Noções fundamentais Parte I introdução

Prévia do material em texto

Cristiano Diniz
Gestão de Segurança em 
Ambientes de TI
Noções Fundamentais
Parte I
Introdução
Segurança da informação
 Segurança da Informação está relacionada com proteção de um 
conjunto de dados, no sentido de preservar o valor que possuem para 
um indivíduo ou uma organização. 
 Segurança da informação é a proteção da informação de vários tipos de 
ameaças para a preservação da confidencialidade, integridade e 
disponibilidade da informação.
 É uma prática voltada para a eliminação de vulnerabilidades para 
reduzir os riscos de uma ameaça se concretizar no ambiente que quer 
proteger.
Padrões / Normas 
 ISO 27001 e 27002
 Basileia II
 PCI-DSS
 ITIL
 COBIT
 NIST 800 Series
Porque proteger a informação?
 A informação é um ativo que, como 
qualquer outro ativo importante, é 
essencial para os negócios de uma 
organização e consequentemente 
necessita ser adequadamente 
protegida.
Ataques
▪Interno (58% dos ataques) 
 Funcionários Insatisfeitos 
 Funcionários despreparados 
 Espionagem
 ▪Externo 
 Crackers 
 Concorrentes 
 Espionagem 
Macro desafio da Segurança da 
Informação
Base da Segurança da informação
A segurança das informações deve caracterizar-se por preservar:
• Confidencialidade: Para que a informação seja acessível somente por
pessoas autorizadas, garantindo a privacidade de seu possuidor e o sigilo
da informação.
• Integridade: Para manter salvaguarda da exatidão e inteireza da
informação e dos métodos de processamento.
Base da Segurança da informação
• Disponibilidade: Para garantir que informações e serviços
computacionais vitais estejam disponíveis sempre que requeridos.
• Irretratabilidade: Para garantir que as informações sejam autenticas
e que não possam ser repudiadas quanto à sua legalidade
Desafios da segurança na nova economia
• Os fatos
o Negócios estão cada vez mais dependentes da tecnologia da informação;
o Os ambientes estão cada vez mais complexos, heterogêneos e integrados;
o As fraudes são cada vez mais realizadas por meios digitais;
o Marcos regulatórios exigindo controles cada vez mais efetivos sobre os
riscos que TI impõe aos negócios.
Desafios da segurança na nova economia
• As necessidades de Segurança
o A informação, seus processos de apoio, as aplicações que a manipulam, sistemas
de redes e de proteção da infra-estrutura são os mais importantes ativos para os
negócios;
o Mutações acentuadas estão ocorrendo na forma da empresas realizarem
negócios na nova economia;
o Crescimento acentuado dos crimes relacionados à violação de informações.
Desafios da segurança na nova economia
• As necessidades de Segurança
o Tecnologias nunca estiveram tão expostas à vulnerabilidades as quais aumentam
na mesma velocidade de expansão do mercado de TI;
o Riscos aos quais as tecnologias estão expostas transferem-se para os negócios;
o Controles difíceis em ambiente de TI altamente heterogêneo, integrado e
interligado.
Desafios da segurança na nova economia
• As necessidades de Segurança
o A simples Implementação de tecnologia não resolve todos os problemas nem diminuem 
os riscos aos quais estamos expostos;
o Necessidade de controles é iminente. Controles de segurança são mais baratos se 
implementados nas etapas de projeto e especificação de soluções de tecnologia;
o Controles devem ser baseados em processos muito bem estruturados e não somente 
em software.
Desafios da segurança na nova economia
o Controle centralizado;
o Auditabilidade;
o Ambiente padronizado;
o Conhecimento de ameaças e 
vulnerabilidades;
o Pessoal técnico capacitado;
o Velocidade na implementação de 
soluções;
o Integração com o negócio;
o Gestão do investimento.
O desafio
Conceitos de Segurança da Informação
• Segurança da informação protege a informação contra diversos
tipos de ameaças para garantir a continuidade dos negócios,
minimizar os danos aos negócios e maximizar o retorno dos
investimentos e as oportunidades de negócios.
Neste contexto, Informação pode e deve ser tratada como qualquer outro ativo que
sustenta um negócio.
Aspectos da Segurança da Informação
• Alguns elementos são considerados essenciais na prática da segurança da
informação, dependendo do objetivo que se pretende alcançar:
• Autenticação – processo de identificação e reconhecimento formal da
identidade dos elementos que entram em comunicação ou fazem parte de
uma transação eletrônica que permite o acesso à informação.
