Baixe o app para aproveitar ainda mais
Prévia do material em texto
Aula nº 02 Prof. Paulo Rangel paulo.garcia@fmu.br Segurança e Auditoria de Sistemas Segurança da Informação 1ª Parte – A segurança e o ciclo de vida da Informação, controle e classificação dos ativos da Informação. A segurança e o ciclo de vida da Informação A dependência da Informação O que é Segurança da Informação? O Risco Porque a Segurança da Informação é necessária? Variáveis que influenciam os Riscos Facilitadores para o aumento dos riscos e ameaças O Ciclo de Vida da Informação Controle e classificação dos ativos da Informação. Inventário dos ativos da informação Classificação da Informação Recomendações para classificação da Informação Rótulos e tratamento da informação Segurança da Informação A dependência da Informação Relacionamento eletrônico entre as organizações O que é segurança da informação De forma mais ampla, podemos também considerá-la como a prática de gestão de riscos incidentes que impliquem no comprometimento dos três principais conceitos da segurança: confidencialidade, integridade e disponibilidade da informação. Segurança da Informação Segurança da Informação O que é segurança da informação Segurança da informação não é uma tecnologia que se pode comprar e tornar o computador seguro. Segurança da informação é um processo. Porque é necessária? Em razão das perdas que nem sempre são tangíveis: Produtos que deixam de ser fabricados Produtos que deixam de ser vendidos e entregues Afetar a Credibilidade da organização Afetar a capacidade de honrar compromissos Comprometer informações sigilosas confiadas por parceiros Segurança da Informação Variáveis que influenciam os riscos Variáveis internas: Humanas Tecnológicas Físicas Variáveis externas: Macro econômicas Mercadológicas Naturais Segurança da Informação Ciclo de Vida da Informação O ciclo de vida é caracterizado pelos momentos vividos pela Informação que a colocam em risco e que podem alterar as suas propriedades de Confidencialidade, Integridade e Disponibilidade. Esses momentos podem ser divididos da seguinte forma : Manuseio - Momento em que a informação é criada e manipulada; Armazenamento - Quando a informação é armazenada; Transporte - Quando a informação é transportada, seja por correio eletrônico ou através de uma rede para ser consultada em uma estação; Descarte - Quando a informação é descartada. Segurança da Informação Inventário dos ativos da informação: A organização deve conhecer e ser capaz de identificar seus ativos, atribuindo valor e importância a eles, possibilitando proporcionar níveis de proteção adequados além de verificar a sua efetividade. O inventário dos ativos permite à organização ter conhecimento e auxilia na verificação da efetividade das medidas de segurança aplicadas. Este controle pode ser utilizado para outros fins, como no controle de ativo imobilizado da Contabilidade, pela Segurança Patrimonial e no dimensionamento de coberturas de Seguros, etc. Soluções Open Source: http://ocomonphp.sourceforge.net/ http://www.sysaid.com/product/sysaid/free-edition Segurança da Informação Classificação da Informação: Assegurar que os ativos recebam um nível adequado de proteção. Possuem níveis de sensibilidade e criticidade. Alguns itens necessitam um nível adicional de proteção ou tratamento especial. Devem considerar as necessidades dos negócios para compartilhar ou restringir o acesso, além de avaliar os impactos nos negócios em caso de acesso indevido ou comprometimento; Recomenda-se para classificação da Informação: A informação deixar de ser sensível ou crítica ao longo do tempo e assim deve ocorrer a sua reclassificação automática, não existindo, uma classificação fixa. Não criar muitas categorias de classificação; O responsável pela classificação de um item de informação é o autor ou o proprietário pela informação. Segurança da Informação Rótulos e tratamento da informação: Deve existir um procedimento apropriado para rotular e tratar a informação de acordo com a classificação que lhe foi atribuída. Este procedimento deverá abranger tanto a informação no formato físico como no formato eletrônico, devendo abordar os seguintes tipos de atividades de processamento da informação: Cópia; Armazenamento; Transmissão pelo correio, fax ou correio eletrônico; Transmissão pela fala, incluindo telefonia móvel, correio de voz ou secretárias eletrônicas; Destruição / descarte. Segurança da Informação Segurança da Informação O perfil do atacante Segurança da Informação A segurança não pode custar mais que o que está sendo protegido e nem pode ser um entrave para a operação da empresa. Deve haver equilíbrio entre esses aspectos (Custos x Operação), para