Aula 2 Seg e audit de sist Ciclo de vida da Informação e Engenharia Social 2017 1

Prévia do material em texto

Aula nº 02 
Prof. Paulo Rangel 
paulo.garcia@fmu.br 
Segurança e Auditoria de Sistemas 
Segurança da Informação 
 
 1ª Parte – A segurança e o ciclo de vida da Informação, controle e 
classificação dos ativos da Informação. 
 A segurança e o ciclo de vida da Informação 
 A dependência da Informação 
 O que é Segurança da Informação? 
 O Risco 
 Porque a Segurança da Informação é necessária? 
 Variáveis que influenciam os Riscos 
 Facilitadores para o aumento dos riscos e ameaças 
 O Ciclo de Vida da Informação 
 Controle e classificação dos ativos da Informação. 
 Inventário dos ativos da informação 
 Classificação da Informação 
 Recomendações para classificação da Informação 
 Rótulos e tratamento da informação 
Segurança da Informação 
  A dependência da Informação 
 Relacionamento eletrônico entre as organizações 
 O que é segurança da informação 
 De forma mais ampla, podemos também considerá-la como a prática de gestão de riscos 
incidentes que impliquem no comprometimento dos três principais conceitos da 
segurança: confidencialidade, integridade e disponibilidade da informação. 
 
Segurança da Informação 
 
Segurança da Informação 
  O que é segurança da informação 
 
 Segurança da informação não é uma tecnologia que 
se pode comprar e tornar o computador seguro. 
 
 Segurança da informação é um processo. 
 
 
 Porque é necessária? 
 Em razão das perdas que nem sempre são tangíveis: 
 Produtos que deixam de ser fabricados 
 Produtos que deixam de ser vendidos e entregues 
 Afetar a Credibilidade da organização 
 Afetar a capacidade de honrar compromissos 
 Comprometer informações sigilosas confiadas 
por parceiros 
 
Segurança da Informação 
  Variáveis que influenciam os riscos 
 Variáveis internas: 
 Humanas 
 Tecnológicas 
 Físicas 
 Variáveis externas: 
 Macro econômicas 
 Mercadológicas 
 Naturais 
 
Segurança da Informação 
  Ciclo de Vida da Informação 
 O ciclo de vida é caracterizado pelos momentos vividos pela Informação que a colocam 
em risco e que podem alterar as suas propriedades de Confidencialidade, Integridade e 
Disponibilidade. Esses momentos podem ser divididos da seguinte forma : 
 Manuseio - Momento em que a informação é criada e manipulada; 
 Armazenamento - Quando a informação é armazenada; 
 Transporte - Quando a informação é transportada, seja por correio eletrônico ou 
através de uma rede para ser consultada em uma estação; 
 Descarte - Quando a informação é descartada. 
Segurança da Informação 
  Inventário dos ativos da informação: 
 A organização deve conhecer e ser capaz de identificar seus ativos, atribuindo 
valor e importância a eles, possibilitando proporcionar níveis de proteção 
adequados além de verificar a sua efetividade. 
 O inventário dos ativos permite à organização ter conhecimento e auxilia na 
verificação da efetividade das medidas de segurança aplicadas. 
 Este controle pode ser utilizado para outros fins, como no controle de ativo 
imobilizado da Contabilidade, pela Segurança Patrimonial e no 
dimensionamento de coberturas de Seguros, etc. 
 Soluções Open Source: 
 http://ocomonphp.sourceforge.net/ 
 http://www.sysaid.com/product/sysaid/free-edition 
 
 
 
