1_IntroducaoSeguranca

Prévia do material em texto

Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Introdução à Segurança de Introdução à Segurança de 
SistemasSistemas
Aula 1
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Conceito de SegurançaConceito de Segurança
Estado, qualidade ou condição de uma pessoa ou coisa que está 
livre de perigos, de incertezas, assegurada de danos e riscos 
eventuais, afastada de todo mal (Dicionário Houaiss).
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Conceito de Segurança da InformaçãoConceito de Segurança da Informação
Refere-se a todas as normas, procedimentos, ferramentas e técnicas 
usadas para proteger os sistemas de informação contra acessos não 
autorizados, alterações, roubos e danos físicos.
É a garantia de que todos os tipos de informações que veiculam na 
empresa estejam protegidas dos diversos tipos de ameaças que 
possam prejudicar a continuidade do negócio.
Área do conhecimento dedicada à proteção de ativos da informação 
contra acessos não autorizados, alterações indevidas ou sua 
indisponibilidade (SÊMOLA, 2003).
Ativos: recursos, pessoas, bens e serviços que a empresa possui e que 
geram receita. 
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Valor de uma informaçãoValor de uma informação
Como avaliar?
Termos mensuráveis
Valor financeiro
Lucro que ela provê
Custo de substitui-la
Termos não mensuráveis
Relação com a credibilidade da organização
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Objetivos da Segurança da Informação Objetivos da Segurança da Informação 
Três principais objetivos:
Confidencialidade
Garantia de que a informação é acessível somente por pessoas 
autorizadas.
Integridade
Garantia da exatidão e completeza da informação e dos métodos de 
processamento.
Disponibilidade
Garantia de que os usuários autorizados obtenham acesso à 
informação e aos ativos correspondentes sempre que necessário.
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Objetivos da Segurança da Informação Objetivos da Segurança da Informação 
Autenticidade
Garantir que um usuário é de fato quem alega ser;
Não-repúdio
Capacidade do sistema de provar que um usuário executou uma 
determinada ação;
Legalidade
Garantir que o sistema esteja aderente à legislação pertinente
Privacidade
Capacidade de um sistema manter anônimo um usuário, 
impossibilitando o relacionamento entre o usuário e suas ações (Por 
exemplo: voto eletrônico)
Auditoria
Capacidade do sistema de auditar tudo o que foi realizado pelos 
usuários, detectando fraudes ou tentativas de ataque
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Conceitos relacionados à Segurança da InformaçãoConceitos relacionados à Segurança da Informação
Incidente de Segurança
É a ocorrência de um evento que possa causar interrupções nos 
processos de negócio em consequencia da violação de algum dos 
objetivos da Segurança da Informação
Ativo de informação
Composto pela informação e tudo aquilo que a suporta ou se utiliza 
dela
Ataque
Um tipo de incidente de segurança caracterizado pela existência de um 
agente que busca obter algum tipo de retorno, atingindo algum ativo 
de valor
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
VulnerabilidadesVulnerabilidades
Ausência de quaisquer mecanismos de proteção;
Configurações mal feitas nos mecanismos existentes;
Existência de mecanismos inadequados de proteção;
Falhas (brechas) nas normas da organização;
Ausência (ou deficiência) de uma “cultura” de segurança.
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
AmeaçaAmeaça
É um ataque potencial a um ativo da informação
É um agente externo que, aproveitando-se da vulnerabilidade, poderá 
quebrar um ou mais dos três princípios de segurança da informação
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Tipos de AmeaçasTipos de Ameaças
Natural
Fenômenos meteorológicos.
Acidental
Erros de usuários;
Falhas de sistemas;
Falta de energia elétrica.
Intencional
Invasões;
Espionagem;
Extorsão;
Terrorismo.
Fatores humanos
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
ImpactoImpacto
Prejuízo decorrente da concretização de uma ameaça
Geralmente, prejuízo “moral” e/ou financeiro.
Desvantagem competitiva;
Perdas diretas no negócio;
Perda da confiança de clientes e parceiros;
Responsabilidades legais.
Pode variar de acordo com o tipo de ameaça ou o ativo afetado.
Ex.: maior impacto: incêndio ou roubo?
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
RiscoRisco
AMEAÇA
ATIVOS
IMPACTO
Probabilidade?
