Post on 21-Jul-2015
4
Importância da Segurança
da Informação
Quanto vale informação para uma empresa?
Sem Informação uma empresa pode sobreviver
quanto tempo?
O que exatamente precisa de ser protegido?
Definição de Segurança
Uma área de Conhecimento dedicada à
proteção de ativos da informação contra
acessos não autorizados, alterações indevidas
ou sua indisponibilidade
Segurança envolve tecnologia,
processos e pessoas
5
Ameaças na Segurança
6
F D
Fonte de
Informação
Destino da
Informação
Fluxo Normal
F D
Interrupção
F D
Interceptação
I
F D
Modificação
M
F D
Fabricação
F
Classificação da Informação
7
A Informação deve ser
disponível para:
1. Todos
2. Um grupo
3. Um indivíduo
Ciclo de Vida de Segurança
8
O que precisa
ser protegido?
Como
proteger?Simulação de
um ataque
Qual é probabilidade
de um ataque?
Qual prejuízo, se
ataque sucedido?
Qual é nível da
proteção?
Conceitos Básicos da
Segurança da Informação
A segurança da informação tem como
objetivo a preservação de 3 princípios
básicos pelos quais se norteiam a
implementação desta prática.
Confiabilidade
Integridade
Disponibilidade
9
Confiabilidade
As informações devem ser protegidas
conforme o seu nível de sigilo do seu
conteúdo, procurando limitar o seu acesso
para terceiros, sendo possível somente
acesso as pessoas para quem elas são
enviadas
10
Integridade
Toda informação deve ser mantida na
mesma condição em que foi disponibilizada
pelo seu proprietário, visando protegê-las
contra as alterações indevidas, intencionais
ou acidentais
11
Disponibilidade
Toda informação gerada ou adquirida por um
indivíduo ou instituição deve estar disponível
aos seus usuários no momento em que os
mesmos delas necessitem para qualquer
finalidade
12
Ativo
Todo elemento que compõe os processos
que manipulam e processam a informação, a
contar a própria informação, o meio em que
ela é armazenada, os equipamentos em que
ela é manuseada, transportada e descartada
(ou seja todo o ciclo de vida da informação).
13
Aspectos da Segurança da
Informação
Alguns elementos são considerados
essenciais na prática da segurança da
informação, dependendo do objetivo que se
pretende alcançar
Autenticação
Legalidade
14
Autenticação
Processo de identificação e reconhecimento
formal da identidade dos elementos que
entram em comunicação ou fazem parte de
uma transação eletrônica que permite o
acesso à informação e seus ativos por meio
de controles de identificação desses
elementos
15
Legalidade
Característica das informações que possuem
valor legal dentro de um processo de
comunicação, onde todos os ativos estão de
acordo com as cláusulas contratuais
pactuadas ou a legislação política
institucional, nacional ou internacional
vigentes
16
Auditoria
Processo de coleta de evidências de uso dos
recursos existentes, a fim de identificar as
entidades envolvidas em um processo de troca
de informações, ou seja, a origem, destino e
meios de tráfego de uma informação
17
Vulnerabilidades
Fragilidade presente associada a ativos que
manipulam e/ou processam informações que, ao ser
explorada por ameaças, permite a ocorrência de um
incidente de segurança
Ela por si só não provoca incidentes, pois são
elementos passivos, necessitando para tanto de um
agente causador
Físicas, Naturais, Hardware, Software, Mídias,
Comunicação e Humanas
18
Ameaças
Agentes ou condições que causam incidentes que
comprometem as informações e seus ativos por
meio de exploração de vulnerabilidades,
provocando perdas de confiabilidade, integridade e
disponibilidade
As ameaças são classificadas quanto a sua
intencionalidade
Naturais: Decorrentes dos fenômenos da natureza
Involuntárias: Podem ser causadas por acidentes, erros
Voluntárias: Hackers, invasores, espiões, etc.
