Aula_07

Prévia do material em texto

7.1 
Fundamentos dos Sistemas de Informação 
Segurança em Sistemas 
de Informação 
7.2 
OBJETIVOS DE ESTUDO 
• Analisar por que sistemas de informação 
precisam de proteção especial contra destruição, 
erros e uso indevido 
• Avaliar o valor empresarial da segurança e do 
controle 
• Projetar uma estrutura organizacional para 
segurança e controle 
• Avaliar as mais importantes tecnologias e 
ferramentas disponíveis para salvaguardar 
recursos de informação 
Fundamentos dos Sistemas de Informação 
7.3 
SISTEMAS DE INFORMAÇÃO E A SUA 
IMPORTÂNCIA 
• O papel estratégico dos sistemas de informação 
nas empresas cresce a cada dia e envolve a 
utilização de tecnologia da informação para 
desenvolver produtos, serviços e capacidades 
que confiram a esta empresa vantagens 
estratégicas sobre as forças competitivas que ela 
enfrenta no mercado mundial. 
 
7.4 
RAZÕES FUNDAMENTAIS 
• Apoio às Operações e aos processos; 
 
• Apoio à tomada de decisão empresarial; 
 
• Apoio às Estratégias para vantagem 
competitiva; 
 
 
 
 
7.5 
DEFINIÇÃO 
• Segurança da Informação: 
 
Trata-se da proteção, dispensada aos dados e 
informações, contra ações não autorizadas relativas à 
divulgação, transferência, modificação ou destruição 
destes, sejam estas ações intencionais ou acidentais. 
 
 
 
7.6 
OUTRA DEFINIÇÃO 
• Condição em que pessoas, instalações, 
equipamentos, sistemas básicos, sistemas 
aplicativos, dados, informações e outros 
recursos significativos encontram-se a salvo 
de desastres ou ameaças naturais, bem como 
de desastres ou ameaças causados pelo 
homem. 
 
 
 
7.7 
SOBRE O PRISMA 
ORGANIZACIONAL 
• Segurança da Informação está relacionada à proteção dos 
ativos. 
 Todas as informações processadas por uma organização, 
bem como os equipamentos e sistemas utilizados para o 
processamento destas, representam ativos valiosos, no 
sentido em que a continuidade do funcionamento da 
organização pode depender da preservação destes 
ativos. 
 
 
 
 
7.8 
SOBRE O PRISMA LEGAL 
• Garantir a exatidão, a integridade e a 
disponibilidade das informações da 
organização (ex: para o fisco); 
• Garantir a confidencialidade e a privacidade 
dos dados mantidos relativos a seus clientes, 
fornecedores e funcionários (ex: bancos) 
 
 
 
7.9 
ATIVOS 
• Um ativo é qualquer coisa que tenha valor 
para a organização. 
 
Classificação: 
 
-Tangíveis: Aplicativos, Equipamentos, Usuários 
-Intangíveis: Marca, Imagem, Confiabilidade 
 
 
 
 
 
 
 
 
7.10 
PROTEÇÃO 
Classificação: 
-Prevenção: Evita que acidentes ocorram 
-Desencorajamento: Desencoraja a prática de ações 
-Monitoramento: Monitora estado e funcionamento 
-Detecção: Detecta a ocorrência de incidentes 
 
 
 
 
 
 
 
 
7.11 
PROTEÇÃO 
 
- Limitação: Diminui danos causados 
- Reação: Reage a determinados incidentes 
- Correção: Repara falhas existentes 
- Recuperação: Repara danos causados por incidentes 
 
 
 
 
 
 
 
 
7.12 
PRINCÍPIOS 
• Confidencialidade 
- Trata-se da manutenção do segredo, do sigilo ou da 
privacidade das informações; 
- Esta propriedade indica que os dados e informações não 
deveriam ser acessíveis a, ficar disponíveis para ou ser 
divulgados a usuários, entidades, sistemas ou 
processos não autorizados e aprovados. 
 
 
 
 
 
 
 
7.13 
• Integridade 
- Trata-se da manutenção das informações tal e qual 
tenham sido geradas; 
- Esta propriedade indica que os dados e informações não 
deveriam ser alterados ou destruídos de maneira não 
autorizada e aprovada. 
 
 
 
 
 
 
 
PRINCÍPIOS 
7.14 
• Disponibilidade 
- Trata-se da possibilidade de acesso contínuo, 
ininterrupto, constante e atemporal às informações; 
- Esta propriedade indica que o acesso aos serviços 
oferecidos pelo sistema deveria ser sempre possível para 
um usuário, entidade, sistema ou processo autorizado e 
aprovado. 
 
 
 
 
 
 
PRINCÍPIOS 
7.15 
Fatores que impactam na 
Segurança 
Valor: Importância do ativo para a organização. 
Ameaça: Evento que tem potencial em si próprio para 
comprometer os objetivos da organização, seja trazendo 
danos diretos aos ativos ou prejuízos decorrentes de 
situações inesperadas. 
 