Probabilidade de uma 
ameaça se concretizar 
juntamente com o 
impacto que estas 
ameaças trarão
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Abrangência da SegurançaAbrangência da Segurança
Ativos de informação
Bases de dados;
Arquivos;
Documentação de sistemas;
Informações em geral.
Ativos de software
Aplicativos;
Sistemas operacionais;
Ferramentas de desenvolvimento.
Pessoas
Indivíduos que utilizam a infra-estrutura 
tecnológica.
Ativos físicos
Equipamentos computacionais;
Equipamentos de comunicação;
Mídias;
Acomodações;
Equipamentos técnicos.
Serviços
Comunicação;
Processamento de informações;
Armazenamento de informações.
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
MotivaçãoMotivação
 Papel crescente das informações nos negócios
 Mercados globais
 Avanço da Internet
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Problema... Problema... 
A dificuldade da percepção da importância da Segurança pelos 
gestores das empresas.
Só se repara na segurança quando algum desastre acontece.
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
EstatísticasEstatísticas
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil 
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Incidentes Reportados em 2011Incidentes Reportados em 2011
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Incidentes Reportados em 2011Incidentes Reportados em 2011
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139Prof. Rêmulo Maia Alves
Incidentes reportados em 2011Incidentes reportados em 2011
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Estatística de SPAM de 2003 a 2011Estatística de SPAM de 2003 a 2011
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Grupos de Segurança e Resposta a Incidentes (CSIRTs) BrasileirosGrupos de Segurança e Resposta a Incidentes (CSIRTs) Brasileiros
Grupo de Resposta a Incidentes de Segurança em Computadores, geralmente 
conhecido como CSIRT (do inglês "Computer Security Incident Response Team") 
é uma das camadas criadas dentro da estratégia segurança.
As motivações para o estabelecimento de CSIRTs incluem:
aumento generalizado na quantidade de incidentes de segurança sendo 
reportados
aumento generalizado na quantidade e variedade de organizações sendo 
afetadas por incidentes de segurança em computadores
uma maior consciência, por parte das organizações, da necessidade de políticas 
e práticas de segurança como parte das suas estratégias globais de 
gerenciamento de riscos
novas leis e regulamentos que afetam a maneira como as organizações 
precisam proteger as suas informações
a percepção de que administradores de redes e sistemas não podem proteger 
sozinhos os sistemas e as informações da organização
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Grupos de Segurança e Resposta a Incidentes (CSIRTs) BrasileirosGrupos de Segurança e Resposta a Incidentes (CSIRTs) Brasileiros
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
O que deve ser protegido?
Contra o que será necessário proteger?
Como será feita a proteção?
Que nível de segurança é necessário?
A implantação da segurança é viável (custo/benefício)?
Quem será responsável pela gestão da segurança?
PERGUNTAS... PERGUNTAS... 
Bacharelado em Sistemas de Informação - DCC/UFLA
Disciplina: Segurança e Auditoria de Sistemas de Informação - GCC139
Prof. Rêmulo Maia Alves
Pecados praticados em relação à Segurança Pecados praticados em relação à Segurança 
da Informaçãoda Informação
Atribuir a SI exclusivamente à área tecnológica;
Elaborar planos de ação orientados somente à reatividade;
Não perceber a interferência direta da segurança com o negócio
Tratar as atividades/ferramentas de segurança como despesa e 
não como investimento
A Segurança pode agregar valor aos negócios na medida em 
que pode estabelecer interações confiáveis com clientes e 
parceiros.
Adotar ferramentas pontuais como medida paliativa;
Não cultivar corporativamente a mentalidade de segurança;
Tratar a segurança como um projeto e não como um processo.
	Slide 1
	Conceito de Segurança
	Conceito de Segurança da Informação
	Valor de uma informação
	Objetivos da Segurança da Informação 
	Slide 6
	Conceitos relacionados à Segurança da Informação
	Vulnerabilidades
	Tipos de Ameaças
	Slide 10
	Impacto
	Risco
	Abrangência da Segurança
	Motivação
	Problema... 
	Estatísticas
	Incidentes Reportados em 2011
	Incidentes Reportados em 2011
	Incidentes reportados em 2011
	Estatística de SPAM de 2003 a 2011
	Slide 21
	Slide 22
	Slide 23
	Slide 24
	PERGUNTAS... 
	Pecados praticados em relação à Segurança da Informação