Baixe o app para aproveitar ainda mais
Prévia do material em texto
Cristiano Diniz Gestão de Segurança em Ambientes de TI Noções Fundamentais Parte I Introdução Segurança da informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Segurança da informação é a proteção da informação de vários tipos de ameaças para a preservação da confidencialidade, integridade e disponibilidade da informação. É uma prática voltada para a eliminação de vulnerabilidades para reduzir os riscos de uma ameaça se concretizar no ambiente que quer proteger. Padrões / Normas ISO 27001 e 27002 Basileia II PCI-DSS ITIL COBIT NIST 800 Series Porque proteger a informação? A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Ataques ▪Interno (58% dos ataques) Funcionários Insatisfeitos Funcionários despreparados Espionagem ▪Externo Crackers Concorrentes Espionagem Macro desafio da Segurança da Informação Base da Segurança da informação A segurança das informações deve caracterizar-se por preservar: • Confidencialidade: Para que a informação seja acessível somente por pessoas autorizadas, garantindo a privacidade de seu possuidor e o sigilo da informação. • Integridade: Para manter salvaguarda da exatidão e inteireza da informação e dos métodos de processamento. Base da Segurança da informação • Disponibilidade: Para garantir que informações e serviços computacionais vitais estejam disponíveis sempre que requeridos. • Irretratabilidade: Para garantir que as informações sejam autenticas e que não possam ser repudiadas quanto à sua legalidade Desafios da segurança na nova economia • Os fatos o Negócios estão cada vez mais dependentes da tecnologia da informação; o Os ambientes estão cada vez mais complexos, heterogêneos e integrados; o As fraudes são cada vez mais realizadas por meios digitais; o Marcos regulatórios exigindo controles cada vez mais efetivos sobre os riscos que TI impõe aos negócios. Desafios da segurança na nova economia • As necessidades de Segurança o A informação, seus processos de apoio, as aplicações que a manipulam, sistemas de redes e de proteção da infra-estrutura são os mais importantes ativos para os negócios; o Mutações acentuadas estão ocorrendo na forma da empresas realizarem negócios na nova economia; o Crescimento acentuado dos crimes relacionados à violação de informações. Desafios da segurança na nova economia • As necessidades de Segurança o Tecnologias nunca estiveram tão expostas à vulnerabilidades as quais aumentam na mesma velocidade de expansão do mercado de TI; o Riscos aos quais as tecnologias estão expostas transferem-se para os negócios; o Controles difíceis em ambiente de TI altamente heterogêneo, integrado e interligado. Desafios da segurança na nova economia • As necessidades de Segurança o A simples Implementação de tecnologia não resolve todos os problemas nem diminuem os riscos aos quais estamos expostos; o Necessidade de controles é iminente. Controles de segurança são mais baratos se implementados nas etapas de projeto e especificação de soluções de tecnologia; o Controles devem ser baseados em processos muito bem estruturados e não somente em software. Desafios da segurança na nova economia o Controle centralizado; o Auditabilidade; o Ambiente padronizado; o Conhecimento de ameaças e vulnerabilidades; o Pessoal técnico capacitado; o Velocidade na implementação de soluções; o Integração com o negócio; o Gestão do investimento. O desafio Conceitos de Segurança da Informação • Segurança da informação protege a informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócios. Neste contexto, Informação pode e deve ser tratada como qualquer outro ativo que sustenta um negócio. Aspectos da Segurança da Informação • Alguns elementos são considerados essenciais na prática da segurança da informação, dependendo do objetivo que se pretende alcançar: • Autenticação – processo de identificação e reconhecimento formal da identidade dos elementos que entram em comunicação ou fazem parte de uma transação eletrônica que permite o acesso à informação. • Autorização – concessão de uma permissão para o acesso às informações e funcionalidades das aplicações aos participantes de um processo de troca de informações. Aspectos da Segurança da Informação • Auditoria – processo de coleta de evidências de uso dos recursos existentes, a fim de identificar as entidades envolvidas num processo de troca de informações, ou seja, a origem, destino e meios de tráfego de uma informação. • Autenticidade – garantia de que as entidades (informação, máquinas, usuários) identificadas em um processo de comunicação como remetentes ou autores são exatamente aqueles que dizem ser e que a mensagem ou informação não foi alterada após o seu envio ou validação. • Legalidade – característica das informações que possuem valor legal dentro de um processo de comunicação; Aspectos da Segurança da Informação • Severidade – gravidade do dano que um determinado ativo pode sofrer devido à exploração de uma vulnerabilidade por qualquer ameaça aplicável. • Relevância do ativo – grau de importância de um ativo para a operacionalização de um processo de negócio. • Relevância do processo de negócio – grau de importância de um processo de negócio para o alcance dos objetivos e sobrevivência de uma organização. • Criticidade – gravidade referente ao impacto ao negócio causado pela ausência de um ativo, pela perda ou redução de suas funcionalidades em um processo de negócio. Proteger o ciclo de vida da informação e seus aspectos A Informação • Quanto ao manuseio: • Impressa, falada ou escrita em papel • Quanto ao armazenamento: • Armazenada em computador pessoal, em fita ou disco, em bancos de dados • Quanto ao transporte: • Transmitida entre redes, enviada por fax, falada via telefone, enviada por e-mail • Quanto ao descarte: • Descarte das informações por processo digital - deleção ou Wiping - ou por processo físico. Informação Manuseio Transporte ArmazenamentoDescarte Co nf id en ci al id ad e Integridade Disponibilidade Autenticidade Legalidade A FUNÇÃO DA TECNOLOGIA na segurança da Informação As tecnologias são necessárias para prover infraestrutura segura e ferramentas sobre a qual as aplicações serão utilizadas e ainda para defender a estrutura de TI e negócios contra ataques. A FUNÇÃO DOS CONTROLES • Os controles provem forma de monitorar o ambiente para validar o funcionamento da estrutura de segurança e mensurar seus resultados. Estes controles podem ser políticas, práticas, procedimentos ou funções de software e/ou hardware. As ameaças hoje o Incidentes de paralisação de negócios; o Fraudes; o Vazamento de informações e perdas de imagem; o Falta de conformidade com marcos regulatórios; Crime organizado Especuladores Chantagistas Ausência e/ou falta de aderência de controles Ineficácia de controles Engenharia Social Agentes de ameaças Mecanismos de Segurança Controles Físicos Portas Trancas Paredes Blindagem Guardas Câmeras Mecanismos de Segurança Controles Lógicos Criptografia Firewall Anti-Vírus IDS IPS Proxy Anti-SpamServiços de Segurança Criação de Políticas de Segurança; Hardening de Servidores; Análise de Vulnerabilidade; Teste de Invasão; Análise de Aplicação; Perícia Computacional; Treinamento de Colaboradores; Auditoria Defesa em camadas! Eliminando as vulnerabilidades, minimizamos os riscos e reduzimos os impactos no negócio Risco tendendo a zero SEGURANÇA Papel da Segurança Ação sobre os ativos ATIVO: Tudo que manipula informação, inclusive ela própria. • Infra-estrutura • Tecnologia • Aplicações • Informações • Pessoas Ação sobre os ativos • Soluções pontuais isoladas não resolvem toda o problema associada à segurança da informação. • Segurança se faz protegendo todos os elos da corrente, ou seja, todos os ativos que compõem seu negócio. Afinal, o poder de proteção da corrente está diretamente associado ao elo mais fraco! Infraestrutura Tecnologia Aplicações Pessoas Informações Comodidade x nível de segurança Cada tipo de negócio requer um nível distinto de segurança Comodidade do ConsumidorNível de Segurança
Compartilhar