 
 
 
 
 
 
7.16 
Fatores que impactam na 
Segurança 
Vulnerabilidade: A ausência de um mecanismo de proteção ou 
falhas em um mecanismo de proteção existente. São as 
vulnerabilidades que permitem que as ameaças se concretizem. 
O que irá determinar se uma invasão de computador pode ou não 
afetar os negócios de uma empresa é a ausência ou existência de 
mecanismos de prevenção, detecção e eliminação, além do 
correto funcionamento destes mecanismos. 
 
 
 
 
 
 
 
7.17 
Fatores que impactam na 
Segurança 
Impacto: Tamanho do prejuízo, medido através de 
propriedades mensuráveis ou abstratas , que a 
concretização de uma determinada ameaça causará; 
Devemos levar em consideração que diferentes ameaças 
possuem impactos diferentes e que dependendo do ativo 
afetado, podemos ter também impactos diferentes para 
uma mesma ameaça. 
 
 
 
 
 
 
 
7.18 
Fatores que impactam na 
Segurança 
• Exemplo – assalto a residência 
Ativos: Objetos existentes na casa. 
Vulnerabilidade: Porta com fechadura simples. 
Ameaça: Pode haver um arrombamento e assalto. 
Impactos: Perda de conforto, necessidade de comprar 
tudo de novo. 
Contra-medidas: Fechadura quádrupla, portas e janelas 
blindadas, alarme, cachorro, vigia, seguro, etc. 
 
 
 
 
 
 
 
 
7.19 
Problema de Segurança 
• A perda de qualquer aspecto de segurança 
importante para minha organização. 
 
 
 
 
 
 
 
7.20 
Vulnerabilidade dos Sistemas e Uso Indevido 
 
• Um computador desprotegido conectado à Internet 
pode ser danificado em poucos segundos 
• Segurança: políticas, procedimentos e medidas 
técnicas usados para impedir acesso não 
autorizado, alteração, roubo ou danos físicos a 
sistemas de informação 
• Controles: métodos, políticas e procedimentos 
organizacionais que garantem a segurança dos 
ativos da organização, a precisão e a 
confiabilidade de seus registros contábeis e a 
adesão operacional aos padrões administrativos 
Problema de Segurança 
7.21 
Tipos de Problema de Segurança 
• Desastres naturais: tempestades, inundações, 
incêndio, etc. 
• Operação incorreta : erro do usuário ou administrador 
do sistema. 
• Ataque ao sistema: visando algum lucro; 
 
 
 
 
 
 
 
 
7.22 
Por que os Sistemas São Vulneráveis 
 
• Problemas de hardware (quebras, erros de 
configuração, danos por uso impróprio ou crime) 
• Problemas de software (erros de programação, 
erros de instalação, mudanças não autorizadas) 
• Desastres (quedas de energia, enchentes, 
incêndios etc.) 
• Vulnerabilidades da Internet 
• Desafios da segurança sem fio 
 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.23 
Vulnerabilidades e Desafios de Segurança Contemporâneos 
Figura 7.1 
Normalmente, a arquitetura de uma aplicação baseada na 
Web inclui um cliente Web, um servidor e sistemas de 
informação corporativos conectados a bancos de dados. 
Cada um desses componentes apresenta vulnerabilidades 
e desafios de segurança. Enchentes, incêndios, quedasde 
energia e outros problemas técnicos podem causar 
interrupções em qualquer ponto da rede. 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.24 
Software Mal-intencionado: Vírus, Worms, Cavalos 
de Tróia e Spyware 
 
• Malware 
• Vírus 
• Worms 
• Cavalos de Tróia 
• Spyware 
• Key loggers (registradores de teclas) 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.25 
Hackers e Cibervandalismo 
 
• Hackers versus crackers 
• Cibervandalismo 
• Spoofing 
• Sniffing 
• Ataque de recusa de serviço (DoS) 
• Ataque Distribuído de Recusa de Serviço (DDoS) 
• Botnets (‘redes de robôs’) 
 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.26 
Crimes de Informática e Ciberterrorismo 
 
• Crime de informática: ‘Quaisquer violações da 
legislação criminal que envolvam um conhecimento 
de tecnologia da informática em sua perpetração, 
investigação ou instauração de processo’ – 
Departamento de Justiça dos Estados Unidos 
• As empresas norte-americanas perdem 14 bilhões de 
dólares por ano para o cibercrime 
• Roubo de identidade (phishing, evil twins, pharming, 
uso indevido do computador [spamming]) 
• Ciberterrorismo e guerra cibernética 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.27 
Prejuízo Mundial Causado por Ataques Digitais 
Figura 7.3 
Este gráfico mostra a média anual estimada 
dos prejuízos causados por hacker, 
malware e spam no âmbito mundial, desde 
1998. Os números baseiam-se em dados 
do mi2G e dos autores. 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.28 
Sistema Brasileiro de Defesa Cibernética 
Figura 7.3 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.29 
Figura 7.4 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.30 
Ameaças Internas: Funcionários 
 
• Ameaças à segurança freqüentemente se originam 
dentro da empresa 
• Engenharia social 
Vulnerabilidades do Software 
 