Segurança da Informação 
  Classificação da Informação: 
 Assegurar que os ativos recebam um nível adequado de proteção. 
 Possuem níveis de sensibilidade e criticidade. Alguns itens necessitam um nível 
adicional de proteção ou tratamento especial. 
 Devem considerar as necessidades dos negócios para compartilhar ou restringir 
o acesso, além de avaliar os impactos nos negócios em caso de acesso indevido 
ou comprometimento; 
 Recomenda-se para classificação da Informação: 
 A informação deixar de ser sensível ou crítica ao longo do tempo e assim deve 
ocorrer a sua reclassificação automática, não existindo, uma classificação fixa. 
 Não criar muitas categorias de classificação; 
 O responsável pela classificação de um item de informação é o autor ou o 
proprietário pela informação. 
Segurança da Informação 
  Rótulos e tratamento da informação: 
 Deve existir um procedimento apropriado para rotular e tratar a informação de 
acordo com a classificação que lhe foi atribuída. Este procedimento deverá 
abranger tanto a informação no formato físico como no formato eletrônico, 
devendo abordar os seguintes tipos de atividades de processamento da 
informação: 
 Cópia; 
 Armazenamento; 
 Transmissão pelo correio, fax ou correio eletrônico; 
 Transmissão pela fala, incluindo telefonia móvel, correio de voz ou 
secretárias eletrônicas; 
 Destruição / descarte. 
Segurança da Informação 
 
Segurança da Informação 
 
 
 O perfil do atacante 
Segurança da Informação 
  A segurança não pode custar mais que o que está sendo protegido e nem 
pode ser um entrave para a operação da empresa. 
 Deve haver equilíbrio entre esses aspectos (Custos x Operação), para existir 
um nível de risco aceitável. 
 Assim, em algum momento poderemos ter um evento de quebra de 
segurança, bastando que o atacante tenha a motivação e habilidades 
suficientes para identificar e explorar as oportunidades que existirem. 
Segurança da Informação 
  O que é Engenharia Social? 
 Conjunto de práticas, usadas para ter acesso a informações importantes, 
explorando a confiança das pessoas. 
 É um ataque não técnico, já que não requer conhecimento de tecnologia. 
 Utiliza habilidades interpessoais para ganhar a confiança das pessoas valendo-
se de diversas técnicas para alcançar seus objetivos. 
Segurança da Informação 
  Quem é o Engenheiro Social? 
 Alguém que usa a fraude, a influência e a persuasão contra as empresas, em geral 
visando suas informações. 
 É o agente de ações que podem quebrar todo o aparato de segurança baseado em 
tecnologia. 
 Quanto mais difícil a exploração de vulnerabilidades técnicas, os atacantes se 
voltarão cada vez mais para a exploração do elemento humano. Quebrar a 
”firewall humana” quase sempre é fácil, não exige nenhum investimento além do 
custo de uma ligação telefônica e envolve um risco mínimo. 
 Kevin Mitnick 
 A Arte de Enganar 
Segurança da Informação 
  Como inicia o Ataque? 
 A Engenharia Social começa com a busca de informações. Para estabelecer uma 
relação de confiança com o alvo. 
 A coleta de informações pode ocorrer em diversos momentos, obtendo 
informações de uma pessoa, que poderá levar a outra e assim por diante até atingir 
aquele que possui a informação que realmente interessa. 
 Explora a natureza humana de ser confiante e assim obter informações da vítima. 
 Dependendo do grau de acesso que possui na empresa, pode se aproveitar do 
descuido, de informações expostas, sejam na forma de um papel esquecido em cima 
da mesa, ou mesmo escutando uma conversa na hora do café. 
 E assim, formada a base de conhecimento o ataque propriamente dito é executado, 
atingindo a empresa ou pessoa, através do uso de todas as informações obtidas. 
 
Segurança da Informação 
  Vulnerabilidades 
 Podem ter várias origens, de ordem tecnológica ou não: 
 Tecnológicas: 
 Sistema operacional desatualizado 
 Links não redundantes 
 Bug nos softwares 
 Autorização de acesso lógico inadequado 
 Etc. 
 Físicas: 
 Ausência de gerador de energia 
 Mídia de backup mal acondicionada 
 Falta de controles físicos de acesso 
 Instalação elétrica imprópria 
 Cabeamento desestruturado 
 
 Humanas: Falta de treinamento 
 Falta de qualificação 
 Ausência de políticas de RH 
 Ambiente/clima organizacional ruim 
Segurança da Informação 
 