19
Medidas de Segurança
Preventivas: Objetivo evitar que incidentes venham
ocorrer
Exemplo: Política de segurança
Detectáveis: Visam identificar condições ou
indivíduos causadores de ameaça
Exemplo: Sistemas de detecção de intrusão, câmeras
Corretivas: Ações voltadas à correção de uma
estrutura tecnológica e humana para que as
mesmas se adaptem as condições preventivas
20
Ameaças Internas
Roubo de Informações;
Alteração de informações;
Danos físicos;
Alteração de configurações da rede;
21
Como prevenir e evitar
Ameaças Internas?
Restringir ao máximo o acesso dos usuários às informações vitais da organização;
Restringir o acesso físico às áreas críticas;
Definir e divulgar normas e políticas de acesso físico e lógico;
Implementar soluções de criptografia para informações críticas;
Implementar soluções de auditoria para informações críticas;
Controlar o acesso de prestadores de serviços as áreas críticas e as informações.
22
Segurança Física
Providenciar mecanismos para restringir o acesso às áreas críticas da organização
Como isto pode ser feito?
24
Segurança Lógica
Fornecer mecanismos para garantir:
Confidencialidade;
Integridade;
Autenticidade
Mecanismos tradicionais garantem a
Segurança Lógica?
25
Como pode se prevenir?
Mudando a Cultura!!!
Palestras
Seminários
Exemplos práticos
Simulações
Estudo de Casos
26
A importância da Senha
Escolha da Senha X Segurança da Rede.
O acesso à senha de um usuário não dá acesso
apenas aos seus dados particulares, mas a todos
os recursos que ele utiliza, como documentos de
seu setor, dados dos sistemas administrativos,
entre outros.
Programas que “quebram”senhas.
27
Normas para a escolha de uma
senha (1)
Não use seu login nem invertido, com letras
maiúsculas, duplicado, etc.
Não use qualquer um de seus nomes ou sobrenomes;
Não use qualquer informação a seu respeito (apelido,
placa de automóvel, numero de telefone, marca de
seu automóvel, nome de pessoas de sua família,
datas de nascimento, endereço, cep, cgc,cpf etc.);
28
Normas para a escolha de uma
senha (2)
Não use senhas óbvias (se você é atleticano, não use
Galo, nem Tardelli);
Não use palavras que constem do dicionário (gaveta,
américa, celular);
Use senhas que misturem caracteres maiúsculos e
minúsculos e números;
Use senhas fáceis de lembrar;
Use senhas com no máximo 3 caracteres repetidos;
29
Normas para a escolha de uma
senha (3)
Nunca escreva sua senha;
Troque sua senha pelo menos uma vez por mês;
Nunca fale sua senha, nem empreste sua conta para
ninguém. Ela, e qualquer coisa feita com ela é de sua
inteira responsabilidade. Não corra riscos.
30
Senhas que não devem ser
usadas
EEEBBBCCC (3 caracteres repetidos)
4610133 (número de telefone)
carleto (nome de pessoa)
PEDROSILVA (Nome em maiúscula)
215423 (só números)
opmac (Campos ao contrário)
LGF-4589 (Placa de carro)
Leonardo Di Capri (Nome de artista)
clipes (contém no dicionário)
#$cr^98Y/kl1 (difícil de digitar e de lembrar)
31
Exercícios
1) Qual dos princípios básicos da segurança da informação
enuncia a garantia de que uma informação não foi
alterada durante seu percurso, da origem ao destino?
2) Faça um resumo das principais normas de criação de
uma boa senha, com exemplos diferentes, dos
passados em sala de aula.
33
Exercícios
3) De um modo geral, a manutenção da segurança dos ativos de
informação deve cuidar da preservação de:
a) confidencialidade e integridade, somente.
b) confidencialidade, somente.
c) integridade, somente.
d) confidencialidade, integridade e disponibilidade.
e) confidencialidade e disponibilidade, somente.
34
35
Bibliografia deste material
SÊMOLA, Marcos. Gestão da Segurança
da Informação: uma visão executiva. 1. ed.
Rio de Janeiro: Elsevier, 2003. 156p.
Material do professor Mehran Misaghi