Segurança em Sistemas e Redes

1

Histórico

A tecnologia da Informação engatinhava: limitações de armazenamento e preços proibitivos mainframes.

Nos tempos dos Mainframes os aspectos de segurança simples: - Segurança Física 2

Décadas atrás as informações eram tratadas de forma centralizada e ainda pouco automatizadas.

Novo contexto

Quebra-se o paradigma de acesso local às informações.

As informações chegam a qualquer lugar do mundo através dos portáteis (notebooks, palms, ...) e da rede mundial de computadores: internet.

3

E os problemas também !

Situação é ruim, e vai piorar...

Aumento de computadores por pessoa.

Crescimento de utilização da Banda Larga.

Softwares complexos.

Popularização da necessidade de uma rede interna.

Carência de profissionais qualificados.

Segurança da informaçãoSegurança da informação

4

Situação é ruim, e vai piorar...

Alto compartilhamento de técnicas de ataque e invasão.

Disponibilidade e facilidade no uso de ferramentas para ataques e invasões.

Carência de jurisprudência que tenha regulado sobre atos ilícitos em meio

eletrônico.

Diversificação dos perfis da ameaça: concorrente, sabotador, especulador,

adolescente, hacker, funcionário insatisfeito.

Segurança da informaçãoSegurança da informação

5

Segurança da Informação

• Os computadores e/ou sistemas são ditos seguros, se atendem a três requisitos básicos. (DICA)

– Disponibilidade – Integridade – Confidencialidade ou Sigilo/Privacidade– Autenticidade / Não repúdio– Auditoria

• Em última análise os principais objetivos dos cuidados com segurança são proteger as informações de uma vasta gama de ameaças para assegurar a continuidade dos negócios, minimizar os danos e maximizar o ROI

(AAA-Autentication, Autoriztion, Acounting)

6

ISO

/IEC

1779

9:20

05

Confidencialidade ou Sigilo

• O princípio da confidencialidade da informação tem como objetivo garantir que apenas a pessoa correta tenha acesso à informação que queremos distribuir.

– Não significa informação isolada ou inacessível a todos, mas sim a informação que deve ser acessada a quem lhe é de direito.

7

Disponibilidade

• Para que uma informação possa ser utilizada, ela deverá estar disponível.

– Considera-se este princípio quando um sistema , ou ativo de informação precisa estar disponível para satisfazer seus requisitos ou evitar perdas financeiras

8

Integridade

• A integridade, que nos permite garantir que a informação não tenha sido alterada seu conteúdo na sua trajetória ou armazenamento.

– Ela estará íntegra se em tempo de resgate, estiver fiel ao estado original.

• Outro conceito semelhante a Integridade relacionado a segurança, refere-se a autenticidade.

– Neste caso o objetivo é garantir que a informação obtida, por exemplo a identidade de um usuário, ou o conteúdo de um documento são de fato verdadeiros.

9

Discussão

• Qual é a importância do principio da Integridade em um Banco de dados? E os outros princípios?

• O que pode ocorrer caso algum destes princípios sejam violados por um funcionário mal intencionado?

• Você conhece algum caso real onde um destes princípios foi violado e causou prejuízos a uma organização?

10

Definição de Ativos

• Ativo é todo recurso que pode sofrer algum tipo de ataque, logo, são elementos que a segurança da informação busca proteger.

• Os ativos de uma empresa podem ser:– Bens, direitos, documentos impressos, dinheiro em caixa, banco

de dados, capital humano e intelectual....

• Portanto todos os recursos que necessitam de alguma proteção, é considerado um ATIVO.

11

Vulnerabilidades

• Vulnerabilidades são elementos que, ao serem explorados por ameaças, afetam a confidencialidade, a disponibilidade ou a integridade das informações.

• Um dos primeiros passos para a implementação da segurança é rastrear e eliminar os pontos fracos ou as vulnerabilidades de um ambiente de TI.