• Autorização – concessão de uma permissão para o acesso às informações e
funcionalidades das aplicações aos participantes de um processo de troca
de informações.
Aspectos da Segurança da Informação
• Auditoria – processo de coleta de evidências de uso dos recursos existentes, 
a fim de identificar as entidades envolvidas num processo de troca de 
informações, ou seja, a origem, destino e meios de tráfego de uma 
informação. 
• Autenticidade – garantia de que as entidades (informação, máquinas, 
usuários) identificadas em um processo de comunicação como remetentes 
ou autores são exatamente aqueles que dizem ser e que a mensagem ou 
informação não foi alterada após o seu envio ou validação. 
• Legalidade – característica das informações que possuem valor legal dentro 
de um processo de comunicação; 
Aspectos da Segurança da Informação
• Severidade – gravidade do dano que um determinado ativo pode sofrer devido 
à exploração de uma vulnerabilidade por qualquer ameaça aplicável. 
• Relevância do ativo – grau de importância de um ativo para a operacionalização 
de um processo de negócio.
• Relevância do processo de negócio – grau de importância de um processo de 
negócio para o alcance dos objetivos e sobrevivência de uma organização.
• Criticidade – gravidade referente ao impacto ao negócio causado pela ausência 
de um ativo, pela perda ou redução de suas funcionalidades em um processo de 
negócio.
Proteger o ciclo de vida da informação e seus aspectos
A Informação
• Quanto ao manuseio:
• Impressa, falada ou escrita em papel
• Quanto ao armazenamento:
• Armazenada em computador pessoal, em
fita ou disco, em bancos de dados
• Quanto ao transporte:
• Transmitida entre redes, enviada por fax,
falada via telefone, enviada por e-mail
• Quanto ao descarte:
• Descarte das informações por processo
digital - deleção ou Wiping - ou por processo
físico.
Informação
Manuseio
Transporte
ArmazenamentoDescarte Co
nf
id
en
ci
al
id
ad
e Integridade
Disponibilidade
Autenticidade
Legalidade
A FUNÇÃO DA TECNOLOGIA na segurança da 
Informação
As tecnologias são necessárias para 
prover infraestrutura segura e 
ferramentas sobre a qual as 
aplicações serão utilizadas e ainda 
para defender a estrutura de TI e 
negócios contra ataques.
A FUNÇÃO DOS CONTROLES
• Os controles provem forma de monitorar o ambiente para validar o 
funcionamento da estrutura de segurança e mensurar seus 
resultados. Estes controles podem ser políticas, práticas, 
procedimentos ou funções de software e/ou hardware.
As ameaças hoje
o Incidentes de paralisação de negócios;
o Fraudes;
o Vazamento de informações e perdas de imagem;
o Falta de conformidade com marcos regulatórios; 
Crime
organizado
Especuladores
Chantagistas
Ausência e/ou falta
de aderência de controles
Ineficácia de 
controles Engenharia
Social
Agentes de ameaças
Mecanismos de Segurança
 Controles Físicos
 Portas 
 Trancas 
 Paredes 
 Blindagem 
 Guardas 
 Câmeras 
Mecanismos de Segurança
 Controles Lógicos
 Criptografia
 Firewall
 Anti-Vírus
 IDS
 IPS
 Proxy
 Anti-SpamServiços de Segurança
 Criação de Políticas de Segurança;
 Hardening de Servidores;
 Análise de Vulnerabilidade;
 Teste de Invasão;
 Análise de Aplicação;
 Perícia Computacional;
 Treinamento de Colaboradores;
 Auditoria
Defesa em camadas!
Eliminando as vulnerabilidades, 
minimizamos os riscos e
reduzimos os impactos no negócio
Risco tendendo a zero
SEGURANÇA
Papel da Segurança
Ação sobre os ativos
ATIVO:
Tudo que 
manipula 
informação, 
inclusive 
ela própria.
• Infra-estrutura
• Tecnologia
• Aplicações
• Informações
• Pessoas
Ação sobre os ativos
• Soluções pontuais isoladas não resolvem toda o problema
associada à segurança da informação.
• Segurança se faz protegendo todos os elos da corrente, ou seja, 
todos os ativos que compõem seu negócio. Afinal, o poder de 
proteção da corrente está diretamente associado ao elo mais
fraco!
Infraestrutura
Tecnologia
Aplicações
Pessoas
Informações
Comodidade x nível de segurança
Cada tipo de negócio requer um 
nível distinto de segurança
Comodidade do 
ConsumidorNível de
Segurança