Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores SEGURANÇA DE REDES DE COMPUTADORES Aula 2: Conceitos fundamentais AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação C o n fi d e n ci al id ad e In te gr id ad e D is p o n ib ili d ad e Segurança da Informação • Autenticidade • Não Repúdio Segurança da informação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Confidencialidade É uma característica da informação que diz respeito ao direito de acesso. Medidas de segurança devem garantir que a informação esteja acessível apenas para quem tem permissão de acesso, evitando, assim, revelação não autorizada. AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Confidencialidade • Balancete contábil Secretaria (pública – acesso a todos os interessados); • Informações táticas de operação policial a ser realizada (apenas os envolvidos no plano); • Senha da conta bancária (somente o correntista); • Gabarito de Prova não realizada (apenas os elaboradores da prova); • Lista dos aprovados em concurso público (pública - todos os interessados). AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Integridade É uma característica da informação que diz respeito à sua exatidão. Medidas de segurança devem garantir que a informação seja alterada somente por pessoas e/ou ativos associados autorizados e em situações que efetivamente demandem a alteração legítima. AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Integridade • Plano de Vôo; • Dados preenchidos em cheque; • Conteúdo de um Edital a ser publicado; • Prescrição médica para paciente internado. AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação disponibilidade Medidas de segurança devem garantir que a informação esteja disponível, sempre que necessário, aos usuários e/ou sistemas associados que tenham direito de acesso a ela. AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Disponibilidade Extrato bancário Dados gerenciais para tomada de decisão • Índice de mortalidade infantil por município; • Tamanho das áreas devastadas por queimadas; • Nº de aposentadorias previstas para 2015. Dados para operacionalização de procedimentos • Ramal de telefones atualizado na recepção; • Declaração de rendimentos para IRPF. AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Autenticidade Diz respeito à certeza da origem da informação. Medidas de segurança devem garantir que a informação provém da fonte anunciada e que não foi alvo de mutação ao longo de sua transmissão. AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Autenticidade • Página web do banco para digitar nº da conta e senha; • Certificado de Registro de Veículo para transferência de proprietário; • Atestado médico para justificar falta de funcionário. AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Não repúdio Ou irretratabilidade, diz respeito à garantia de que o autor de determinada ação não possa negar tal ação. Medidas de segurança devem garantir meios que identifique inequivocamente o autor de uma ação. AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação Não repúdio • Notificação judicial (entrega em mãos por alguém de fé pública); • Notificação extrajudicial (registradas); • Posse de um processo (controle de assinatura do receptor, data e hora do recebimento); • Acesso a determinado ambiente crítico (sistema por biometria). AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dimensões de proteção da informação Segurança da informação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Negócio Informações Ativos suportam manipuladas Proteção Segurança da informação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Um ativo é qualquer coisa que tenha valor para a organização ou em uma outra visão são aqueles que produzem, processam, transmitem ou armazenam informações. Classificação: Tangíveis: Aplicativos, Equipamentos, Usuários; Intangíveis: Marca, Imagem, Confiabilidade. Ativos AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação: Prevenção: evita que acidentes ocorram; Desencorajamento: desencoraja a prática de ações; Monitoramento: monitora estado e funcionamento; Detecção: detecta a ocorrência de incidentes. Proteção AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Limitação: diminui danos causados; Reação: reage a determinados incidentes; Correção: repara falhas existentes; Recuperação: repara danos causados por incidentes. Proteção AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Valor: Importância do ativo para a organização. Ameaça: Evento que tem potencial em si mesmo para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. Fatores que impactam na segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. O que irá determinar se uma invasão de computador pode ou não afetar os negócios de uma empresa é a ausência ou existência de mecanismos de prevenção, detecção e eliminação, além do correto funcionamento destes mecanismos. Fatores que impactam na segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Impacto: Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará. Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podem haver consequências diferentes de uma mesma ameaça. Fatores que impactam na segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Exemplo - assalto a residência Ativos: Objetos existentes na casa; Vulnerabilidade: Porta com fechadura simples; Ameaça: Pode haver um arrombamento e assalto; Impactos: Perda de conforto, necessidade de comprar tudo de novo; Contra-medidas: Fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro etc. Fatores que impactam na segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Desastres naturais: tempestades, inundações, incêndio etc; Operação incorreta : erro do usuário ou administrador do sistema; Ataque ao sistema: visando algum lucro. Tipos de problemas de segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dados: São compostos por fatos básicos, comoo nome e a quantidade de horas em uma semana de um funcionário. Informação: É um conjunto de fatos organizados de modo a terem valor adicional, além do valor dos fatos propriamente ditos. Conhecimento: É a consciência e entendimento de um conjunto de informações e formas de torná-las úteis para apoiar uma tarefa específica ou tomar uma decisão. Valor da informação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Valor da informação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Valor de uso: Baseia-se na utilização final que se fará com a informação; Valor de troca: É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda); Valor de propriedade: Reflete o custo substitutivo de um bem; Valor de restrição: Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas. Conceito de valor AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Desenvolvimento de programa para gerenciamento de folha de pagamento. Valor de uso: gerenciar dados da folha de pagamento dos funcionários de uma empresa; Valor de troca: troca do trabalho pela experiência adquirida; Valor de Propriedade: aquisição do programa para a empresa; Valor de restrição: restringir o uso do programa ao departamento financeiro da empresa. Um exemplo AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Todas as Empresas Precisam de Segurança de Informações O que está em jogo: Perda de patrimônio: destruição de ativos; Perda de operações: transações não efetuadas; Danos à imagem corporativa: sensação de insegurança para seus clientes. Por que proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Dados importantes para a organização podem ser: • Divulgados indevidamente (deixando de ser confidenciais), destruídos (deixando de estar disponíveis) ou corrompidos (deixando de ser íntegros); • Roubados por outras organizações, visando compartilhar a vantagem competitiva representada por estes; • Apagados ou modificados por outras organizações, de forma a anular esta vantagem competitiva. Por que proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores A importância aumenta para organizações que: • Lidam com informações confidenciais, tais como bancos ou indústria química; governos etc; • Lidem com informações que permitam a distribuição eletrônica de fundos e de ativos, tais como empresas de cartão de crédito; • Apresentam ativos muito líquidos, tais como instituições financeiras em geral. Por que proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Quando proteger? Armazenamento Manuseio Transporte Descarte No ciclo de vida da informação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Manuseio: Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação. Quando proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Armazenamento: Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pen drive depositado em uma gaveta, por exemplo. Quando proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Transporte: Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo. Quando proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD- ROM usado que apresentou falha na leitura. Quando proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Físicos Tecnológicos Humanos Agenda Sistema Funcionário Sala E-mail Parceiro Arquivo Servidor Secretária Cofre Notebook Porteiro Nos Ativos: Onde proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Físicos Tecnológicos Humanos Incêndio Vírus Sabotagem Inundação Bug software Fraude Curto circuito Defeito técnico Erro humano Apagão Invasão Web Descuido Ameaças: Do que proteger? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Informação sem interesse Lixo Vantagem competitiva Informação potencial Informação mínima Gestão Informação crítica Sobrevivência Classificação nível segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Informação crítica: Destina-se à sobrevivência da organização para atender prioritariamente às áreas operacionais. Ganha força a crença de que a ciência é a expressão de uma verdade absoluta, aumentando a confiança na ciência como fonte, senão única, privilegiada, do saber “verdadeiro e universal”. Classificação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Informação mínima: é destinada originalmente aos gerentes de nível intermediário para a realização de atividades de gestão organizacional. Informação potencial: é dirigida principalmente à direção da organização, apontando possíveis vantagens competitivas a serem conquistadas. Classificação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Informação sem interesse, ou lixo: É considerada uma parcela negativa inversamente proporcional à sua quantidade, em uma hipotética equação de valor para a finalidade da informação organizacional, e pode ser associada ao conceito de sobrecarga de informação. A relevância se manifesta através do impacto que a presença ou ausência da informação pode gerar no ambiente. Classificação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Irrestrita: A informação é pública, podendo ser utilizada por todos sem causar danos à organização. Interna: Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja disponibilizada ela não causa danos sérios à organização. Nível de segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Confidencial: Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes. Secreta: Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta é a informação considerada vital para a companhia. Nível de segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Para definir o nível de segurança da informação de cada setor da organização a pessoa mais indicada é o próprio responsável (custodiante) daquele setor. Ele é quemcertamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor. Quem define o nível de segurança AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores “ Segurança da Informação é como uma corrente cuja força é medida pelo seu elo mais fraco.” Uma corrente é tão forte quanto o seu elo mais fraco. Segurança da informação AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. O que são vulnerabilidades? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Fragilidade presente ou associada à ativos, que manipula ou processam informações, que, ao ser explorada por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios de segurança da informação (CID). Uma ameaça é um possível perigo que pode explorar uma vulnerabilidade. O que são vulnerabilidades? AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação Físicas: • Instalações prediais fora dos padrões de engenharia; • Salas de servidores mal planejadas; • Falta de extintores, detectores de fumaça e de outros recursos para detecção e combate a incêndio. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação Naturais: • Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia); • Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação Hardware: • Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso); • Erros durante a instalação; • A ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados; • A conservação inadequada dos equipamentos. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação: Software: Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários; A configuração e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal-intencionados. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação: Mídias de armazenamento: • Discos, fitas, relatórios e impressos em geral podem ser perdidos ou danificados; • Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas; • Erro de fabricação. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação: Comunicações: • Acessos não autorizados ou perda de comunicação; • A ausência de sistemas de criptografia nas comunicações; • A má escolha dos sistemas de comunicação para envio de mensagens de alta prioridade da empresa. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação: Humanas: • Falta de treinamento; • Compartilhamento de informações confidenciais; • Falta de execução de rotinas de segurança; • Erros ou omissões; • Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras etc.). Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Classificação: Dados importantes para a organização podem ser: • Divulgados indevidamente (deixando de ser confidenciais), destruídos (deixando de estar disponíveis) ou corrompidos (deixando de ser íntegros); • Roubados por outras organizações, visando compartilhar a vantagem competitiva representada por estes; • Apagados ou modificados por outras organizações, de forma a anular esta vantagem competitiva. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou uma condição favorável que são as ameaças. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Análise: A análise das vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas. É realizada através de um levantamento detalhado do ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que fornece ou desempenha. Esta análise compreende todos os ativos da informação da empresa. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Análise Tecnologias: Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Análise Processos: Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Análise Pessoas: As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Análise Ambientes: É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Testes Importância dos testes • Conhecer as fragilidades de redes de computadores; • Conhecer os alertas de segurança antes de um ataque de rede; • Conhecer como recuperar uma rede após um ataque. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Testes • As portas do protocolo TCP/IP que encontram-se desprotegidas (abertas); • Os sistemas operacionais utilizados; • Patches e service packs (se for o caso) aplicados; • Aplicativos instalados; • Bugs específicos dos sistemas operacionais/ aplicativos; • Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos; • Falhas nos softwares dos equipamentos de comunicações. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Testes • Fraquezas nas implementações de segurança dos equipamentos de comunicação; • Fraqueza de segurança/falhas nos scripts que executam nos servidores web; • Falhas nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos; • Identificar e corrigir vulnerabilidades de rede; • Proteger a rede de ser atacada por invasores; • Obter informações que auxiliam a prevenir os problemas de segurança; • Obter informações sobre vírus. Vulnerabilidades AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores VulnerabilidadeCondição que, quando explorada por um atacante, pode resultar em uma violação de segurança. Risco É o potencial de que uma dada ameaça venha a explorar vulnerabilidades em um determinado ativo, comprometendo sua segurança. Vulnerabilidade e risco Ativo Ameaça Vulnerabilidade Risco AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores Sistemas na Internet Atacantes Vulnerabilidades Riscos - Criminosos - Espionagem industrial - Governos - Vândalos - Defeitos de software - Falhas de configuração - Uso inadequado - Indisponibilidade - Furto de dados - Perdas financeiras - Danos à imagem - Perda de confiança na tecnologia Riscos em sistemas conectados à internet AULA 2: CONCEITOS FUNDAMENTAIS Segurança de redes de computadores
Compartilhar