existir um nível de risco aceitável. Assim, em algum momento poderemos ter um evento de quebra de segurança, bastando que o atacante tenha a motivação e habilidades suficientes para identificar e explorar as oportunidades que existirem. Segurança da Informação O que é Engenharia Social? Conjunto de práticas, usadas para ter acesso a informações importantes, explorando a confiança das pessoas. É um ataque não técnico, já que não requer conhecimento de tecnologia. Utiliza habilidades interpessoais para ganhar a confiança das pessoas valendo- se de diversas técnicas para alcançar seus objetivos. Segurança da Informação Quem é o Engenheiro Social? Alguém que usa a fraude, a influência e a persuasão contra as empresas, em geral visando suas informações. É o agente de ações que podem quebrar todo o aparato de segurança baseado em tecnologia. Quanto mais difícil a exploração de vulnerabilidades técnicas, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Quebrar a ”firewall humana” quase sempre é fácil, não exige nenhum investimento além do custo de uma ligação telefônica e envolve um risco mínimo. Kevin Mitnick A Arte de Enganar Segurança da Informação Como inicia o Ataque? A Engenharia Social começa com a busca de informações. Para estabelecer uma relação de confiança com o alvo. A coleta de informações pode ocorrer em diversos momentos, obtendo informações de uma pessoa, que poderá levar a outra e assim por diante até atingir aquele que possui a informação que realmente interessa. Explora a natureza humana de ser confiante e assim obter informações da vítima. Dependendo do grau de acesso que possui na empresa, pode se aproveitar do descuido, de informações expostas, sejam na forma de um papel esquecido em cima da mesa, ou mesmo escutando uma conversa na hora do café. E assim, formada a base de conhecimento o ataque propriamente dito é executado, atingindo a empresa ou pessoa, através do uso de todas as informações obtidas. Segurança da Informação Vulnerabilidades Podem ter várias origens, de ordem tecnológica ou não: Tecnológicas: Sistema operacional desatualizado Links não redundantes Bug nos softwares Autorização de acesso lógico inadequado Etc. Físicas: Ausência de gerador de energia Mídia de backup mal acondicionada Falta de controles físicos de acesso Instalação elétrica imprópria Cabeamento desestruturado Humanas: Falta de treinamento Falta de qualificação Ausência de políticas de RH Ambiente/clima organizacional ruim Segurança da Informação Ameaças Agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização. Podem ser classificadas em função do seu grau de intencionalidade: Naturais: Decorrentes de fenômenos naturais. (enchentes, terremotos, tempestades eletromagnéticas, maremotos, etc.) Involuntárias: Ameaças inconscientes, quase sempre causadas pelo desconhecido. Por exemplo, acidentes, erros, falta de energia, etc. Voluntárias: Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, etc. Segurança da Informação Equação do Risco: Conceitos a abordar: Medidas de Segurança Praticas, procedimentos e todos os mecanismos utilizados para proteger a informação e seus ativos, visando impedir que as ameaças explorem as vulnerabilidades, a redução dessas vulnerabilidades, limitem o impacto ou minimizem o risco de qualquer forma. Podem ser: Preventivas – buscam evitar a ocorrência das “causas” Detectivas – buscam flagrar a ocorrência das “causas” Corretivas – buscam combater, eliminar ou reduzir as “consequências” Restauradores – Restabelecem a normalidade Segurança da Informação Equação do Risco: Riscos Probabilidade das ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e assim causando impactos ao negócio. Impacto É a abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócios. Incidente Fato ou evento decorrente da ação de uma ameaça, quando uma ou mais vulnerabilidades são exploradas, levando à perda de princípios fundamentais da segurança da informação: Confidencialidade, Integridade e Disponibilidade. Segurança da Informação Equação do Risco: Segurança da Informação Segurança da Informação Como prevenir-se? Estabelecer medidas de prevenção concentrados sobre as pessoas pois tecnologias de segurança que envolvem hardware ou software são ineficazes contra este tipo de ameaça. O primeiro passo é educar e treinar. Conscientizar as pessoas sobre o valor da informação; Mostrar como age um engenheiro social; Mostrar a responsabilidade do indivíduo sobre a informação e as consequências de sua má administração. O segundo passo são as políticas de segurança. Tem papel fundamental na proteção. Orientam as pessoas, estabelecem o que é permitido ou não, permitem que medidas punitivas sejam tomadas e assim concretize