 Ameaças 
 Agentes ou condições que causam incidentes que comprometem as informações e seus 
ativos por meio da exploração de vulnerabilidades, provocando perdas de 
confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos 
aos negócios de uma organização. 
 Podem ser classificadas em função do seu grau de intencionalidade: 
 Naturais: Decorrentes de fenômenos naturais. (enchentes, terremotos, tempestades 
eletromagnéticas, maremotos, etc.) 
 Involuntárias: Ameaças inconscientes, quase sempre causadas pelo desconhecido. 
Por exemplo, acidentes, erros, falta de energia, etc. 
 Voluntárias: Ameaças propositais causadas por agentes humanos como crackers, 
invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, etc. 
 
Segurança da Informação 
  Equação do Risco: 
 Conceitos a abordar: 
 Medidas de Segurança 
 Praticas, procedimentos e todos os mecanismos utilizados para proteger a informação 
e seus ativos, visando impedir que as ameaças explorem as vulnerabilidades, a redução 
dessas vulnerabilidades, limitem o impacto ou minimizem o risco de qualquer forma. 
 Podem ser: 
 Preventivas – buscam evitar a ocorrência das “causas” 
 Detectivas – buscam flagrar a ocorrência das “causas” 
 Corretivas – buscam combater, eliminar ou reduzir as “consequências” 
 Restauradores – Restabelecem a normalidade 
 
Segurança da Informação 
  Equação do Risco: 
 Riscos 
 Probabilidade das ameaças explorarem vulnerabilidades, provocando 
perdas de confidencialidade, integridade e disponibilidade e assim 
causando impactos ao negócio. 
 Impacto 
 É a abrangência dos danos causados por um incidente de segurança 
sobre um ou mais processos de negócios. 
 Incidente 
 Fato ou evento decorrente da ação de uma ameaça, quando uma ou mais 
vulnerabilidades são exploradas, levando à perda de princípios 
fundamentais da segurança da informação: 
 Confidencialidade, Integridade e Disponibilidade. 
Segurança da Informação 
 
 Equação do Risco: 
Segurança da Informação 
 
Segurança da Informação 
  Como prevenir-se? 
 Estabelecer medidas de prevenção concentrados sobre as pessoas pois tecnologias de 
segurança que envolvem hardware ou software são ineficazes contra este tipo de ameaça. 
 O primeiro passo é educar e treinar. 
 Conscientizar as pessoas sobre o valor da informação; 
 Mostrar como age um engenheiro social; 
 Mostrar a responsabilidade do indivíduo sobre a informação e as consequências de sua 
má administração. 
 O segundo passo são as políticas de segurança. 
 Tem papel fundamental na proteção. Orientam as pessoas, estabelecem o que é 
permitido ou não, permitem que medidas punitivas sejam tomadas e assim concretize as 
consequências que desvios de conduta podem ter para as pessoas que os praticam. 
 Terceiro passo é controlar os acessos físico. 
 Permitir o acesso a dependências da empresa apenas às pessoas autorizadas; 
 Dispor de equipe de segurança para monitorar entrada e saída da organização; 
 Quanto mais restrito for o acesso à informação, menor a suas vulnerabilidades. 
Segurança da Informação 
 
 
Snowden usou senhas de colegas para obter dados sobre espionagem 
Mesmo em organizações que deveriam estar entre as mais seguras o menor descuido pode 
gerar grandes problemas. Foi o que aconteceu com a agência de espionagem dos Estados 
Unidos, em que Edward Snowden teve ajuda involuntária de colegas de trabalho para obter 
parte das informações que ele tem vazado nos últimos meses. 
De acordo com fontes da Reuters, o ex-funcionário da NSA (Agência de Segurança Nacional) 
usou logins e senhas alheias para obter dados sigilosos. Snowden teria dito aos colegas que 
precisava das informações para efetuar seu trabalho como administrador do sistema de 
informática. 
Snowden passou um mês trabalhando na base de espionagem do Havaí, período pelo qual 
conseguiu convencer algo entre 20 e 25 pessoas a liberar dados. Não ficou claro quais regras 
elas violaram por fornecer logins e senhas. 
 
