Aula 15 Introdução à Segurança da Informação

Prévia do material em texto

CENÁRIO DE TECNOLOGIA DA INFORMAÇÃO 
AULA 15: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Conteúdo desta aula 
SEGURANÇA DA 
 INFORMAÇÃO 
1 
AS PRINCIPAIS 
VULNERABILIDADES 
3 
PRÓXIMOS 
PASSOS 
A SUA IMPORTÂNCIA 
ESTRATÉGICA 
2 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Segurança da Informação 
Fonte: 
https://alexfeleol.wordpress.com/2012/06/23/
os-tres-pilares-da-seguranca-da-informacao/ 
• Também muito graves são os crimes digitais, nem sempre 
noticiados, porém causando grande prejuízo à instituição afetada; 
• Constantemente deparamo-nos com notícias de falhas de 
segurança na internet, evidenciadas pelo roubo de informações e 
sabotagens em sites; 
• Tais crimes têm o intuito de furtar ou adulterar informações 
estratégicas pertencentes às organizações e são muitas vezes 
executados por concorrentes de mercado; 
• Existem também os danos causados por funcionários devido a 
falhas no controle de acesso às informações, resultando na perda 
ou no vazamento de dados importantes. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Segurança da Informação 
A segurança da informação é dada pela garantia dos seguintes 
serviços: 
Fonte: http://www.vc2ti.com.br/seguranca-da-
informacao/ 
Confidencialidade — impede que pessoas não autorizadas 
tenham acesso à informação; 
Integridade — é a garantia que a informação está consistente; 
Disponibilidade — garante que uma informação estará 
disponível para acesso no momento desejado. 
Autenticidade — garante a identidade de quem está 
executando uma determinada ação; 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
A sua importância estratégica 
Fonte: 
http://www.simplessolucoes.com.br/blog/categ
ory/gestao-da-seguranca-da-informacao/ 
• Entende-se por ação segura qualquer atitude envolvendo 
manipulação de informações que seja feita de acordo com o 
nível de segurança definido ao tipo de informação que será 
passada, estando ela em qualquer meio; 
 
• A informação é um bem que tem valor para a organização, 
consequentemente, necessita ser adequadamente protegida; 
 
• A informação trafega por diversos meios como papel, e-mail e 
telefone; 
 
• Devido a essa abrangência, é necessário que ações seguras 
sejam entendidas e incorporadas pelos funcionários da 
instituição. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
A sua importância estratégica 
Fonte: http://ausland.com.br/seguranca-e-
confiabilidade-em-erp/ 
• A razão para prover segurança às informações de uma 
organização apoia-se no diferencial que a segurança 
pode representar entre o sucesso e o insucesso, no 
cumprimento do objetivo fim da instituição. 
• O objetivo da segurança da informação é assegurar a 
continuidade do negócio e reduzir os danos a ele, 
prevenindo e minimizando os impactos dos incidentes de 
segurança; 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades 
• As ameaças podem ter origem interna e/ou externa e serem propositais ou não; 
 
• Os tipos de ameaças e os riscos envolvidos estão intimamente ligados ao negócio da empresa, ou 
seja, dependendo do tamanho da corporação e de sua área de atuação as ameaças podem ser 
maiores ou menores e, consequentemente, os riscos; 
 
• Vírus; 
• Spyware; 
• Phishing; 
• Código Hostil; 
• Falhas e erros; 
• Fraudes, roubos e sabotagens; 
• Hackers; 
• Espionagem. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades - Vírus 
• Um vírus é um programa que pode infectar outros programas, alterando seu 
código executável; 
 
• Pode se replicar; 
 
• Pode ficar por um longo período de tempo dormente antes de realizar sua 
tarefa; 
 
• Em função de algum evento, como uma determinada data ou número de vezes 
que foi replicado, o vírus pode ser ativado; 
 
• Dependendo do sistema operacional, um vírus pode ter acesso irrestrito aos 
recursos do computador onde está sendo executado ou apenas a determinados 
recursos; 
 
• Apesar das inúmeras ferramentas para identificar e tratar vírus, as empresas 
continuam perdendo muito dinheiro com os estragos produzidos pela entrada 
de apenas um vírus que se espalha rapidamente por toda a rede. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades - Spyware 
• Os possíveis interessados podem ser empresas que 
queiram conhecer o perfil de consumo do usuário ou 
um hacker interessado nas suas informações pessoais 
ou financeiras. 
• É um programa que, quando instalado na máquina do 
usuário, monitora o que o ele está fazendo e envia as suas 
informações para a internet sem o seu conhecimento; 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades - Phishing 
• É muito comum o recebimento de mensagens falsas de 
bancos, Receita Federal e empresas de proteção ao 
crédito, solicitando atualização de dados cadastrais ou 
avisando de algum problema sério com a conta bancária 
ou crédito. 
• No Phishing, o usuário é “fisgado” por algum e-mail ou 
mensagem que parecem de fontes confiáveis e, a partir de 
site falso, informam seus dados financeiros como, por 
exemplo, número da conta e senha do banco; 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades – Código Hostil 
• Os plug-ins são programas executáveis que permitem ao browser 
executar arquivos em formatos diferentes de HTML, como áudio, 
animações e acesso a banco de dados; 
 
