantidos relativos a seus clientes, fornecedores e funcionários (ex: bancos) 7.9 ATIVOS • Um ativo é qualquer coisa que tenha valor para a organização. Classificação: -Tangíveis: Aplicativos, Equipamentos, Usuários -Intangíveis: Marca, Imagem, Confiabilidade 7.10 PROTEÇÃO Classificação: -Prevenção: Evita que acidentes ocorram -Desencorajamento: Desencoraja a prática de ações -Monitoramento: Monitora estado e funcionamento -Detecção: Detecta a ocorrência de incidentes 7.11 PROTEÇÃO - Limitação: Diminui danos causados - Reação: Reage a determinados incidentes - Correção: Repara falhas existentes - Recuperação: Repara danos causados por incidentes 7.12 PRINCÍPIOS • Confidencialidade - Trata-se da manutenção do segredo, do sigilo ou da privacidade das informações; - Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. 7.13 • Integridade - Trata-se da manutenção das informações tal e qual tenham sido geradas; - Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada. PRINCÍPIOS 7.14 • Disponibilidade - Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações; - Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. PRINCÍPIOS 7.15 Fatores que impactam na Segurança Valor: Importância do ativo para a organização. Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. 7.16 Fatores que impactam na Segurança Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. O que irá determinar se uma invasão de computador pode ou não afetar os negócios de uma empresa é a ausência ou existência de mecanismos de prevenção, detecção e eliminação, além do correto funcionamento destes mecanismos. 7.17 Fatores que impactam na Segurança Impacto: Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas , que a concretização de uma determinada ameaça causará; Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça. 7.18 Fatores que impactam na Segurança • Exemplo – assalto a residência Ativos: Objetos existentes na casa. Vulnerabilidade: Porta com fechadura simples. Ameaça: Pode haver um arrombamento e assalto. Impactos: Perda de conforto, necessidade de comprar tudo de novo. Contra-medidas: Fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro, etc. 7.19 Problema de Segurança • A perda de qualquer aspecto de segurança importante para minha organização. 7.20 Vulnerabilidade dos Sistemas e Uso Indevido • Um computador desprotegido conectado à Internet pode ser danificado em poucos segundos • Segurança: políticas, procedimentos e medidas técnicas usados para impedir acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação • Controles: métodos, políticas e procedimentos organizacionais que garantem a segurança dos ativos da organização, a precisão e a confiabilidade de seus registros contábeis e a adesão operacional aos padrões administrativos Problema de Segurança 7.21 Tipos de Problema de Segurança • Desastres naturais: tempestades, inundações, incêndio, etc. • Operação incorreta : erro do usuário ou administrador do sistema. • Ataque ao sistema: visando algum lucro; 7.22 Por que os Sistemas São Vulneráveis • Problemas de hardware (quebras, erros de configuração, danos por uso impróprio ou crime) • Problemas de software (erros de programação, erros de instalação, mudanças não autorizadas) • Desastres (quedas de energia, enchentes, incêndios etc.) • Vulnerabilidades da Internet • Desafios da segurança sem fio Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.23 Vulnerabilidades e Desafios de Segurança Contemporâneos Figura 7.1 Normalmente, a arquitetura de uma aplicação baseada na Web inclui um cliente Web, um servidor e sistemas de informação corporativos conectados a bancos de dados. Cada um desses componentes apresenta vulnerabilidades e desafios de segurança. Enchentes, incêndios, quedasde energia e outros problemas técnicos podem causar interrupções em qualquer ponto da rede. Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.24 Software Mal-intencionado: Vírus, Worms, Cavalos de Tróia e Spyware • Malware • Vírus • Worms • Cavalos de Tróia • Spyware • Key loggers (registradores de teclas) Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.25 Hackers e Cibervandalismo • Hackers versus crackers • Cibervandalismo • Spoofing • Sniffing • Ataque de recusa de serviço (DoS) • Ataque Distribuído de Recusa de Serviço (DDoS) • Botnets (‘redes de robôs’) Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.26 Crimes de Informática e Ciberterrorismo • Crime de informática: ‘Quaisquer violações da legislação criminal que envolvam um conhecimento de tecnologia da informática em sua perpetração, investigação ou instauração de processo’ – Departamento de Justiça dos Estados Unidos • As empresas norte-americanas perdem 14 bilhões de dólares por ano para o cibercrime • Roubo de identidade (phishing, evil twins, pharming, uso indevido do computador [spamming]) • Ciberterrorismo e guerra cibernética Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.27 Prejuízo Mundial Causado por Ataques Digitais Figura 7.3 Este gráfico mostra a média anual estimada dos prejuízos causados por hacker, malware e spam no âmbito mundial, desde 1998. Os números baseiam-se em dados do mi2G e dos autores. Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.28 Sistema Brasileiro de Defesa Cibernética Figura 7.3 Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.29 Figura 7.4 Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.30 Ameaças Internas: Funcionários • Ameaças à segurança freqüentemente se originam dentro da empresa • Engenharia social Vulnerabilidades do Software • Softwares comerciais contêm falhas que criam vulnerabilidades de segurança • Patches (remendos) Vulnerabilidade dos Sistemas e Uso Indevido Problema de Segurança 7.31 • O não funcionamento dos sistemas de computador pode levar a perdas significativas ou totais das funções empresariais • As empresas estão agora mais vulneráveis do que nunca • Uma brecha de segurança pode reduzir o valor de mercado de uma empresa quase imediatamente • Segurança e controles inadequados também produzem problemas de confiabilidade Valor Empresarial da Segurança e do Controle Problema de Segurança 7.32 Requisitos Legais e Regulatórios para o Gerenciamento de Registros Eletrônicos • Gerenciamento de registros eletrônicos (electronic records management — ERM): políticas, procedimentos e ferramentas para gerenciar a retenção, a distribuição e o armazenamento de registros eletrônicos • HIPAA • Lei Gramm-Leach-Bliley • Lei Sarbanes-Oxley Valor Empresarial da Segurança e do Controle Problema de Segurança 7.33 Prova Eletrônica e Perícia Forense Computacional • Grande parte das provas para ações legais são encontradas hoje em formato digital • O controle adequado de dados pode economizar dinheiro quando for necessário apresentar informações • Perícia forense computacional: procedimento científico de coleta, exame, autenticação, preservação e análise de dados mantidos em — ou recuperados por — meios de armazenamento digital, de tal maneira que as informações possam ser usadas como prova em juízo • Dados ambientes Valor Empresarial da Segurança e do Controle Problema de Segurança 7.34 Como Estabelecer uma Estrutura para Segurança e Controle • ISO 17799 • Avaliação de risco • Política de segurança • Chief security officer (CSO) • Política de uso aceitável (AUP) • Políticas de autorização • Sistemas de gerenciamento de autorização Problema de Segurança 7.35 Como Assegurar a Continuidade dos Negócios • Downtime • Sistemas de computação tolerantes a falhas • Computação de alta disponibilidade • Computação orientada a recuperação • Plano da recuperação de desastres • Plano de continuidade dos negócios • Outsourcing da segurança (provedores de serviços de segurança gerenciada) Como Estabelecer uma Estrutura para Segurança e Controle Problema de Segurança 7.36 O Papel da Auditoria no Processo de Controle • Auditoria de sistemas • Identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade. • O auditor entrevista indivíduos-chave e examina os controles de aplicação, os controles gerais de integridade e as disciplinas de controle. Como Estabelecer uma Estrutura para Segurança e Controle Problema de Segurança 7.37 Controle de Acesso Tecnologias e Ferramentas para Garantir a Segurança • Autenticação • Tokens • Smart cards • Autenticação biométrica Problema de Segurança 7.38 • Firewall: a combinação de hardware e software que controla o fluxo de tráfego que entra ou sai da rede • Sistemas de detecção de invasão monitoram em redes corporativas para detectar e deter intrusos • Software antivírus e antispyware software verifica a presença de malware em computadores e freqüentemente também é capaz de eliminá-lo Firewalls, Sistemas de Detecção de Invasão e Software Antivírus Tecnologias e Ferramentas para Garantir a Segurança 7.39 Um Firewall Corporativo Figura 7.6 O firewall é colocado entre a Internet pública ou outra rede pouco confiável e a rede privada da empresa, com a intenção de proteger esta contra tráfego não autorizado. Tecnologias e Ferramentas para Garantir a Segurança Tecnologias e Ferramentas para Garantir a Segurança 7.40 • A segurança WEP pode ser melhorada quando usada com a tecnologia VPN • Especificações Wi-Fi Alliance/Acesso Protegido (WPA) • Protocolo de Autenticação Extensível (EAP) • Proteção contra redes falsas Segurança em Redes Sem Fio Tecnologias e Ferramentas para Garantir a Segurança Tecnologias e Ferramentas para Garantir a Segurança 7.41 • Criptografia: transformar textos comuns ou dados em um texto cifrado, que não possa ser lido por ninguém a não ser o remetente e o destinatário desejado • Secure Sockets Layer (SSL) • Transport Layer Security (TLS) • Secure Hypertext Transfer Protocol (S-HTTP) • Criptografia de chave pública • Assinatura digital • Certificado digital • Intra-estrutura de chave pública (PKI) Criptografia e Infra-Estrutura de Chave Pública Tecnologias e Ferramentas para Garantir a Segurança Sistemas de Informação Gerenciais Capítulo 7 Segurança em Sistemas de Informação