Gestão da Segurança da Informação
Christian C. S. [email protected]
InstrutorChristian C. S. Mendes
Graduado em Informática – CEFET-PRPós-Graduado em Gestão de TI – Universidade Positivo Mestre em Telemática – CPGEI – UTFPR
Professor da Pós-Graduação em Gestão de TI – UTFPRProfessor da Pós-Graduação em Redes de Computadores - UTFPRCoordenação dos Cursos de Redes Wireless Lan e Gestão da Segurança da Informação
Ex-Coordenador de Infraestrutura de TI – UTFPREx-Colaborador da Coordenação de Tecnologia na Educação – UTFPR Membro do Comitê de Segurança da Informação - UTFPR
Certificação: MCSO / Diversas soluções de Segurança
Coordenador do Laboratório de Projetos de Tecnologia da Informação - LAPTI
Gestão de Segurança daInformação – uma visão executivaSêmola, Marcos.Editora Campus 2013
Indicação de Livros
Engenharia Social e Segurança da Informação na Gestão CorporativaPeixoto, MarioEditora Brasport
Risco Digital na Web 3.0Scudere, LeonardoEditora Elsevier
Indicação de Livros
Cyber WarClark, RichardEditora HarperCollins
Direito DigitalPeck, PatriciaEditora Saraiva
Indicação de Livros
Crimes no Meio Ambiente DigitalFiorillo, CelsoEditora Saraiva
Indicação de Livros
Guerra nas SombrasWoloszyn, AndréEditora Contexto
Sem lugar para se EsconderGreenwald, GlennEditora Sextante
Indicação de LivrosCertificação Security + - CompTIADiogenes, Yuri Editora Nova Terra
Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dadosCabral, Carlos e Caprino, Willian Editora Brasport
Indicação de Livros
Desvendando a Computação ForenseEleutério, PedroEditora Novatec
Perícia Forense: Aplicado à InformáticaFreitas, Andrey Editora Brasport
A Segurança transcende a Tecnologia
ISC2
GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2010)
GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2012)
GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2014)
• Operação Perestroika• Caso MSI / Corinthians
• Caso Isabella / Eloa• Informações na Mídia
• Caso Infoseg • Acesso ao sistema federal de segurança pública do País
Casos Policiais
Desafios da Segurança da Informação
•Pessoas
•Tecnologias
•Processos
Principais Erros das Organizações
• Atribuir apenas a área de Tecnologia à Segurança da Informação
• Planos de ação baseados na reatividade e não proatividade
• Não cultivar a mentalidade de Segurança da Informação na Organização
• Falsa Proteção
• Existência de estagiários e terceirizados em áreas importantes
• Descarte de Informações – Vazamento de Informações
• Falta de Segregação de Funções
Tríade da Segurança da Informação
• Confidencialidade
• Integridade
• Disponibilidade
Aspectos de Segurança da Informação
• Autenticação
• Legalidade
• Autorização
• Auditoria
• Relevância do Ativo
• Severidade / Criticidade
• Autenticidade
Ativos
• Tangíveis• Informações
• Intangíveis• Confiabilidade • Marca
• Lógicos • Dados, Sistemas, Rede de Dados
• Fisicos • Servidores, Switchs, Storage
• Pessoal• Empregados
Significado de Ameaça
s.f. Palavra, ato, gesto pelos quais se exprime a v ontade que se tem de fazer mal a alguém: discurso cheio de
ameaças. / Sinal, manifestação que leva a acreditar na possibilidade de ocorrer alguma coisa: ameaça de ch uva.
Aurélio On-Line
Significado de Vulnerabilidades.f. Caráter ou qualidade de vulnerável.
• Naturais• enchentes
• Voluntárias • invasão
• Involuntárias • falta de energia
Ameaças
AMEAÇAS exploram VULNERABILIDADES presentes nos ATIVOS,causando IMPACTOS no NEGÓCIO
INCIDENTE
• Fisicas
• Naturais
• Hardware
• Software
Vulnerabilidades
• Midias
• Comunicação
• Humanas
Vulnerabilidades: falhas que podem ser exploradas
Situação Atual
Maioria das falhas de segurança é causada por:
- Funcionários (24%)
- Crackers (20%)
Fonte Modulo Security
Situação Atual
Fonte Ernest & Young
• 88% - Precisam melhorar Segurança da informação
• 69% - Precisam aumentar o investimento em SI em até 50%
• 36% - Das organizações globais ainda não têm confiança na sua capacidade de detectar ataques cibernéticos sofisticados;
• Fontes mais prováveis de ataques cibernéticos são sindicatos do crime (59%), funcionários (56%) e hacktivistas (54%);
• Maiores ameaças Phishing (44% dos entrevistados) e Malware (43%)
Global Information Security SurveyA pesquisa foi realizada com mais de 1700 empresas em 67 países.
Medidas de Segurança
• Defesa em Profundidade – Defense in Depth
• Elo mais Fraco – Weakest Link
• Ponto de Estrangulamento – Choke Point
• Segurança através da Obscuridade – Security through Obscurity
• Simplicidade
• Privilégio Minimo – Least Privilege
Medidas de Segurança
• Preventivas - Politica de Segurança da Informação
• Detectáveis - Medidas de Monitoramento / Auditoria
• Corretivas - Plano de Recuperação de Desastres
Dificuldades Atuais
• Aumento da Exposição
• Convergência
• Leis, regulamentação
Exercícios
7 Pecados Capitais
Escreva políticas de segurança para “resolver” os Problemas detectados /apontados no texto.