• Quais as vulnerabilidades você agora no início do curso seria capaz de identificar no seu ambiente de trabalho ou na sua casa?

12

Vulnerabilidades

• A vulnerabilidade na computação significa ter “brecha” em um sistema.

• Alguns tipos de vulnerabilidades são:

– Físicas: Instalações prediais fora do padrão; salas de CPD mal planejadas ...

– Naturais: Incêndios, enchentes, terremotos ...

– Software: Bugs, erros na instalação ou má configuração...

– Hardware: Falha nos recursos tecnológicos, desgaste, obsolescência ...

13

Vulnerabilidades

• Alguns tipos de vulnerabilidades:

– Comunicação: Acessos não autorizados ou perda de comunicação ...

– Armazenagem: Discos, fitas, relatórios e impressos podem ser perdidos ou danificados (radiação eletromagnética) ...

– Humanas: Falta de treinamento, compartilhamento de informações confidenciais, sabotagens, ameaça de bomba, greves, roubo, vandalismo, invasões, guerras ...

14

Vulnerabilidades

• Alguns fatores podem aumentar as vulnerabilidades:

– Pressa no lançamento de novos produtos– Competitividade– Alto nível de conectividade – Aumento do número de potenciais atacantes– Integração entre diferentes tecnologias

15

Ameaças

• São os agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades.

16

Ameaças

Podem ser:

• Naturais: Ameaças decorrentes de fenômenos da natureza como incêndios naturais, enchentes, terremotos, etc.

• Involuntárias: Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia, etc.

• Voluntárias: Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.

17

Perguntas

• Você já ouviu falar em alguma vulnerabilidade causada por software?

• O que pode acontecer se um sistema militar tiver uma vulnerabilidade explorada?

• O que pode acontecer se um banco de dados com cartões de créditos do cliente for roubado, ou disponibilizado na Web?

18

Fato real

• A loja virtual de CDs, CD Universe teve sua base de dados, que continha 300.000 números de cartões de crédito roubada.

• Com isso sua reputação ficou seriamente comprometida e antigos clientes passaram a não comprar mais na loja.

• O Hacker não foi identificado e o caso continua em aberto.

• http://epoca.globo.com/edic/20000117/ciencia1.htm

19

Política de SegurançaPolítica de Segurança

20

Política de segurança na organização

• Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.

O propósito de uma política de segurança é informar aos usuários suas obrigações para a proteção e acesso às informações.

Para gerenciar de forma segura a informação e não depender apenas de talentos humanos, é necessário criar uma Política de Segurança.

21

A Política de Segurança

• A política de segurança deve abordar os seguintes aspectos:

– Configuração de sistemas para seguraça da corporação (Anti-vírus, Firewall, DMZ, Proxy, IDS...)

– Plano de Recuperação de Desastres

– Política de acesso à Internet

– Uso de Laptops e outros dispositivos móveis

– Penalidades

22

Discussão

• Você conhece alguma organização que trabalha com política de segurança? Cite um exemplo da aplicação de uma política de segurança no seu local de trabalho.

• Qual poderia ser o impacto se a política de segurança de um banco não for seguida, e um funcionário divulgar o extrato de um cliente?

• Porque parece ser tão difícil a implementação destas políticas?

23

Atividade

1 Defina os 3 princípios da segurança da informação

2 Descreva com suas palavras a função de um plano de segurança e suas características.

2 – Quais são os elementos de um plano de segurança?

4 – Em sua opinião, a política de segurança é estática ou é um documento que deve estar em modificação? Justifique sua resposta.

24

Atividade

5 – Faça uma pesquisa na internet e escreva um pequeno texto sobre recente descoberta de vulnerabilidade em um software. Explique qual foi o problema, como ele foi encontrado, diagnosticado e tratado.

Qual dos aspectos de segurança foi afetado no caso que você pesquisou ? Confidencialidade, disponibilidade e integridade?

25