• O grande problema dos plug-ins é que sua segurança está baseada na 
confiança em quem desenvolveu o aplicativo. Como o plug-in tem 
acesso irrestrito ao seu sistema, é possível ter acesso a informações no 
disco local, abrir conexões de rede ou introduzir um Cavalo de Tróia. 
Neste caso, não só a estação poderá ficar comprometida, mas também 
sua rede interna; 
 
• Com a introdução de linguagens/tecnologias como Java, JavaScript, 
VBscript e ActiveX, o browser passou a receber código ativo pela rede, 
ou seja, o simples fato de se visitar um site, na internet, já é o suficiente 
para receber um código malicioso que possa ter acesso a qualquer 
parte do seu sistema (processador, memória, discos e rede) e, até 
mesmo, desligar sua estação. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades – Falhas e erros 
• Problemas de segurança da informação podem ser consequência de 
falhas e erros humanos. A integridade das informações pode ser 
comprometida com a entrada de dados errada ou incompleta; 
 
• Falhas no desenvolvimento de software, conhecidos como bugs, podem 
levar a sérios problemas de segurança, tanto em sistemas aplicativos 
como software básico. Um bom exemplo deste tipo de vulnerabilidade 
são as falhas de buffer overflow largamente utilizadas por hackers para 
ganhar acesso privilegiado aos servidores web, sistemas operacionais, 
bancos de dados etc. 
 
• A maneira mais efetiva de evitar este tipo de ameaça é manter hardware 
e software sempre atualizados, com as devidas correções. A grande 
dificuldade, no entanto, é atualizar o parque na velocidade que as 
correções são disponibilizadas. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades – Fraudes,Roubos e Sabotagens 
• Fraudes e roubos não estão restritos às informações; 
• Muitas vezes, as informações obtidas internamente são repassadas 
para fora da empresa e a ação executada externamente; 
• Bens materiais, como computadores, periféricos e componentes, 
também podem ser alvos deste tipo de ameaça; 
• A sabotagem, geralmente, é realizada por funcionários insatisfeitos 
que, por algum motivo, destroem ou alteram as informações. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades – Hackers 
• Hacker significa, genericamente, alguém que conhece profundamente 
computação. O termo é utilizado como sinônimo de cracker, ou seja, 
alguém que invade sistemas computacionais sem autorização para 
obter algum tipo de benefício; 
 
• Hackers invadem sistemas apenas para mostrar que podem fazê-lo. 
Diversos sites, na internet, têm suas páginas desfiguradas, onde o 
conteúdo original é substituído por mensagens diversas. Neste caso, 
nenhuma informação é roubada, apenas a imagem da empresa ficará 
comprometida. Dependendo do tipo de negócio, a imagem pode ser 
um ativo fundamental, como no caso de uma empresa de segurança 
da informação; 
 
• Hackers, geralmente, estão relacionados a indivíduos externos à 
empresa, porém também existem hackers internos, que podem causar 
danos mais facilmente. Com a evolução da internet, é esperado um 
crescimento dos problemas de segurança relacionados a hackers. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Ameaças e Vulnerabilidades – Espionagem 
• A espionagem é realizada por funcionários que têm 
acesso autorizado às informações, tornando sua 
identificação muito difícil. 
• Espionagem industrial é o ato de reunir informações de 
uma empresa e repassá-las a outra empresa, geralmente 
concorrente, mediante a algum tipo de vantagem 
financeira; 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Autenticação e Controle de Acesso 
• Autenticação é a capacidade de se identificar com precisão um usuário ou sistema; 
 
• A partir dessa identificação, é possível controlar e monitorar o acesso aos recursos 
disponíveis; 
 
A autenticação pode ser implementada baseada em três métodos diferentes: 
• Algo que se Sabe; 
• Algo que se Tem; 
• Algo que se É. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Algo que se Sabe 
• O usuário conhece alguma informação que permite a sua identificação e autenticação; 
 
• O uso de senhas é o melhor exemplo deste método; 
 
• Além das senhas, é possível utilizar informações pessoais do usuário para identificá-lo 
positivamente, como data de nascimento, número de um documento. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Algo que se Tem 
• Os cartões magnéticos, smartcards e certificados digitais 
são bons exemplos deste método. 
• O usuário possui algo que deve ser utilizado no processo 
de identificação e autenticação; 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Algo que se É 
O usuário utiliza alguma característica física 
que permite a sua identificação e 
autenticação. 
 
Este método é conhecido como 
autenticação biométrica e envolve 
processos que reconheçam características 
físicas intrínsecas de cada indivíduo, como 
a impressão digital, íris, retina, voz, 
formato das mãos ou face. 
Cenários de Tecnologia da Informação 
AULA 15: INTRODUÇÃO À SEGURANÇA DE INFORMAÇÃO 
Criptografia 
• A criptografia e a certificação digital são ferramentas fundamentais na 
construção da nova infraestrutura de comércio eletrônico com segurança; 
 
• Criptografia oferece confidencialidade, integridade e autenticidade; 
 
• Certificação digital oferece a infraestrutura para que tais serviços sejam 
oferecidos de forma simples, rápida e segura; 
 
• O certificado digital é a carteira de identidade do mundo virtual, que 
permite aos usuários se identificarem e assinarem documentos 
eletrônicos; 
 
• A criptografia consiste na ciência de escrever a informação em cifras, de 
forma a que somente as pessoas autorizadas possam compreendê-la. O 
seu objetivo é a construção de cifras invioláveis que garantam 
confidencialidade, integridade e autenticidade das informações 
transmitidas.