FONTE: http://m.olhardigital.uol.com.br/noticia/snowden-usou-senhas-de-colegas-para-obter-dados-sobre-espionagem/38714 
 
Segurança da Informação 
 Nova invasão gera críticas à Sony 
A nova revelação da Sony surgiu um dia depois que ela anunciou medidas para evitar um novo ataque de hackers 
O presidente-executivo da Sony, Howard Stringer, está enfrentando severas críticas à sua liderança depois que o conglomerado de eletrônica 
revelou que hackers podem ter roubado dados de mais 25 milhões de contas, em uma segunda e imensa violação de segurança. 
A nova revelação da Sony surgiu um dia depois que ela anunciou medidas para evitar um novo ataque de hackers como aquele que atingiu sua 
PlayStation Network duas semanas atrás. 
O grupo japonês de eletrônica informou que sua rede de videogames Sony Online Entertainment PC havia sofrido ataque de hackers em 18 de abril, 
mas que a violação só foi descoberta na manhã de segunda-feira; a rede foi desativada algumas horas mais tarde. 
A violação pode ter levado ao roubo de 10,7 mil registros de débito direto de clientes na Alemanha, Áustria, Espanha e Holanda, e de 12,7 mil 
números de cartões de crédito e débito fora dos Estados Unidos, informou a empresa. 
Os investidores consideram que a Sony e Stringer, 69 anos, tenham agido incorretamente durante a crise de segurança de dados, um novo golpe 
para a empresa que vem encontrando dificuldades para acompanhar os produtos de sucesso lançados por rivais como Nintendo, Samsung Electronics 
e Apple. 
“A maneira pela qual a Sony conduziu todo esse assunto serve para demonstrar que lhe falta capacidade de gestão de crises”, disse Michael On, administrador de 
fundos na Beyond Asset Management, em Taipei, que não detém ações da Sony. “O atual presidente-executivo deveria renunciar depois dos problemas com 
ataques de hackers e dada sua incapacidade de lançar produtos competitivos.” 
O galês Stringer, antigo produtor de TV que recebeu um título honorífico britânico em 2000, não comentou sobre a violação de segurança, 
atribuindo ao seu segundo em comando, Kazuo Hirai, a função de se desculpar, em uma entrevista coletiva realizada no domingo. 
Hirai era o responsável pela divisão de redes e considerado como provável sucessor de Stringer, que em março se comprometeu a ficar no posto 
pelo menos até o final deste ano. 
Hirai pode não escapar incólume ao fiasco, disse outro administrador de fundos, que detinha ações da Sony no ano passado e não está autorizado a 
se pronunciar publicamente sobre a empresa. 
// Isabel Reynolds e Liana B. Baker (Reuters) 
FONTE: http://blogs.estadao.com.br/link/nova-invasao-gera-criticas-ao-presidente-da-sony/ 
Segurança da Informação 
 
 
 
 
 
 
 
 
 
 
 
 
 
https://www.wired.com/2017/03/wikileaks-cia-hacks-dump/ 
https://www.wired.com/2017/03/wikileaks-cia-hack-signal-encrypted-chat-apps/ 
 
 
 
 
Segurança da Informação 
 
Segurança da Informação 
 
Segurança da Informação 
  Bibliografia Recomendada: 
 MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques 
 de Hackers: Controlando o Fator Humano na Segurança 
 da Informação. São Paulo: Pearson Education, 2003. 
 
 
 SEMOLA, M. Gestão da Segurança da Informação 
 Uma visão executiva. Rio de Janeiro: Editora Campus, 2003. 
 
 
 COELHO, Cristiano Farias; RASMA, Eline Tourinho; MORALES, Gudelia. 
ENGENHARIA SOCIAL:UMA AMEAÇA À SOCIEDADE DA INFORMAÇÃO, 
Disponível em: 
http://www.seer.perspectivasonline.com.br/index.php/exatas_e_engenharia/article/view/87/59 
 
 
 
Segurança da Informação 
 
 DÚVIDAS