Baixe o app para aproveitar ainda mais
Prévia do material em texto
Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Introdução à Segurança de Introdução à Segurança de SistemasSistemas Aula 1 Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Conceito de SegurançaConceito de Segurança Estado, qualidade ou condição de uma pessoa ou coisa que está livre de perigos, de incertezas, assegurada de danos e riscos eventuais, afastada de todo mal (Dicionário Houaiss). Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Conceito de Segurança da InformaçãoConceito de Segurança da Informação Refere-se a todas as normas, procedimentos, ferramentas e técnicas usadas para proteger os sistemas de informação contra acessos não autorizados, alterações, roubos e danos físicos. É a garantia de que todos os tipos de informações que veiculam na empresa estejam protegidas dos diversos tipos de ameaças que possam prejudicar a continuidade do negócio. Área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003). Ativos: recursos, pessoas, bens e serviços que a empresa possui e que geram receita. Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Valor de uma informaçãoValor de uma informação Como avaliar? Termos mensuráveis Valor financeiro Lucro que ela provê Custo de substitui-la Termos não mensuráveis Relação com a credibilidade da organização Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Objetivos da Segurança da Informação Objetivos da Segurança da Informação Três principais objetivos: Confidencialidade Garantia de que a informação é acessível somente por pessoas autorizadas. Integridade Garantia da exatidão e completeza da informação e dos métodos de processamento. Disponibilidade Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Objetivos da Segurança da Informação Objetivos da Segurança da Informação Autenticidade Garantir que um usuário é de fato quem alega ser; Não-repúdio Capacidade do sistema de provar que um usuário executou uma determinada ação; Legalidade Garantir que o sistema esteja aderente à legislação pertinente Privacidade Capacidade de um sistema manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações (Por exemplo: voto eletrônico) Auditoria Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Conceitos relacionados à Segurança da InformaçãoConceitos relacionados à Segurança da Informação Incidente de Segurança É a ocorrência de um evento que possa causar interrupções nos processos de negócio em consequencia da violação de algum dos objetivos da Segurança da Informação Ativo de informação Composto pela informação e tudo aquilo que a suporta ou se utiliza dela Ataque Um tipo de incidente de segurança caracterizado pela existência de um agente que busca obter algum tipo de retorno, atingindo algum ativo de valor Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves VulnerabilidadesVulnerabilidades Ausência de quaisquer mecanismos de proteção; Configurações mal feitas nos mecanismos existentes; Existência de mecanismos inadequados de proteção; Falhas (brechas) nas normas da organização; Ausência (ou deficiência) de uma “cultura” de segurança. Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves AmeaçaAmeaça É um ataque potencial a um ativo da informação É um agente externo que, aproveitando-se da vulnerabilidade, poderá quebrar um ou mais dos três princípios de segurança da informação Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Tipos de AmeaçasTipos de Ameaças Natural Fenômenos meteorológicos. Acidental Erros de usuários; Falhas de sistemas; Falta de energia elétrica. Intencional Invasões; Espionagem; Extorsão; Terrorismo. Fatores humanos Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves ImpactoImpacto Prejuízo decorrente da concretização de uma ameaça Geralmente, prejuízo “moral” e/ou financeiro. Desvantagem competitiva; Perdas diretas no negócio; Perda da confiança de clientes e parceiros; Responsabilidades legais. Pode variar de acordo com o tipo de ameaça ou o ativo afetado. Ex.: maior impacto: incêndio ou roubo? Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves RiscoRisco AMEAÇA ATIVOS IMPACTO Probabilidade? Probabilidade de uma ameaça se concretizar juntamente com o impacto que estas ameaças trarão Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Abrangência da SegurançaAbrangência da Segurança Ativos de informação Bases de dados; Arquivos; Documentação de sistemas; Informações em geral. Ativos de software Aplicativos; Sistemas operacionais; Ferramentas de desenvolvimento. Pessoas Indivíduos que utilizam a infra-estrutura tecnológica. Ativos físicos Equipamentos computacionais; Equipamentos de comunicação; Mídias; Acomodações; Equipamentos técnicos. Serviços Comunicação; Processamento de informações; Armazenamento de informações. Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves MotivaçãoMotivação Papel crescente das informações nos negócios Mercados globais Avanço da Internet Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Problema... Problema... A dificuldade da percepção da importância da Segurança pelos gestores das empresas. Só se repara na segurança quando algum desastre acontece. Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves EstatísticasEstatísticas Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Incidentes Reportados em 2011Incidentes Reportados em 2011 Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Incidentes Reportados em 2011Incidentes Reportados em 2011 Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139Prof. Rêmulo Maia Alves Incidentes reportados em 2011Incidentes reportados em 2011 Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Estatística de SPAM de 2003 a 2011Estatística de SPAM de 2003 a 2011 Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Grupos de Segurança e Resposta a Incidentes (CSIRTs) BrasileirosGrupos de Segurança e Resposta a Incidentes (CSIRTs) Brasileiros Grupo de Resposta a Incidentes de Segurança em Computadores, geralmente conhecido como CSIRT (do inglês "Computer Security Incident Response Team") é uma das camadas criadas dentro da estratégia segurança. As motivações para o estabelecimento de CSIRTs incluem: aumento generalizado na quantidade de incidentes de segurança sendo reportados aumento generalizado na quantidade e variedade de organizações sendo afetadas por incidentes de segurança em computadores uma maior consciência, por parte das organizações, da necessidade de políticas e práticas de segurança como parte das suas estratégias globais de gerenciamento de riscos novas leis e regulamentos que afetam a maneira como as organizações precisam proteger as suas informações a percepção de que administradores de redes e sistemas não podem proteger sozinhos os sistemas e as informações da organização Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Grupos de Segurança e Resposta a Incidentes (CSIRTs) BrasileirosGrupos de Segurança e Resposta a Incidentes (CSIRTs) Brasileiros Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves O que deve ser protegido? Contra o que será necessário proteger? Como será feita a proteção? Que nível de segurança é necessário? A implantação da segurança é viável (custo/benefício)? Quem será responsável pela gestão da segurança? PERGUNTAS... PERGUNTAS... Bacharelado em Sistemas de Informação - DCC/UFLA Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139 Prof. Rêmulo Maia Alves Pecados praticados em relação à Segurança Pecados praticados em relação à Segurança da Informaçãoda Informação Atribuir a SI exclusivamente à área tecnológica; Elaborar planos de ação orientados somente à reatividade; Não perceber a interferência direta da segurança com o negócio Tratar as atividades/ferramentas de segurança como despesa e não como investimento A Segurança pode agregar valor aos negócios na medida em que pode estabelecer interações confiáveis com clientes e parceiros. Adotar ferramentas pontuais como medida paliativa; Não cultivar corporativamente a mentalidade de segurança; Tratar a segurança como um projeto e não como um processo. Slide 1 Conceito de Segurança Conceito de Segurança da Informação Valor de uma informação Objetivos da Segurança da Informação Slide 6 Conceitos relacionados à Segurança da Informação Vulnerabilidades Tipos de Ameaças Slide 10 Impacto Risco Abrangência da Segurança Motivação Problema... Estatísticas Incidentes Reportados em 2011 Incidentes Reportados em 2011 Incidentes reportados em 2011 Estatística de SPAM de 2003 a 2011 Slide 21 Slide 22 Slide 23 Slide 24 PERGUNTAS... Pecados praticados em relação à Segurança da Informação
Compartilhar