Organização da Segurança da Informação
Organização da Segurança da InformaçãoMetas
• Viabilizar negócios e diminuir os riscos para a organização
• Conscientizar os colaboradores através da responsabilidade
• Implementar programa de segurança
• Não dificultar o desenvolvimento da empresa e/ou limitar seucrescimento.
Materiais
Fatores para Sucesso
• Autonomia
• Principio de Pareto • 80/20
• Buscar envolvimento e comprometimento da organização
• Equipe dedicada para a função
Gestão de Pessoas
Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência
de treinamentos.
Porque você treina macacos. Pessoas, você educa.
Roberto Cunha / FGV
Segurança da Informação é responsabilidade de todos.
Procedimentos Coorporativos
• Problemas de Turnover
• Contratação
• Desligamento
Ameaças mais complexas
“Engenharia Social é a ciência que estuda como o conhecimento docomportamento humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicasde Engenharia Social são amplamente utilizadas por detetives (para obter
informação), e magistrados (para comprovar se um declarante fala a verdade).Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de
sistemas eletrônicos”.
Kevin Mitnick: “É um termo diferente para definir o uso de persuasão para influenciar as pessoas a
concordar com um pedido”
- Tipos - Confiança- Simplesmente Pedindo- Posso Ajudar ?- Simpatia- Intimidação- Análise de Lixo
Ex: Secretárias
Outras Ameaças
- Mídias Sociais
- APP de Relacionamentos
- TeleListas
- Currículos On-line
- TudosobreTodos, etc..
Modulo Security – Jogo da Segurança da Informação
Segurança Físicae
Operacional
O que deve ser protegido ?
• Data Center
• Documentos
• Conexões Externas
• Colaboradores
Mecanismos de Proteção
• Proteção Perimetral• Barreiras Fisicas• Iluminação• Alarmes de Intrusão• Identificação• Monitoramento Remoto
• Sensores de Presença • Materiais usados nas paredes • Portas / Janelas• Guaritas• Pontos de Controle de Acesso
Defesa Perimetral
Mecanismos de Proteção• Sistemas de Suporte e Abastecimento
• Problemas de Fornecimento de Energia e/ou Água
• Ventilação
• Proteção contra Incêndios
• Mídias de Armazenamento
• Controle de Equipamentos
Autorização / Autenticação
• Tokens
• Certificado Digital
• Senhas
• Biometria
O que o você sabe + O que você tem + O que você é
Exercícios
Pesquisa uma solução de autenticação interessante queestá disponível/uso no Mercado
Classificação de Informações
- Secreta– vital para a organização, estratégico
- Confidencial– restrita aos limites da organização, processo
- Interna– acesso deve ser evitado, ramais
- Pública– informação que pode ser divulgada abertamente
Classificação das Informações
Exemplos
Obs: No governo existe a classificação de Ultra-Secreto – Lei 12.527
Política de Classificação da Informação
•Need–to–know
•Least privilege
Classificação e Desclassificação
• Classificação• Atribuir nível de proteção
• Reclassificação• Alterar nível de proteção
• Desclassificação• Remover nivel de classificação
• Duração
Classificação de Informações
Política de Classificação de Informações é um documento que define a necessidade de :
• Níveis de Classificação / Duração
• Controles de Classificação
• Reclassificação
• Papeis e Responsabilidades
• Referência aos procedimentos e instruções
Proteção de Dados
• Criptografia
• Esteganografia
• Backups
• Sistemas Redundantes
• Controle de Acesso
Proteção Física
• Controle de Acesso Fisico
• Cofres
• CFTV / Monitoramento
• Transporte Seguro
RioOffSite Iron Mountain SafeSolut
Controles Administrativos
• Politica
• Revisão e aprovação
• Separação de tarefas
• Monitoramento
Rotulação
• Documentos Impressos
• Arquivos Eletrônicos
• E-mails
• Aplicativos
• Mídias
Controle de Acesso
• Acesso Lógico ( DAC, MAC, RBAC)
• Acesso Físico (SmartCard, Tokens, Biometria)
Manuseio / Armazenamento / Transporte / Descarte
• Documentos impressos• Documentos eletrônicos• Mídias
Vídeo 1 Vídeo 2 Vídeo 3
Auditoria e Monitoramento
• Monitoramento Periódico
• Aspectos de Auditoria
Exercícios
Esteganografia
- Atividade 1 - Pesquisar um Caso Real- Atividade 2 - Selecionar uma ferramenta e realizar um teste prático
Documento em pdf, contendo o caso escolhido e o funcionamento da ferramenta
Referências- http://www.idgnow.com.br
- http://www.modulo.com.br
- http://www.issabrasil.org
- http://www.securityreview.com.br
- http://www.isc2.org
- http://www.pppadvogados.com.br
- http://www.clavis.com.br
- http://bsibrasil.com.br
-http://www.planalto.gov.br [email protected]