• Softwares comerciais contêm falhas que criam 
vulnerabilidades de segurança 
• Patches (remendos) 
Vulnerabilidade dos Sistemas e Uso Indevido 
Problema de Segurança 
7.31 
 
• O não funcionamento dos sistemas de computador 
pode levar a perdas significativas ou totais das 
funções empresariais 
• As empresas estão agora mais vulneráveis do que 
nunca 
• Uma brecha de segurança pode reduzir o valor de 
mercado de uma empresa quase imediatamente 
• Segurança e controles inadequados também 
produzem problemas de confiabilidade 
 
Valor Empresarial da Segurança e do Controle 
Problema de Segurança 
7.32 
Requisitos Legais e Regulatórios para o 
Gerenciamento de Registros Eletrônicos 
 
• Gerenciamento de registros eletrônicos (electronic 
records management — ERM): políticas, 
procedimentos e ferramentas para gerenciar a 
retenção, a distribuição e o armazenamento de 
registros eletrônicos 
• HIPAA 
• Lei Gramm-Leach-Bliley 
• Lei Sarbanes-Oxley 
Valor Empresarial da Segurança e do Controle 
Problema de Segurança 
7.33 
Prova Eletrônica e Perícia Forense Computacional 
 
• Grande parte das provas para ações legais são 
encontradas hoje em formato digital 
• O controle adequado de dados pode economizar 
dinheiro quando for necessário apresentar 
informações 
• Perícia forense computacional: procedimento 
científico de coleta, exame, autenticação, 
preservação e análise de dados mantidos em — ou 
recuperados por — meios de armazenamento digital, 
de tal maneira que as informações possam ser 
usadas como prova em juízo 
• Dados ambientes 
Valor Empresarial da Segurança e do Controle 
Problema de Segurança 
7.34 
Como Estabelecer uma Estrutura para Segurança e Controle 
 
• ISO 17799 
• Avaliação de risco 
• Política de segurança 
• Chief security officer (CSO) 
• Política de uso aceitável (AUP) 
• Políticas de autorização 
• Sistemas de gerenciamento de autorização 
Problema de Segurança 
7.35 
Como Assegurar a Continuidade dos Negócios 
 
• Downtime 
• Sistemas de computação tolerantes a falhas 
• Computação de alta disponibilidade 
• Computação orientada a recuperação 
• Plano da recuperação de desastres 
• Plano de continuidade dos negócios 
• Outsourcing da segurança (provedores de serviços 
de segurança gerenciada) 
Como Estabelecer uma Estrutura para Segurança e Controle 
Problema de Segurança 
7.36 
O Papel da Auditoria no Processo de Controle 
 
• Auditoria de sistemas 
• Identifica todos os controles que governam 
sistemas individuais de informação e avalia sua 
efetividade. 
• O auditor entrevista indivíduos-chave e examina 
os controles de aplicação, os controles gerais 
de integridade e as disciplinas de controle. 
Como Estabelecer uma Estrutura para Segurança e Controle 
Problema de Segurança 
7.37 
Controle de Acesso 
Tecnologias e Ferramentas para Garantir a Segurança 
 
• Autenticação 
• Tokens 
• Smart cards 
• Autenticação biométrica 
Problema de Segurança 
7.38 
• Firewall: a combinação de hardware e software 
que controla o fluxo de tráfego que entra ou sai 
da rede 
• Sistemas de detecção de invasão monitoram em 
redes corporativas para detectar e deter intrusos 
• Software antivírus e antispyware software verifica 
a presença de malware em computadores e 
freqüentemente também é capaz de eliminá-lo 
Firewalls, Sistemas de Detecção de Invasão e 
Software Antivírus 
Tecnologias e Ferramentas para 
Garantir a Segurança 
7.39 
Um Firewall Corporativo 
Figura 7.6 
O firewall é colocado entre a Internet 
pública ou outra rede pouco confiável e a 
rede privada da empresa, com a intenção 
de proteger esta contra tráfego não 
autorizado. 
Tecnologias e Ferramentas para Garantir a Segurança 
Tecnologias e Ferramentas para 
Garantir a Segurança 
7.40 
• A segurança WEP pode ser melhorada quando 
usada com a tecnologia VPN 
• Especificações Wi-Fi Alliance/Acesso Protegido 
(WPA) 
• Protocolo de Autenticação Extensível (EAP) 
• Proteção contra redes falsas 
Segurança em Redes Sem Fio 
Tecnologias e Ferramentas para Garantir a Segurança 
Tecnologias e Ferramentas para 
Garantir a Segurança 
7.41 
• Criptografia: transformar textos comuns ou dados em 
um texto cifrado, que não possa ser lido por ninguém 
a não ser o remetente e o destinatário desejado 
• Secure Sockets Layer (SSL) 
• Transport Layer Security (TLS) 
• Secure Hypertext Transfer Protocol (S-HTTP) 
• Criptografia de chave pública 
• Assinatura digital 
• Certificado digital 
• Intra-estrutura de chave pública (PKI) 
Criptografia e Infra-Estrutura de Chave Pública 
Tecnologias e Ferramentas para Garantir a Segurança 
Sistemas de Informação Gerenciais 
Capítulo 7 Segurança em Sistemas de Informação