as consequências que desvios de conduta podem ter para as pessoas que os praticam. Terceiro passo é controlar os acessos físico. Permitir o acesso a dependências da empresa apenas às pessoas autorizadas; Dispor de equipe de segurança para monitorar entrada e saída da organização; Quanto mais restrito for o acesso à informação, menor a suas vulnerabilidades. Segurança da Informação Snowden usou senhas de colegas para obter dados sobre espionagem Mesmo em organizações que deveriam estar entre as mais seguras o menor descuido pode gerar grandes problemas. Foi o que aconteceu com a agência de espionagem dos Estados Unidos, em que Edward Snowden teve ajuda involuntária de colegas de trabalho para obter parte das informações que ele tem vazado nos últimos meses. De acordo com fontes da Reuters, o ex-funcionário da NSA (Agência de Segurança Nacional) usou logins e senhas alheias para obter dados sigilosos. Snowden teria dito aos colegas que precisava das informações para efetuar seu trabalho como administrador do sistema de informática. Snowden passou um mês trabalhando na base de espionagem do Havaí, período pelo qual conseguiu convencer algo entre 20 e 25 pessoas a liberar dados. Não ficou claro quais regras elas violaram por fornecer logins e senhas. FONTE: http://m.olhardigital.uol.com.br/noticia/snowden-usou-senhas-de-colegas-para-obter-dados-sobre-espionagem/38714 Segurança da Informação Nova invasão gera críticas à Sony A nova revelação da Sony surgiu um dia depois que ela anunciou medidas para evitar um novo ataque de hackers O presidente-executivo da Sony, Howard Stringer, está enfrentando severas críticas à sua liderança depois que o conglomerado de eletrônica revelou que hackers podem ter roubado dados de mais 25 milhões de contas, em uma segunda e imensa violação de segurança. A nova revelação da Sony surgiu um dia depois que ela anunciou medidas para evitar um novo ataque de hackers como aquele que atingiu sua PlayStation Network duas semanas atrás. O grupo japonês de eletrônica informou que sua rede de videogames Sony Online Entertainment PC havia sofrido ataque de hackers em 18 de abril, mas que a violação só foi descoberta na manhã de segunda-feira; a rede foi desativada algumas horas mais tarde. A violação pode ter levado ao roubo de 10,7 mil registros de débito direto de clientes na Alemanha, Áustria, Espanha e Holanda, e de 12,7 mil números de cartões de crédito e débito fora dos Estados Unidos, informou a empresa. Os investidores consideram que a Sony e Stringer, 69 anos, tenham agido incorretamente durante a crise de segurança de dados, um novo golpe para a empresa que vem encontrando dificuldades para acompanhar os produtos de sucesso lançados por rivais como Nintendo, Samsung Electronics e Apple. “A maneira pela qual a Sony conduziu todo esse assunto serve para demonstrar que lhe falta capacidade de gestão de crises”, disse Michael On, administrador de fundos na Beyond Asset Management, em Taipei, que não detém ações da Sony. “O atual presidente-executivo deveria renunciar depois dos problemas com ataques de hackers e dada sua incapacidade de lançar produtos competitivos.” O galês Stringer, antigo produtor de TV que recebeu um título honorífico britânico em 2000, não comentou sobre a violação de segurança, atribuindo ao seu segundo em comando, Kazuo Hirai, a função de se desculpar, em uma entrevista coletiva realizada no domingo. Hirai era o responsável pela divisão de redes e considerado como provável sucessor de Stringer, que em março se comprometeu a ficar no posto pelo menos até o final deste ano. Hirai pode não escapar incólume ao fiasco, disse outro administrador de fundos, que detinha ações da Sony no ano passado e não está autorizado a se pronunciar publicamente sobre a empresa. // Isabel Reynolds e Liana B. Baker (Reuters) FONTE: http://blogs.estadao.com.br/link/nova-invasao-gera-criticas-ao-presidente-da-sony/ Segurança da Informação https://www.wired.com/2017/03/wikileaks-cia-hacks-dump/ https://www.wired.com/2017/03/wikileaks-cia-hack-signal-encrypted-chat-apps/ Segurança da Informação Segurança da Informação Segurança da Informação Bibliografia Recomendada: MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de Hackers: Controlando o Fator Humano na Segurança da Informação. São Paulo: Pearson Education, 2003. SEMOLA, M. Gestão da Segurança da Informação Uma visão executiva. Rio de Janeiro: Editora Campus, 2003. COELHO, Cristiano Farias; RASMA, Eline Tourinho; MORALES, Gudelia. ENGENHARIA SOCIAL:UMA AMEAÇA À SOCIEDADE DA INFORMAÇÃO, Disponível em: http://www.seer.perspectivasonline.com.br/index.php/exatas_e_engenharia/article/view/87/59 Segurança da Informação DÚVIDAS
Compartilhar